第6章 IP路由策略配置命令.docx
- 文档编号:12150497
- 上传时间:2023-04-17
- 格式:DOCX
- 页数:27
- 大小:23.69KB
第6章 IP路由策略配置命令.docx
《第6章 IP路由策略配置命令.docx》由会员分享,可在线阅读,更多相关《第6章 IP路由策略配置命令.docx(27页珍藏版)》请在冰豆网上搜索。
第6章IP路由策略配置命令
第6章IP路由策略配置命令
6.1ACL配置命令
6.1.1acl
【命令】
acl{numberacl-number|nameacl-name[basic|advanced|interface]}[match-order{config|auto}]
undoacl{numberacl-number|nameacl-name|all}
【视图】
系统视图
【参数】
number:
定义一个数字型的ACL,ACL就是访问控制列表。
name:
定义一个名字型的ACL。
basic:
定义一个用途类型为基本的ACL。
advanced:
定义一个用途类型为高级的ACL。
interface:
定义一个用途类型为基于接口的ACL。
acl-number:
访问控制列表的序号,为1到199和1000到1999之间的数字。
1~99范围的数字型访问控制列表是基本的访问控制列表,100~199范围的数字型访问控制列表是高级的访问控制列表,1000~1999是基于接口的访问控制列表。
acl-name:
表示ACL名字。
match-order:
指定规则的配置顺序。
config:
指定匹配该规则时按用户的配置顺序。
auto:
指定匹配该规则时系统自动排序(按“深度优先”的顺序)。
all:
所有的ACL。
【描述】
命令acl用于创建一个访问控制列表并进入ACL视图,命令undoacl用于删除访问控制列表。
在配置访问控制列表的规则之前,首先需要创建访问控制列表。
【举例】
#创建一个序号为10的ACL。
[Quidway]aclnumber10
[Quidway-acl-basic-10]
#创建一个名字为test的高级ACL。
[Quidway]aclnametestadvanced
[Quidway-acl-adv-test]
#创建一个基于接口的名字为int的ACL。
[Quidway]aclnameintinterface
[Quidway-acl-if-int]
6.1.2displayacl
【命令】
displayacl{all|acl-number|acl-name}
【视图】
所有视图。
【参数】
all:
所有的ACL。
acl-number:
以数字表示的ACL。
acl-name:
以名字表示的ACL。
【描述】
命令displayacl用来显示配置的访问控制列表的规则。
系统默认的匹配顺序是用户的配置顺序(config),如果用户指定的匹配顺序为自动匹配(auto),用此命令显示访问规则时,系统会显示出匹配顺序为auto的信息,而如果是缺省的匹配顺序(config),则不显示匹配顺序信息。
【举例】
#显示ACL1的规则的内容。
[Quidway-acl-basic-1]displayacl1
Basicacl1,2rules,
rule1permit(0timesmatched)
rule2permitsource1.1.1.10(0timesmatched)
6.1.3rule
【命令】
(1)增加/删除一个基本访问控制列表的规则
rule[rule-id]{permit|deny}[sourcesour-addrsour-wildcard|any][time-rangetime-name][logging][fragment]
undorulerule-id[source][time-range][logging][fragment]
(2)增加/删除一个高级访问控制列表的规则
rule[rule-id]{permit|deny}protocol[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-wildcard|any][source-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-typeicmp-typeicmp-code][precedenceprecedence][tostos][time-rangetime-name][logging][fragment]
undorulerule-id[source][destination][soure-port][destination-port][icmp-type][precedence][tos][time-range][logging][fragment]
(3)增加/删除一个基于接口的访问控制列表的规则
rule[rule-id]{permit|deny}{interfaceinterface-name}[time-rangetime-name][logging]
undorulerule-id
【视图】
第1组命令在基本ACL视图
第2组命令在高级ACL视图
第3组命令在基于接口ACL视图
【参数】
使用命令rule为ACL增加一个规则的时候,参数说明如下:
rule-id:
ACL的规则编号,范围为0~127。
当指定了编号,如果与编号对应的规则已经存在,则会在旧的定义的基础上叠加新定义的规则,相当于编辑一个已经存在的规则。
如果与编号对应的规则不存在,则使用指定的编号创建一个新的规则。
如果不指定编号,表示增加一个新规则,系统自动会为这个规则分配一个编号。
deny:
拒绝符合条件的数据包。
permit:
允许符合条件的数据包。
protocol:
用名字或数字表示的IP承载的协议类型。
数字范围为1~255;用名字表示时,可以选取:
gre、icmp、igmp、ip、ipinip、ospf、tcp、udp。
source:
指定ACL规则的源地址信息。
如果不配置,表示报文的任何源地址都匹配。
source-addr:
数据包的源地址,点分十进制表示;或用“any”代表源地址0.0.0.0,通配符255.255.255.255。
source-wildcard:
源地址通配符,点分十进制表示。
输入“0”表示通配符为0.0.0.0,即主机地址。
destination:
指定ACL规则的目的地址信息。
如果不配置,表示报文的任何目的地址都匹配。
dest-addr:
数据包的目的地址,点分十进制表示;或用“any”代表目的地址0.0.0.0,通配符255.255.255.255。
dest-wildcard:
目的地址通配符,点分十进制表示。
输入“0”表示通配符为0.0.0.0,即主机地址。
source-port:
指定UDP或者TCP报文的源端口信息,仅仅在规则指定的协议号是TCP或者UDP有效。
如果不指定,表示TCP/UDP报文的任何源端口信息都匹配。
destination-port:
指定UDP或者TCP报文的目的端口信息,仅仅在规则指定的协议号是TCP或者UDP有效。
如果不指定,表示TCP/UDP报文的任何目的端口信息都匹配。
operator:
比较源或者目的地址的端口号的操作符,名字及意义如下:
lt(小于),gt(大于),eq(等于),neq(不等于),range(在范围内)。
只有range需要两个端口号做操作数,其他的只需要一个端口号做操作数。
port1、port2:
TCP或UDP的端口号,用名字或数字表示,数字的取值范围为0~65535。
icmp-type:
指定ICMP报文的类型和消息码信息,仅仅在报文协议是ICMP的情况下有效。
如果不配置,表示任何ICMP类型的报文都匹配。
icmp-type:
跟据ICMP消息类型过滤。
取值为0~255的数字。
icmp-code:
根据IGMP消息码进行过滤。
取值为0~255的数字。
precedence:
根据优先级字段进行过滤。
取值为0~7的数字,或名字。
tos:
根据服务类型字段进行过滤。
取值为0~15的数字,或名字。
logging:
是否对符合条件的数据包做日志。
日志内容包括访问控制列表规则的序号,数据包通过或被丢弃,IP承载的上层协议类型,源/目的地址,源/目的端口号,数据包的数目。
time-name:
这条访问控制列表规则在该时间段内有效。
fragment:
指定该规则是否仅对非首片分片报文有效。
当包含此参数时表示该规则仅对非首片分片报文有效。
interface:
指定数据包的接口信息。
如果不指定,表示所有的接口都匹配。
interface-name:
指定数据包是从该接口进入的。
或者用“any”代表所有的接口。
使用命令undorule删除规则的时候,参数说明如下:
rule-id:
ACL规则编号,必须是一个已经存在的ACL规则编号。
如果后面不指定参数,则将这个ACL规则完全删除。
否则只是删除对应ACL规则的部分信息。
source:
仅删除编号对应的ACL规则的源地址部分的信息设置。
destination:
仅删除编号对应的ACL规则的目的地址部分的信息设置。
source-port:
仅删除编号对应的ACL规则的源端口部分的信息设置,仅在规则的协议号是TCP或者UDP的情况下有效。
destination-port:
仅删除编号对应的ACL规则的目的端口部分的信息设置,仅在规则的协议号是TCP或者UDP的情况下有效。
icmp-type:
仅删除编号对应的ACL规则ICMP类型和消息码部分的信息设置,仅在规则的协议号是ICMP的情况下有效。
precedence:
仅删除编号对应的ACL规则的precedence的相关设置。
tos:
仅删除编号对应的ACL规则的tos的相关设置。
time-range:
仅删除编号对应的ACL规则在规定时间生效的设置。
logging:
仅删除编号对应的ACL规则对符合条件的数据包做日志的设置。
fragment:
仅删除编号对应的ACL规则仅对非首片分片报文有效的设置。
【描述】
命令rule用来在对应的ACL视图下,增加一个规则。
命令undorule用来删除一个规则。
在删除一条规则时,需要指定规则的编号,如果不知道规则的编号,可以使用命令displayacl来查看。
【举例】
#创建ACL101,增加一条规则,禁止接收和发送RIP报文。
[Quidway]aclnumber101
[Quidway-acl-adv-101]ruledenyudpdestination-porteqrip
#增加一条规则,允许从129.9.0.0网段的主机向202.38.160.0网段的主机发送WWW报文。
[Quidway-acl-adv-101]rulepermittcpsource129.9.0.00.0.255.255destination202.38.160.00.0.0.255destination-porteqwww
#增加一条规则,禁止从129.9.0.0网段内的主机建立与202.38.160.0网段内的主机的WWW端口(80)的连接,并对违反此规则的事件作日志。
[Quidway-acl-adv-101]ruledenytcpsource129.9.0.00.0.255.255destination202.38.160.00.0.0.255eqwwwlogging
#增加一条规则,允许从129.9.8.0网段内的主机建立与202.38.160.0网段内的主机的WWW端口(80)的连接。
[Quidway-acl-adv-101]rulepermittcpsource129.9.8.00.0.0.255destination202.38.160.00.0.0.255destination-porteqwww
#增加一条规则,禁止从一切主机建立与IP地址为202.38.160.1的主机的Telnet(23)的连接。
[Quidway-acl-adv-101]ruledenytcpdestination202.38.160.10destination-porteqtelnet
#增加一条规则,禁止从129.9.8.0网段内的主机建立与202.38.160.0网段内的主机的端口号大于128的UDP(用户数据报协议)连接。
[Quidway-acl-adv-101]ruledenyudpsource129.9.8.00.0.0.255destination202.38.160.00.0.0.255destination-portgt128
6.2IP路由策略配置命令
6.2.1applyas-path
【命令】
applyas-pathas-number
undoapplyas-path
【视图】
路由策略配置视图
【参数】
as-number:
加入的AS号,范围是1~65535。
【描述】
applyas-path命令指定Route-policy中在原AS路径前加入AS号。
undoapplyas-path命令取消在原AS路径前加入的AS序号。
缺省情况下不设置AS号。
若匹配了Route-policy的匹配条件,则改变发送路由的AS属性。
【举例】
[Quidway-route-policy]applyas-path200
6.2.2applycommunity
【命令】
applycommunity{aa:
nn|no-export-subconfed|no-advertise|no-export}[additive]|none}
undoapplycommunity
【视图】
路由策略配置视图
【参数】
aa:
nn:
团体号。
no-export-subconfed:
不在本地自治系统外发送匹配路由。
no-advertise:
不向任何同伴发送匹配路由。
no-export:
不向自治系统外部通过路由,但发布给其它子自治系统。
additive:
附加于已知的团体属性。
none:
删除路由的团体属性。
【描述】
applycommunity命令指定Route-policy中设置BGP团体属性。
undoapplycommunity命令取消设置BGP团体的属性。
缺省情况下不设置BGP团体属性。
匹配Route-policy的匹配条件,则设置BGP团体属性。
【举例】
#本例配置一个路由策略setcommunity,其节点序列号为10,匹配视图为permit,并进入路由策略配置视图,设置匹配条件及执行的属性修改动作。
[Quidway]route-policysetcommunitypermitnode10
[Quidway-route-policy]if-matchas-path1
[Quidway-route-policy]applycommunityno-export
6.2.3applycost
【命令】
applycostcost
undoapplycost
【视图】
路由策略配置视图
【参数】
cost:
路由信息的路由权值,0~4294967295。
【描述】
applycost命令是路由策略的属性设置子句之一,设置路由信息的路由权值。
undoapplycost命令取消该设置子句。
缺省情况下没有apply子句被定义。
路由策略的apply子句之一,设置通过过滤的路由信息的路由权值。
【举例】
#本例定义一条apply子句,当用于路由信息属性设置时,设置路由信息的路由权值为100。
[Quidway-route-policy]applycost100
6.2.4applyipnext-hop
【命令】
applyipnext-hopip-address
undoapplyipnext-hop[ip-address]
【视图】
路由策略配置视图
【参数】
ip-address:
下一跳IP地址。
【描述】
applyipnext-hop命令是路由策略的属性设置子句之一,设置BGP路由信息的下一跳地址。
undoapplyipnext-hop命令取消该设置子句。
缺省情况下没有apply子句被定义。
路由策略的apply子句之一,当用于路由信息属性设置时,设置通过过滤的BGP路由信息的下一跳地址域。
【举例】
#本例定义一条apply子句,当用于路由信息属性设置时,设置BGP路由信息的下一跳地址为192.1.1.1。
[Quidway-route-policy]applyipnext-hop192.1.1.1
6.2.5applylocal-preference
【命令】
applylocal-preferencelocal-pref
undoapplylocal-preference
【视图】
路由策略配置视图
【参数】
local-pref:
本地优先级,0~4294967295。
【描述】
applylocal-preference命令是路由策略的属性设置子句之一,设置BGP路由信息的本地优先级。
undoapplylocal-preference命令取消该设置子句。
缺省情况下没有apply子句被定义。
路由策略的apply子句之一,设置通过过滤的BGP路由信息的本地优先级。
【举例】
#本例定义一条apply子句,当用于路由信息属性设置时,设置BGP路由信息的本地优先级为100。
[Quidway-route-policy]applylocal-preference100
6.2.6applyorigin
【命令】
applyorigin{igp|egpas-number|incomplete}
undoapplyorigin
【视图】
路由策略配置视图
【参数】
igp:
BGP路由信息的来源为内部路由。
egp:
BGP路由信息的来源为外部路由。
as-number:
外部路由的自治系统号,1~65535。
incomplete:
BGP路由信息的来源为未知来源。
【描述】
applyorigin命令是路由策略的属性设置子句之一,设置BGP路由信息的路由源。
undoapplyorigin命令取消该设置子句。
缺省情况下没有apply子句被定义。
路由策略的apply子句之一,设置通过过滤的BGP路由信息的路由源。
【举例】
#本例定义一条apply子句,当用于路由信息属性设置时,设置BGP路由信息的路由源为igp。
[Quidway-route-policy]applyoriginigp
6.2.7applytag
【命令】
applytagtag-value
undoapplytag
【视图】
路由策略配置视图
【参数】
tag-value:
路由信息的标记值,0~4294967295。
【描述】
applytag命令是路由策略的属性设置子句之一,设置OSPF路由信息的标记域。
undoapplytag命令取消该设置子句。
缺省情况下没有apply子句被定义。
路由策略的apply子句之一,设置通过过滤的路由信息的标记域。
【举例】
#本例定义一条apply子句,当用于路由信息属性设置时,设置路由信息的标记域为100。
[Quidway-route-policy]applytag100
6.2.8displayipip-prefix
【命令】
displayipip-prefix[ip-prefix-name]
【视图】
所有视图
【参数】
ip-prefix-name:
显示的地址前缀列表名。
【描述】
displayipip-prefix命令显示地址前缀列表。
相关配置可参考命令:
ipip-prefix。
【举例】
#本例显示名为p1的地址前缀列表的信息。
displayipip-prefixp1
6.2.9displayroute-policy
【命令】
displayroute-policy[policy-name]
【视图】
所有视图
【参数】
policy-name:
显示的路由策略名。
【描述】
displayroute-policy命令显示路由策略。
不指定policy-name时,显示所有已配置的路由策略。
相关配置可参考命令:
route-policy。
【举例】
#显示名为map1的路由策略信息。
displayroute-policymap1
6.2.10filter-policyexport
【命令】
filter-policy{acl-number|ip-prefixip-prefix-name}export[protocol]
undofilter-policy{acl-number|ip-prefixip-prefix-name}export[protocol]
【视图】
协议配置视图
【参数】
acl-number:
指定用于匹配路由信息目的地址域的访问列表号。
ip-prefix-name:
指定用于匹配路由信息目的地址域的地址前缀列表。
protocol:
指定何种路由协议的路由信息将被过滤。
【描述】
filter-policy命令设置某类路由协议所发布路由信息的过滤条件。
命令的no格式取消所设置的过滤条件。
缺省情况下不过滤所发布的路由信息。
相关配置可参考命令:
filter-policyimport。
【举例】
#本例定义RIP协议的路由信息发布过滤规则,只有通过地址前缀列表p1过滤的路由信息才会被RIP协议发布。
[Quidway-rip]filter-policyip-prefixp1export
6.2.11filter-policyimport
【命令】
filter-policygatewayip-prefix-nameimport
undofilter-policygatewayip-prefix-nameimport
filter-policy{acl-number|ip-prefixip-prefix-name}import
undofilter-policy{acl-number|ip-prefixip-prefix-name}import
【视图】
协议配置视图
【参数】
acl-number:
指定用于匹配路由信息的目的地址域的访问列表号。
ip-prefixip-prefix-name:
地址前缀列表名,其匹配对象为路由信息的目的地址域。
gatewayip-prefix-name:
邻居设备地址的地址前缀列表名,其匹配对象为指定的邻居设备发布的路由信息。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第6章 IP路由策略配置命令 IP 路由 策略 配置 命令