路由控制工具RouteTools
1.ACL
- 控制流量
- 匹配感兴趣流
//该方式仅做添加
access-list 1 permit 192.168.1.1 0.0.0.0 抓路由
access-list 1 permit 192.168.1.2
access-list 1 permit 192.168.1.3
access-list 1 permit 192.168.1.0 0.0.0.255 抓流量
do show access-list 显示acl
do show ip access
ip access-list standard 1 进入编辑模式,可修改删除指定条目
no 10 表示删除某条序号10的aclACL标准和扩展
标准:只匹配源IP
扩展:能匹配源、目的Ip、端口号
ACL抓取路由只能抓网络号,无法匹配掩码;
2.prefix-list:前缀列表,仅限于精确抓取目标路由
ip prefix-list name permit/deny 192.168.1.0/24
不写ge或le,表示使用前面写的掩码进行匹配;
ge为greater equal,大于等于的意思。le为lower equal,小于等于的意思。
若添加le表示允许最大前缀长度,le 30表示掩码长度最大到30;
ge表示最小前缀长度,ge 24 表示掩码长度最小从24开始,大于等于24;
conf t
ip prefix-list A per 192.168.1.0/24 le 25 //抓取24~25段路由
ip prefix-list A per 192.168.1.0/25
distribute-list prefix A in f0/0
ip prefix-list A per 192.168.1.0/24 le 30 //抓取24到30
ip prefix-list A per 192.168.1.0/24 ge 28 //抓取28到32
ip prefix-list A per 192.168.1.0/24 ge 26 le 30 //抓取26到30
//除了192.168.1.0/30路由不获取,其他都允许
ip prefix-list A deny 192.168.1.0/30
ip prefix-list CCNP permit 0.0.0.0/0 le 32 //允许所有路由
//一些示例
ip prefix-list CCNP permit 0.0.0.0/0 //只允许默认路由
ip prefix-list CCNP permit 0.0.0.0/0 le 32 //允许所有路由
ip prefix-list CCNP permit 0.0.0.0/0 ge 32 //只允许主机路由
ip prefix-list CCNP permit 10.0.0.8 ge 24 le 24 //允许第一个8位等于10的任何路由,子网掩码长度为24位。10.0.1.0/23抓不到,10.0.1.0/24抓到;3.Offset-list:偏移列表(在距离矢量路由协议中,对路由的metric进行增大,可以rip/eigrp,但无法ospf)
access-list 1 permit 1.1.1.0 //抓取1.1.1.0路由
offset-list 1 in 2 f0/0 //从f0/0收到ACL 1中的路由时,将metric增大2
//如果调用的ACL不存在,则默认对所有路由产生效果4.Distribute-list:分发列表(选择部分路由接收或发出)
-
当接收路由时将某些路由不加表,或发出路由时隐藏某路由
//接收端处理拒绝某路由,采用prefix-list ip prefix-list deny1.0 deny 1.1.1.0/24 ip prefix-list deny1.0 permit 0.0.0.0/0 le 32 distribute-list prefix deny1.0 in f0/0 clear ip route * //发送端处理拒绝某路由,采用access-list access-list 1 deny 1.1.1.0 access-list 1 per any distribute-list 1 out f0/0 -
当距离矢量路由协议rip/eigrp中,不管是in或out,同样有效,并且会影响下游设备;在链路状态协议ospf中,只有in方向有效并且不会对下游设备产生影响(因为链路状态路由协议传递的是LSA链路状态广播,不是路由),out方向无法使用(除非本地始发的外部路由)。
分发列表作用位置:从拓扑表到路由表的中间, -
filter-list:过滤列表(在OSPF的ABR上过滤3类LSA)
ip prefix-list deny11 deny 11.11.11.0/24 ip prefix-list deny11 per 0.0.0.0/0 le 32 area 0 filter-list prefix deny11 in
5.Route-map:路由策略
-
match:匹配需要操作目标
- 逻辑上是or:在x、y、z中任何一个匹配即匹配中
match ip add x y z- 逻辑上是and:需要在x,y,z中都匹配才会匹配
match ip add x match ip add y match ip add z -
set:设置目标属性
路由的metric,metric-type,next-hop -
细节
不写match表示匹配所有
不写set表示不做操作 -
示例
route-map RED per 10 match ip add 1 set metric-type type-1 exit route-map RED per 20 match ip add prefix-list per11 set metric 30 exit route-map RED per 30 //表示放行所有其他未匹配项;如果采用deny,一般不添加set,因为匹配后拒绝,设置也无用; show route-map //查看route-map redistribute connected subnets route-map RED clear ip
6.PBR:策略路由(先于路由表指示数据包的走向)
-
使用route-map配置(route-map怎么写就怎么写)
access-list 100 per ip ho 3.3.3.3 ho 2.2.2.2 access-list 101 per ip ho 33.33.33.33 ho 22.22.22.22 route-map PBR permit 10 match ip address 100 set interface f0/0 //数据流出第一个接口 route-map PBR permit 20 match ip address 101 set interface f0/1 //数据流出第二个接口 int f1/0 //这个是数据流入的接口方向 ip policy route-map PBR以上策略路由配置方式只适用穿越路由器流量,对本地流量无效;
-
全局配置模式下:
ip local policy route-map PBR!对本地产生流量也生效。 -
PBR中没有匹配的流量采用默认的转发方式;
7.Passive-interface:被动接口(干掉接口中发出的路由协议数据包)
- 意义:省资源,安全不暴露内部协议;
- RIP中:只收路由不发路由; 因为不需要建邻居,就可获路由信息;
-
EIGRP和OSPF中:不收路由不发路由; 因为必须建邻居,才会用路由信息。
router ei 1 passive-interface f1/0passive-interface default no passive-interface f0/0 //默认被动所有接口,但开启某几个接口
8.AD:修改默认管理距离
distance administrative distance [addresss wildcard-mask [access-list-number| name]]
//修改所有协议默认管理距离,除了EIGRP和BGP
distance 100 201router eigrp internal-distance external-distance //EIGRP
router eigrp 1
distance eigrp 100 201
show ip protocols //查看协议信息