ospf路由信息过滤
说明:
ospf配置完后,如果不做路由过滤,所有经过宣告的地址都是互相可达的。
但在实际应用中,有些区域网段需要限制访问
例如:
R2可以访问R1的11.11.11.11/32,但是不允许R3访问
R3引入直连路由时只引入loop10,loop11和 loop12
匹配工具
1)acl访问控制列表(华为)
除了在接口下调用,acl的默认规则是permit any外;
其它场合下调用,acl的默认规则都是deny any
2)ip-prefix前缀列表
匹配或者筛选更灵活。先匹配前缀,后匹配掩码
调用工具或者过滤工具
1)filter(过滤3类lsa)
可以在ospf的 area下调用,可以在接口下调用
可以过滤3类lsa,不能过滤其它类型lsa
可以在通告区域的出方向过滤
可以在要接受的区域入方向过滤
需要配置在abr上
[R2]acl 2000
rule 10 deny source 11.11.11.11 0
rule 100 permit source any
//最底层默认规则是拒绝所有
ip ip-prefix 100 deny 11.11.11.11 32
ip ip-prefix 100 permit 0.0.0.0 0 less-equal 32
[R2]ospf 1
area 0 //在area 0 的出方向过滤3类lsa
filter 2000 export //可以调用acl
filter ip-prefix 100 export //也可调用ip-prefix实现
area 1 //也可以在其它区域(1 or 2)的入方向过滤
filter 2000 import
2)filter-policy(过滤3类lsa,5类)
在ospf进程下调用
可以调用acl,也可以调用ip-prefix
在abr的入方向上过滤3类,不5类lsa,但是可以阻止其生成去往外部的路由,特点不够灵活,过滤范围大
在asbr的出方向过滤5类lsa
入方向:filter-policy import
[R2]ospf 1
filter 2000 import //两种方式都可以,但需要在入方向
filter-policy ip-prefix 10 import
出方向:filter-policy export//仅配置在asbr
[R3]acl 2000
rule 5 deny source 100.0.1.0 0
rule 10 permit
[R3]ospf 1
filter-policy 2000 export //asbr上过了5类lsa
3)router-policy
既可以调用acl 和 ip-prefix
也可以被filter 或 filter-policy调用
可以在调用acl时,修改一些路由参数
用于引入外部路由时的过滤
[R3]acl 2000
rule 5 deny source 100.0.1.0 0
rule 10 permit
[R3]route-policy test permit node 10
if-match acl 2000
apply cost 200
[R3]ospf 1
import-route direct route-policy test
//abr上过了3类lsa
[R2]filter route-policy test import //跟上述filter调用acl,ip-prefix差不多,但是此命令是立即生效
//5类lsa此命令无法过滤
接口过滤方式
#模拟器在测试时,R2的0口上配置完后,R1上不会立马出效果
#需要登lsa老化完,3600秒
#R1上 reset ospf process 后立马出效果
#可以调用acl筛选要过滤的lsa,不支持调用ip-prefix
#可以过滤 3 5 7 all 种类的lsa
[R2]inte Gig0/0/0
ip address 10.0.12.2 255.255.255.0
ospf filter-lsa-out all //过滤所有类型lsa,包括1,2类型
ospf filter-lsa-out summary //过滤3类
ospf filter-lsa-out ase //过滤5类
ospf filter-lsa-out nssa //过滤7类
ospf filter-lsa-out summary ase nssa //过滤3 5 7类lsa
ospf filter-lsa-out summary ase acl 2010//调用筛选工具过滤
注意:接口下只能配置一条 filter-lsa-out ...