思科路由过滤知识

 在IGP网络中,对路由进行过滤的方法:
 1.passive-interface (被动接口)
 2.access-list(访问控制列表)
 3.distribute-list (发布控制列表)
 4.prefix-list(前缀控制列表)
 5.route-map (路由映射图)

1.passive-interface(被动接口)
 在距离矢量型的路由协议(RIP,IGRP)中,passive-interface只接收路由更新,不发送路由更新。
 在链路状态型,混合型的路由协议(OSPF,ISIS,EIGRP)中,passive-interface抑制hello包的发送,不建邻居。既不接收路由,也不发送路由。
 配置:
 (config-router)#passive-interface <type number>
 或者:
 (config-router)#passive-interface default
 (config-router)#no passive-int <type-number>
 
2.access-list(访问控制列表)
  访问控制列表可以用来过滤路由。
  (config)#access-list 110 deny tcp any eq 520 any eq 520
  (config)#access-list 110 deny ospf any any
  (config)#access-list 110 deny eigrp any any
  (config-if)#ip access-list 110 out
 
3.distribute-list(发布控制列表)
 在距离矢量型的路由协议(RIP,IGRP)中,distribute-list用来过滤路由。(交换的是路由)在链路状态型,混合型的路由协议中,
 distribute-list只能用来影响路由在路由表中的显示,不影响LSP的交换,并且只能设置在in方向,不能设置在out方向。
 
 配置: 
  (config)#access-list 10 permit 172.16.0.0 0.0.255.255
  (config-router)#distribute-list {<access-list-number>/prefix <prefix-list-name>}{in/out}{type-number}
 
4.Prefix-List(前缀控制列表)
  基于子网掩码的长度对路由进行过滤,可以实现对路由的精确控制。
 a)创建prefix-list:
 #ip prefix-list <list-name> [seq <seq-value>] {permit/deny} network/length [ge <ge-value>]
  [le <le-value>]

 [seq <seq-number>]设置前缀控制列表的序号(可选项)缺省从5开始,以5递增。
 [length]  表示匹配的子网掩码的长度。
 [ge <ge-value>],[le <le-value>]表示允许通过的子网掩码的位数。
 如果只有[ge <ge-value>],表示允许通的子网掩码的长度为 ge-value ≤x≥32。
 如果只有[le <le-value>],表示允许通过的子网掩码的长度为length ≤x≥le-value。
 如果[ge <ge-value>],[le <le-value>]同时使用,
 表示允许通过的子网掩码的长度为ge-value≤x≥le-value。
 b)调用prefix-list:
 可以在route-map或者distribute-list中调用。
 #route-map cisco permit 10
 #match ip address prefix-list <prefix-list-number>
 #router rip
 #distribute-list prefix <prefix-list-number>
 注意隐含拒绝
 (ip prefix-list xxx deny 0.0.0.0/0 ge 0 le 32)
 

5.route-map(路由映射图)
  route-map可以应用于PBR,也可以应用于redistribution.
 
 1)应用于PBR。
   当route-map应用于PBR时,用来强制对用户的数据包进行选路。
   所有与route-map不匹配的数据包,按照正常路径转发。
   a)创建route-map:
   route-map x permit 10
   match ip address a b c
   match ip address d e
   set interface s0
   route-map x permit 20
   set interface s1
 
   if
   {match a or b or c} and {match d or e}
   set interface s0
else
   if
   {match any}
   set interface s1
   match 代表条件,set代表行为.
   在PBR中可用的match命令:
   match ip address
   match length
   在PBR中可用的set命令:
   set ip next-hop
   set ip default next-hop
   set interface
   set default interface
   set ip precedence
   set ip tos
   b)应用到接口:
   (config-if)#ip policy route-map cisco
   放在用户数据包进入的接口。
   2)应用于redistribution.
   当route-map应用于redistribution时,用来过滤路由。
   所有与route-map不匹配的路由,deny。
   route-map x permit 10
   match ip address
 
 
 
1.通过distance来
 
影响路由器的选路:
 
                                          10.0.0.0/8  
                                              |
                                              |
                                             RA
                                            /  \
                                           /    \
                                          /      \
                                         /        \
                                        /          \    ospf
                             --------  RB          RC --------
                                       |            |   eigrp
                                       |____________|
 
     需求:考虑到冗余,要求在正常情况下,RC通过RB到网络10.0.0.0/8,
          只有当RA与RB之间的链路DOWN掉后,RC才通过RA到网络10.0.0.0/8。
         解决方案,在RB上做再发布,将10.0.0.0/8的路由再发布进EIGRP,此时,RC通过OSPF学到了网络10.0.0.0/8,
         RC还通过EIGRP学到了网络10.0.0.0/8,在正常情况下,RC将选择通过RA到网络10.0.0.0/8,因为通过OSPF到网络         10.0.0.0/8的AD为110,通过EIGRP到网络10.0.0.0/8的AD为170。
         为了让RC优选通过RB的路径到网络10.0.0.0/8,可以在RC上调整通过EIGRP学来的网络10.0.0.0/8的AD。
 
         RB:
         router eigrp 1
         redistribute ospf 1 metric 10000 1000 255 1 1500

         RC:
         access-list 10 permit 10.0.0.0 0.255.255.255
         router eigrp 1
         distance 105 0.0.0.0 255.255.255.255 10
         (从任意路由器学来的与访问表10相匹配的路由,把AD调整为105)                            
 
2.通过route tag来优化网络:
  route-tag 可以用来为路由打标,然后可以基于这个tag来实施策略。
  只有OSPF,EIGRP,ISIS支持路由tag.(打标的路由只能在OSPF,EIGRP,ISIS网络中传递)
 

 
                    172.16.10.0/24---                                        
                                     \                                        /
                              RIPA    \                                      /   RIPB
                                       \                                    /                                 
                                       RA--------------OSPF---------------RB
                                       /                                    \
                             IGRPA    /                                      \   IGRPB
                                     /                                        \
                    172.16.20.0/24---
              
                      
     需求:
          RA,RB是ISP的边界路由器,RA上连接有两个网络,RIPA,IGRPA。
          RB上也连接有两个网络,RIPB,IGRPB。
          RA与RB之间运行OSPF,
          要求:
          RA上RIPA网络的路由,通过OSPF,被再注入进RB所连的RIPB网络。
          RA上IGRPA网络的路由,通过OSPF,被再注入进RB所连的IGRPB网络。
 
     分析:
         可以在RA上将RIP和IGRP再发布进OSPF,同时为RIPA路由和IGRPA路由设置不同的tag,当路由被从RB再发布进RIPB,IGRPB
         时,可以基于tag,让RIPA再发布进RIPB,让IGRPA再发布进IGRPB。
  
     解决:
         RA:
         router ospf 1
         redistribute rip metric-type 1 metric 100 subnets route-map send-tag
         route-map set-tag permit 10
         match ip address prefix-list RIPA
         set tag 1
         route-map set-tag permit 20
         match ip address prefix-list IGRPA
         set tag 2
         ip prefix-list RIPA permit 172.16.10.0/24
         ip prefix-list IGRPA permit 172.16.20.0/24
 
         RB:
         router rip
         redistribute ospf 1 metric 10 route-map receive-tag1
       
         route-map receive-tag1 permit 10
         match tag 1
       
         router igrp 1
         redistribute ospf 1 metric 10000 1000 255 1 1500 route-map receive-tag2
      
         route-map receive-tag2 permit 10
         match tag 2

 

你可能感兴趣的:(路由优化)