路由优化.docx
- 文档编号:24094035
- 上传时间:2023-05-24
- 格式:DOCX
- 页数:13
- 大小:95.57KB
路由优化.docx
《路由优化.docx》由会员分享,可在线阅读,更多相关《路由优化.docx(13页珍藏版)》请在冰豆网上搜索。
路由优化
访问列表的分类:
1、标准访问列表
只能基于源IP地址来进行分类
可以使用列表号:
1-99、1300-1999
标准的访问列表通常要求放置在靠近目标的地方
2、扩展访问列表
可以根据源IP地址、目的IP地址、源端口号、目的端口号,协议来进行分类
可以使用列表号:
100-199、2000-2699
扩展访问列表通常要求放置在靠近源的地方
3、命名的访问列表
只是将标准访问列表或扩展访问列表取个名字
优点:
可以对访问列表进行增加、删除操作。
访问列表的比较规则:
1、如果一个访问列表有多行语句,通常按顺序从第一条开始比较,然后再往下一条条比较。
2、一个数据包如果与访问列表的一行匹配,则按规定进行操作,不再进行后续的比较。
3、在每个访问列表的最后一行是隐含的denyany语句--意味着如果数据包与所有行都不配的话,将被丢弃。
访问列表的配置规则:
1、你在访问列表中可以写多条比较语句,它们是按你输入的顺序来进行放置的。
2、在标准访问列表扩展访问列表中,你不能单独删除其中的一行,只能删除整个列表。
3、每个列表应当至少有一个permit语句,否则将拒绝所有流量。
4、访问列表可以用在接口的出方向,也可以用在入方向,但是要注意,在一个接口在一个方向上只能有一个访问列表。
5、访问列表可以过滤通过路由器的流量,对自已产生的流量不起作用。
6、将标准访问列表要尽可能放置在靠近目的地址的地方
7、将扩展访问列表要尽量放置在靠近源地址的地方
ACL的运算符:
1、eq等于
2、neq不等于o3、gt大于
4、lt小于
5、range范围
重点:
ACL本身只是一个用来匹配的工具,它具体是过滤数据包还是路由,是由调用它的工具来决定的。
举例:
1、在路由器上,允许来自172.16.1.0网段的流量通过
access-list1permit172.16.1.00.0.0.255
2、允许来自于172.16.1.0网段的流量去访问192.168.1.0网段
access-list100permitip172.16.1.00.0.0.255192.168.1.00.0.0.255
3、拒绝来自于172.16.1.0网段的流量通过,允许其它任意的流量通过
access-list1deny172.16.1.00.0.0.255
access-list1permitany
4、允许172.16.1.1telnet192.168.1.1的流量通过,其它拒绝
access-list100permittcphost172.16.1.1host192.168.1.1eqtelnet
5、抓出172.16.1.0的路由
access-list1permit172.16.1.00.0.0.0
6、用一条ACL抓出172.16.0.0、172.16.1.0、172.16.2.0、172.16.3.0四个子网
access-list1permit172.16.0.00.0.3.0
时间访问列表:
使用基于时间的访问列表,可以根据一天中的不同时间,或者一周中的某天,或者两者结合,来控制对网络资源的访问。
第一步:
定义时间段名字
R1(config)#time-rangeNP定义一个名字
第二步:
定义时间段
设定绝对时间:
R1(config-time-range)#absolutestart8:
001jan2008end15:
002feb2008
设定周期时间:
R1(config-time-range)#periodicsunday12:
00to23:
00//只在星期日上午允许
R1(config-time-range)#periodicdaily8:
00to12:
00//一周中每天上午允许
几个主要周期时间参数:
Daily--从星期一到星期日
Weekday--从星期一到星期五
Weekend--从星期六到星期日
注意:
一个time-range下只能有一个absolute语句,但可以有多条periodic语句,如果在一个time-range下即有absolute语句,又有periodic语句,则先匹配absolute语句。
第三步:
调用
access-list100permitipanyanytime-rangeNP
ints0/0
ipaccess-list100in
例:
为ACL定义一个时间范围,在2008年1月1日到2008年12月31日之间的每个周末起作用
time-rangeNP
absolutestart8:
001jan2008end24:
0031dec2008
periodicweekends8:
00to24:
00
NTP
Clockset设置时间
服务器ntpmaster
客户端ntpserver+服务器Ip地址
<Distribute-List>用来过滤路由
分布列表通过调用ACL来对路由进行过滤,可以在一个单独的路由区域内过滤,也可在路由协议之间做重分布的时候进行过滤。
注意:
分布列表只能用于距离矢量协议,在链路状态协议中是没有意义的。
例一:
R1(config)#access-list2permit2.2.2.0
R1(config-router)#distribute-list2inserial0(只允许2.2.2.0路由从S0进)
例二:
R1(config)#access-list2deny2.2.2.0
R1(config)#access-list2permitany
R1(config-router)#distribute-list2outserial1(不允许2.2.2.0路由从S1接口出去)
例三:
协议间重分布时过滤
R1(config)#access-list1permit2.2.2.0
R1(config)#routerospf110
R1(config-router)#distribute-list1outeigrp90
注意:
当在重分布时进行过滤,仅允许使用关键字out,后面可以跟上协议名,但不能跟接口,因为无意义,详见卷一496页(注意:
in后面不能跟协议,只有out后能跟)
例四:
在OSPF中使用分布列表:
(没啥意义)
试验:
1、在R1上写一个访问列表
access-list1permit172.16.1.1
2、在R1的OSPF进程下调用
distribute-list1ins1
3、查看R1和R3的路由表,比较有啥不同
总结:
实际上并不能对LSA进行过滤,只能对自已的路由条目进行过滤。
<Prefix-List>前缀列表
和ACL类似的东东,设计用于专抓路由的工具,不仅可以匹配网络号,还可以匹配掩码
R4(config)#ipprefix-list2(用名字也行)permit2.2.2.0/24
R4(config-router)#distribute-listprefix2inserial1
例一:
ipprefix-list2permit2.2.2.0/24 //(匹配前24位:
2.2.2.*,掩码必须为24位)
例二:
ipprefix-list2permit2.2.2.0/24ge25le30 //(匹配前24位:
2.2.2.*,掩码必须为25-30位)
例三:
ipprefix-list2permit2.2.2.0/24le32 //(匹配前24位:
2.2.2.*,掩码必须为24-32位)
例四:
ipprefix-list2permit2.2.2.0/24ge26 //(匹配前24位:
2.2.2.*,掩码必须为26-32位)
例五:
ipprefix-list3permit0.0.0.0/0le32 //(匹配所有)不能像access-list哪样用any参数
ge必须大于前面的数字,小或等于le,len shipprefix-list用于查看 用前缀列表过滤A、B、C类路由 A类路由: ipprefix-list1permit0.0.0.0/1le32 B类路由: ipprefix-list1permit128.0.0.0/2le32 C类路由: ipprefix-list1permit192.0.0.0/3le32 利用前缀列表过滤OSPF 要求: 在如上图所示的拓朴中,在R1上利用前缀列表做过滤,不要向AREA0区域传递172.16.1.1的路由。 R1: ipprefix-list1seq5deny172.16.1.1/32 ipprefix-list1seq10permit0.0.0.0/0le32 routerospf110 area1filter-listprefix1out <Route-Map> 也叫路由图或者路由映射表,是对路由进行加工处理的工具。 1、route-map可以调用ACL或prefix抓出一部分路由进行加工处理 2、每一个route-map可以有多条语句,每条语句都有一个序号 3、每条语句都有两种动作: match和set 4、每条语句对抓出来的路由都有两种处理方式: permit或deny route-map的使用分三步操作: 1、定义ACL或prefix抓出路由 2、定义route-map说明对匹配的路由所采取的处理方式 3、调用route-map route-map的匹配逻辑: route-mapNAMEpermit10 matchipaddressxyz ------->OR matchipaddressa¦ matchipaddressb¦AND matchipaddressc↓ 如不写match/set,默认: matchany setnothing 例一: 要求在R1上将EIGRP重分布进OSPF,其中172.16.1.0路由要以OE1重分布,172.16.2.0路由重分布时metric值要改为100,172.16.3.0的路由不允许重分布,其它路由不改动,默认重分布。 R1(config)#access-list1permit172.16.1.00.0.0.0 R1(config)#access-list2permit172.16.2.00.0.0.0 R1(config)#access-list3permit172.16.3.00.0.0.0 R1(config)#route-mapCCNPpermit10 R1(config-route-map)#matchipaddress1 R1(config-route-map)#setmetric-typetype-1 R1(config)#route-mapCCNPpermit20 R1(config-route-map)#matchipaddress2 R1(config-route-map)#setmetric100 R1(config)#route-mapCCNPdeny30 R1(config-route-map)#matchipaddress3 R1(config)#route-mapCCNPpermit40 R1(config-route-map)#exit R1(config)#routerospf110 R1(config-router)#redistributeeigrp90subnetsroute-mapCCNP//调用route-map 注意: ·在route-map的最后隐含了一条denyany的语句 ·如果不写一句空Route-map去允许其它路由通过,则没有匹配的路由直接被丢弃。 例二: match接口 还可以在重分布直连的时候match一个接口,直接写route-map就可以,不用定义访问列表。 R1(config)#route-mapCCNPpermit10 R1(config-route-map)#matchinterfacee0 例三: 使用route-map打tag 作用: 可以对一些路由打上tag,好让后面的路由器根据tag找出这些路由并进行相应的策略 如上图所示,要求: 1、在R3上将RIP重分布进OSPF 2、在R1上将OSPF重分布进EIGRP,但不能将从RIP学到的路由带过去 可以用tag解决: 1、在R3上将RIP重分布进OSPF时,利用route-map打上tag标记 2、在R1上将OSPF重分布进EIGRP时,找出打了tag标记的路由再deny掉就行了 R3(config)#route-mapCCNPpermit10 R3(config-route-map)#settag20 R3(config)#routerospf110 R3(config-router)#redistributeripsubnetsroute-mapCCNP 到了R1之后,对打tag的路由丢弃 R1(config)#route-mapCCNPdeny10 R1(config-route-map)#matchtag20 R1(config)#route-mapCCNPpermit20//一定要写一条空语句放行其它的路由 R1(config-route-map)#exit R1(config)#routereigrp90 R1(config-router)#redistributeospf110metric150010025511500route-mapCCNP <Policy-BasedRouting> PBR就是使用route-map这一工具对某个接口进来的数据流做一些策略,符合条件的按相应的策略进行路由,不符合条件的按正常情况进行转发。 PBR的规则: ·PBRallowsforsource-basedrouting. ·PBR优于路由表-----如果路由器上设置了PBR,当数据包到达路由器时,是先匹配PBR,如果匹配上了,直接按PBR进行转发,如果没匹配上,再去找路由表进行转发,所以说PBR覆盖了正常的路由选择进程。 ·PBR中不匹配的数据包不会DENY(丢弃),而是normalforwarding(正常转发) 注意: AppliedtoincomingpacketsPBR只针对于入项接口 例一: 第一步: R1(config)#access-list1permit1.1.1.00.0.0.255 R1(config)#access-list2permit2.2.2.00.0.0.255 第二步: R1(config)#route-mapCCNPpermit10 R1(config-route-map)#matchipaddress1 R1(config-route-map)#setipnext-hop12.1.1.2发给与本机直连的下一跳路由器 R1(config)#route-mapCCNPpermit20 R1(config-route-map)#matchipaddress2 R1(config-route-map)#setipnext-hop13.1.1.3 第三步: R1(config)#inte0/0 (入口调用策略) R1(config-if)#ippolicyroute-mapCCNP PBR其它用途: R1(config)#route-mapPBRper10 R1(config-route-map)#matchipaddress9 R1(config-route-map)#setipprecedence2对数据分组设置优先级 R3#debugippolicy 本地策略路由: ·PBR默认对本地产生的数据流量不起效。 也就是对自已产生的包不执行策略。 R3(config)#iplocalpolicyroute-mapPBR (使PBR对本地数据流量有效)加上这一条命令才会对自已产生的包也做策略
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 路由 优化