filter-policy应用实验(华为设备)
概述:
filter-policy:过滤策略,该工具主要应用在路由协议的进程中,可以调用ACL、ip-prefix、route-policy 等工具来匹配路由,用于控制对路由的发布或接收,只有通过该策略的路由才可以被发布或者接收,未通过策略的路由则被过滤掉。应用场景比较广泛,在IGP和BGP协议中都能够使用,filter-policy分为import(入方向)和export(出方向)。
import:主要影响路由器接收路由,影响自身路由表的变化,适合于任何路由协议,但是不同类型的路由协议也是有差别的,如距离矢量协议(如RIP)与链路状态协议(如OSPF、IS-IS)利用该工具实现路由的控制时,实现的效果也不太一样。由于距离矢量协议基于自身路由表来通告,传递的是路由表信息,通过filter-policy import 可以过滤路由的接收。而链路状态协议基于链路状态数据库的信息来通告,传递的是LSA,并不是路由信息。而filter-policy import不能过滤1/2类LSA,而是阻止路由表的生成,该部分将在后续加以分析。
export:在距离矢量协议中用于向邻居发布路由时的控制,影响邻居路由器的路由表变化。在链路状态协议中往往用于自治系统边界路由器上,主要用来控制外部路由的引入。通常情况下,路由过滤只能过滤路由信息,不能过滤链路状态信息。对于OSPF,可以在出方向和入方向上过滤LSA3、LSA5、LSA 7。对于链路状态路由协议,如OSPF和IS-IS,在入方向过滤路由实际上并不能阻断链路状态信息的传递,过滤的效果仅仅是过滤的路由不能被加到本地路由表中,但是代表该路由的LSA仍然会在OSPF域或者IS-IS域内传递。
路由过滤还可以针对从其他协议引入的路由进行过滤,比如把RIP路由引入到OSPF, OSPF可以使用路由过滤把某些从RIP引入的路由过滤掉,只将满足条件的外部路由转换为Type-5 LSA (AS-external-LSA) 并发布出去,进而使其他OSPF路由器只有特定的从RIP引入的路由,这种配置只能用在出方向上。
配置命令:
filter-policy { acl-number I acl-name acl-name I ip-prefix ip-prefix-name [ gateway ip-prefix-name 1 } import [ interface-type interface-number 1 ]
filter-policy后面可以调用ACL、ip-prefix、 gateway 来过滤指定的路由,ACL 和ip-prefix 都用来匹配出路由条目,而gateway基于网关发布的路由进行控制,如某条路由的下一跳网关地址为192.168.1.1, 可以通过匹配gateway网关地址来控制其所发布的所有路由。import指定为入方向,interface-type 用来指定接口类型和接口号,基于接口来过滤路由。
场景一:RIP中的filter-policy应用
场景描述:
如图所示,R1有5个网段通告进RIP协议,要求R2过滤掉其中奇数路由。
步骤:
1.利用ACL使用最少命令来过滤路由。
[R2]acl number 2000
[R2-acl-basic-2000]rule deny source 172.16.1.0 0.0.6.0
[R2-acl-basic-2000]rule permit source any //ACL用于控制层面的过滤路由时,最后都会有一条隐含拒绝所有,因此需要匹配其他的流量,将其允许。
2.进入到进程中应用filter-policy,且在 import方向调用ACL。
[R2)rip 1
[R2-rip-1]filter-policy 2000 import
[R2]display ip routing-table
使用filter-policy 工具在import方向应用时, R2的路由表中无法看到被过滤的路由,由于R3的路由是R2传递过来的,R3的路由表信息应该与R2是一致的,也不会看到被过滤的路由。如果在后面携带接口参数,将只会过滤从该接口来的路由,没有携带接口参数将会过滤所有接口来的路由。
查看R3的路由表:
使用filter-policy工具在export方向应用时,目的是向邻居发布路由时进行过滤,但是不会影响本地路由表的变化。
场景二:OSPF中的filter-policy import应用
场景描述:
如图所示,路由协议运行OSPF,在R2.上使用filter-policy调用在import方向,观察一下路由表的有何区别。.
步骤:
1.在R2上使用ACL过滤172.16.X.0中的奇数路由:
[R2]acl number 2000
[R2-acl-basic 2000]rule 10 deny source 172.16.1.0 0.0.6.0
[R2- acl-basic 2000rule 20 permit source any
[R2-acl-basic-2000]quit
[R2] ospf 1
[R2-oppf-1]filter-policy 2000 import
可以看到,在R2的路由表中只有172.16.2.0/24、 172. 16.4.0/24两条偶数路由进入到路由表中,奇数路由已经被过滤了,已经实现目的了。
2.查看R3的路由表:
R3的路由表是正常的,奇数路由并没有被过滤。这是因为R3依然有R2发送过来的LSA,可以计算路由。
原因:如图所示,在一个区域中的OSPF路由器,通过泛洪机制在路由器间同步LSDB三台路由器在同一区域中有一样的LSDB,由于路由器间交互的是LSA,并非路由,所以无法在邻居间过滤路由,仅仅是不允许本地的LSA计算路由而已:
但是在ABR上,可以使用filter-policy imprort过滤3类或者5类LSA,原因是3类和5类LSA是路由信息,当不本地不加表后,由于路由的矢量性,不会传递给其他邻居。
场景二:OSPF中的filter-policy export应用
场景描述:
OSPF中使用filter-policy import 可以用来过滤路由,但是不能过滤LSA,而filter-policy export则是用于控制外部路由的引入。如图所示,要求R2将RIP引入进OSPF时仅引入前面三条路由。
步骤:
1.在R2上使用filter-policy export把图中172.16. 1.0~ 172.16.3.0路由引入OSPF。
[R2]ip ip-prefix R2O permit 172. 16.0.0 22 greater-equal 24 less-equal 24
[R2]ospf 1
[R2-ospf-1] import-route rip 1
[R2-ospf- 1] filter-policv ip-prefix R2O export rip 1
R2使用前缀列表匹配来自RIP的172.16.1.0/24、 172. 16.2.0/24、172.16.3.0/24 三个网段,将匹配到路由引入进OSPF。使用filter- policy工具调用前缀列表并且应用在export方向,后面携带了参数表示从RIP协议引入的路由,没有被匹配到的路由将不会被引入进来。
2.查看R3的路由表:
display ip routing-table
R3的路由表中只能看到被匹配到的路由,172.16.4.0/24、172.16.5.0/24 没有被引入进来,通过该方式可以精确地控制路由的引入。
总结:
filter-policy 工具是一种非常灵活的路由控制工具,主要用在矢量路由协议中对邻居间通告的路由执行过滤控制;或在链路状态路由协议中,在区域或路由域的边界设备上对路由表中的路由进行过滤(链路状态路由协议的矢量特性)。但它无法在链路状态路由协议阻止链路信息的泛洪(不能过滤1类、2类LSA、LSP等),因为一个区域内的拓扑技算不统一,会形成环路。
整理资料来源:《HCIE路由交换学习指南》
filter-policy应用实验(华为设备)相关推荐
- BGP选路实验(华为设备)
文章目录 BGP选路大杂烩 一.实验拓扑 二.分析 三.部署 1.对不同AS的路由进行团体值的设定 2.传递团体值 3.抓取团体值 4.选路 4.1 AS1去AS2走R2 4.2 AS2去AS1走R4 ...
- 华为设备路由策略原理与实验
概述: 路由策略可以在路由协议发布.接收和引入路由时配置使用,也可用于过滤路由和改变路由属性. 路由策略各工具之间的调用关系: 条件工具:用于把需要的路由"抓取"出来. 策略工具: ...
- 华为设备ENSP静态路由的配置实战
华为设备ENSP静态路由的配置 1. 实验网络拓扑 2. 实验需求: 1) 使用华为模拟器ENSP 2) 将两台PC机ping通 3. 实验步骤: 1) ...
- 华为交换机默认vlan都是通的吗_华为设备二层交换技术——Hybrid接口详解
Hybrid接口的特点 按照VLAN接口封装类型,华为交换机的接口主要有三种模式:Access.Trunk和Hybrid.其中Access.Trunk接口和Cisco技术并无差异,Hybrid接口是华 ...
- 华为设备 配置成为FTP服务器/客户端
1.1.0 华为设备 FTP服务器 当网络设备需要升级,或需要上传下载网络设备的文件时,可在网络设备上配置FTP服务,方便文件的操作 实验环境 环境介绍: Server路由器成为FTP服务器,创建ft ...
- 华为设备的AP与AC的配置
华为设备-企业网络的无线网络部署 实验需求: 所有的无线终端,连接wifi,实现互通 实验思路: 1.确保AP获得IP地址 [vlan100] 2.确保AP注册到AC上 3.正确配置AC,确保A ...
- 基于华为设备的某大型企业网络规划与实施方案
目录 一.项目背景 二.业务需求 三.技术需求 四.网络拓扑图 五.设备选型 六.VLAN规划 七.设备接口IP地址规划 八.设备配置脚本 (一)杭州总部 AR2 LSW4 LSW5 Data-Cen ...
- sw标准件不能配置_思科设备与华为设备在配置Telnet,有啥不一样呢?
在工作中,可能我们会遇到思科的设备或者华为的,所以,我们需要不断的补充自己的知识,慢慢从小白走向大神之路.今天来看看思科与华为设备在配置Telnet有啥不一样的 思科路由器2901配置Telnet远程 ...
- 网络推广专员浅析到2021年底至少3亿台华为设备将使用鸿蒙系统
众所周知,早在2019年鸿蒙系统就已正式发布,经过长时间操作检验和发展方向的调整,终于在2020年12月正式面向公众提供鸿蒙2.0beta版本,并且华为宣布在2021年4月份正式上线.鸿蒙系统的存在华 ...
- 美企调查华为设备安全性,华为发长文质疑;摩根大通预计苹果2020年将推5G iPhone;谷歌拟联手Dish成立美国第四大运营商...
戳蓝字"CSDN云计算"关注我们哦! 嗨,大家好,重磅君带来的[云重磅]特别栏目,如期而至,每周五第一时间为大家带来重磅新闻.把握技术风向标,了解行业应用与实践,就交给我重磅君吧! ...
最新文章
- 经典的Java基础面试题集锦
- Quartz在Spring中动态设置cronExpression
- China Daily | 技术不是拦路虎:在线音乐教学可完美还原线下场景
- 详细介绍如何在Eclipse中使用SVN
- 时间序列聚类方法的研究
- 微信小程序 页面如何自动滚动到底部
- word2010 同时打开多个文档的解决办法
- 给Hexo主题博客加入百度站点统计
- macOS下统计pdf字数
- 200个句子涵盖了高中英语4500词汇
- 天啦噜!Stateflow动态测试竟然so easy
- ubutnu下panel消失
- 欣赏 Pianissimo!!! 钢琴演奏会
- 京东炸年兽脚本--亲测有效 2021最新版
- 用DiskGenius彻底删除文件能不能确保无法恢复
- 用C语言求奇数的几种方法
- (精品)基于Web的酒店客房管理系统的设计与实现毕业论文+开题报告+项目源码(SSM)及数据库+查重报告
- 怎么视频提取音频文件?分享这3种简单实用的提取方法
- 01-图灵商城项目架构
- node.js 从基础到操作数据库