1.路由匹配工具:訪問控制列表

• 訪問控制列表（Access Control List，ACL）是一個匹配工具，能夠對報文及路由進行匹配和區(qū)分。
• ACL由若干條permit或deny語句組成。每條語句就是該ACL的一條規(guī)則，每條語句中的permit或deny就是與這條規(guī)則相對應的處理動作。

（1）訪問控制列表（ACL）：

ACL分類：

創(chuàng)新互聯(lián)建站主營雙湖網(wǎng)站建設的網(wǎng)絡公司,主營網(wǎng)站建設方案,成都App制作,雙湖h5小程序開發(fā)搭建,雙湖網(wǎng)站營銷推廣歡迎雙湖等地區(qū)企業(yè)咨詢

ACL匹配順序：

配置順序：系統(tǒng)按照acl規(guī)則編號從小到大的順序進行報文匹配，

ACL的匹配機制

（2）IP前綴列表（IP-prefix list）：同時匹配IP地址前綴長度和掩碼長度

配置順序：系統(tǒng)按照序號從小到大的順序進行報文匹配

A. ip ip-prefix list index 10 permit/deny 192.168.1.1 24

匹配的IP地址192.168.1.0/24

B. ip ip-prefix list index 10 permit/deny 192.168.1.1 24 greater-equal（下限） 26 less-equal 30 匹配的IP地址192.168.1.0?掩碼處于26-30之間的路由都可以被匹配(測試時包括26和30)

C. ip ip-prefix list index 10 permit/deny 192.168.1.1 24 less-equal 30

匹配的IP地址192.168.1.0?掩碼范圍為24-30

D. ip ip-prefix list index 10 permit/deny 192.168.1.1 24 greater-equal 24

匹配的IP地址192.168.1.0 掩碼范圍為24-32 同上B項

（3）IP-Prefix的匹配機制

2.路由策略工具

（1）filter-policy（過濾-策略）對于接收、發(fā)布、引入的路由的路由進行過濾

在距離矢量路由協(xié)議中的應用（路由信息）：

import：接收路由時進行路由過濾

export：向外發(fā)布時進行路由過濾

在鏈路狀態(tài)路由協(xié)議中的應用（LSA信息）

import：在計算出最優(yōu)路由之后添加到路由表時進行過濾

export：過濾掉其他協(xié)議引入的路由

（2）route-policy：用于過濾路由信息，為過濾后的路由信息設置路由屬性

一個route-policy由一個或多個節(jié)點組成，節(jié)點包含if-math（條件語句）和apply（執(zhí)行語句）組成

（每個節(jié)點之間都是或的關系，節(jié)點中的條件語句，條件語句中的關系是與的關系）

（3）Route-Policy的組成

（4）Route-Policy的匹配順序

3.雙點雙向路由重分布

解決次優(yōu)路由

（1）過濾路由

（2）通過更改優(yōu)先級

環(huán)路問題

（1）過濾路由

（2）給路由打上tag標簽

路由引入與路由控制實驗

一、學習目標

• 實現(xiàn)在引入路由時調用Route-Policy進行路由過濾
• 實現(xiàn)使用Route-Policy設置路由標記以及過濾帶標記的路由
• 實現(xiàn)使用Filter-Policy對OSPF接收的路由進行過濾

二、實驗組網(wǎng)介紹

設備互聯(lián)方式、互聯(lián)地址如圖所示，

所有設備均創(chuàng)建Loopback0，其IP地址為10.0.x.x/32，其中x為設備編號 R1、R2、R3在互聯(lián)接口、Loopback0接口上激活OSPF。

R3、R4屬于IS-IS Area 49.0001，兩者都是Level-1路由器 R3、R4的系統(tǒng)ID采用0000.0000.000x格式，其中x為設備編號

R1上存在三個業(yè)務網(wǎng)段A、B、C（使用Loopback1、2、3接口路由模擬） 在R1上將直連路由引入到OSPF，但是OSPF域內的路由器上不需要C業(yè)務的路由，為此在R1上引入直連路由時通過Route-Policy過濾引入的路由。

R2上不需要A業(yè)務網(wǎng)段的路由 但是R3上需要A、B業(yè)務網(wǎng)段的路由，為此在R2上配置Filter-Policy對OSPF接收的路由進行過濾。

IS-IS域內的路由器需要訪問A業(yè)務，因此需要在R3上執(zhí)行路由重分發(fā)，將OSPF路由引入到IS-IS 但是IS-IS域內的路由器不需要訪問B業(yè)務，為此在R1上引入直連路由時為A、B業(yè)務網(wǎng)段路由打上不同的路由標記，R3上執(zhí)行重分發(fā)時根據(jù)路由標記過濾B業(yè)務網(wǎng)段路由。

三、任務思路

1. 設備基礎IP地址配置。

2. 配置R1、R2、R3之間的OSPF，在互聯(lián)接口、Loopback0接口上激活OSPF。在R3、R4之間配置IS-IS。

3. 在R1上將直連路由引入到OSPF中，同時配置路由策略不引入C業(yè)務網(wǎng)段的路由，將A、B業(yè)務網(wǎng)段路由分別打上路由標記10、20。

4. 在R2上配置Filter-Policy對接收的OSPF路由進行過濾，只接收B業(yè)務網(wǎng)段的路由。

5. 在R3上將OSPF路由引入到IS-IS中，通過Route-Policy匹配路由標記，只引入A業(yè)務網(wǎng)段的OSPF外部路由。

四、任務步驟

步驟1：互聯(lián)接口、環(huán)回口IP地址配置

#設備命名

略

#關閉本實驗中未使用的接口

略

配置R1的GE0/0/2、Loopback0接口IP地址

在R1上創(chuàng)建多個環(huán)回口，用于模擬業(yè)務網(wǎng)段A、B、C

配置R2的GE0/0/2、GE0/0/3、Loopback0接口IP地址

配置R3的GE0/0/2、GE0/0/3、Loopback0接口IP地址

配置R4的GE0/0/3、Loopback0接口IP地址

在R2R4上檢查IP地址連通性

步驟2：配置OSPF、IS-IS

R1、R2、R3使用Loopback0接口地址作為Router ID，在互聯(lián)接口、Loopback0接口上激活OSPF。

#配置R1

#配置R2

#配置R3

#在R2上檢查OSPF鄰居的概要信息

R1與R2、R2與R3之間已經(jīng)成功建立OSPF鄰居。

R3、R4上配置IS-IS，區(qū)域為49.0001，系統(tǒng)ID采用0000.0000.000x格式（x為設備編號），兩臺設備都為Level-1路由器，在互聯(lián)接口、R4的Loopback0接口上激活IS-IS。

#配置R3

• isis 1
• is-level level-1
• network-entity 49.0001.0000.0000.0003.00

#

• interface GigabitEthernet0/0/1
• ip address 10.0.34.3 255.255.255.0
• isis enable 1

#

#配置R4

• isis 1
• is-level level-1
• network-entity 49.0001.0000.0000.0004.00

#

• interface GigabitEthernet0/0/1
• ip address 10.0.34.4 255.255.255.0
• isis enable 1

#

• interface LoopBack0
• ip address 10.0.4.4 255.255.255.255
• isis enable 1

#在R3上檢查IS-IS鄰居狀態(tài)

步驟3： 步驟 1 在R1上引入直連路由

在R1上將直連路由引入到OSPF中，同時配置路由策略過濾C業(yè)務網(wǎng)段，將A、B業(yè)務網(wǎng)段路由分別打上路由標記10、20。

#創(chuàng)建IP前綴列表1，匹配Loopback1接口路由（A業(yè)務網(wǎng)段）

[AR1]ip ip-prefix 1 index 10 permit 172.16.1.0 24 greater-equal 24 less-equal 24

#創(chuàng)建IP前綴列表2，匹配Loopback2接口路由（B業(yè)務網(wǎng)段）

[AR1]ip ip-prefix 2 index 10 permit 172.16.2.0 24 greater-equal 24 less-equal 24

#創(chuàng)建Route-Policy hcip，并創(chuàng)建節(jié)點10、20，分別調用IP前綴列表1、2，打上路由標記

• [AR1]route-policy hcip permit node 10
• [AR1-route-policy] if-match ip-prefix 1
• [AR1-route-policy] apply tag 10
• [AR1-route-policy] quit

• [AR1]route-policy hcip permit node 20
• [AR1-route-policy] if-match ip-prefix 2
• [AR1-route-policy] apply tag 20
• [AR1-route-policy] quit

#在R1的OSPF中引入直連路由，調用Route-Policy hcip

• [AR1]ospf 1
• [AR1-ospf-1]import-route direct route-policy hcip
• [AR1-ospf-1]quit

#在R1上查看OSPF LSDB

Loopback1、2接口路由已經(jīng)被成功引入OSPF中。

#在R1上查看OSPF LSDB中AS-external LSA 172.16.1.0的相關信息

外部路由172.16.1.0/24已經(jīng)被打上Tag 10。

#在R1上查看OSPF LSDB中AS-external LSA 172.16.2.0的相關信息

外部路由172.16.2.0/24已經(jīng)被打上Tag 20。

步驟4：在R2上配置過濾策略

在R2上配置Filter-Policy對接收的OSPF路由進行過濾，只接收B業(yè)務網(wǎng)段的路由。

#查看配置Filter-Policy前的OSPF路由表

在OSPF路由表以及IP路由表中都可以看到OSPF外部路由172.16.1.0/24、172.16.2.0/24。

#配置基礎ACL

• [AR2]acl number 2000
• [AR2-acl-basic-2000] rule 5 deny source 172.16.1.0 0.0.0.255
• [AR2-acl-basic-2000] rule 10 permit

#在OSPF中部署入方向的Filter-Policy，調用ACL 2000

• [AR2]osfp 1
• [AR2-ospf-1]filter-policy acl-name 2000
• [AR2-ospf-1]quit

#查看配置Filter-Policy后的OSPF路由表

#查看配置Filter-Policy后的IP路由表中的OSPF路由

在IP路由表中路由172.16.2.0/24已經(jīng)不存在，但是在OSPF路由表中依舊存在。這驗證了對于OSPF，F(xiàn)ilter-Policy只是限制路由加入IP路由表，不影響本地的LSDB以及LSA的傳遞。

#在R3上查看IP路由表中的OSPF路由

R3的IP路由表中OSPF外部路由172.16.1.0/24、172.16.2.0/24依舊存在。

步驟5：在R3上將OSPF路由引入到IS-IS

在R3上將OSPF路由引入到IS-IS中，通過Route-Policy匹配路由標記，只引入A業(yè)務網(wǎng)段的OSPF外部路由。

#創(chuàng)建Route-Policy hcip

• [AR3]route-policy hcip permit node 10
• [AR3-route-policy] if-match tag 10
• [AR3-route-policy] quit

#在IS-IS中引入OSPF路由，調用Route-Policy hcip只引入A業(yè)務網(wǎng)段的OSPF外部路由

• [AR3]isis 1
• [AR3-isis-1] import-route ospf 1 level-1 route-policy hcip

#查看R3的IS-IS路由表

Level-1的路由重分發(fā)表中只有172.16.1.0/24。

五、思考題

在距離矢量路由協(xié)議、鏈路狀態(tài)路由協(xié)議中使用Filter-Policy有什么區(qū)別？

距離矢量協(xié)議是基于路由表生成路由的，F(xiàn)ilter-Policy會影響從鄰居接收的路由和向鄰居發(fā)布的路由，而鏈路狀態(tài)路由協(xié)議是基于LSDB來生成路由的，且路由信息隱藏在鏈路狀態(tài)LSA中,Filter-Policy不能對發(fā)布和接收的LSA進行過濾，故Filter-Policy不影響鏈路狀態(tài)通告或LSDB的完整性以及協(xié)議路由表，而只會影響本地路由表，且只有通過過濾的路由才被添加到路由表中，沒有通過過濾的路由不會被添加進路由表。

網(wǎng)頁題目：路由策略與路由控制
轉載來于：http://uogjgqi.cn/article/cdchhij.html