- 1、本文档共7页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
分析ACL和RouteMap的permit deny规则在路由重分配时的动作(以CISCO路由器为例) A一- B两台路由器通过E1/1接口直联,运行OSPF。
A路由器配置3条静态路由:
ip route Ethernet 1/1
ip route Ethernet 1/1
ip route Ethernet 1/1
A路由器ospf的配置如下:
router ospf 1
log-adjacency-changes
redistribute static route-map lest
network 55 area 1
1)
在A路由器上,不配置任何ACL,只配置RouteMap,配置如下: route-map test permit 10
match ip address 1
此时ACL1是一张空表。
配置完成Z后过儿秒钟,在B路由器上查看OSPF的路由表,如下:
Link ID
ADV Router
Age
Seq# Checksum Tag
52
00x0073BA0
0.0.0
1207
00x0066C6 0
1207
00x0059D2 0
A路由器上的三条静态路由都成功的重分配进OSPF,并传给了 B路由器。
单步总结:当RouteMap引用的ACL是一张空表时,对应的规则是permit any。
2)
在A上配置ACL1,只有一个permit规则,此时ACL和RouteMap的配置如下:
access-list 1 permit 55
!
■
route-map test permit 10
match ip address 1
此时,在B路由器上,就只能看到这条路由,如下:
Link ID ADV Router Age Seq# Checksum Tag
140 00x0073BA0
A路由器只重分配了 这条路有进OSPF,另外两条就被过滤掉了。
单步总结:当RouteM叩引用的ACL是非空表时,ACL规则开始生效,如上例子,ACL 1 允许(permit) T 这条路由,并且deny掉了其它的路由(每条ACL最后都有一个隐 藏的 deny any) □
3)
在A路由器上,修改ACL的配置,RouteMcip配置不变,如下:
access-list 1 deny 55
I
■
route-map test permit 10
match ip address 1
上一步的ACL 1是permit 这条路由,这一步仅仅是将permit修改成denyc
配置完成过一会儿,查看B路由器OSPF的路由表,A路由器上的三条静态路由,B路由器 一条都没有。
单步总结:这一步得到的结论跟第2步的结论一样,ACL1显示的deny掉了 700.0这条路 rtl,然后用隐藏规则deny掉了其它两条路由。
4)
为了充分测试,搞清楚每一个细节,我们再将ACL的配置做一点修改,RouteMap的配置暂 时保持不变,A路由器的配置如下:
access-list 1 deny 55
access-list 1 permit any
I
■
route-map test permit 10
match ip address 1
ACL 1的配置增加了一条permit any。
过一会儿查看B路由器OSPF的路由表,如下:
Link ID ADV Router Age Seq# Checksum Tag
12 00x0066C6 0
12 00x0059D2 0
可以看到 这两条路有豆成功的进行了重分配。
单步总结:ACL 1由于配置了 permit any,这条规则在隐藏规则之前生效,因此 这两条路由成功匹配并重分配。
5)
测试到这里,可能大家会觉得这个规则已经很清楚了,其实不然阿!到目前为止,RouteMap 的配置一直没有变化,下面,我们慢慢地将RouteMap的配置进行修改,进行进一步的分析。 在上一步的基础上,我们修改一下配置,A路由器的配置如下:
access-list 1 permit 55
!
■
route-map test deny 10
match ip address 1
ACL 1仅仅允许这条路由,不过,此时RouteMap test 10己经变成了 deny。读到这 里,大家可以先自己想想会是一个什么样的结果。
此时B路由器上OSPF路由表为空!
单步结论:虽然ACL 1允许了一条路由,但是RouteMap的deny的优先级更高(或者可以 理解为RouteMap的这个deny在后面执行),因此B路由器上没有看到任何一个静态路由。
6)
我们继续修改
文档评论(0)