3.0.0 라우팅 도구 라우터 정책, acl 목록과 ip-접두사 접두사 목록의 차이점, 필터 목록 필터 정책
목차
IP 접두사 접두사 목록
접두사 목록은 IP 주소 접두사와 마스크 길이를 동시에 일치시킬 수 있으며 목록의 기본 동작은 거부입니다.
접두사 목록이 생성되는 방법:
(1) 네트워크 세그먼트의 경로와 정확히 일치:
"192.168.0.0/24의 경로와 일치
[AR1]ip ip-prefix 1 permit 192.168.0.0 24
(2) 네트워크 세그먼트의 마스크 범위 일치
》라우팅 접두사가 192.168이고 마스크가 30~32인 라우팅 항목을 일치시킵니다.
[AR1]ip ip-prefix 2 permit 192.168.0.0 16 greater-equal 30 less-equal 32
(3) 명령어 소개
일반 사용법:
ip ip-prefix 前缀列表名称 动作(permit/deny) 匹配路由 匹配前缀
고급 사용법:
ip ip-prefix 前缀列表名称 动作 匹配路由 匹配前缀 greater-equal 掩码大于等于多少 less-equal 小于等于多少
구문 분석 명령:
ip ip-prefix 前缀列表名称 动作 192.168.0.0 16 greater-equal 30 less-equal 32
匹配路由前缀为192.168,且掩码大于等于30小于等于32的路由条目。
접두사 목록 및 ACL
ACL 액세스 제어 목록은 트래픽 일치 및 제어에 사용되지만 라우팅 항목을 일치시키는 데에도 사용할 수 있습니다.
접두사 목록은 주로 경로 일치에 사용되므로 일치 경로에서 접두사 목록이 ACL보다 훨씬 낫습니다.
접두사 목록과 ACL의 차이점 :
1. ACL이 라우팅 마스크와 일치할 수 없습니다.
2. ACL은 정확한 경로와 일치할 수 없습니다.
예: 192.168.1.0/24 및 192.168.1.0/16 의 두 경로가 있습니다.
ACL이 192.168.1.0/16에만 일치하는 경우 다음과 같이 작성해야 합니다.
[AR1] acl 2000
[AR1-acl-basic-2000] 규칙 허용 소스 192.168.1.0 0.0.255.255그러나 여전히 192.168.1.0/24의 경로와 일치한다는 것을 알 수 있습니다.
이는 ACL이 와일드카드를 사용하여 경로 접두사만 일치시킬 수 있고 경로 마스크는 일치시킬 수 없기 때문입니다.
따라서 마스크는 다르지만 접두사 가 같은 두 개의 경로가 ACL에 의해 동시에 일치될 수 있습니다.
3. ACL은 데이터 패킷을 필터링할 수 있지만 접두사 목록은 경로만 일치시킬 수 있습니다.
라우터 정책 라우팅 전략
기능 : 특정 라우팅 항목에 대한 속성을 변경합니다.
라우팅 정책, 즉 라우팅 관련 속성을 수정합니다.
그리고 또 다른 기술: 정책 라우팅, 즉 역할은 라우팅을 직접 제어하는 것입니다.
라우팅 정책은 어떻게 적용됩니까 ?
1. 먼저 경로를 일치시키고 ACL, IP 접두사 및 기타 일치 기술을 적용하여 관련 경로를 일치시킵니다.
2. 일치 하는 라우팅 비용 및 태그 수정과 같은 속성 수정 .
3. 전략 적용 라우팅 전략이 생성된 후 라우팅 수정이 필요한 경우 전략을 참조할 수 있습니다.
다음으로 작업 예제를 통해 라우팅 전략을 더 자세히 이해해 보겠습니다.
라우팅 정책을 적용하여 경로 필터링
1. 환경 소개
AR6은 AR7과 OSPF 인접성을 설정하고 AR6은 모든 루프백 인터페이스를 네트워크로 가져옵니다 .
2. OSPF 구성
AR6
[AR6]int g0/0/0
[AR6-GigabitEthernet0/0/0]ip add 10.1.67.6 24
[AR6-GigabitEthernet0/0/0]int lo 0
[AR6-LoopBack0]ip add 192.168.0.254 24
[AR6-LoopBack0]int lo 1
[AR6-LoopBack1]ip add 192.168.1.254 24
[AR6-LoopBack1]int lo 2
[AR6-LoopBack2]ip add 192.168.2.254 24
[AR6-LoopBack2]int lo 3
[AR6-LoopBack3]ip add 192.168.3.254 24
[AR6-LoopBack3]q
[AR6]ospf 1 router-id 6.6.6.6
[AR6-ospf-1]a 0
[AR6-ospf-1-area-0.0.0.0]network 10.1.67.6 0.0.0.0
[AR6-ospf-1-area-0.0.0.0]q
[AR6-ospf-1]import-route direct
AR7
[AR7]int g0/0/0
[AR7-GigabitEthernet0/0/0]ip add 10.1.67.7 24
[AR7-GigabitEthernet0/0/0]q
[AR7]ospf 1 router-id 7.7.7.7
[AR7-ospf-1]a 0
[AR7-ospf-1-area-0.0.0.0]network 10.1.67.7 0.0.0.0
OSPF 설립 확인
[AR7]display ospf peer br
OSPF Process 1 with Router ID 7.7.7.7
Peer Statistic Information
----------------------------------------------------------------------------
Area Id Interface Neighbor id State
0.0.0.0 GigabitEthernet0/0/0 6.6.6.6 Full
----------------------------------------------------------------------------
[AR7]display ip routing-table protocol ospf
------------------------------------------------------------------------------
Destination/Mask Proto Pre Cost Flags NextHop Interface
192.168.0.0/24 O_ASE 150 1 D 10.1.67.6 GigabitEthernet0/0/0
192.168.1.0/24 O_ASE 150 1 D 10.1.67.6 GigabitEthernet0/0/0
192.168.2.0/24 O_ASE 150 1 D 10.1.67.6 GigabitEthernet0/0/0
192.168.3.0/24 O_ASE 150 1 D 10.1.67.6 GigabitEthernet0/0/0
3. 필터 라우팅
라우팅 정책을 사용하여 AR6에서 가져온 경로를 필터링 하고 Lop0 및 Lop1 의 경로를 필터링합니다 .
다음 두 가지 방법 중 하나를 선택합니다.
(1) ACL 매칭 라우팅 모드 필터링
매치 리스트 생성
# 匹配出Lop1、Lop2的路由
[AR6]acl 2000
[AR6-acl-basic-2000]rule permit source 192.168.0.0 0.0.0.255
[AR6-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
정책 만들기 vs 정책 적용
# denylop12为路由策略的名称,deny为动作,node为表示策略匹配顺序
# if-match用于指定匹配列表
[AR6]route-policy denylop12 deny node 5
[AR6-route-policy]if-match acl 2000
[AR6-route-policy]q
# 先进行拒绝某些路由,最后再放行没有匹配到的路由即可
# 当没有指定if-match表示匹配所有的路由
[AR6]route-policy denylop12 permit node 10
[AR6-route-policy]q
# 应用策略在引入路由的时候过滤
[AR6]ospf 1
[AR6-ospf-1]import-route direct route-policy denylop12
필터링 결과를 보면 Lop2와 Lop3만 남습니다.
<AR7>display ip routing-table protocol ospf
------------------------------------------------------------------------------
Destination/Mask Proto Pre Cost Flags NextHop Interface
192.168.2.0/24 O_ASE 150 1 D 10.1.67.6 GigabitEthernet0/0/0
192.168.3.0/24 O_ASE 150 1 D 10.1.67.6 GigabitEthernet0/0/0
(2) 접두사 목록 매칭 라우팅 방식 필터링
매치 리스트 생성
[AR6]ip ip-prefix denylop12 permit 192.168.0.0 24
[AR6]ip ip-prefix denylop12 permit 192.168.1.0 24
# 对于ACL与前缀列表的创建,没有指定Node步长的时候都是有默认值的,不会发生覆盖的情况。
# 查看前缀列表的信息
[AR6]dis ip ip-prefix denylop12
Prefix-list denylop12
Permitted 0
Denied 0
index: 10 permit 192.168.0.0/24
index: 20 permit 192.168.1.0/24
정책 만들기 vs 정책 적용
# denylop12为路由策略的名称,deny为动作,node为表示策略匹配顺序
# if-match用于指定匹配列表
[AR6]route-policy denylop12 deny node 5
[AR6-route-policy]if-match ip-prefix denylop12
[AR6-route-policy]q
# 先进行拒绝某些路由,最后再放行没有匹配到的路由即可
# 当没有指定if-match表示匹配所有的路由
[AR6]route-policy denylop12 permit node 10
[AR6-route-policy]q
# 应用策略在引入路由的时候过滤
[AR6]ospf 1
[AR6-ospf-1]import-route direct route-policy denylop12
필터링 결과를 보면 Lop2와 Lop3만 남습니다.
<AR7>display ip routing-table protocol ospf
------------------------------------------------------------------------------
Destination/Mask Proto Pre Cost Flags NextHop Interface
192.168.2.0/24 O_ASE 150 1 D 10.1.67.6 GigabitEthernet0/0/0
192.168.3.0/24 O_ASE 150 1 D 10.1.67.6 GigabitEthernet0/0/0
라우팅 전략에 대한 지식 포인트는 무엇입니까?
경로를 일치시키는 작업에 있지만 이전 전략은 단순한 일치 작업만 사용하고 경로의 속성을 수정하지 않습니다.
라우팅 정책은 라우팅 속성을 수정합니다.
여기서 OSPF 인스턴스를 운영하고 라우팅 정책을 통해 Lop0과 Lop1의 경로에 태그를 지정합니다.
위에서 연산한 토폴로지 환경 연산을 기반으로 필터링 라우팅 연산 없이 수행한다.
[AR6]acl 2001
[AR6-acl-basic-2001]rule permit source 192.168.0.0 0.0.0.255
[AR6-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255
[AR6-acl-basic-2001]q
# 指定路由打上Tag6标签
[AR6]route-policy taglop12 permit node 5
[AR6-route-policy]if-match acl 2001
[AR6-route-policy]apply tag 6
[AR6-route-policy]q
# 对于没有匹配到的路由不打上标签
[AR6]route-policy taglop12 permit node 10
[AR6-route-policy]q
# 应用于OSPF引入路由时打上标签
[AR6]ospf 1
[AR6-ospf-1]import-route direct route-policy taglop12
AR6에서 가져온 경로의 LSA 세부 정보를 확인합니다. LSA를 확인하려면 LSDB에서 확인해야 합니다.
[AR6]display ospf lsdb
OSPF Process 1 with Router ID 6.6.6.6
Link State Database
Area: 0.0.0.0
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 7.7.7.7 7.7.7.7 73 36 80000004 1
Router 6.6.6.6 6.6.6.6 65 36 80000007 1
Network 10.1.67.6 6.6.6.6 65 32 80000003 0
AS External Database
Type LinkState ID AdvRouter Age Len Sequence Metric
External 192.168.2.0 6.6.6.6 113 36 80000002 1
External 192.168.3.0 6.6.6.6 113 36 80000002 1
External 10.1.67.0 6.6.6.6 113 36 80000002 1
External 192.168.0.0 6.6.6.6 109 36 80000001 1
External 192.168.1.0 6.6.6.6 109 36 80000001 1
# 引入中的Lop1、Lop2为External5类LSA,通过aes查看详细信息
[AR6]display ospf lsdb ase 192.168.0.0
OSPF Process 1 with Router ID 6.6.6.6
Link State Database
Type : External
Ls id : 192.168.0.0
Adv rtr : 6.6.6.6
Ls age : 157
Len : 36
Options : E
seq# : 80000001
chksum : 0xf257
Net mask : 255.255.255.0
TOS 0 Metric: 1
E type : 2
Forwarding Address : 0.0.0.0
Tag : 6 【成功打上Tag标记】
Priority : Low
필터 정책 필터 목록
기존의 애플리케이션 라우팅 정책은 경로를 가져올 때 경로를 필터링하기 위해 호출되지만 경로 자체에서 수신하고 게시한 경로는 필터링할 수 없습니다.
이러한 이유로 Filter-policy 필터링 목록의 출현은 경로를 수신하고 게시할 때 경로 필터링 문제를 해결합니다.
필터 정책에는 내보내기 및 가져오기의 두 가지 적용 방향이 있습니다 .
내보내기: 나가는 경로를 필터링하기 위해 자체 라우터에 적용됩니다.
가져오기: 수신된 경로를 필터링하기 위해 자체 라우터에 적용됩니다.
내보내기 및 가져오기에 적용되는 라우팅 프로토콜에 따라 기능도 달라집니다.
filter-policy는 다른 라우팅 프로토콜을 필터링할 때 다른 효과를 갖습니다.
1. 거리 벡터 라우팅 프로토콜 RIP :
라우팅 정보가 전송되며, 필터 정책을 통해 전송된 라우팅 정보를 장치에서 거부하면 장치는 학습하지 않고 필터링된 경로를 계속 전달하지 않습니다.
2. 링크 상태 라우팅 프로토콜 OSPF, ISIS :
전송은 링크 상태 정보(LSA)이기 때문에 AR7이 경로를 필터링하기 위해 필터 정책을 전개하더라도 LSA의 전송에는 영향을 미치지 않습니다.
경로 필터링 후 LSA는 SPF에서 계산되지 않지만 다른 장치에 전달하여 사용할 수 있습니다.
실험은 다음을 증명합니다.
AR6, AR7 및 AR8은 OSPF를 설정하고 AR6은 루프백 인터페이스를 네트워크에 도입합니다.
AR7에서 가져올 필터 정책 방향을 적용하여 수신된 경로를 필터링합니다.
[여기서는 주로 경로 필터링 명령을 기록하기 위해 OSPF 및 경로 소개와 같은 관련 작업은 여기에서 생략됩니다.]
# 创建匹配列表,指定过滤路由
[AR7]ip ip-prefix lop12 deny 192.168.1.0 24
[AR7]ip ip-prefix lop12 deny 192.168.2.0 24
# 由于默认规则是拒绝,故需要配置一条放行所以路由的策略,避免拒绝了所有路由
[AR7]ip ip-prefix lop12 permit 0.0.0.0 0 less-equal 32
# ospf模式下应用ospf filter-policy过滤指定路由
[AR7]ospf 1
[AR7-ospf-1]filter-policy ip-prefix lop12 import
AR7에서 경로를 확인하고 lop1 및 lop2의 경로를 성공적으로 필터링합니다.
LSDB를 다시 보면 경로는 필터링되지만 LSA는 필터링되지 않습니다.
<AR7>display ip routing-table protocol ospf
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Destination/Mask Proto Pre Cost Flags NextHop Interface
192.168.0.0/24 O_ASE 150 1 D 10.1.67.6 GigabitEthernet0/0/0
192.168.3.0/24 O_ASE 150 1 D 10.1.67.6 GigabitEthernet0/0/0
<AR7>display ospf lsdb
OSPF Process 1 with Router ID 7.7.7.7
Link State Database
Area: 0.0.0.0
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 7.7.7.7 7.7.7.7 1014 48 80000009 1
Router 6.6.6.6 6.6.6.6 485 36 80000008 1
Router 8.8.8.8 8.8.8.8 1022 36 80000003 1
Network 10.1.78.7 7.7.7.7 1014 32 80000002 0
Network 10.1.67.6 6.6.6.6 485 32 80000004 0
AS External Database
Type LinkState ID AdvRouter Age Len Sequence Metric
External 192.168.2.0 6.6.6.6 533 36 80000003 1
External 192.168.3.0 6.6.6.6 533 36 80000003 1
External 10.1.67.0 6.6.6.6 533 36 80000003 1
External 192.168.0.0 6.6.6.6 1094 36 80000002 1
External 192.168.1.0 6.6.6.6 1094 36 80000002 1
AR8에서 경로를 보고 경로 항목을 정상적으로 학습할 수 있습니다.
그러나 중간에 있는 AR7에는 해당 경로 항목이 없기 때문에 이 경로에 대한 액세스는 실패합니다.
<AR8>display ip routing-table protocol ospf
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.1.67.0/24 OSPF 10 2 D 10.1.78.7 GigabitEthernet0/0/0
192.168.0.0/24 O_ASE 150 1 D 10.1.78.7 GigabitEthernet0/0/0
192.168.1.0/24 O_ASE 150 1 D 10.1.78.7 GigabitEthernet0/0/0
192.168.2.0/24 O_ASE 150 1 D 10.1.78.7 GigabitEthernet0/0/0
192.168.3.0/24 O_ASE 150 1 D 10.1.78.7 GigabitEthernet0/0/0
# 由于AR7没有1.0的路由条目,故无法访问成功
<AR8>ping 192.168.1.254
PING 192.168.1.254: 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out
OSPF의 필터 정책 적용에 대한 추가 이해
OSPF에서 filter-polic의 가져오기 방향 y를 적용하여 LSA를 필터링하지 않고 경로를 필터링합니다.
그렇다면 filter-policy 의 내보내기 방향은 어떻습니까 ?
OSPF의 필터 정책 내보내기 방향은 유형 5 LSA만 필터링할 수 있으므로 OSPF 아웃바운드 방향은 ASBR에서만 작동할 수 있습니다.
필터 목록은 ASBR의 아웃바운드 방향에 적용되며 Type 5 LSA는 직접 필터링되어 전송되지 않습니다.
실험 결과 필터 정책 내보내기는 5개 범주만 필터링할 수 있음이 입증되었습니다 .
생략된 관련 구성 소개 :
1. AR6, AR7 및 AR8은 OSPF 인접성을 정상적으로 설정합니다.
2. AR6에서 lop0~lop3을 OSPF에 도입하고 lop4는 정상적으로 네트워크를 선언합니다.
다음 구성은 주로 AR6이 필터 정책을 통해 lop1 및 lop4를 필터링하기 위한 것입니다.
[AR6]acl 2000
[AR6-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255
[AR6-acl-basic-2000]rule deny source 192.168.4.0 0.0.0.255
[AR6-acl-basic-2000]rule permit source any
[AR6-acl-basic-2000]q
[AR6]ospf 1
[AR6-ospf-1]filter-policy 2000 export
AR7의 라우팅 테이블과 LSDB 테이블을 확인하고 lop1이 누락되었지만 lop4가 여전히 존재하는지 확인하십시오.
필터 정책 내보내기는 유형 5 LSA만 필터링할 수 있지만 일반 경로는 필터링할 수 없음을 보여줍니다.
<AR7>display ip routing-table protocol ospf
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Destination/Mask Proto Pre Cost Flags NextHop Interface
192.168.0.0/24 O_ASE 150 1 D 10.1.67.6 GigabitEthernet0/0/0
192.168.2.0/24 O_ASE 150 1 D 10.1.67.6 GigabitEthernet0/0/0
192.168.3.0/24 O_ASE 150 1 D 10.1.67.6 GigabitEthernet0/0/0
192.168.4.254/32 OSPF 10 1 D 10.1.67.6 GigabitEthernet0/0/0
<AR7>display ospf lsdb
OSPF Process 1 with Router ID 7.7.7.7
Link State Database
Area: 0.0.0.0
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 7.7.7.7 7.7.7.7 991 48 8000000A 1
Router 6.6.6.6 6.6.6.6 385 48 8000000A 1
Router 8.8.8.8 8.8.8.8 999 36 80000004 1
Network 10.1.78.7 7.7.7.7 991 32 80000003 0
Network 10.1.67.6 6.6.6.6 462 32 80000005 0
AS External Database
Type LinkState ID AdvRouter Age Len Sequence Metric
External 192.168.0.0 6.6.6.6 104 36 80000001 1
External 192.168.2.0 6.6.6.6 104 36 80000001 1
External 192.168.3.0 6.6.6.6 104 36 80000001 1
External 10.1.67.0 6.6.6.6 104 36 80000001 1
Extended operation 이론적으로 디렉션은 ASBR에서만 운용이 가능한데 AR7 non-ASBR에서는 어떻게 해야 할까요?
[AR7]acl 2000
[AR7-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255
[AR7-acl-basic-2000]rule deny source 192.168.4.0 0.0.0.255
[AR7-acl-basic-2000]rule permit source any
[AR7-acl-basic-2000]q
[AR7]ospf 1
[AR7-ospf-1]filter-policy 2000 export
AR8에서 라우팅 테이블과 LSDB 테이블을 확인하고 변경 사항이 없는지 확인합니다(필터링 실패).
<AR8>display ip routing-table pro ospf
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Public routing table : OSPF
Destinations : 7 Routes : 7
OSPF routing table status : <Active>
Destinations : 7 Routes : 7
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.1.67.0/24 OSPF 10 2 D 10.1.78.7 GigabitEthernet0/0/0
192.168.0.0/24 O_ASE 150 1 D 10.1.78.7 GigabitEthernet0/0/0
192.168.1.0/24 O_ASE 150 1 D 10.1.78.7 GigabitEthernet0/0/0
192.168.2.0/24 O_ASE 150 1 D 10.1.78.7 GigabitEthernet0/0/0
192.168.3.0/24 O_ASE 150 1 D 10.1.78.7 GigabitEthernet0/0/0
192.168.4.0/24 O_ASE 150 1 D 10.1.78.7 GigabitEthernet0/0/0
192.168.4.254/32 OSPF 10 2 D 10.1.78.7 GigabitEthernet0/0/0
<AR8>display ospf lsdb
OSPF Process 1 with Router ID 8.8.8.8
Link State Database
Area: 0.0.0.0
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 7.7.7.7 7.7.7.7 1364 48 8000000A 1
Router 6.6.6.6 6.6.6.6 758 48 8000000A 1
Router 8.8.8.8 8.8.8.8 1369 36 80000004 1
Network 10.1.78.7 7.7.7.7 1364 32 80000003 0
Network 10.1.67.6 6.6.6.6 835 32 80000005 0
AS External Database
Type LinkState ID AdvRouter Age Len Sequence Metric
External 192.168.4.0 6.6.6.6 200 36 80000001 1
External 192.168.2.0 6.6.6.6 477 36 80000001 1
External 192.168.3.0 6.6.6.6 477 36 80000001 1
External 10.1.67.0 6.6.6.6 477 36 80000001 1
External 192.168.0.0 6.6.6.6 200 36 80000001 1
External 192.168.1.0 6.6.6.6 477 36 80000001 1
OSPF 애플리케이션 필터 정책에 대한 결론:
내보내기 방향과 관련하여 유형 5의 라우팅 항목만 ASBR 장치에서 필터링할 수 있습니다.
가져오기 방향과 관련하여 LSA가 아닌 모든 라우터의 라우팅 항목을 필터링하는 데 적용할 수 있습니다.