路由控制工具RouteTools
1.ACL
- 控制流量
- 匹配感兴趣流
|
1 2 3 4 5 6 7 8 9 10 |
//该方式仅做添加 access-list 1 permit 192.168.1.1 0.0.0.0 抓路由 access-list 1 permit 192.168.1.2 access-list 1 permit 192.168.1.3 access-list 1 permit 192.168.1.0 0.0.0.255 抓流量 do show access-list 显示acl do show ip access ip access-list standard 1 进入编辑模式,可修改删除指定条目 no 10 表示删除某条序号10的acl |
ACL标准和扩展
标准:只匹配源IP
扩展:能匹配源、目的Ip、端口号
ACL抓取路由只能抓网络号,无法匹配掩码;
2.prefix-list:前缀列表,仅限于精确抓取目标路由
ip prefix-list name permit/deny 192.168.1.0/24
不写ge或le,表示使用前面写的掩码进行匹配;
ge为greater equal,大于等于的意思。le为lower equal,小于等于的意思。
若添加le表示允许最大前缀长度,le 30表示掩码长度最大到30;
ge表示最小前缀长度,ge 24 表示掩码长度最小从24开始,大于等于24;
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
conf t ip prefix-list A per 192.168.1.0/24 le 25 //抓取24~25段路由 ip prefix-list A per 192.168.1.0/25 distribute-list prefix A in f0/0 ip prefix-list A per 192.168.1.0/24 le 30 //抓取24到30 ip prefix-list A per 192.168.1.0/24 ge 28 //抓取28到32 ip prefix-list A per 192.168.1.0/24 ge 26 le 30 //抓取26到30 //除了192.168.1.0/30路由不获取,其他都允许 ip prefix-list A deny 192.168.1.0/30 ip prefix-list CCNP permit 0.0.0.0/0 le 32 //允许所有路由 //一些示例 ip prefix-list CCNP permit 0.0.0.0/0 //只允许默认路由 ip prefix-list CCNP permit 0.0.0.0/0 le 32 //允许所有路由 ip prefix-list CCNP permit 0.0.0.0/0 ge 32 //只允许主机路由 ip prefix-list CCNP permit 10.0.0.8 ge 24 le 24 //允许第一个8位等于10的任何路由,子网掩码长度为24位。10.0.1.0/23抓不到,10.0.1.0/24抓到; |
3.Offset-list:偏移列表(在距离矢量路由协议中,对路由的metric进行增大,可以rip/eigrp,但无法ospf)
|
1 2 3 |
access-list 1 permit 1.1.1.0 //抓取1.1.1.0路由 offset-list 1 in 2 f0/0 //从f0/0收到ACL 1中的路由时,将metric增大2 //如果调用的ACL不存在,则默认对所有路由产生效果 |
4.Distribute-list:分发列表(选择部分路由接收或发出)
-
当接收路由时将某些路由不加表,或发出路由时隐藏某路由
12345678910//接收端处理拒绝某路由,采用prefix-listip prefix-list deny1.0 deny 1.1.1.0/24ip prefix-list deny1.0 permit 0.0.0.0/0 le 32distribute-list prefix deny1.0 in f0/0clear ip route *//发送端处理拒绝某路由,采用access-listaccess-list 1 deny 1.1.1.0access-list 1 per anydistribute-list 1 out f0/0 -
当距离矢量路由协议rip/eigrp中,不管是in或out,同样有效,并且会影响下游设备;在链路状态协议ospf中,只有in方向有效并且不会对下游设备产生影响(因为链路状态路由协议传递的是LSA链路状态广播,不是路由),out方向无法使用(除非本地始发的外部路由)。
分发列表作用位置:从拓扑表到路由表的中间, -
filter-list:过滤列表(在OSPF的ABR上过滤3类LSA)
123ip prefix-list deny11 deny 11.11.11.0/24ip prefix-list deny11 per 0.0.0.0/0 le 32area 0 filter-list prefix deny11 in
5.Route-map:路由策略
-
match:匹配需要操作目标
- 逻辑上是or:在x、y、z中任何一个匹配即匹配中
1match ip add x y z- 逻辑上是and:需要在x,y,z中都匹配才会匹配
123match ip add xmatch ip add ymatch ip add z -
set:设置目标属性
路由的metric,metric-type,next-hop -
细节
不写match表示匹配所有
不写set表示不做操作 -
示例
12345678910111213141516route-map RED per 10match ip add 1set metric-type type-1exitroute-map RED per 20match ip add prefix-list per11set metric 30exitroute-map RED per 30 //表示放行所有其他未匹配项;如果采用deny,一般不添加set,因为匹配后拒绝,设置也无用;show route-map //查看route-mapredistribute connected subnets route-map REDclear ip
6.PBR:策略路由(先于路由表指示数据包的走向)
-
使用route-map配置(route-map怎么写就怎么写)
12345678910111213access-list 100 per ip ho 3.3.3.3 ho 2.2.2.2access-list 101 per ip ho 33.33.33.33 ho 22.22.22.22route-map PBR permit 10match ip address 100set interface f0/0 //数据流出第一个接口route-map PBR permit 20match ip address 101set interface f0/1 //数据流出第二个接口int f1/0 //这个是数据流入的接口方向ip policy route-map PBR以上策略路由配置方式只适用穿越路由器流量,对本地流量无效;
-
全局配置模式下:
ip local policy route-map PBR!对本地产生流量也生效。 -
PBR中没有匹配的流量采用默认的转发方式;
7.Passive-interface:被动接口(干掉接口中发出的路由协议数据包)
- 意义:省资源,安全不暴露内部协议;
- RIP中:只收路由不发路由; 因为不需要建邻居,就可获路由信息;
-
EIGRP和OSPF中:不收路由不发路由; 因为必须建邻居,才会用路由信息。
12router ei 1passive-interface f1/0123passive-interface defaultno passive-interface f0/0//默认被动所有接口,但开启某几个接口
8.AD:修改默认管理距离
distance administrative distance [addresss wildcard-mask [access-list-number| name]]
|
1 2 |
//修改所有协议默认管理距离,除了EIGRP和BGP distance 100 201 |
router eigrp internal-distance external-distance //EIGRP
|
1 2 3 |
router eigrp 1 distance eigrp 100 201 show ip protocols //查看协议信息 |
微信赞赏
支付宝赞赏