Route-police（过滤流量路由策略）

最新推荐文章于 2024-04-23 20:43:35 发布

老穆雷

最新推荐文章于 2024-04-23 20:43:35 发布

阅读量369

点赞数

文章标签：网络

本文链接：https://blog.csdn.net/qq_56095985/article/details/132820065

版权

匹配规则 acl、ip-prefix

过滤载体 route-police filter-police import-route

过滤工具（直接使用） as-path-filter community-filter

一、匹配规则

acl 访问控制列表

用于匹配路由信息或者数据包的地址，过滤不符合条件的路由信息或数在据包

2000-2999 basic 基本acl 过滤源流量

3000-3999 advance 高级acl 源目IP流量 TCP/UDP协议源目端口号
[R1]acl 2000 //创建标准访问控制列表，列表号为2000
[R1-acl-basic-2000]rule 1 deny source 192.168.10.0 0.0.0.255 //拒绝192.168.10.0网段的路由条目（子网掩码为反掩码）  
[R1]acl 3000//创建扩展访问列表，列表号3000
[R1-acl-adv-3000]rule 2 deny tcp source 192.168.10.10 0.0.0.0 destination 202.10.10.100 0.0.0.0 destination-port eq 21
//禁止client访问ftp服务器    
隐私语句为deny，当从上至下遍历不匹配所有acl规则，丢弃该包

修改隐私语句最后加上一条 rule 3 permit any

ip-prefix 前缀列表

匹配路由流量、正掩码（0、不严格匹配）
[Huawei] ip ip-prefix 1  index 10  permit 1.1.1.1  24   greater-equal 24  less-equal 32
匹配 1.1.1.0到 1.1.1.255 网段的流量
匹配任一ip any 0.0.0.0 0   ip任一匹配，掩码不匹配，所以任何路由不匹配

匹配所有路由 permit  0.0.0.0 0 le 32 掩码范围0-32

匹配任何主机路由 permit  0.0.0.0 0 greater-equal 32

匹配8到32掩码        permit 0.0.0.0 8 less-equal 32

隐私语句拒绝

修改:最后末尾 ip ip-prefix 1 index 20 permit  0.0.0.0 0 le 32

二、过滤载体

route-police 路由策略

设定匹配规则，由if-match和apply子句组成，过滤路由或者数据包或者执行策略
# 创建一个route-policy，名字叫RP，同时配置第一个节点，节点编号为10：
[R1] route-policy RP permit node 10
[R1-route-policy] if-match acl 2000  # 在节点10中，定义了一个if-match子句，调用acl 2000
[R1-route-policy] apply cost 20 # 在节点10中，定义了一个apply子句，设置cost为20

匹配规则从节点10.20.30依次匹配，只要匹配到其中一条，停止匹配。 
所以精确的匹配规则要放在前面，免造成匹配结果错误！！
隐私语句拒绝

修改最后加上 route-police 1 permit node 40 不添加任何if-match

本身不具有过滤功能，对路由的permit、deny 由匹配规则完成

fliter-police
[R2]ip ip-prefix RP permit 172. 16.0.0 22 greater-equal 24 less-equal 24
[R2]ospf 1
[R2-ospf-1] import-route rip 1
[R2-ospf- 1] filter-policv ip-prefix R2O export ospf 1
在ospf域引入（export.宣告）前缀列表放行的路由
如果是import?从ospf域进入路由经过前缀列表过滤，再进入本地路由表
距离矢量 filter-policy import 对接收的路由，进行过滤

export 本地产生的路由过滤

链路状态 filter-policy import 对本地学习到的路由进行过滤，外部进入的3类lsa过滤

export 本地产生的3类lsa过滤

import-route
[r2]route-policy 1  permit node 10
[r2-route-policy]apply tag 100
[r2-ospf-1]import-route rip 1 route-policy 1

在ospf 1 进程引入  经过路由策略后的 rip 1 路由
引入的路由表项一定在本地路由表中。
import 替代 [Huawei-ospf-1]import rip 1 route-policy RF

三、过滤工具

as-path-fliter (BGP)

利用BGP路由携带的AS_Path列表对路由进行过滤。AS作为过滤条件，在BGP发布、接收路由时单独使用。

表达式含义
^$ 表示本地AS始发
.* 表示所有
_10_ 表示必须经过AS10
^10_ 表示只接受来自AS10的路由
_10$ 从AS10始发的所有路由
[r1] ip as-path-filter RF deny _10_  

[r1]bgp 20
[r1-200]peer 10.0.12.1 as-path-filter RF export
对等体10.0.12.1 对外发布（export）的路由先进行 as-path-filter进行过滤
import  表示从10.0.12.1 本地接收（import）的路由，先进行过滤
Community Filter (BGP)
团体属性名称说明设备收到具有此属性的路由后
Internet 向任何BGP对等体发送该路由。
No Advertise 不向任何BGP对等体发送该路由。
No Export AS内 IBGP邻居和联邦EBGP邻居发送路由
No_Export_Subconfed AS内 IBGP邻居
策略
[R1] ip ip-prefix 1 permit 10.1.1.1 32     抓路由
[R1] route-policy RF permit node 10        创建策略
[R1-route-policy] if-match ip-prefix 1      匹配规则      
[R1-route-policy] apply community 101:1   
 给10.1.1.1 32 这条路由赋团体值 101：1

[R2] ip ip-prefix 1 permit 10.2.2.2 32
[R2] route-policy RF permit node 10
[R2-route-policy] if-match ip-prefix 1
[R2-route-policy] apply community no-expert additive
 给10.2.2.2 32 这条路由赋公有团体值，不向任何邻居发布路由。 

！！！！[R2-bgp] peer 10.0.23.3 advertise-community  允许将团体属性传给EBGP。

[R1] bgp 101
[R1-bgp] peer 10.0.12.2 route-policy Community export
对10.0.12.2 发布的路由，执行策略团体赋值


[R3] ip community-filter 1 permit 101:1
[R3] route-policy Community deny node 10
[R2-route-policy] if-match community-filter 1
[R2] route-policy Community permit node 20   放行其他不匹配的路由
[R2] bgp 102 
[R2-bgp] peer 10.0.23.3 route-policy Community export

表达式	含义
^$	表示本地AS始发
.*	表示所有
_10_	表示必须经过AS10
^10_	表示只接受来自AS10的路由
_10$	从AS10始发的所有路由

团体属性名称	说明设备收到具有此属性的路由后
Internet	向任何BGP对等体发送该路由。
No Advertise	不向任何BGP对等体发送该路由。
No Export	AS内 IBGP邻居和联邦EBGP邻居发送路由
No_Export_Subconfed	AS内 IBGP邻居

总结

匹配规则，

1.对路由、掩码过滤使用ip-prefix

2.对端口，协议，源目使用acl

3. [AR1-s0/0/0] traffic-filter inbound acl 30001 接口过滤

过滤载体

1.三个方面 import【不同协议互相引入】.peer【BGP】.network【宣告】调用策略

2.万能的route-police，fliter-police【补充】，import-route 【大可不必】