Cisco路由的过滤命令
cisco路由器过滤命令是什么?怎样配置呢?下面跟yjbys小编一起来学习一下吧!
(一) Route Maps
特性:
Route Maps类似于Access lists,不同之处在于Route Maps可以改变Packets/Routes的部分属性。
用途:
Route Maps主要用于Redistribution和Policy Routing及BGP的实现。
实现:
Policy Routing发送Packets到Route Maps实现策略路由转发。
Redistribution发送Routes到Route Maps实现路由条目的过滤。
配置说明:
Route Maps假如没有指定Action及Sequence Number属性,默认:
Action: permit
Sequence Number: 10
且Sequence Number不会自动增加。
即假如在使用Route Maps语句时不指定Sequence Number,则覆盖Sequence Number为10的默认条目。
Route Maps Deny Action:
Redistribution: 特定路由条目不会被重分布。
Policy Routing: 特定的Packets不会按策略路由转发,但会梗概正常的路由表条目转发。
Case Study:Policy Routing
注:(1)Policy Routing只影响入流量。
(2)可以使用Standard及Extended ACL.
(3)全局配置ip local policy route-map sense可将策略路由应用于Router本身发送的Packets.
<1> Standard ACL
interface Serial 0
ip address
ip policy route-map sense
!
access-list 1 permit
access-list 2 permit
!
route-map sense permit 10
match ip address 1
set ip next-hop
!
route-map sense permit 20
match ip address 2
set ip next-hop
<2> Extended ACL
interface Ethernet 0
ip address
ip policy route-map sense
!
access-list 105 permit tcp eq FTP any
access-list 105 permit tcp eq ftp-data any
access-list 106 permit tcp eq telnet any
!
route-map sense permit 10
match ip address 105
set ip next-hop
!
route-map sense permit 20
match ip address 106
set ip next-hop
<3> Length of the Packets
interface Ethernet0
ip address
ip policy route-map sense
!
route-map sense permit 10
match length 1000 1600
set ip next-hop
!
route-map sense permit 20
match length 0 400
set ip next-hop
<4> Router's Packets
interface Ethernet0
ip address
ip policy route-map sense
!
ip local policy route-map sense
!
access-list 120 permit ip any
access-list 120 permit ospf any any
!
route-map sense permit 10
match ip address 120
!
route-map sense permit 20
match length 1000 1600
set ip next-hop
!
route-map sense permit 30
match length 0 400
set ip next-hop
注:假如没有第一个route-map条目,router本身的Packets及OSPF的Packets都会由于后两个route-map语句被转发到错误的地址。
Case Study: Policy Routing and Quality of Service Routing
Policy Routing结合ip包头的Precedence和Type of Service(TOS)可以实现基于QOS的策略路由。
注:Precedence和TOS的配置既可使用Number字段,也可以使用KeyWord.
set ip precedence
-------------------------------------
Bits Number Keyword
000 0 routine
001 1 priority
010 2 immediate
011 3 flash
100 4 flash-override
101 5 critical
110 6 internet
111 7 network
-------------------------------------
set ip tos
-------------------------------------
Bits Number Keyword
0000 0 normal
0001 1 min-monetary-cost
0010 2 max-reliability
0100 4 max-throughput
1000 8 min-delay
-------------------------------------
interface Serial0
ip address
ip policy route-map sense
!
interface Serial1
ip address
ip policy route-map sense
!
access-list 1 permit
access-list 110 permit tcp any eq www any
!
route-map sense permit 10
match ip address 1 110
set ip precedence critical
!
route-map sense permit 20
set ip tos 10
set ip precedence priority
Case Study: Route Tagging
用途:
用于双向重分布时标识特定Domain的路由,以防路由被重分布回起源Domain.
使用方案:
通告路由条目的边缘Router在重分布时给路由条目加上Tag标识,做为Transit Network的Domain,不需要使用和识别Tag,仅仅需要将它传递到它的'外部网络即可。
路由协议相关:
Support: RIPv2,EIGRP,IS-IS,OSPF,BGP
Not Support: RIPV1,IGRP
Packets Format:
RIPv2: 支持16-bit tags 表示为十进制:0 ~ 65535
EIGRP external route TLVs: 支持32-bit tags 表示为十进制:0 ~ 4294967295
OSPF type 5 LSAs: 支持32-bit tags 表示为十进制:0 ~ 4294967295
配置实例:
router ospf 1
redistribute igrp 1 metric 10 subnets tag 1
redistribute rip metric 10 subnets route-map sense
network area 0
!
router rip
network
!
router igrp 1
network
!
access-list 1 permit
access-list 2 permit
!
route-map sense permit 10
match ip route-source 1
set tag 2
!
route-map sense permit 20
match ip route-source 2
set tag 3
(二) Distribute-list
作用:
<1> 控制路由条目的分发,及路由的重分布。
<2> 建立一个"route firewall"
关于路由协议:
Distance Vector Routing Protocol: Route Filtering可以控制其通告/接收的路由条目,及重分布的路由条目。
Link-State Routing Protocol: Route Filtering只可以控制其在重分布时的路由条目。
注: LS Routing Protocol的一个基本的要求就是在一个area内所有Routers的Link State Database必须一致,所以假如Route Filtering能过滤掉LS Routing Protocol的LSA通告,就违反了LS Routing Protocol的规范。
Case Study: Filtering Specific Routes
router rip
version 2
network
distribute-list 1 in Serial1
!
ip classless
access 1 permit
Case Study: Route Filtering and Redistribution
注:
distribute-list 命令用于Link-State Routing Protocol时:
与接口联用: 只能使用in参数
与路由进程联用: 只能使用out参数
两种方案效果相同。与接口联用的方案在抑制route feedback上效果比较好;与路由进程联用的方案在抑制route feedback时,由于在过滤时,相应的路由条目已经进行了路由表,所以失效。
<1> 与接口联用
router ospf 25
redistribute rip metric 100
network area 25
network area 25
network area 25
distribute-list 3 in Ethernet0/0
distribute-list 3 in Ethernet0/1
distribute-list 3 in Ethernet0/2
!
router rip
redistribute ospf 25 metric 5
passive-interface Ethernet0/0
passive-interface Ethernet0/1
passive-interface Ethernet0/2
network
distribute-list 1 in Ethernet0/3
distribute-list 1 in Ethernet2/0
distribute-ilst 1 in Ethernet2.1
!
ip classless
access-list 1 permit
access-iist 3 permit
<2> 与路由进程联用:
router ospf 25
redistribute rip metric 100
network area 25
network area 25
network area 25
distribute-list 10 out rip
!
router rip
redistribute ospf 25 metric 5
passive-interface Ethernet0/3
passive-interface Ethernet2/0
passive-interface Ethernet2/1
network
distribute-list 20 out ospf 25
!
ip classless
access-list 10 permit
access-list 10 permit
access-list 10 permit
access-list 20 permit
access-list 20 permit
access-list 20 permit
(三) Prefix-list
功能:
过滤特定路由协议分发的Routes,主要用与BGP.
特性:
与ACL相比,具有相对较强的灵活性。在掩码匹配上,也比较轻易理解。
Case Study: Standard Syntax
ip prefix-list {list-name list-number} [seq number] {deny network/length permit network/length} [ge ge-length] [le le-length]
no ip prefix-list {list-name list-number} [seq number] {deny network/length permit network/length} [ge ge-length] [le le-length]
注:
<1> ip prefix-list使用最长匹配规则。
<2> 假如不指定seq number,则默认为5,且每增加一个条目自动增加5.
即假如你指定第一条目seq number为2,则下一个不指定seq number的条目的seq number自动变为7.
<3>自动增加seq number功能可以用命令:no ip prefix-list sequence-number取消。
<4> length < ge-length < le-length <= 32
<5> ip prefix-list不能与Route Maps的match ip next-hop语句联用;只以与match ip address语句联用。
Case Study: ip prefix-list description
Syntax:
ip prefix-list list-name description text
Case Study: Configuration Example
router bgp 3
no synchronization
neighbor remote-as 3
neighbor remote-as 1
neighbor prefix-list 1 out
no auto-summary
!
ip prefix-list 1 seq 5 deny
ip prefix-list 1 seq 10 permit
(四) ip as-path access-list
功能:
根据BGP的AS-PATH属性过滤BGP的分发路由条目。
Case Study: Syntax
ip as-path access-list acl-number permit deny regeXP
no ip as-path access-list acl-number
注:acl-number有效值为0 ~ 500.
Case Study: Configuration Guide
<1> 过滤所有的私有AS的Routes更新
ip as-path access-list 1 deny (_64[6-9][0-9][0-9]_ _65[0-9][0-9][0-9]_)
ip as-path access-list 1 permit .*
<2> 应用实例
router bgp 3
no synchronization
neighbor remote-as 3
neighbor remote-as 1
neighbro filter-list 1 out
no auto-summary
!
ip as-path access-lsit 1 permit ^$
(五) 以上过滤命令的执行顺序:
<1> inbound
route-map->filter-list->prefix-list,distribute-list
<2> outbound
prefix-list,distribute-list->filter-list-> route-map
prefix-list,distribute-list用于邻居在一个方向上每次只能用其中的一个
总结:
其实这些过滤命令都不是太难,要害是一个过滤的理念。
它们都是很灵活的东西,运用的好,它会有很大的作用;运用得不好,也有可能会有反作用的。
所以说,在配置这些过滤命令的时候,要仔细的斟酌。每一个过滤都要思考一下,当安放到现有的网络会有什么样的效用,这样才不至于等到安放到路由器上以后才熟悉到过滤的漏洞,才不至于引发安全隐患。
相關文章
-
cisco路由器常用命令
cisco路由器常用命令有哪些?下面内容由小编为大家介绍cisco路由器常用命令,供大家参考!1、Switch> 用户模式2、Switch>enable 进入特权模式Switch#3、Switch#config terminal 进入全局模式Switch(config)#4、Switch(co -
Cisco路由器安全配置命令
有哪个命令的标准是你希望思科在每台路由器上都使用的吗?每位管理员都其自己的正确配置每台路由器的命令。本文的十条命令是我认为你应该在每台路由器上都配置的,没有特别的顺序。 1、在路由器上配置一个登录帐户我 -
Cisco路由器密码设置命令
可能好多人还不了解关于特权密码保护,没有关系,本文小编向大家介绍Cisco路由器密码设置的方法,希望本文能教会你更多东西。 1、开启特权密码保护router(config)#enable password cisco 2、开启特权密匙保护router( -
Cisco路由器配置命令大全
为方便考生复习思科路由器的配置,yjbys小编为大家分享思科路由器配置命令如下,仅供参考! 1. switch配置命令 (1)模式转换命令用户模式----特权模式, 使用命令"enable"特权模式----全局配置模式, 使用命令"config -
Cisco路由器安全配置命令有哪些
每位管理员都其自己的正确配置每台路由器的命令。下面是小编整理的十条命令是在每台路由器上都配置的,希望对你有帮助! 1、在路由器上配置一个登录帐户我强烈建议在路由器和交换机上配置一个真实的用户名和口令帐号 -
试谈cisco路由器口令和IOS恢复
针对最常见的cisco路由器设备的IOS系统,小编下面给大家讲解一下路由器口令和IOS恢复的步骤和方法。 一、 先说说路由器口令恢复的方法前提:口令恢复需要使用Console线将路由器和PC连接。恢复步骤:1.在路由器加电60S内 -
CISCO路由器配置命令详解设置试题
思科认证的`考试内容包括笔试和实验。笔试在全球认证的考试中心进行,时间为两个小时。下面是小编收集的CISCO路由器配置命令详解设置试题,希望大家认真阅读! 设置如下:Router1:interface Serial0ip address clockrat -
CISCO路由器配置命令广域网协议设置试题
思科还提供了多种专门的思科合格专家认证,以显示专业人士在特定的技术、解决方案或者职务角色方面的`知识。思科还会经常添加一些新的认证。下面是小编收集的CISCO路由器配置命令广域网协议设置试题,希望大家认真阅读! -
Cisco路由器配置信息及口令的清除
在网络日常管理与维护的工作中,你是否遇到过这种现象,忘记了口令了!下面小编就针对几种常见而重要的网络设备的口令清除方法谈谈本人的一点小窍门。 Cisco 路由器配置信息及口令的清除适用范围:所有IOS在10.0及以上版 -
高端企业路由CISCO 3845-SEC/K9
默默地分手,正如当初默默地相遇,接下来是小编为大家搜集的毕业留言大全,供大家参考,希望可以帮助到大家。1. 飞扬的青春用热情谱写着年华,瑰丽的岁月用真心镌刻着友谊,璀璨的人生用执着装点着未来,祝心想事成,前程似锦!2. 青