IS-IS:09 ISIS路由过滤

DPC27149陳永仁2024-01-29 8:03

在IS-IS 网络中,有时需要使用 filter-policy 工具对 IS-IS 路由进行过滤。这里所说的过滤,是指路由器在将自己IS-IS 路由表中的某些 IS-IS 路由纳入进自己的 IP 路由表的过程,一些满足了过滤条件的 IS-IS 路由将被限制纳入 IP 路由表中。

需要注意的是, filter-policy 进行过滤的并非是生成那些 IS-IS 路由的 LSP ,所以 filter-policy 进行路由过滤之后,路由器中的 IS-IS 链路状态数据库和 IS-IS 路由表都不会受到任何影响。

实验拓扑,所有路由器均为 level-2路由器

基本配置:

R1:
sys
sysname R1
int loop 0
ip add 1.1.1.1 24
int g0/0/0
ip add 192.168.12.1 24
int g0/0/1
ip add 192.168.14.1 24
q

R2:
sys
sysname R2
int loop 0
ip add 2.2.2.2 24
int g0/0/0
ip add 192.168.12.2 24
int g0/0/1
ip add 192.168.23.2 24
q

R3:
sys
sysname R3
int loop 1
ip add 172.16.1.1 24
int loop 2
ip add 172.16.2.1 24
int g0/0/1
ip add 192.168.23.3 24
int g0/0/2
ip add 192.168.34.3 24
q

R4:
sys
sysname R4
int loop 0
ip add 4.4.4.4 24
int g0/0/1
ip add 192.168.14.4 24
int g0/0/2
ip add 192.168.34.4 24
q

配置IS-IS 协议,所有路由器均为 Level-2路由器:

R1:
isis
network-entity 10.0000.0000.0001.00
is-name R1
is-level level-2
int loo 0
isis enable
int g0/0/0
isis enable
int g0/0/1
isis enable
q

R2:
isis
network-entity 10.0000.0000.0002.00
is-name R2
is-level level-2
int loo 0
isis enable
int g0/0/0
isis enable
int g0/0/1
isis enable
q

R3:
isis
network-entity 20.0000.0000.0003.00
is-name R3
is-level level-2
int loo 1
isis enable
int loo 2
isis enable
int g0/0/1
isis enable
int g0/0/2
isis enable
q

R4:
isis
network-entity 10.0000.0000.0004.00
is-name R4
is-level level-2
int loo 0
isis enable
int g0/0/1
isis enable
int g0/0/2
isis enable
q

配置完成后,查看邻居的建立,路由表学习也正常

使用 filter-policy实现路由过滤:

R1 只能经R2 访问 R3 的loopback 1

R1 只能经R4 访问 R3 的loopback 2

在R2 上过滤掉R3的loopback 2

R2:
acl 2000
rule deny source 172.16.2.0 0.0.0.255
rule permit source any

isis
filter-policy 2000 import

172.16.2.0 已经没有了,只有1.0

但在IS-IS 路由表中,还是有的

过滤掉的路由条目不能进入IP 路由表,但并不会对生成这些路由的LSP进行过滤。

在R4 上过滤掉R3的loopback 1

R4:
acl 2000
rule deny source 172.16.1.0 0.0.0.255
rule permit source any

isis
filter-policy 2000 import

查看一下,R4 的路由表中,已经没有 172.16.1.0 的路由

配合使用filter-policy 和 route-policy:

在R1 上查看路由表,还是有两个下一跳的,在R2 R4上的过滤,对R1不起作用,这两条路由的LSP还继续泛洪。

在R1上进行路由过滤时,不能只考虑路由的前缀,同时还要考虑到路由的下一跳。

R1 :

定义ACL 2012匹配路由下一跳 192.168.12.2

定义ACL 2014匹配路由下一跳 192.168.14.4

定义ACL 2001匹配路由前缀 172.16.1.0/24

定义ACL 2002匹配路由前缀 172.16.2.0/24

R1:
acl 2001
rule permit source 172.16.1.0 0.0.0.255
acl 2002
rule permit source 172.16.2.0 0.0.0.255
acl 2012
rule permit source 192.168.12.2 0
acl 2014
rule permit source 192.168.14.4 0

route-policy 10 deny node 1
if-match ip next-hop acl 2012
if-match acl 2002

route-policy 10 deny node 2
if-match ip next-hop acl 2014
if-match acl 2001

route-policy 10 permit node 3

isis
filter-policy route-policy 10 import

也可以 permit 放行

R1:
route-policy 10 permit node 1
if-match ip next-hop acl 2012
if-match acl 2001

route-policy 10 permit node 2
if-match ip next-hop acl 2014
if-match acl 2002

配置完成后,查看 R1 的路由表

相关推荐
幽兰的天空5 小时前
介绍 HTTP 请求如何实现跨域
网络·网络协议·http
lisenustc5 小时前
HTTP post请求工具类
网络·网络协议·http
心平气和️6 小时前
HTTP 配置与应用(不同网段)
网络·网络协议·计算机网络·http
心平气和️6 小时前
HTTP 配置与应用(局域网)
网络·计算机网络·http·智能路由器
Mbblovey6 小时前
Picsart美易照片编辑器和视频编辑器
网络·windows·软件构建·需求分析·软件需求
北顾南栀倾寒7 小时前
[Qt]系统相关-网络编程-TCP、UDP、HTTP协议
开发语言·网络·c++·qt·tcp/ip·http·udp
GZ_TOGOGO8 小时前
PIM原理与配置
网络·华为·智能路由器
7ACE8 小时前
Wireshark TS | 虚假的 TCP Spurious Retransmission
网络·网络协议·tcp/ip·wireshark·tcpdump
大丈夫立于天地间9 小时前
ISIS基础知识
网络·网络协议·学习·智能路由器·信息与通信
hgdlip9 小时前
IP属地与视频定位位置不一致:现象解析与影响探讨
服务器·网络·tcp/ip
热门推荐
01centos7 init.d 和system.d02Dell服务器升级ubuntu 22.04失败解决03半导体应用系统一些小知识收集(strip&wafer mapping,EAP&scada)04PyTorch AMP 混合精度中grad_scaler.py的scale函数解析05Windows10安装PCL1.14.0及点云配准06密码学原理技术-第六章-introduction to pulibc-key cryptography07xgboost: Why not implement distributed XGBoost on top of spark08Oracle Scheduler: Calendaring09(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明10BMC 虚拟i2c访问PCA9545(switch芯片)后面的设备,为什么找不到PCA9545?