匹配工具

ACL（访问控制列表）

详见

2022-01-02 网工基础（十八）ACL原理与配置_鹅一只的博客-CSDN博客ACL原理与配置随着网络的飞速发展，网络安全和网络服务质量QoS(QualityofService)问题日益突出。访问控制列表(ACL,AccessControlList)是与其紧密相关的一个技术。ACL可以通过对网络中报文流的精确识别，与其他技术结合，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。一 ACL概述ACL是由一系列permit或deny语句组成的、有序规则的列表。ACL是一个匹配工具，能够对报文进行匹配https://blog.csdn.net/x629242/article/details/122275642

相关命令补充

使用time-range工具设定时间范围

[R1]time-range qyt 8:30 to 17:30 working-day 

ACL---匹配时间范围举例

[R1-acl-basic-2000]rule 5 permit time-range qyt source 1.1.1.1 0 

IP-Prefix List（IP前缀列表）

IP前缀列表（IP-Prefix List）是将路由条目的网络地址、掩码长度作为匹配条件的过滤器，可在各路由协议发布和接收路由时使用。

不同于ACL，IP-Prefix List能够同时匹配IP地址前缀长度以及掩码长度，增强了匹配的精确度。

1、ip-prefix-name：地址前缀列表名称

2、序号：本匹配项在地址前缀列表中的序号，匹配时根据序号从小到大进行顺序匹配

3、动作：permit/deny，地址前缀列表的匹配模式为允许/拒绝，表示匹配/不匹配

4、IP网段与掩码：匹配路由的网络地址，以及限定网络地址的前多少位需严格匹配

5、掩码范围：匹配路由前缀长度，掩码长度的匹配范围 mask-length<=greater-equal-value<=less-equal-value<=32。greater-equal代表大于等于，less-equal-value代表小于等于，最小值为前面设定的掩码值，最大值为32。代表抓取设定掩码值到32之间的掩码范围。

策略工具

Filter-Policy（过滤-策略）

Filter-Policy（过滤-策略）是一个很常用的路由信息过滤工具，能够对接收、发布、引入的路由进行过滤，可应用于IS-IS、OSPF、BGP等协议。

详见

2022-05-25 网工进阶（七）OSPF-影响邻居关系建立的因素、路由撤销、路由汇总、路由过滤、Silent-Interface、报文认证_鹅一只的博客-CSDN博客_ospf报文认证路由汇总路由汇总又被称为路由聚合，即是将一组前缀相同的路由汇聚成一条路由，从而达到减小路由表规模以及优化设备资源利用率的目的，我们把汇聚之前的这组路由称为精细路由或明细路由，把汇聚之后的这条路由称为汇总路由或聚合路由。OSPF路由汇总的类型在ABR执行路由汇总：对区域间的路由执行路由汇总。在ASBR执行路由汇总：对引入的外部路由执行路由汇总。在NSSA区域，ABR也是执行ASBR汇总的。它对7类汇总后转换为5类。相关命令在ABR执行路由汇总[R1-ospf-1-https://blog.csdn.net/x629242/article/details/124624154#t62022-06-28 网工进阶（十三）IS-IS-路由过滤、路由汇总、认证、影响ISIS邻居关系建立的因素、其他命令和特性_鹅一只的博客-CSDN博客IS-IS协议和OSPF一样可以进行路由过滤，分别为对入方向和出方向进行过滤。入方向出方向IS-IS协议和OSPF一样可以进行路由汇总。汇总后面加上等级表示要发布到的区域IS-IS认证是基于网络安全性的要求而实现的一种认证手段，通过在IS-IS报文中增加认证字段对报文进行认证。当本地路由器接收到远端路由器发送过来的IS-IS报文，如果发现认证密码不匹配，则将收到的报文进行丢弃，达到自我保护的目的。接口认证：在接口视图下配置，对Level-1和Level-2的Hello报文进行认证。区https://blog.csdn.net/x629242/article/details/125502592#t0除了上述博文中可以调用匹配工具ACL，还可以调用匹配工具IP-Prefix List

例如

[R1]ip ip-prefix qyt index 5 permit 1.1.1.1 24 greater-equal 26 less-equal 30 

[R1-ospf-1]filter-policy ip-prefix qyt export 

Route-Policy（路由-策略）

Route-Policy是一个策略工具，用于过滤路由信息，以及为过滤后的路由信息设置路由属性。

一个Route-Policy由一个或多个节点（Node）构成，每个节点都可以是一系列条件语句（匹配条件）以及执行语句（执行动作）的集合，这些集合按照编号从小到大的顺序排列。

每个节点内可包含多个条件语句。节点内的多个条件语句之间的关系为“与”，即匹配所有条件语句才会执行本节点内的动作。

节点之间的关系为“或”，route-policy根据节点编号大小从小到大顺序执行，匹配中一个节点将不会继续向下匹配。

Route-Policy的组成

一个Route-Policy由一个或多个节点构成。

例如

[R1]route-policy qyt permit node 5

permit或deny：指定Route-Policy节点的匹配模式为允许或拒绝。

node：指定Route-Policy的节点号。整数形式，取值范围是0～65535。

每个节点包括多个if-match和apply子句。

例如

[R1-route-policy]if-match ip-prefix qyt

[R1-route-policy]apply cost 10

if-match子句：定义该节点的匹配条件。

apply子句：定义针对被匹配路由执行的操作。

注：Route-Policy可以被Filter-Policy调用