|
[size=0.19] 拓扑如下: # p1 Z1 M5 w0 A- x4 M; R; Z" ] d1 F
& X; p6 c+ k' s# p. ?4 S5 p6 L
' b: _ F G/ W
& N1 `- e8 U! | p( m2 I6 U6 }. t* F' V: o$ F7 R1 C8 Y0 m( J! P
[size=0.19]作业:在两个路由器之间通告
8 y% Y+ \ o1 d[size=0.19]
+ Z" g& K! h. B1 w6 I% w+ J7 j3 c# X; i- \
[size=0.19]router-policy匹配前缀列表来过滤路由和修改路由属性
: m4 @2 t: I; N" ][size=0.19]9 j& J" K- p5 D( z
4 j) d/ T, u( m
[size=0.19]! v7 O" T7 i) t% @4 Z
我们在AR1和AR2路由器之间运行的是OPSF协议,这里的配置就不写了。在AR2上创建4个本地回环口地址,通过引入直连路由时调用route-policy 时过滤掉想被过滤的路由条目,让AR1学习到想学习的路由。 ; E3 ?9 r3 G: W5 n6 N! T: a0 T0 r
2 q/ P. \* q( c9 l* X/ |
& N0 @* E' i+ h! a
! {+ t* r9 C8 @4 ^& v" A
[size=0.19]1.首先我们在AR2上创建4条ip前缀
: V# L- }1 ?9 I
- J( X% g/ M, D( s" {. ^( l, G9 h4 a* i* p! e9 R& X" M! y
0 l( {9 L. u4 E[size=0.19]创建ip 前缀,ip前缀后面是数字(红色框),接着是索引号(黄色框),当然也可以不加,接着是动作(绿色框),后面是ip地址(白色框),最后是掩码(紫色框),不同于ACL这样用的是掩码,而ACL最后加的是通配符。在全局模式下创 % Y+ j& f9 k) G; E3 m0 a
2 b0 b$ V4 G- K3 H. b! i/ T
& s4 ^; D- d3 ]7 B+ p+ Q8 \& I6 p; R
建一条编号是1索引号是10的允许192.168.1.0网段掩码24的ip 前缀。 * S: @3 K* T, I; n* v
6 G T2 u1 k4 y& D; U+ L8 j3 o5 m2 ]* i8 `& ^5 z
/ \* e- K* }# p% C
) \1 W. U2 |, M' G" t7 a! g& T/ R4 y z/ F4 w5 B9 ~1 g5 t! l/ m6 z3 R! F
' w8 M1 q/ _# s$ i7 W; b9 i5 {: k' `' X( p7 W' K
^4 S' m. ?, o3 g[size=0.19] 创建一条编号
1 S& T' x D8 m7 o( z# z& N[size=0.19]7 D9 p4 w, ^; x
' K/ `4 {$ A/ i[size=0.19] : z$ r! }8 @6 G
[size=0.19] 2的索引号是10,允许172.16.0.0网段掩码16的ip前缀。1 s; z' r! d) I1 p: M2 u; \% Y
 0 p+ q! U. b( |& f# s- j( E2 R
4 W0 M) W' H5 ~' e+ `" b1 e
9 t* e$ }. w: ~* o; J3 t- v/ W! y% Q" v6 A1 Z! C* D2 e) c
[size=0.19] 红色框中的掩码,在这里是ip 前缀,所以表示2.2.2.2 这条单条路由条目,要用32,如果写的是0,表示的是默认路由。这里是和ACL不同的地方。 7 \ X/ k$ E8 T5 k
, p/ D9 K0 T/ U8 }% C4 p# _% ~- U3 J8 i) E C5 A9 Y t3 x
5 }( ~& L3 K3 k% P% s5 B/ |
' I; {8 O" T3 y6 C[size=0.19] 接着还是在AR2上配置4条route-policy 2 J* ]7 X% C8 k
0 R6 s0 a2 C) F! P( {
* k- H# A# x6 w1 i6 |3 L
[size=0.19]
; k; P; p; f8 s ?# l/ C
在全局模式下创建route-policy,后面接的是编号(红色框),动作允许还是拒绝(蓝色),节点(蓝色)后面是ID号(绿色,必须是10的倍数)节点+ID号相当于ACL的rule+ID . 3 B4 @% k. O1 ~5 p
6 b# l) e2 Y4 b, {3 n- A7 J8 e6 \( q
. u+ u5 ]% D6 D/ a' o3 i
[size=0.19] 创建1条路由策略编号是1的节点10的匹配通过的这么一条节点语句
% w4 c: C. j: |. R$ _! K& b4 E
! k4 `% |& |% v
- q0 J' q2 g+ D+ |% U
* }, l- L% U3 S9 ^' g! u
8 ]: Q* [8 A/ k, e: d6 k# e, S6 h
[size=0.19]( [9 Q$ u- F: j& J Y
) V# Q/ H0 |/ `$ c8 V 一条路由策略包括节点语句包括节点语句和条件语句以及执行语句的集合。按照编号大小从小到大顺序执行
( e8 H# Y, I* |" Q1 } S* R3 [* ~! I" k2 D
* g5 C8 \# W- {( F8 k: N, {" x
 * q) c/ l) h; K9 |0 R) V6 H/ h
+ ], L) O6 s6 k* m2 R, z7 [7 L0 O7 q, S1 t
; i D! M, |2 M& z, S6 N2 Q[size=0.19] 如果符合ip 前缀列表1里面的动作,就去执行 8 j# e+ b7 S w. _
( ]3 g& }4 ]& X) y: A9 H" H5 g
$ r) B$ I' ~, K$ c4 i% @( N* \* Y
[size=0.19] 同样的接下来是匹配剩下的3条ip 前缀列表
2 e6 ^# n2 B& W* w& L3 j
# \/ n; h3 }% b: ]! S7 _( z+ `2 s8 q o6 q0 ?$ l: }
7 p$ x2 E. w' Q t- p0 x
- L4 C p. I2 ]$ d[size=0.19]
6 E, e# D* \" D. Y$ w+ F
3 o, n" b' j0 W, H* h$ _' v
, h, ?1 |5 B1 `* V# Q8 l3 y3 E
查看刚刚配置过的4条route-policy
6 s! d2 {5 H& O ^0 A6 ]
1 ^. Q9 D$ Q8 N+ G
# U1 {% [. p6 @3 z9 W# I. [& `+ T, c( P* ]6 W4 i M
; ~- J7 \8 ]) u3 \2 \
- Z0 u% V: J3 A3 ` B
[size=0.19]$ Z0 L6 ^ j! K5 u0 D! s- }0 d
' ~0 F7 M2 D& g# Y6 ?2 i- W7 Z/ Y
在ospf进程下引入直连路由时调用route-policy 1
5 n- ]9 @. h- K5 ]6 Z! i4 n
* W. r# E) u. j9 @9 @4 V
$ R/ K$ C o; f, Y$ J
6 c( W+ _. v8 x( m0 R
$ z/ G6 p' b0 u
* K6 {( H$ N7 n1 f" C
( H, @) v: S) b. h$ R V[size=0.19] 当然我们也可以查看刚刚配置过的4条前缀列表的含义
! n% b" @( d7 I$ l8 X
; {( s( @" \1 r) k, A$ ?1 q- D8 w0 J# B. a5 |4 X
/ P3 A$ z, d& z, ^; a4 L) w' p+ B2 t
+ ?) v" D D* k4 [. h[size=0.19]8 d: p/ B& G' p; s2 o# \/ h
那么在AR2上调用了这条策略后,AR1能学习到哪些路由? . [ o- ~( H, H/ Z% L
6 N0 [' y, Y! d1 s; o
! y& _2 c/ l0 `& B
首先我们看一下第一个前缀ip列表,执行的动作是允许192.168.1.0网段的路由,这里是能命中到我们创建的192.168.1.1,在节点10的语句中,执行的是允许动作,而条件语句中的前缀列表1也是允许的动作,那么就会匹配到,但是由于 ) C' e) b1 U2 Z/ w( C% ~0 C( n* @6 r
6 ~$ k5 b# e# U5 F
route-policy 和acl 也有隐含默认(在华为设备中)。所以节点语句10的内容就是匹配192.168.1.0网段,其它的都不允许
9 I) b: a+ H1 R9 c# A( C
。 ! V. Y7 T4 `' @7 s( d3 g" U
[size=0.19]第二个节点20,前缀列表2中也是允许就能命中172.16.0.0,加上节点语句的允许动作,那么也就会被匹配到。其它的都不允许。
# T: }( S$ s( D; \7 N! p
+ ^/ J$ G/ ~* E" _, f5 y& j5 y/ x
: y' ^: ]& E; h4 f
$ ~6 G0 Q0 Y5 l7 |+ ~1 y" n3 |' {
[size=0.19]第三个节点30中,前缀列表3是允许2.2.2.2这条路由,首先这里能命中。在看节点语句是也是允许的动作,和条件语句也一样,那么就会别匹配。其它的都不允许。
( Q+ r7 V0 _' F; s1 ~$ }( O
% r! W( h5 t( e/ n: X; \" Q' p
7 z8 O6 Z+ k/ A Y
% ~* l+ s. q% _/ c9 K- C0 x[size=0.19]第4个节点40中,前缀列表4是拒绝的,而节点语句是允许的。所以这里就不会匹配,就会自动跳到下一条节点,而之后没有,所以就执行前3个节点语句。所以除了3.3.3.3/32这条路由条目,其它3条都会被AR1学习到。 ! q" [( H: U5 D; {: ]
0 x' H; v _- Z0 F
3 X) d9 X- R( f+ X; e7 z s, ]
6 M7 i# r, p. U
[size=0.19]我们在AR1上查看路由表验证下,可以发现只过滤了3.3.3.3这条路由条目 ( f0 d- {3 [# z) x& O
0 B( p# g5 H% o3 i+ T
4 b$ A. ^: ~( U. k! `' L0 a4 X ; `; \& X: l9 ]" ^+ t
! ]2 y& Y. Q2 k6 V/ y
5 f' V0 c" v% ~7 E) _
4 e1 d$ E8 z6 j[size=0.19]
$ B: E K: m4 e* E 2.如果我们把第一个节点语句10的动作改为deny,后面的3个节点语句不动。不过我们把节点10里面的条件语句删除。那么AR1可以学习到什么路由呢?
7 h9 N8 X. {- D9 u1 ]4 J0 X0 l1 }7 _; m2 Q% }
4 l8 u4 q4 A' M# R3 k6 g[size=0.19] 在AR2上重新写节点10,会提示已经覆盖了之前的节点10 ! w: @, U$ x* w
 : {0 t5 Y6 p/ J$ R
) o$ X/ G- P& [' j# J* u" r4 o f/ u; \( a7 c1 K3 P
) P, s% K: E0 S1 E0 C* [3 j
: _* O0 E# b9 x# l/ f# b# E l( D* [; P4 j% F7 a1 {9 \
0 w! ]" N% a) ^) z
, u" E; F3 R8 T# c" H: Y t
[size=0.19] 在路由策略进程下,删除掉ip前缀列表1
1 }$ o, X5 {2 Z$ @, c" {
' Q/ ~! G6 T& w
& K$ P( {& |0 D A8 @/ M
* K& o3 M9 P( z$ G* Z' |[size=0.19] 查看刚刚的配置,可以发现节点10只有节点语句而没有条件语句 & `) c0 f* y0 G$ k
5 Z3 n1 d/ j) {) e# b& z
: y& _+ s, S% ~& a! }
7 o8 ~+ S. p4 S& G
 ! `! U' J/ [6 i: P6 V7 r' X5 P8 [
( V1 @: f7 k( [9 [' R7 @) `2 W) `8 o+ L6 m
, f; H8 R' p" M ^/ Q
[size=0.19]
- ?, }0 [. b) X8 x1 K
! W* @7 W. o: J+ T) v& G4 q
我们首先看一下第一个节点语句10,而没有条件语句,节点语句是拒绝。那么就会拒绝所有路由,AR1上自然也就学习不到引入的路由。 3 P9 @2 k2 `% _' H
7 F$ X6 B6 W2 Q
; W, I6 m$ _# }! `5 M4 J
' w- t$ ^2 Z9 L7 r: \' ^. d[size=0.19] 在AR1上查看路由表验证下,果然是没有学习到路由。
# c! D% V- Y) D; h- c, x- u% Z
+ ~" ] i; [4 F5 I4 E8 t
- ~& {* r- S( { _* {* c) C$ V
- o$ A0 P$ a6 B t: k; _/ Z
 & O2 a0 s/ ]4 ] Q3 |3 c8 C* F
8 k+ x6 K0 j3 ^0 H* N
( W3 s6 R' L% R, K1 ]6 Q
" g' @6 y: J: _& p[size=0.19]
( n N0 i- y0 G$ ]
$ {7 L) N, |- v) E) h
: l% b5 m1 A, q# b 3.那我们把ip前缀列表1-4都修改成如下 6 I( q. E0 E+ K/ w; T
- O2 V- ^4 v! Y: ]9 g' a$ ?
! R s# d) L1 v6 r# L
5 t+ X6 `( d z0 I0 Z, x
; I* k! v4 `$ U7 @2 t$ z" [) B8 }. _0 f; ^% l
2 R) X9 _1 y( Z
 9 h3 F/ d4 g) K. |
* A" v, |: ?# m. G# I5 h
7 ]5 @7 d J8 @2 B; h
4 b( o/ v$ R) w
1 q8 V O2 a+ k. J8 T
! u8 E: o6 u& O* I/ D$ v" z/ T* q: `* |
) k! S. e$ C" @5 ?" ? + j: H$ N$ g. T. X1 x+ a
: m; p- O( |4 A: t# B" y6 r" g* x% o6 a7 D1 a" j& j9 p# b% D
: M6 i! D* q" s) B7 r( @6 g
[size=0.19] 重新配置下route-policy 4条
5 ^% S# o! C! e1 B
9 E8 h) j. O6 O) b
4 i2 P% v. e D0 v
* J0 d, P j& Y$ r* y2 X
 1 I- T! C2 u$ @0 z7 x
! V' j8 ~; U+ ^0 W( H* M* ]
; L( U; A: Y$ i% Z, k$ E& u2 W
9 V' D3 }: p4 j8 @8 l 0 o; J3 T2 V8 p1 n
4 n' O, I# v9 U3 J6 g! X$ ^' j0 G& U7 |/ s3 X
0 @& w3 f3 ~* h) v3 W; n; w0 K! S
 3 m4 t: U1 N" t8 U! t, R9 i6 x F% _' @9 v
: @2 m8 q& D5 u" R
7 O1 ~! ~! z' {, S2 r* Q' j( h0 }
# |; ~ C2 M3 c
" C% P1 ~/ x2 S+ U" ?' {( G, Z7 H9 E, a* K4 F7 p: g$ \* z: ?8 Q
' L/ ]- s! ?: }* r# k; o& G
" w0 ~. \5 x- |, K
6 z! Z& V" {5 o1 x8 k- |# a$ @7 l* s- E4 e$ f
( ]6 l, a" C, e $ y: g. ?4 \$ `9 z- g+ T9 ^+ R+ S, E
( _$ `6 f/ J5 \: y
- r B) A6 z- s0 u
) A( [: j4 B9 ^[size=0.19]那么现在AR1可以学习到什么路由条目呢? 8 o5 ]! y4 v* Y5 {
% m7 B& {6 t$ ?9 o
[size=0.19]我们来看下节点10,节点10的动作是允许,而ip前缀1是拒绝,那么就不会选中,就去跳到第二个节点20,节点20的动作是拒绝,而ip前缀2是允许,那么同样也不会选择,跳到第三个节点30,节点30的动作是允许,而ip前缀3是允许,那么
' Q, n* B2 q7 g8 r' P
7 ?8 h% Q5 E% U3 ` k
就会命中和匹配上,第四个节点40,节点40的动作是允许,而ip前缀4是允许,那么也会命中和匹配上。 , K& M: O+ i, P$ m
% A- w) X& d# ] v# u' [- d& r0 n+ U
3 H4 s9 t7 |- p( q2 D. H0 ^1 g
[size=0.19]所以节点30和节点40,就会被执行。所以这时可以学习到192.168.1.1和172.16.1.1这两条路由。
" y. o! c) l2 Z1 Q
# x; B! s4 n' {) K, C; v% a
& W+ i }( n$ G" w4 w9 n
[size=0.19]我们在AR1上查看验证下,可以发现已经学习到两条路由了。
1 u8 q! k, [! s3 r/ D4 ] " c) x, v* y- T* P" x+ h. U
( T V8 C9 w8 L. P* l
3 I2 [7 \* ^* u$ o: F
; F2 m, d' z; z, @: ]' ][size=0.19]我们都知道一个完成的route-policy 是由三部分组成,节点语句+条件语句+执行语句。每个节点语句可以有多个条件语句,节点语句可以有多个条件语句,条件语句之间的关键是“与”(和)关系。但是一个节点只有一个ACL或者是ip前缀列
" i/ v- s: V% v3 L$ _ V3 `) }2 G
K. a" Y; U8 Z5 X+ T+ y/ M
* I. a' @8 w- y* w/ H; s+ u
表。当条件语句的一个或者多个条件语句满足了,才会执行本节点内的动作。
- J( j/ i4 X5 z
' ^; s" P" Z2 ?; m$ j \
) z/ J' Q" P" G; v8 n) r
1 `, S/ Y2 E( H- O
[size=0.19]当然一个route-policy 由一个或者多个节点组成,节点之间的关系是“或”,是根据节点编号大小自上而下按顺序执行,匹配上一个节点就不会继续向下匹配。 ) h. s! W6 s' E$ [
3 r( R; _% {' A0 ~& V) N9 h/ i
( V, ^1 X* e9 f) \
[size=0.19]我们接着3的实验,也可以通过route-policy 修改它的属性,修改它的属性就是必须要满足他们的条件语句,最后的执行语句才会执行。
+ B+ j6 Y( H% j e* U
$ n% C9 K& @6 N7 B
" X1 T+ j" x. h
[size=0.19]接着我们在重新添加route-policy 在节点30和节点40中
9 v8 X$ @# x& l, Y! [
) @! S; \% K- b7 m/ ^) y8 j0 s* j: a
% R/ `, b* L* B, W; _4 l2 g, F; Q+ b- X
[size=0.19]执行把192.168.1.0网段路由改为type-1 ; R3 M* T' ^; Z7 i0 K' a6 |
$ \- \5 P. ~! |9 P; \
9 f( a# Q4 S6 V& U* `4 o" Z3 I
6 E3 S7 c. S( r2 p' W+ P5 b) h
' z! r& K, M& U8 {( b' s 2 t; X1 ]7 p' E6 D3 J* z! ~5 ]4 N0 T
6 @( J$ D ~( s! p& Y3 U& w4 a6 s% @
! H7 ~! a$ m8 r4 ^; k- T& B J' y* R7 ~& `& p C ], g/ W* H
[size=0.19]如果匹配tag标记100,执行开销为20 6 V" T3 E+ E8 `' E' v7 z, b
9 m( y7 c$ h/ z6 q2 B/ q
; |5 R7 e& N7 B* D
; T7 K8 D. N0 {- x# Z
, q1 A) h4 b4 \* ~$ Z5 d7 F[size=0.19]执行开销类型为类型1 2 e/ S- \4 Q7 t: V* Z5 n# K( D8 W
4 F& V7 d+ F; S# i4 ^( Q
+ A$ C' T, Z! V+ F) _[size=0.19]查看刚刚配置的结果 : G: B, d! y4 X- M. z
$ E0 p- _7 N$ ~$ l2 c4 t w: z/ t: E# ^+ @* }
" u2 |9 E" v! x' X5 a1 x% u7 t% U2 V# e% [8 h
[size=0.19]最后在AR1上查看路由表和lsdb验证下 # D* Y' R8 z1 v: N6 q% [% |
. {- N1 J5 {, J# T
2 @3 C4 X2 Y6 B: C+ R% g l[size=0.19]我们可以看到节点30的条件语句都匹配了,所以AR1可以学习到,并且把引入外部路由的默认类型2改成了1
2 a) x- |3 {, c$ T7 B) }0 G) L
" C) ? a5 @; z1 S/ }# B( N# n
* g' b: \6 k5 g) Y$ z* r0 M
[size=0.19]而节点30 中的条件语句第一条就不匹配,所以后面的条件语句都不会匹配,所以就会被过滤掉。条件语句必须全部满足才可以。
1 w9 g% D0 J4 L Q! h1 G6 B
, {! {7 d$ v" C! I 4 R& P8 j: D- ^& [" C- v) h, L
. U' t* c4 ?; d$ d' C9 C
5 l5 W+ o, [5 D, b4 o. x
+ V7 J0 o* L: ^8 s& s+ a8 |
 1 w- _9 C" h) O* a+ }& l- F* S! E
2 z. T: Y' D% X3 D) y
% w( H5 \6 E' H' J* Q% E
3 I5 V, o% ]0 G. u' R+ a# x9 N& X$ o8 K5 x; ~3 g- k
2 c. ]# V7 K( [5 }& O+ q ^! T3 h |
所有IT类厂商认证考试题库下载
【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器
