目次
IS-IS 実験 9: IS-IS ルート フィルタリング
IS-IS ネットワークでは、フィルタ ポリシー ツールを使用して IS-IS ルートをフィルタリングする必要がある場合があります。ここで言うフィルタリングとは、ルータが自身の IS-IS ルーティング テーブル内の一部の IS-IS ルートを自身の IP ルーティング テーブルに組み込むプロセスを指します。
フィルタ ポリシーは、これらの IS-IS ルートを生成する LSP をフィルタリングしないことに注意してください。そのため、フィルタ ポリシーがルート フィルタリングを実行した後は、ルータ内の IS-IS リンク状態データベースも IS-IS ルーティング テーブルも削除されないことに注意してください。何らかの形で影響を受けるでしょう。
すべてのルーターはレベル 2 ルーターです
基本構成
R1:
undo ter mo
sys
sysname R1
ユーザー インターフェイス コンソール 0
アイドル タイムアウト 0 0
int ループ 0
ip add 1.1.1.1 24
int g0/0/0
ip add 192.168.12.1 24
int g0/0/1
ip add 192.168 .14.1
24q
R2:
undo ter mo
sys
sysname R2
ユーザー インターフェイス コンソール 0
アイドル タイムアウト 0 0
int ループ 0
ip add 2.2.2.2 24
int g0/0/0
ip add 192.168.12.2 24
int g0/0/1
ip add 192.168.23.2 24
分
R3:
undo ter mo
sys
sysname R3
ユーザー インターフェイス コンソール 0
アイドル タイムアウト 0 0
int ループ 1
ip add 172.16.1.1 24
int ループ 2
ip add 172.16.2.1 24
int g0/0/1
ip add 192.168.23.3 24
int g0 /0/2
ip 追加 192.168.34.3 24
q
R4:
undo ter mo
sys
sysname R4
ユーザー インターフェイス コンソール 0
アイドル タイムアウト 0 0
int ループ0
ip add 4.4.4.4 24
int g0/0/1
ip add 192.168.14.4 24
int g0/0/2
ip add 192.168.34.4 24
分
IS-IS プロトコルを設定します。すべてのルーターはレベル 2 ルーターです。
R1:
isis
network-entity 10.0000.0000.0001.00
is-name R1 is
-level level-2
int loo 0
isis Enable
int g0/0/0
isis Enable
int g0 / 0/1
isis イネーブル
q
R2:
isis
network-entity 10.0000.0000.0002.00
is-name R2
is-level level-2
int loo 0
isis Enable
int g0/0/0
isis Enable
int g0/0/1
isis Enable
q
R3:
isis
network-entity 20.0000.0000.0003.00
is-name R3
is-level level-2
int loo 1
isis Enable
int loo 2
isis Enable
int g0/0/1
isis Enable
int g0/0/2
isis Enable
q
R4:
isis
network-entity 10.0000.0000.0004.00
is-name R4
is-level level-2
int loo 0
isis Enable
int g0/0/1
isis Enable
int g0/0/2
isis Enable
q
設定が完了したら、ネイバーの確立を確認します。
ルーティング テーブルの学習も正常です。
========
filter-policy を使用してルート フィルタリングを実装する
R1 は R2 経由で R3 のループバック 1 にのみアクセスできます
R1 は R4 経由で R3 のループバック 2 にのみアクセスできます
R2 R2 上の R3 のループバック 2 をフィルタリングして除外します
:
acl 2000
ルール拒否ソース 172.16.2.0 0.0.0.255
ルール許可ソース任意
isis
フィルター ポリシー 2000 インポート
<R2>ディスプレイ IP ルーティング テーブル
172.16.2.0 はなくなり、1.0 のみになります
が、IS-IS ルーティング テーブルにはまだ
isis ルートが表示されています
フィルタリングされたルート エントリは IP ルーティング テーブルに入力できませんが、これらのルートを生成する LSP はフィルタリングされません。
R4 1 R4上の R3 のループバックをフィルタで除外します。ACL
2000
ルール拒否ソース 172.16.1.0 0.0.0.255
ルール許可ソース任意
isis
フィルター ポリシー 2000 インポート
R4 のルーティング テーブルに 172.16.1.0 のルートが存在しないことを確認してください。
=========
フィルタポリシーとルートポリシーを一緒に使用する
R1 のルーティング テーブルを表示すると、ネクスト ホップがまだ 2 つありますが、R2 と R4 のフィルタリングは R1 に対して機能せず、これら 2 つのルートの LSP はフラッディングを続けます。
R1 でルート フィルタリングを実行する場合、ルートのプレフィックスだけでなく、ルートのネクスト ホップも考慮する必要があります。
R1:
ルーティング ネクスト ホップ 192.168.12.2 に一致するように ACL 2012 を
定義します。 ルーティング ネクスト ホップ 192.168.14.4 に一致するように ACL 2014 を定義し
ます。 ルーティング プレフィックス 172.16.1.0/24 に一致するように ACL 2002 を定義します。 ルーティング プレフィックス 172.16.2 に一致するように
ACL 2002 を定義します。 .0 /24
R1:
ACL 2001
ルールの許可ソース 172.16.1.0 0.0.0.255
ACL 2002
ルールの許可ソース 172.16.2.0 0.0.0.255
ACL 2012
ルールの許可ソース 192.168.12.2 0
ACL 2014
ルールの許可ソース 192.168.14.4 0
ルート ポリシー 10 拒否ノード 1
if-match ip next-hop acl 2012
if-match acl 2002
ルート ポリシー 10 ノード 2 を拒否する
if-match ip next-hop acl 2014
if-match acl 2001
ルート ポリシー 10 はノード 3 を許可します
isis
フィルター ポリシー ルート ポリシー 10 インポート
=======また、R1 の
解放を許可することもできます:ルート ポリシー 10 許可ノード 1 if-match ip next-hop acl 2012 if-match acl 2001
ルート ポリシー 10 ノード 2 を許可する
if-match ip next-hop acl 2014
if-match acl 2002
設定が完了したら、R1 のルーティング テーブルを確認します。
今すぐ要件を満たしてください。