filter-policy介绍
filter-policy也是一个很常用的路由信息过滤工具,如下图所示,SwitchA、SwitchB、SwitchC之间运行某种路由协议,路由在各个设备之间传递,当需要根据实际需求过滤某些路由信息的时候可以使用filter-policy实现。
filter-policy使用注意事项:
1、filter-policy是常用于控制路由接收、发布的一个工具。
2、filter-policy只能过滤路由信息,无法过滤LSA。
3、filter-policy只能过滤路由信息,不能修改路由属性值。
filter-policy过滤路由信息的规则
由于距离矢量路由协议(例如RIP)和链路状态路由协议(例如OSPF)原理上的差异,filter-policy应用在这两种路由协议的时候过滤规则也有所不同。如下图
在距离矢量路由协议中,设备之间传递的是路由信息,如果需要对这种路由信息进行某种过滤,可以使用filter-policy实现,出方向和入方向的生效位置如下图所示。如果要过滤掉上游设备到下游设备的路由,只要在上游设备配filter-policy export或者在下游设备上配置filter-policy import就可以了。
在链路状态路由协议中,各路由设备之间传递的是LSA信息,然后设备根据LSA汇总成的LSDB信息计算出路由表。以OSPF为例,filter-policy生效规则如下:
1、filter-policy import命令实际上是对OSPF计算出来的路由进行过滤,不是对发布和接收的LSA进行过滤。
2、filter-policy export命令用来对引入的路由在发布时进行过滤,只将满足条件的外部路由转换为Type5 LSA(AS-external-LSA)并发布出去。这样可以在引入外部路由时进行特定的过滤,防止形成路由环路。
使用filter-policy过滤RIP路由示例
1、通过filter-policy对RIP发布的路由做过滤
需求描述
如下拓扑所示,三台交换机通过RIP交互路由,在SwitchA的RIP进程中引入了三条静态路由(作为测试路由),用户要求在SwitchB上部署filter-policy export,将其通告给SwitchC的路由进行过滤,拒绝192.168.3.0/24这条路由,其他路由放行。
配置方法
1、在SwitchB上定义一个地址前缀列表,“抓取”符合条件的路由。
[SwitchB] ip ip-prefix huawei index 10 deny 192.168.3.0 24 //拒绝这条[SwitchB] ip ip-prefix huawei index 20 permit 0.0.0.0 0 less-equal 32//允许所有2、在SwitchB的RIP视图中,部署filter-policy export。
[SwitchB]rip [SwitchB-rip-1] filter-policy ip-prefix huawei export Vlanif20结果验证
做完上述配置以后,查看SwitchB和SwitchC的路由表如下:
从上面的实验结果来看,在SwitchB上部署filter-policy export以后,SwitchB仍然拥有完整的路由表,而SwitchC已经不能通过RIP学习到192.168.3.0/24这条路由,因为这条路由在SwitchB上发布的时候已经被过滤掉。
2、通过filter-policy对RIP接收的路由做过滤
需求描述
如下拓扑所示,三台交换机通过RIP交互路由,在SwitchA的RIP进程中引入了三条静态路由(作为测试路由),用户要求在SwitchB上部署filter-policy import,把192.168.3.0/24这条路由拒绝,其他路由放行。
配置方法
1、在SwitchB上定义一个地址前缀列表,“抓取”符合条件的路由。
[SwitchB] ip ip-prefix huawei index 10 deny 192.168.3.0 24 //拒绝这条[SwitchB] ip ip-prefix huawei index 20 permit 0.0.0.0 0 less-equal 32//允许所有2、在SwitchB的RIP视图中,部署filter-policy import。
[SwitchB]rip [SwitchB-rip-1] filter-policy ip-prefix huawei import Vlanif10结果验证
做完上述配置以后,查看SwitchB和SwitchC的路由表如下:
从上面的实验结果来看,在SwitchB上部署filter-policy import以后,SwitchB和SwitchC的路由表中都不存在192.168.3.0/24这条路由了。
由于RIP是距离矢量路由协议,它是将自己的路由表通告给它的邻居路由器,当SwitchB的路由表中192.168.3.0/24这条路由被过滤以后,SwitchC也就无法再通过RIP学习到这条路由。也就是说,对于距离矢量路由协议,如果一台设备的路由表被进行了过滤,那么它会继续影响它下游的设备的路由表。
使用filter-policy过滤OSPF路由示例
1、通过filter-policy对OSPF接收的路由过滤(区域内)
配置方法
1、在SwitchB上定义一个地址前缀列表,“抓取”符合条件的路由。
[SwitchB] ip ip-prefix huawei index 10 deny 10.1.1.0 24 //拒绝这条[SwitchB] ip ip-prefix huawei index 20 permit 0.0.0.0 0 less-equal 32//允许所有2、在SwitchB的OSPF视图中,部署filter-policy import。
[SwitchB] ospf [SwitchB-ospf-1] filter-policy ip-prefix huawei import结果验证
做完上述配置以后,查看SwitchB和SwitchC的路由表如下:
通过SwitchB和SwitchC的路由表可以看到,虽然在SwitchB上10.1.1.0/24这条路由已经被过滤掉,但是LSA信息会继续传递给SwitchC,所以SwitchC的路由表中继续存在10.1.1.0/24这条路由。这样的结果也验证了我们一开始在注意事项中给出的结论:在链路状态路由协议中,filter-policy只能过滤路由信息,不能过滤LSA信息。
同时SwitchB和SwitchC的LSDB中仍然存在描述10.1.1.0/24这条路由的LSA信息,为了验证这一点,我们看一下SwitchB和SwitchC的LSA信息。
可以看到SwitchB和SwitchC的LSDB中仍然存在描述10.1.1.0/24这条路由的LSA信息。
2、通过filter-policy对OSPF接收的路由过滤(区域间)
如下图所示,相对于上一个场景,这个场景的区别之处是划分了两个不同的区域,SwitchB和SwitchC之间传递的是Type3 LSA,这个Type3 LSA是SwitchB上根据区域间路由生成的。配置方法跟上一个场景一样,不再赘述,我们直接看一下实验结果。
在部署过滤策略之前我们先看一下SwitchB和SwitchC的路由表
可以看到,在部署路由过滤策略之前,SwitchB和SwitchC的路由表中都有10.1.1.0/24这条路由。
结果验证
在SwitchB上部署filter-policy import以后,查看SwitchB和SwitchC的路由表,结果如下:
由于现在划分不同的区域,SwitchC上的10.1.1.0/24这条路由是由SwitchB根据自身学习的路由产生的Type3-LSA描述的,而SwitchB上的这条路由被过滤掉了,因此不能够再产生描述区域间路由的这个Type3-LSA,因此SwitchC上不会再学习到10.1.1.0/24这条路由。
8970
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
