對比Route-Map在 Redistribute以及Policy-Routing
route-map 可以應用在兩種不同的地方:redistribute 和 policy routing,但是區別必須搞清楚:
一、deny語句
1、route-map 中的deny語句如果匹配,redistribute時匹配的條目將不被重分發。
2、route-map 中的deny語句如果匹配,policy routing時,不再做策略路由,而交由正常路由表去轉發。
二、默認的deny all
route-map 同 access-list 一樣,最後都有隱含的deny all
三、route-map語句順利號
1、在編輯 route-map 時,如不註明 permit xx ,第一句默認爲 permit 10
例:
route-map cracker
match ip address 101
set ip next-hop 211.81.157.1
route-map cracker
match interface f0/0
set metric 100
相當於:
route-map cracker permit 10
match ip ad 101
set ip next-hop 211.81.157.1
route-map cracker permit 20
match int f0/0
set metric 100
2、刪除某條目時,如不註明語句號,則直接刪除整個route-map
例:
no route-map cracker
上面這條命令會刪除整個route-map,而不是我們想刪除的20語句,正確的用法是:
no route-map cracker 20
3、match 語句如果放在同一語句下,則爲匹配所有:
例3-1:
route-map cracker permit 10
match ip address 101
match ip length 1500
set ip next-hop 211.81.157.1
set metric 100
上例表示,同時滿足這兩種條件時,設置metric並轉發至211.81.157.1
例3-2:
route-map cracker permit 10
match ip address 101
set ip next-hop 211.81.157.1
route-map cracker permit 20
match ip address 102
set ip next-hop 211.81.157.2
route-map cracker permit 30
上例表示,順序匹配各條語句,但是一旦有一條語句被匹配,則跳出route-map。
四、policy routing
策略路由要注意,只能用在路由器的入接口上!
例:4-1
如R1上的s0/0爲入接口,s0/1爲出接口,向外接入兩個網段,分別爲172.16.1.1和2
route-map cracker
match ip address 10
set ip next-hop 172.16.1.1
route-map cracker
match ip address 20
set ip next-hop 172.16.1.2
access-list 10 permit 172.16.6.0 0.0.0.255
access-list 20 permit 172.16.7.0 0.0.0.255
int s0/0
ip ad 172.16.8.254 255.255.255.0
ip policy route-map cracker
上例中,如果6網段的包會被轉發至1.1,7網段的包會被轉發至1.2。而8網段的包由於沒有語句匹配,則轉交正常路由錶轉發,結果一般會是負載分擔,兩個目的各承擔一半流量。
策略路由的應用其實很廣,包括匹配包大小,小包走一條鏈路,大包走另一條,這樣不至於造成語音數據的擁塞。
還可以匹配協議類型,HTTP,FTP,TELNET,BT等協議可以區別對待,甚至可以匹配七層協議中的網址,如去往ttp://blog.sina.com.cn/cisco網站的流量我們選條高帶寬鏈路:)
六、route-map在redistribute中的應用
這樣的應用同樣很多,也非常重要,這是現有的市場環境導致的,許多公司一年到頭都在併購,收購中運營,新加入的公司網絡如何與現有網絡集成,這就不得不提到重分發,redistribute。重分發可以使兩個不同路由協議下的網絡互相交流路由信息,但如果我們需要精確地管理,哪些條目可以被分發進來,哪些不可以,這個時候,一般可以採用兩種方法, route-filter 和 route-map 。
例:
route-map cracker deny 10
match ip address 10
route-map cracker permit 20
route-map cuijian permit 20
match ip address 20
access-list 10 permit 10.1.0.0 0.0.255.255
access-list 20 permit 172.16.0.0 0.0.255.255
router ospf 1
redis rip metric 100 subnets route-map cracker
上例中,10網段的路由條目不會被重分發進ospf,注意語句是deny的,而cracker語句中的第20條,由於無match語句,將會匹配所有條目。整條語句作用是將除10.1.0.0網段的路由條目作重分發。
route-map cuijian則由於最後隱含的deny all,會將除了172.16.0.0網段的路由全都不做重分發。
其實route-map cracker和route-map cuijian在這裏的作用是一樣的。都不對10網段條目做重分發。
我們通過類似這樣的設計可以從路由方面隔離兩個域,作到基本的安全策略。
一、deny語句
1、route-map 中的deny語句如果匹配,redistribute時匹配的條目將不被重分發。
2、route-map 中的deny語句如果匹配,policy routing時,不再做策略路由,而交由正常路由表去轉發。
二、默認的deny all
route-map 同 access-list 一樣,最後都有隱含的deny all
三、route-map語句順利號
1、在編輯 route-map 時,如不註明 permit xx ,第一句默認爲 permit 10
例:
route-map cracker
match ip address 101
set ip next-hop 211.81.157.1
route-map cracker
match interface f0/0
set metric 100
相當於:
route-map cracker permit 10
match ip ad 101
set ip next-hop 211.81.157.1
route-map cracker permit 20
match int f0/0
set metric 100
2、刪除某條目時,如不註明語句號,則直接刪除整個route-map
例:
no route-map cracker
上面這條命令會刪除整個route-map,而不是我們想刪除的20語句,正確的用法是:
no route-map cracker 20
3、match 語句如果放在同一語句下,則爲匹配所有:
例3-1:
route-map cracker permit 10
match ip address 101
match ip length 1500
set ip next-hop 211.81.157.1
set metric 100
上例表示,同時滿足這兩種條件時,設置metric並轉發至211.81.157.1
例3-2:
route-map cracker permit 10
match ip address 101
set ip next-hop 211.81.157.1
route-map cracker permit 20
match ip address 102
set ip next-hop 211.81.157.2
route-map cracker permit 30
上例表示,順序匹配各條語句,但是一旦有一條語句被匹配,則跳出route-map。
四、policy routing
策略路由要注意,只能用在路由器的入接口上!
例:4-1
如R1上的s0/0爲入接口,s0/1爲出接口,向外接入兩個網段,分別爲172.16.1.1和2
route-map cracker
match ip address 10
set ip next-hop 172.16.1.1
route-map cracker
match ip address 20
set ip next-hop 172.16.1.2
access-list 10 permit 172.16.6.0 0.0.0.255
access-list 20 permit 172.16.7.0 0.0.0.255
int s0/0
ip ad 172.16.8.254 255.255.255.0
ip policy route-map cracker
上例中,如果6網段的包會被轉發至1.1,7網段的包會被轉發至1.2。而8網段的包由於沒有語句匹配,則轉交正常路由錶轉發,結果一般會是負載分擔,兩個目的各承擔一半流量。
策略路由的應用其實很廣,包括匹配包大小,小包走一條鏈路,大包走另一條,這樣不至於造成語音數據的擁塞。
還可以匹配協議類型,HTTP,FTP,TELNET,BT等協議可以區別對待,甚至可以匹配七層協議中的網址,如去往ttp://blog.sina.com.cn/cisco網站的流量我們選條高帶寬鏈路:)
六、route-map在redistribute中的應用
這樣的應用同樣很多,也非常重要,這是現有的市場環境導致的,許多公司一年到頭都在併購,收購中運營,新加入的公司網絡如何與現有網絡集成,這就不得不提到重分發,redistribute。重分發可以使兩個不同路由協議下的網絡互相交流路由信息,但如果我們需要精確地管理,哪些條目可以被分發進來,哪些不可以,這個時候,一般可以採用兩種方法, route-filter 和 route-map 。
例:
route-map cracker deny 10
match ip address 10
route-map cracker permit 20
route-map cuijian permit 20
match ip address 20
access-list 10 permit 10.1.0.0 0.0.255.255
access-list 20 permit 172.16.0.0 0.0.255.255
router ospf 1
redis rip metric 100 subnets route-map cracker
上例中,10網段的路由條目不會被重分發進ospf,注意語句是deny的,而cracker語句中的第20條,由於無match語句,將會匹配所有條目。整條語句作用是將除10.1.0.0網段的路由條目作重分發。
route-map cuijian則由於最後隱含的deny all,會將除了172.16.0.0網段的路由全都不做重分發。
其實route-map cracker和route-map cuijian在這裏的作用是一樣的。都不對10網段條目做重分發。
我們通過類似這樣的設計可以從路由方面隔離兩個域,作到基本的安全策略。