路由策略与策略路由讲述.ppt

* 通过几种ROUTE-MAP的组合帮助理解ROUTE-MAP的执行原则。 route-map　redistribute的sequence　10语句是deny，则只要是匹配ACL1的路由条目执行设置metric值操作，ACL匹配的条目为除了1.1.1.1以外所有的路由，所以这些路由不允许发布。 不匹配ACL1的条目也就是1.1.1.1接着匹配sequence 20的语句，该语句的MATCH为空，表示匹配所有条目，语句的动作为permit，所以1.1.1.1可以被发布。 * 访问控制列表是最常用的用于设置匹配条件的方法。访问控制列表access-list分为标准访问控制列表和扩展访问控制列表两种。 标准访问控制列表的语法如下： access-list access-list-number {deny | permit} source [source-wildcard] 扩展访问控制列表的语法如下： access-list access-list-number {permit | deny} protocol source source-wildcard [source port] destination destination-wildcard [destination port] 标准访问控制列表只能以源IP作为匹配要素，而扩展访问控制列表可以以协议类型、源IP、目的IP、源端口、目的端口作为匹配要素，所以扩展访问控制列表作为匹配条件时更加精确。 作为路由策略的匹配方法，访问控制列表往往不单独使用。我们通常使用访问控制列表作为route-map中match语句的匹配条件。如下配置： access-list 10 permit 130.81.103.0 0.0.0.255 route-map source-ip permit 10 match ip address 10 //满足ACL10定义的条件的网段的metric设置为100。 set metric 100 该配置中就是以ACL作为route-map的匹配条件。 * 在作为路由信息的判别条件时，前缀列表prefix-list的作用和access-list的作用是类似的。由于access-list的命令采用的是包过滤的格式，而prefix-list的匹配对象为路由信息的目的地址信息域，因此大多数人习惯使用prefix-list作为路由信息的判别条件。 如果需要删除prefix-list的话，全局配置模式下在prefix-list前加“no”，命令如下：no ip prefix-list prefix-list name。 语法中的prefix-list name表示前缀列表的名称，可以任取。一个prefix-list可以分为几个部分，由sequence-number确定这几个部分的匹配顺序，sequence-number值小的部分优先测试。 permit表示所定义的地址前缀列表部分的匹配模式为允许模式。如果匹配模式为允许模式并且待过滤的IP地址在该部分指定的前缀范围内时，则通过该部分的过滤，如待过滤的IP地址不在该部分指定的前缀范围内，则进行下一部分测试。 deny表示所定义的地址前缀列表部分的匹配模式为拒绝模式。如果匹配模式为拒绝模式并且待过滤的IP地址在该部分指定的前缀范围内时，则无法通过该部分的过滤，并且不会进行下一个部分的测试。 network length表示指定IP地址前缀范围（网络地址/掩码长度）。 ge、le表示指定匹配的地址前缀范围[ge，le ]。ge表示大于，le表示小于，取值范围为length ge le = 32。 思考一下： 10.1.3.0/9由于掩码为9位，不满足GE15 LE16的要求，不符合 10.1.4.0/15符合 通常使用前缀列表作为route-map中match语句的匹配条件。如下配置： ip prefix-list test permit 130.81.103.0 24 route-map source-ip permit 10 match ip address prefix-list test //满足prefix-list test定义的条件的网段的metric设置为100。 set metric 100 * 使用as-path access-list作为定义路由策略的方法仅适用于BGP协议。路由信息中，包含自治系统路径字段。在BGP协议路由信息交互时候，路由信息经过的自治系统路径会记录在此字段中。假设200.126.0.0/16是由AS100始发的路由，AS500通过AS200学习到此路由，那么在AS500中看到的这段路由的AS路径应该是（200，1