过滤策略—filter-policy
思科中:分发列表
过滤策略是只能够针对于路由信息进行筛选(过滤)的工具,而无法针对于LSA进行过滤。
在R4的出方向上配置过滤策略,使得R1不能学习到23.0.0.0/24路由信息1、抓取流量
[r4-acl-basic-2000]rule deny source 23.0.0.0 0.0.0.0 ----过滤列表本身没有过滤信息的能力,所以,需要在抓取流量的时候使用拒绝动作执行。[r4-acl-basic-2000]rule permit source any ----在抓取流量时,末尾一定要放通剩余流量,否则将会把所有未匹配的流量全部过滤。因为ACL末尾动作实际上是对未匹配的流量不做处理,而过滤策略会对未匹配信息做默认处理动作。2、做策略
[r4-rip-1]filter-policy 2000 export GigabitEthernet 0/0/1 ---需要选择对应接口,该接口为正常情况下发送出该路由信息的接口;如果不选择接口,则为全局调用方式,会匹配所有接口。export为出方向。
在R1的入方向上配置过滤策略,使得R1不能学习34.0.0.0/24路由信息1、抓取流量
[r2]ip ip-prefix aa deny 34.0.0.0 24
[r2]ip ip-prefix aa permit 0.0.0.0 0 less-equal 322、做策略
[r1-rip-1]filter-policy ip-prefix aa import GigabitEthernet 0/0/0 import为入方向。
场景一:过滤策略对RIP发送的路由进行过滤
要求:禁止R3通过RIP学习到192.168.2.0/24路由。[r2-acl-basic-2000]rule deny source 192.168.2.0 0
[r2-acl-basic-2000]rule permit [r2-rip-1]filter-policy 2000 export GigabitEthernet 0/0/1
场景二:过滤策略对RIP接收的路由进行过滤
要求:禁止R2从R1学习到192.168.2.0/24[r2]ip ip-prefix aa deny 192.168.2.0 24
[r2]ip ip-prefix aa permit 0.0.0.0 0 less-equal 32[r2-rip-1]filter-policy ip-prefix aa import GigabitEthernet 0/0/0
场景三:过滤策略对向OSPF发布的路由进行过滤
要求:不希望R3学习到192.168.2.0/24网段不能再R2上做策略,因为该LSA并非是R2设备产生,R2设备无法对该LSA信息进行任何操作。必须在通告者上进行配置。[r1-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.0
[r1-acl-basic-2000]rule permit
[r1-ospf-1]filter-policy 2000 export
过滤策略在链路状态型协议中调用时,是在将路由信息与LSA转换的过程进行中断,且因为需要在始发路由器上进行,则会导致整个网络缺失该路由信息。
场景四:过滤策略对向OSPF接收的路由进行过滤
需求:仅要求R2不能学习192.168.2.0/24网段[r2]ip ip-prefix aa deny 192.168.2.0 24
[r2]ip ip-prefix aa permit 0.0.0.0 0 less-equal 32[r2-ospf-1]filter-policy ip-prefix aa import
过滤策略在入方向调用时,是阻止LSA转换为路由信息的过程。但是并不会阻止LSA信息的传递,故只会影响本地设备而不会影响他人。而在出方向调用时,则会影响全局设备。
结论:过滤策略可以在OSPF中使用,但是,因为OSPF区域内部传递的时拓扑信息,所以,无法进行出方向的过滤,只能进行入方向的调用,并且,调用的效果是仅将过滤抓取的路由信息不加表。对于OSPF域外路由信息,则必须使用出方向的调用方式。
| 1/2类LSA | 3类LSA | 5/7类LSA | |
|---|---|---|---|
| 调用方向 | 入方向 | 入方向 | 出方向 |
| 效果 | 仅影响本地 | 影响该LSA的通告者以及后续的区域 | 影响除了ASBR以外的所有运行OSPF协议的设备 |
| 过滤原因 | 阻止通过1类LSA从而生成路由信息 | 阻止通过1类LSA从而生成路由信息,没有路由信息即不会产生3类LSA信息 | 阻止路由信息生成LSA信息 |
路由策略—route-policy
路由策略是由一个或多个节点组成的列表,每一个节点都可以是一系列的条件语句以及执行语句的集合,这些节点按照编号从小到大排列。
匹配规则:自上而下,逐一匹配,一旦匹配上则将按照对应规则来执行动作,不再向下匹配。末尾隐含拒绝所有条件。
要求:
192.168.1.0/24----过滤
192.168.2.0/24----修改种子度量值10
192.168.3.0/24----修改默认开销值类型
192.168.4.0/24----修改默认开销值类型以及标签值=666
12.0.0.0/24-------不做任何处理
1、抓取流量
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.0
[r2]acl 2001
[r2-acl-basic-2001]rule permit source 192.168.2.0 0.0.0.0
[r2]ip ip-prefix aa permit 192.168.3.0 24
[r2]ip ip-prefix bb permit 192.168.4.0 242、通过路由策略实现效果
[r2]route-policy aa deny node 10 ----创建一个路由策略,名称为aa,编号为10,大动作为拒绝
[r2-route-policy]if-match acl 2000 ----匹配ACL 2000列表[r2]route-policy aa permit node 20
[r2-route-policy]if-match acl 2001
[r2-route-policy]apply cost 10 ---修改该路由信息的开销值为10[r2]route-policy aa permit node 30
[r2-route-policy]if-match ip-prefix aa
[r2-route-policy]apply cost-type type-1 ----修改该路由的开销值类型[r2]route-policy aa permit node 40
[r2-route-policy]if-match ip-prefix bb
[r2-route-policy]apply cost-type type-1
[r2-route-policy]apply tag 666[r2]route-policy aa permit node 50 ----允许所有3、调用
[r2-ospf-1]import-route rip 1 route-policy aa 在重发布时调用[r2]display route-policy aa ----查看路由策略内容
配置指南
- 即便要拒绝一个流量,在抓取时也必须使用允许动作,之后在路由策略来拒绝。
- 在一条规则中,若没有进行流量匹配那就是匹配所有;若没有apply语句,则对已经匹配上的流量进行大动作处理。
- 与或关系
- 或关系---->节点之间属于或关系
- 与关系---->在每一个节点内部,不管是if-macth还是apply语句都执行与关系
课堂练习
需求:将1.1.1.0/24网段(不在OSPF中)重发布到网络中,不允许出现次优路径,实现全网可达。1、在R1上重发布1.1.1.0/24网段,但是需要过滤192.168.12.0/24和192.168.13.0/242、在R2和R3上执行双向重发布因为R1引入的域外路由信息的优先级为150,而在R2和R3身上执行双向重发布后,导致该路由优先级变为100,从而使得另一台ASBR设备对路由信息的来源产生变化,最终导致R4设备身上出现选路不佳问题,以及路由回馈问题。解决思路:降低OSPF域外路由信息的优先级。3、修改1.1.1.0/24路由信息的OSPF优先级在R2和R3上通过路由策略解决4、修改R4身上的次优路径,使用偏移列表
下一篇博客用实验报告形式进行详解
