01
2024
10
00:39:48

策略路由 route-policy 前缀列表详解及实验全是干货(策略路由配置)

策略路由 route-policy 前缀列表详解及实验全是干货(策略路由配置)

0x01前缀列表:

前言:

ACL只能抓取路由前缀

前缀列表既可以抓取前缀,又可以抓取掩码长度

特别强调:前缀列表只能作为抓取路由条目使用,无法抓取报文信息

前缀列表详解:

ip ip-prefix NAME index 10 permit 192.168.1.0 24 greater-equal 25 less-equal 26

①      ②        ③             ④         ⑤                ⑥

1、NAME:名字,代表了唯一的一条前缀列表

2、index:索引号,类似于ACL的rule,默认步长10,匹配顺序从小到大,唯一匹配

3、permit/deny:行为,允许或者拒绝

4、路由前缀length:规定了需要抓取或者匹配的路由前缀长度

5、大于等于:需要匹配的掩码长度大于等于多少

6、小于等于:需要匹配的掩码长度小于等于多少

规定:length≤GE≤LE

当前缀列表定义了GE,没有定义LE,那么LE默认等于32

当前缀列表定义了LE,没有定义GE,那么GE=length

ip ip-prefix huawei index 10 permit 192.168.1.0 24             //匹配一条单独的路由,如果GE和LE都没有定义,那么GE=LE=LENGTH

ip ip-prefix huawei index 20 permit 192.168.0.0 16 g 24 l 26   //前缀是192.168 ,掩码为24~26  192.168.1.0/24能匹配

ip ip-prefix huawei index 30 permit 192.168.0.0 24 g 24 l 26   // 192.168.1.0/24不匹配

ip ip-prefix huawei index 40 permit 192.168.1.0 24 g 25        // 192.168.1.0/24不匹配

ip ip-prefix huawei index 50 permit 192.168.1.0 24 l 32        // 192.168.1.0/24匹配

IP-Prefix List应用示例(1)

地址前缀列表即IP-Prefix List。可以通过地址前缀列表,将与所定义的前缀过滤列表相匹配的路由,根据定义的匹配模式进行过滤,以满足使用者的需要。

地址前缀列表即IP-Prefix List。可以通过地址前缀列表,将与所定义的前缀过滤列表相匹配的路由,根据定义的匹配模式进行过滤,以满足使用者的需要。

前缀列表的组成及匹配规则:

前缀过滤列表由IP地址和掩码组成,IP地址可以是网段地址或者主机地址,掩码长度的配置范围为0~32。

IP-Prefix List中的每一条IP-Prefix都有一个序列号index,匹配的时候将根据序列号从小到大进行匹配。

如果不配置IP-Prefix的index,那么对应的index在上次配置的同名IP-Prefix的index的基础上,以步长为10进行增长。

如果配置的IP-Prefix的名字与index都和已经配置了的一项IP-Prefix List的相同,仅仅只是匹配的内容不同,则该IP-Prefix List将覆盖原有的IP-Prefix List。

当所有前缀过滤列表均未匹配时,缺省情况下,存在最后一条默认匹配模式为deny。当引用的前缀过滤列表不存在时,则默认匹配模式为permit。


IP-Prefix List应用示例 (2)

0x02 Route-policy路由策略


Route-Policy工具介绍


Route-Policy是一种功能非常强大的路由策略工具,它可以灵活地与ACL、IP-Prefix List、As-Path-Filter等其它工具配合使用

Route-Policy由若干个node构成,node之间是“或”的关系。且每个node下可以有若干个if-mach和apply子句,if-match之间是“与”的关系

Route-Policy的每个node都有相应的permit模式或deny模式。如果是permit模式,则当路由项满足该node的所有if-match子句时,就被允许通过该node的过滤并执行该node的apply子句,且不再进入下一个node;如果路由项没有满足该node的所有if-match子句,则会进入下一个node继续进行过滤。如果是deny模式,则当路由项满足该node的所有if-match子句时,就被拒绝通过该node的过滤,这时apply子句不会被执行,并且不进入下一个node;否则就进入下一个node继续进行过滤。

Route-Policy应用示例

0x03 路由策略方式配置实现

路由策略方式配置实现 (1)

RTA还可以使用Route-Policy工具进行路由控制:

acl 2000

rule 0 permit source 10.1.1.0 0.0.0.255

rule 5 permit source 10.1.3.0 0.0.0.255

route-policy huawei-control permit node 10

if-match acl 2000

ospf 1

import-route direct route-policy huawei-control

路由策略方式配置实现查看

0x04 前缀列表实验练习

路由拓扑图

实验要求

1、在R2上引入这4条外部路由

2、在R1上使用filter-policy+前缀列表方式过滤

让192.168.0.0/16和192.168.0.0/30加表

让192.168.0.0/24~26不能加表

但是对于将来发布进来的其他路由默认加表

配置步骤

1、配置IP地址

2、宣告ospf 建立邻居

在AR1上

在AR2上

同上

查看邻居建立情况:

display ospf peer brief //用来查看建立OSPF邻居状态情况

3、在R2上写这五条静态路由做OSPF引入路由

4、前缀列表配置:

ip ip-prefix import index 10 deny 192.168.0.0 16 greater-equal 24 less-equal 26

//让192.168.0.0/24-26不能加表

ip ip-prefix import index 20 permit 192.168.0.0 16

//让192.168.0.0/16加表

ip ip-prefix import index 30 permit 192.168.0.0 30

//让192.168.0.0/30加表

ip ip-prefix import index 40 permit 0.0.0.0 0 less-equal 32

这条是兜底,因为前缀列表和ACL一样,对于路由策略的过滤时,都是默认拒绝所有 如果不写就只有定义的这些有规则 凡是没有匹配上的就拒绝了 最后放行所有

5、在OSPF挂接前缀列表配置

命令为:[AR1-ospf-1]filter-policy ip-prefix  import import

配置目的现象

使用:display ip routing-table protocol ospf 来查看OSPF的路由条目

此时可以看到需求已经满足,此时达到要求/16 /30加表了 24-26没加表全过滤掉了

0x05 留个谜底

此时再写一条:

ip route-static  192.168.1.0 24 NULL  0 能加表吗?

大家可以想一下留在评论区一起讨论

前缀列表和ACL一样,对于路由策略的过滤时,都是默认拒绝所有




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/8100.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: