Route-police(过滤流量路由策略)

匹配规则 acl、ip-prefix

过滤载体 route-police   filter-police  import-route 

过滤工具(直接使用) as-path-filter   community-filter 

一、匹配规则

acl 访问控制列表

用于匹配路由信息或者数据包的地址,过滤不符合条件的路由信息或数在据包

2000-2999 basic 基本acl 过滤源流量

3000-3999 advance   高级acl   源目IP流量   TCP/UDP协议  源目端口号

[R1]acl 2000 //创建标准访问控制列表,列表号为2000
[R1-acl-basic-2000]rule 1 deny source 192.168.10.0 0.0.0.255 //拒绝192.168.10.0网段的路由条目(子网掩码为反掩码)  
[R1]acl 3000//创建扩展访问列表,列表号3000
[R1-acl-adv-3000]rule 2 deny tcp source 192.168.10.10 0.0.0.0 destination 202.10.10.100 0.0.0.0 destination-port eq 21
//禁止client访问ftp服务器    

隐私语句为deny,当从上至下遍历    不匹配所有acl规则,丢弃该包

修改隐私语句   最后加上一条 rule 3 permit any

ip-prefix 前缀列表

匹配路由流量、正掩码(0、不严格匹配)

[Huawei] ip ip-prefix 1  index 10  permit 1.1.1.1  24   greater-equal 24  less-equal 32
匹配 1.1.1.0到 1.1.1.255 网段的流量

匹配任一ip    any 0.0.0.0  0      ip任一匹配,掩码不匹配,所以任何路由不匹配

匹配所有路由          permit  0.0.0.0     0   le 32      掩码范围0-32

匹配任何主机路由   permit  0.0.0.0     0    greater-equal   32

匹配8到32掩码        permit 0.0.0.0      8    less-equal 32   

隐私语句拒绝

修改:最后末尾   ip ip-prefix 1  index 20  permit  0.0.0.0     0   le 32 

二、过滤载体

route-police 路由策略

设定匹配规则,由if-match和apply子句组成,过滤路由或者数据包或者执行策略

# 创建一个route-policy,名字叫RP,同时配置第一个节点,节点编号为10:
[R1] route-policy RP permit node 10
[R1-route-policy] if-match acl 2000  # 在节点10中,定义了一个if-match子句,调用acl 2000
[R1-route-policy] apply cost 20 # 在节点10中,定义了一个apply子句,设置cost为20

匹配规则从节点10.20.30依次匹配,只要匹配到其中一条,停止匹配。 
所以精确的匹配规则要放在前面,免造成匹配结果错误!!

隐私语句拒绝

修改 最后加上 route-police 1 permit node 40   不添加任何if-match

                        本身不具有过滤功能,对路由的permit、deny 由匹配规则完成

fliter-police  

[R2]ip ip-prefix RP permit 172. 16.0.0 22 greater-equal 24 less-equal 24
[R2]ospf 1
[R2-ospf-1] import-route rip 1
[R2-ospf- 1] filter-policv ip-prefix R2O export ospf 1
在ospf域引入(export.宣告)前缀列表放行的路由
如果是import?从ospf域进入路由经过前缀列表过滤,再进入本地路由表

距离矢量 filter-policy    import  对接收的路由,进行过滤

                                       export  本地产生的路由过滤

链路状态 filter-policy   import    对本地学习到的路由进行过滤,外部进入的3类lsa过滤

                                      export     本地产生的3类lsa过滤

import-route 

[r2]route-policy 1  permit node 10
[r2-route-policy]apply tag 100
[r2-ospf-1]import-route rip 1 route-policy 1

在ospf 1 进程引入  经过路由策略后的 rip 1 路由
引入的路由表项一定在本地路由表中。

   import 替代 [Huawei-ospf-1]import rip 1 route-policy RF

 三、过滤工具

as-path-fliter (BGP)

利用BGP路由携带的AS_Path列表对路由进行过滤。AS作为过滤条件,在BGP发布、接收路由时单独使用。

表达式 含义
^$ 表示本地AS始发
.* 表示所有
_10_ 表示必须经过AS10   
^10_ 表示只接受来自AS10的路由
_10$ 从AS10始发的所有路由
[r1] ip as-path-filter RF deny _10_  

[r1]bgp 20
[r1-200]peer 10.0.12.1 as-path-filter RF export
对等体10.0.12.1 对外发布(export)的路由先进行 as-path-filter进行过滤
import  表示从10.0.12.1 本地接收(import)的路由,先进行过滤
Community Filter (BGP)
团体属性名称 说明  设备收到具有此属性的路由后
Internet 向任何BGP对等体发送该路由。
No Advertise 不向任何BGP对等体发送该路由。
No Export AS内 IBGP邻居和联邦EBGP邻居发送路由
No_Export_Subconfed AS内 IBGP邻居
策略
[R1] ip ip-prefix 1 permit 10.1.1.1 32     抓路由
[R1] route-policy RF permit node 10        创建策略
[R1-route-policy] if-match ip-prefix 1      匹配规则      
[R1-route-policy] apply community 101:1   
 给10.1.1.1 32 这条路由赋团体值 101:1

[R2] ip ip-prefix 1 permit 10.2.2.2 32
[R2] route-policy RF permit node 10
[R2-route-policy] if-match ip-prefix 1
[R2-route-policy] apply community no-expert additive
 给10.2.2.2 32 这条路由赋公有团体值,不向任何邻居发布路由。 

!!!![R2-bgp] peer 10.0.23.3 advertise-community  允许将团体属性传给EBGP。

[R1] bgp 101
[R1-bgp] peer 10.0.12.2 route-policy Community export
对10.0.12.2 发布的路由,执行策略团体赋值


[R3] ip community-filter 1 permit 101:1
[R3] route-policy Community deny node 10
[R2-route-policy] if-match community-filter 1
[R2] route-policy Community permit node 20   放行其他不匹配的路由
[R2] bgp 102 
[R2-bgp] peer 10.0.23.3 route-policy Community export

总结

匹配规则,

1.对路由、掩码过滤使用ip-prefix

2.对端口,协议,源目 使用acl

3. [AR1-s0/0/0]  traffic-filter  inbound  acl 30001  接口过滤

过滤载体

1.三个方面 import【不同协议互相引入】.peer【BGP】.network【宣告】调用策略 

2.万能的route-police,fliter-police【补充】,import-route 【大可不必】

你可能感兴趣的:(网络)