路由策略与路由控制实验

设备互联方式、互联地址如图所示，所有设备均创建Loopback0，其IP地址为10.0.x.x/32，其中x为设备编号，R1、R2、R3在互联接口、Loopback0接口上激活OSPF。

R3、R4属于IS-IS Area 49.0001，两者都是Level-1路由器，R3、R4的系统ID采用o000.0000.000x格式，其中x为设备编号。

R1上存在三个业务网段A、B、C（使用Loopback1、2、3接口路由模拟），在R1上将直连路由引入到OSPF，但是OSPF域内的路由器上不需要C业务的路由，为此在R1上引入直连路由时通过Route-Policy过滤引入的路由。

R2上不需要A业务网段的路由，但是R3上需要A、B业务网段的路由，为此在R2上配置Filter-Policy对OSPF接收的路由进行过滤。

IS-IS域内的路由器需要访问A业务，因此需要在R3上执行路由重分发，将OSPF 路由引入到lS-IS，但是IS-IS域内的路由器不需要访问B业务，为此在R1上引入直连路由时为A、B业务网段路由打上不同的路由标记，R3上执行重分发时根据路由标记过滤B业务网段路由。

参考链接：http://e.huawei.com

实验任务：

①设备基础IP地址配置。

②配置R1、R2、R3之间的OSPF，在互联接口、Loopback0接口上激活OSPF。在R3、R4之间配置IS-IS。

③在R1上将直连路由引入到OSPF 中，同时配置路由策略不引入C业务网段的路由，将A、B业务网段路由分别打上路由标记10、20。

④在R2上配置Filter-Policy对接收的OSPF路由进行过滤，只接收B业务网段的路由。

⑤在R3上将OSPF路由引入到IS-IS中，通过Route-Policy匹配路由标记，只引入A业务网段的OSPF外部路由。

任务步骤：

①互联接口、环回口IP地址配置

# 设备命名

AR1：

<Huawei>system-view

[Huawei]sysname AR1

R2、R3、R4相同操作，不再重复。

# 配置R1 GE0/0/0接口、LoopBack0接口IP地址

[AR1]interface GigabitEthernet 0/0/0

[AR1-GigabitEthernet0/0/0]ip address 10.0.12.1 24

[AR1-GigabitEthernet0/0/0]interface LoopBack 0

[AR1-LoopBack0]ip address 10.0.1.1 32

# 在R1上创建多个环回口，用于模拟业务网段A、B、C

[AR1-LoopBack0]interface LoopBack 1

[AR1-LoopBack1]ip address 172.16.1.1 24

[AR1-LoopBack1]interface LoopBack 2

[AR1-LoopBack2]ip address 172.16.2.1 24

[AR1-LoopBack2]interface LoopBack 3

[AR1-LoopBack3]ip address 172.16.3.1 24

# 配置R2 GE0/0/0接口、GE0/0/1接口、LoopBack0接口IP地址

[AR2]interface GigabitEthernet 0/0/0

[AR2-GigabitEthernet0/0/0]ip address 10.0.12.2 24

[AR2-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1

[AR2-GigabitEthernet0/0/1]ip address 10.0.23.2 24

[AR2-GigabitEthernet0/0/1]interface LoopBack 0

[AR2-LoopBack0]ip ad 10.0.2.2 32

# 配置R3 GE0/0/0接口、GE0/0/1接口、LoopBack0接口IP地址

[AR3]interface GigabitEthernet 0/0/0

[AR3-GigabitEthernet0/0/0]ip address 10.0.34.3 24

[AR3-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1

[AR3-GigabitEthernet0/0/1]ip address 10.0.23.3 24

[AR3-GigabitEthernet0/0/1]interface LoopBack 0

[AR3-LoopBack0]ip address 10.0.3.3 32

# 配置R4 GE0/0/0接口、LoopBack0接口IP地址

[AR4]interface GigabitEthernet 0/0/0

[AR4-GigabitEthernet0/0/0]ip address 10.0.34.4 24

[AR4-GigabitEthernet0/0/0]interface LoopBack 0

[AR4-LoopBack0]ip address 10.0.4.4 32

# 在R2、R4上检查IP地址连通性

②配置OSPF、IS-IS

R1、R2、R3使用Loopback0接口地址作为Router lD，在互联接口、Loopback0接口上激活OSPF。

# 配置R1

[AR1]ospf router-id 10.0.1.1

[AR1-ospf-1]area 0

[AR1-ospf-1-area-0.0.0.0]network 10.0.1.1 0.0.0.0

[AR1-ospf-1-area-0.0.0.0]network 10.0.12.1 0.0.0.0

# 配置R2

[AR2]ospf router-id 10.0.2.2

[AR2-ospf-1]area 0

[AR2-ospf-1-area-0.0.0.0]network 10.0.2.2 0.0.0.0

[AR2-ospf-1-area-0.0.0.0]network 10.0.12.2 0.0.0.0

[AR2-ospf-1-area-0.0.0.0]network 10.0.23.2 0.0.0.0

# 配置R3

[AR3]ospf router-id 10.0.3.3        

[AR3-ospf-1]area 0

[AR3-ospf-1-area-0.0.0.0]network 10.0.3.3 0.0.0.0

[AR3-ospf-1-area-0.0.0.0]network 10.0.23.3 0.0.0.0

# 在R2上检查OSPF邻居的概要信息

R1与R2、R2与R3之间已经成功建立OSPF邻居。

R3、R4上配置IS-IS，区域为49.0001，系统ID采用0000.0000.000x格式（x为设备编号），两台设备都为Level-1路由器，在互联接口、R4的 Loopback0接口上激活IS-lS。

# 配置R3

[AR3]isis

[AR3-isis-1]is-level level-1

[AR3-isis-1]network-entity 49.0001.0000.0000.0003.00

[AR3-isis-1]interface GigabitEthernet 0/0/0

[AR3-GigabitEthernet0/0/0]isis enable

# 配置R4

[AR4]isis

[AR4-isis-1]is-level level-1

[AR4-isis-1]network-entity 49.0001.0000.0000.0004.00

[AR4-isis-1]interface GigabitEthernet 0/0/0

[AR4-GigabitEthernet0/0/0]isis enable

# 在R3上检查IS-IS邻居状态

③在R1上引入直连路由

在R1上将直连路由引入到OSPF中，同时配置路由策略过滤C业务网段，将A、B业务网段路由分别打上路由标记10、20。

# 创建IP前缀列表1，匹配Loopback1接口路由（A业务网段）

[AR1]ip ip-prefix 1 index 10 permit 172.16.1.0 24 greater-equal 24 less-equal 24

# 创建IP前缀列表2，匹配Loopback2接口路由（B业务网段）

[AR1]ip ip-prefix 2 index 10 permit 172.16.2.0 24 greater-equal 24 less-equal 24

# 创建Route-Policy huawei，并创建节点10、20，分别调用IP前缀列表1、2，打上路由标记

[AR1]route-policy huawei permit node 10

[AR1-route-policy]if-match ip-prefix 1

[AR1-route-policy]apply tag 10

[AR1-route-policy]route-policy huawei permit node 20

[AR1-route-policy]if-match ip-prefix 2

[AR1-route-policy]apply tag 20

# 在R1的OSPF中引入直连路由，调用Route-Policy huawei

[AR1]ospf

[AR1-ospf-1]import-route direct route-policy huawei

# 在R1上查看OSPF LSDB

Loopback1、2接口路由已经被成功引入OSPF中。

# 在R1上查看OSPF LSDB中AS-external LSA 172.16.1.0的相关信息

外部路由172.16.1.0/24已经被打上Tag 10。

# 在R1上查看OSPF LSDB中AS-external LSA 172.16.2.0的相关信息

外部路由172.16.2.0/24已经被打上Tag 20。

④在R2上配置过滤策略

在R2上配置Filter-Policy对接收的OSPF 路由进行过滤，只接收B业务网段的路由。

# 查看配置Filter-Policy前的OSPF路由表

# 查看配置Filter-Policy前的IP路由表中的OSPF路由

在OSPF路由表以及IP路由表中都可以看到OSPF外部路由172.16.1.0/24、172.16.2.0/24。

# 配置基础ACL

[AR2]acl 2000

[AR2-acl-basic-2000]rule deny source 172.16.1.0 0.0.0.255

[AR2-acl-basic-2000]rule permit

# 在OSPF中部署入方向的Filter-Policy，调用ACL 2000

[AR2]ospf

[AR2-ospf-1]filter-policy 2000 import

# 查看配置Filter-Policy后的OSPF路由表

# 查看配置Filter-Policy后的IP路由表中的OSPF路由

在IP路由表中路由172.16.2.0/24已经不存在，但是在OSPF路由表中依旧存在。这验证了对于OSPF，Filter-Policy只是限制路由加入IP路由表，不影响本地的LSDB以及LSA的传递。

# 在R3上查看IP路由表中的OSPF路由

R3的IP路由表中OSPF外部路由172.16.1.0/24、172.16.2.0/24依旧存在。

⑤在R3上将OSPF路由引入到IS-IS

在R3上将OSPF路由引入到IS-IS中，通过Route-Policy匹配路由标记，只引入A业务网段的OSPF外部路由。

# 创建Route-Policy huawei

[AR3]route-policy huawei permit node 10

[AR3-route-policy]if-match tag 10

[AR3-route-policy]quit

# 在IS-IS 中引入OSPF路由，调用Route-Policy huawei只引入A业务网段的OSPF外部路由

[AR3]isis

[AR3-isis-1]import-route ospf level-1 route-policy huawei

# 查看R3的IS-IS路由表

Level-1的路由重分发表中只有172.16.1.0/24。

思考：

在距离矢量路由协议、链路状态路由协议中使用Filter-Policy有什么区别?

距离矢量协议是基于路由表生成路由的，Filter-Policy会影响从邻居接收的路由和向邻居发布的路由，而链路状态路由协议是基于LSDB来生成路由的，且路由信息隐藏在链路状态LSA中，但Filter-Policy不能对发布和接收的LSA进行过滤，故Filter-Policy 不影响链路状态通告或LSDB的完整性以及协议路由表，而只会影响本地路由表，且只有通过过滤的路由才被添加到路由表中，没有通过过滤的路由不会被添加进路由表。

配置参考：

AR1：

#

 sysname AR1

#

interface GigabitEthernet0/0/0

 ip address 10.0.12.1 255.255.255.0

#

interface LoopBack0

 ip address 10.0.1.1 255.255.255.255

#

interface LoopBack1

 ip address 172.16.1.1 255.255.255.0

#

interface LoopBack2

 ip address 172.16.2.1 255.255.255.0

#

interface LoopBack3

 ip address 172.16.3.1 255.255.255.0

#

ospf 1 router-id 10.0.1.1

 import-route direct route-policy huawei

 area 0.0.0.0

  network 10.0.1.1 0.0.0.0

  network 10.0.12.1 0.0.0.0

#

route-policy huawei permit node 10

 if-match ip-prefix 1

 apply tag 10

#

route-policy huawei permit node 20

 if-match ip-prefix 2

 apply tag 20

#

ip ip-prefix 1 index 10 permit 172.16.1.0 24 greater-equal 24 less-equal 24

ip ip-prefix 2 index 10 permit 172.16.2.0 24 greater-equal 24 less-equal 24

#

AR2：

#

 sysname AR2

#

acl number 2000 

 rule 5 deny source 172.16.1.0 0.0.0.255

 rule 10 permit

#

interface GigabitEthernet0/0/0

 ip address 10.0.12.2 255.255.255.0

#

interface GigabitEthernet0/0/1

 ip address 10.0.23.2 255.255.255.0

#

interface LoopBack0

 ip address 10.0.2.2 255.255.255.255

#

ospf 1 router-id 10.0.2.2

 filter-policy 2000 import

 area 0.0.0.0

  network 10.0.2.2 0.0.0.0

  network 10.0.12.2 0.0.0.0

  network 10.0.23.2 0.0.0.0

#

AR3：

#

 sysname AR3

#

isis 1

 is-level level-1

 network-entity 49.0001.0000.0000.0003.00

 import-route ospf 1 level-1 route-policy huawei

#

interface GigabitEthernet0/0/0

 ip address 10.0.34.3 255.255.255.0

 isis enable 1

#

interface GigabitEthernet0/0/1

 ip address 10.0.23.3 255.255.255.0

#

interface LoopBack0

 ip address 10.0.3.3 255.255.255.255

#

ospf 1 router-id 10.0.3.3

 area 0.0.0.0

  network 10.0.3.3 0.0.0.0

  network 10.0.23.3 0.0.0.0

#

route-policy huawei permit node 10

 if-match tag 10

#

AR4：

#

 sysname AR4

#

isis 1

 is-level level-1

 network-entity 49.0001.0000.0000.0004.00

#

interface GigabitEthernet0/0/0

 ip address 10.0.34.4 255.255.255.0

 isis enable 1

#

interface LoopBack0

 ip address 10.0.4.4 255.255.255.255

#