附录 路由策略 ACL IP前缀列表精讲

附录

补充第二十章路由策略与路由控制主讲：孙秀英

二级教授《路由交换技术及应用》第4版

（微课版）“十四五”职业教育国家规划教材主编：孙秀英路由策略与路由控制学习目录附录补充

第20章20.1

路由控制概述20.2路由控制工具20.3路由控制案例20.1路由控制概述1.路由信息过滤2.路由控制3.路由选择工具ACL匹配路由；IP-Prefix匹配路由Filter-Policy路由过滤Route-Policy路由过滤及属性修改学习目标

路由控制概述：在复杂的数据通信网络建设项目中，需要针对实际组网需求，使用一些路由策略对路由信息进行过滤和属性设置等操作，这个操作过程就是路由控制。

路由控制可以影响数据流量转发。路由策略通常包含了多种工具及方法。本章主要讲述网络中常用的路由选择工具以及路由策略的原理与配置。技术背景R1上将业务A、B、C的网段路由引入时希望不引入业务C网段路由，同时R3上将OSPF路由引入到IS-IS中时，同样只希望引入B业务网段路由。此时需要一个工具在引入路由时进行限制。R1R2R3R4GE0/0/210.0.34.3/24GE0/0/310.0.34.4/24GE0/0/210.0.12.1/24GE0/0/310.0.12.2/24GE0/0/210.0.23.2/24GE0/0/310.0.23.3/24业务A172.16.1.0/24OSPFArea0IS-ISArea

49.0001Level-1业务B172.16.2.0/24业务C172.16.3.0/24不将到达B业务网段的路由引入不将到达C业务网段的路由引入路由控制概述路由控制可以通过路由策略（Route-Policy）实现，路由策略应用灵活而广泛，有以下几种常见方式：控制路由的发布：通过路由策略对发布的路由进行过滤，只发布满足条件的路由。控制路由的接收：通过路由策略对接收的路由进行过滤，只接收满足条件的路由。控制路由的引入：通过路由策略控制从其他路由协议引入的路由条目，只有满足条件的路由才会被引入。定义路由特征匹配出要实施路由策略的路由，即定义一组匹配规则进行匹配：可以根据路由信息中的不同属性进行匹配，如目的地址、Tag值等。路由发布路由接收路由引入应用路由控制概述路由控制工具路由匹配工具路由策略工具路由控制案例匹配工具1：访问控制列表访问控制列表（AccessControlList，ACL）是一个匹配工具，能够对报文及路由进行匹配和区分。ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则，每条语句中的permit或deny就是与这条规则相对应的处理动作。rule5permitsource1.1.1.00.0.0.255aclnumber2000rule10denysource2.2.2.00.0.0.255rule15permitsource3.3.3.00.0.0.255……rule4294967294deny访问控制列表的编号用户自定义的规则系统在ACL末尾隐含的规则规则编号动作匹配项(此处为源IP地址)ACLIPPrefixList通配符aclnumber2000rule 5 deny source10.1.1.10rule 10 deny source10.1.1.20rule 15 permit source10.1.1.00.0.0.255通配符匹配规则：“0”表示“匹配”；“1”表示“无需匹配”如何匹配192.168.1.0/24网段内的IP地址？192.168.1.10.0.0.2551100000010101000000000010000000100000000000000000000000011111111严格匹配无需匹配192.168.1.0/24网段通配符(Wildcard)通配符是一个32比特长度的数值，用于指示IP地址中哪些比特位需要严格匹配，哪些比特位无需匹配。通配符通常采用类似网络掩码的点分十进制形式表示，但是含义却与网络掩码完全不同。ACLIPPrefixListACL的分类与基本ACL基于ACL规则定义方式的划分分类编号范围规则定义描述基本ACL2000~2999仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。高级ACL3000~3999可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。二层ACL4000~4999使用报文的以太网帧头信息来定义规则，如根据源MAC地址、目的MAC地址、二层协议类型等。用户自定义ACL5000~5999使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则。用户ACL6000~6999既可使用IPv4报文的源IP地址或源UCL（UserControlList）组，也可使用目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。基本ACLIPHeaderTCP/UDPHeaderDataaclnumber2000rule 5 deny source10.1.1.10rule 10 deny source10.1.1.20rule 15 permit source10.1.1.00.0.0.255源IP地址ACLIPPrefixListACL的匹配机制引用的ACL是否存在？ACL是否存在rule？分析第一条rule命中rule是否存在其它rule分析下一条ruleACL动作是permit还是denyACL匹配结果为拒绝ACL匹配结果为允许ACL匹配结果为不匹配是是否是否否否是permitdeny匹配原则：一旦命中即停止匹配开始结束ACLIPPrefixListACL的匹配顺序及匹配结果配置顺序（config模式）系统按照ACL规则编号从小到大的顺序进行报文匹配，规则编号越小越容易被匹配。1.1.1.1/321.1.1.0/241.1.0.0/161.0.0.0/81.1.1.1/321.1.1.0/241.1.0.0/16acl2000rule5permitsource1.1.0.00.0.255.255待匹配对象被匹配的路由条目“允许”是指什么？rule5：匹配目的网络地址以1.1开头的路由前缀ACLIPPrefixListIPRouting-tableMatchedRouteEntry常用匹配举例1.1.1.0/241.1.2.0/241.1.3.0/24acl2000rule5permitsource1.1.2.00.0.0.2551.1.2.0/241.1.1.0/241.1.2.0/240.0.0.0/0acl2000rule5permitsource0.0.0.0255.255.255.2551.1.1.0/241.1.2.0/240.0.0.0/01.1.1.1/321.1.1.2/321.1.1.3/32acl2000rule5permitsource1.1.1.10.0.0.2541.1.1.1/321.1.1.3/32匹配1.1.1为前缀且以奇数结尾的路由ACLIPPrefixList匹配前缀以1.1.2开头的路由匹配任意路由ACL只能匹配路由的前缀，无法匹配路由的网络掩码。基本ACL的基础配置命令[Huawei]acl[number]acl-number[match-orderconfig]创建基本ACL使用编号（2000～2999）创建一个数字型的基本ACL，并进入基本ACL视图。[Huawei]aclnameacl-name{basic|

acl-number

}[match-orderconfig]使用名称创建一个命名型的基本ACL，并进入基本ACL视图。[Huawei-acl-basic-2000]rule[rule-id]{deny|permit}[source{source-addresssource-wildcard|any}|time-range

time-name]配置基本ACL的规则在基本ACL视图下，通过此命令来配置基本ACL的规则。ACLIPPrefixList匹配工具2：IP前缀列表IP前缀列表（IP-PrefixList）是将路由条目的网络地址、掩码长度作为匹配条件的过滤器，可在各路由协议发布和接收路由时使用。不同于ACL，IP-PrefixList能够同时匹配IP地址前缀长度以及掩码长度，增强了匹配的精确度。ACLIPPrefixList[Huawei]ipip-prefixtestindex10permit192.168.1.022greater-equal24less-equal26ip-prefix-name序号动作掩码范围IP网段与掩码1、ip-prefix-name：地址前缀列表名称2、序号：本匹配项在地址前缀列表中的序号，匹配时根据序号从小到大进行顺序匹配3、动作：permit/deny，地址前缀列表的匹配模式为允许/拒绝，表示匹配/不匹配4、IP网段与掩码：匹配路由的网络地址，以及限定网络地址的前多少位需严格匹配5、掩码范围：匹配路由前缀长度，掩码长度的匹配范围mask-length<=greater-equal-value<=less-equal-value<=32IP-Prefix的匹配机制开始分析第一条索引表项待匹配路由在定义的范围内？是否剩余其它索引表项分析下一条索引表项动作是permit还是deny匹配结果为拒绝匹配结果为允许结束是否permitdeny顺序匹配是否唯一匹配默认拒绝ACLIPPrefixListIP-Prefix的匹配示例1.1.1.1/321.1.1.0/271.1.1.0/261.1.1.0/251.1.1.0/241.1.1.0/271.1.1.0/261.1.1.0/251.1.1.0/24ipip-prefixList1index10permit1.1.1.024greater-equal24less-equal27待匹配对象被匹配的路由条目上述IP前缀列表匹配的是网络地址的前24bit与1.1.1.0相同，网络掩码长度大于或等于24且小于或等于27的路由，因此1.1.1.1/32不匹配。IPRouting-tableMatchedRouteEntryACLIPPrefixListIP-Prefix的基础配置命令[Huawei]ipip-prefix

ip-prefix-name

[

index

index-number

]{

permit

|

deny

}

ipv4-address

mask-length

[

match-network

]

[

greater-equal

greater-equal-value

][

less-equal

less-equal-value

]创建IPv4地址前缀列表创建IPv4地址前缀列表或增加其中一个表项。ACLIPPrefixListip-prefix-name：指定地址前缀列表的名称。indexindex-number：指定本匹配项在地址前缀列表中的序号。permit：指定地址前缀列表的匹配模式为允许。deny：指定地址前缀列表的匹配模式为拒绝。ipv4-addressmask-length：指定IP地址和指定掩码长度。greater-equal

greater-equal-value：指定掩码长度匹配范围的下限。less-equal

less-equal-value：指定掩码长度匹配范围的上限。IP-Prefix的配置举例(1)单语句匹配Case1：路由10.1.1.0/24被Permit，其他都被Deny。

Case2：路由全部被Deny。ipip-prefixaaindex10permit10.1.1.024ACLIPPrefixList10.1.0.0/1610.1.1.0/2410.1.1.0/2610.1.1.1/3210.2.2.0/24OSPFR1R2R3Routes使用IP-Prefix过滤路由ipip-prefixbbindex10deny10.1.1.024IP-Prefix的配置举例(2)多语句匹配Case1：路由10.1.1.0/24被Deny，路由10.1.1.1/32被Permit，其他路由都被Deny。Case2：路由10.1.1.0/26，10.1.1.1/32被Permit，其他路由被Deny。ipip-prefixaaindex10deny10.1.1.024ipip-prefixaaindex20permit10.1.1.132ACLIPPrefixListipip-prefixbbindex10permit10.1.1.024greater-equal26less-equal3210.1.0.0/1610.1.1.0/2410.1.1.0/2610.1.1.1/3210.2.2.0/24OSPFR1R2R3Routes使用IP-Prefix过滤路由IP-Prefix的配置举例(3)通配地址匹配Case1：所有掩码长度在8到32的路由都被Permit。Case2：路由10.1.0.0/16被Permit，其他路由被Deny。ipip-prefixaaindex10permit10.0.0.08less-equal32ACLIPPrefixListipip-prefixbbindex10deny10.1.1.024less-equal32ipip-prefixbbindex20permit10.1.0.016less-equal3210.1.0.0/1610.1.1.0/2410.1.1.0/2610.1.1.1/3210.2.2.0/24OSPFR1R2R3Routes使用IP-Prefix过滤路由路由控制概述路由控制工具路由匹配工具路由策略工具路由控制案例策略工具1：Filter-PolicyFilter-Policy（过滤-策略）是一个很常用的路由信息过滤工具，能够对接收、发布、引入的路由进行过滤，可应用于IS-IS、OSPF、BGP等协议。如图所示，R1、R2、R3之间运行BGP路由协议，路由在各个设备之间传递，当需要根据实际需求过滤某些路由信息的时候可以使用Filter-Policy实现。Filter-PolicyRoute-PolicyBGPR1R2R310.1.1.010.1.2.010.1.3.010.1.1.010.1.2.010.1.3.0Filter-PolicyFilter-Policy在距离矢量路由协议中的应用在距离矢量路由协议中，设备之间传递的是路由信息，如果需要对这种路由信息进行某种过滤，可以使用Filter-Policy实现，出方向和入方向的生效位置如图所示。DatabaseIPRouting-TableDatabaseIPRouting-Tablefilter-policyexport路由信息路由信息路由信息filter-policyimportR1R2Filter-PolicyRoute-PolicyFilter-Policy在链路状态路由协议中的应用在链路状态路由协议中，各路由设备之间传递的是LSA信息，然后设备根据LSA汇总成的LSDB信息计算出路由表。但是Filter-Policy只能过滤路由信息，无法过滤LSA。LSDBIPRouting-TableLSDBIPRouting-Tablefilter-policyexportLSALSALSAfilter-policyimport本地始发的5类LSA入方向过滤：不把路由加入到路由表中出方向过滤：过滤路由信息过滤从其他协议引入的路由R1R2Filter-PolicyRoute-PolicyFilter-Policy的基础配置命令(1)[Huawei-ospf-100]filter-policy{acl-number|acl-name

acl-name|ip-prefix

ip-prefix-name|route-policy

route-policy-name[secondary]}import在OSPF中的应用按照过滤策略，设置OSPF对接收的路由进行过滤。Filter-PolicyRoute-Policy[Huawei-ospf-100]filter-policy

{

acl-number

|

acl-name

acl-name

|

ip-prefix

ip-prefix-name

|

route-policy

route-policy-name

}

export

[

protocol

[

process-id

]]按照过滤策略，设置对引入的路由在向外发布时进行过滤。Filter-Policy的基础配置命令(2)[Huawei-isis-1]filter-policy

{

acl-number

|

acl-name

acl-name

|

ip-prefix

ip-prefix-name

|

route-policy

route-policy-name

}

import在IS-IS中的应用配置IS-IS路由加入IP路由表时的过滤策略。Filter-PolicyRoute-Policy[Huawei-isis-1]filter-policy

{

acl-number

|

acl-name

acl-name

|

ip-prefix

ip-prefix-name

|

route-policy

route-policy-name

}

export

[

protocol

[

process-id

]]配置IS-IS对已引入的路由在向外发布时进行过滤的过滤策略。Filter-Policy的基础配置命令(3)[Huawei-bgp-af-ipv4]filter-policy

{

acl-number

|

acl-name

acl-name

|

ip-prefix

ip-prefix-name

}

import在BGP中的应用配置对接收的路由信息进行过滤。Filter-PolicyRoute-Policy[Huawei-bgp-af-ipv4]filter-policy

{

acl-number

|

acl-name

acl-name

|

ip-prefix

ip-prefix-name

}

export

[

protocol

[

process-id

]]配置对发布的路由进行过滤，只有通过过滤的路由才被BGP发布。[Huawei-bgp-af-ipv4]peer

{

group-name

|

ipv4-address

}

filter-policy

{

acl-number

|

acl-name

acl-name

}{

import

|

export

}配置向对等体（组）发布或从对等体（组）接收路由时的过滤策略。OSPF中使用Filter-PolicyR1R2ospf1filter-policy2000importR1R2ospf1

import-routestatic

filter-policy2000exportfilter-policyimport命令对接收的路由设置过滤策略，只有通过过滤策略的路由才被添加到路由表中，没有通过过滤策略的路由不会被添加进路由表，但不影响对外发布出去。OSPF通过命令import-route引入外部路由后，为了避免路由环路的产生，通过filter-policyexport命令对引入的路由在发布时进行过滤，只将满足条件的外部路由转换为Type5LSA（AS-external-LSA）并发布出去。Filter-PolicyRoute-Policyfilter-policyimportfilter-policyexport链路状态信息LSA1LSA2LSA3LSA4LSA1LSA2LSA3LSA4172.16.1.0/24172.16.2.0/24172.16.3.0/24172.16.1.0/24172.16.2.0/24172.16.3.0/24R1路由表10.1.1.02410.1.2.02410.1.3.02410.1.4.024R2路由表10.1.1.02410.1.2.02410.1.3.024IS-IS中使用Filter-Policyfilter-policyimportR1R2isisfilter-policy2000import与OSPF相似，filter-policyimport命令只会对本地的路由表产生影响，不会将匹配的路由加入到路由表，不会影响本地设备的LSP的扩散和LSDB的同步。filter-policyexportLSP1LSP2LSP3LSP4LSP1LSP2LSP3LSP4R1R2Isis1import-routebgpfilter-policy2000exportBGPISISBGPRouting-TableIS-ISRouting-Table当网络中同时部署了IS-IS和其他路由协议时，如果已经在边界设备上引入其他路由协议的路由，缺省情况下，该设备将把引入的全部外部路由发布给IS-IS邻居。如果只希望将引入的部分外部路由发布给邻居，可以使用filter-policyexport命令实现。链路状态信息Filter-PolicyRoute-PolicyR1路由表10.1.1.02410.1.2.02410.1.3.02410.1.4.024R2路由表10.1.1.02410.1.2.02410.1.3.024BGP中使用Filter-Policyfilter-policyimportR1R2bgp100ipv4-familyunicastfilter-policy2000import使用filter-policyimport命令可以对BGP设备全局接收的路由进行过滤，决定是否将路由添加到BGP路由表中。filter-policyexport使用filter-policyexport命令可以将对外发布的路由进行过滤，只有通过过滤的路由才能加入BGP本地路由表，并被BGP发布。AS100BGPUpdateNLRI：Route-entry1NLRI：Route-entry2BGPUpdateNLRI：Route-entry1R1R2bgp100ipv4-familyunicastfilter-policy2000exportAS100BGPUpdateNLRI：Route-entry1NLRI：Route-entry2BGPUpdateFilter-PolicyRoute-PolicyR1路由表10.1.1.02410.1.2.024R2路由表10.1.1.024R1路由表10.1.1.02410.1.2.02410.1.3.024策略工具2：Route-PolicyRoute-Policy是一个策略工具，用于过滤路由信息，以及为过滤后的路由信息设置路由属性。一个Route-Policy由一个或多个节点（Node）构成，每个节点都可以是一系列条件语句（匹配条件）以及执行语句（执行动作）的集合，这些集合按照编号从小到大的顺序排列。Filter-PolicyRoute-PolicyNode1（匹配模式Permit）

条件语句

执行语句Node2（匹配模式Permit）

条件语句

执行语句NodeN（匹配模式Permit）

条件语句

执行语句……自上而下route-policytest每个节点内可包含多个条件语句。节点内的多个条件语句之间的关系为“与”，即匹配所有条件语句才会执行本节点内的动作。节点之间的关系为“或”，route-policy根据节点编号大小从小到大顺序执行，匹配中一个节点将不会继续向下匹配。Route-Policy的组成一个Route-Policy由一个或多个节点构成，每个节点包括多个if-match和apply子句。route-policytestpermitnode10if-matchx1if-matchx2

applyy1route-policytestpermitnode20if-matchx3x4applyy2route-policytestpermitnodeN

if-matchxnapplyyn……permit或deny：指定Route-Policy节点的匹配模式为允许或拒绝。node：指定Route-Policy的节点号。整数形式，取值范围是0～65535。if-match子句：定义该节点的匹配条件。apply子句：定义针对被匹配路由执行的操作。Route-Policy名称节点的匹配模式节点号条件语句执行语句Filter-PolicyRoute-PolicyRoute-Policy的匹配顺序路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。route-policynode10If-matchIf-match……匹配模式applyapply……通过路由策略……nodeNIf-matchIf-match……匹配模式applyapply……通过路由策略拒绝通过拒绝通过拒绝通过全部匹配成功全部匹配成功permitpermitdenydeny未全部匹配成功未全部匹配成功顺序匹配唯一匹配Filter-PolicyRoute-PolicyRoute-Policy的基础配置命令(1)[Huawei]route-policy

route-policy-name

{

permit

|

deny

}

node

node创建Route-Policy创建路由策略并进入Route-Policy视图。Filter-PolicyRoute-Policy[Huawei-route-policy]if-match?acl 匹配基本ACLcost 匹配路由信息的costinterface 匹配路由信息的出接口

ip-prefix 匹配前缀列表

……（可选）配置if-match子句Route-Policy的基础配置命令(2)[Huawei-route-policy]apply？

cost 设置路由的costcost-type{type-1|type-2}

设置OSPF的开销类型

ip-addressnext-hop 设置IPv4路由信息的下一跳地址

preference 设置路由协议的优先级

tag 设置路由信息的标记域

……（可选）配置apply子句Filter-PolicyRoute-Policy路由控制概述路由控制实现路由匹配工具路由策略工具路由控制案例对接收的路由进行过滤OSPFArea0R1R2R3192.168.1.0/24192.168.2.0/24192.168.3.0/24192.168.4.0/24R1、R2、R3运行OSPF，R1将192.168.1.0/24、192.168.2.0/24、192.168.3.0/24和192.168.4.0/24宣告进OSPF。现在要求R2不能访问R1上192.168.1.0/24网段，但是R3可以正常访问。为实现该需求，可以在R2上对接收的路由使用Filter-Policy进行过滤。[R2]ipip-prefixinindex10permit192.168.2.024[R2]ipip-prefixinindex

20permit192.168.3.024[R2]ipip-prefixinindex30permit

192.168.4.024[R2]ospf[R2-ospf-1]filter-policyip-prefixinimportR2的配置如下：注意：网络基础配置略。对发布的路由进行过滤OSPFArea0R1R2R3192.168.1.0/24192.168.2.0/24192.168.3.0/24192.168.4.0/24引入直连R1、R2、R3运行OSPF，R1将直连网段192.168.1.0/24、192.168.2.0/24、192.168.3.0/24和192.168.4.0/24引入OSPF。现在要求R2、R3只能学习到192.168.1.0/24网段的路由，学习不到其他三个网段的路由。为实现该需求，可以在R1上使用Filter-Policy对引入的路由在发布时进行过滤。[R1]ipip-prefixout

index10permit

192.168.1.024[R1]ospf[R1-ospf-1]import-routedirect[R1-ospf-1]filter-policyip-prefixout

exportR1的配置如下：注意：网络基础配置略。修改路由属性192.168.1.0/24OSPFArea0R1R2R3引入直连R1、R2、R3运行OSPF，R1将直连网段192.168.1.0/24引入OSPF。现在要求R2、R3学到的OSPF路由192.168.1.0/24为external-type1路由（默认为external-type2路由）。为实现该需求，可以在R1上使用Route-Policy在引入路由时修改外部路由的类型为external-type1。[R1]ipip-prefixexternal

index10permit

192.168.1.024[R1]route-policyRP

permitnode10[R1-route-policy]if-matchip-prefixexternal[R1-route-policy]apply

cost-typetype-1[R1-route-policy]quit[R1]ospf[R1-ospf-1]import-routedirectroute-policyRPR1的配置如下：注意：网络基础配置略。双点双向路由重发布10.1.1.0/24OSPFR1R2R3R4IS-IS10.4.4.0/24IS-IS中引入OSPFOSPF中引入IS-IS在边界路由器上把两个路由域的路由相互引入，称之为双向路由重发布。两个路由域存在两个边界路由器，并且都执行双向路由重分发，此时称为双点双向路由重发布。双点双向路由重发布是一种经典的路由模型，因单点的双向路由重发布缺乏冗余性，一旦单点的边界路由器故障，那么两个路由域之间的通信可能就会出现问题，因此在大型网络部署中一般采用双点双向路由重发布。双点双向重路由发布虽然增强了网络的可靠性，但是容易引发：次优路径、路由环路等问题。10.1.1.0/24次优路径问题OSPFR1R2R3R4以10.1.1.0/24为例：R1将直连路由10.1.1.0/24引入到OSPF中。R2、R3执行双向路由重发布，R2先将10.1.1.0/24重发布到IS-IS中，R3将会学习到来自R4的IS-IS路由。对R3而言，IS-IS路由（优先级15）优于OSPF外部路由（优先级150），因此优选来自R4的IS-IS路由。后续R3访问10.1.1.0/24网段的路径为：R3->R4->R2->R1，这是次优路径。IS-IS引入直连22133OSPFLSAIS-ISLSP次优路径路由环路Destination/MaskProtoPre10.1.1.0/24ISIS15访问流量解决次优路径问题(1)次优路径路由环路Destination/MaskProtoPre10.1.1.0/24OSPF150解决方案一：在R3的IS-IS进程内，通过Filter-Policy禁止来自R4的10.1.1.0/24路由加入本地路由表。在R3上执行以下操作：[R3]acl2001[R3-acl-basic-2001]rule5denysource10.1.1.00[R3-acl-basic-2001]rule10permit[R3]isis[R3-isis-1]filter-policy2001import10.1.1.0/24OSPFR1R2R3R4IS-IS引入直连22133OSPFLSAIS-ISLSP访问流量解决次优路径问题(2)次优路径路由环路解决方案二：R3通过ACL匹配10.1.1.0/24路由，在Route-Policy中调用该条ACL，将匹配这条ACL的路由的优先级设置为14（优于IS-IS）。在OSPF视图下使用preferencease命令调用Route-Policy修改外部路由的优先级。在R3上执行以下操作：[R3]acl2000

[R3-acl-basic-2000]rulepermitsource10.1.1.00[R3-acl-basic-2000]quit[R3]route-policyhcippermitnode10[R3-route-policy]if-matchacl2000[R3-route-policy]applypreference14[R3-route-policy]quit[R3]ospf1

[R3-ospf-1]preferenceaseroute-policyhcipDestination/MaskProtoPre10.1.1.0/24OSPF1410.1.1.0/24OSPFR1R2R3R4IS-IS引入直连22133OSPFLSAIS-ISLSP访问流量路由环路问题次优路径路由环路10.1.1.0/24OSPFR1R2R3R4IS-IS引入直连22133OSPFLSAIS-ISLSP44场景描述：R1将直连路由10.1.1.0/24引入到OSPF中。R1、R2、R3运行OSPF协议，10.1.1.0/24网段路由在全OSPF域内通告。R2执行了双向路由重发布。R2、R3、R4运行IS-IS协议，10.1.1.0/24网段路由在全IS-IS域内通告。R3执行了双向路由重发布。10.1.1.0/24网段路由再次被通告进OSPF域内，形成路由环路。Destination/MaskProtoPre10.1.1.0/24ISIS15解决路由环路问题(1)解决方案一：在R3的OSPF中引入IS-IS路由时，通过Route-Policy过滤掉10.1.1.0/24路由。在R3上执行以下操作：[R3]acl2001[R3-acl-basic-2001]rule5denysource10.1.1.00[R3-acl-basic-2001]rule10permit[R3]route-policyRPpermitnode10[R3-route-policy]if-match2001[R3-route-policy]quit[R3]ospf[R3-ospf-1]import-routeisis1route-policyRP10.1.1.0/24OSPFR1R2R3R4IS-IS引入直连22133OSPFLSAIS-ISLSP次优路径路由环路Destination/MaskProtoPre10.1.1.0/24

OSPF150解决路由环路问题(2)解决方案二：使用Tag实现有选择性地路由引入，在R2上将路由10.1.1.0/24从OSPF引入到IS-IS中时打上Tag200，在R3上将IS-IS引入到OSPF中时，过滤携带Tag200的路由。在R2上执行如下操作：10.1.1.0/24OSPFR1R2R3R4IS-IS引入直连22133OSPFLSAIS-ISLSP使用Route-Policy过滤携带tag200的路由使用Route-Policy为10.1.1.0/24打上tag200次优路径路由环路[R2]acl2000 [R2-acl-basic-2000]rulepermitsource10.1.1.00[R2-acl-basic-2000]quit[R2]route-policyhcippermitnode10[R2-route-policy]if-matchacl2000[R2-route-policy]applytag200[R2-route-policy]quit[R2]isis1[R2-isis-1]import-routeospfroute-policyhcip解决路由环路问题(3)在R3上执行如下操作：10.1.1.0/24OSPFR1R2R3R4IS-IS引入直连22133OSPFLSAIS-ISLSP使用Route-Policy过滤携带tag200的路由使用Route-Policy为10.1.1.0/24打上tag200次优路径路由环路[R3]route-policyhcipdenynode10

[R3-route-policy]if-matchtag200[R3-route-policy]quit[R3]route-policyhcippermitnode20[R3]ospf1[R3-ospf-1]import-routeisisroute-policyhcip在路由重发布的实际应用中，通过IP前缀进行路由匹配固然可行，但当网络规模较大时，配置工作量较大；通过Tag进行路由匹配可以极大简化配置工作量。场景思考10.1.1.0/24OSPFR1R2R3R4IS-IS10.4.4.0/24次优路径路由环路在R1上将10.1.1.0/24引入到OSPF，在R4上将10.4.4.0/24引入到IS-IS，R2、R3上执行路由双向路由重发布，该场景下如何使用匹配Tag的方式防止路由环路？（简答题）Filter-Policyexport在OSPF、BGP中的作用分别是？（简答题）Route-Policy多个节点之间的逻辑关系为？一个节点内多个条件语句的逻辑关系为？控制路由的发布、接收时需要先将相应的路由使用匹配器进行抓取，最常见的匹配器有ACL、IP-PrefixList。Filter-Policy、Route-Policy都可用来在发布、接收路由时进行过滤，但需要注意在链路状态路由协议中使用Filter-Policy并不能正常的过滤链路状态信息，只是影响了本地的路由表。Route-Policy在发布、接收路由时可以对路由的属性进行灵活地修改，以实现XXX。ACL原理与配置随着网络的飞速发展，网络安全和网络服务质量QoS(QualityofService)问题日益突出。访问控制列表(ACL,AccessControlList)是与其紧密相关的一个技术。ACL可以通过对网络中报文流的精确识别，与其他技术结合，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。在本章节中，将介绍ACL的基本原理和基本作用，ACL的不同种类及特点，ACL的基本组成和匹配顺序，通配符的使用方法和ACL的相关配置。学完本课程后，您将能够：描述ACL的基本原理和基本作用区分ACL的不同种类及特点描述ACL规则的基本组成结构和匹配顺序掌握ACL中通配符的使用方法完成ACL的基本组网配置ACL技术概述ACL的基本概念及其工作原理ACL的基础配置及应用技术背景：需要一个工具，实现流量过滤某公司为保证财务数据安全，禁止研发部门访问财务服务器，但总裁办公室不受限制。过滤IP流量工具？禁止通过的报文流量允许通过的报文流量InternetVLAN10VLAN20总裁办公室192.168.3.0/24研发部门192.168.2.0/24财务部服务器192.168.4.4/24ACL概述ACL是由一系列permit或deny语句组成的、有序规则的列表。ACL是一个匹配工具，能够对报文进行匹配和区分。IPHeaderTCP/UDPHeaderData源IP地址目的IP地址协议类型源端口目的端口ACL应用匹配IP流量在Traffic-filter中被调用在NAT（NetworkAddressTranslation）中被调用在路由策略中被调用在防火墙的策略部署中被调用在QoS中被调用其他……ACL技术概述ACL的基本概念及其工作原理ACL的基础配置及应用ACL的组成ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则，每条语句中的permit或deny就是与这条规则相对应的处理动作。ACL的组成ACL的分类ACL的匹配规则rule5permitsource1.1.1.00.0.0.255aclnumber2000rule10denysource2.2.2.00.0.0.255rule15permitsource3.3.3.00.0.0.255……rule4294967294deny访问控制列表的编号用户自定义的规则系统在ACL末尾隐含的规则规则编号动作匹配项(此处为源IP地址)每条规则都是什么意思？规则编号aclnumber2000rule 5 deny source10.1.1.10rule 10 deny source10.1.1.20rule 15 permit source10.1.1.00.0.0.255步长=5规则编号如果希望增加1条规则，该如何处理？aclnumber2000rule 5 deny source10.1.1.10rule 10 deny source10.1.1.20rule 11 deny source10.1.1.30rule 15 permit source10.1.1.00.0.0.255rule11denysource10.1.1.30ACL的组成ACL的分类ACL的匹配规则规则编号与步长规则编号（RuleID）：一个ACL中的每一条规则都有一个相应的编号。步长（Step）:步长是系统自动为ACL规则分配编号时，每个相邻规则编号之间的差值，缺省值为5。步长的作用是为了方便后续在旧规则之间，插入新的规则。RuleID分配规则：系统为ACL中首条未手工指定编号的规则分配编号时，使用步长值（例如步长=5，首条规则编号为5）作为该规则的起始编号；为后续规则分配编号时，则使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号。通配符(1)ACL的组成ACL的分类ACL的匹配规则aclnumber2000rule 5 deny source10.1.1.10rule 10 deny source10.1.1.20rule 15 permit source10.1.1.00.0.0.255通配符匹配规则：“0”表示“匹配”；“1”表示“随机分配”如何匹配192.168.1.1/24对应网段的地址？192.168.1.10.0.0.2551100000010101000000000010000000100000000000000000000000011111111严格匹配随机分配192.168.1.0/24网段通配符(Wildcard)通配符是一个32比特长度的数值，用于指示IP地址中，哪些比特位需要严格匹配，哪些比特位无需匹配。通配符通常采用类似网络掩码的点分十进制形式表示，但是含义却与网络掩码完全不同。……通配符(2)匹配192.168.1.0/24这个子网中的奇数IP地址，例如192.168.1.1、192.168.1.3、192.168.1.5等。严格匹配随机分配严格匹配192.168.11192.168.100000001192.168.13192.168.100000011192.168.15192.168.100000101对应通配符0.0.0.11111110答案：192.168.1.1 0.0.0.254通配符中的1或者0可以不连续ACL的组成ACL的分类ACL的匹配规则特殊的通配符精确匹配192.168.1.1这个IP地址192.168.1.10.0.0.0=192.168.1.10匹配所有IP地址0.0.0.0255.255.255=anyACL的分类与标识基于ACL规则定义方式的分类分类编号范围规则定义描述基本ACL2000~2999仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。高级ACL3000~3999可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口号、UDP源/目的端口号、生效时间段等来定义规则。二层ACL4000~4999使用报文的以太网帧头信息来定义规则，如根据源MAC地址、目的MAC地址、二层协议类型等。用户自定义ACL5000~5999使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则。用户ACL6000~6999既可使用IPv4报文的源IP地址或源UCL（UserControlList）组，也可使用目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。ACL的组成ACL的分类ACL的匹配规则基于ACL标识方法的分类分类规则定义描述数字型ACL传统的ACL标识方法。创建ACL时，指定一个唯一的数字标识该ACL。命名型ACL通过名称代替编号来标识ACL。基本ACL&高级ACL基本ACLIPHeaderTCP/UDPHeaderData源IP地址编号范围：2000-2999aclnumber2000rule 5 deny source10.1.1.10rule 10 deny source10.1.1.20rule 15 permit source10.1.1.00.0.0.255IPHeaderTCP/UDPHeaderDataaclnumber3000rule5permitip source10.1.1.00.0.0.255destination10.1.3.00.0.0.255rule10permittcpsource10.1.2.00.0.0.255destination10.1.3.00.0.0.255destination-porteq21编号范围：3000-3999源IP地址目的IP地址协议类型源端口目的端口ACL的组成ACL的分类ACL的匹配规则高级ACLACL的匹配机制引用的ACL是否存在？ACL是否存在rule？分析第一条rule命中rule是否剩余rule分析下一条ruleACL动作是permit还是denyACL匹配结果为拒绝ACL匹配结果为允许ACL匹配结果为不匹配是是否是否否否是permitdeny匹配原则：一旦命中即停止匹配ACL的组成ACL的分类ACL的匹配规则开始结束ACL的匹配顺序及匹配结果配置顺序（config模式）系统按照ACL规则编号从小到大的顺序进行报文匹配，规则编号越小越容易被匹配。ACL的组成ACL的分类ACL的匹配规则192.168.1.1/24192.168.1.2/24192.168.1.3/24192.168.1.4/24192.168.1.5/24192.168.1.1/24192.168.1.2/24192.168.1.4/24192.168.1.5/24acl2000rule1permitsource192.168.1.10.0.0.0rule2permitsource192.168.1.20.0.0.0rule3denysource192.168.1.30.0.0.0

rule4permit0.0.0.0255.255.255.255待匹配对象基本ACL被匹配为“允许”的IP“允许”是指允许流量通过吗？rule1：允许源IP地址为192.168.1.1的报文rule2：允许源IP地址为192.168.1.2的报文rule3：拒绝源IP地址为192.168.1.3的报文rule4：允许其他所有IP地址的报文ACL的匹配位置ACL的组成ACL的分类ACL的匹配规则在此接口上部署ACL对如图所示的数量流量生效，需应用在inbound

(入站）方向数据报文在此接口上部署ACL对如图所示的数量流量生效，需应用在outbound(出站)方向入站(Inbound)及出站(Outbound)方向ACL的组成ACL的分类ACL的匹配规则InboundOutbound接口上是否应用入方向ACL？路由ACL是否允许该流量通行？NoYesYes数据报文No是否有匹配的路由条目出接口是否应用出方向ACLNoYes路由到出接口ACL是否允许该流量通行？YesYesNoNo数据报文数据报文数据报文ACL技术概述ACL的基本概念及其工作原理ACL的基础配置及应用基本ACL的基础配置命令[Huawei]acl[number]acl-number[match-orderconfig]创建基本ACL使用编号（2000～2999）创建一个数字型的基本ACL，并进入基本ACL视图。[Huawei]aclnameacl-name{basic|

acl-number

}[match-orderconfig]使用名称创建一个命名型的基本ACL，并进入基本ACL视图。[Huawei-acl-basic-2000]rule[rule-id]{deny|permit}[source{source-addresssource-wildcard|any}|time-range

time-name]配置基本ACL的规则在基本ACL视图下，通过此命令来配置基本ACL的规则。案例：使用基本ACL过滤数据流量配置需求：在Router上部署基本ACL后，ACL将试图穿越Router的源地址为192.168.1.0/24网段的数据包过滤掉，并放行其他流量，从而禁止192.168.1.0/24网段的用户访问Router右侧的服务器网络。1、Router已完成IP地址和路由的相关配置[Router]acl2000[Router-acl-basic-2000]ruledenysource192.168.1.00.0.0.255[Router-acl-basic-2000]rulepermitsourceany2、在Router上创建基本ACL，禁止192.168.1.0/24网段访问服务器网络：InternetRouterGE0/0/1192.168.1.0/24192.168.2.0/24Server10.1.1.1/24GE0/0/2[Router]interfaceGigabitEthernet0/0/1[Router-GigabitEthernet0/0/1]traffic-filterinboundacl2000[Router-GigabitEthernet0/0/1]quit3、由于从接口GE0/0/1进入Router，所以在接口GE0/0/1的入方向配置流量过滤：高级ACL的基础配