操作BGP路由过滤（基于路由条目）实际案例（配图+详细验证过程）

network

操作BGP路由过滤（基于路由条目）实际案例（配图+详细验证过程）
路由能够基于网络号过滤到或来自于某个特定邻居的路由更新。由访问列表组成的过滤器被应用到所有发送到或来自于某个特定邻居的BGP更新上。 本案例中，我们在R1上配置一个distribute-list，防止1.0.0.0/8被通告入AS200中。 //// r1 //// int f2/0   ip ad 192.1.1.1 255.255.255.0 int f3/0   ip ad 193.1.1.1 255.255.255.0 int lo0   ip ad 1.1.1.1 255.255.255.0 int lo1   ip ad 2.2.2.2 255.255.255.0 router bgp 100   no syn   neighbor 192.1.1.2 remote-as 200   neighbor 193.1.1.3 remote-as 200   network 1.0.0.0   network 1.0.0.0   neighbor 193.1.1.3 distribute-list 1 out access-list 1 deny 1.0.0.0 0.255.255.255 access-list 1 permit any //// r2 //// int f2/0   ip ad 192.1.1.2 255.255.255.0 int f4/0   ip ad 194.1.1.2 255.255.255.0 router os 1   netw 0.0.0.0 255.255.255.255 a 0   passive-interface f2/0 router bgp 200   no syn   neighbor 192.1.1.1 remote-as 100   neighbor 194.1.1.4 remote-as 200   neighbor 195.1.1.3 remote-as 200   neighbor 194.1.1.4 next-hop-self //// r3 //// int f3/0   ip ad 193.1.1.3 255.255.255.0 int f5/0   ip ad 195.1.1.3 255.255.255.0 router os 1   netw 0.0.0.0 255.255.255.255 a 0   passive-interface f3/0 router bgp 200   no syn   neighbor 193.1.1.1 remote-as 100   neighbor 195.1.1.4 remote-as 200   neighbor 195.1.1.4 next-hop-self   neighbor 194.1.1.2 remote-as 200 //// r4 //// int f4/0   ip ad 194.1.1.4 255.255.255.0 int f5/0   ip ad 195.1.1.4 255.255.255.0 int lo0   ip ad 4.4.4.4 255.255.255.0 router os 1   netw 0.0.0.0 255.255.255.255 a 0 router bgp 200   no syn   neighbor 194.1.1.2 remote-as 200   neighbor 195.1.1.3 remote-as 200   netw 4.0.0.0 验证： r2#sh ip bgp    Network          Next Hop            Metric LocPrf Weight Path *> 1.0.0.0          192.1.1.1                0             0 100 i * i2.0.0.0          193.1.1.1                0    100      0 100 i *>                  192.1.1.1                0             0 100 i *>i4.0.0.0          194.1.1.4                0    100      0 i 由193.1.1.1学来的1.0.0.0/8路由条目已被过滤！

network

1)使用过滤表进行策略控制



过滤列表基于as_path属性允许或者拒绝BGP更新分组通过.过滤表对每个入口或者出口或者两者都有的neighbor语句起作用.



(2)分发列表在策略控制中的使用



同过滤列表一样,分发列表也用于入口的、出口的或者两者都有的neighbor语句,它们操作IP访问列表.在分发列表中,前缀基于访问列表所列的网络被允许或者拒绝通过.



(3)前缀列表在策略控制中的使用



前缀列表以ip prefix-list abc deny 0.0.0.0/0这样的方式可以把默认路由拒掉,通过ip prefix-list abc permit 0.0.0.0/0 le 32 可以匹配所有路由条目.这里的abc是一个任意的字符串.如果前缀列表后面没有ge、le时,表明将根据掩码长度精确匹配/前面的网络,如果前缀列表仅指定ge时,掩码长度范围从ge值到32.如果前缀列表仅指定le时,掩码长度从/后面的值到le值.




在基于前缀列表过滤的时候,由于前缀列表提供了对用户更加友好的配置选项,所有它取代了分发列表.前缀列表使用易读、易懂的配置,而不像使用分发列表那样,要在扩展访问列表中写入较难理解的前缀通配符的组合.




(4)团体在策略控制中的使用



RFC1997定义了BGP团体属性.其中,团体被描述为具有某些共同属性的一组目的地址.团体是配置给每个前缀的一个32位编号,它在BGP更新分组中传播给所有邻居.每个前缀可以被分配到多个团体中,最多可达255个.BGP操作员可以把网络分组为团体.例如,位于内部网络“东区”的所有网络分配为一个团体,位于内部网络“西区”的所有网络分配为另一个不同的团体.那样,团体号就可以作为前缀的标记.通过查看BGP输出,就能很容易地区分“东区”前缀和“西区”前缀.




(5)通过AS-PATH过滤路由


在通告大量路由条目的时候,用NLRI来过滤路由很快就变得很不轻松或者说是完全不切实际.如果用路由条目的AS号来过滤路由,那么我们针对一个具体AS的路由条目来过滤时就简单多了.



(6)通过route-map来过滤路由



还可以通过route-map来执行过滤.route-map可以使用访问控制列表或前缀列表,通过NLRI来过滤路由,也可以使用AS_PATH访问列表,通过AS_PATH属性来过滤路由.