路由控制

路由过滤

过滤路由协议报文：静默接口；包过滤防火墙

路由过滤点：

1. 传播过滤

2. 安装过滤

3. 引入过滤

匹配路由的工具

ACL

基本ACL：只能匹配路由信息的网络号

acl number 2000
 rule permit source 192.168.1.0 0.0.0.255

匹配192.168.1.X/Y这样的路由，如192.168.1.0/24，192.168.1.0/25，192.168.1.4/30

acl number 2000
  rule permit source 192.168.1.0 0.0.0.0

匹配192.168.1.0/Y这样的路由，如192.168.1.0/24、192.168.1.0/25、192.168.1.0/30

扩展ACL：可以同时匹配路由信息的网络号和掩码

acl number 3000
  rule permit ip source 192.168.1.0 0.0.0.255 destination 255.255.255.0 0.0.0.255

匹配192.168.1.X/24~32，如192.168.1.0/24、192.168.1.100/32等

acl number 3000
  rule permit ip source 192.168.1.0 0.0.0.0 destination 255.255.255.0 0.0.0.0

匹配192.168.1.0/24这一条路由

前缀列表

可以同时匹配路由信息网络号和掩码

ip ip-prefix wo permit 192.168.1.0 24 great-equal 24 less-equal 30

匹配192.168.1.X/24~30，如192.168.1.0/24、192.168.1.128/25

ip ip-prefix wo permit 192.168.1.0 24 great-equal 24

匹配192.168.1.X/24~32，仅省略less-equal，等同于省略less-equal 32。

ip ip-prefix wo permit 192.168.1.0 24 less-equal 30

匹配192.168.1.X/24~30，仅省略great-equal，等同于省略great-equal 24。

ip ip-prefix wo permit 192.168.1.0 24

只匹配192.168.1.0/24这一条路由，同时省略great-equal和less-equal，等同于省略great-equal24和less-equal 24。

ip ip-prefix wo permit 0.0.0.0 0 less-equal 32

匹配所有路由

ip ip-prefix wo permit 0.0.0.0 0

匹配0.0.0.0/0（缺省路由）

传播过滤/安装过滤

工具：filter-policy

注意：filter-policy的操作对象是路由条目，不是LSA！！！！

• RIP既可以做传播过滤，也可以做安装过滤

• OSPF/ISIS不能做传播过滤，只能做安装过滤，且安装过滤效果只对本设备有效。

引入过滤

router-policy：可以做路由过滤，也可以修改路由属性

语法：

route-policy xxx permit/deny node 10
  if-match xxx
  apply xxx

• 注意：
• 1. 节点内没有if-match语句则表示所有路由都可以命中当前节点
  2. apply可以不写
  3. route-policy默认对没有匹配路由执行deny动作。
• 注意：
• 1. 当ACL/前缀列表为filter-policy服务时，ACL/前缀列表中的permit/deny直接表示是否过滤路由。（因为filter-policy没有自带的permit/deny）
  2. 当ACL/前缀列表为route-policy服务时，ACL/前缀列表中的permit/deny仅表示是否匹配路由，route-policy中的permit/deny表示是否过滤路由。（因为route-policy有自带的permit/deny）

路由引入

• 将A协议进程在路由表内的Active路由引入进B协议进程的协议路由表或LSDB当中。

策略路由和路由策略对比

• 路由策略：位于控制平面，操作对象是路由信息，直接影响路由表的内容，间接影响IP包的转发结果。
• 策略路由：位于转发平面，操作对象是IP数据包，不影响路由表的内容，直接影响IP数据包的转发结果。结果。