Cisco路由中详细的过滤命令

核心提示:(1)路线图特征:路线图与访问列表相似,不同之处在于路线图可以改变数据包/路线的某些属性:…

(1)路线图

特点:

路线图与访问列表相似,不同之处在于路由图可以改变数据包/路由的某些属性。

使用:

路由图主要用于实现再分配、策略路由和BGP。

实现:

策略路由将数据包发送到路由映射以实现策略路由转发。

重新分配将路由路由到路由映射以实现路由条过滤。

配置描述:

如果没有指定动作和序列号属性,则路由映射默认为:

行动:许可证

序列号:10

序列号不会自动增加。

也就是说,如果使用路由映射语句时没有指定序号,则序列号的默认项为10。

路由图拒绝动作:

再分配:特定的路由项不会重新分配。

策略路由:特定的数据包不会被策略路由,但正常的路由表条目将被转发。

案例研究:策略路由

注意:(1)策略路由只影响流量。

(2)标准扩展ACL。可以使用

(3)全局配置IP本地策略路由图意义上可以对包应用策略路由。路由器本身发送

标准访问控制列表



串行接口0

IP地址172.16.5.1 255.255.255.0

IP策略路由图意义



访问列表1允许172.16.6.0 0.0.0.255

访问列表2允许172.16.7.0 0.0.0.255



路线图感知许可证10

匹配IP地址1

下一跳的设置172.16.4.2



路线图感知许可证20

匹配IP地址2

下一跳的设置172.16.4.3

扩展访问控制列表



以太网接口0

IP地址172.16.1.4 255.255.255.0

IP策略路由图意义



访问列表允许TCP 105码0.0.0.255情商FTP任何

访问列表105允许TCP 0.0.0.255情商FTP数据码

访问列表允许TCP 106码0.0.0.255情商telnet任何



路线图感知许可证10

匹配IP地址105

下一跳的设置172.16.2.1



路线图感知许可证20

匹配IP地址106

下一跳的设置172.16.3.1

分组长度



以太网接口

IP地址172.16.1.4 255.255.255.0

IP策略路由图意义



路线图感知许可证10

匹配长度10001600

下一跳的设置172.16.2.1



路线图感知许可证20

匹配长度0400

下一跳的设置172.16.3.1

路由器的数据包



以太网接口

IP地址172.16.1.4 255.255.255.0

IP策略路由图意义



IP本地策略路由图意义



访问列表120允许任何IP码0.0.0.255

访问列表120允许OSPF任何



路线图感知许可证10

匹配IP地址120



路线图感知许可证20

匹配长度10001600

Set IP next-hop 172.16.2.1



路线图感知许可证30

匹配长度0400

下一跳的设置172.16.3.1



注意:如果没有第一条路由图条目,路由器本身的包和OSPF的包将被转发到错误的地址,因为后两个路由图语句。

案例研究:策略路由和服务质量路由

策略路由结合了IP包头的优先级和服务类型来实现基于QoS的策略路由。

注意:优先级和服务条款的配置可以同时使用数字字段和关键字。



设置IP优先级

类似

比特数关键词

0000例行

0011优先

0102立即

0113闪光

1004闪存重写

1015关键

1106互联网

1117网络

类似

设置IP TOS

类似

比特数关键词

00000正常

00011分钟货币成本

00102最大的可靠性

01004最大吞吐量

10008分钟的延迟

类似

路由器

IP地址10.1.18.67 255.255.255.252

IP策略路由图意义



串口1接口配置

IP地址10.34.16.83.255.255.255.252

IP策略路由图意义



访问列表1允许172.16.0.0 0.0.255.255

访问列表110允许TCP任何均衡器>


路线图感知许可证10

匹配IP地址1110

设置IP优先级



路线图感知许可证20

设置IP地址10

设置IP优先级

案例研究:路径标记

使用:

识别双向再分配的特定域的路由,以防止路由重新分配回原点域。

方案的使用:

通知的路由条目,当重新分配的边缘路由器,添加标记标识符的路由条目。它作为传输网络的域,不需要使用和标识标签。它只需要把它传递给外部网络。

路由协议相关:

支持:RIPv2,EIGRP,OSPF,IS-IS,BGP

不支持:RIPv1、IGRP

数据包格式:

RIPv2:支持16位小数:0 ~标签65535

EIGRP外部路由TLVs:32位标签支持小数:0 ~ 4294967295

OSPF的LSA类型5:支持十进制位标签:0 ~ 4294967295

配置实例:



路由器的OSPF 1

分配IGRP 1公吨10个子网标签1

重新分配RIP度量10个子网路由图意义

网络10.100.200.1 0.0.0.0区域0



路由器RIP

网络10.0.0.0



IGRP路由器1

网络10.0.0.0



访问列表1允许10.1.2.3

访问列表2允许10.1.2.4



路线图感知许可证10

匹配IP路由源1

设置标签2



路线图感知许可证20

匹配IP路由源2

设置标签3

(二)分发清单

的作用:

控制路由条的分布和路由的重新分布。

构建路由防火墙

关于路由协议:P >

距离向量路由协议:路由过滤可以控制其通知/接收路由项和重新分配路由项。

链路状态路由协议:路由过滤只能在再分配中控制路由条目。

注:ls路由协议的基本要求是在一个区域内所有路由器的链路状态数据库必须是一致的,因此,如果路由过滤能过滤ls路由的通告,则违反了的规范。



案例研究:过滤特定路线



路由器RIP

2版

网络192.168.75.0

在serial1分发列表1



IP classless

Access 1允许0.0.0.0

案例研究:路线过滤和再分配

注:

分布式列表命令用于链路状态路由协议:

结合接口:参数只能使用

结合路由过程:只能使用out参数。

两种方案具有相同的效果,该方案与接口相结合,有效地抑制了路径反馈。当该方案与路由过程相结合以抑制路由反馈时,相应的路由条目在过滤时已经路由表,因此失败。

与接口的连接



Router OSPF 25

重新分配RIP度量100

网络172.16.1.254 0.0.0.0区域25

网络172.16.8.254 0.0.0.0区域25

网络172.16.50.254 0.0.0.0区域25

在以太网/ 0分发列表3

在以太网/ 1分发列表3

在以太网/ 2分发列表3



路由器RIP

重新分配OSPF 25度量5

被动接口Ethernet0 / 0

被动接口Ethernet0 / 1

被动接口Ethernet0 / 2

网络192.16.0.0

在以太网/ 3分发列表1

在ethernet2 / 0分发列表1

在ethernet2.1分配变成1



IP classless

访问列表1允许172.16.128.0 0.0.127.255

访问列表3许可证172.16.0.0 0.0.127.255

结合路由过程:



Router OSPF 25

重新分配RIP度量100

网络172.16.1.254 0.0.0.0区域25

网络172.16.8.254 0.0.0.0区域25

网络172.16.50.254 0.0.0.0区域25

分发清单10



路由器RIP

重新分配OSPF 25度量5

被动接口Ethernet0 / 3

被动接口ethernet2 / 0

被动接口ethernet2 / 1

网络172.16.0.0

分发名单20 OSPF 25



IP classless

访问列表10允许172.16.130.0

访问列表10允许172.16.145.0

访问列表10允许172.16.240.0

访问列表20允许172.16.23.0

访问列表20允许172.16.9.0

访问列表20允许172.16.75.0

(三)前缀列表

功能:

路由,用于过滤特定路由协议的分布,主要用于BGP。

特点:

与ACL相比,它具有较强的灵活性,在掩码匹配中也更容易理解。

案例研究:标准语法

IP前缀列表{列表名称列表号} {号码}拒绝网络/长度许可证网络/长度

无IP前缀列表{列表名称列表号} }号码拒绝网络/长度许可证网络长度/长度

注:

IP前缀列表使用最长匹配规则。

如果未指定序列号,默认值为5,每个附加项自动增加5。

也就是说,如果你将第一个条目编号为2,那么不指定序列号的下一个自动编号将变成7。

命令行函数的自动增加可以取消命令:没有IP前缀列表序列号。

长度<长度> <长度> 32

IP前缀列表不能与路由图的匹配IP下一个语句一起使用;它只与匹配的IP地址语句一起使用。

案例研究:IP前缀列表描述

Syntax:



IP前缀列表列表名称描述文本

案例研究:配置示例

路由器3

不同步

邻居172.16.1.2远程3

邻居172.16.20.1远程1

邻居172.16.29.1前缀列表1

没有自动汇总



1 IP前缀列表SEQ 5否认192.68.10.0 / 24

IP前缀列表1以下10证0.0.0.0 / 32



(四)IP AS-PATH访问列表

功能:

过滤器分布路由条目的BGP通过BGP AS-PATH属性。

案例研究:句法

IP访问列表ACL数量允许否认AS-PATH regexp

没有IP访问列表ACL数量AS-PATH

注意:ACL号的值为0~500。

案例研究:配置指南

过滤所有私有路由更新

IP访问列表1(_64 AS-PATH否认{ } { } { 6-9 0-9 0-9 _65 { } { } _ 0-9 0-9 } { } _ 0-9)

IP访问列表1允许AS-PATH。

应用实例



路由器3

不同步

邻居172.16.1.2远程3

邻居172.16.20.1远程1

neighbro 172.16.20.1筛选器列表1

没有自动汇总



IP访问列表^ AS-PATH许可1美元

(五)执行上述过滤命令的顺序:

入境

路由图>筛选器列表>前缀列表,分发列表

出境

前缀列表,路线图分布列表>筛选器列表>

前缀列表,分布式列表用于在同一时间使用一个邻居中的一个。

总结:

事实上,这些过滤命令并不太难,关键是过滤思想。

它们都很灵活,很好用,会有很大的效果;不好用,可能会有负面影响。

因此,在配置这些过滤器命令时,我们应该仔细考虑一下,每一个过滤器都需要考虑当安把它放入现有网络时会带来什么样的效用,这样它就不会等到它被放在路由器上了,才能熟悉过滤漏洞,以免造成安全隐患。