eNSP_路由策略

一、实验逻辑梳理

这是一个经典的OSPF与RIP双向重分发 实验，关键在于在边界路由器（R2）上，通过路由策略来控制哪些路由可以被相互学习，并修改其属性。拓扑结构如下：

• R1: 运行RIP，持有环回口 10.1.1.0/24, 10.1.2.0/24, 10.1.3.0/24。

• R2 : 与R1的互联接口运行RIP，与R3的互联接口运行OSPF Area 0，是ASBR（自治系统边界路由器）。

• R3: 运行OSPF，持有环回口 30.1.1.0/24, 30.1.2.0/24, 30.1.3.0/24。

实验目标是通过在R2上配置路由策略，实现：

1. 路由过滤：控制RIP和OSPF之间相互学习的路由。

2. 路由属性修改：为引入的路由设置特定的Cost（度量值）。

第一阶段：基础配置与连通性建立

目标：配置IP地址和基础路由协议，确保各自网络内部可达。

在路由器 R1 上操作

system-view

sysname R1

配置接口IP地址

interface GigabitEthernet 0/0/0

ip address 12.1.1.1 255.255.255.252

quit

interface LoopBack 0

ip address 10.1.1.1 255.255.255.0

interface LoopBack 1

ip address 10.1.2.1 255.255.255.0

interface LoopBack 2

ip address 10.1.3.1 255.255.255.0

quit

配置RIP协议

rip 1

version 2 ! 启用RIPv2，支持无类路由和组播更新

undo summary ! 关闭自动汇总，防止路由信息被错误聚合

network 12.0.0.0 ! 宣告网络，使对应接口运行RIP

network 10.0.0.0

quit

在路由器 R2 上操作

system-view

sysname R2

interface GigabitEthernet 0/0/0

ip address 12.1.1.2 255.255.255.252

quit

interface GigabitEthernet 0/0/1

ip address 23.1.1.1 255.255.255.252

quit

配置RIP (与R1通信)

rip 1

version 2

undo summary

network 12.0.0.0

quit

配置OSPF (与R3通信)

ospf 1 router-id 2.2.2.2

area 0

network 23.1.1.0 0.0.0.3

area 1

network 12.1.1.0 0.0.0.3

quit

在路由器 R3 上操作

system-view

sysname R3

interface GigabitEthernet 0/0/0

ip address 23.1.1.2 255.255.255.252

quit

interface LoopBack 0

ip address 30.1.1.1 255.255.255.0

interface LoopBack 1

ip address 30.1.2.1 255.255.255.0

interface LoopBack 2

ip address 30.1.3.1 255.255.255.0

quit

配置OSPF协议

ospf 1 router-id 3.3.3.3

area 0

network 23.1.1.0 0.0.0.3

network 30.1.1.0 0.0.0.255

network 30.1.2.0 0.0.0.255

network 30.1.3.0 0.0.0.255

quit

配置后验证与原理讲解：

检查直连连通性：

   # 在R1上执行
   R1 ping 12.1.1.2
   # 在R2上执行
   R2 ping 23.1.1.2

• 目标 ：确保物理链路和IP配置正确。如果ping不通，检查接口状态(display ip interface brief)和IP地址。

检查路由协议邻居：

   # 在R2上执行
   R2 display rip 1 neighbor
   R2 display ospf peer brief

• 预期结果 ：RIP邻居中看到R1 (12.1.1.1)，OSPF邻居中看到R3 (23.1.1.2)，状态均为Full。

• 原理 ：R2 display rip 1 neighbor查看RIP邻居，display ospf peer brief查看OSPF邻居的简要信息。邻居关系Full意味着双方已成功交换并同步了链路状态数据库（对于OSPF）或路由表（对于RIP）。

检查各自域内路由：

   # 在R1上检查是否学到直连的RIP路由（目前只有直连）
   R1 display ip routing-table protocol rip
   # 在R3上检查是否学到OSPF域内路由
   R3 display ip routing-table protocol ospf
   # 在R2上检查，应该同时看到RIP和OSPF路由
   R2 display ip routing-table

4.
*
>
> [R2]dis
> [R2]display ip r
> [R2]display ip rou
> [R2]display ip routing-table
> Route Flags: R - relay, D - download to fib
> ------------------------------------------------------------------------------
> Routing Tables: Public
> Destinations : 16 Routes : 16
>
> Destination/Mask Proto Pre Cost Flags NextHop Interface
>
> 10.1.1.0/24 RIP 100 1 D 12.1.1.1 GigabitEthernet
> 0/0/0
> 10.1.2.0/24 RIP 100 1 D 12.1.1.1 GigabitEthernet
> 0/0/0
> 10.1.3.0/24 RIP 100 1 D 12.1.1.1 GigabitEthernet
> 0/0/0
> 12.1.1.0/30 Direct 0 0 D 12.1.1.2 GigabitEthernet
> 0/0/0
> 12.1.1.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
> 0/0/0
> 12.1.1.3/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
> 0/0/0
> 23.1.1.0/30 Direct 0 0 D 23.1.1.1 GigabitEthernet
> 0/0/1
> 23.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
> 0/0/1
> 23.1.1.3/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
> 0/0/1
> 30.1.1.1/32 OSPF 10 1 D 23.1.1.2 GigabitEthernet
> 0/0/1
> 30.1.2.1/32 OSPF 10 1 D 23.1.1.2 GigabitEthernet
> 0/0/1
> 30.1.3.1/32 OSPF 10 1 D 23.1.1.2 GigabitEthernet
> 0/0/1
> 127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
> 127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
> 127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
> 255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
>
当前预期 ：此时R1看不到 R3的30.1.x.x路由，R3也看不到 R1的10.1.x.x路由。因为R2还没有进行"重分发"，RIP和OSPF是两个独立的路由世界。

• 原理 ：路由协议只在同一协议进程内传播路由。R2虽然同时运行RIP和OSPF，但它不会自动将从一个协议学到的路由，告诉另一个协议。这堵"墙"需要手动打通，这就是"重分发"。

---

第二阶段：核心配置 - 路由重分发与策略控制

目标：在R2上配置双向重分发，并在重分发过程中植入"策略"，实现精确控制。

在路由器 R2 上操作 (核心配置)

第一部分：将 OSPF 路由引入 RIP，并设置 Cost=10

步骤1: 创建ACL，作为"匹配规则"

acl 2000

rule 10 permit source 30.1.1.0 0.0.0.255 ! 匹配目标网络1

rule 20 permit source 30.1.2.0 0.0.0.255 ! 匹配目标网络2

rule 30 permit source 30.1.3.0 0.0.0.255 ! 匹配目标网络3

quit

! 原理：ACL 2000 在这里不是用来做访问控制，而是作为"路由过滤器"。

! `source`后面跟的是"路由前缀"，`0.0.0.255`是反掩码，表示精确匹配前24位。

步骤2: 创建Route-Policy，作为"动作执行器"

route-policy FROM_OSPF permit node 10

if-match acl 2000 ! 如果路由匹配了ACL 2000

apply cost 10 ! 则对这些路由应用动作：设置其Cost(度量值)为10

quit

! 原理：Route-Policy是策略工具。`node 10`是策略节点，`permit`表示允许通过。

! `if-match`定义匹配条件，`apply`定义要执行的动作。

步骤3: 在RIP进程中，应用"引入+策略"

rip 1

import-route ospf 1 route-policy FROM_OSPF

quit

! 原理：`import-route ospf 1` 是将OSPF 1进程的路由引入到RIP。

! 后面的 `route-policy FROM_OSPF` 是关键！它意味着"在引入每一条OSPF路由时，

! 都要用名为`FROM_OSPF`的策略检查一下"。只有策略允许(`permit`)的路由才会被引入，

! 并且会执行策略中定义的`apply cost 10`动作。

第二部分：将 RIP 路由引入 OSPF，并过滤掉 10.1.1.0/24

步骤1: 创建ACL，定义"允许名单"

acl 2001

rule 10 permit source 10.1.2.0 0.0.0.255 ! 只允许10.1.2.0/24

rule 20 permit source 10.1.3.0 0.0.0.255 ! 只允许10.1.3.0/24

! 注意：这里没有写 `rule deny source 10.1.1.0 0.0.0.255`。

! 原理：华为ACL末尾隐含了一条`deny any`的规则。所以，只要不明确允许`10.1.1.0/24`，

! 它就会被这条隐含规则拒绝。这是一种"白名单"思想。

quit

步骤2: 创建Route-Policy，关联"允许名单"

route-policy FROM_RIP permit node 10

if-match acl 2001 ! 如果路由匹配了ACL 2001（即，是10.1.2.0或10.1.3.0）

! 则允许通过。不匹配的（如10.1.1.0）将被此节点拒绝。

quit

! 注意：这个策略里没有`apply`动作，因为我们只想过滤，不修改属性。

步骤3: 在OSPF进程中，应用"引入+过滤策略"

ospf 1

import-route rip 1 route-policy FROM_RIP

quit

! 原理：将RIP路由引入OSPF，并应用过滤策略`FROM_RIP`。

! 这样，只有`10.1.2.0/24`和`10.1.3.0/24`会被引入OSPF，`10.1.1.0/24`被过滤掉。

配置后验证与深度分析：

验证R1的路由表（验证第一部分策略）：

   R1 display ip routing-table

R1\]display ip rou \[R1\]display ip routing-table Route Flags: R - relay, D - download to fib ------------------------------------------------------------------------------ Routing Tables: Public Destinations : 19 Routes : 19 Destination/Mask Proto Pre Cost Flags NextHop Interface 10.1.1.0/24 Direct 0 0 D 10.1.1.1 LoopBack0 10.1.1.1/32 Direct 0 0 D 127.0.0.1 LoopBack0 10.1.1.255/32 Direct 0 0 D 127.0.0.1 LoopBack0 10.1.2.0/24 Direct 0 0 D 10.1.2.1 LoopBack1 10.1.2.1/32 Direct 0 0 D 127.0.0.1 LoopBack1 10.1.2.255/32 Direct 0 0 D 127.0.0.1 LoopBack1 10.1.3.0/24 Direct 0 0 D 10.1.3.1 LoopBack2 10.1.3.1/32 Direct 0 0 D 127.0.0.1 LoopBack2 10.1.3.255/32 Direct 0 0 D 127.0.0.1 LoopBack2 12.1.1.0/30 Direct 0 0 D 12.1.1.1 GigabitEthernet 0/0/0 12.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/0 12.1.1.3/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/0 30.1.1.1/32 RIP 100 11 D 12.1.1.2 GigabitEthernet 0/0/0 30.1.2.1/32 RIP 100 11 D 12.1.1.2 GigabitEthernet 0/0/0 30.1.3.1/32 RIP 100 11 D 12.1.1.2 GigabitEthernet 0/0/0 127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 \[R1

• 预期结果 ：在路由表中，除了自己的直连路由，应该能看到三条R（RIP）路由：

  • 30.1.1.0/24via 12.1.1.2， Cost = 10

  • 30.1.2.0/24via 12.1.1.2， Cost = 10

  • 30.1.3.0/24via 12.1.1.2， Cost = 10

• 原理分析 ：这三条路由的Cost值都是10，证明apply cost 10策略生效了。如果Cost值不是10，说明策略没有正确应用。注意 ：此时30.1.1.0/24也被引入了，这是我们下一阶段要"收回"的。

验证R3的路由表（验证第二部分策略）：

   R3 display ip routing-table protocol ospf

R3]display ip routing-table p

R3\]display ip routing-table protocol o \[R3\]display ip routing-table protocol ospf Route Flags: R - relay, D - download to fib ------------------------------------------------------------------------------ Public routing table : OSPF Destinations : 3 Routes : 3 OSPF routing table status : \ Destinations : 3 Routes : 3 Destination/Mask Proto Pre Cost Flags NextHop Interface 10.1.2.0/24 O_ASE 150 1 D 23.1.1.1 GigabitEthernet 0/0/0 10.1.3.0/24 O_ASE 150 1 D 23.1.1.1 GigabitEthernet 0/0/0 12.1.1.0/30 OSPF 10 2 D 23.1.1.1 GigabitEthernet 0/0/0 OSPF routing table status : \ Destinations : 0 Routes : 0 \[R3

• 预期结果 ：应该能看到两条O_ASE（OSPF AS External，即外部路由）：

  • 10.1.2.0/24

  • 10.1.3.0/24

• 关键验证 ：绝对不应该看到 ​ 10.1.1.0/24这条路由。如果能看到，说明ACL 2001的"白名单"过滤策略没有生效，需要检查ACL规则和Route-Policy的调用。

在R2上检查策略工具：

   R2 display acl all
   R2 display route-policy all

R2\]display acl all Total quantity of nonempty ACL number is 2 Basic ACL 2000, 3 rules Acl's step is 5 rule 10 permit source 30.1.1.0 0.0.0.255 (1 matches) rule 20 permit source 30.1.2.0 0.0.0.255 (1 matches) rule 30 permit source 30.1.3.0 0.0.0.255 (1 matches) Basic ACL 2001, 2 rules Acl's step is 5 rule 10 permit source 10.1.2.0 0.0.0.255 (1 matches) rule 20 permit source 10.1.3.0 0.0.0.255 (1 matches) \[R2\]dis \[R2\]display r \[R2\]display rou \[R2\]display route-p \[R2\]display route-policy a \[R2\]display route-policy a \[R2\]display route-policy Route-policy : FORM_OSPF permit : 10 (matched counts: 3) Match clauses : if-match acl 2000 Apply clauses : apply cost 10 Route-policy : FROM_RIP permit : 10 (matched counts: 2) Match clauses : if-match acl 2001 \[R2

• 目标：确认ACL和Route-Policy的配置与您的预期完全一致。这是排查策略问题的第一步。

---

第三阶段：最终优化 - 实现完整需求

问题 ：第一阶段策略只完成了"设置Cost"和"过滤RIP路由"，但根据最终需求，R1不应该学到30.1.1.0/24。我们需要在第一部分策略中增加过滤。

在路由器 R2 上操作 (优化第一部分策略)

步骤1: 修改ACL 2000，拒绝30.1.1.0/24，允许其他

acl 2000

rule 5 deny source 30.1.1.0 0.0.0.255 ! 新增：明确拒绝第一条

rule 10 permit source 30.1.2.0 0.0.0.255

rule 15 permit source 30.1.3.0 0.0.0.255

! 原理：ACL规则按序号（rule id）从小到大匹配。`rule 5 deny`会先匹配并拒绝30.1.1.0/24。

! 其他网段由后续的`permit`规则允许。

quit

步骤2: 修改Route-Policy `FROM_OSPF`

route-policy FROM_OSPF permit node 10

if-match acl 2000

apply cost 10

quit

! 原理：Route-Policy本身不需要改动，因为它绑定的是ACL 2000。

! 当ACL 2000的规则修改后，Route-Policy的匹配行为随之改变。

! 现在，匹配到30.1.1.0/24时，ACL返回`deny`，Route-Policy的该节点将拒绝此路由。

! 匹配到30.1.2.0/24或30.1.3.0/24时，ACL返回`permit`，Route-Policy允许并通过，并设置Cost=10。

! 注意：不需要再次执行 `rip 1` 下的 `import-route` 命令，配置是动态生效的。

最终验证与连通性测试：

最终验证R1路由表：

   R1 display ip routing-table

<R1>sy

Enter system view, return user view with Ctrl+Z.

R1\]dis \[R1\]display i \[R1\]display ip rou \[R1\]display ip routing-table Route Flags: R - relay, D - download to fib ------------------------------------------------------------------------------ Routing Tables: Public Destinations : 18 Routes : 18 Destination/Mask Proto Pre Cost Flags NextHop Interface 10.1.1.0/24 Direct 0 0 D 10.1.1.1 LoopBack0 10.1.1.1/32 Direct 0 0 D 127.0.0.1 LoopBack0 10.1.1.255/32 Direct 0 0 D 127.0.0.1 LoopBack0 10.1.2.0/24 Direct 0 0 D 10.1.2.1 LoopBack1 10.1.2.1/32 Direct 0 0 D 127.0.0.1 LoopBack1 10.1.2.255/32 Direct 0 0 D 127.0.0.1 LoopBack1 10.1.3.0/24 Direct 0 0 D 10.1.3.1 LoopBack2 10.1.3.1/32 Direct 0 0 D 127.0.0.1 LoopBack2 10.1.3.255/32 Direct 0 0 D 127.0.0.1 LoopBack2 12.1.1.0/30 Direct 0 0 D 12.1.1.1 GigabitEthernet 0/0/0 12.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/0 12.1.1.3/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/0 30.1.2.1/32 RIP 100 11 D 12.1.1.2 GigabitEthernet 0/0/0 30.1.3.1/32 RIP 100 11 D 12.1.1.2 GigabitEthernet 0/0/0 127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 \[R1

• 终极预期 ：现在，路由表中应该只有 ​ 30.1.2.0/24和 30.1.3.0/24这两条RIP路由，并且它们的Cost都是10 。30.1.1.0/24必须消失。

最终验证R3路由表：

   R3 display ip routing-table

R3>sy

Enter system view, return user view with Ctrl+Z.

R3\]dis \[R3\]display ip r \[R3\]display ip ro \[R3\]display ip routing-table Route Flags: R - relay, D - download to fib ------------------------------------------------------------------------------ Routing Tables: Public Destinations : 19 Routes : 19 Destination/Mask Proto Pre Cost Flags NextHop Interface 10.1.2.0/24 O_ASE 150 1 D 23.1.1.1 GigabitEthernet 0/0/0 10.1.3.0/24 O_ASE 150 1 D 23.1.1.1 GigabitEthernet 0/0/0 12.1.1.0/30 OSPF 10 2 D 23.1.1.1 GigabitEthernet 0/0/0 23.1.1.0/30 Direct 0 0 D 23.1.1.2 GigabitEthernet 0/0/0 23.1.1.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/0 23.1.1.3/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/0 30.1.1.0/24 Direct 0 0 D 30.1.1.1 LoopBack0 30.1.1.1/32 Direct 0 0 D 127.0.0.1 LoopBack0 30.1.1.255/32 Direct 0 0 D 127.0.0.1 LoopBack0 30.1.2.0/24 Direct 0 0 D 30.1.2.1 LoopBack1 30.1.2.1/32 Direct 0 0 D 127.0.0.1 LoopBack1 30.1.2.255/32 Direct 0 0 D 127.0.0.1 LoopBack1 30.1.3.0/24 Direct 0 0 D 30.1.3.1 LoopBack2 30.1.3.1/32 Direct 0 0 D 127.0.0.1 LoopBack2 30.1.3.255/32 Direct 0 0 D 127.0.0.1 LoopBack2 127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 \[R3

• 终极预期 ：路由表中应该只有 ​ 10.1.2.0/24和 10.1.3.0/24这两条OSPF外部路由 (O_ASE)。10.1.1.0/24必须消失。

决定性连通性测试：

   ! 在 R1 上测试
   R1 ping -a 10.1.1.1 30.1.1.1
   ! 预期结果：**不通** (Request time out)。因为R1根本没有30.1.1.0的路由。
   R1 ping -a 10.1.1.1 30.1.2.1
   R1 ping -a 10.1.1.1 30.1.3.1
   ! 预期结果：**通** (!!!!!)。Cost=10不影响连通性，只影响路径选择。

   ! 在 R3 上测试
   R3 ping -a 30.1.1.1 10.1.1.1
   ! 预期结果：**不通**。因为R3没有10.1.1.0的路由。
   R3 ping -a 30.1.1.1 10.1.2.1
   R3 ping -a 30.1.1.1 10.1.3.1
   ! 预期结果：**通**。

R1\]ping -a 10.1.1.1 30.1.1.1 PING 30.1.1.1: 56 data bytes, press CTRL_C to break Request time out Request time out Request time out Request time out Request time out --- 30.1.1.1 ping statistics --- 5 packet(s) transmitted 0 packet(s) received 100.00% packet loss \[R1\]ping -a 10.1.1.1 30.1.2.1 PING 30.1.2.1: 56 data bytes, press CTRL_C to break Request time out Request time out Request time out Request time out Request time out --- 30.1.2.1 ping statistics --- 5 packet(s) transmitted 0 packet(s) received 100.00% packet loss \[R1\]ping -a 10.1.1.1 30.1.3.1 PING 30.1.3.1: 56 data bytes, press CTRL_C to break Request time out Request time out Request time out Request time out Request time out --- 30.1.3.1 ping statistics --- 5 packet(s) transmitted 0 packet(s) received 100.00% packet loss \[R1

• 原理 ：ping -a [源IP] [目的IP]指定了ping包的源地址，测试更精确。连通性结果必须与路由表严格对应。

出错了纠正：

问题 ：R1有到达 30.1.2.1/32和 30.1.3.1/32的路由，但ping不通。R3有到达 10.1.2.0/24和 10.1.3.0/24的路由，但也ping不通。

缺少了将连接R1的接口（12.1.1.2）宣告进OSPF的配置 。这意味着R3虽然通过重分发学到了 10.1.2.0/24的路由，但它的下一跳是 23.1.1.1(R2)，而R2的 12.1.1.2接口并不在OSPF进程中，导致R3认为通往 10.1.2.0/24的路径不完整。同理，R1到R3的流量也会在R2处遇到问题。

解决方案：在R2上补全OSPF配置，将连接R1的网段宣告到一个新的OSPF区域（例如Area 1），实现全网的IP连通性。

! 在路由器 R2 上执行以下命令

system-view

ospf 1

area 1

network 12.1.1.0 0.0.0.3

quit

quit

原理 ：这样配置后，12.1.1.0/30这个网段就会被加入到OSPF Area 1。R3就能通过OSPF学到这条精确的直连路由，从而确保前往 10.1.2.0/24等网络时，路径上的每一跳都是可达的。同时，这也为R1访问R3提供了明确的回头路由。

：进行最终验证

1. 终极连通性测试：

<R1>ping 30.1.1.1

PING 30.1.1.1: 56 data bytes, press CTRL_C to break

Request time out

Request time out

Request time out

Request time out

Request time out

--- 30.1.1.1 ping statistics ---

5 packet(s) transmitted

0 packet(s) received

100.00% packet loss

<R1>ping 30.1.2.1

PING 30.1.2.1: 56 data bytes, press CTRL_C to break

Reply from 30.1.2.1: bytes=56 Sequence=1 ttl=254 time=30 ms

Reply from 30.1.2.1: bytes=56 Sequence=2 ttl=254 time=20 ms

Reply from 30.1.2.1: bytes=56 Sequence=3 ttl=254 time=50 ms

Reply from 30.1.2.1: bytes=56 Sequence=4 ttl=254 time=50 ms

Reply from 30.1.2.1: bytes=56 Sequence=5 ttl=254 time=30 ms

--- 30.1.2.1 ping statistics ---

5 packet(s) transmitted

5 packet(s) received

0.00% packet loss

round-trip min/avg/max = 20/36/50 ms

<R1>ping 30.1.3.1

PING 30.1.3.1: 56 data bytes, press CTRL_C to break

Reply from 30.1.3.1: bytes=56 Sequence=1 ttl=254 time=30 ms

Reply from 30.1.3.1: bytes=56 Sequence=2 ttl=254 time=30 ms

Reply from 30.1.3.1: bytes=56 Sequence=3 ttl=254 time=30 ms

Reply from 30.1.3.1: bytes=56 Sequence=4 ttl=254 time=40 ms

Reply from 30.1.3.1: bytes=56 Sequence=5 ttl=254 time=40 ms

--- 30.1.3.1 ping statistics ---

5 packet(s) transmitted

5 packet(s) received

0.00% packet loss

round-trip min/avg/max = 30/34/40 ms

<R1>

实验总结与核心概念

1. 路由重分发：是连接不同路由协议域的桥梁。但默认是全量引入，通常需要配合策略进行控制。

2. ACL在路由策略中的应用 ：在这里，ACL不是用于包过滤，而是作为路由信息的匹配工具 。其permit/deny逻辑用于筛选路由条目。

3. Route-Policy ：是网络设备的"策略大脑"。它由节点(Node)构成，每个节点包含匹配条件(if-match)和执行动作(apply)。路由依次经过各个节点，在第一个匹配的节点被处理（permit通过并执行动作，或deny丢弃）。

4. 策略的应用时机 ：通过在import-route命令后调用route-policy，实现了在引入过程中对每一条路由进行实时检查和控制。这是控制路由传播最有效的方法之一。

5. 设计模式：

   • "先允许，后拒绝"：ACL 2000的优化版本，通过精细的规则顺序实现复杂过滤。

   • "白名单"：ACL 2001的方式，只明确允许需要的，默认拒绝其他所有。这在安全策略中更常用。

。