使用ACL以及Prefix-list加route-map控制路由更新
拓撲
說明:左邊跑OSPF,右邊跑EIGRP,重分佈路由協議
用訪問列表與字首列表控制路由更新
在OSPF路由協議域拒絕掉5.5.0.0 5.5.1.0 5.5.2.0 5.5.3.0 的路由
在OSPF路由協議域拒絕掉15.5.16.0/20 15.5.64.0/18的路由
配置說明
1. 在所有路由器上配置IP地址,並如上圖所示配置路由協議
2. 在R3上配置重分發,確保R1看到R5所有的環回口路由
R1#show ip route ospf
34.0.0.0/24 is subnetted, 1 subnets
O E2 34.1.1.0 [110/20] via 12.1.1.2, 00:00:12, Serial0/0
5.0.0.0/24 is subnetted, 6 subnets
O E2 5.5.0.0 [110/20] via 12.1.1.2, 00:00:12, Serial0/0
O E2 5.5.1.0 [110/20] via 12.1.1.2, 00:00:12, Serial0/0
O E2 5.5.2.0 [110/20] via 12.1.1.2, 00:00:12, Serial0/0
O E2 5.5.3.0 [110/20] via 12.1.1.2, 00:00:12, Serial0/0
O E2 5.5.4.0 [110/20] via 12.1.1.2, 00:00:12, Serial0/0
O E2 5.5.5.0 [110/20] via 12.1.1.2, 00:00:12, Serial0/0
23.0.0.0/24 is subnetted, 1 subnets
O 23.1.1.0 [110/128] via 12.1.1.2, 00:32:48, Serial0/0
45.0.0.0/24 is subnetted, 1 subnets
O E2 45.1.1.0 [110/20] via 12.1.1.2, 00:00:12, Serial0/0
15.0.0.0/8 is variably subnetted, 4 subnets, 4 masks
O E2 15.4.0.0/16 [110/20] via 12.1.1.2, 00:00:12, Serial0/0
O E2 15.5.16.0/20 [110/20] via 12.1.1.2, 00:00:12, Serial0/0
O E2 15.5.64.0/18 [110/20] via 12.1.1.2, 00:00:12, Serial0/0
O E2 15.5.129.0/26 [110/20] via 12.1.1.2, 00:00:12, Serial0/0
R1#
3. 控制路由重分發,在R3上使用route-map加訪問控制列表控制更新
在OSPF路由協議域拒絕掉5.5.0.0 5.5.1.0 5.5.2.0 5.5.3.0 的路由
R3(config)#ip access-list stand 10
R3(config-std-nacl)#10 permit 5.5.0.0 0.0.3.0
R3(config-std-nacl)#exit
R3(config)#route-map liuqing deny 10
R3(config-route-map)#match ip add 10
R3(config-route-map)#exit
R3(config)#route-map liuqing per 20
R3(config-route-map)#set metric-type type-1
R3(config)#router ospf 110
R3(config-router)#redistribute eigrp 90 subnets route-map liuqing
此時,檢視R1的路由表
R1#show ip route ospf
34.0.0.0/24 is subnetted, 1 subnets
O E1 34.1.1.0 [110/148] via 12.1.1.2, 00:02:42, Serial0/0
5.0.0.0/24 is subnetted, 2 subnets
O E1 5.5.4.0 [110/148] via 12.1.1.2, 00:02:42, Serial0/0
O E1 5.5.5.0 [110/148] via 12.1.1.2, 00:02:42, Serial0/0
23.0.0.0/24 is subnetted, 1 subnets
O 23.1.1.0 [110/128] via 12.1.1.2, 00:50:02, Serial0/0
45.0.0.0/24 is subnetted, 1 subnets
O E1 45.1.1.0 [110/148] via 12.1.1.2, 00:02:42, Serial0/0
15.0.0.0/8 is variably subnetted, 4 subnets, 4 masks
O E1 15.4.0.0/16 [110/148] via 12.1.1.2, 00:02:42, Serial0/0
O E1 15.5.16.0/20 [110/148] via 12.1.1.2, 00:02:42, Serial0/0
O E1 15.5.64.0/18 [110/148] via 12.1.1.2, 00:02:42, Serial0/0
O E1 15.5.129.0/26 [110/148] via 12.1.1.2, 00:02:42, Serial0/0
結果:需要被過濾的4條路由已經不會顯示在R1的路由表中了。
4. 控制路由更新,在R3上使用字首列表加route-map控制更新,禁止在OSPF路由域學習到15.5.16.0/20 15.5.64.0/18的路由
R3(config-route-map)#route-map liuqing deny 15
R3(config-route-map)#match ip address prefix-list 20
檢視R1的路由表
R1#show ip route ospf
34.0.0.0/24 is subnetted, 1 subnets
O E1 34.1.1.0 [110/148] via 12.1.1.2, 00:01:17, Serial0/0
5.0.0.0/24 is subnetted, 2 subnets
O E1 5.5.4.0 [110/148] via 12.1.1.2, 00:01:17, Serial0/0
O E1 5.5.5.0 [110/148] via 12.1.1.2, 00:01:17, Serial0/0
23.0.0.0/24 is subnetted, 1 subnets
O 23.1.1.0 [110/128] via 12.1.1.2, 01:05:02, Serial0/0
45.0.0.0/24 is subnetted, 1 subnets
O E1 45.1.1.0 [110/148] via 12.1.1.2, 00:01:17, Serial0/0
15.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
O E1 15.4.0.0/16 [110/148] via 12.1.1.2, 00:01:17, Serial0/0
O E1 15.5.129.0/26 [110/148] via 12.1.1.2, 00:01:17, Serial0/0
總結:
1. 使用訪問控制列表可以用一條語句控制多條路由,用反掩碼來匹配,反掩碼為0的位表示必須與路由條目匹配,反掩碼為1的位表示無需匹配。但使用訪問控制列表來過濾路由的話,不能匹配路由的掩碼長度
2. 使用字首列表控制路由更新時可以使用一條語句匹配多條路由。使用字首列表過濾路由,可以匹配子網掩碼
3. 使用route-map控制路由更新時,如果match 語句是橫著有多個訪問控制列表或者字首列表,代表只需匹配其中的一個地址就執行route-map,如果在同一個序列號下豎著寫多個match ip address,則表示需要同時滿足這兩個要求才執行route-map
4. 在使用route-map進行控制路由更新時,所用的訪問控制列表以及字首列表都使用permit語句,表示匹配一條或者多條路由;如果是要拒絕這個一條或者多條路由,那麼在route-map中使用deny語句,下面掛列表。如果是要允許,則使用permit語句。Route-map的最後隱含了一條deny語句,如果沒有寫一條permit的空語句,則會匹配預設的deny語句
5. 關於ACL以及Prefix-list的更多知識,請自行查詢
轉載於:https://blog.51cto.com/liu008qing/460417