路由过滤方法与常用工具
引言
在前面我们已经学习了路由引入,接下来我们就更进一步来学习路由过滤
前一篇文章:重发布:路由引入(点击即可)
路由过滤
定义:路由器在发布或者接收消息时,可能需要对路由信息进行过滤。
作用:控制路由的传播与生成;节省设备和链路资源消耗,保护网络安全。
举例:学习汇总后的路由,而不学习汇总时的明细路由
路由过滤方法:
常用的路由过滤工具:
(1)静默接口:
在RIP协议中,静默接口不发送路由更新
在OSPF协议中,静默接口不发送OSPF协议报文
(2) ACL
通过ACL抓取流量,缺陷:只能匹配数字特征,不能匹配掩码特征,导致匹配不精确;
(3) 地址前缀列表
匹配IP地址前缀,即目的网络地址和掩码长度--精确匹配;
注:如果所有表项为deny模式,则任何路由都不能通过该过滤列表。这种情况下,需要在多条deny模式的表项后定义一个允许规则:
permit 0.0.0.0 less-equal 32表项,允许其它所有IPV4路由信息通过
(4)filter-policy(过滤策略)
通过与ACL、地址前缀列表结合使用,filter-policy可以对路由信息进行过滤
filter-policy过滤接收路由(以RIP为例)
filter-policy过滤接收路由,对进入RIP路由表的路由进行过滤(RIP),特点:既影响做策略的本机上的RIP路由表,又影响下游路由器的RIP表
filter-policy过滤发送路由(RIP),特点:不影响做策略的本机上的RIP路由表,但影响下游路由器的RIP表
总结:通过与ACL、地址前缀列表结合使用, filter-policy可以对路由信息进行过滤
filter-policy过滤接收路由(以OSPF为例)
(1)特点:影响本机及下游路由器的OSPF表的学习,过滤本机及下游路由器的LSDB表中的LSA,在协议视图下配置进方向
方法2:在传入区域的区域视图下配置出方向,不影响本机ospf表的学习,但影响下游路由器ospf表的学习,过滤本机及下游路由器的LSDB表中的LSA
路由过滤总结:
利用路由过滤可控制路由在网络内传播
ACL和地址前缀列表可用于路由信息的识别、筛选
地址前缀列表ACL更加灵活
可利用filter-policy工具在RIP、OSPF、IS-IS等协议内过滤路由
(5)route-policy:路由策略
1、概念:
控制层流量 --- 路由协议传递路由信息产生的流量
数据层流量 --- 设备访问目标地址时产生的流量
2、定义:
为了改变网络流量所经过的途径而修改路由信息的技术------控制层流量
3、作用:
路由过滤;
修改路由属性;
4、做路由策略的思路:
(1)抓取流量
通过ACL实现;
通过前缀列表(ip prefix)实现;
(2)做策略:对流量进行修改或者不转发
练习1:
前缀匹配列表:
ip ip-prefix aa permit 10.1.1.0 24
route-policy policy_a permit node 10
if-match ip-prefix aa
apply cost 100练习2:
匹配ACL:
acl 2002
rule permit source 10.2.2.0 0.0.0.255
route-policy policy_a permit node 20
if-match acl 2002
apply tag 20练习3:
route-policy policy_a deny node 30某个节点中没有写任何的if-match,则表示匹配所有路由,都会被拒绝掉
没有写任何的apply,则不对任何路由进行属性修改
练习4:
route-policy policy_a deny node 30
if-match acl 2002
apply cost 30思考apply cost 30有意义吗?
匹配规则:
(1)路由信息到达时,检查是否配置了路由策略,如果配置,则进入节点匹配;否则放行;
(2)检查路由策略第一个节点的if-match条件,匹配则检查节点动作是permit还是deny,如果是permit则进一步检查apply子句,有apply子句则执行路由属性修改并放行。没有apply子句则不修改属性并放行;如果是deny则不能通过。如果没有匹配该节点的if-match条件,则检查下一个节点
(3)最后一个节点仍不匹配,则拒绝该路由信息通过。
基本配置:
a.创建一个route-policy节点
route-policy route-policy-name { permit | deny } node node编号节点之间的关系是“或”的关系,如果通过了其中一个节点,就意味着通过该路由策略,不再对其他节点进行匹配
b.配置if-match语句,使用if-match命令可定义匹配条件,所匹配的对象是路由信息的一些属性,例如路由的目的网络地址或掩码长度、度量值、标记或下一跳IP地址等
节点的匹配规则表:
练习1:
if-match语句之间是“与”的关系,需要同时满足要求。
route-policy aaa permit node 10
if-match acl 2000
if-match acl 2001练习2:
acl 2000
rule permit source 192.168.1.0 0.0.0.255
acl 2001
rule permit source 192.168.2.0 0.0.0.255
route-policy aaa permit node 10
if-match acl 2000
if-match acl 2001不可能有一条路由同时满足这两个acl,两个acl之间毫无交集。所以练习2这个路由策略写的毫无意义。
c.配置apply 语句,执行语句
在 Route-Policy的节点视图下,使用apply命令指定需执行的动作,这些动作主要是对所匹配的路由的某些属性进行修改
apply执行动作表
设置路由的度量值:apply cost cost
设置OSPF的度量值类型:apply cost-type { type-1 / type-2 }
设置路由的标记:apply tag tag注:一个节点中可以不包含任何 apply语句,此时该节点只被用于执行路由过滤,而不用于设置路由的属性
5、注意事项
route-policy用于路由过滤,不用配置空节点
route-policy仅用于属性修改,需要配置空节点
route-policy能够配置的位置
IGP路由引入时;
BGP宣告时;
BGP路由引入;
BGP邻接关系上;
6、route-policy的应用
(1)用route-policy来控制路由接收和发布时的属性
(2)用route-policy来控制路由的引入
