HCIP 第九天

在多点的重发布中，由于重发布技术的种子度量值问题，将必然导致选路不佳；只能依赖路由策略来人为干涉选路。

控制层流量 -- 路由协议发送路由信息是产生的流量。

数据层流量 -- 设备访问目标地址时产生的流量。

路由策略：在控制层流量转发的过程中，截取流量，之后，修改流量中的参数或直接不转发，最终影响路由器路由表的生成，以达到干涉选路的目的。

1，抓取流量（控制层流量）

1，通过ACL列表进行抓取 --- 本身用于限制数据层流量的进出，也可以用于抓取控制层流量，但由于通配符的设计，导致其无法精确匹配控制层流量。

2，通过前缀列表进行抓取 --- IP-Prefix

[r1]ip ip-prefix aa permit 192.168.1.0 24 --- 网段信息，包含网络号和掩码信息

       前缀列表的名称

[r1]display ip ip-prefix aa --- 查看前缀列表的规则

前缀列表的规则默认是以10为步调自动添加。便于插入和删除规则

前缀列表的匹配规则：自上而下，逐一匹配，一旦匹配上将按照该规则执行，而不再向下匹配。末尾隐含拒绝所有。

[r1]ip ip-prefix aa index 15 permit 192.168.3.0 24 --- 通过序号插入规则

[r1]undo ip ip-prefix aa index 15 --- 通过序号删除规则

前缀列表还可以进行范围匹配

[r1]ip ip-prefix aa permit 192.168.3.0 24 less-equal

28 ---- 匹配路由的掩码范围在24 - 28之间

[r1]ip ip-prefix aa permit 192.168.4.0 24 greater-equal

28 --- 前后如果矛盾，则见按照后面的为准，前面的数字含有

将不再代表掩码长度，而代表前24为固定。

[r1]ip ip-prefix aa permit 192.168.5.0 24 greater-equal

28 less-equal 30 --- 匹配前24位固定，掩码长度在28到30之

间的路由信息。

[r1]ip ip-prefix aa permit 192.168.6.0 24 greater-equal

28 less-equal 28 --- 匹配前24位固定，掩码长度必须为28位

的路由网段。

匹配所有的主机路由

[r1]ip ip-prefix aa permit 0.0.0.0 0 greater-equal 32

匹配所有

[r1]ip ip-prefix aa permit 0.0.0.0 0 less-equal 32

匹配缺省路由

[r1]ip ip-prefix aa permit 0.0.0.0 0

2，路由策略

1，RIP的merticin和merticout --- 偏移列表 --- 只能应用在距离矢量型协议上，链路状态型协议是无法使用的。

[r1]ip ip-prefix aa permit 23.0.0.0 24 --- 通过前缀列表

抓取目标网段的流量

[r1-GigabitEthernet0/0/1]rip metricin ip-prefix aa

10 --- 在路由器接口上做入方向的偏移列表

2，filter-policy --- 过滤列表/过滤策略

[r1]ip ip-prefix bb deny 34.0.0.0 24 ---- 因为过滤列表

本身并不具备过滤功能，所以，在进行流量抓取时，需要使用抓取流量列表的过滤功能。

[r1]ip ip-prefix bb permit 0.0.0.0 0 less-equal 32

[r1-rip-1]filter-policy ip-prefix bb import

GigabitEthernet 0/0/0 ---- 在进程中调用过滤列表，注意， 按需求确认是否需要选择作用的接口

过滤列表 --- 可以在距离矢量型协议上使用，也可以在链路状态型协议中使用。但是注意，在链路状态型协议中使用时，在一个区域内，因为他没有办法过滤拓扑信息，所以只能在入方向进行调用，用来影响自身，并且只是在路由加表时不向路由表中

加表，并不是将拓扑信息过滤掉。

当然，如果想在出方向进行调用，可以在ABR或者ASBR上针

对三类，五类，七类LSA进行过滤。

3，Route-policy 路由策略

1，先抓取流量

Basic ACL 2000, 1 rule

Acl's step is 5

rule 5 permit source 1.1.1.0 0

Basic ACL 2001, 1 rule

Acl's step is 5

rule 5 permit source 2.2.2.0 0

ip ip-prefix aa index 10 permit 3.3.3.0 24

ip ip-prefix bb index 10 permit 4.4.4.0 24

2，路由策略

[r2]route-policy aa deny node 10 --- 加了一个列表的

条目序号，我们一般也是以10为步调手工添加路由策略的名称

[r2]route-policy aa deny node 10

[r2-route-policy]if-match acl 2000 ---- 如果匹配到ACL2000抓取到的流量

[r2]route-policy aa permit node 20

Info: New Sequence of this List.

[r2-route-policy]if-match acl 2001

[r2-route-policy]apply cost-type type-1

[r2]route-policy aa permit node 30

[r2-route-policy]if-match ip-prefix aa

[r2-route-policy]apply cost 10

[r2]route-policy aa permit node 40

Info: New Sequence of this List.

[r2-route-policy]if-match ip-prefix bb

[r2-route-policy]apply cost-type type-1 ---- 单条规则中如果存在多个小动作或者匹配规则，则他们之间将按照“与”关系来执行。而规则之间则按照匹配原则，满足“或”关系即可。

[r2-route-policy]apply tag 6666

[r2]route-policy aa permit node 50 --- 放通所有流量

路由策略的匹配规则 ---- 自上而下，逐一匹配，一旦匹配上将按照该规则执行，而不再向下匹配。末尾隐含拒绝所有。

3，在重发布中进行调用

[r2-ospf-1]import-route rip 1 route-policy aa

ROUTE-POLICY的配置指南

1，即便要拒绝一个流量，在抓取时也使用允许，之后在路由策略中进行拒绝。

2，在一条规则中，若没有进行流量匹配的动作，则代表匹配所有流量；如果没有相应的应用（小动作），则仅对匹配的流量执行大动作即可；因此，大动作为允许的空表，代表允许所有。