路由策略
问题?
双IE带你全面解读路由策略在实际现网中的应用
为满足业务需求和保证数据访问安全性,要求市场部不能访问财务部、研发部,公司总部不能访问研发部
filter-policy
过滤策略,能够对接收或发布的路由进行过滤,可以调用ACL、ip-prefix等工具来匹配路由,可应用于ISIS、OSPF、BGP等协议。filter-policy分为import和export两个方向
命令格式:
对协议接收的路由进行过滤:
filter-policy { acl-number | ip-prefix ip-prefix-name } import
对协议发布的路由进行过滤:
filter-policy { acl-number | ip-prefix ip-prefix-name } export
案例1:filter-policy(rip)
场景:R1、R2、R3之间运行RIP协议,要求R2过滤掉其中奇数路由
双IE带你全面解读路由策略在实际现网中的应用
在R2中查看RIP学习到的路由
[R2]display ip routing-table protocol rip
Route Flags: R - relay, D - download to fib
Public routing table : RIP
Destinations : 5 Routes : 5
RIP routing table status :
Destinations : 5 Routes : 5
Destination/Mask Proto Pre Cost Flags NextHop Interface
172.16.1.0/24 RIP 100 1 D 10.1.12.1 GigabitEthernet
0/0/0
172.16.2.0/24 RIP 100 1 D 10.1.12.1 GigabitEthernet
0/0/0
172.16.3.0/24 RIP 100 1 D 10.1.12.1 GigabitEthernet
0/0/0
172.16.4.0/24 RIP 100 1 D 10.1.12.1 GigabitEthernet
0/0/0
172.16.5.0/24 RIP 100 1 D 10.1.12.1 GigabitEthernet
0/0/0
RIP routing table status :
Destinations : 0 Routes : 0
方法一:在R2的RIP进程下的IMPORT方向上调用
在R2上面做filter-policy来实现需求
第一步:首先匹配奇数路由出来
acl number 2000
rule 5 deny source 172.16.1.0 0.0.6.0
rule 100000 permit
注意:ACL用于控制平面过滤路由的时候,最后都会有一条隐含拒绝所有,因此需要允许其他流量放行
第二步:在RIP进程下进行调用
rip 1
version 2
filter-policy 2000 import
注意:在R2的import调用的时候,会影响到R2本身的流量
第三步:查看R2和R3的路由表
[R2]display ip routing-table protocol rip
Route Flags: R - relay, D - download to fib
Public routing table : RIP
Destinations : 2 Routes : 2
RIP routing table status :
Destinations : 2 Routes : 2
Destination/Mask Proto Pre Cost Flags NextHop Interface
172.16.2.0/24 RIP 100 1 D 10.1.12.1 GigabitEthernet
0/0/0
172.16.4.0/24 RIP 100 1 D 10.1.12.1 GigabitEthernet
0/0/0
RIP routing table status :
Destinations : 0 Routes : 0
在R3上面查看rip的路由
display ip routing-table protocol rip
Route Flags: R - relay, D - download to fib
Public routing table : RIP
Destinations : 3 Routes : 3
RIP routing table status :
Destinations : 3 Routes : 3
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.1.12.0/24 RIP 100 1 D 10.1.23.2 GigabitEthernet
0/0/1
172.16.2.0/24 RIP 100 2 D 10.1.23.2 GigabitEthernet
0/0/1
172.16.4.0/24 RIP 100 2 D 10.1.23.2 GigabitEthernet
0/0/1
RIP routing table status :
Destinations : 0 Routes : 0
RIP routing table status :
Destinations : 5 Routes : 5
Destination/Mask Proto Pre Cost Flags NextHop Interface
172.16.1.0/24 RIP 100 1 D 10.1.12.1 GigabitEthernet
0/0/0
172.16.2.0/24 RIP 100 1 D 10.1.12.1 GigabitEthernet
0/0/0
172.16.3.0/24 RIP 100 1 D 10.1.12.1 GigabitEthernet
0/0/0
172.16.4.0/24 RIP 100 1 D 10.1.12.1 GigabitEthernet
0/0/0
172.16.5.0/24 RIP 100 1 D 10.1.12.1 GigabitEthernet
0/0/0