全部博文(1015)
分类:
2010-07-29 22:45:12
|
一)、ACL相关 做路由条目的策略,我们方法很多。普通的一种办法可以用ACL,但是我们建议不要用序列号的,而用命名规则的,这样的好处是:可以修改,灵活、利于应用检测及排错。 那么如何对各种路由条目做到最精确的匹配呢?举例如下来总结规律: 子网:199.99.0.0/24 199.99.00000000.0/24 acce 1 per 199.99.00000000.0 0.0.00000011.0 换算后为199.99.0.0 0.0.3.0 再看子网:199.99.0.0/24 199.99.00000000.0/24 acc 1 per 199.99.00000000.0 0.0.00010011.0 换算后为 199.99.0.0 0.0.19.0 我们观察是否满足,可以看后面所掩的段内有几位置1,有3位,2^3=8,正好符合上面8条数目。 此规则理解为:所有网段条目,将二进制格式内观察,前段标识写的格式为相同的位挪下来,不同的位置为0;后段标识写的格式为相同的位挪下来,不同的位置为1,将其不同的位置掩起来以确需要匹配。 按照如此规则,我们写奇数子网路由条目或偶数子网路由条目均可迎刃而解。 例子199.99.0.0/24的所有网络中,奇数子网和偶数子网的写法: 奇数:acce 1 per 199.99.00000001.0 0.0.11111110.0 换算后为199.99.1.0 0.0.254.0 偶数:acce 1 per 199.99.00000000.0 0.0.11111110.0 换算后为199.99.0.0 0.0.254.0 二)、前缀路由 但是通过ACL的标准写法或命名写法有的时候都会漏掉一部分子网,所以我们建议用前缀列表来写 前缀列表:ip prefix-list aaa permit 199.99.0.0/24 ge 25 le 32 此格式:ip prefix-list {name} [permit|deny] 如例子含义:完全匹配199.99.0.0前面24位网络位,而且子网掩码也要精确匹配24位掩码; 如果加上后面的ge和le来定义,那么含义因此改变,精确匹配199.99.0.0前面24位网络位,而且子网掩码匹配范围25位-32位的所有子网掩码。 但是有的情况前缀列表一样会漏掉子网,例如199.99.0.0/25 那么199.99.0.128/25就漏掉了。值得注意。 想写permit any如何写呢?格式为:ip prefix-list test permit 0.0.0.0/0 le 32 三)、route-map 关于route-map,应用范围广泛,其格式写法基本三部曲, 1,先写acces 1 per 199.99.0.0 0.0.0.255 这里需要必须用per,因为是route-map所匹配的 2,写route-map {name}[ permit | deny ] seq ,route-map test permit 10 3,最后调用,如redistribute rip route-map test 如上是应用在路由重分布,进入匹配项match相关的,才进行set所设置的操做。 下来说明下route-map的PBR应用与重分布的区别: 2,route-map PBR permit 10 3,应用在数据包入向接口:int s 0/0; ip policy route-map PBR 这里对数据的影响区别于对路由条目的影响:对路由条目的重分布,如没有被匹配,将全部执行默认deny语句;而对数据的PBR过滤,如没有被匹配,将全部按照默认的路由条目去路由数据包,而非执行默认deny语句将所有数据包drop掉。 ※过滤处理顺序 1.match ip address 匹配的是目的网络号地址 |
