分析ACL和RouteMap的permit和deny规则在路由重分配时的动作.docx

分析ACL和RouteMap的permit deny规则在路由重分配时的动作（以CISCO路由器为例） A一- B两台路由器通过E1/1接口直联，运行OSPF。 A路由器配置3条静态路由： ip route Ethernet 1/1 ip route Ethernet 1/1 ip route Ethernet 1/1 A路由器ospf的配置如下： router ospf 1 log-adjacency-changes redistribute static route-map lest network 55 area 1 1) 在A路由器上，不配置任何ACL,只配置RouteMap,配置如下： route-map test permit 10 match ip address 1 此时ACL1是一张空表。 配置完成Z后过儿秒钟，在B路由器上查看OSPF的路由表，如下: Link ID ADV Router Age Seq# Checksum Tag 52 00x0073BA0 0.0.0 1207 00x0066C6 0 1207 00x0059D2 0 A路由器上的三条静态路由都成功的重分配进OSPF,并传给了 B路由器。 单步总结：当RouteMap引用的ACL是一张空表时，对应的规则是permit any。 2） 在A上配置ACL1,只有一个permit规则，此时ACL和RouteMap的配置如下： access-list 1 permit 55 ! ■ route-map test permit 10 match ip address 1 此时，在B路由器上，就只能看到这条路由，如下： Link ID ADV Router Age Seq# Checksum Tag 140 00x0073BA0 A路由器只重分配了 这条路有进OSPF,另外两条就被过滤掉了。 单步总结：当RouteM叩引用的ACL是非空表时，ACL规则开始生效，如上例子，ACL 1 允许（permit） T 这条路由，并且deny掉了其它的路由（每条ACL最后都有一个隐 藏的 deny any） □ 3) 在A路由器上，修改ACL的配置，RouteMcip配置不变，如下： access-list 1 deny 55 I ■ route-map test permit 10 match ip address 1 上一步的ACL 1是permit 这条路由，这一步仅仅是将permit修改成denyc 配置完成过一会儿，查看B路由器OSPF的路由表，A路由器上的三条静态路由，B路由器 一条都没有。 单步总结：这一步得到的结论跟第2步的结论一样，ACL1显示的deny掉了 700.0这条路 rtl,然后用隐藏规则deny掉了其它两条路由。 4) 为了充分测试，搞清楚每一个细节，我们再将ACL的配置做一点修改，RouteMap的配置暂 时保持不变，A路由器的配置如下： access-list 1 deny 55 access-list 1 permit any I ■ route-map test permit 10 match ip address 1 ACL 1的配置增加了一条permit any。 过一会儿查看B路由器OSPF的路由表，如下： Link ID ADV Router Age Seq# Checksum Tag 12 00x0066C6 0 12 00x0059D2 0 可以看到 这两条路有豆成功的进行了重分配。 单步总结：ACL 1由于配置了 permit any,这条规则在隐藏规则之前生效，因此 这两条路由成功匹配并重分配。 5) 测试到这里，可能大家会觉得这个规则已经很清楚了，其实不然阿！到目前为止，RouteMap 的配置一直没有变化，下面，我们慢慢地将RouteMap的配置进行修改，进行进一步的分析。 在上一步的基础上，我们修改一下配置，A路由器的配置如下： access-list 1 permit 55 ! ■ route-map test deny 10 match ip address 1 ACL 1仅仅允许这条路由，不过，此时RouteMap test 10己经变成了 deny。读到这 里，大家可以先自己想想会是一个什么样的结果。 此时B路由器上OSPF路由表为空！ 单步结论：虽然ACL 1允许了一条路由，但是RouteMap的deny的优先级更高(或者可以 理解为RouteMap的这个deny在后面执行)，因此B路由器上没有看到任何一个静态路由。 6） 我们继续修改