路由过滤的作用
控制路由的传播与生成 节省设备和链路资源消耗,保护网络安全
路由过滤的方法
- 过滤路由协议报文,对所有的路由进行过滤
- 过滤路由协议报文中携带的路由信息(过滤LSA)可指定过滤率某些路由,会影响下游所有的路由器
- 对LSDB计算出的路由信息进行过滤,可指定过滤某些路由
实施路由过滤的工具
【匹配工具】
- acl[访问控制列表]
- prefix-list[地址前缀列表]
【过滤工具】
- filter-policy:用于过滤计算出的路由信息,filter用于过滤协议报文传递带的路由信息
- Route-policy:用于过滤计算出的路由信息,用于修改路由属性
- 静默接口:用于过滤协议报文
静默接口 silent
RIP协议中,静默接口不发送路由更新 OSPF协议中,静默接口不发送Hello报文 大多数配置静默接口的场景是业务网段不希望收到协议报文的时候
地址前缀列表 prefix-list
基本上和ACL一样,但当规则中没有指定掩码长度时候,目的IP和掩码是精准匹配,只有目的IP和掩码一模一样的路由才会匹配 当规则中指定了掩码长度条件时,目的IP和掩码描述的是一个网络范围 配置流程
代码语言:javascript复制ip prefix-list [Name] index [序号] deny/permit [ip address] [netmask] greater-equal(大于等于) [netmask] less-equal(小于等于) [netmask]
例如:
ip prefix-list test permit 10.0.0.0 24 less-equal 32
#指的是所有10.0.0.0/24范围内的路由通过过滤,其他路由不能通过,子网掩码从24开始,并且小于32位子网掩码之间匹配filer-policy
可以通过与ACL或地址前缀列表配合使用 具体操作
代码语言:javascript复制[协议]filter-policy [acl number / perfix-name] import / export
例如:
acl basic [num]
rule [num] permit/deny [source/destination] 192.168.1.0 0.0.0.255
[协议]filer-policy [acl number] import / export
或者:
prefix-list [name] index [id] [address] [netmask] greater-equal / less-equal [netmask]
[协议]filer-policy prefix-list [name] import / export
