IP-Prefix、路由过滤

113 阅读2分钟

IP-Prefix

  • IP前缀列表(IP-Prefix List)是将路由条目的网络地址、掩码长度作为匹配条件的过滤器,可在各路由协议发布和接收路由时使用
  • 不同于ACL,IP-Prefix List能够同时匹配IP地址前缀长度以及掩码长度

image.png

  • ip-prefix-name:地址前缀列表名称
  • 序号:本匹配项在地址前缀列表中的序号,匹配时根据序号从小到大进行顺序匹匹配
  • 动作:permit/deny,地址前缀列表的匹配模式
  • IP网段与掩码:匹配路由的网络地址,以及限定网络地址的前多少位需严格匹配
  • 掩码范围:匹配路由前缀长度,掩码长度的匹配范围大于等于24小于等于26

image.png

路由过滤

image.png

OSPF

在一个AS内部过滤60.1.1.1/32,需要在AR5上import,在AR6上export是无效的

#
 acl number 2000  
 rule 5 deny source 60.1.1.1 0 
 rule 10 permit 
#
ospf 1 
 filter-policy 2000 import
 area 0.0.0.0 
 area 0.0.0.1 
#

image.png

现在将60.1.1.1/32不宣告进OSPF,然后在OSPF内import这条直连路由,然后在AR6上执行,此时会过滤改路由

#
 acl number 2000  
 rule 5 deny source 60.1.1.1 0 
 rule 10 permit 
#
ospf 1 
 filter-policy 2000 export
 area 0.0.0.0 
#

image.png

过滤60.1.1.1/32的LSA,在AR5上执行

#
acl number 2000  
 rule 5 deny source 60.1.1.1 0 
 rule 10 permit
#
ospf 1 
 area 0.0.0.0 
 area 0.0.0.1 
  filter 2000 import 
#

image.png

ISIS

与OSPF一样,过滤10.1.1.1/32,要在AR2上执行

#
acl number 2000  
 rule 5 deny source 10.1.1.1 0 
 rule 10 permit 
#
isis 1
 network-entity 49.0000.0000.0000.0002.00
 filter-policy 2000 import 
#

image.png

现在将10.1.1.1/32不宣告进ISIS,然后在ISIS内import这条直连路由,然后在AR1上执行,此时会过滤改路由

#
acl number 2000  
 rule 5 deny source 10.1.1.1 0 
 rule 10 permit 
#
isis 1
 is-level level-1
 network-entity 49.0000.0000.0000.0001.00
 filter-policy 2000 export 
 import-route direct level-1 
#

image.png

BGP

在AR3上import或者在AR4上export

#
acl number 2000  
 rule 5 deny source 40.1.1.1 0 
 rule 10 permit 
#
bgp 100
 peer 23.1.1.2 as-number 100 
 peer 34.1.1.4 as-number 200 
 #
 ipv4-family unicast
  undo synchronization
  filter-policy 2000 import
  peer 23.1.1.2 enable
  peer 23.1.1.2 next-hop-local 
  peer 34.1.1.4 enable
#

image.png