策略路由 route-policy 前缀列表详解及实验全是干货(策略路由配置)
0x01前缀列表:
前言:
ACL只能抓取路由前缀
前缀列表既可以抓取前缀,又可以抓取掩码长度
特别强调:前缀列表只能作为抓取路由条目使用,无法抓取报文信息
前缀列表详解:
ip ip-prefix NAME index 10 permit 192.168.1.0 24 greater-equal 25 less-equal 26
① ② ③ ④ ⑤ ⑥
1、NAME:名字,代表了唯一的一条前缀列表
2、index:索引号,类似于ACL的rule,默认步长10,匹配顺序从小到大,唯一匹配
3、permit/deny:行为,允许或者拒绝
4、路由前缀length:规定了需要抓取或者匹配的路由前缀长度
5、大于等于:需要匹配的掩码长度大于等于多少
6、小于等于:需要匹配的掩码长度小于等于多少
规定:length≤GE≤LE
当前缀列表定义了GE,没有定义LE,那么LE默认等于32
当前缀列表定义了LE,没有定义GE,那么GE=length
ip ip-prefix huawei index 10 permit 192.168.1.0 24 //匹配一条单独的路由,如果GE和LE都没有定义,那么GE=LE=LENGTH
ip ip-prefix huawei index 20 permit 192.168.0.0 16 g 24 l 26 //前缀是192.168 ,掩码为24~26 192.168.1.0/24能匹配
ip ip-prefix huawei index 30 permit 192.168.0.0 24 g 24 l 26 // 192.168.1.0/24不匹配
ip ip-prefix huawei index 40 permit 192.168.1.0 24 g 25 // 192.168.1.0/24不匹配
ip ip-prefix huawei index 50 permit 192.168.1.0 24 l 32 // 192.168.1.0/24匹配
IP-Prefix List应用示例(1)
地址前缀列表即IP-Prefix List。可以通过地址前缀列表,将与所定义的前缀过滤列表相匹配的路由,根据定义的匹配模式进行过滤,以满足使用者的需要。
地址前缀列表即IP-Prefix List。可以通过地址前缀列表,将与所定义的前缀过滤列表相匹配的路由,根据定义的匹配模式进行过滤,以满足使用者的需要。
前缀列表的组成及匹配规则:
前缀过滤列表由IP地址和掩码组成,IP地址可以是网段地址或者主机地址,掩码长度的配置范围为0~32。
IP-Prefix List中的每一条IP-Prefix都有一个序列号index,匹配的时候将根据序列号从小到大进行匹配。
如果不配置IP-Prefix的index,那么对应的index在上次配置的同名IP-Prefix的index的基础上,以步长为10进行增长。
如果配置的IP-Prefix的名字与index都和已经配置了的一项IP-Prefix List的相同,仅仅只是匹配的内容不同,则该IP-Prefix List将覆盖原有的IP-Prefix List。
当所有前缀过滤列表均未匹配时,缺省情况下,存在最后一条默认匹配模式为deny。当引用的前缀过滤列表不存在时,则默认匹配模式为permit。
IP-Prefix List应用示例 (2)
0x02 Route-policy路由策略
Route-Policy工具介绍
Route-Policy是一种功能非常强大的路由策略工具,它可以灵活地与ACL、IP-Prefix List、As-Path-Filter等其它工具配合使用
Route-Policy由若干个node构成,node之间是“或”的关系。且每个node下可以有若干个if-mach和apply子句,if-match之间是“与”的关系
Route-Policy的每个node都有相应的permit模式或deny模式。如果是permit模式,则当路由项满足该node的所有if-match子句时,就被允许通过该node的过滤并执行该node的apply子句,且不再进入下一个node;如果路由项没有满足该node的所有if-match子句,则会进入下一个node继续进行过滤。如果是deny模式,则当路由项满足该node的所有if-match子句时,就被拒绝通过该node的过滤,这时apply子句不会被执行,并且不进入下一个node;否则就进入下一个node继续进行过滤。
Route-Policy应用示例
0x03 路由策略方式配置实现
路由策略方式配置实现 (1)
RTA还可以使用Route-Policy工具进行路由控制:
acl 2000
rule 0 permit source 10.1.1.0 0.0.0.255
rule 5 permit source 10.1.3.0 0.0.0.255
route-policy huawei-control permit node 10
if-match acl 2000
ospf 1
import-route direct route-policy huawei-control
路由策略方式配置实现查看
0x04 前缀列表实验练习
路由拓扑图
实验要求
1、在R2上引入这4条外部路由
2、在R1上使用filter-policy+前缀列表方式过滤
让192.168.0.0/16和192.168.0.0/30加表
让192.168.0.0/24~26不能加表
但是对于将来发布进来的其他路由默认加表
配置步骤
1、配置IP地址
2、宣告ospf 建立邻居
在AR1上
在AR2上
同上
查看邻居建立情况:
display ospf peer brief //用来查看建立OSPF邻居状态情况
3、在R2上写这五条静态路由做OSPF引入路由
4、前缀列表配置:
ip ip-prefix import index 10 deny 192.168.0.0 16 greater-equal 24 less-equal 26
//让192.168.0.0/24-26不能加表
ip ip-prefix import index 20 permit 192.168.0.0 16
//让192.168.0.0/16加表
ip ip-prefix import index 30 permit 192.168.0.0 30
//让192.168.0.0/30加表
ip ip-prefix import index 40 permit 0.0.0.0 0 less-equal 32
这条是兜底,因为前缀列表和ACL一样,对于路由策略的过滤时,都是默认拒绝所有 如果不写就只有定义的这些有规则 凡是没有匹配上的就拒绝了 最后放行所有
5、在OSPF挂接前缀列表配置
命令为:[AR1-ospf-1]filter-policy ip-prefix import import
配置目的现象
使用:display ip routing-table protocol ospf 来查看OSPF的路由条目
此时可以看到需求已经满足,此时达到要求/16 /30加表了 24-26没加表全过滤掉了
0x05 留个谜底
此时再写一条:
ip route-static 192.168.1.0 24 NULL 0 能加表吗?
大家可以想一下留在评论区一起讨论
前缀列表和ACL一样,对于路由策略的过滤时,都是默认拒绝所有
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/8100.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下~~