伪装网络工程师16——路由策略filter-policy与route-policy

时间 2020-06-19

标签伪装网络工程师路由策略 filter policy route 栏目系统网络繁體版

原文原文链接

1、背景介绍

以前的综合实验文章中能够看到，filter-policy与route-policy都能进行路由的过滤，但这两种策略却有着各自的使用场景，本文就来具体介绍下这两种策略的使用场景 node

2、filter-policy介绍

1.filter-policy工做模式

filter-policy工做在协议的进程下，从该命令的字面意思为过滤路由的更新信息，能够做用于进程的进出两个方向网络

[Huawei]ospf 1
[Huawei-ospf-1]?
filter-policy            Filtering in routing updates

filter-policy自己没法设置滤条件，须要调用其它过滤条件来完成路由信息过滤 app

[Huawei-ospf-1]filter-policy ?
  INTEGER<2000-2999>  Apply basic ACL
  acl-name            Specify the ACL name for filtering IPv4 routes
  ip-prefix           IP address prefix-list
  route-policy        Route policy

2.filter-policy使用场景

既然是过滤策略，那么它最经常使用在的地方就是网元设备的路由过滤上。以前说过filter-policy只能做用在ospf协议import方向时，提到过他不能做用于ospf协议的export方向，缘由就是他只能影响路由器的lsdb加表过程，但不会影响lsa信息，因此不能做用在export方向 ide

3、route-policy介绍

1.route-policy的工做模式

route-policy路由策略经常使用于路由重发布时的路由过滤或者更改已有的路由下一跳、开销等属性值。相似于acl，一个route-policy下也能够有多个节点，不一样节点使用node标识区分，不一样node之间是“或”的关系，在同一个node节点下：工具

能够有多个if-match和apply字句，多个if-match字句之间是“与”的关系

if-match字句能够引用其余的过滤工具

[R3-route-policy]if-match ?
acl                  Specify an ACL
as-path-filter       BGP AS path list
community-filter     Match BGP community filter
cost                 Match metric of route
extcommunity-filter  Match BGP/*** extended community filter
interface            Specify the interface matching the first hop of routes
ip                   IP information
ip-prefix            Specify an address prefix-list
ipv6                 IPv6 Information
mpls-label           Give the Label
rd-filter            Route-distinguisher filter
route-type           Match route-type of route
tag                  Match tag of route

route-policy在设置时一样有permit与deny模式，两种模式的做用分别为：测试

permit：当路由知足当前结点的if-match字句时，则被容许经过并执行apply字句，若是不知足当前结点的if-match字句，转到下一节点进行if-match匹配，若是全部节点都不知足，则丢弃
deny：当路由知足当前结点的if-match字句，将被拒绝经过，且不会进入下一个节点
2.route-policy过滤详解

用一个实例进行说明，条件以下图所示，则此时的过滤步骤为：
ui
1. 路由进入node 10，由于是deny语句，因此Pref1挑选中的1.1.2.0/24与5.5.5.5/32路由条目不会继续进入下一个节点
2. 除掉1.1.2.0/24与5.5.5.5/32，剩下的路由进入node 20，Pref2不挑选6.6.6.6/32，但没指定挑选哪一个，ip-prefix隐含所有挑选，因此尽管node 20是permit，但Pref2没有挑选中任何一条路由，此节点无任何操做
3. 除掉1.1.2.0/24与5.5.5.5/32，剩下的路由进入node 30，第一个if-match语句是要匹配acl 2001，因为acl不会区分掩码位数，因此1.1.3.0/24与1.1.3.0/25都被选中，其结果同时知足第二个if-match语句的结果，因此下一跳的13.13.13.1，并将cost值改成21
4. 除掉1.1.2.0/24，5.5.5.5/32；1.1.3.0/24，1.1.3.0/25（下一跳是13.13.13.1），剩下的路由进入node 40，选中的是1.1.3.0/25（下一跳是34.34.34.2），并将cost值改成11
5. 如今只剩下1.1.3.0/24（下一跳34.34.34.2）与6.6.6.6/32路由进入node 50，因为node 50没有设置if-match条件，且有事permit模式，因此容许剩下的全部路由经过
6. 最后，过滤后的路由条目如左下角所示（示例不对，缺乏6.6.6.6/32）
  4、实验
  
  网络拓扑以下图所示，其中R4上的环回接口没有宣告进ospf，使用impor-route引入，配合route-policy，承担abr的R3使用filter-policy进行路由过滤
  
  当基础配置完成后，在R2路由器的import方向使用filter-policy过滤，让R2只保留10.0.1.0/24路由 code
```
[R2]ospf 1
[R2-ospf-1]filter-policy ip-prefix A import 
[R2]ip ip-prefix A permit 10.0.1.0 24
```

此时查看R2的路由表，发现只剩10.0.1.0/24路由 orm

[R2]display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Public routing table : OSPF
         Destinations : 1        Routes : 1        
OSPF routing table status : <Active>
         Destinations : 1        Routes : 1
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
       10.0.1.0/24  OSPF    10   1           D   12.0.0.1        GigabitEthernet
0/0/0
OSPF routing table status : <Inactive>
         Destinations : 0        Routes : 0

但R3与R4上却依然有10.0.0.1/24网段的路由 blog

<R3>display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Public routing table : OSPF
         Destinations : 3        Routes : 3        
OSPF routing table status : <Active>
         Destinations : 3        Routes : 3
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
       10.0.0.0/24  OSPF    10   2           D   23.0.0.2        GigabitEthernet
0/0/1
       10.0.1.0/24  OSPF    10   2           D   23.0.0.2        GigabitEthernet
0/0/1
       12.0.0.0/24  OSPF    10   2           D   23.0.0.2        GigabitEthernet
0/0/1
OSPF routing table status : <Inactive>
         Destinations : 0        Routes : 0

这就印证了以前说的，他只能影响路由器的lsdb加表过程，但不会影响lsa信息，因此身为abr的R3仍是会将10.0.0.1/24网段汇总到3类lsa中向area 1中泛洪，当在R3的import方向使用filter-policy过滤，让R3只保留10.0.1.0/24路由，此时不只R3，连R4上也没有10.0.0.1/24网段，说明abr在向其余area发布3类lsa时，只会根据自己的路由表汇总后发出3类lsa

<R4>display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Public routing table : OSPF
         Destinations : 1        Routes : 1        
OSPF routing table status : <Active>
         Destinations : 1        Routes : 1
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
       10.0.1.0/24  OSPF    10   3           D   34.0.0.3        GigabitEthernet
0/0/0
OSPF routing table status : <Inactive>
         Destinations : 0        Routes : 0

为了测试R4上route-policy效果，首先删除R3上的filter-policy过滤策略

[R3-ospf-1]undo filter-policy ip-prefix A import

其次，定义一个名为A的route-policy策略，并将cost值改成99，此处if-math条件引用的是名为A的ip-prefix

[R4]route-policy A permit node 10  
[R4-route-policy]if-match ip-prefix A 
[R4-route-policy]apply cost 99

设置名为A的ip-prefix，让它只选取192.168.0.0/24网段

[R4]ip ip-prefix A permit 192.168.0.0 24

在ospf 1进程中使用import-route引入route-policy A

[R4]ospf 1
[R4-ospf-1]import-route direct route-policy A

此时在去R3上查看路由表，发现192.168.0.0/24网段表项为O_ASE，且cost值为99

[R3]display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Public routing table : OSPF
         Destinations : 4        Routes : 4        
OSPF routing table status : <Active>
         Destinations : 4        Routes : 4
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
       10.0.0.0/24  OSPF    10   2           D   23.0.0.2        GigabitEthernet
0/0/1
       10.0.1.0/24  OSPF    10   2           D   23.0.0.2        GigabitEthernet
0/0/1
       12.0.0.0/24  OSPF    10   2           D   23.0.0.2        GigabitEthernet
0/0/1
    192.168.0.0/24  O_ASE   150  99          D   34.0.0.4        GigabitEthernet
0/0/0
OSPF routing table status : <Inactive>
         Destinations : 0        Routes : 0

5、总结

上述内容能够总结为如下几点：

filter-policy经常使用在的地方就是网元设备的路由过滤上
oute-policy经常使用于路由重发布时的路由过滤或者更改已有的路由下一跳、开销等属性值
在ospf协议中，过滤只会影响lsdb的加表过程，不会影响到lsa，因此做用在路由器的import方向
若是ospf的边界路由器执行过滤，他只会对其余area泛洪自身已加表的路由