Cisco路由的過濾命令
cisco路由器過濾命令是什麼?怎樣配置呢?下面跟yjbys小編一起來學習一下吧!
(一) Route Maps
特性:
Route Maps類似於Access lists,不同之處在於Route Maps可以改變Packets/Routes的部分屬性。
用途:
Route Maps主要用於Redistribution和Policy Routing及BGP的實現。
實現:
Policy Routing發送Packets到Route Maps實現策略路由轉發。
Redistribution發送Routes到Route Maps實現路由條目的過濾。
配置說明:
Route Maps假如沒有指定Action及Sequence Number屬性,默認:
Action: permit
Sequence Number: 10
且Sequence Number不會自動增加。
即假如在使用Route Maps語句時不指定Sequence Number,則覆蓋Sequence Number爲10的默認條目。
Route Maps Deny Action:
Redistribution: 特定路由條目不會被重分佈。
Policy Routing: 特定的Packets不會按策略路由轉發,但會梗概正常的路由表條目轉發。
Case Study:Policy Routing
注:(1)Policy Routing隻影響入流量。
(2)可以使用Standard及Extended ACL.
(3)全局配置ip local policy route-map sense可將策略路由應用於Router本身發送的Packets.
<1> Standard ACL
interface Serial 0
ip address
ip policy route-map sense
!
access-list 1 permit
access-list 2 permit
!
route-map sense permit 10
match ip address 1
set ip next-hop
!
route-map sense permit 20
match ip address 2
set ip next-hop
<2> Extended ACL
interface Ethernet 0
ip address
ip policy route-map sense
!
access-list 105 permit tcp eq FTP any
access-list 105 permit tcp eq ftp-data any
access-list 106 permit tcp eq telnet any
!
route-map sense permit 10
match ip address 105
set ip next-hop
!
route-map sense permit 20
match ip address 106
set ip next-hop
<3> Length of the Packets
interface Ethernet0
ip address
ip policy route-map sense
!
route-map sense permit 10
match length 1000 1600
set ip next-hop
!
route-map sense permit 20
match length 0 400
set ip next-hop
<4> Router's Packets
interface Ethernet0
ip address
ip policy route-map sense
!
ip local policy route-map sense
!
access-list 120 permit ip any
access-list 120 permit ospf any any
!
route-map sense permit 10
match ip address 120
!
route-map sense permit 20
match length 1000 1600
set ip next-hop
!
route-map sense permit 30
match length 0 400
set ip next-hop
注:假如沒有第一個route-map條目,router本身的Packets及OSPF的Packets都會由於後兩個route-map語句被轉發到錯誤的地址。
Case Study: Policy Routing and Quality of Service Routing
Policy Routing結合ip包頭的Precedence和Type of Service(TOS)可以實現基於QOS的策略路由。
注:Precedence和TOS的配置既可使用Number字段,也可以使用KeyWord.
set ip precedence
-------------------------------------
Bits Number Keyword
000 0 routine
001 1 priority
010 2 immediate
011 3 flash
100 4 flash-override
101 5 critical
110 6 internet
111 7 network
-------------------------------------
set ip tos
-------------------------------------
Bits Number Keyword
0000 0 normal
0001 1 min-monetary-cost
0010 2 max-reliability
0100 4 max-throughput
1000 8 min-delay
-------------------------------------
interface Serial0
ip address
ip policy route-map sense
!
interface Serial1
ip address
ip policy route-map sense
!
access-list 1 permit
access-list 110 permit tcp any eq www any
!
route-map sense permit 10
match ip address 1 110
set ip precedence critical
!
route-map sense permit 20
set ip tos 10
set ip precedence priority
Case Study: Route Tagging
用途:
用於雙向重分佈時標識特定Domain的路由,以防路由被重分佈回起源Domain.
使用方案:
通告路由條目的邊緣Router在重分佈時給路由條目加上Tag標識,做爲Transit Network的Domain,不需要使用和識別Tag,僅僅需要將它傳遞到它的'外部網絡即可。
路由協議相關:
Support: RIPv2,EIGRP,IS-IS,OSPF,BGP
Not Support: RIPV1,IGRP
Packets Format:
RIPv2: 支持16-bit tags 表示爲十進制:0 ~ 65535
EIGRP external route TLVs: 支持32-bit tags 表示爲十進制:0 ~ 4294967295
OSPF type 5 LSAs: 支持32-bit tags 表示爲十進制:0 ~ 4294967295
配置實例:
router ospf 1
redistribute igrp 1 metric 10 subnets tag 1
redistribute rip metric 10 subnets route-map sense
network area 0
!
router rip
network
!
router igrp 1
network
!
access-list 1 permit
access-list 2 permit
!
route-map sense permit 10
match ip route-source 1
set tag 2
!
route-map sense permit 20
match ip route-source 2
set tag 3
(二) Distribute-list
作用:
<1> 控制路由條目的分發,及路由的重分佈。
<2> 建立一個"route firewall"
關於路由協議:
Distance Vector Routing Protocol: Route Filtering可以控制其通告/接收的路由條目,及重分佈的路由條目。
Link-State Routing Protocol: Route Filtering只可以控制其在重分佈時的路由條目。
注: LS Routing Protocol的一個基本的要求就是在一個area內所有Routers的Link State Database必須一致,所以假如Route Filtering能過濾掉LS Routing Protocol的LSA通告,就違反了LS Routing Protocol的規範。
Case Study: Filtering Specific Routes
router rip
version 2
network
distribute-list 1 in Serial1
!
ip classless
access 1 permit
Case Study: Route Filtering and Redistribution
注:
distribute-list 命令用於Link-State Routing Protocol時:
與接口聯用: 只能使用in參數
與路由進程聯用: 只能使用out參數
兩種方案效果相同。與接口聯用的方案在抑制route feedback上效果比較好;與路由進程聯用的方案在抑制route feedback時,由於在過濾時,相應的路由條目已經進行了路由表,所以失效。
<1> 與接口聯用
router ospf 25
redistribute rip metric 100
network area 25
network area 25
network area 25
distribute-list 3 in Ethernet0/0
distribute-list 3 in Ethernet0/1
distribute-list 3 in Ethernet0/2
!
router rip
redistribute ospf 25 metric 5
passive-interface Ethernet0/0
passive-interface Ethernet0/1
passive-interface Ethernet0/2
network
distribute-list 1 in Ethernet0/3
distribute-list 1 in Ethernet2/0
distribute-ilst 1 in Ethernet2.1
!
ip classless
access-list 1 permit
access-iist 3 permit
<2> 與路由進程聯用:
router ospf 25
redistribute rip metric 100
network area 25
network area 25
network area 25
distribute-list 10 out rip
!
router rip
redistribute ospf 25 metric 5
passive-interface Ethernet0/3
passive-interface Ethernet2/0
passive-interface Ethernet2/1
network
distribute-list 20 out ospf 25
!
ip classless
access-list 10 permit
access-list 10 permit
access-list 10 permit
access-list 20 permit
access-list 20 permit
access-list 20 permit
(三) Prefix-list
功能:
過濾特定路由協議分發的Routes,主要用與BGP.
特性:
與ACL相比,具有相對較強的靈活性。在掩碼匹配上,也比較輕易理解。
Case Study: Standard Syntax
ip prefix-list {list-name list-number} [seq number] {deny network/length permit network/length} [ge ge-length] [le le-length]
no ip prefix-list {list-name list-number} [seq number] {deny network/length permit network/length} [ge ge-length] [le le-length]
注:
<1> ip prefix-list使用最長匹配規則。
<2> 假如不指定seq number,則默認爲5,且每增加一個條目自動增加5.
即假如你指定第一條目seq number爲2,則下一個不指定seq number的條目的seq number自動變爲7.
<3>自動增加seq number功能可以用命令:no ip prefix-list sequence-number取消。
<4> length < ge-length < le-length <= 32
<5> ip prefix-list不能與Route Maps的match ip next-hop語句聯用;只以與match ip address語句聯用。
Case Study: ip prefix-list description
Syntax:
ip prefix-list list-name description text
Case Study: Configuration Example
router bgp 3
no synchronization
neighbor remote-as 3
neighbor remote-as 1
neighbor prefix-list 1 out
no auto-summary
!
ip prefix-list 1 seq 5 deny
ip prefix-list 1 seq 10 permit
(四) ip as-path access-list
功能:
根據BGP的AS-PATH屬性過濾BGP的分發路由條目。
Case Study: Syntax
ip as-path access-list acl-number permit deny regeXP
no ip as-path access-list acl-number
注:acl-number有效值爲0 ~ 500.
Case Study: Configuration Guide
<1> 過濾所有的私有AS的Routes更新
ip as-path access-list 1 deny (_64[6-9][0-9][0-9]_ _65[0-9][0-9][0-9]_)
ip as-path access-list 1 permit .*
<2> 應用實例
router bgp 3
no synchronization
neighbor remote-as 3
neighbor remote-as 1
neighbro filter-list 1 out
no auto-summary
!
ip as-path access-lsit 1 permit ^$
(五) 以上過濾命令的執行順序:
<1> inbound
route-map->filter-list->prefix-list,distribute-list
<2> outbound
prefix-list,distribute-list->filter-list-> route-map
prefix-list,distribute-list用於鄰居在一個方向上每次只能用其中的一個
總結:
其實這些過濾命令都不是太難,要害是一個過濾的理念。
它們都是很靈活的東西,運用的好,它會有很大的作用;運用得不好,也有可能會有反作用的。
所以說,在配置這些過濾命令的時候,要仔細的斟酌。每一個過濾都要思考一下,當安放到現有的網絡會有什麼樣的效用,這樣纔不至於等到安放到路由器上以後才熟悉到過濾的漏洞,纔不至於引發安全隱患。
相關文章
-
cisco路由器常用命令
cisco路由器常用命令有哪些?下面內容由小編爲大家介紹cisco路由器常用命令,供大家參考!1、Switch> 用戶模式2、Switch>enable 進入特權模式Switch#3、Switch#config terminal 進入全局模式Switch(config)#4、Switch(co -
Cisco路由器安全配置命令
有哪個命令的標準是你希望思科在每臺路由器上都使用的嗎?每位管理員都其自己的正確配置每臺路由器的命令。本文的十條命令是我認爲你應該在每臺路由器上都配置的,沒有特別的順序。 1、在路由器上配置一個登錄帳戶我 -
Cisco路由器密碼設置命令
可能好多人還不瞭解關於特權密碼保護,沒有關係,本文小編向大家介紹Cisco路由器密碼設置的方法,希望本文能教會你更多東西。 1、開啓特權密碼保護router(config)#enable password cisco 2、開啓特權密匙保護router( -
Cisco路由器配置命令大全
爲方便考生複習思科路由器的配置,yjbys小編爲大家分享思科路由器配置命令如下,僅供參考! 1. switch配置命令 (1)模式轉換命令用戶模式----特權模式, 使用命令"enable"特權模式----全局配置模式, 使用命令"config -
Cisco路由器安全配置命令有哪些
每位管理員都其自己的正確配置每臺路由器的命令。下面是小編整理的十條命令是在每臺路由器上都配置的,希望對你有幫助! 1、在路由器上配置一個登錄帳戶我強烈建議在路由器和交換機上配置一個真實的用戶名和口令帳號 -
試談cisco路由器口令和IOS恢復
針對最常見的cisco路由器設備的IOS系統,小編下面給大家講解一下路由器口令和IOS恢復的步驟和方法。 一、 先說說路由器口令恢復的方法前提:口令恢復需要使用Console線將路由器和PC連接。恢復步驟:1.在路由器加電60S內 -
CISCO路由器配置命令詳解設置試題
思科認證的`考試內容包括筆試和實驗。筆試在全球認證的考試中心進行,時間爲兩個小時。下面是小編收集的CISCO路由器配置命令詳解設置試題,希望大家認真閱讀! 設置如下:Router1:interface Serial0ip address clockrat -
CISCO路由器配置命令廣域網協議設置試題
思科還提供了多種專門的思科合格專家認證,以顯示專業人士在特定的技術、解決方案或者職務角色方面的`知識。思科還會經常添加一些新的認證。下面是小編收集的CISCO路由器配置命令廣域網協議設置試題,希望大家認真閱讀! -
Cisco路由器配置信息及口令的清除
在網絡日常管理與維護的工作中,你是否遇到過這種現象,忘記了口令了!下面小編就針對幾種常見而重要的網絡設備的口令清除方法談談本人的一點小竅門。 Cisco 路由器配置信息及口令的清除適用範圍:所有IOS在10.0及以上版 -
高端企業路由CISCO 3845-SEC/K9
說起高端級路由器,就不得不提起CISCO 3845-SEC/K9路由器,CISCO 3845-SEC/K9是隸屬於思科3800系列路由器大軍中的一員,它是思科20年技術創新的結晶,具有超強勁的性能,和優異的智能性、安全性,能夠爲企業提供一個完美的`網絡