switchomga 规则地址_10分钟！搞懂filter-policy原理与应用

原标题：10分钟！搞懂filter-policy原理与应用

在路由策略专题第一期(初识路由策略)中，我们曾经提到filter-policy也属于路由策略的范畴，但是filter-policy的过滤规则和使用方法与route-policy又有很大的不同，因此这一期我们单独讨论一下filter-policy的原理和应用。

01

filter-policy介绍

filter-policy也是一个很常用的路由信息过滤工具，如图1所示，SwitchA、SwitchB、SwitchC之间运行某种路由协议，路由在各个设备之间传递，当需要根据实际需求过滤某些路由信息的时候可以使用filter-policy实现。

图1 filter-policy的应用场景

filter-policy使用注意事项：

filter-policy是常用于控制路由接收、发布的一个工具。

filter-policy只能过滤路由信息，无法过滤LSA。

filter-policy只能过滤路由信息，不能修改路由属性值。

在路由策略专题第一期(初识路由策略)中，我们说过路由策略的主要功能有两个，1)过滤路由信息，2)修改路由属性值。从上面的注意事项来看，其实filter-policy只具备过滤路由信息这个功能。

02

filter-policy过滤路由信息的规则

由于距离矢量路由协议(例如RIP)和链路状态路由协议(例如OSPF)原理上的差异，filter-policy应用在这两种路由协议的时候过滤规则也有所不同。如表1所示，在讨论之前我们有必要回忆一下距离矢量路由协议和链路状态路由协议路由信息传递的区别。路由类型路由传递原理距离矢量路由协议(例如RIP)各路由设备之间传递的是路由信息。这种路由信息对于报文来说相当于“路标”，设备依靠“路标”来指导报文转发，路标指向哪里报文就转发到哪里。链路状态路由协议(例如OSPF)各路由设备之间传递的是LSA信息。LSA信息的集合(LSDB)形成整个网络的拓扑结构，相当于一张地图，设备依靠“地图+最短路径算法”为报文找到最佳的转发路径。表1 距离矢量路由协议和链路状态路由协议原理对比

如图2所示，在距离矢量路由协议中，设备之间传递的是路由信息，如果需要对这种路由信息进行某种过滤，可以使用filter-policy实现，出方向和入方向的生效位置如图2所示。如果要过滤掉上游设备到下游设备的路由，只要在上游设备配filter-policy export或者在下游设备上配置filter-policy import就可以了。

图2 filter-policy在距离矢量路由协议中应用

如图3所示，在链路状态路由协议中，各路由设备之间传递的是LSA信息，然后设备根据LSA汇总成的LSDB信息计算出路由表。以OSPF为例，filter-policy生效规则如下：

filter-policy import命令实际上是对OSPF计算出来的路由进行过滤，不是对发布和接收的LSA进行过滤。

filter-policy export命令用来对引入的路由在发布时进行过滤，只将满足条件的外部路由转换为Type5 LSA(AS-external-LSA)并发布出去。这样可以在引入外部路由时进行特定的过滤，防止形成路由环路。

图3 filter-policy在链路状态路由协议中应用

03

使用filter-policy过滤RIP路由示例

通过filter-policy对RIP发布的路由做过滤需求描述如图4所示，三台交换机通过RIP交互路由，在SwitchA的RIP进程中引入了三条静态路由(作为测试路由)，用户要求在SwitchB上部署filter-policy export，将其通告给SwitchC的路由进行过滤，拒绝192.168.3.0/24这条路由，其他路由放行。

图4 通过filter-policy对RIP发布的路由做过滤

配置方法1、在SwitchB上定义一个地址前缀列表，“抓取”符合条件的路由。[SwitchB] ip ip-prefix huawei index 10 deny 192.168.3.0 24 //拒绝这条[SwitchB] ip ip-prefix huawei index 20 permit 0.0.0.0 0 less-equal 32//允许所有2、在SwitchB的RIP视图中，部署filter-policy export。[SwitchB]rip[SwitchB-rip-1] filter-policy ip-prefix huawei export Vlanif20

结果验证做完上述配置以后，查看SwitchB和SwitchC的路由表如下：[SwitchB] display ip routing-table Route Flags: R - relay, D - download to fib-----------------------------------------------------------------------------Routing Tables: Public Destinations : 9 Routes : 9 Destination/Mask Proto Pre Cost Flags NextHop Interface 127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0192.168.1.0/24 RIP 100 1 D 192.168.10.1 Vlanif10192.168.2.0/24 RIP 100 1 D 192.168.10.1 Vlanif10192.168.3.0/24 RIP 100 1 D 192.168.10.1 Vlanif10 192.168.10.0/24 Direct 0 0 D 192.168.10.2 Vlanif10 192.168.10.2/32 Direct 0 0 D 127.0.0.1 Vlanif10 192.168.20.0/24 Direct 0 0 D 192.168.20.1 Vlanif20 192.168.20.1/32 Direct 0 0 D 127.0.0.1 Vlanif20 [SwitchC] display ip routing-table Route Flags: R - relay, D - download to fib-----------------------------------------------------------------------------Routing Tables: Public Destinations : 7 Routes : 7 Destination/Mask Proto Pre Cost Flags NextHop Interface 127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0192.168.1.0/24 RIP 100 2 D 192.168.20.1 Vlanif20192.168.2.0/24 RIP 100 2 D 192.168.20.1 Vlanif20 192.168.10.0/24 RIP 100 1 D 192.168.20.1 Vlanif20 192.168.20.0/24 Direct 0 0 D 192.168.20.2 Vlanif20 192.168.20.2/32 Direct 0 0 D 127.0.0.1 Vlanif20从上面的实验结果来看，在SwitchB上部署filter-policy export以后，SwitchB仍然拥有完整的路由表，而SwitchC已经不能通过RIP学习到192.168.3.0/24这条路由，因为这条路由在SwitchB上发布的时候已经被过滤掉。

通过filter-policy对RIP接收的路由做过滤需求描述如图5所示，三台交换机通过RIP交互路由，在SwitchA的RIP进程中引入了三条静态路由(作为测试路由)，用户要求在SwitchB上部署filter-policy import，把192.168.3.0/24这条路由拒绝，其他路由放行。

图5 通过filter-policy对RIP接收的路由做过滤

配置方法1、在SwitchB上定义一个地址前缀列表，“抓取”符合条件的路由。[SwitchB] ip ip-prefix huawei index 10 deny 192.168.3.0 24 //拒绝这条[SwitchB] ip ip-prefix huawei index 20 permit 0.0.0.0 0 less-equal 32//允许所有2、在SwitchB的RIP视图中，部署filter-policy import。[SwitchB]rip[SwitchB-rip-1] filter-policy ip-prefix huawei import Vlanif10结果验证做完上述配置以后，查看SwitchB和SwitchC的路由表如下：[SwitchB] display ip routing-table Route Flags: R - relay, D - download to fib-----------------------------------------------------------------------------Routing Tables: Public Destinations : 8 Routes : 8 Destination/Mask Proto Pre Cost Flags NextHop Interface 127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 192.168.1.0/24 RIP 100 1 D 192.168.10.1 Vlanif10192.168.2.0/24 RIP 100 1 D 192.168.10.1 Vlanif10 192.168.10.0/24 Direct 0 0 D 192.168.10.2 Vlanif10 192.168.10.2/32 Direct 0 0 D 127.0.0.1 Vlanif10 192.168.20.0/24 Direct 0 0 D 192.168.20.1 Vlanif20 192.168.20.1/32 Direct 0 0 D 127.0.0.1 Vlanif20 [SwitchC] display ip routing-tableRoute Flags: R - relay, D - download to fib-----------------------------------------------------------------------------Routing Tables: Public Destinations : 7 Routes : 7 Destination/Mask Proto Pre Cost Flags NextHop Interface 127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0192.168.1.0/24 RIP 100 2 D 192.168.20.1 Vlanif20192.168.2.0/24 RIP 100 2 D 192.168.20.1 Vlanif20 192.168.10.0/24 RIP 100 1 D 192.168.20.1 Vlanif20 192.168.20.0/24 Direct 0 0 D 192.168.20.2 Vlanif20 192.168.20.2/32 Direct 0 0 D 127.0.0.1 Vlanif20

从上面的实验结果来看，在SwitchB上部署filter-policy import以后，SwitchB和SwitchC的路由表中都不存在192.168.3.0/24这条路由了。

由于RIP是距离矢量路由协议，它是将自己的路由表通告给它的邻居路由器，当SwitchB的路由表中192.168.3.0/24这条路由被过滤以后，SwitchC也就无法再通过RIP学习到这条路由。也就是说，对于距离矢量路由协议，如果一台设备的路由表被进行了过滤，那么它会继续影响它下游的设备的路由表。

注意事项：filter-policy export和filter-policy import命令在RIP进程下配置，如果基于接口或者协议对路由进行过滤，则一个接口或协议只能配置一个策略；在没有指定接口和协议的情况下，就认为是配置全局过滤策略，同样只能配置一个策略，如果重复配置，新的策略将覆盖之前的策略。

能看到这里的肯定都是学霸了吧但是不要以为到这里就结束了哦！

如果想要了解本章节的更多内容，请关注公众号【IE网工训练营】返回搜狐，查看更多

责任编辑：