用于路由调整的路由映射和其他对象

各种路由协议均允许调整路由分发和汇聚等活动。对于某些调整功能,您可以使用路由映射或其他对象来确定应遵循调整策略的路由。路由映射还具有在匹配路由上设置选项的额外功能,以便您可以更改下一跳路由器可用于应用自定义行为的路由。

是否需要创建这些对象中的任何对象,取决于您对调整所实施的路由协议行为的需求。通过首先评估您的要求,您可以确定您要配置的调整命令所需的对象类型。

配置路由映射

您可以将路由映射用于各种用途,某些路由协议支持的用途比其他协议更多。最典型的用途是通过调整将路由重新分发到其他路由协议中。

路由映射 Permit 和 Deny 子句

路由映射由一个或多个 permit deny 子句组成。这些子句的顺序很重要:系统根据映射从上到下的顺序评估路由,并应用首先匹配的第一个子句。如果路由不与任何子句匹配,则视为与路由映射不匹配。

每个 permit 子句可以包含零个或多个 match set 语句。match 语句确定哪些路由与子句匹配,而 set 语句修改路由的某些特征,例如路由度量。您不需要任何 set 语句:您可以匹配路由以执行重新分发(或其他服务),而无需以任何方式更改路由。

每个 deny 子句可以包含零个或多个 match 语句。但是,由于“被拒绝”的路由与路由映射不匹配,因此包含 set 子句毫无意义,因为无法应用 set 操作。

路由映射 Match 和 Set 语句

每个路由映射子句均具有两种类型的值:

  • match 值用于选择应将此子句应用于的路由。

  • set 值用于修改路由的某些属性。

例如,对于要重新分发的每条路由,路由器首先评估路由映射中子句的匹配条件。如果路由符合条件,则按 permit 或 deny 子句的规定重新分发或拒绝路由。对于 permit 子句的匹配项,路由的某些属性可能会被 set 命令中的值修改。如果路由与条件不匹配,则此子句不适用于路由,系统会根据路由映射中的下一个子句继续评估路由。路由映射扫描将继续,直到发现匹配路由的子句或达到路由映射的结尾。如果没有匹配项,系统将认为路由与路由映射不匹配(相当于 deny 操作)。

对于单个子句中的 match 和 set 语句:

  • 多个 match 语句之间采用逻辑“与”运算。也就是说,路由必须满足每个语句才视为与子句匹配。

  • 单个 match 语句中的多个值之间采用逻辑“或”运算。也就是说,如果路由匹配该 match 语句中的任何值,则该路由将被视为匹配整个语句。

  • 如果没有 match 语句,则所有路由都与该子句匹配。

  • 如果路由映射 permit 子句中没有 set 语句,则系统将在不修改路由当前属性的情况下,将功能(例如重新分发)应用于路由。

  • deny 子句中的所有 set 语句都会被忽略。“被拒绝”的路由与路由映射根本不匹配,因此添加 set 子句毫无意义,因为系统无法应用 set 操作。

  • 空子句(即不包含 match 或 set 语句的子句)会与之前的子句未匹配的所有路由匹配。例如:

    • 空 permit 子句允许重新分发剩余路由而不进行修改。

    • 空 deny 子句不允许重新分发其余路由。如果路由映射在经过完整扫描后,未发现明确的匹配项,则默认采用此操作。

配置路由映射

您可以将路由映射用于各种用途,某些路由协议支持的用途比其他协议更多。最典型的用途是通过调整将路由重新分发到其他路由协议中。

路由映射由一个或多个 permit deny 子句组成。这些子句的顺序很重要:系统根据映射从上到下的顺序评估路由,并应用首先匹配的第一个子句。如果路由不与任何子句匹配,则视为与路由映射不匹配。

每个 permit 子句可以包含零个或多个 match set 语句。match 语句确定哪些路由与子句匹配,而 set 语句修改路由的某些特征,例如路由度量。您不需要任何 set 语句:您可以匹配路由以执行重新分发(或其他服务),而无需以任何方式更改路由。

每个 deny 子句可以包含零个或多个 match 语句。但是,由于“被拒绝”的路由与路由映射不匹配,因此包含 set 子句毫无意义,因为无法应用 set 操作。

有关 match 和 set 语句评估方式的详细说明,详见路由映射 Match 和 Set 语句

开始之前

您可以在路由映射中使用各种其他对象来定义匹配条件,例如访问列表、AS 路径访问列表、社区列表、策略列表和前缀列表。必须先创建这些对象,然后才能创建路由映射。

对于 ACL 匹配,可以对 IPv4 地址使用标准或扩展 ACL,但对 IPv6 仅可使用扩展 ACL。由于 match 子句仅基于 IPv4 或 IPv6,因此请确保您的 ACL 具有用于 match 语句的正确地址方案。

另请注意,与其他路由协议相比,BGP 的匹配和设置条件不同。确保为使用路由映射的路由进程选择正确的匹配/设置条件。

过程

步骤 1

设备 > 高级配置中点击查看配置

步骤 2

在目录中选择 Smart CLI > 对象

步骤 3

执行以下操作之一:

  • 要创建对象,请点击 + 按钮。

  • 要编辑某个对象,请点击该对象的编辑图标 (编辑图标)。

要删除某个未引用的对象,请点击该对象的垃圾桶图标 (删除图标)。

步骤 4

选择路由映射作为 CLI 模板

步骤 5

为 Smart CLI 对象输入名称。请注意,此名称还作为路由映射名称输入 CLI 模板第一行中(在 route-map 命令中)。

步骤 6

创建第一个子句:

  1. 点击 redistribution 变量,然后选择以下选项之一:

    • permit - 匹配。为正在配置的功能选择匹配此规则的连接。

    • deny - 不匹配。匹配此规则的连接将从功能中排除。请注意,“被拒绝”的流量不会被丢弃,而只是无法获得向它应用的服务。例如,如果使用此路由映射定义要重新分发的路由,则系统不会重新分发“已拒绝”的地址空间。

  2. 点击 sequence-number 变量并为子句输入编号,范围为 1 到 65535。

    此编号是相对于路由映射中的其他编号子句而言。典型的做法是以 10 为单位跳着计数,即 10、20、30,以便留出空间在将来插入新的子句。

步骤 7

点击显示已禁用,并为子句配置 match 语句。

  1. 点击 configure clause 命令左侧的 + 以启用命令。

  2. 点击 clause ,为 BGP 路由映射选择 bgp-match-clause ,或者为所有其他路由协议选择 match-clause

  3. (BGP 路由映射。)配置以下 match 语句的任意组合,以标识您在此子句中定位的特定路由。请务必点击 - 图标禁用所有未配置的命令。

    • match as-path 。点击变量,然后选择定义要匹配的自治系统编号的 AS 路径对象。

    • match community 。点击变量,然后选择定义要匹配的社区的社区列表对象。

    • match policy-list 。点击变量,然后选择定义该子句的匹配条件的策略列表对象。

    • match tag 。点击变量并输入要匹配的路由标记值,范围为 0-4294967295。

  4. (所有其他路由协议。)配置以下 match 语句的任意组合,以标识您在此子句中定位的特定路由。请务必点击 - 图标禁用所有未配置的命令。您可能需要点击 + 以启用其中一些命令。

    • match interface 。点击变量并选择要匹配的路由中的所有接口。

    • configure match ipv4/ipv6 ip address list-type 。为您的 IP 版本启用正确的命令。然后,点击 list-type 变量并选择是否要基于 access-list prefix-list 匹配路由中的 IP 地址。这将添加一个 match ipv4/ipv6 address 命令,您可以点击该变量并选择定义要匹配的 IP 地址的访问列表或前缀列表。

    • configure match ipv4/ipv6 ip next-hop list-type 。点击 list-type 变量,然后选择是否要基于 access-list prefix-list 匹配路由中下一跳路由器的 IP 地址。这将添加一个 match ipv4/ipv6 next-hop 命令,您可以点击该变量并选择定义要匹配的 IP 地址的访问列表或前缀列表。

    • configure match ipv4/ipv6 ip route-source list-type 。点击 list-type 变量,然后选择是否要基于 access-list prefix-list 匹配路由中路由源的 IP 地址。这将添加一个 match ipv4/ipv6 route-source 命令,您可以点击该变量并选择定义要匹配的 IP 地址的访问列表或前缀列表。

    • match metric 。点击变量并输入要匹配的路由度量,范围为 1-4294967295.。

    • match route-type 。(OSPF、EIGRP。)点击此变量并选择路由映射:

      • external-1 external-2 。OSPF 或 EIGRP 外部第 1 类或第 2 类路由。

      • internal 。OSPF 区域内和区域间路由或 EIGRP 内部路由。

      • local 。本地生成的 BGP 路由。

      • nssa-external-1 nssa-external-2 。外部次末节区域 (NSSA) 第 1 类或第 2 类路由。

步骤 8

(可选,仅限 permit 子句。)对于允许的路由,即匹配的路由,可以配置 set 语句来修改路由属性。您无需修改路由;例如,您可以照原样重新分发它们。

  1. 点击 ... > 复制(在 permit 子句中 configure match-clause configure bgp-match-clause 命令左侧)。系统在 permit 子句末尾添加一个新的 configure clause 命令。

  2. 点击 clause ,根据为 match 子句做出的选择,选择 bgp-set-clause set-clause

  3. (BGP 路由映射。)配置以下 set 语句的任意组合,以修改匹配路由的属性。请务必点击 - 图标禁用所有未配置的命令。

    • configure set as-path options 。点击 options 并选择 properties ,这会添加您需要配置的以下命令。通过向路径添加项目,甚至复制 AS 编号,可以延长路径并减少路由被选为最佳路由的可能性。

      • set as-path prepend as-path 。点击 as-path ,并输入最多 10 个要添加到路由 AS_PATH 属性开头的自治系统编号。此更改适用于出站 BGP 路由映射。

      • set as-path prepend last-as value 。点击 value ,并输入系统应在 AS_PATH 变量的开头添加通告邻居的自治系统编号的次数。此更改适用于入站 BGP 路由映射。

      • set as-path tag 。将路由标记转换为路径。仅在将路由重分布到 BGP 中时适用。

    • set community community-number properties 。点击 community-number 并输入路由的社区,范围为1-4694967295。或者,您可以点击 properties 并添加以下选项之一:

      • internet - 系统向所有对等体(内部和外部)通告具有此社区的路由。

      • no-advertise - 系统不向任何对等体(内部或外部)通告具有此社区的路由。

      • no-export - 系统仅向同一自治系统中的对等体或仅向联盟内的其他子自治系统通告具有此社区的路由。不会向外部对等体通告这些路由。

    • set local-preference 。点击变量,然后输入自治系统路径的首选项值,范围为 0-4294967295。除非在全局 BGP 选项中进行更改,否则 BGP 路由的默认首选项为 100。首选使用具有最高优先级编号的路由。

    • set weight 。点击变量并输入路由权重 0-65535。如果路由器获悉有多个到达同一目标的路由,则首选权重最高的路由。

    • set origin options 。BGP 路由的起点基于主要 IP 路由表中路由的路径信息。您可以通过点击 options 更改此设置,然后选择要如何设置 BGP 源代码。

      • igp 。将源设置为远程内部网关协议 (IGP) 系统。

      • incomplete 。将源设置为未知继承项。

    • configure next-hop ipv4/ipv6 options 。这些是单独的命令。为相应 IP 版本点击 options 并选择以下选项之一:在实施基于策略的路由时通常会设置下一跳网关。

      • specific-ip 。如果要为此路由显式设置下一跳网关的 IP 地址,请选择此选项。系统将添加 set ip/ipv6 next-hop ip-address 命令。点击变量并输入下一跳网关的 IP 地址。您可以添加多个以空格分隔的 IP 地址。如果第一个网关的地址无法访问,系统将尝试下一个地址,以此类推。

      • user-peer-address 。如果要将下一跳网关设置为 BGP 对等体的 IP 地址,请选择此选项。如果在 BGP 对等体的出站路由映射中使用此选项,则通告的匹配路由的下一跳将设置为本地路由器的对等地址,从而禁用下一跳计算。无需为此命令执行额外配置。

    • set ipv4/ipv6 address prefix-list 。这些是单独的命令。根据您选择的前缀列表的内容更改路由的 IP 地址。

    • set automatic-tag 。让系统自动计算路由的标记值。

  4. (所有其他路由协议。)配置以下 set 语句的任意组合,以修改匹配路由的属性。请务必点击 - 图标禁用所有未配置的命令。

    • set metric 。点击变量,然后输入度量值,范围为从 0-4294967295。此值不适用于 EIGRP。

    • set metric-type 。点击此变量,然后选择度量类型。

      • type-1 type-2 。OSPF 中的外部路由类型。默认为第 2 类。

      • internal 。设置通告给外部 BGP (eBGP) 邻居的前缀上的多出口标识符 (MED) 值,以匹配路由下一跳的内部网关协议 (IGP) 度量。此设置适用于生成的内部 BGP (iBGP) 路由和 eBGP 派生的路由。

步骤 9

添加 permit/deny 子句以完成路由映射。

要添加子句,请点击 ... > 复制(在 permit deny 行的左侧)。在您点击了“复制”命令的子句之后,系统会立即添加一个新的 redistribution sequence-number 子句。

虽然路由映射子句按序号的顺序而不是在对象中出现的顺序进行评估,但如果按序号插入新的子句,则更容易编辑对象。不能在对象内移动子句。

请注意,复制子句只是插入一个新的空子句,没有预配置的特征。创建“复制”ACE 后,按照上述说明继续进行配置,以满足您的需求。

步骤 10

点击确定保存对象。

现在,您可以为需要路由映射的功能在路由进程配置或 FlexConfig 对象中使用该对象。

配置访问列表

访问列表对象(也称为访问控制列表 [ACL]),选择服务将应用到的流量。您可在配置特定功能(例如路由映射)时使用这些对象。对于识别为 ACL 所允许的流量,系统会提供服务,而“阻止”流量则会从服务中排除。从服务中排除流量未必意味着完全丢弃该流量。

您可以配置以下类型的 ACL:

  • 扩展 - 根据源地址/端口和目标地址/端口识别流量。支持 IPv4 和 IPv6 地址。

  • 标准 - 仅根据目标地址识别流量。仅支持 IPv4。

ACL 由一个或多个访问控制条目 (ACE) 或规则组成。ACE 的顺序非常重要。当评估 ACL 以确定数据包是否与被“允许”的 ACE 匹配时,系统将按每个 ACE 条目的排列顺序对照每个 ACE 来测试数据包。找到匹配项后,不再检查更多 ACE。例如,如果要匹配 10.100.10.1,但排除 10.100.10.0/24 的其余部分,则 10.100.10.1 的允许条目必须放在 10.100.10.0/24 的 deny 条目之前。一般来说,将更具体的规则置于 ACL 的顶部。

不匹配允许条目的数据包被视为拒绝或排除在匹配之外。

以下主题介绍如何配置 ACL 对象。

配置扩展访问列表

当要根据源和目标地址、协议和端口匹配流量时或者如果流量为 IPv6,可使用扩展 ACL 对象。

开始之前

在您在对象中创建的 ACE 中,创建您所需的所有网络或端口对象。

过程

步骤 1

设备 > 高级配置中点击查看配置

步骤 2

在目录中选择 Smart CLI > 对象

步骤 3

执行以下操作之一:

  • 要创建对象,请点击 + 按钮。

  • 要编辑某个对象,请点击该对象的编辑图标 (编辑图标)。

要删除某个未引用的对象,请点击该对象的垃圾桶图标 (删除图标)。

步骤 4

选择扩展访问列表作为 CLI 模板

步骤 5

为 Smart CLI 对象输入名称。请注意,此名称还作为 ACL 名称输入 CLI 模板的第一行(在 access list 命令中)。

步骤 6

创建应作为 ACL 中首要规则的 ACE。

单个 configure access list entry 命令中包含的每个命令列表实质上都是一个ACE,但在部署时,系统可能会将命令划分为一系列 ACE,尤其是在您添加多个网络对象时。

  1. 在 configure access list entry 命令中,点击 action ,并选择一项以下操作:

    • permit - 匹配。系统会为您所配置的功能选择与此 ACE 匹配的连接。

    • deny - 不匹配。系统会为该功能排除与此 ACE 匹配的连接。请注意,“被拒绝”的流量不会被丢弃,而只是无法获得向它应用的服务。例如,在路由映射中,如果使用此 ACL 定义要重新分发的路由,则系统会不重新分发“被拒绝”的地址空间。

  2. permit/deny network 命令中,点击变量可选择定义连接的源 IP 地址和目标 IP 地址的网络对象。您可以选择多个对象。要指定“任何”地址,请选择 any-ipv4 和 any-ipv6 对象。

  3. configure permit/deny port 命令中,点击 options ,并选择以下一个选项,这会将关联的 permit/deny 命令添加到模板中:

    • any - 如果端口无关紧要,则选择此选项。也就是说,系统将匹配所有类型的 IP 流量。

    • any-source - 如果源 TCP/UDP 端口无关紧要,但您希望指定目标端口,则选择此选项。点击 permit/deny port 命令中的 destination-port 变量,然后选择端口对象。

    • any-destination - 如果 TCP/UDP 端口无关紧要,但您希望指定源端口,则选择此选项。点击 permit/deny port 命令中的 source-port 变量,选择端口对象。

    • source-destination - 如果源和目的 TCP/UDP 端口都很重要,则选择此选项。点击 permit/deny port 命令中的 source-port destination-port 变量,并选择端口对象。

  4. configure logging 命令中,选择 disabled 。日志记录适用于执行访问控制的 ACL,但您不能将这些对象用于访问控制。因此,无论您选择什么选项,系统都会忽略日志记录选项。

步骤 7

添加 ACE 以完成 ACL。

要添加 ACE,请点击 ... > 复制(在 configure access list entry 行的左侧)。在您点击了“复制”命令的相应 ACE 后面,系统会紧接着添加一个新的 ACE 组。

因此,当对象中有很多 ACE 时,请谨慎选择“复制”哪个 ACE。您无法在对象内移动 ACE,因此如果出错,您需要在正确的位置手动重新创建 ACE。

请注意,复制 ACE 只是插入一个新的且没有预配置特征的空 ACE。创建“复制”ACE 后,按照上述说明继续进行配置,以满足您的需求。

步骤 8

点击确定保存对象。

现在,您可以为需要扩展 ACL 的功能在路由映射对象或 FlexConfig 对象中使用该对象。

配置标准访问列表

如果仅需要根据目标 IPv4 地址匹配流量并且您所配置的功能支持标准 ACL,请使用标准 ACL 对象。否则,请使用扩展 ACL。

开始之前

在您在对象中创建的 ACE 中创建您需要的任何网络对象。

过程

步骤 1

设备 > 高级配置中点击查看配置

步骤 2

在目录中选择 Smart CLI > 对象

步骤 3

执行以下操作之一:

  • 要创建对象,请点击 + 按钮。

  • 要编辑某个对象,请点击该对象的编辑图标 (编辑图标)。

要删除某个未引用的对象,请点击该对象的垃圾桶图标 (删除图标)。

步骤 4

选择标准访问列表作为 CLI 模板

步骤 5

为 Smart CLI 对象输入名称。请注意,此名称还作为 ACL 名称输入 CLI 模板的第一行(在 access list 命令中)。

步骤 6

创建应作为 ACL 中首要规则的 ACE。

单个 configure action 命令中包含的每个命令列表都是一个 ACE。

  1. configure action 命令中,点击操作 并选择以下选项之一:

    • permit - 匹配。系统会为您所配置的功能选择与此 ACE 匹配的连接。

    • deny - 不匹配。系统会为该功能排除与此 ACE 匹配的连接。请注意,“被拒绝”的流量不会被丢弃,而只是无法获得向它应用的服务。例如,在路由映射中,如果使用此 ACL 定义要重新分发的路由,则系统会不重新分发“被拒绝”的地址空间。

  2. permit/deny host 命令中,点击变量以选择定义连接目标 IP 地址的网络对象。对象可以指定网络或主机地址。您可以为每个 permit/deny host 命令选择一个对象;在命令中点击. ... > 复制,以指定其他地址,这些地址将成为具有相同操作的唯一性 ACE。要指定 “任何” 地址,请选择 any-ipv4 对象。

步骤 7

添加 ACE 以完成 ACL。

要添加 ACE,请点击 ... > 复制(在 configure action 行的左侧)。在您点击了“复制”命令的相应 ACE 后面,系统会紧接着添加一个新的 ACE 组。

因此,当对象中有很多 ACE 时,请谨慎选择“复制”哪个 ACE。您无法在对象内移动 ACE,因此如果出错,您需要在正确的位置手动重新创建 ACE。

请注意,复制 ACE 只是插入一个新的且没有预配置特征的空 ACE。创建“复制”ACE 后,按照上述说明继续进行配置,以满足您的需求。

步骤 8

点击确定保存对象。

现在,您可以将路由映射对象或 FlexConfig 对象中的对象用于需要标准 ACL 的功能。

配置 AS 路径访问列表

您可以使用 AS 路径访问列表根据更新中的自治系统编号过滤 BGP 邻居更新。系统将接受允许的 AS 编号的更新,而拒绝被拒绝的 AS 编号的更新,即不会将其添加到路由表。

您还可以在出站方向应用 AS 路径过滤,并过滤发送到邻居的更新。

此外,您可以在路由映射中使用 AS 路径对象进行 BGP 地址汇聚,

过程

步骤 1

设备 > 高级配置中点击查看配置

步骤 2

在目录中选择 Smart CLI > 对象

步骤 3

执行以下操作之一:

  • 要创建对象,请点击 + 按钮。

  • 要编辑某个对象,请点击该对象的编辑图标 (编辑图标)。

要删除某个未引用的对象,请点击该对象的垃圾桶图标 (删除图标)。

步骤 4

选择 ASPath 作为 CLI 模板

步骤 5

为 Smart CLI 对象输入名称。该名称必须是 1-500 范围内的数字。请注意,此名称还作为 AS 路径访问列表名称输入 CLI 模板的第一行(在 as-path 命令中)。

步骤 6

配置 AS 路径条目。

每个条目都包含在以操作 选项开头的单独一行中。

  1. 点击 action 并选择以下选项之一:

    • permit - 匹配。为正在配置的功能选择匹配此规则的连接。

    • deny - 不匹配。匹配此规则的连接将从功能中排除。请注意,“被拒绝”的流量不会被丢弃,而只是无法获得向它应用的服务。例如,在路由映射中,如果使用此对象定义要重新分发的路由,则系统不会重新分发“已被拒绝”的地址空间。

  2. 点击正则表达式 ,并输入定义应与此条目匹配的 AS 编号的正则表达式。

    最简单形式的正则表达式只是一个完整的 AS 路径编号,您可以允许或拒绝来自单个自治系统的路由更新。

    AS 编号范围为从 1 至 4294967295,或从 1.0 至 65535.65535。AS 编号是分配的唯一值,用于在互联网上标识各个网络。系统支持 RFC 5396 中定义的 asplain 和 asdot 表示法。需要使用哪种表示法取决于您是否在 BGP 全局设置中启用 bgp asnotation dot 命令。

步骤 7

添加条目以完成 AS 路径访问列表。

要添加条目,请点击 ... > 复制(在操作 行的左侧)。系统会在您点击“复制”命令的条目后立即添加新条目。

因此,当对象中有许多条目时,请明智地选择“复制”哪个条目。您无法在对象内移动条目,因此,如果出错,您需要在正确的位置手动重新创建条目。系统按自上而下的顺序评估规则,并应用第一个匹配的规则。

请注意,复制条目只是插入一个新的空条目,而没有预配置的特征。创建“复制”ACE 后,按照上述说明继续进行配置,以满足您的需求。

步骤 8

点击确定保存对象。

现在,您可以将 BGP 对象、路由映射对象或 FlexConfig 对象中的对象用于需要 AS 路径访问列表的功能。

配置社区列表

如果启用 BGP 进程发送社区信息,则可以使用社区列表作为路由映射中的 match 子句来设置匹配路由的属性。例如,您可以更改某些社区的路由首选项。

社区是一种可选属性或标签,运营商将其附加到一组共享某些公共属性的目的地的通告路由中。特定社区编号将由您的 ISP 通告:您需要从 ISP 获取编号及其含义,然后选择使用路由映射处理它们的方式。

社区列表是按顺序排列的,并以类似于访问和前缀列表的自上而下且应用第一个匹配项的方式来确定匹配项。

社区列表分为以下两种类型:

  • 标准 - 当您希望以特定的已知社区(例如从运营商处获取的社区)为目标时,请使用标准列表。

  • 扩展 - 如果要根据正则表达式匹配来匹配一组社区,请使用扩展列表。

过程

步骤 1

设备 > 高级配置中点击查看配置

步骤 2

在目录中选择 Smart CLI > 对象

步骤 3

执行以下操作之一:

  • 要创建对象,请点击 + 按钮。

  • 要编辑某个对象,请点击该对象的编辑图标 (编辑图标)。

要删除某个未引用的对象,请点击该对象的垃圾桶图标 (删除图标)。

步骤 4

选择标准社区列表扩展社区列表作为 CLI 模板

步骤 5

为 Smart CLI 对象输入名称。请注意,此名称还作为社区列表名称输入 CLI 模板第一行中(在 community-list 命令中)。

步骤 6

(标准列表。)配置社区列表条目。

每个条目都包含在以操作 选项开头的单独一行中。

  1. 点击 action 并选择以下选项之一:

    • permit - 匹配。为正在配置的功能选择匹配此规则的连接。

    • deny - 不匹配。匹配此规则的连接将从功能中排除。请注意,“被拒绝”的流量不会被丢弃,而只是无法获得向它应用的服务。例如,在路由映射中,如果使用此规则定义要重新分发的路由,则系统不会重新分发“已拒绝”的地址空间。

  2. 点击社区编号 并输入最多 10 个以空格分隔的社区。一条规则的多个社区之间采用逻辑“与”预算,因此仅当匹配路由中的所有社区时才存在匹配项。

    以十进制格式 (1-4294967295) 或 AA:NN 格式(每个值为 1-66535)输入社区,具体取决于为 BGP 进程启用的编号方法。从您的 ISP 或其他 BGP 邻居那里获取这些编号。

  3. (可选。)点击属性 ,并将其他已知社区添加到规则中。

    • internet - 系统向所有对等体(内部和外部)通告具有此社区的路由。

    • no-advertise - 系统不向任何对等体(内部或外部)通告具有此社区的路由。

    • no-export - 系统仅向同一自治系统中的对等体或仅向联盟内的其他子自治系统通告具有此社区的路由。不会向外部对等体通告这些路由。

步骤 7

(扩展列表。)配置社区列表条目。

  1. 点击操作 并选择 permit deny 。上文介绍了这些操作。

  2. 点击正则表达式 ,然后输入定义应与此条目匹配的社区的正则表达式。

    使用 * 或 + 字符匹配的指令优先成为最长的结构。嵌套结构按从外向内的顺序匹配。串联结构从左侧开始匹配。如果正则表达式可与输入字符串的两个不同部分匹配,则它将优先匹配最早输入的部分。有关编写正则表达式的详细信息,请参阅《Cisco IOS 终端服务配置指南》的“正则表达式”附录。

步骤 8

添加条目以完成社区列表。

要添加条目,请点击 ... > 复制(在操作 行的左侧)。系统会在您点击“复制”命令的条目后立即添加新条目。

因此,当对象中有许多条目时,请明智地选择“复制”哪个条目。您无法在对象内移动条目,因此,如果出错,您需要在正确的位置手动重新创建条目。

请注意,复制条目只是插入一个新的空条目,而没有预配置的特征。创建“复制”ACE 后,按照上述说明继续进行配置,以满足您的需求。

步骤 9

点击确定保存对象。

现在,您可以在路由映射或路由进程中或在 FlexConfig 对象中将对象用于需要社区列表的功能。

配置策略列表

您可以使用路由映射中的策略列表来替换一个或多个 match 子句。因此,如果您有一组要重复使用的 match 子句,可以使用策略映射简化配置,从而无需在每个路由映射中重复这些 match 子句。您可以使用引用 BGP 中的策略列表的路由映射。

在路由映射中,除了策略列表之外,还可以添加其他 match 子句。策略列表 match 子句仅匹配传入属性。

策略列表仅支持匹配的 IPv4 地址;不能匹配 IPv6 地址。

对于策略映射中的 match 子句:

  • 多个 match 子句之间采用逻辑“与”运算。也就是说,路由必须满足每个子句才视为与策略列表匹配。

  • 单个 match 子句中的多个值之间采用逻辑“或”运算。也就是说,如果路由匹配该 match 语句中的任何值,则该路由将被视为匹配整个语句。

开始之前

如果要为访问列表、前缀列表或 AS 路径访问列表配置 match 子句,则必须在创建策略列表之前创建这些对象。

过程

步骤 1

设备 > 高级配置中点击查看配置

步骤 2

在目录中选择 Smart CLI > 对象

步骤 3

执行以下操作之一:

  • 要创建对象,请点击 + 按钮。

  • 要编辑某个对象,请点击该对象的编辑图标 (编辑图标)。

要删除某个未引用的对象,请点击该对象的垃圾桶图标 (删除图标)。

步骤 4

选择策略列表作为 CLI 模板

步骤 5

为 Smart CLI 对象输入名称。请注意,此名称还作为策略列表名称输入 CLI 模板的第一行(在 policy-list 命令中)。

步骤 6

点击 policy-list 命令中的操作 ,选择以下选项之一:

  • permit - 匹配。系统为您正在配置的功能选择匹配此列表的连接。

  • deny - 不匹配。匹配此列表的连接将从功能中排除。请注意,“被拒绝”的流量不会被丢弃,而只是无法获得向它应用的服务。例如,在路由映射中,如果使用此对象定义要重新分发的路由,则系统不会重新分发“已被拒绝”的地址空间。

步骤 7

点击模板上方的显示已禁用可显示 match 命令。您必须点击要启用的 match 语句左侧的 + 图标。配置以下 match 语句的任意组合,以定义要定位的路由。

  • match as-path 。点击变量,然后选择定义要匹配的自治系统编号的 AS 路径对象。

  • configure match ip address list-type . 点击 list-type 变量,然后选择是否要基于 access-list prefix-list 匹配路由中的 IP 地址。这将添加一个 match ip address 命令,您可以点击该变量并选择标准访问列表或定义要匹配的 IP 地址的 IPv4 前缀列表。

  • configure match ip next-hop list-type 。点击 list-type 变量,然后选择是否要基于 access-list prefix-list 匹配路由中下一跳路由器的 IP 地址。这将添加一个 match ip next-hop 命令,您可以点击该变量并选择标准访问列表或定义要匹配的 IP 地址的 IPv4 前缀列表。

  • configure match ip route-source list-type 。点击 list-type 变量,然后选择是否要基于 access-list prefix-list 匹配路由中路由源的 IP 地址。这将添加一个 match ip route-source 命令,您可以点击该变量并选择标准访问列表或定义要匹配的 IP 地址的 IPv4 前缀列表。

  • match community community-list options 。点击 community-list 变量,然后选择定义要匹配的社区的社区列表对象。如果希望路由仅在列表中的所有社区都匹配时才匹配社区列表,请点击选项 并选择 exact-match

  • match interface 。点击变量并选择要匹配的路由中的所有接口。

  • match metric 。点击变量,然后输入要匹配的路由多出口鉴别器 (MED) 度量,范围为 1-4294967295。

  • match tag 。点击变量并输入要匹配的路由标记值,范围为 0-4294967295。

步骤 8

点击确定保存对象。

现在,您可以在路由映射对象中使用该对象,以用于 BGP 路由。

配置前缀列表

前缀列表类似于访问控制列表。前缀列表是允许/拒绝规则的有序列表,其中允许表示应与列表匹配的地址前缀,而拒绝表示不应与列表匹配的地址前缀。系统从上到下评估匹配项,并根据第一个匹配的规则(不一定是最佳匹配的规则)分配操作。因此,您需要谨慎指定序号,以确保获得您所需的匹配结果。

您可以将前缀列表用于 OSPF 过滤,或路由重新分发或注入的 BGP、OSPF 或 EIGRP 路由映射,或用于 BGP 邻居过滤。

IPv4 和 IPv6 地址有单独的前缀列表,但列表的结构相同。

过程

步骤 1

设备 > 高级配置中点击查看配置

步骤 2

在目录中选择 Smart CLI > 对象

步骤 3

执行以下操作之一:

  • 要创建对象,请点击 + 按钮。

  • 要编辑某个对象,请点击该对象的编辑图标 (编辑图标)。

要删除某个未引用的对象,请点击该对象的垃圾桶图标 (删除图标)。

步骤 4

选择 IPv4 前缀列表IPv6 前缀列表作为 CLI 模板

步骤 5

为 Smart CLI 对象输入名称。请注意,此名称还作为前缀列表名称输入 CLI 模板的第一行(在 prefix-list 命令中)。

步骤 6

配置前缀列表条目,即 seq 行。

每个条目都包含在以 seq 选项开头的单独一行中。

  1. seq 中,点击 sequence-number 并输入此规则的编号(1-4294967294)。该编号为相对于其他规则的序号,其中 1 是系统评估的第一个规则。常见做法是以 5 为单位跳着数,也就是 5、10、15 等。这样可以为您留出了插入新规则的空间,而无需更改其他规则的序号。

  2. 点击 action 并选择以下选项之一:

    • permit - 匹配。为正在配置的功能选择匹配此规则的连接。

    • deny - 不匹配。匹配此规则的连接将从功能中排除。请注意,“被拒绝”的流量不会被丢弃,而只是无法获得向它应用的服务。例如,在路由映射中,如果使用此规则定义要重新分发的路由,则系统不会重新分发“已拒绝”的地址空间。

  3. 点击 ip-address-mask ,然后输入网络地址和掩码(IPv4为 CIDR 格式)或 IPv6 的前缀长度。例如,10.100.10.0/24 (IPv4) 或 2001:DB8:0:CD30::/60 (IPv6)。

    系统会为此地址/掩码使用精确匹配,除非您还添加 ge le 选项之一。例如,除非您在规则中添加 ge 9 ,否则 10.100.10.10/8 不会匹配 10.100.10.0/24。

    可以采用如下掩码或前缀长度:

    • IPv4 = 0-32

    • IPv6 = 0-128

  4. (可选。)对于比 IP 地址和掩码/前缀长度更具体的前缀,可以使用 ge le 关键字指定要匹配的前缀长度范围。如果不使用这些关键字,则系统仅考虑完全匹配来匹配规则。

    ge min-prefix-length 用于指定要匹配的最小前缀长度。该最小值必须大于掩码/前缀长度并小于或等于 le 选项中定义的最大前缀长度(如有)。

    le max-prefix-length 用于指定要匹配的最大前缀长度。该最大值必须大于或等于最小前缀长度(如有),或者大于掩码/前缀长度(如果未定义该最小值)。

    除了上述相对长度限制外,这些选项中的长度还有以下外部限制:

    • IPv4 = 1-32

    • IPv6 = 0-128

步骤 7

添加条目以完成前缀列表。

要添加条目,请点击 ... > 复制(在 seq 行左侧)。系统会在您点击“复制”命令的条目后立即添加新条目。

为方便起见,最好尽量按顺序保留条目。但是,部署后,前缀列表将按顺序重写,即使您在对象中打乱了顺序。

请注意,复制条目只是插入一个新的空条目,而没有预配置的特征。创建“复制”ACE 后,按照上述说明继续进行配置,以满足您的需求。

步骤 8

点击确定保存对象。

现在,您可以在路由映射或路由过程中或在 FlexConfig 对象中将对象用于需要前缀列表的功能。

示例

以下是如何使用前缀列表匹配前缀的一些示例。为简单起见,示例中省略了序号。每个规则的实际行为由匹配覆盖的地址空间子集的任何顺序较早的规则修改。

  • 拒绝默认路由 0.0.0.0/0:

    deny 0.0.0.0/0

  • 允许前缀 10.0.0.0/8:

    permit 10.0.0.0/8

  • 在前缀为 192/8 的路由中接受最多 24 位的掩码长度:

    permit 192.168.0.0/8 le 24

  • 在前缀为 192/8 的路由中拒绝大于 25 位的掩码长度:

    deny 192.168.0.0/8 ge 25

  • 允许在所有地址空间中使用 8 到 24 位的掩码长度:

    permit 0.0.0.0/0 ge 8 le 24

  • 拒绝在所有地址空间中使用大于 25 位的掩码长度:

    deny 0.0.0.0/0 ge 25

  • 拒绝前缀为 10/8 的所有路由:

    deny 10.0.0.0/8 le 32

  • 对于前缀为 192.168.1/24 的路由,拒绝长度大于 25 位的所有掩码:

    deny 192.168.1.0/24 ge 25

  • 允许所有前缀为 0/0 的路由:

    permit 0.0.0.0/0 le 32