路由过滤/控制的常用工具:
1、访问控制列表ACL(Access-List):
其开发本意不是用于路由的控制,而是用于数据包的过滤;
在路由过滤中此方法比较繁琐落后,实际应用中并不推荐;
2、前缀列表(Prefix-List):
本身就是为控制路由而设计的专业工具,先进的,推荐的;
3、Route-Map:
高级综合操作工具,可以实现多种功能,可以应用于路由控制。
路由过滤的基本方法:
分布列表(Distribute-List):
1.通过Distribute-List可以调用Access-List实现路由过滤
2.通过Distribute-List可以调用Prefix-List实现路由过滤
按路由过滤级别分类
1.接口级别过滤
实现基于接口级别的过滤(只可在DV协议中实现,LS协议因为泛洪无法实现);
2.协议级别的控制
是在路由协议的重分布中实现的重分布时的路由过滤。
LAB7:对用户数据包的过滤
在R3上,对从本机S1进入路由器的
访问目标网络是13.0.0.0/24的数据包,进行过滤/DENY
step1.通过ACL列表,定义需要进行过滤的数据包
r3#Access-list 3 deny 15.1.0.0 0.0.255.255
Access-list 3 permit 5.0.0.0 0.255.255.255(可省略)
Access-list 3 permit any
step2.
r3#int s1
ip access-group 3 in
LAB8:在DV协议(RIP/EIGRP)中,实现基于接口的路由过滤:
8-1:Distribute-list调用ACL,比较落后:
step1:通过ACL,定义所需要过滤的路由:
r3#access-list 11 deny 10.0.0.0(这里的deny跟数据包过滤是一样的意思,都是拒绝的意思)
access-list 11 permit any(这里的permit跟数据包过滤是一样的意思,都是允许的意思)
step2:在DV协议路由进程中,使用distribute-list 调用ACL 11
R3(config)#router eigrp 90
R3(config-router)#distribute-list 11 out serial 1
IP access list number in Filter incoming routing updates
out Filter outgoing routing updates
clear ip route *
8-2:Distribute-list调用前缀列表,比较先进
(用RIP举例,也可用于EIGRP)ACL的缺陷,无法定义路由的长度
Step1:使用prefix-list定义所需要过滤的路由:(SEQ5为首,预留空间方便编辑)
R3(config)#ip prefix-list R-5 seq 5 deny 20.0.0.0/24
R3(config)#ip prefix-list R-5 seq 10 permit 0.0.0.0/0 le 32
(any)
Step2:在EIGRP进程中,使用distribute-list,调用Prefix-list,进行基于接口级别的过滤:
R3(config)#router rip
distribute-list prefix R-5 in serial 1(调用了整个R-10的访问列表,往下匹配)
distribute-list(可以调用访问列表,也可以调用前缀列表!!)
out方向的控制:
只在路由出口方向进行控制,影响路由下游方向的路由器,而不影响本路由器.
In方向的控制:
在路由器的入口方向进行控制,直接影响到本路由器.
LAB09:前缀列表的详细描述
prefix-list的语法
15.5.0.0/A ge B le C
(make sure:len < ge-value <= le-value)
A B C
记得清路由表clear ip route
例子1
如果A/B/C
15.5.0.0/16 ge 20 le 30
表示:15.5.*.*(前16位相同)
而且满足路由长度是大于等于/20,小于等于/30的所有路由
例子2
如果只有A/B,没有C
15.5.0.0/16 ge 20 (le 32)默认的
表示:15.5.*.*前16位相同,而且满足路由长度是大于等于/20,小于等于/32的所有路由
例子3
如果只有A/C
15.5.0.0/16 (ge 16) le 30
表示:15.5.*.*前16位相同,而且满足路由长度大于等于16,小于等于30的所有路由
例子4
如果只有A
15.5.0.0/16 (ge 16)(le 16)
表示:15.5.*.*相同,满足路由长度是16位的路由
例子5
0.0.0.0/0 le 32=any
例子6
0.0.0.0/0 =默认路由0.0.0.0
LAB10:在路由协议之间的重分布中,实现路由重分布时的基于协议的路由过滤:
在OSPF和RIP之间做双向重分布:
R1(config)#router ospf 110
R1(config-router)#redistribute rip subnets
R1(config)#router rip
R1(config-router)#redistribute ospf 110 metric 1
10-1:通过ACL,实现路由控制:
Step1:通过ACL,定义所需要控制的路由:
R1(config)#access-list 5 deny 15.5.16.0
R1(config)#access-list 5 permit any
Step2:在OSPF进程中:
R1(config)#router ospf 110
R1(config)#distribute-list 5 out rip (理解成rip out)
Filter networks in routing updates IP access list number in Filter incoming routing updates
out Filter outgoing routing updates
意思是:禁止把rip中的15.5.16.0路由重分布到OSPF里面,也就是说除了R1之外,其它的ospf的路由器都没有15.5.16.0的路由!!!!
10-2:通过prefix-list ,实现路由控制:
Step1:通过Prefix-list,定义所需要控制的路由:
R1(config)#ip prefix-list xxx seq 5 deny 12.0.0.0/24
ip prifix-list xxx seq 10 deny 141.0.0.0/24
ip prifix-list xxx seq 15 permit 0.0.0.0/0 le 32
Step2:
R1(config)#router rip
R1(config-router )#distribute-list prefix xxx out ospf 110
调用一个空的,不存在的prefix-list,相当是permit any:
R1(config-router)#distribute-list prefix xxx out ospf 110
0 - O小心字符相同
1 - l
prefix-list 命名,都是大小写敏感的:
R1(config-router)#distribute-list prefix XXX out ospf 110
route-map
route-map的特征:
1.route-map 由一组statements/声明,所组成,
每句声明中,可能包含了Match,set语句.
每句statements有个编号,10/20/30...............
路由器就按照statements的编号,按自小到大(自上而下)顺序执行.
2.
match commands specify criteria to be matched
一旦匹配/符合特定某些条件(match语句)
set commands modify matching routes.
就立刻执行由set所定义的参数/操作,并且离开route-map.(而不再往下执行)
3:
the first match found for a route is applied.
once there is a match, leave the route map.
路由器在向下检查匹配条件时,不断地与每个statements中的匹配条件进行比较,
如果不匹配,则向下继续检查下一个statements;
如果匹配,则按照set所定义的参数,进行操作,然后立刻离开route-map
(即使下面还有statements没有进行匹配检查,也不往下检查了)
4:route-map 的逻辑关系:
in the same line uses a logical OR(水平方向:或关系)
vertical match uses a logical AND (垂直方向:与关系)
5:在route-map中:
如果没有match,表示:match any (上面statements剩余的any)
如果没有set,表示: set nothing !!(保留其原始的默认值)
LAB11:通过route-map,实现路由协议之间的路由过滤/控制:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Step1:通过前缀列表定义所需控制的路由:(通过ACL也可以,但比较落后)
R1(config)#ip prefix-list R-15 permit 15.0.0.0/8
R1(config)#ip prefix-list R-25 permit 25.5.0.0/16
R1(config)#ip prefix-list R-35 permit 35.0.0.0/24
注意:这里的permit是表示:"匹配",而不是"允许".
Step2:创建用于重分布的路由控制的route-map:
R1(config)#route-map RP-SPF permit 10(permit:允许)
R1(config)#match ip address prefix-list R-15 R-25
R1(config-route-map)#set metric 100
R1(config-route-map)#set metric-type type-1
R1(config)#route-map RP-SPF deny 20 (deny 不允许重分布)
R1(config-router-map)#match ip address prefix-list R-35 没有Set:Set nothing!)
R1(config)#router-map RP-SPF permit 30
step3:在重分布的协议进程中,调用route-map RP-SPF:
R1(config)#router ospf 110
R1(config-rouiter)#redistribute rip route-map RP-SPF subnets
Step 4 :如果没有最后的这句空的route-map,将有什么效果?
R1(config)#route-map RP-SPF permit 30
剩余的部分路由,都将被Deny.
Step5:在调用时出错:
router ospf 110
redistribute rip route-map RP-SP subnets
空的route-map,意味着deny any.