美文网首页HCIPNetwork
【HCIP】路由控制:filter-policy

【HCIP】路由控制:filter-policy

作者: 周山 | 来源:发表于2021-08-30 21:08 被阅读0次

前期回顾

上节我们谈了谈BGP路由聚合-手动汇总
特点:
1、只要在BGP路由表中存在的路由,都能被手动汇总。
2、可以实现精确汇总,可以支持CIDR(超网)。
3、可以对汇总路由的属性做编辑。
4、可以继承明细路由的相关属性,防止环路
5、明细路由全部失效,汇总路由才会失效。
今天我们聊会路由控制

路由控制

在企业网络中,经常会遇到一些非法流量访问和流量路径不优的情况,通过路由控制我们可以根据自己的想法调整路由路径,实现通过控制流量可达性提高流量数据安全、通过调整流量路径优化网络质量充分利用网络带宽。
学了这么久的网络了,网络最基础的无非干了两件事:通和不通,如何更好的通和更安全的不通组成了如今纷繁复杂的网络体系。
如何控制流量可达性?
华为的官方学习ppt中给了我们答案
1、路由策略:可以通过修改路由条目(即对接受和发布的路由进行过滤)
2、流量过滤:可以使用Traffic-Filter工具对数据进行过滤
Fiter-Policy RIP、OSPF、ISIS、BGP协议都可以使用fiter-policy,对路由进行过滤。
实验一:


图片.png

进行如上拓扑绘制,然后进行ospf协议配置
主要配置如下

[R1]ospf 1 router-id 1.1.1.1
[R1-ospf-1]a 0
[R1-ospf-1-area-0.0.0.0]network 10.1.12.1 0.0.0.0

[R2]ospf 1 router-id 2.2.2.2
[R2-ospf-1]a 0
[R2-ospf-1-area-0.0.0.0]network 10.1.12.2 0.0.0.0
[R2-ospf-1-area-0.0.0.0]net 10.1.23.2 0.0.0.0

[R3]ospf 1 router-id 3.3.3.3
[R3-ospf-1]a 0
[R3-ospf-1-area-0.0.0.0]net 10.1.23.3 0.0.0.0
图片.png

现在我们在R1上进行静态路由配置并引入ospf中

[R1]ip route-static 192.168.1.0 24 NULL 0
[R1]ip route-static 192.168.2.0 24 NULL  0
[R1]ospf 1 
[R1-ospf-1]import-route static
图片.png

此时我们查看ospf lsdb发现产生了两条五类lsa
那如何只传其中一条静态路由呢
也就是链路状态协议如何对引入的外部路由进行过滤?
1、在ASBR上使用filter-policy或者router-policy
我们现在实验,要求在这个ospf协议中只引入1.0路由


图片.png

我们使用filter-policy acl的方式

[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R1-acl-basic-2000]q
[R1]ospf 1
[R1-ospf-1]filter-policy 2000 export static

  • rule permit source 192.168.1.0 0.0.0.255
    ACL仅能匹配路由的网络号,不能匹配路由的掩码长度。
    例如我们再引入一条路由
    [R1]ip route-static 192.168.1.0 28 NULL 0
    我们发现这个和24位具有相同的网络号,但是确实是不一样的路由,区分是否是相同路由,除了要对比网络号外还需要进行子网掩码的比较(一定要记住)。
    我们发现R2依旧可以过滤所有。

  • filter-policy 2000 export static
    将满足ACL中permit语句的静态路由引入到OSPF网络中,(注意:ACL被其他工具引入时,默认语句拒绝所有。
    ACL如果用于接口对报文进行过滤,默认语句为允许。
    此处还需要注意的就是我们做的过滤操作是export 而不是import,可以简单地理解为是对引入的路由在做出向时做的过滤。
    我们现在实验把R1之前配置的ACL策略删除
    然后添加以下拒绝策略,

rule 5 deny source 192.168.2.0 0.0.0.255

这个时候我们查看lsdb表,发现路由全部都被过滤掉,也就是:ACL被其他工具引入时,默认语句拒绝所有。
所以我们设置完禁止语句后需要在设置一条permit语句。

[R1-acl-basic-2000]rule permit source any
[R1-acl-basic-2000]q

加上后,dis lsdb显示正常。

  • filter-policy 2000 export(不加静态路由标识,我们还可以加其他的协议)
    都不加表示将满足ACL中permit语句的所有路由引入到OSPF中。
    实验:
filter-policy 2000 export static
filter-policy 2001 export isis 1
filter-policy 2002 export

如果想不到这一点就自己做一下

相关文章

网友评论

    本文标题:【HCIP】路由控制:filter-policy

    本文链接:https://www.haomeiwen.com/subject/haieiltx.html

    延伸阅读

    深度阅读

    • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

    栏目导航

    热点阅读

    HCIP

    Network

    关于我们|服务条款|联系我们|【HCIP】路由控制:filter-policy|投稿指南|网站地图|RSS订阅|排版工具|手机版

    提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

    Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

    备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

    本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

    所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!