关于路由策略:
在控制层面抓取流量后,对流量进行修改,之后影响路由器路由表的生成,最终干涉选路;
【1】抓控制层面流量:
① ACL —设计用于干涉数据层面流量,兼用抓取控制层面流量–不能精确匹配;
注:只能抓取网络号,不能精确匹配;
eg:有两条路由:192.168.1.0/24 192.168.1.0/128,网络号一致,但只能抓取到192.168.1.0/24
1、访问控制-----在路由器上流量进或出的接口上规则流量;
2、定义感兴趣流量 —为其他的策略取匹配流量
访问控制:定义ACL列表后,将列表调用于路由器的接口上,当流量通过接口时,进行匹配,匹配成功后按照设定好的动作进行处理即可-----动作–允许、拒绝
匹配规则:至上而下逐一匹配,上条匹配按上条执行,不再查看下条;末尾隐含拒绝所有;
分类:1、标准ACL–仅关注数据包中的源ip地址
2、扩展ACL–关注数据包中源、目标ip地址、目标端口号、协议号
写法:编号写法 1-99 标准 100-199 扩展 删除一条整表消失
命名写法 一个名字一张列表 可以随意删除某条,
配置:
标准ACL—编号:由于标准ACL仅关注数据包中的源ip地址,调用时尽量的靠近目标,避免误删;
Router(config)#access-list 1 deny host 192.168.4.2 拒绝单一设备
Router(config)#access-list 1 deny 192.168.4.0 0.0.0.255 拒绝范围
Router(config)#access-list 1 deny any 拒绝所有
Router(config)#access-list 1 deny host 192.168.4.2
Router(config)#access-list 1 permit any
Router(config)#interface fastEthernet 0/1
Router(config-subif)#ip access-group 1 out
命名写法:
Router(config)#ip access-list standard a
Router(config-std-nacl)#deny host 192.168.4.2
Router(config-std-nacl)#permit any
Router(config-std-nacl)#exit
默认+10生成序列号,便于删除和插入
Router(config)#ip access-list standard a
Router(config-std-nacl)#15 deny host 1.1.1.1
Router(config-std-nacl)#no 15
扩展ACL配置:扩展ACL关注数据包中的源、目标ip地址,故调用时应该尽量的靠近源,但不能在源上,因为ACL不能限制本地产生的流量;
r1(config)#access-list 100 deny ip host 192.168.4.2 host 192.168.1.2
源 目标
r1(config)#access-list 100 deny ip 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255 范围
r1(config)#access-list 100 permit ip any any
r1(config)#interface fastEthernet 0/0
r1(config-if)#ip access-group 100 in
r1(config)#access-list 100 deny ip host 192.168.4.2 host 192.168.1.2
r1(config)#access-list 100 permit ip any any
r1(config)#interface fastEthernet 0/0
**加粗样式**r1(config-if)#ip access-group 100 in
关注目标端口号:
ICMP–ping 跨层封装协议,不存在端口号
Telnet–远程登录 基于TCP目标23号端口
设备开启远程登录
r1(config)#username ccna privilege 15 secret cisco
r1(config)#line vty 0 4
r1(config-line)#login local
规则一个设备到另一个设备的目标端口
r1(config)#access-list 101 deny tcp host 1.1.1.1 host 2.2.2.2 eq 23
远程登录被拒绝
r1(config)#access-list 101 permit ip any any
r1(config)#access-list 102 deny icmp host 1.1.1.1 host 2.2.2.2 拒绝ping
r1(config)#access-list 102 permit ip any any
(可以为所有的路由策略服务;)
②前缀列表 — 专用于抓取控制层面的网络号;为分发列表和route-map服务
r2(config)#ip prefix-list a permit 2.2.2.0/25 掩码为25;
r2(config)#ip prefix-list a permit 3.3.3.0/24 le 30 掩码范围24-30
r2(config)#ip prefix-list a permit 4.4.4.0/24 ge 30 掩码范围30-32
r2(config)#ip prefix-list a permit 5.5.5.0/24 ge 25 le 30 掩码范围25-30
规则:len < ge-value<= le-value
建议的理解方式:ge即为大于,le即为小于;
匹配规则:至上而下逐一匹配,上条匹配按上条执行,不再查看下条;末尾隐含拒绝所有;
r2(config)#ip prefix-list a permit 0.0.0.0/0 le 32 允许所有
可以逐条删除,也可以使用序列号插入条目
r2(config)#ip prefix-list a seq 11 deny 1.1.1.0/24
默认序号+5递增
【2】策略:
1)偏移列表-----仅适用于DV(RIP/EIGRP)协议,在控制层面流量的入或出口上抓取路由条目,增大度量值,可以叠加;只能使用ACL为其服务;
&控制层面:是针对路由协议而言,路由器通过IGP协议学习路由形成路由表即是控制层面;
&数据层面:是针对发送数据而言,控制层面构建路由表,为数据层面发送数据的提供服务,即没有控制层面形成路由表,数据层面无任何意义。
2)分发列表–在控制层面流量的入或出接口上,限制路由条目的传递;
{1}抓流量—ACL或者前缀列表均可
r2(config)#ip prefix-list zh deny 4.4.4.0/24
r2(config)#ip prefix-list zh permit 0.0.0.0/0 le 32
{2}定制策略
r2(config)#router rip
r2(config-router)#distribute-list prefix zh out s1
前缀列表 方向 接口
r2(config-router)#distribute-list zh out s1/0
ACL 方向 接口
注:若在OSPF协议中使用分发列表,只能入向调用,不能出向调用;
还可以在重发布进行时,直接限制条目的发布规则;不在接口上操作,而是在流量从A协议缓存进入B协议时就限制;
r3(config)#router rip
r3(config-router)#distribute-list prefix qq out ospf 1
从OSPF1发出的路由进入RIP时生效;—将OSPF发布到RIP时生效
3)Route-map 可以对控制层面流量进行大量的行为;
在重发布、BGP选路、PBR(策略路由)三部分大量应用
{1}抓流量 ----ACL和前缀列表均可
r2(config)#access-list 1 permit 1.1.2.0
r2(config)#access-list 2 permit 1.1.3.0
r2(config)#ip prefix-list x permit 1.1.4.0/24
r2(config)#ip prefix-list y permit 12.1.1.0/24
{2}定制route-map
r2(config)#route-map a deny 10 创建a列表,大动作拒绝,序号10
r2(config-route-map)#match ip address 1 匹配ACL列表1;
r2(config-route-map)#exit
r2(config)#route-map a permit 20 a列表的序号20,大动作允许
r2(config-route-map)#match ip address 2 匹配ACL列表2
r2(config-route-map)#set metric-type type-1 小动作为类型修改为1;
r2(config-route-map)#exit
r2(config)#route-map a permit 30
r2(config-route-map)#match ip address prefix-list x 匹配前缀列表x
r2(config-route-map)#set metric 10
r2(config-route-map)#exit
r2(config)#route-map a permit 40
r2(config-route-map)#match ip address prefix-list y
r2(config-route-map)#set metric-type type-1
r2(config-route-map)#set metric 50
r2(config-route-map)#exit
r2(config)#route-map a permit 50 空表用于允许所有
r2(config-route-map)#exit
{3}在重发布时调用
r2(config)#router ospf 1
r2(config-router)#redistribute rip subnets route-map a
Route-map配置指南:
1、在创建route-map时,若不配置大动作,动作为允许;不配置序号,那么序号永远为10;故从第二条开始必须配置序号;
r2(config)#route-map ccie
r2(config-route-map)#
2、在抓取流量时,使用允许,在route-map中来拒绝流量
3、匹配规则—从上往下逐一匹配,上条匹配按上条执行,不再查看下条,末尾隐含拒绝所有
4、不匹配及匹配所有,不执行及不做任何小动作,仅按大动作执行;故大动作为允许的空表,标示允许所有
5、存在或 or 与 and 关系
route-map ccnp permit 10
match ip address 1 2 3 或关系
set metric 10
set metric-type type-1 与关系
set origin egp 2
注:当匹配的流量中出现任何一个,对其执行所有小动作;
6、在一个序号中,匹配流量只能匹配一种抓取流量的协议,ACL或者前缀列表;
来源:CSDN
作者:zh昂
链接:https://blog.csdn.net/weixin_43349527/article/details/84870140