一、被動(dòng)接口

passive interfaces (不發(fā)hello包和update包，rip除外)

二、路由過濾

常用方法：
a.ACL
b.prefix list前綴列表，可匹配掩碼
c.distribute list 分布列表
d.route-map，調(diào)用acl,prefix list

1.distribute list

概念：分布列表通過調(diào)用ACL來對(duì)路由進(jìn)行過濾，可以在一個(gè)單獨(dú)的路由區(qū)域內(nèi)過濾，也可在路由協(xié)議之間做重分發(fā)的時(shí)候進(jìn)行過濾。

a.接口上過濾

R1(config)#access-list 2 permit 2.2.2.0
R1(config-router)#distribute-list 2 in serial 0  #只允許2.2.2.0路由從S0進(jìn)

b.在路由協(xié)議內(nèi)做過濾
EIGRP

R1:access-list 1 permit 1.1.1.0 0.0.0.255
R1:router eigrp 100
R1:distribute-list 1 out s1/1 #R1接口out方向做過濾

R2:只有1.1.1.0的路由

R2:access-list 1 permit 1.1.1.0 0.0.0.255
R2:router eigrp 100
R2:distribute-list 1 in s1/0 #R2接口in方向做過濾

OSPF(不能在接口out方向做協(xié)議內(nèi)過濾)

R2:access-list 1 permit 1.1.1.0 0.0.0.255
R2:router ospf 1
R2:distribute-list 1 in s1/0 #R2接口in方向做過濾可以

c.重分發(fā)時(shí)過濾(協(xié)議間過濾)
注意：當(dāng)在重分布時(shí)進(jìn)行過濾，僅允許使用關(guān)鍵字out，后面可以跟上協(xié)議名，但不能跟接口，因?yàn)闊o意義（即：in后面不能跟協(xié)議，只有out后能跟）

R2:router eigrp 100
R2:redistribute ospf 1 metric 1 1 1 1 1
R2:router ospf 1
R2:redistribute eigrp 100 subnets

R2:access-list 1 deny 1.1.1.0 0.0.0.255
R2:access-list 1 permit any
R2:access-list 2 deny 3.1.1.0 0.0.0.255
R2:access-list 2 permit any

R2:router eigrp 100
R2:distribute-list 1 out ospf 1
R2:rotuer ospf 1
R2:distribute-list 2 out eigrp 100

2.Prefix-List 前綴列表

概念：和ACL類似的東東，設(shè)計(jì)用于專抓路由的工具，不僅可以匹配網(wǎng)絡(luò)號(hào)，還可以匹配掩碼

寫法一：

ip prefix-list mymatchlist permit 192.168.0.0/16
含義：掩碼要16位，前16位也要匹配 

寫法二：

ip prefix-list List1 permit 192.168.0.0/16 le 20
含義：掩碼16~20位，前16位也要匹配

特殊寫法舉例：

0.0.0.0/0 : 只匹配默認(rèn)路由
0.0.0.0/0 le 32 :匹配any
0.0.0.0/0 ge 32 :所以主機(jī)（host）路由
0.0.0.0/0 ge 1 le 32:除默認(rèn)路由
A類路由：ip prefix-list 1 permit 0.0.0.0/1 le 32
B類路由：ip prefix-list 1 permit 128.0.0.0/2 le 32
C類路由：ip prefix-list 1 permit 192.0.0.0/3 le 32

協(xié)議內(nèi)調(diào)用

R4(config)#ip prefix-list 2（用名字也行） permit 2.2.2.0/24
R4(config-router)#distribute-list prefix 2 in serial 1

利用前綴列表過濾OSPF
要求：在如上圖所示的拓樸中，在R1上利用前綴列表做過濾，不要向AREA0區(qū)域傳遞172.16.1.1的路由。

R1：
ip prefix-list 1 seq 5 deny 172.16.1.1/32
ip prefix-list 1 seq 10 permit 0.0.0.0/0 le 32 #匹配any

router ospf 110
  area 1 filter-list prefix 1 out

3.Route-Map

(1)也叫路由圖或者路由映射表，是對(duì)路由進(jìn)行加工處理的工具。

(2)注意：
1、route-map可以調(diào)用ACL或prefix抓出一部分路由進(jìn)行加工處理
2、每一個(gè)route-map可以有多條語句，每條語句都有一個(gè)序號(hào)
3、每條語句都有兩種動(dòng)作：match 和 set
4、每條語句對(duì)抓出來的路由都有兩種處理方式：permit 或 deny
5、使用范圍：重分發(fā)、PBR、BGP
6、route-map 重分發(fā)時(shí)默認(rèn)拒絕所有；PBR時(shí)默認(rèn)允許所有

(3)route-map的使用分三步操作：
1、定義ACL或prefix抓出路由
2、定義route-map說明對(duì)匹配的路由所采取的處理方式
3、調(diào)用route-map

(4)route-map的匹配邏輯：
route-map NAME permit 10
match ip address x y z
-------> OR
match ip address a ￤
match ip address b ￤ AND
match ip address c ↓

如不寫match/set,默認(rèn)： match any，set nothing

(5)例：
要求在R1上將EIGRP重分布進(jìn)OSPF，其中172.16.1.0路由要以O(shè)E1重分布，172.16.2.0路由重分布時(shí)metric值要改為100，172.16.3.0的路由不允許重分布，其它路由不改動(dòng)，默認(rèn)重分布。

R1(config)#access-list 1 permit 172.16.1.0 0.0.0.0
R1(config)#access-list 2 permit 172.16.2.0 0.0.0.0
R1(config)#access-list 3 permit 172.16.3.0 0.0.0.0

R1(config)#route-map WOLF permit 10
R1(config-route-map)#match ip address 1
R1(config-route-map)#set metric-type type-1

R1(config)#route-map WOLF permit 20
R1(config-route-map)#match ip address 2
R1(config-route-map)#set metric 100

R1(config)#route-map WOLF deny 30
R1(config-route-map)#match ip address 3

R1(config)#route-map WOLF permit 40
R1(config-route-map)#exit

R1(config)#router ospf 110
R1(config-router)#redistribute eigrp 90 subnets route-map WOLF   #調(diào)用route-map

(6)使用route-map打tag
作用：可以對(duì)一些路由打上tag，好讓后面的路由器根據(jù)tag找出這些路由并進(jìn)行相應(yīng)的策略

要求：
1、在R3上將RIP重分布進(jìn)OSPF
2、在R1上將OSPF重分布進(jìn)EIGRP，但不能將從RIP學(xué)到的路由帶過去

可以用tag解決：
1、在R3上將RIP重分布進(jìn)OSPF時(shí)，利用route-map打上tag標(biāo)記
2、在R1上將OSPF重分布進(jìn)EIGRP時(shí)，找出打了tag標(biāo)記的路由再deny掉就行了

R3(config)#route-map WOLF permit 10
R3(config-route-map)#set tag 20

R3(config)#router ospf 110
R3(config-router)#redistribute rip subnets route-map WOLF


到了R1之后，對(duì)打tag的路由丟棄
R1(config)#route-map CCNP deny 10
R1(config-route-map)#match tag 20
R1(config)#route-map CCNP permit 20    #一定要寫一條空語句放行其它的路由
R1(config-route-map)#exit

R1(config)#router eigrp 90
R1(config-router)#redistribute ospf 110 metric 1500 100 255 1 1500 route-map CCNP

4.PBR策略路由

(1)概念：PBR就是使用route-map這一工具對(duì)某個(gè)接口進(jìn)來的數(shù)據(jù)流做一些策略，符合條件的按相應(yīng)的策略進(jìn)行路由，不符合條件的按正常情況進(jìn)行轉(zhuǎn)發(fā)。

(2)規(guī)則：
a.PBR優(yōu)于路由表-----如果路由器上設(shè)置了PBR，當(dāng)數(shù)據(jù)包到達(dá)路由器時(shí)，是先匹配PBR，如果匹配上了，直接按PBR進(jìn)行轉(zhuǎn)發(fā)，如果沒匹配上，再去找路由表進(jìn)行轉(zhuǎn)發(fā)，所以說PBR覆蓋了正常的路由選擇進(jìn)程。

b.PBR中不匹配的數(shù)據(jù)包不會(huì)DENY（丟棄），而是normal forwarding(正常轉(zhuǎn)發(fā))

c.PBR只針對(duì)于入項(xiàng)接口

(3)應(yīng)用舉例：多ISP選路

第一步：
R1(config)#access-list 1 permit 1.1.1.0 0.0.0.255
R1(config)#access-list 2 permit 2.2.2.0 0.0.0.255

第二步：
R1(config)#route-map WOLF permit 10
R1(config-route-map)#match ip address 1
R1(config-route-map)#set ip next-hop 12.1.1.2 發(fā)給與本機(jī)直連的下一跳路由器

R1(config)#route-map WOLF permit 20
R1(config-route-map)#match ip address 2
R1(config-route-map)#set ip next-hop 13.1.1.3 

第三步：
R1(config)#int e0/0 　(入口調(diào)用策略）
R1(config-if)#ip policy route-map WOLF

(4)本地策略路由：　　　　　　　　　　　　　　　　　　　　
·PBR默認(rèn)對(duì)本地產(chǎn)生的數(shù)據(jù)流量不起效。也就是對(duì)自已產(chǎn)生的包不執(zhí)行策略。

R3(config)#ip local policy route-map PBR名稱?。ㄊ筆BR對(duì)本地?cái)?shù)據(jù)流量有效）加上這一條命令才會(huì)對(duì)自已產(chǎn)生的包也做策略

(5)查看

debug ip policy