【每日一记10】第14天路由过滤

1，前缀列表

192.168.1.0/24  ----192.168.1.0 代表的是前缀    /24代表的是前缀长度

特点：

ACL只能够用来匹配前缀

前缀列表能用来匹配前缀和前缀长度

缺点：

只有匹配功能，没有过滤功能

ACL有过滤和匹配的功能，ACL过滤的是数据包，并非路由条目

ge  大于等于 greater equal

le   小于等于  less equal

2，分发列表

作用：用来过滤路由

配置：

①先写一个acl

access-list 1 deny   2.2.2.0 0.0.0.255  用来匹配路由

access-list 1 permit any

②用分发列表调用acl

router rip

distribute-list 1 in FastEthernet0/0   

解释：把从f0/0口学习来的rip路由根据ACL 1进行过滤，in代表的是方向

不让路由器从rip学习到2.2.2.0 的路由，其他路由都放进来。

是否过滤，是由acl决定的。

3，前缀列表的配置：

ip prefix-list ccnp permit 5.5.5.0/24 ge 32

匹配以5.5.5.0开头的主机地址，5.5.5.5/32  5.5.5.67/32都可以被匹配

ip prefix-list ccnp permit 5.5.5.5/32

只能匹配5.5.5.5/32的主机路由

4，前缀列表默认拒绝所有，所以你最后也要写一条，放过其他的路由，类似于ACL的per any

ip prefix-list ccnp permit 0.0.0.0/0 le 32

5，acl和prefix-list的区别

①acl可以匹配路由，可以过滤数据包，prefix只能匹配，没有过滤功能

②acl只能匹配前缀，prefix既能匹配前缀，又能匹配前缀长度

③acl没有seq，所以没法插入一条匹配规则，也没法删除其中的一条规则，所以，要想插入或者删除一条规则，只能把整个acl全部干掉，重新写。但是prefix可以实现。

④prefix只支持命名模式。

⑤acl还有一种命名模式的，它其实可以支持seq，

6，分发列表在重分布中的应用 ：

①用前缀列表匹配要过滤的路由

ip prefix-list ccnp seq 5 deny 33.3.3.0/24 ge 30

ip prefix-list ccnp seq 10 permit 0.0.0.0/0 le 32 ---前缀列表默认拒绝所有，用这条放过所有的路由，类似于acl中的per any

②把ospf重分布进eigrp的时候，调用分发列表，过滤掉前缀列表所匹配的路由

router eigrp 90

redistribute ospf 100 metric 10000 100 255 1 1500

distribute-list prefix ccnp out ospf 100  --这个方向一定是out，解释：把ospf重分布到eigrp的路由信息根据前缀列表ccnp进行过滤。

7，route-map--是一种强大的路由过滤，路由策略的工具

特点：

①自上而下匹配

②一旦在某个规则中匹配，将不在继续匹配后续规则

③每个规则都有序号seq，便于修改（删除或者添加），类似于前缀列表

④route-map是命名的，便于文档化

⑤存在match和set语句，类似于脚本语言中的if-then

⑥默认也是拒绝所有

⑦同一行的match语句，是“或”的关系，只匹配其中一个条件即可；不同行的match语句是“与”的关系，所有的条件必须全部匹配。

作用：

①重分布的时候可以过滤路由，比分发列表更为强大

②基于策略的路由

③应用于bgp，可以修改bgp的各种属性值

8，配置route-map的步骤：

①定义匹配的条件，即 match

②定义匹配的动作，即 set

③调用已配置的route-map----可在接口下调用，可在重分布时调用

9， 重分布时使用route-map过滤路由的步骤

①定义acl，用来匹配路由，定义哪些路由可以被过滤掉

②定义一个route-map用来匹配①中定义的acl

注：可以只有match语句，set语句可配可不配

③在重分布的时候调用route-map

配置：

①定义acl

access-list 1 permit 33.3.3.0 0.0.0.255

access-list 1 permit any

②定义route-map，调用acl

route-map ccnp permit 10

match ip address 1

route-map ccnp perimit 20 --写一条空route-map，放过其他没有匹配的路由，因为route-map默认也是拒绝所有，由于上面那个acl写了permit any，所以，这里可以不写。

③重分布时调用route-map

router eigrp 90

redistribute ospf 100 metric 10000 100 255 1 1500 route-map ccnp

10，重分布的时候set metric

access-list 2 permit 11.1.1.0 0.0.0.255

route-map ccie permit 10

match ip address 2

set metric 30

set metric-type type-1

注：用route-map ccie 去调用acl 2，并把acl 2 匹配到的路由metric改为 30，类型改为1

11，用route-map调用acl的时候，acl只能是permit，可以用route-map的deny行为

12，策略路由：

当某个接口配置了策略路由之后，这个接口再收到ip数据包，会根据策略进行转发，而不再去查路由表

前提：在没有配置策略的情况下，用R1的环回口去ping R3的环回口，路径 R1-R2-R3，

配置完策略路由之后，路径为 R1-R2-R4-R3

R2的配置：

①定义源地址，只有是1.1.1.1 发来的数据包发挥使用策略

access-list 4 permit 1.1.1.1

②定义route-map，把acl匹配的源地址，下一跳改为24.1.1.2

route-map ccna permit 10

match ip address 4

set ip next-hop 24.1.1.2

③在入接口去调用route-map

interface FastEthernet0/0

ip policy route-map ccna

配置前的trace路径：

配置完策略之后的trace 路径：

注：策略路由针对的也是数据包，并非去过滤路由表，路由表还是正常的

13，用route-map过滤路由防止环路

R3的配置：

route-map rip2ospf deny 10

match tag 200

route-map rip2ospf permit 20

set tag 100

route-map ospf2rip deny 10

match tag 100

route-map ospf2rip permit 20

set tag 200

router ospf 100

redistribute rip subnets route-map rip2ospf

router rip

redistribute ospf 100 metric 1 route-map ospf2rip

R4的配置：

route-map ospf2rip deny 10

match tag 100

route-map ospf2rip permit 20

set tag 200

route-map rip2ospf deny 10

match tag 200

route-map rip2ospf permit 20

set tag 100

router ospf 100

redistribute rip subnets route-map rip2ospf

router rip

redistribute ospf 100 metric 10 route-map ospf2rip

感谢分享，学习一下~

感谢分享，学习一下~

非常好的实践教程，谢谢分享

打卡学习，感谢大佬分享！

感谢分享

多谢楼主的技术贴的分享，很详细

多谢楼主分享故障排查办法，学习了。

希望有更多这样的干货供我们学习参考

楼主分享的案例很实用，具有典型性