路由策略
访问控制:1.acl控制——通过控制流量,起到控制作用。2.路由控制
注意:ACL在做报文过滤时,默认允许所有;在做路由抓取时,默认拒绝所有,且只能使用基本ACL。
路由控制
1、路由策略:是指通过部署策略、工具、方法,对路由条目进行控制。这个策略可以影响到路由是否加表、如何选路、属性修改等等。
条件工具:(抓取工具)使用该工具,将我们需要修改的路由条目抓取出来。//ACL,前缀列表
调用工具:用于把抓取出来的流量进行策略部署,使其对路由条目产生需要的影响(修改),比如:是否加表、如何选路、属性修改
//filter-policy import-route
策略工具:对于某些需要修改路由属性的条目,需要使用策略工具对其进行匹配和修改。//route-policy
2、ACL:
2.1 ACL即可以用于过滤数据报文,又可以过滤路由条目。
a.在三层接口上,使用traffic-policy命令结合ACL,针对该接口收、发的数据报文进行过滤,此时可以使用基本ACL或高级ACL,针对不同的参数(比如源IP,目的IP,源端口,目的端口,协议等)进行过滤。
b.在路由协议当中,ACL作为路由抓取工具,可以对路由条目执行过滤,此时ACL只能使用基本ACL对路由进行匹配。
c.当ACL过滤数据报文时,会默认放行所有;当ACL过滤路由条目时,会默认拒绝所有。
2.2 rule 5 deny source 192.168.1.0 0.0.0.0
a.子网掩码:1表示精确匹配,0表示随机匹配,1和0不能交叉,由连续的1和连续的0组成。
b.反掩码:1表示随机匹配,0表示精确匹配,1和0不能交叉,由连续的0和连续的1组成。
c.通配符:一般通配符会用在ACL当中。1表示随机匹配,0表示精确匹配,1和0可以交叉。
d.ACL在过滤路由时的缺点:ACL用于过滤路由时只能过滤路由前缀,无法过滤路由掩码。因此,如果发生前缀相同,但掩码长度不一致时,将会出现错误。
比如:对于192.168.1.0/24和192.168.1.0/25,这两条路由所涵盖的目的网络是完全不同的,如果使用ACL进行过滤,会出现错误。因此,在过滤路由条目时,很少使用ACL这个工具,一般会使用前缀列表!!!
-------------------------------
注意:
RIP路由协议是距离矢量,在使用filter-policy做过滤的时候,是针对路由条目的接收和路由条目的发送做过滤。
OSPF路由协议是链路状态,在使用filter-policy做过滤的时候,是无法针对LSA进行控制的,因为在某些情况下会无效。
-------------------------------
===========================
