如何评估访问列表和路由图中的允许和拒绝?

网络工程 思科 路由
2021-07-18 15:01:16

我找到了几个试图解释访问列表和路由映射概念的链接(更简单的解释更详细的一个)。如果我理解正确的话,它们的行为在很大程度上取决于访问列表和路由映射的使用位置和方式。

但是我无法理解permit/deny选项的概念

路由映射语句也可以标记为拒绝。如果该语句被标记为拒绝,则满足匹配条件的数据包将通过正常转发通道发回(换句话说,执行基于目的地的路由)。只有当语句被标记为permit 并且数据包满足匹配条件时,才应用所有set 子句。如果语句被标记为 permit 并且数据包不符合匹配标准,那么这些数据包也会通过正常的路由通道转发。

好吧,这是有道理的。但是这个呢:

Router(config)# access-list 1 permit 10.1.1.0 0.0.0.255
Router(config)# route-map MYMAP permit 10
Router(config-route-map)# match ip address 1
Router(config-route-map)# set ip next-hop 192.168.1.1

permit第一行和第三行都有如果 IP 地址匹配10.1.1.0 0.0.0.255,则其下一跳设置为192.168.1.1美好的。

如果我将它设置为permitdeny分别?或者denypermit或者denydeny在这种情况下会发生什么?我猜,将两者都设置为 后的结果deny与将两者都设置为permit.

2个回答

您需要记住,在每个访问列表中总是隐式拒绝。同样,如果您在路线图上放置一条拒绝语句,如下所示:

xx#ip access-list 10 permit some_ip

xx#route-map TO_EXPLAIN deny 10
xx(config-route-map)#match ip access-list 10
xx(config-route-map)#set ip next-hop xyz

有了这个,路线图将永远不会做任何事情,因为拒绝语句。如果您希望路线图尝试匹配某些内容,则您的声明必须是某种方式的许可。

访问列表指定特定流量。

基于策略的路由是一种用于覆盖所有匹配访问列表的流量的路由表/转发机制的功能。

几个关键点:

  1. 您在传入接口上指定 PBR。
  2. 路由器生成的数据包(例如ping)通常不会进行策略路由。
  3. and / or包括子网掩码和通配符掩码在内的逻辑概念是适用的。

请参阅 cisco.com:配置基于策略的路由

其它你可能感兴趣的问题
上一篇用于 IP 多播路由的 Quagga (Zebra) 多协议 BGP 配置 下一篇广播 (FF:FF:FF:FF:FF:FF) 数据包是通过路由器还是直接通过子网上的所有计算机?