Route-Policy、Filter-Policy、ip-prefix
工具类型
调用工具——过滤策略、路由引入(调用工具可以调用策略工具和条件工具)
策略工具——路由策略(策略工具可以调用条件工具)
条件工具——前缀列表、A C L
路由筛选工具有两个一个route-policy,另一个是filter-policy,首先路由策略一般用在路由重分布当中,而过滤策略一般使用在路由间的消息传递之间,比如我要限制其他路由器传播路由信息到本机路由器上,又或是限制本机路由器传播路由信息到其他的路由器上。
路由策略(Route-Policy)
Route—policy(路由策略):既能够匹配路由信息,也能够对路由的某些属性做出修改。
应用场景:
常用于路由引入时进行过滤或者对路由的属性进行修改。
BGP协议实施策略最主要的工具。
可以作为filter-policy的匹配条件。
Route-Policy配置命令:
route-policy [route-policy-name] {permit|deny} node [node]
if-match [匹配条件] acl 、ip-prefix…
apply [执行动作] cost、tag、preference…
Route-Policy的组成部分:
名字(route-policy-name):用于标识唯一的一个route—policy。
匹配模式(permit|deny):
permit:当路由匹配permit的节点,将会被允许,并且将会执行apply语句。
deny:当路由匹配deny的节点,将会被拒绝,不执行apply语句。
节点号:一个route-policy由多个节点号进行组成,每个节点叫做一个node,配置route-policy的时候 必须携带节点号,执行策略的时候按照节点号大小,从小到大依次进行。
匹配语句:if—match,用于定义一些条件,满足条件即代表匹配。一个node中可以定义多个if—match语句,多个if—match语句之间是逻辑“与”的关系,代表都需要满足;一个node里也可以不配置if—match语句,如果不匹配,则代表匹配所有。
执行语句:apply用于执行某个动作,设备按照apply语句的动作对路由信息进行修改,一个node可以存在多个apply语句,如果存在多个,则都执行修改,也可以不存在apply语句,如果不存在apply语句,只代表匹配,而不修改属性。
@多个node之间是逻辑“或”的关系,即路由匹配那个node,就会执行该node的apply动作。
@顺序匹配:当路由满足多个node的时候,按照node号从小到大依次进行匹配。
@唯一匹配:当路由匹配一个node之后,不会向下再次匹配。
@默认拒绝;当路由不满足任何node之后,将会被拒绝。
当使用路由策略修改指定路由属性后,其他路由因为不满足任何node将会被拒绝,所以需要再添加一条node保证其他不匹配路由的正常使用。
route-policy name permit node 2,没有if-match和apply,其他属性默认即可
type 2 cost 1 tag 1(默认)
使用if-match添加条件,我们可以看到其中就包括了ACL、ip-prefix等,这也说明了策略工具可以调用条件工具实现路由过滤。
前缀列表(ip-prefix)
ACL和前缀列表的区别
ACL的局限性体现在,ACL只能抓取路由的前缀,没有办法匹配路由的掩码信息。如果有两条路由前缀相同,使用ACL没有办法实现精确的过滤。
前缀列表的优势在于既能够匹配路由的前缀信息,也能够匹配路由的掩码信息。
注意:前缀列表不能用于流量过滤。
前缀列表的组成:
- name:名字,用于标识一条唯一的前缀列表。
- index:索引号,与ACL的rule编号类似,匹配顺序为从小到大依次匹配。(默认步长为10)
- permit/deny:行为,允许或者拒绝。
- lenght:长度,即用于定义网络前缀的长度。
- Ge:大于等于的意思。
- Le:小于等于的意思。
注意:配置前缀列表需要满足Lenght≤Ge≤Le.
前缀列表的使用:
ip ip-prefix test permit 192.168.1.0 24 匹配单条路由
ip ip-prefix test permit 192.168.1.0 24 ge 25 前24bit固定,匹配掩码在25~32之间的路由
ip ip-prefix test permit 192.168.1.0 24 le 32 前24bit固定,匹配掩码在24~32之间的路由
ip ip-prefix test permit 192.168.1.0 24 ge 26 le 30 前24bit固定,匹配掩码在26~30之间的路由
ip ip-prefix test permit 0.0.0.0 0 匹配默认路由
ip ip-prefix test permit 0.0.0.0 0 le 32 匹配所有路由
ip ip-prefix test permit 0.0.0.0 0 ge 32 匹配所有主机路由
ip ip-prefix test permit 0.0.0.0 0 ge 24 le 24 匹配所有掩码等于24位的路由。