路由控制工具

路由控制工具RouteTools


1.ACL

  1. 控制流量
  2. 匹配感兴趣流
//该方式仅做添加
 access-list 1 permit 192.168.1.1 0.0.0.0 抓路由
 access-list 1 permit 192.168.1.2
 access-list 1 permit 192.168.1.3
 access-list 1 permit 192.168.1.0 0.0.0.255 抓流量
 do show access-list 显示acl
 do show ip access

 ip access-list standard 1 进入编辑模式,可修改删除指定条目
 no 10 表示删除某条序号10的acl

ACL标准和扩展
标准:只匹配源IP
扩展:能匹配源、目的Ip、端口号

ACL抓取路由只能抓网络号,无法匹配掩码;

2.prefix-list:前缀列表,仅限于精确抓取目标路由

ip prefix-list name permit/deny 192.168.1.0/24
不写ge或le,表示使用前面写的掩码进行匹配;
ge为greater equal,大于等于的意思。le为lower equal,小于等于的意思。
若添加le表示允许最大前缀长度,le 30表示掩码长度最大到30;
ge表示最小前缀长度,ge 24 表示掩码长度最小从24开始,大于等于24;

conf t
ip prefix-list A per 192.168.1.0/24 le 25   //抓取24~25段路由
ip prefix-list A per 192.168.1.0/25
distribute-list prefix A in f0/0

ip prefix-list A per 192.168.1.0/24 le 30   //抓取24到30
ip prefix-list A per 192.168.1.0/24 ge 28   //抓取28到32
ip prefix-list A per 192.168.1.0/24 ge 26 le 30 //抓取26到30

//除了192.168.1.0/30路由不获取,其他都允许
ip prefix-list A deny 192.168.1.0/30
ip prefix-list CCNP permit 0.0.0.0/0 le 32  //允许所有路由

//一些示例
ip prefix-list CCNP permit 0.0.0.0/0        //只允许默认路由
ip prefix-list CCNP permit 0.0.0.0/0 le 32  //允许所有路由
ip prefix-list CCNP permit 0.0.0.0/0 ge 32  //只允许主机路由
ip prefix-list CCNP permit 10.0.0.8 ge 24 le 24 //允许第一个8位等于10的任何路由,子网掩码长度为24位。10.0.1.0/23抓不到,10.0.1.0/24抓到;

3.Offset-list:偏移列表(在距离矢量路由协议中,对路由的metric进行增大,可以rip/eigrp,但无法ospf)

access-list 1 permit 1.1.1.0   //抓取1.1.1.0路由
offset-list 1 in 2 f0/0        //从f0/0收到ACL 1中的路由时,将metric增大2
//如果调用的ACL不存在,则默认对所有路由产生效果

4.Distribute-list:分发列表(选择部分路由接收或发出)

  1. 当接收路由时将某些路由不加表,或发出路由时隐藏某路由

    //接收端处理拒绝某路由,采用prefix-list
    ip prefix-list deny1.0 deny 1.1.1.0/24
    ip prefix-list deny1.0 permit 0.0.0.0/0 le 32
    distribute-list prefix deny1.0 in f0/0
    clear ip route *
    
    //发送端处理拒绝某路由,采用access-list
    access-list 1 deny 1.1.1.0
    access-list 1 per any
    distribute-list 1 out f0/0
  2. 距离矢量路由协议rip/eigrp中,不管是in或out,同样有效,并且会影响下游设备;在链路状态协议ospf中,只有in方向有效并且不会对下游设备产生影响(因为链路状态路由协议传递的是LSA链路状态广播,不是路由),out方向无法使用(除非本地始发的外部路由)。
    分发列表作用位置:从拓扑表到路由表的中间,

  3. filter-list:过滤列表(在OSPF的ABR上过滤3类LSA)

    ip prefix-list deny11 deny 11.11.11.0/24
    ip prefix-list deny11 per 0.0.0.0/0 le 32
    area 0 filter-list prefix deny11 in

5.Route-map:路由策略

  1. match:匹配需要操作目标

    • 逻辑上是or:在x、y、z中任何一个匹配即匹配中
    match ip add x y z
    • 逻辑上是and:需要在x,y,z中都匹配才会匹配
    match ip add x
    match ip add y
    match ip add z
  2. set:设置目标属性
    路由的metric,metric-type,next-hop

  3. 细节
    不写match表示匹配所有
    不写set表示不做操作

  4. 示例

    route-map RED per 10
    match ip add 1
    set metric-type type-1
    exit
    
    route-map RED per 20
    match ip add prefix-list per11
    set metric 30
    exit
    
    route-map RED per 30  //表示放行所有其他未匹配项;如果采用deny,一般不添加set,因为匹配后拒绝,设置也无用;
    
    show route-map      //查看route-map
    
    redistribute connected subnets route-map RED
    clear ip

6.PBR:策略路由(先于路由表指示数据包的走向)

  • 使用route-map配置(route-map怎么写就怎么写)

    access-list 100 per ip ho 3.3.3.3 ho 2.2.2.2
    access-list 101 per ip ho 33.33.33.33 ho 22.22.22.22
    
    route-map PBR permit 10
    match ip address 100
    set interface f0/0     //数据流出第一个接口
    
    route-map PBR permit 20
    match ip address 101
    set interface f0/1     //数据流出第二个接口
    
    int f1/0               //这个是数据流入的接口方向
    ip policy route-map PBR

      以上策略路由配置方式只适用穿越路由器流量,对本地流量无效;

  • 全局配置模式下:ip local policy route-map PBR!对本地产生流量也生效。

  • PBR中没有匹配的流量采用默认的转发方式;

7.Passive-interface:被动接口(干掉接口中发出的路由协议数据包)

  • 意义:省资源,安全不暴露内部协议;
  • RIP中:只收路由不发路由; 因为不需要建邻居,就可获路由信息;
  • EIGRP和OSPF中:不收路由不发路由; 因为必须建邻居,才会用路由信息。

    router ei 1
    passive-interface f1/0
    passive-interface default
    no passive-interface f0/0
    //默认被动所有接口,但开启某几个接口

8.AD:修改默认管理距离

管理距离

distance administrative distance [addresss wildcard-mask [access-list-number| name]]

//修改所有协议默认管理距离,除了EIGRP和BGP
distance 100 201

router eigrp internal-distance external-distance //EIGRP

router eigrp 1
distance eigrp 100 201
show ip protocols       //查看协议信息

发表评论

邮箱地址不会被公开。 必填项已用*标注