48小时系统班试听入口

【网工知识点】OSPF路由过滤

发布作者:新盟教育 发布日期:2022-09-13 浏览人数:3645人

网工知识点

分发列表

分发列表是一种操作路由表显示路由条目 使用时不太推荐,有局限性(本路由器过滤的路由不会影响下游路由器)。

distribute-list分发列表是用于控制路由更新的一个工具,只能过滤路由信息,不能过滤LSA。所以说对距离矢量路由协议比较适用,如:RIP、EIGRP。像OSPF 链路状态路由协议,IN方向(影响本地路由表,但LSDB里是有的),OUT方向不起作用; 但对本地始发路由可以过滤,原因是通过路由的重分发,而不是LSA传递。

过滤方式不是针对哪个接口的In,而是针对是否要写入核心路由表,而且该命令只会干掉核心路由表,但是LSA依然会存储在路由器的ram里面。

什么是核心路由表,就是自己的show ip route显示的路由表,这种方法在OSPF中,算是比较粗暴的方法,只能自己干自己。对别人不起作用。

案例(单一路由环境下-ospf)


① R2(config)# access-list 1 deny 192.168.3.0。

② R2(config)# access-list 1 permit any。

③ R2(config)# router ospf 1。

④ R2(config-router)# distribute-list 1 in fa0/0。

注意这时候,首先在R2的路由表里,3.0的路由就被干掉了。注意,这时候实际上,area内OSPF路由器产生的LSA已经是装载到了R2的OSPF database之中,而在R2从OSPF database中计算路由,并准备将路由条目装载进路由表之前,in方向的分发列表发生作用了,将3.0的路由过滤掉了,因此R2的路由表中,是没有3.0的OSPF路由的。

但是,虽然R2自己路由表里没3.0路由,这不妨碍R2将相关LSA泛洪给R3,因此,R3仍然是有1.0、2.0、3.0以及12.0的OSPF路由的。

案例(单一路由环境下-OSPF out方向分发列表)


分发列表,部署在OSPF这样的链路状态路由协议中,如果要用out方向,则只能用在这样的场合。如上图,在R1上部署,R1使用重发布直连的方式引入这三条外部路由,那么out方向的分发列表,只能在R1上部署,且对这三条路由产生作用。

① R1(config)# access-list 1 deny 192.168.3.0。


② R1(config)# access-list 1 permit any。


③ R1(config)# router ospf 1。


④ R1(config-router)# redistribute connected subnets。


⑤ R1(config-router)# network 192.168.12.1 0.0.0.0 area 0。


⑥ R1(config-router)# distribute-list 1 out。


上述配置实现后,R1将过滤掉3.0路由。


前缀列表

prefix-list:专门用于抓取控制层面流量–只能为发布列表、route-map服务;前缀列表的可控性比访问列表高得多,支持增量修改,更为灵活。

判断路由前缀与前缀列表中的前缀是否匹配。

前缀列表包含序列号,从最小的开始匹配,默认序列为8,以5增加可以使用序号插入。

如果前缀不与前缀列表中的任何条目匹配,将被拒绝。

  • A 类:0 开头的 0 0000000

  • B 类:10 开头的 10 000000

  • C 类:110 开头的 110 00000


/24 24 是长度,既前面24位固定。

用Le ge定义掩码,如果没有ge和le则网络掩码就是/后面的数字。

规则:len < ge-value <= le-value。

匹配规则:至上而下逐一匹配,上条匹配按上条执行,不查看小条;末尾隐含拒绝所有;

r3(config)#ip prefix-list xx permit 1.1.1.0/23r3(config)#ip prefix-list xx permit 2.2.2.0/24 le 30 掩码范围 24-30r3(config)#ip prefix-list xx permit 3.3.3.0/24 ge 30 掩码范围 30-32r3(config)#ip prefix-list xx permit 4.4.4.0/24 ge 25 le 30 25-30


默认路由既缺省路由,主机路由掩码是 32 位。

r3(config)#ip prefix-list xx permit 0.0.0.0/0 ge 32 匹配所有的主机路由
r3(config)#ip prefix-list xx permit 0.0.0.0/1 ge 8 le 8 匹配所有的 A 类地址
r3(config)#ip prefix-list xx permit 128.0.0.0/2 ge 16 le 16 匹配所有 B 类地址
r3(config)#ip prefix-list xx permit 192.0.0.0/3 ge 24 le 32 匹配所有 C 类及 C 类子网
r3(config)#ip prefix-list xx seq 12 deny 9.9.9.0/24
也可以随意删除条目;
r3(config)#ip prefix-list xx permit 0.0.0.0/0 le 32 允许所有


针对ospf:

  • Router(config-router)# area area-id filter-list prefix prefix-list-name in。
    用来在ABR上作summary lsa过滤,如果是骨干区域(非骨干区域),就阻止从该区域转换到其他非骨干区域(骨干区域)符合特定条件的summary lsa生成,过滤彻底。

  • Router(config-router)# area area-id filter-list prefix prefix-list-name out。


area x range xx not-advertise

1. 汇总和明细都不通告来过滤明细路由(明细都不通告)。

2. 用来在ABR上summary lsa做过滤,如果是骨干区域(非骨干区域),就防止从该区域转换到其他非骨干区域(骨干区域)符合特定条件的summary lsa生成,类似filter-policy export(area)命令的作用,但又有点区别,该命令只对本区域的区域内路由作过滤不对区域间路由做过滤。(原因是:这条命令是聚合命令,目前我们VRP和IOS的聚合命令的实现是只对本区域的路由做聚合而不对区域间路由做聚合,所以说abr-summary not-advertise这条命令实际只是对本区域的区域内路由起过滤作用。)


3. 对应IOS命令为:Router(config-router)#area 10 range 1.1.1.0 255.255.255.0 no-advertise。

在R2上配置abr-summary过滤1.1.1.1/32的summary lsa。

[R2-ospf-1-area-0.0.0.100]abr-summary1.1.1.1255.255.255.255 not-advertise。

配置后在R3上查看lsa,发现已经没有了1.1.1.1的lsa信息。


route-map


  • 在R2上做route-map拒绝R1的192.168.10.0/24和192.168.11.0/24。

  • access-list 101 permit ip 192.168.10.0 0.0.0.255 any。

  • access-list 101 permit ip 192.168.11.0 0.0.0.255 any //抓流量。

  • route-map ccie deny 10 小动作拒绝。

  • match ip address 101 匹配acl101。

  • route-map ccie permit 20 大动作空表允许所有流量。

  • redistribute rip metric-type 1 subnets route-map ccie //重发布时调用route-map。


补充Track

track 1 ip sla 1 //定义一个track监控,监控的对象是lsa探针。

  • Ip sla 1 /定义一个sla探针。

  • Ip sla auto dsicovery。

  • Icmp-echo10.1.13.3定义一个ping探针。

  • Ip sla schedule 1 life forever start-time now设置探针生效时间和开始时间。

  • Ip route 10.10.1.1 255.255.255.255 10.3.1.3 track 1 //如果track1监控成功那么路由生效,否则失效。


推荐阅读

>>>【独家首发】新版HCIE考试解读直播回顾

>>> 重磅!华为HCIE认证改版升级通知!

>>>【命令解析】Linux用户行为的常用命令

>>> 网工必备通信基础知识,还不知道你就out了?

>>>【必备干货】网工入门必会桥接教程,外网+GNS3+Vmware

>>>【技术指南】5分钟搞清楚OSPF链路状态路由协议


网工界市场认可度极高的华为认证,你考了吗?


拿下华为HCIE认证之后,你可以:


  • 跨越90%企业的招聘硬门槛

  • 增加70%就业机会

  • 拿下BAT全国TOP100大厂敲门砖

  • 体系化得到网络技术硬实力

  • 技术大佬年薪可达30w+


客服电话 15822722968 邮箱 799830458@qq.com 地址 天津市红桥区光荣道157号宝能创业中心2号楼-1、2门-907号
官方公众号
商务合作