BGP过滤(社团属性过滤器、AS路径过滤器)

BGP过滤(社团属性过滤器、AS路径过滤器)_第1张图片

 通过路由策略来过滤

[r2]ip ip-prefix aa permit 172.16.1.0 24
[r2]route-policy aa deny node 10
[r2-route-policy]if-match ip-prefix aa
[r2]route-policy aa permit node 20
[r2]bgp 200
[r2-bgp]peer 10.1.23.3 route-policy aa export

前缀列表进行过滤

[r3]ip ip-prefix aa deny 172.16.2.0 24
[r3]ip ip-prefix aa permit 0.0.0.0 0 less-equal 32
[r3]bgp 300
[r3-bgp]peer 10.1.23.2 ip-prefix aa import

filter-policy进行过滤

[r2]acl 2000
[r2-acl-basic-2000]rule deny source 172.16.3.0 0
[r2-acl-basic-2000]rule permit
[r2-bgp]peer 10.1.12.1 filter-policy 2000 import

BGP社团属性---Community

BGP过滤(社团属性过滤器、AS路径过滤器)_第2张图片

社团属性是由32位二进制组成,并拥有多种表达形式。

  • 直接使用十进制标识
  • 16位二进制:16位二进制-----较为常用,前16位一般为本地AS号,后16位为自定义值

一条路由条目中可以标识多个社团属性

  • 0X00000000---Internet---如果通过全0的社团属性来抓取流量,则将抓取到所有的BGP流量,即BGP的所有流量缺省情况下均属于Internet
  • 0XFFFFFF02-------No-advertise----该属性代表本条BGP路由仅能供路由器本地使用,不能将该路由通告给任何BGP对等体
  • 0XFFFFFF01-----no-export-----该属性代表本条BGP路由不能被通告到本AS外部,也就是不能通告给EBGP对等体
  • 0XFFFFFF03----no-export-subconfed----该属性代表本条BGP路由不能被通告给本AS外部;若本路由器位于联邦的成员AS内部,则该路由也不能被传递给联邦EBGP对等体

BGP过滤(社团属性过滤器、AS路径过滤器)_第3张图片

尝试在R1身上打上社团属性标记

1、抓流量
[r1]ip ip-prefix aa permit 1.1.1.1 32

2、做策略
[r1]route-policy com permit node 10
[r1-route-policy]if-match ip-prefix aa
[r1-route-policy]apply community no-advertise

3、调用
[r1-bgp]peer 12.0.0.2 route-policy com export
[r1-bgp]peer 12.0.0.2 advertise-community---开启社团属性的传递性,该命令需要在所有设备上开启


 

社团属性的应用场景

BGP过滤(社团属性过滤器、AS路径过滤器)_第4张图片

1、设定策略,定义社团属性标记

[r1]route-policy com-1 permit node 10
[r1-route-policy]apply community 100:111
[r1]route-policy com-2 permit node 10
[r1-route-policy]apply community 100:222

2、在发布路由时调用策略

[r1-bgp]network 172.16.1.0 24 route-policy com-1
[r1-bgp]network 172.16.2.0 24 route-policy com-1
[r1-bgp]network 172.16.3.0 24 route-policy com-2
[r1-bgp]network 172.16.4.0 24 route-policy com-2

3、开启社团属性传播功能

[r1-bgp]peer 10.1.12.2 advertise-community

[r2-bgp]peer 10.1.23.3 advertise-community

4、抓取流量
使用社团过滤器Community-Filter来抓取携带社团属性的路由

[r2]ip community-filter 1 permit 100:111
[r2]ip community-filter 2 permit 100:222

5、做策略

[r2]route-policy com deny node 10
[r2-route-policy]if-match community-filter 1
[r2]route-policy com permit node 15
[r2-route-policy]if-match community-filter 2
[r2-route-policy]apply community no-export additive .---additive参数是表示在之前的社团属性后直接添加,否则会直接覆盖
[r2]route-policy com permit node 20

6、调用策略

[r2-bgp]peer 10.1.12.1 route-policy com import

 AS-Path-filter ------ AS路径过滤器
 

该过滤器与正则表达式共同搭配使用可以完成从AS-Path属性中

BGP过滤(社团属性过滤器、AS路径过滤器)_第5张图片

目标:

1.禁止R3将始发于AS 100的路由传递给R5

2.R4将始发于AS 200的路由在传递给R5时,修改开销值

目标1:

1、抓取流量
[r3]ip as-path-filter 1 deny_100$ ----“-”表示匹配空格等字符,“$”表示行尾

[r3]ip as-path-filter 1 permit .*------“.*”表示匹配所有,该过滤器末尾隐含拒绝所有,所以不管写多少次deny,最后都要设置一次permit


2、调用
[r3-bgp]peer 10.1.35.5 as-path-filter 1 export


 

目标2:

1、抓取流量
[r4]ip as-path-filter 1 permit ^200$



2、做策略
[r4]route-policy aa permit node 10
[r4-route-policy]if-match as-path-filter 1
[r4-route-policy]apply cost 10000
[r4]route-policy aa permit node 20



3、调用
[r4-bgp]peer 10.1.45.5 route-policy aa export

[r4]display ip as-path-filter ----查看过滤器详细配置

注意:as-path-fliter过滤器抓取流量时,需要看的是本地的路由条目属性值。

正则表达式
组成:
  • 普通字符----所有的大写和小写字母、数字、标点符号
  • 特殊字符----具备特殊意义

BGP过滤(社团属性过滤器、AS路径过滤器)_第6张图片

BGP过滤(社团属性过滤器、AS路径过滤器)_第7张图片

‘’

你可能感兴趣的:(服务器,网络,运维)