1.路由控制概述
技术背景:
路由控制的方式:
1.控制路由的发布:通过路由策略对发布的路由进行过滤,只发布满足条件的路由
2.控制路由的接收:通过路由策略对接收的路由进行过滤,只接收满足条件的路由
3.控制路由的引入:通过路由策略控制从其他路由协议引入的路由条目,只有满足条件的路由才会被引入
路由发布跟路由引入的区别就是:发布是发布内部的路由,引入的话是引入外部路由
路由控制的条件:
1.目的地址
2.tag值
路由匹配工具:访问控制列表(ALC)、IP前缀列表(IP-prefix)
acl:
由一系列的语句组成,语句当中会有两种动作
?ACL的两种动作:
permit:不过滤(为什么不说是允许流量通过呢,因为在nat当中就不交允许通过了,而是叫转换,所以场景不同含义也不相同)
deny:过滤(意思与permit相反)
acl的分类:
常用的类别:
基本acl:2000~2999
高级acl:3000~3999
acl的匹配机制:
acl的匹配过程:当我们报文到达了设备上时,我们设备会先判断是否配置了acl,如果没有配置acl,则acl匹配结果为不匹配,如果有配置了acl,那查看acl中是否有rule的规则,如果没有则acl的结果为不匹配,那如果有规则,则按顺序先分析我们第一条rule,会有两种情况,第一种是匹配上了规则,那就分析acl的动作是permit允许还是deny拒绝,如果是permit允许的话那acl的结果就为匹配,如果是deny的话,那acl的匹配结果为拒绝,那还有一种是没有匹配到规则的,那继续匹配下一条规则,直到把所有的规则都给匹配完,那如果是还没匹配上的话就丢弃报文了,acl的最后面有一条默认语句就是拒绝所有
还有一点就是:如果一个数据包匹配中acl下某个rule,不管动作是permit还是rule都认为是匹配了,就不会在继续往下面匹配
acl的缺点:acl的通配符不是掩码,也和掩码没有关系,匹配的时候是需要看通配符,所以如果需要匹配更精细的路由的话就无法实现了,你这个时候就诞生了一个新工具叫IP-Prefix
IP-Prefix
?IP前缀列表(IP-Prefix List)是将路由条目的网络地址、掩码长度作为匹配条件的过滤器,可在各路由协议发布和接收路由时使用。
配置代码:Huawei] ip ip-prefix test index 10 permit 192.168.1.0 22 greater-equal 24 less-equal 26
参数的详解:test? ? //前缀的名称
? ? ? ? ? ? ? ? ? ? ??10? ? ?//索引号,跟acl的步长是一样的作用,从小到大依次匹配,基数是10
? ? ? ? ? ? ? ? ? ? ??permit、deny? ? ?//动作
? ? ? ? ? ? ? ? ? ? ??192.168.1.0 22? ?//匹配项
? ? ? ? ? ? ? ? ? ? ? ?22? ? ? ? //不是掩码,是通配符
? ? ? ? ? ? ? ? ? ? ? ?greater-equal 24 less-equal 26? ? //密码的范围,前者是大于或等于,后者是小于或等于(可选项,只有匹配上了匹配项才会生效,才可以匹配范围)
IP-Prefix匹配机制:
其实跟acl的机制差不多
应用的场景:只能匹配路由,不能用来匹配流量,不会说可以像acl那样可以匹配协议之类的等等
路由策略工具:Filter-Policy
什么是Filter-Policy:
?Filter-Policy:Filter-Policy(过滤-策略)是一个很常用的路由信息过滤工具,能够对接收、发布、引入的路由进行过滤,可应用于IS-IS、OSPF、BGP等协议
Filter-Policy的应用:
在距离矢量路由协议中的应用:
?效果是直接把路由给过滤掉
在链路状态路由协议当中的应用:
?LSA不会被过滤掉,效果是ospf的路由不加载到ip路由表,但是在协议的路由表还是可以看见
发布:使用的是export,因为ospf区域内或者是域间路由是无法被过滤的,因为ospf之间传递的是LSA,LSA是无法被过滤的,所以在发布域内或者是域间路由的时候是无法实现过滤的,只能过滤掉外部路由,这个要在发布端去进行配置
接收:使用的是import:路由器接收到域间或者是域内的路由是可以不把这条路由加载到ip路由表里的,这个要在接收端去进行配置
引入:使用的也是export,在引入外部路由的时候,对于被过滤的路由是不会生成五类lsa的
Route-Policy的应用:
节点内:每个节点内可包含多个条件语句。节点内的多个条件语句之间的关系为“与”,即匹配所有条件语句才会执行本节点内的动作?
节点之间:节点之间的关系为“或”,route-policy根据节点编号大小从小到大顺序执行,匹配中一个节点将不会继续向下匹配,如果没有匹配的话会继续向下面的节点匹配,知道匹配完所有的节点
路由匹配工具中的动作:permit:就是匹配中的route policy的node
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? deny:表示没有匹配中node
路由策略中的动作:permit :允许路由加载到路由表
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?deny:过滤路由
