请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 1095|回复: 2

【原创】关于思科路由映射表中ACL的使用问题

[复制链接]
发表于 2019-6-11 16:13:59 | 显示全部楼层 |阅读模式
在日常使用route-MAP控制路由信息的时候,经常有人发现ACL条目,调用后无效,或者效果有差异

比如,下图【随便画一下,说明一下问题即可】



R1和R2允许OSPF,R1的LOOPBACK接口网段,是重分发进入OSPF的

R1:
router ospf 1
network  12.1.1.0 0.0.0.255 area 0

access-list  1  permit  1.1.1.0 0.0.0.255

route-map xxx per 10
  match ip address 1

router ospf 1
redis connected subnets route-map xxx

R2:
router ospf 1
network  12.1.1.0 0.0.0.255 area 0


这里的本意是想实现,仅重分发1.1.1.0的路由条目到OSPF,最后发现实现了,但是,到底是ACL的默认deny实现的,还是route-map的默认deny实现的呢?【这个很重要,但是很多人忽略了,所以会带来很多问题】


再来看一个现象:拓扑和OSPF配置不变,仅修改以下配置

R1:
access-list  1  deny  1.1.1.0 0.0.0.255
access-list 1 permit  2.2.2.0 0.0.0.255

route-map xxx per 10
  match ip address 1
route-map xxx per 20

router ospf 1
redis connected subnets route-map xxx



实验结果表明,R2会学到所有的路由,包括ACL中明确指明的deny 1.1.1.0 0.0.0.255

原因:

在路由映射表中调用ACL,ACL的deny子句不起过滤作用,除非deny和permit  any一起使用,才能使deny起作用。

为什么会有这样的定义,欢迎大家讨论。命令是直接手打的,如果单词有误【不习惯写全命令】,请指正。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
发表于 2019-6-11 17:29:42 | 显示全部楼层
感谢小牛老师的分享,谢谢!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-7-21 16:15:27 | 显示全部楼层
应该是配合route-map中的deny来使用才对。
一般实际应用ACL用Permit匹配路由,route-map中指定具体permit或者deny。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-10-17 04:25 , Processed in 0.089697 second(s), 38 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表