视频: juniper 1防火墙基础应用-概念和SSG.rmvb 2024
组成路由策略的构建块称为 项。 每项包含匹配条件,一系列与正在考虑的路线进行比较的“if”语句。根据路由信息检查匹配条件。基于这些检查的结果,路由器将采取一个或多个动作。术语可以串在一起形成一个路由策略。
假设您应用路由策略来过滤传入的路由协议信息。路由策略由几个术语组成。随着路线进入,政策被调用。
评估政策的第一个术语。如果路线符合指定的条件,则采取某种行动。如果路线不匹配,则评估策略中的第二项。第二项条件被检查,如果相符,则采取行动。如果它们不匹配,则对政策中的第三项进行评估,直到所有条款都被检查。
<! - 2 - >如果策略的条款都不匹配相关路由,则会评估下一个策略,依此类推,直到执行默认策略操作。除非适用更早的匹配条件,否则认识到某些默认操作始终是 总是 是很重要的。
要配置路由策略,您必须在该策略中配置一个或多个术语。您可以在策略选项配置层次结构中处理策略的配置:
[edit policy-options] policy-statement my-sample-policy {term my-first-term {from {match-conditions;} then { action ;} term my-second-term {来自{match-conditions;}然后{ action ;}}
在此配置框架中,可以配置一个名为my-sample-policy的路由策略。该政策有两个条款,每个条款都有匹配条件和匹配行为。如果根据此策略对路线进行评估,且两个术语都不匹配,则执行默认操作。一旦采取行动,政策不再被评估。所以,如果你在第一学期触发了一个动作,那么第二个学期就不会评估第二个任期。
由于政策链评估停止了任何应用操作,因此
的 顺序对于正确的策略操作至关重要。 策略中的术语是以自上而下的方式进行评估的,因此您的配置中术语的顺序很重要。这里面临的挑战是,无论何时将新术语添加到现有策略,默认情况下都会将这些术语附加到已配置的术语上。最近添加的术语总是在最初配置的术语之后进行评估。例如,检查以下策略配置:
[edit policy-options] policy-statement advertise-ospf-routes {term find-ospf {from {protocol ospf;} then {accept;}}}
作为输入策略,该策略只接受所有的OSPF路由。为了微调这个策略,接受所有OSPF路由,除了来自OSPF网络特定区域的OSPF路由,你需要添加一个术语。由于默认情况下,术语是附加到现有的术语,您的配置将如下:
[edit policy-options] policy-statement advertise-ospf-routes {term find-ospf {from {protocol ospf;} then {接受;}}术语reject-area-10 {来自{protocol ospf;区域10;}然后{reject;}}}
在这里,你希望所有的OSPF路由都被接受,除非它们来自区域10.然而,当一个路由进入时,第一项被评估。如果这条路由是一条OSPF路由,那么它将被接受,而不管它的起源地。由于第一项接受所有的OSPF路由,因此不会拒绝来自区域10的路由。
要在find-ospf项之前添加reject-area-10项,请使用insert命令。您完全按照您在上述代码中所做的那样来配置这两个术语,但是当您完成后,您可以在此处插入术语:
user @ host#insert policy-statement advertise-ospf-routes term reject-area -10之前术语find-ospf
insert命令将配置前的reject-area-10项的配置移到找到所有OSPF路由。得到的配置做你想要的:
[edit policy-options] policy-statement advertise-ospf-routes {term reject-area-10 {from {protocol ospf;区域10;} then {reject;}} term find-ospf {from {protocol ospf;} then {accept;}}}
