匹配规则 acl、ip-prefix
过滤载体 route-police filter-police import-route
过滤工具(直接使用) as-path-filter community-filter
一、匹配规则
acl 访问控制列表
用于匹配路由信息或者数据包的地址,过滤不符合条件的路由信息或数在据包
2000-2999 basic 基本acl 过滤源流量
3000-3999 advance 高级acl 源目IP流量 TCP/UDP协议 源目端口号
[R1]acl 2000 //创建标准访问控制列表,列表号为2000 [R1-acl-basic-2000]rule 1 deny source 192.168.10.0 0.0.0.255 //拒绝192.168.10.0网段的路由条目(子网掩码为反掩码)
[R1]acl 3000//创建扩展访问列表,列表号3000 [R1-acl-adv-3000]rule 2 deny tcp source 192.168.10.10 0.0.0.0 destination 202.10.10.100 0.0.0.0 destination-port eq 21 //禁止client访问ftp服务器
隐私语句为deny,当从上至下遍历 不匹配所有acl规则,丢弃该包
修改隐私语句 最后加上一条 rule 3 permit any
ip-prefix 前缀列表
匹配路由流量、正掩码(0、不严格匹配)
[Huawei] ip ip-prefix 1 index 10 permit 1.1.1.1 24 greater-equal 24 less-equal 32 匹配 1.1.1.0到 1.1.1.255 网段的流量
匹配任一ip any 0.0.0.0 0 ip任一匹配,掩码不匹配,所以任何路由不匹配
匹配所有路由 permit 0.0.0.0 0 le 32 掩码范围0-32
匹配任何主机路由 permit 0.0.0.0 0 greater-equal 32
匹配8到32掩码 permit 0.0.0.0 8 less-equal 32
隐私语句拒绝
修改:最后末尾 ip ip-prefix 1 index 20 permit 0.0.0.0 0 le 32
二、过滤载体
route-police 路由策略
设定匹配规则,由if-match和apply子句组成,过滤路由或者数据包或者执行策略
# 创建一个route-policy,名字叫RP,同时配置第一个节点,节点编号为10: [R1] route-policy RP permit node 10 [R1-route-policy] if-match acl 2000 # 在节点10中,定义了一个if-match子句,调用acl 2000 [R1-route-policy] apply cost 20 # 在节点10中,定义了一个apply子句,设置cost为20 匹配规则从节点10.20.30依次匹配,只要匹配到其中一条,停止匹配。 所以精确的匹配规则要放在前面,免造成匹配结果错误!!
隐私语句拒绝
修改 最后加上 route-police 1 permit node 40 不添加任何if-match
本身不具有过滤功能,对路由的permit、deny 由匹配规则完成
fliter-police
[R2]ip ip-prefix RP permit 172. 16.0.0 22 greater-equal 24 less-equal 24 [R2]ospf 1 [R2-ospf-1] import-route rip 1 [R2-ospf- 1] filter-policv ip-prefix R2O export ospf 1 在ospf域引入(export.宣告)前缀列表放行的路由 如果是import?从ospf域进入路由经过前缀列表过滤,再进入本地路由表
距离矢量 filter-policy import 对接收的路由,进行过滤
export 本地产生的路由过滤
链路状态 filter-policy import 对本地学习到的路由进行过滤,外部进入的3类lsa过滤
export 本地产生的3类lsa过滤
import-route
[r2]route-policy 1 permit node 10 [r2-route-policy]apply tag 100 [r2-ospf-1]import-route rip 1 route-policy 1 在ospf 1 进程引入 经过路由策略后的 rip 1 路由 引入的路由表项一定在本地路由表中。
import 替代 [Huawei-ospf-1]import rip 1 route-policy RF
三、过滤工具
as-path-fliter (BGP)
利用BGP路由携带的AS_Path列表对路由进行过滤。AS作为过滤条件,在BGP发布、接收路由时单独使用。
表达式 含义 ^$ 表示本地AS始发 .* 表示所有 _10_ 表示必须经过AS10 ^10_ 表示只接受来自AS10的路由 _10$ 从AS10始发的所有路由 Community Filter (BGP)[r1] ip as-path-filter RF deny _10_ [r1]bgp 20 [r1-200]peer 10.0.12.1 as-path-filter RF export 对等体10.0.12.1 对外发布(export)的路由先进行 as-path-filter进行过滤 import 表示从10.0.12.1 本地接收(import)的路由,先进行过滤
策略
团体属性名称 说明 设备收到具有此属性的路由后 Internet 向任何BGP对等体发送该路由。 No Advertise 不向任何BGP对等体发送该路由。 No Export AS内 IBGP邻居和联邦EBGP邻居发送路由 No_Export_Subconfed AS内 IBGP邻居 [R1] ip ip-prefix 1 permit 10.1.1.1 32 抓路由 [R1] route-policy RF permit node 10 创建策略 [R1-route-policy] if-match ip-prefix 1 匹配规则 [R1-route-policy] apply community 101:1 给10.1.1.1 32 这条路由赋团体值 101:1 [R2] ip ip-prefix 1 permit 10.2.2.2 32 [R2] route-policy RF permit node 10 [R2-route-policy] if-match ip-prefix 1 [R2-route-policy] apply community no-expert additive 给10.2.2.2 32 这条路由赋公有团体值,不向任何邻居发布路由。 !!!![R2-bgp] peer 10.0.23.3 advertise-community 允许将团体属性传给EBGP。 [R1] bgp 101 [R1-bgp] peer 10.0.12.2 route-policy Community export 对10.0.12.2 发布的路由,执行策略团体赋值 [R3] ip community-filter 1 permit 101:1 [R3] route-policy Community deny node 10 [R2-route-policy] if-match community-filter 1 [R2] route-policy Community permit node 20 放行其他不匹配的路由 [R2] bgp 102 [R2-bgp] peer 10.0.23.3 route-policy Community export
总结
匹配规则,
1.对路由、掩码过滤使用ip-prefix
2.对端口,协议,源目 使用acl
3. [AR1-s0/0/0] traffic-filter inbound acl 30001 接口过滤
过滤载体
1.三个方面 import【不同协议互相引入】.peer【BGP】.network【宣告】调用策略
2.万能的route-police,fliter-police【补充】,import-route 【大可不必】