HUAWEI--filter-policy
HUAWEI--filter-policy
路由過濾,
相當於cisco中的distribute-list
其原理都是一樣的,和ACL或者是prefix-list相組合,其控制權在ACL/prefix-list
不管是本地執行的協議,還是重分佈的協議,都可以使用,
但是要記住一條,只針對路由條目,而不針對LSA,所以當面對OSPF,ISIS這樣的鏈路狀態協議時,配置出方向會顯得無能為力
以一個例項來說明吧
中間的R2做雙向引入便得兩側的三個字首可以順利到達對方
現在條目可以正常的到在對端
需求
1 在R1上配置filter-policy,過濾掉172.16.2.0條目,(
2 在R2上配置filter-policy,過濾傳遞172.16.1.0條目。(export)
3 在R3上配置filter-policy,過濾掉192.168.1.0條目
[4這條可以測試一下看看,來驗證針對於鏈路狀態協議LSA是否生效,在R2上配置出方向的filter-policy,針對於192.168.2.0]
思路,
Filter-policy是要和acl進行相結合的.SO:必須要配置ACL,並且,ACL在這裡是起著決定性作有的。(permit/deny)【還有一點千萬不要忘了,就是華為的ACL最後一行是permit any。
需求1/2配置
[R1]acl 2000 [R1-acl-basic-2000]rul deny source 172.16.2.1 0 [R1-acl-basic-2000]rul per so any //這裡要注意一下,使用filter-policy時,一定要先檢視一下路由表,具體的字首是什麼,那裡顯示的是什麼,在ACL中就要寫什麼,一定要相同 [R1]rip 1 [R1-rip-1]filter-policy 2000 import
[R2-rip-1]acl 2000 [R2-acl-basic-2000]rule 5 deny source 172.16.1.1 0 //因為是/32位的,所以直接用0代替了 [R2-acl-basic-2000]rul per so any [R2]rip1 [R2-rip-1]filter-policy 2000 export
而後我們在R1上檢視路由表
看看有什麼變化
可以看到,現在只剩下172.16.3.1這個條目了,
至此我有一點沒有相明白
HUAWEI的ACL。最後隱藏的那一條是per any ,為毛當我不配置這一條時,它就是不生效呢?
很詭異,可以在上面看到,我在部署ACL時都有寫per source any
需求3 [R3]acl 2000 [R3-acl-basic-2000] rule 5 deny source 192.168.1.0 0.0.0.255 [R3-acl-basic-2000] rule 10 permit [R3]ospf 1 [R3-ospf-1] filter-policy 2000 import
正常情況下,像OSPF,ISIS這種鏈路狀態協議,只有在入方向控制才有效,然而,只是在將條目寫入路由表時
才起的作用。
然而
在LSDB中,還是可以看到這個條目的。
因為這裡顯示的是LSA而不是路由條目,filter-policy過濾的只是路由條目。
需求4
這一點和CISCO還是有些區別的
使用filter-policy 2001 export 【其實後面還有引數的】
可以針對於某一特定的協議,BGP,直連,ISIS,OSPF,RIP,STATIC,
但是我沒有加,也出來了,
這次情況有些特殊,在路由表中是沒有看到,
但是在LSDB資料庫中也沒有見到它的影子。好神奇
--------------------------------------------------
CCIE成長之路 ---梅利