过滤器ip-prefix和调用工具filter-policy
过滤器又叫条件工具,负责把需要的路由抓取出来
调用工具是将条件工具调用在某个协议中
这两个工具主要用于路由的灵活控制,将需要的路由放行,不需要的过滤
ip-prefix:地址前缀列表
精确匹配网络号和前缀长度,但是不能用于接口过滤
和acl不同的是,acl只能匹配前缀是否相同,但是可以在接口过滤,因为acl有行为(premit和deny),地址前缀列表没有。
相比之下,地址前缀列表更简单,把抓取做到了极致,acl相对于更复杂,抓取也不是很精确。
假如两条命令:
ip ip-prefix name deny 10.1.0.0 24(地址前缀列表)
和
rule deny so 10.1.0.0 0.0.0.255(acl)
第一条精确匹配了10.1.0.0 掩码24的路由,也就是说只要是10.1.0.0/24~10.1.0.255/24都会被拒绝
第二条是指匹配了前面三位,只要是10.1.0 不管是多少位掩码,都会被拒绝,所以,如果是10.1.0.0/16,也会被拒绝
不仅仅这样,地址前缀列表用最简单的命令,做了最复杂的事情
比如有三条路由:
192.168.1.0 24,192.186.2.0 24 ,192.168.3.0 24
三条路由都要被过滤掉,如果用acl,就得一条一条的写
如果是地址前缀列表,可以先聚合,再过滤:
192.168.0.0/22
IP ip-prefix no deny 192.168.0.0 22 g 24 le 24
拒绝192.168.0.0 22位的网络,并且掩码是24位地址
如果不加后面的24,这三条地址,一条都匹配不上
这里的“g”表示g’reater-than equal :大于等于
“le” 表示:less-than equal :小于等于
比如:
ip ip-prefix yes premit 10.0.0.0 16 g 24 le 32
允许10.0.0.0 16网段并且掩码为24~32位的ip都可以通过
匹配流程:
如果所有的条件都没有匹配,地址前缀列表是默认拒绝的,所以如果拒绝了某些路由,又想让其他路由可以通过,需要再最后再加一条:
IP ip-prefix yes premit 0.0.0.0 0 le 32
0.0.0.0代表缺省和默认 掩码位数位0表示所有位数,所以前面的地址写成任意地址都是可以的,只要掩码是0
filter-policy:路由过滤
只能过滤路由,不能过滤LSA
因为现在的组网中ospf用的比较多,而ospf又是通过LSA构成LSDB数据库,再通过数据库构成路由表
filter-policy可以用在import入方向,export出方向上,用在不同的方向会有不同的效果
如图,这里用在了ospf同一区域内路由器的入方向的接口上
同一区域内直接通过LSA1,2类实现通讯,再入接口上过滤,实际上是在LSDB构建路由表的时候实现的,如果把LSA1过滤掉,拓扑信息就不完整了
可以理解为,我们先交互LSA信息,构成LSDB,然后再选最优路由写入路由表的时候,再把过滤的条目去掉
如果在不同区域内呢?
不同的区域需要依靠LSA3实现通信
如图,如果在RTB的入接口进行过滤,可以理解为:
在AREA 0区域内的LSDB和路由表是有10.1.1.0网段的,但是在area1 区域内是没有LSA3的路由和LSDB,因为LSA3是基于路由表的,所以自然而然路由表中也不会有10.1.1.0
如果在RTC的入方向过滤,RTB会把LSA3发给C,LSA3会同步到LSDB,但是在入方向过滤,所以在计算路由表时不会把10.1.1.0加入路由计算
为什么不能在出方向上过滤呢?
在出方向上路由表已经形成,过滤的话只是在出口上过滤了一下,但是RTC已经把LSA3计算加入路由表了
但是,LSA5/7除外,因为LSA5是由ASBR泛洪到每个区域,不管是入方向还是出方向,都在配置的这台路由器上过滤,其他的不受影响,可以简单理解为,谁配谁过滤
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
