路由策略与策略路由（1）（包括一些选择工具的解释）

1.路由策略的基本概念：

（1）路由策略：控制路由的传播与生成，从而节省链路与设备的消耗

（也可以理解为：路由器在生成路由表时做出一系列动作）

（2）路由控制可以通过（Router-policy）实现

2.常见的路由控制方式

    （1）控制路由的发布
        通过路由策略对发布的路由进行过滤，只发布满足条件的路由。
    （2）控制路由的接收
        通过路由策略对接收的路由进行过滤，只接收满足条件的路由。
    （3）控制路由的引入
        通过路由策略控制从其他路由协议引入的路由条目，只有满足条件的路由才会被引入。

2.常用的选择工具---ACL

1.ACL与策略的基本概念：

 定义：ACL是一个匹配的工具，能对报文及路由进行匹配与区分。（路由或流量工具调用）
 策略：对路由器的行为做出一定的影响。（优先级大于路由表）

（1）路由策略：路由器在生成路由表时做出一系列动作
（2）流量策略（策略路由）：路由表已经形成，对路由（数据）进行一些动作

       ACL只能匹配路由的网络号，不能对路由的子网掩码匹配

       ACL有过滤报文的功能，可以过滤路由，不可以匹配子网掩码

2.策略定义（三步）：

（1）定义流量：使用ACL进行匹配流量
（2）定义动作：permit（允许）/ deny拒绝
（3）调用ACL：traffic-filter    inbound（入方向）/outbound（出方向）     acl   编号

 3.ACL的匹配规则

 （1）ACL在进行路由匹配时，默认拒绝（匹配路由，默认拒绝）
 （2）在进行报文过滤时，默认允许（报文过滤，默认允许）

4.通配符掩码

 （1）匹配规则：0表示严格匹配，1代表任意匹配

           注意：通配符掩码中的0和1可以不连续

5.ACL类型

    基本ACL（2000~2999）：根据报文源ip地址指定规则
    高级ACL（3000~3999）：根据报文的源IP地址，目的IP地址，协议的源目端口，协议类型
    基于二层的ACL（4000~4999）：根据报文的源MAC地址，目的MAC地址等

6.高级ACL匹配端口号的参数

eq（等于）gt（大于）lt（小于） range（两个端口号之间的范围）

7.流量调用工具（traffic-filter）

    作用：调用ACL，使ACL匹配的规则生效
    命令：traffic-filter    进出     acl   编号

8.ACL过滤的过滤方式

（1）报文过滤：
       命令： traffic-filter    inbound   acl   编号（默认允许）
（2）路由过滤        
        命令：filter-policy   acl    名称     import/export（默认拒绝）

9.引用匹配工具的注意事项

    （1）引用不存在的ip  ip-prefix  与ACL，没有过滤路由的功能（没创建的）
    （2）引用空的ip  ip-prefix  与ACL，默认拒绝所有路由

3.前缀列表与ACL的区别

    （1）ACL有过滤报文功能，可以过滤路由，不可以匹配子网掩码
    （2）IP-prefix没有过滤报文功能，可以过滤路由，可以匹配子网掩码

4.常用的选择工具---IP-Prefix

定义：IP前缀列表是将路由条目的网络地址、掩码长度作为匹配条件的过滤器

前缀列表作用：用来匹配路由的，使用filter-policy引用ip-prefix进行过滤

前缀列表，有一个隐藏规则，拒绝所有路由（默认）

1.前缀列表命令格式

    注意：IP网段的掩码<= greater-equal（大于等于）<=  less-equal（小于等于）<=32
    序号，从小到大匹配，如果不手动指定。则步长10个10个的增加（ACL是5 个5个的增加）

2.IP列表特殊写法

    匹配缺省路由：ip    ip-prefix    前缀列表名称   index   序号    permit    0.0.0.0   0   
    匹配所有路由： ip    ip-prefix  前缀列表名称  index  序号  permit  0.0.0.0   0   less-equal   32
    匹配A类主类路由：ip    ip-prefix    前缀列表名称   index   序号    permit    1.0.0.0    1    greater-equal    8    less-equal    8

3.引用匹配工具的注意事项

    （1）引用不存在的ip  ip-prefix  与ACL，没有过滤路由的功能（没创建的）
    （2）引用空的ip  ip-prefix  与ACL，默认拒绝所有路由

5.路由过滤工具-----Filter-policy（过滤-策略）

Filter-Policy是一个很常用的路由信息过滤工具，能够对接收、发布、引入的路由进行过滤，可应用于IS-IS、OSPF、BGP等协议。

1.Filter-Policy在距离矢量路由协议中的应用

（1） 如果要过滤掉上游设备到下游设备的路由，只需要在上游设备配置filter-policy export（出接口）或者在下游设备上配置filter-policy import（入接口）

（2）距离矢量协议是基于路由表生成路由的，因此过滤器会影响从邻居接收的路由和向邻居发布的路由

距离矢量协议中在R2过滤R1路由，R3不会收到过滤的路由

（3）配置命令
    对协议接收的路由进行过滤：
    命令：在路由协议进程下，filter-policy   ip-prefix    名称     import（入）/export（出）
    路由引入时进行过滤：
    在路由协议进程下：filter-policy   ip-prefix    名称     import/export     路由协议

2.在RIP（距离矢量协议）有一个特殊的参数<gateway>

gateway的作用：接收路由需要满足，gateway参数定义的前缀列表，并能满足 ip-prefix命令定义的前缀列表的路由，才被接收（与的关系）
gateway同一条前缀列表，只要满足其中任意一条语句即可（或的关系）
命令：filter-policy     ip-prefix    名称     gateway     编号    import/export
注意：gateway匹配这条路由发送者，下一跳

3.配置Filter-policy

（1）接口上配置：filter-policy    ip-prefix    名称    import/export    接口
        一个接口只能一个（先检测这个）
（2）协议中配置：filter-policy    ip-prefix    名称    import/export
        后检测这个是否匹配
    注意：如果策略产生冲突，Deny优先。如果路由同时匹配所有条件，则接收

4.Filter-Policy在链路状态路由协议中的应用

1. 基本概念

在链路状态路由协议中，各设备之间传递的是LSA（链路状态信息），存储到自己的LSDB，运行SPF算法，计算出一个最优的路由，加入路由表
（1）filter-policy import：过滤的是运行SPF算法后得到的路由，不会对LSA进行过滤
（2）其他设备仍然可以通过LSA，运行SPF算法得出被过滤的路由。但不能通信
（3）filter-policy import  在链路状态路由协议中，只会影响本地路由器

import，在自己路由器上进行过滤，其他设备可以算出

2.  过滤完，其他路由器有路由，但不能通信的原因：

在R1使用filter-policy import 过滤，R2依然可以通过LSA计算出路由。R2通过路由向对方通信，而R1没有这条路由，所以R1收到R2传过来的数据，查询自己的路由表，没有找到路由，则丢弃

3.  Filter-policy在链路状态路由协议的两个方向

（1）出接口：先过滤，然后再生成LSA。
    不会对1类2类3类LSA起任何作用，仅在ASBR上起作用。针对于5类LSA
（2）入方向：先生成LSA，再运行SPF算法得出最优路由，加入路由表的时候过滤。
    在ABR上配置，会影响LSA的生成

注意：filter-policy    export
对链路状态路由无效，需要与路由引入结合使用，才有效果

4.  OSPF路由过滤

    （1）在区域内路由器上做过滤：
        效果：不会影响LSA的生成
        1. 只会对路由加入到本身路由表时，做过滤。其他路由器还可以根据LSA计算出路由
    （2）针对ABR做过滤（入方向过滤）：
        效果：影响3类LSA的生成
        过滤生成（3类LSA）
            1. 因为OSFP区域间通信，是依靠3类LSA。在ABR上使用过滤，先过滤收到的3类LSA再生成路由。（3类LSA，相当于路由信息）
    （3）针对ASBR做过滤（出方向过滤）
        效果：影响5类LSA的生成
           过滤生成（5类LSA）：
            1. 将外部路由转换成5类LSA的时候，进行过滤。因此过滤完，不会产生5类LSA
            2. OSPF在重分发外部路由时，根据过滤策略决定是否生成对应的Type 5 LSA

6.路由过滤工具-----Route-Policy（路由策略）

 1.基本概念 

（1）定义：用于过滤路由信息，以及为过滤后的路由信息设置路由属性。
（2） 一个Route-Policy由一个或多个节点（Node）构成，每个节点都是由条件语句（匹配条件）和执行语句（执行动作）组成
（3）条件语句和执行语句可以单独存在，没有也可以，都是一个节点

2.路由策略的匹配规则

（1）路由策略的匹配规则（节点间）
       1. 每个节点内可包含多个条件语句。节点内的多个条件语句之间的关系为“与”
       2. 节点之间的关系为“或”，根据节点编号从小到大顺序执行
       3. 匹配中一个节点将不会继续向下匹配。
       4.一个节点多个if-match，全部匹配成功才会执行动作
       5. 多个节点，根据节点编号从小到大顺序执行。匹配其中一个，将不会继续匹配
（2）匹配规则（节点内）ps：重要！！
          1. 一个节点多个if-match，全部匹配成功才会执行动作
          2. 多个节点，根据节点编号从小到大顺序执行。匹配其中一个，将不会继续匹配
          3. 没有定义if-match 表示匹配所有
          4. 没有定义apply，以默认参数引入
          5. 只设置了apply 代表所有路由都应用这个执行语句

 3.Route-Policy 的匹配顺序

（1）配置命令
    route-policy    名称      permit/deny     node     节点号
    条件语句：if-match    条件（匹配工具）
    执行语句：apply
（2）注意事项
       1. Route-Policy 默认拒绝。没有定义if-match 表示匹配所有
       2. 只设置了apply 代表所有路由都应用这个执行语句
       3. 没有定义apply，以默认参数引入

注意：ACL与前缀列表的deny，在 route-policy 里，表示绕过这个node。无论允许还是拒绝