route-map作爲一個控制路由的工具,功能十分強大。一個route-map由多個節點組成,每個節點都會由permit和deny來構成。每個節點可以通過match訪問控制列表或者前綴列表來進行匹配路由,應用相應的策略。
相信許多朋友在初次接觸route-map時可能都會遇到這樣的問題:route-map節點中的permit和deny與訪問控制列表中的permit和deny有哪些區別?
下面舉例說明兩者之間的區別,如圖所示,用R1的環回接口模擬多個網段,在將這些路由引入到OSPF時通過route-map來控制。
1、使用ACL匹配路由(ACL的permit和deny)
*這裏需要強調第一個注意點:ACL和ip prefix-list被route-map進行調用時,這裏的permit是指匹配該路由,deny是指不匹配該路由,而並不是過濾路由的意思。
2、定義策略(route-map的permit和deny)
*這裏強調第二個注意點:route-map中的permit是指將匹配到的路由允許通過或者被執行相應的策略,而deny是指將匹配到的路由進行過濾。
在route-map中,我使用了3個節點,分析如下。
節點10:route-map的匹配模式爲deny,match中調用了ACL 1。因爲ACL被route-map調用時,permit是匹配,deny是不匹配,所以192.168.2.0/24在該節點被匹配,而192.168.1.0/24在該節點不會被匹配到,會放到下面的節點進行匹配。因此,這個節點的作用就是爲了過濾掉192.168.2.0/24這條路由。
節點20:route-map的匹配模式爲permit,match中調用了ACL 2。該節點匹配到的爲192.168.4.0/24這條路由。而192.168.3.0/24這條路由將會被放到下面的節點來匹配。節點20的作用就是將192.168.4.0/24路由的metric值改爲60。
節點30:route-map的匹配模式爲permit,沒有定義match和set,作用就是將前面節點沒有匹配到的路由全部匹配,動作爲允許通過。因此,上面節點中未被匹配的192.168.1.0/24和192.168.3.0/24將在此節點全部匹配,允許通過,且不修改任何屬性。
可以簡單的理解爲route-map的permit和deny用來放行(執行策略)或過濾路由,而ACL的permit和deny是通過匹配或不匹配的方式,來決定哪些路由需要被route-map控制。
3、路由引入時調用route-map
在R1上通過route-map控制引入OSPF的路由:
在R2上觀察現象:
可以通過R2的路由表看到192.168.2.0/24被route-map過濾,192.168.1.0/24和192.168.3.0/24的屬性沒變,只有192.168.4.0/24的metric值變爲60,符合預期。