路由策略与路由控制
1.路由控制概述
技術背景:
路由控制的方式:
1.控制路由的發布:通過路由策略對發布的路由進行過濾,只發布滿足條件的路由
2.控制路由的接收:通過路由策略對接收的路由進行過濾,只接收滿足條件的路由
3.控制路由的引入:通過路由策略控制從其他路由協議引入的路由條目,只有滿足條件的路由才會被引入
路由發布跟路由引入的區別就是:發布是發布內部的路由,引入的話是引入外部路由
路由控制的條件:
1.目的地址
2.tag值
路由匹配工具:訪問控制列表(ALC)、IP前綴列表(IP-prefix)
acl:
由一系列的語句組成,語句當中會有兩種動作
?ACL的兩種動作:
permit:不過濾(為什么不說是允許流量通過呢,因為在nat當中就不交允許通過了,而是叫轉換,所以場景不同含義也不相同)
deny:過濾(意思與permit相反)
acl的分類:
常用的類別:
基本acl:2000~2999
高級acl:3000~3999
acl的匹配機制:
acl的匹配過程:當我們報文到達了設備上時,我們設備會先判斷是否配置了acl,如果沒有配置acl,則acl匹配結果為不匹配,如果有配置了acl,那查看acl中是否有rule的規則,如果沒有則acl的結果為不匹配,那如果有規則,則按順序先分析我們第一條rule,會有兩種情況,第一種是匹配上了規則,那就分析acl的動作是permit允許還是deny拒絕,如果是permit允許的話那acl的結果就為匹配,如果是deny的話,那acl的匹配結果為拒絕,那還有一種是沒有匹配到規則的,那繼續匹配下一條規則,直到把所有的規則都給匹配完,那如果是還沒匹配上的話就丟棄報文了,acl的最后面有一條默認語句就是拒絕所有
還有一點就是:如果一個數據包匹配中acl下某個rule,不管動作是permit還是rule都認為是匹配了,就不會在繼續往下面匹配
acl的缺點:acl的通配符不是掩碼,也和掩碼沒有關系,匹配的時候是需要看通配符,所以如果需要匹配更精細的路由的話就無法實現了,你這個時候就誕生了一個新工具叫IP-Prefix
IP-Prefix
?IP前綴列表(IP-Prefix List)是將路由條目的網絡地址、掩碼長度作為匹配條件的過濾器,可在各路由協議發布和接收路由時使用。
配置代碼:Huawei] ip ip-prefix test index 10 permit 192.168.1.0 22 greater-equal 24 less-equal 26
參數的詳解:test? ? //前綴的名稱
? ? ? ? ? ? ? ? ? ? ??10? ? ?//索引號,跟acl的步長是一樣的作用,從小到大依次匹配,基數是10
? ? ? ? ? ? ? ? ? ? ??permit、deny? ? ?//動作
? ? ? ? ? ? ? ? ? ? ??192.168.1.0 22? ?//匹配項
? ? ? ? ? ? ? ? ? ? ? ?22? ? ? ? //不是掩碼,是通配符
? ? ? ? ? ? ? ? ? ? ? ?greater-equal 24 less-equal 26? ? //密碼的范圍,前者是大于或等于,后者是小于或等于(可選項,只有匹配上了匹配項才會生效,才可以匹配范圍)
IP-Prefix匹配機制:
其實跟acl的機制差不多
應用的場景:只能匹配路由,不能用來匹配流量,不會說可以像acl那樣可以匹配協議之類的等等
路由策略工具:Filter-Policy
什么是Filter-Policy:
?Filter-Policy:Filter-Policy(過濾-策略)是一個很常用的路由信息過濾工具,能夠對接收、發布、引入的路由進行過濾,可應用于IS-IS、OSPF、BGP等協議
Filter-Policy的應用:
在距離矢量路由協議中的應用:
?效果是直接把路由給過濾掉
在鏈路狀態路由協議當中的應用:
?LSA不會被過濾掉,效果是ospf的路由不加載到ip路由表,但是在協議的路由表還是可以看見
發布:使用的是export,因為ospf區域內或者是域間路由是無法被過濾的,因為ospf之間傳遞的是LSA,LSA是無法被過濾的,所以在發布域內或者是域間路由的時候是無法實現過濾的,只能過濾掉外部路由,這個要在發布端去進行配置
接收:使用的是import:路由器接收到域間或者是域內的路由是可以不把這條路由加載到ip路由表里的,這個要在接收端去進行配置
引入:使用的也是export,在引入外部路由的時候,對于被過濾的路由是不會生成五類lsa的
Route-Policy的應用:
節點內:每個節點內可包含多個條件語句。節點內的多個條件語句之間的關系為“與”,即匹配所有條件語句才會執行本節點內的動作?
節點之間:節點之間的關系為“或”,route-policy根據節點編號大小從小到大順序執行,匹配中一個節點將不會繼續向下匹配,如果沒有匹配的話會繼續向下面的節點匹配,知道匹配完所有的節點
路由匹配工具中的動作:permit:就是匹配中的route policy的node
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? deny:表示沒有匹配中node
路由策略中的動作:permit :允許路由加載到路由表
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?deny:過濾路由
總結
- 上一篇: 结算计算机设备维护费的请示,关于购买计算
- 下一篇: MySQL错误(报错)一览表(对照表)