Filter-Policy简述

最新推荐文章于 2025-10-17 15:47:28 发布
原创 最新推荐文章于 2025-10-17 15:47:28 发布 · 2.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#路由器

技术背景

Filter-Policy(过滤一策略),也是一款经典的路由过滤工具,也可以将其视为一种路由过滤器。

Filter-Policy示例

  • 如下图所示:
    在这里插入图片描述
    (1)R1、R2及CO_SW运行了RIPv2,
    (2)CO_SW将服务器集群的网段发布到了RIP中,并将路由通过RIP通告给R1及R2,初始情况下,R1及R2都能学习到所有到达服务器集群网段的路由。

引入需求

要求R1下联的PC不能访问服务器集群中的192.168.2.0/24网段,但是仍可以访问其他服务器网段。

解决方法

  • 在CO_SW上部署Filter-Policy可以解决上述问题:将CO_SW通告给R1的RIP路由进行过滤,把192.168.2.0/24从路由更新中过滤掉,那么R1将无法再通过RIP获知到达192.168.2.0/24的路由,进而PC用户也就无法再通过R1访问该网段了。
  • 需要注意的是,Filter-Policy只能够对路由信息进行过滤,而无法对LSA进行过滤。Filter-Policy可以在RIP、OSPF、IS-IS以及BGP等常见的动态路由协议中应用。
路由策略(前缀列表,策略工具-filter-policy,策略工具-Router-policy,双点双向路由重发布)
weixin_74452917的博客
01-19 1676
就R3来说,他学到了两条去往10.1.1.1的路由,一条是通过R1通过引入ospf外部路由学到的(优先级为150),一条是通过R4的isis学到的(优先级为15),所以R3在去往10.1.1.1的时候默认去往了优先级更高的那边。现在这些我们做的只是从R1-R2-R4-R3的操作还有一种是R1-R3-R4-R2的操作,我们就如上操作R3将路由信息打上tag标签,R2进行tag过滤即可。1.在R3的ospf中因为isis路由时,通过router-policy过滤掉172.16.1.0/24的路由。
OSPF的过滤
weixin_55652336的博客
07-12 1056
目录 1.三类LSA的过滤 2.filter-policy 3.接口过滤LSA 1.三类LSA的过滤 1)filter area 0.0.0.0 filter 2000 import /export /注意2000是ACL名字 acl number 2000 rule 10 deny source 10.9.9.9 0 rule 20 permit 该工具只能在ABR上使用,因为三类只产生在ABR上 2)汇总过滤 area 0.0.0.1 abr-s...
为什么 filter-policy 仅对 ASBR 的出方向生效,且即使在该生效场景下,被过滤的路由在协议内部(如协议数据库)依然存在,没有被彻底移除?
最新发布
A516988的博客
10-17 816
华为数通笔记-路由策略
qq_45959697的博客
04-07 7217
简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1.控制路由的接收和发布,只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2.控制路由的引入,在一种路由协议引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3.设置特定路由的属性,修改通过路由策略过滤的路
Filter-Policy
热门推荐
LiBai'S BLOG
01-27 1万+
路由策略 通过一系列工具或方法对路由进行各种控制的“策略”。 影响路由的产生、发布、选择等,进而影响报文的转发路径。 目的 Filter-Policy路由策略Filter-Policy应用场景距离矢量(RIP)配置案例链路状态(OSPF)配置案例 Filter-Policy 路由过滤工具,只能过滤路由,无法过滤LSA,不能修改路由属性。 应用各协议中的Filter-Policy工具可通过引用ACL或地址前缀列表,对接收、发布和引入的路由进行过滤。 对于距离矢量协议和链路状
计算机网络-Filter-Policy过滤策略
Linux基础知识、计算机网络基础学习分享。
05-17 1743
以最常见的OSPF为例,各路由器通过交互LSA,自行计算出最优路由加入路由表,因此过滤列表是在交互完LSA,计算出路由后,加入路由表这个过程进行过滤。Filter-Policy(过滤-策略)是一个很常用的路由信息过滤工具,能够对接收、发布、引入的路由进行过滤,可应用于IS-IS、OSPF、BGP等协议。如图所示,R1、R2、R3之间运行BGP路由协议,路由在各个设备之间传递,当需要根据实际需求过滤某些路由信息的时候可以使用Filter-Policy实现。在AR2的G0口import方向。
路由策略【ospf】【route-policy】【filter-policy】【ip-prefix】综合实验 精讲
talesofsd的博客
06-30 2755
节点号,用于标记策略路由的编号,ID 的取值范围为 2 types(0~65535),类似于 ACL 中的 rule,类似于前缀列表的 index。2、如果一个 Node 节点中有多个 if-match,那么他们之间是逻辑与关系,也就是说,所有规则都必须匹配才能使策略生效。:在 route-policy 视图中是不显示 node 编号的,所以一定要清楚自己进入的是哪个 node,然后再进行配置。# 在实际工作中,如果不配置兜底策略,后续的加入路由条目都会被隐式拒绝。
流策略【ospf】【filter-policy】【ip-prefix】组合实验 精讲
talesofsd的博客
06-29 1323
创建 ip-prefix,命名为 STO(Static To Ospf,静态路由 --> OSPF),并配置允许通过和阻止通过的路由条目。# 创建 ip-prefix,命名为 OTS(Ospf To Static,OSPF --> 静态路由),并配置允许通过和阻止通过的路由条目。5 条路由全部都学到了,且类型为 O_ASE,O 代表 OSPF,ASE 代表从 5 类 LSA 学习,符合结果。:索引号,类似于 acl 的 rule 编号,默认步长为 10,匹配顺序从小到大依次匹配,并且唯一匹配。
路由策略(acl、IP-prefix、route-policy
qq_52256714的博客
10-07 2760
数据层流量传递不携带子网掩码 控制层流量传递携带子网掩码
路由控制过滤策略实验简述I
weixin_42185241的博客
03-23 1839
路由控制过滤策略实验简述I
OSPF LSA过滤简述
weixin_33709364的博客
11-16 2338
第1章OSPF LSA过滤简述 OSPF的过滤有两种,一种是对路由表的过滤,这种方式只对配置过滤的路由器起作用,不能阻止LSA的泛洪,因此也不能影响其他路由器生成路由,filter-policy import(VRP) /distribute-list in(IOS);另一种是对LSA的过滤,这种方式其实并不是对LSA过滤,只是阻止LSA的生...
filter-policy应用实验(华为设备)
tushanpeipei的博客
01-20 6430
概述: filter-policy:过滤策略,该工具主要应用在路由协议的进程中,可以调用ACL、ip-prefix、route-policy 等工具来匹配路由,用于控制对路由的发布或接收,只有通过该策略的路由才可以被发布或者接收,未通过策略的路由则被过滤掉。应用场景比较广泛,在IGP和BGP协议中都能够使用,filter-policy分为import(入方向)和export(出方向)。 import:主要影响路由器接收路由,影响自身路由表的变化,适合于任何路由协议,但是不同类型的路由协议也是有差别的,如距离
filter-policy过滤策略
2402_89174705的博客
01-26 1357
可以用来过滤路由,但无法过滤LSA,不能修改路由属性。RIP是距离矢量很简单,只需要对过滤路由的发布和接收即可。OSPF是链路状态,只有LSA5/7出方向可以过滤。根据上图我们来分析几种场景:如果RIP在接收时就被过滤了,那么RIP 路由表就没有了,进行路由引入后LSDB里也没有,OSPF路由表也没有后续都没有。如果RIP在接收时没有被过滤,但是在LSDB到OSPF路由表的“入”被过滤了,OSPF路由表就没有了只会影响到LSA3的后续。
网工笔记整理:策略工具Filter-policy的使用
2301_76170756的博客
10-13 3659
Filter-Policy(过滤-策略)是一个很常用的路由信息过滤工具,能够对接收、发布、引入的路由进行过滤,可应用于IS-IS、OSPF、BGP等协议。
filter-Policy 实验
weixin_34067049的博客
09-30 1401
filter-policy 作用:过滤策略,该工具主要应用于路由协议的进程中,可以调用 ACL、前缀列表和Route-policy等工具来匹配路由,用于控制对路由的发布或接收,只有通过该策略的路由才可以被发布或者接收,未通过策略的路由则被过滤掉 import:主要影响路由器接收路由,影响自身路由表的变化,适合于任何路由协议。但不能过滤LSA1/2 。3.export:在距离矢量路由协议中用于向邻...
filter_policy
hintonic的专栏
10-10 491
// Copyright (c) 2012 The LevelDB Authors. All rights reserved. // Use of this source code is governed by a BSD-style license that can be // found in the LICENSE file. See the AUTHORS file for names o
华为网路设备学习-21 IGP路由专题四 路由过滤(filter-policy
qq_38632269的博客
05-08 1461
1、用于控制路由更新、接收的一个工具2、只能过滤路由信息,无法过滤LSA。
Filter-Policy基础配置实验
qq_51562406的博客
01-16 1055
拓扑如下: 实验要求:蓝框内全局运行rip,那么必然三台路由器都会学到全网的路由,现在网络需求是不希望R2再从R1学习到RIP路由192.168.22.0/24(即pc2网段)。 各设备配置如下: #AR1 <AR1>undo t m Info: Current terminal monitor is off. <AR1>sys Enter system view, return user view with Ctrl+Z. [AR1]int g0/0/0 [AR1-G
通过filter对OSPF接收的路由过滤(区域间),例如RIP路由引入到ospf区域0中,R3是ABR,在区域1中过滤掉RIP路由中的某网段,区域1内路由器全部都过滤
09-09
<think> 首先,用户的问题是:想查找通过filter对OSPF接收的区域间路由进行过滤的方法,具体是在RIP路由引入到ospf区域0,R3为ABR的情况下,在区域1内过滤掉RIP路由中的某网段,使区域1内路由器都实现过滤。 关键点: - 过滤发生在OSPF接收的区域间路由。 - RIP路由被引入到OSPF区域0。 - R3是ABR(Area Border Router)。 - 过滤要在区域1内实现,使区域1内的所有路由器都过滤掉某个网段。 引用信息回顾: - 引用[1]:提到在引入路由时使用路由策略过滤,如`import-route rip 1 route-policy GOK`。 - 引用[2]:讨论filter-policy的使用,如`filter-policy import`在OSPF进程下调用,可以过滤3类LSA(区域间路由)。 - 引用[3]:提到使用prefix-list和area filter-list来过滤summary LSA(3类LSA),在ABR上配置。 - 引用[4]:提到filter-policy在入方向或出方向使用,针对控制层面的流量。 用户要求过滤区域间路由,具体是RIP引入的、在区域1接收的路由。OSPF中,区域间路由通过3类LSA(Summary LSA)传播。 解决方案: - 由于过滤是针对区域间路由的接收,在区域1内过滤掉特定网段。 - ABR R3将区域0的路由(包括引入的RIP路由)转换为3类LSA发送到区域1。 - 要在区域1内过滤这些路由,应该在ABR R3上配置过滤,阻止特定路由的3类LSA被发送到区域1。 参考引用: - 引用[3]中提到:`area area-id filter-list prefix prefix-list-name out` 可以用来在ABR上过滤Summary LSA的发送。 - 具体命令:`area area-id filter-list prefix prefix-list-name out`,这可以阻止ABR将匹配的路由生成Summary LSA发送到其他区域。 - 引用[2]中提到:filter-policy import可以过滤3类LSA的接收,但用户希望在发送端过滤以确保区域1所有路由器都过滤。 最佳方法: - 在ABR R3上配置,使用`area filter-list out`命令过滤发送到区域1的3类LSA。 - 步骤: 1. 创建一个prefix-list或ACL来匹配需要过滤的网段。 2. 在OSPF进程中,针对区域1配置`area filter-list prefix prefix-list-name out`。 例如: - 假设要过滤的网段是10.0.1.0/24。 - 在R3上配置: ```bash ip prefix-list FILTER-RIP deny 10.0.1.0/24 ip prefix-list FILTER-RIP permit 0.0.0.0/0 le 32 // 允许其他所有 ``` 然后: ```bash router ospf 1 area 1 filter-list prefix FILTER-RIP out ``` 这样,R3在发送Summary LSA到区域1时,会过滤掉匹配的网段。 替代方法: - 使用`filter-policy export`在OSPF进程中过滤,但引用[2]提到`filter-policy export`仅配置在ASBR上用于过滤5类LSA。这里是区域间路由,所以更适合ABR过滤3类LSA。 - `filter-policy import`可以在区域1的路由器上配置,但这需要在每个路由器上都设置,用户希望所有区域1路由器都过滤,所以最好在ABR源头过滤。 用户场景: - RIP路由引入到OSPF区域0(R3是ABR,可能也是ASBR?)。 - 在区域1过滤接收到的路由。 - 通过在R3上过滤发送到区域1的Summary LSA来实现。 回答结构: 1. 解释问题:用户想在区域1过滤RIP引入的路由,方法是过滤OSPF区域间路由(3类LSA)。 2. 推荐方法:在ABR R3上使用`area filter-list out`命令。 3. 步骤: - 创建prefix-list定义过滤规则。 - 在OSPF配置中应用。 4. 确保区域1所有路由器都会收到过滤后的路由表。 生成相关问题: - 根据用户查询,生成相关OSPF过滤问题。 系统级指令: - 所有数学表达式用$...$。 - 独立公式用$$...$$。 - 使用中文。 - 引用末尾添加引用标识。 - 生成相关问题。 回答: - 开头:简述用户问题。 - 主体:详细解释方法,步骤清晰。 - 结尾:生成相关问题。 </think> ### OSPF区域间路由过滤方法 根据您的查询,您希望在OSPF网络中过滤区域间路由,具体场景是:RIP路由被引入到OSPF区域0(Area 0),R3作为ABR(Area Border Router),您需要在区域1(Area 1)内过滤掉RIP路由中的某个特定网段(例如10.0.1.0/24),并确保区域1内的所有路由器都无法学习到该网段的路由。 OSPF区域间路由通过3类LSA(Summary LSA)传播。R3作为ABR,负责将区域0的路由(包括引入的RIP外部路由)转换为3类LSA并通告到区域1。要在区域1内实现全网段的过滤,最有效的方法是**在ABR R3上配置过滤,阻止特定路由的3类LSA被发送到区域1**。这样,区域1的所有路由器都不会接收到该网段的LSA,从而统一实现过滤[^2][^3]。 #### 推荐方法:在ABR R3上使用 `area filter-list out` 命令 此方法直接在ABR源头过滤3类LSA的生成和发送,确保区域1不会接收到特定网段的路由信息。配置步骤如下: 1. **创建前缀列表(Prefix List)定义过滤规则**: - 使用 `ip prefix-list` 匹配需要过滤的网段(例如10.0.0.0/16网段中的10.0.1.0/24)。允许其他路由通过。 - 示例配置(在R3上执行): ```bash ip prefix-list FILTER-RIP deny 10.0.1.0/24 # 拒绝特定网段 ip prefix-list FILTER-RIP permit 0.0.0.0/0 le 32 # 允许所有其他路由 ``` 这里: - `deny 10.0.1.0/24` 指定要过滤的网段。 - `permit 0.0.0.0/0 le 32` 允许所有剩余路由,避免误过滤。 2. **在OSPF进程中应用过滤规则**: - 使用 `area filter-list prefix prefix-list-name out` 命令,在ABR R3的OSPF配置下指定针对区域1的出口过滤。 - 示例配置(在R3上执行): ```bash router ospf 1 area 1 filter-list prefix FILTER-RIP out # 对区域1的出方向过滤 import-route rip 1 # 引入RIP路由(已在区域0) ``` 这里: - `area 1 filter-list prefix FILTER-RIP out` 确保R3在生成3类LSA发送到区域1时,跳过匹配的网段。 - `import-route rip 1` 假设RIP路由已正确引入区域0(如果未配置,请添加此命令)。 #### 工作原理和效果 - **为什么在ABR上过滤?** ABR负责生成区域间路由的3类LSA。通过在R3上配置出方向过滤: - R3不会将匹配的网段(如10.0.1.0/24)包含在发送到区域1的Summary LSA中。 - 区域1内的所有路由器(如R1、R2等)都接收不到该网段的LSA,因此在路由表中自动过滤掉该路由[^3]。 - 此方法无需在区域1的每个路由器上单独配置,确保全网一致性。 - **与替代方法比较**: - **`filter-policy import`**:可以在区域1的路由器上配置入方向过滤(如 `filter-policy ip-prefix FILTER-RIP import`),但这需要在每个路由器上单独设置,管理开销大,且可能遗漏部分设备[^2][^4]。 - **`filter-policy export`**:主要用于ASBR过滤5类LSA(外部路由),不适合区域间路由过滤[^2]。 - **路由引入过滤**:在引入RIP路由时使用 `import-route rip route-policy` 可以过滤路由,但仅影响外部路由(5类LSA)的生成,对已存在于区域0的区域间路由无效[^1]。 #### 验证和注意事项 - **验证命令**: - 在区域1的路由器上运行 `display ip routing-table`,检查10.0.1.0/24网段是否不存在。 - 在R3上运行 `display ospf lsdb summary`,确认发送到区域1的Summary LSA不包含过滤网段。 - **注意事项**: - 确保prefix-list正确匹配目标网段(如掩码长度精确)。 - 如果RIP网段是通过区域0引入的,确保 `import-route` 配置无误。 - 此方法仅过滤区域间路由(3类LSA),不影响区域内路由或外部路由过滤需求[^3][^4]。 通过以上配置,R3作为ABR将在源头阻止特定RIP网段传播到区域1,实现全网过滤[^2][^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值