Перейти к содержанию

Политики фильтрации маршрутов#

Политики фильтрации маршрутов#

Политика фильтрации маршрутов ― это механизм, позволяющий настраивать критерии, с которыми будет сравниваться получаемая маршрутная информация, а в случае соответствия определенному критерию ― выполнять для маршрута одно или несколько действий. Например, можно создать политику для фильтрации (блокирования) конкретных префиксов маршрутов, которые объявляются соседом по BGP. Кроме того, операторы политики используются для экспорта маршрутов, полученных по одному протоколу, например OSPF, в другой протокол, например BGP. Это обычно называется перераспределением маршрутов.

В настройке Numa Edge политики фильтрации маршрутов сгруппированы под узлом policy, который служит контейнером для операторов политики; действующими операторами политики определяются правила, которые будут применяться к маршрутной информации.

Для ввода в действие уже определенной политики следует применить ее к конкретному протоколу маршрутизации. Политику можно применить либо в качестве политики импорта, либо в качестве политики экспорта к протоколам наподобие RIP, OSPF и BGP. В случае протокола BGP политики можно применять к каждому равноправному узлу в отдельности. К протоколу (или равноправному узлу BGP) можно применить только одну политику импорта и одну политику экспорта.

Политика, примененная к протоколу маршрутизации в качестве политики импорта, используется для обработки маршрутной информации, полученной по протоколу маршрутизации, к которому применяется политика. Например, если пользователь настроит политику импорта для протокола BGP, все объявления BGP, полученные системой Numa Edge, будут вначале сравниваться с политикой импорта, после чего добавляться к таблицам BGP и таблицам маршрутизации.

Политика, примененная к протоколу маршрутизации в качестве политики экспорта, используется для обработки маршрутной информации, отправляемой по протоколу маршрутизации, к которому применяется политика. Например, если пользователь настраивает политику экспорта для BGP, то вся маршрутная информация BGP, исходящая из системы МЭ, будет сравниваться с оператором политики экспорта перед отправкой маршрутной информации любым равноправным узлам BGP.

Помимо контроля за маршрутной информацией, передаваемой по протоколу маршрутизации, политики экспорта используются также для обеспечения перераспределения маршрутов. Например, если пользователю нужно перераспределить полученные по OSPF маршруты на BGP, пользователь может настроить оператор политики, определяющий нужные ему маршруты OSPF, и затем применить этот оператор политики в качестве политики экспорта для OSPF.

Примеры настройки политик маршрутизации#

Фильтрация маршрутов с помощью списков доступа#

Списки доступа можно использовать для фильтрации маршрутов для протоколов типа "расстояние-направление" наподобие RIP, а также на точках перераспределения в областях маршрутизации по состоянию канала (наподобие OSPF), где с их помощью можно контролировать, какие пути приходят в область или покидают её. Ниже представлен пример настройки протокола RIP и политики фильтрации маршрутов. В первую очередь приводится настройка RIP, распределяющая все известные маршруты между тремя маршрутизаторами. Затем выполняется настройка политики фильтрации маршрутов с использованием списков доступа для высекания объявления одной сети. Пример настройки основан на эталонной схеме, приведенной на рисунке ниже.

Эталонная-схема-настройки-RIP.png

Эталонная схема настройки RIP

Основная настройка RIP#

В данном примере предполагается, что интерфейсы маршрутизатора уже настроены; настройка протокола RIP на каждом из маршрутизаторов приведена ниже.

Пример - Основная настройка RIP

Настройки на маршрутизаторе Edge 1

1
2
3
4
5
6
7
8
9
[edit]
admin@edge1# show protocols
   rip {
         network 192.168.30.0/24
         redistribute {
             connected {
             }
         }
   }

Настройки на маршрутизаторе Edge 2

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
[edit]
admin@edge2# show protocols
   rip {
         network 192.168.30.0/24
         network 192.168.40.0/24
         redistribute {
             connected {
             }
         }
   }

Настройки на маршрутизаторе Edge 3

1
2
3
4
5
6
7
8
9
[edit]
admin@edge3# show protocols
   rip {
         network 192.168.40.0/24
         redistribute {
             connected {
             }
         }
   }

Проверка настройки RIP#

Для проверки настройки RIP можно использовать следующие команды эксплуатационного режима.

Edge3: show ip route#

В примере приведен вывод для команды show ip route для маршрутизатора Edge3.

Пример - Проверка RIP на Edge3: ”show ip route”

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
admin@edge3:~$ show ip route 
Codes: K - kernel route, C - connected, S - static, R - RIP,
       O - OSPF, I - IS-IS, B - BGP, P - PIM, A - Babel, N - NHRP,
       > - selected route, * - FIB route

C>* 127.0.0.0/8 is directly connected, lo
R>* 192.168.10.0/24 [120/3] via 192.168.40.2, eth4, 00:26:17
R>* 192.168.20.0/24 [120/3] via 192.168.40.2, eth4, 00:26:17
R>* 192.168.30.0/24 [120/2] via 192.168.40.2, eth4, 00:26:23
C>* 192.168.40.0/24 is directly connected, eth4
C>* 192.168.50.0/24 is directly connected, eth5
admin@edge3:~$

Из вывода видно, что маршруты к 192.168.10.0/24, 192.168.20.0/24 и 192.168.30.0/24 получены по RIP и что пакеты к этим сетям будут пересылаться наружу через eth4 на 192.168.40.2. Сети 192.168.40.0/24 и 192.168.50.0/24 подключены напрямую.

Edge3: show ip rip#

В результате выполнения команды show ip rip для R3 отображаются аналогичные сведения, но в другом формате, что представлено в примере ниже.

Пример - Проверка RIP на Edge3: “show ip rip”

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
admin@edge3:~$ show ip rip
Codes: R - RIP, C - connected, S - Static, O - OSPF, B - BGP
Sub-codes:
      (n) - normal, (s) - static, (d) - default, (r) - redistribute,
      (i) - interface

     Network            Next Hop         Metric From            Tag Time
R(n) 192.168.10.0/24    192.168.40.2          3 192.168.40.2      0 02:55
R(n) 192.168.20.0/24    192.168.40.2          3 192.168.40.2      0 02:55
R(n) 192.168.30.0/24    192.168.40.2          2 192.168.40.2      0 02:55
C(i) 192.168.40.0/24    0.0.0.0               1 self              0
C(r) 192.168.50.0/24    0.0.0.0               1 self              0
admin@edge3:~$

Из вывода видно, что сети 192.168.10.0/24, 192.168.20.0/24 и 192.168.30.0/24 получены по RIP и что пакеты к этим сетям будут направлены на 192.168.40.2. Сети 192.168.40.0/24 и 192.168.50.0/24 подключены напрямую.

Создание политики фильтрации маршрутов#

В этом разделе с помощью списков доступа выполняется настройка политики фильтрации маршрутов на Edge2 для отклонения входящих маршрутов от 10.0.20.0/24.

Настройка на маршрутизаторе Edge 2

Пример - Настройка фильтрации маршрутов

  1. Создание списка доступа и правила для отклонения указанных маршрутов: 
1
2
[edit]
admin@edge2# set policy access-list 100 rule 10 action deny
  1. Соответствие любому получателю: 
1
2
[edit]
admin@edge2# set policy access-list 100 rule 10 destination any
  1. Соответствие отправителю 192.168.10.0: 
1
2
[edit]
admin@edge2# set policy access-list 100 rule 10 source network 192.168.10.0
  1. Указание маски сети в дополнительном коде: 
1
2
[edit]
admin@edge2# set policy access-list 100 rule 10 source inverse-mask 0.0.0.255
  1. Создание правила для разрешения всех остальных маршрутов: 
1
2
[edit]
admin@edge2# set policy access-list 100 rule 20 action permit
  1. Соответствие любому получателю: 
1
2
[edit]
admin@edge2# set policy access-list 100 rule 20 destination any
  1. Соответствие любому отправителю: 
1
2
[edit]
admin@edge2# set policy access-list 100 rule 20 source any
  1. Фиксация изменений: 
1
2
[edit]
admin@edge2# commit
  1. Отображение настройки: 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
[edit]
admin@edge2# show policy
  access-list 100 {
      rule 10 {
          action deny
          destination {
              any
          }
          source {
              inverse-mask 0.0.0.255
              network 192.168.10.0
          }
      }
      rule 20 {
          action permit
          destination {
              any
          }
          source {
              any
          }
      }
  }

Применение политики фильтрации маршрутов#

В этом разделе политика фильтрации маршрутов применяется ко входящим объявлениям RIP на Edge2.

Пример - Применение политики фильтрации маршрутов

  1. Использование списка доступа, созданного в предыдущем примере, для фильтрации входящих объявлений о маршрутах: 
1
2
[edit]
admin@edge2# set protocols rip distribute-list access-list in 100
  1. Фиксация настройки: 
1
2
[edit]
admin@edge2# commit
  1. Отображение настройки: 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
[edit]
admin@edge2# show protocols
   rip {
       distribute-list {
           access-list {
               in 100
           }
       }
       network 192.168.30.0/24
       network 192.168.40.0/24
       redistribute {
           connected {
           }
       }
   }

Проверка настройки политики фильтрации маршрутов#

Для проверки настройки политики фильтрации маршрутов можно использовать следующие команды эксплуатационного режима.

Edge3: show ip route#

В примере ниже приведен вывод для команды show ip route для маршрутизатора Edge3.

Пример - Проверка изменений политики фильтрации маршрутов на Edge3: ”show ip route”

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
admin@edge3:~$ show ip route 
Codes: K - kernel route, C - connected, S - static, R - RIP,
       O - OSPF, I - IS-IS, B - BGP, P - PIM, A - Babel, N - NHRP,
       > - selected route, * - FIB route

C>* 127.0.0.0/8 is directly connected, lo
R>* 192.168.20.0/24 [120/3] via 192.168.40.2, eth4, 00:25:12
R>* 192.168.30.0/24 [120/2] via 192.168.40.2, eth4, 00:25:13
C>* 192.168.40.0/24 is directly connected, eth4
C>* 192.168.50.0/24 is directly connected, eth5

Из вывода видно, что маршруты к 192.168.20.0/24 и 192.168.30.0/24 получены по RIP и что пакеты к этим сетям будут пересылаться наружу через eth4 на 192.168.40.2. Сети 192.168.40.0/24 и 192.168.50.0/24 подключены напрямую. Обратите внимание, что маршрута к 192.168.10.0/24 нет, так как он был отфильтрован политикой маршрутизации.

Edge3: show ip rip#

В результате выполнения команды show ip rip для Edge3 отображаются аналогичные сведения, но в другом формате, что представлено в примере ниже.

Пример - Проверка изменений политики фильтрации маршрутов на Edge3: ”show ip rip”

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
admin@edge3:~$ show ip rip
Codes: R - RIP, C - connected, S - Static, O - OSPF, B - BGP
Sub-codes:
      (n) - normal, (s) - static, (d) - default, (r) - redistribute,
      (i) - interface

     Network            Next Hop         Metric From            Tag Time
R(n) 192.168.20.0/24    192.168.40.2          3 192.168.40.2      0 03:00
R(n) 192.168.30.0/24    192.168.40.2          2 192.168.40.2      0 03:00
C(i) 192.168.40.0/24    0.0.0.0               1 self              0
C(r) 192.168.50.0/24    0.0.0.0               1 self              0

Из вывода видно, что сети 192.168.20.0/24 и 192.168.30.0/24 получены по RIP и что пакеты к этим сетям будут направлены на 192.168.40.2. Сети 192.168.40.0/24 и 192.168.50.0/24 подключены напрямую. Отсутствует маршрут к 192.168.10.0/24.

Фильтрация входящих маршрутов с помощью списков префиксов#

В данном разделе рассматриваются следующие вопросы:

  • Настройка списка префиксов.
  • Проверка входного фильтра.

Настройка списка префиксов#

Обычным требованием к настройкам BGP является фильтрация входящих объявлений маршрутов от равноправного узла BGP. В системе Numa edge фильтрация такого рода выполняется при помощи политик фильтрации маршрутов, которые затем применяются к процессу BGP в качестве политик “импорта”. В данном примере для выполнения фильтрации применяются списки префиксов в сочетании с картами маршрутов.

В примере ниже создаются следующие политики фильтрации на входе:

  • Edge1 должен принимать только сеть 192.168.200.0/24 от его равноправного узла eBGP и отклонять всё остальное.
  • Edge4 должен разрешать все маршруты, но отклонять сеть 192.168.213.0/23, а также возможные подсети вплоть до /32.

Такая политика импорта показана на рисунке ниже.

Принимается, что маршрутизаторы в AS64200 настроены для iBGP и eBGP как изображено, а также что маршрутизаторы в AS64201 и AS64202 настроены соответственно как равноправные узлы eBGP.

Фильтрация-входящих-маршрутов.png

Фильтрация входящих маршрутов

Для создания фильтра входящих маршрутов следует выполнить следующие действия в режиме настройки:

Пример - Создание политики импорта

Настройки на маршрутизаторе Edge1

  1. Создание списка префиксов, которые следует разрешить. В данном случае такой префикс только один - 192.168.200.0/24: 
1
2
3
4
[edit]
admin@edge1# set policy prefix-list ALLOW-PREFIXES rule 10 action permit
[edit]
admin@edge1# set policy prefix-list ALLOW-PREFIXES rule 10 prefix 192.168.200.0/24
  1. Создание правила карты маршрутов для разрешения всех префиксов из списка: 
1
2
3
4
[edit]
admin@edge1# set policy route-map eBGP-IMPORT rule 10 action permit
[edit]
admin@edge1# set policy route-map eBGP-IMPORT rule 10 match ip address prefix-list ALLOW-PREFIXES
  1. Создание правила карты маршрутов для отклонения всех остальных префиксов: 
1
2
[edit]
admin@edge1# set policy route-map eBGP-IMPORT rule 20 action deny
  1. Назначение созданной политики карты маршрутов политикой карты маршрутов импорта для AS64201: 
1
2
[edit]
admin@edge1# set protocols bgp 64200 neighbor 203.0.113.2 route-map import eBGP-IMPORT
  1. Фиксация настройки:
1
2
[edit]
admin@edge1# commit
  1. Сброс сеанса BGP с равноправным узлом для включения новых политик: 
1
2
[edit]
admin@edge1:~$ clear ip bgp 203.0.113.2
  1. Отображение настройки политики: 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
[edit]
admin@edge1# show policy
   prefix-list ALLOW-PREFIXES {
       rule 10 {
           action permit
           prefix 192.168.200.0/24
       }
   }
   route-map eBGP-IMPORT {
       rule 10 {
           action permit
           match {
               ip {
                   address {
                       prefix-list ALLOW-PREFIXES
                   }
               }
           }
       }
       rule 20 {
           action deny
       }
   }
  1. Отображение настройки BGP для соседа eBGP с адресом 203.0.113.2: 
1
2
3
4
5
6
[edit]
admin@edge1# show protocols bgp 64200 neighbor 203.0.113.2
   remote-as 64201
   route-map {
       import eBGP-IMPORT
   }

Настройки на маршрутизаторе Edge4

  1. Создание правила, которому будет соответствовать любой префикс от 192.168.213.0/23 до /26: 
1
2
3
4
5
6
[edit]
admin@edge4# set policy prefix-list DENY-RANGE-PREFIXES rule 10 action permit
[edit]
admin@edge4# set policy prefix-list DENY-RANGE-PREFIXES rule 10 le 26
[edit]
admin@edge4# set policy prefix-list DENY-RANGE-PREFIXES rule 10 prefix 192.168.213.0/23
  1. Создание правила карты маршрутов для отклонения всех префиксов из списка: 
1
2
3
4
[edit]
admin@edge4# set policy route-map eBGP-IMPORT rule 10 action deny
[edit]
admin@edge4# set policy route-map eBGP-IMPORT rule 10 match ip address prefix-list DENY-RANGE-PREFIXES
  1. Создание правила карты маршрутов для разрешения всех остальных префиксов: 
1
2
[edit]
admin@edge4# set policy route-map eBGP-IMPORT rule 20 action permit
  1. Назначение созданной политики карты маршрутов политикой карты маршрутов импорта для AS64202: 
1
2
[edit]
admin@edge4# set protocols bgp 64200 neighbor 198.51.100.2 route-map import eBGP-IMPORT
  1. Фиксация настройки: 
1
2
[edit]
admin@edge4# commit
  1. Сброс сеанса BGP с равноправным узлом для включения новых политик: 
1
2
[edit]
admin@edge1:~$ clear ip bgp 198.51.100.2
  1. Отображение настройки политики: 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
[edit]
admin@edge4# show policy
   prefix-list DENY-RANGE-PREFIXES {
       rule 10 {
           action permit le 26
           prefix 192.168.213.0/23
       }       
   }
   route-map eBGP-IMPORT {
       rule 10 {
           action deny
           match {
               ip {
                   address {
                       prefix-list DENY-RANGE-PREFIXES
                   }
               }
           }
         }
       rule 20 {
           action permit
       }
   }
  1. Отображение настройки BGP для соседа eBGP с адресом 198.51.100.2: 
1
2
3
4
5
6
[edit]
admin@edge4# show protocols bgp 64200 neighbor 198.51.100.2
   remote-as 64202
   route-map {
       import eBGP-IMPORT
   }

Проверка входного фильтра#

Для проверки настройки входного фильтра можно использовать следующие команды.

Edge1: show ip bgp (до применения фильтров)#

В примере приведена таблица BGP маршрутизатора Edge1 перед применением фильтра импорта.

Пример - Входящие маршруты BGP на Edge1 до фильтрации при импорте

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
admin@edge1:~$ show ip bgp 
BGP table version is 0, local router ID is 192.168.255.1
Status codes: s suppressed, d damped, h history, * valid, > best, = multipath,
              i internal, r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
* i192.168.0.0      192.168.255.4            0    100      0 i
*>                  0.0.0.0                  0         32768 i
*> 192.168.200.0    203.0.113.2              0             0 64201 i
*> 192.168.201.0    203.0.113.2              0             0 64201 i
*> 192.168.202.0    203.0.113.2              0             0 64201 i
*> 192.168.203.0    203.0.113.2              0             0 64201 i
*>i192.168.210.0    198.51.100.2             0    100      0 64202 i
*>i192.168.211.0    198.51.100.2             0    100      0 64202 i
*>i192.168.212.0    198.51.100.2             0    100      0 64202 i
*>i192.168.213.0    198.51.100.2             0    100      0 64202 i

Displayed  9 out of 10 total prefixes
Edge1: show ip bgp (после применения фильтров)#

В примере приведена таблица BGP маршрутизатора Edge1 после применения фильтров импорта.

Пример - Входящие маршруты BGP на Edge1 после фильтрации при импорте

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
admin@edge1:~$ show ip bgp 
BGP table version is 0, local router ID is 192.168.255.1
Status codes: s suppressed, d damped, h history, * valid, > best, = multipath,
              i internal, r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
* i192.168.0.0      192.168.255.4            0    100      0 i
*>                  0.0.0.0                  0         32768 i
*> 192.168.200.0    203.0.113.2              0             0 64201 i
*>i192.168.210.0    198.51.100.2             0    100      0 64202 i
*>i192.168.211.0    198.51.100.2             0    100      0 64202 i

Displayed  4 out of 5 total prefixes

Следует обратить внимание, что в таблице остался только элемент 192.168.200.0 от 203.0.113.2.

Edge4: show ip bgp#

В примере приведена таблица BGP маршрутизатора Edge4 перед применением фильтров импорта.

Пример - Входящие маршруты BGP на Edge4 до фильтрации при импорте

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
admin@edge4:~$ show ip bgp
BGP table version is 0, local router ID is 192.168.255.4
Status codes: s suppressed, d damped, h history, * valid, > best, = multipath,
              i internal, r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
* i192.168.0.0      192.168.255.1            0    100      0 i
*>                  0.0.0.0                  0         32768 i
*>i192.168.200.0    203.0.113.2              0    100      0 64201 i
*>i192.168.201.0    203.0.113.2              0    100      0 64201 i
*>i192.168.202.0    203.0.113.2              0    100      0 64201 i
*>i192.168.203.0    203.0.113.2              0    100      0 64201 i
*> 192.168.210.0    198.51.100.2             0             0 64202 i
*> 192.168.211.0    198.51.100.2             0             0 64202 i
*> 192.168.212.0    198.51.100.2             0             0 64202 i
*> 192.168.213.0    198.51.100.2             0             0 64202 i

Displayed  9 out of 10 total prefixes
Edge4: show ip bgp#

Ниже приведена таблица BGP маршрутизатора Edge4 после применения фильтров импорта.

Пример - Входящие маршруты BGP на Edge4 после фильтрации при импорте

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
admin@edge4:~$ show ip bgp
BGP table version is 0, local router ID is 192.168.255.4
Status codes: s suppressed, d damped, h history, * valid, > best, = multipath,
              i internal, r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
* i192.168.0.0      192.168.255.1            0    100      0 i
*>                  0.0.0.0                  0         32768 i
*>i192.168.200.0    203.0.113.2              0    100      0 64201 i
*> 192.168.210.0    198.51.100.2             0             0 64202 i
*> 192.168.211.0    198.51.100.2             0             0 64202 i

Displayed  4 out of 5 total prefixes

Следует обратить внимание, что под действие фильтра попали сети 192.168.212.0/24 и 192.168.213.0/24 от 198.51.100.2.

Фильтрация исходящих маршрутов с помощью списков путей автономных систем#

В этом разделе рассматриваются следующие вопросы:

  • Настройка AS-path-list.
  • Проверка исходящего фильтра.
Настройка AS-path-list#

Ещё одно обычное требование к настройке BGP ― фильтрация исходящих префиксов. В системе Numa edge фильтрация такого рода выполняется при помощи политик фильтрации маршрутов, которые затем применяются к процессу BGP в качестве политик “экспорта”.

В примере, приведенном в данном разделе, предполагается, что системе AS64200 не нужно быть транзитной автономной системой для AS64201 или AS64202, что означает следующее:

  • Маршруты eBGP от равноправного узла eBGP маршрутизатора Edge1 (AS64201) не следует отправлять на равноправный узел eBGP маршрутизатора Edge4.
  • Маршруты с равноправного узла eBGP маршрутизатора Edge4 (AS64202) не следует отправлять на равноправный узел eBGP маршрутизатора Edge1.

Если бы такая фильтрация не была реализована, то AS64203 мог бы отправлять трафик, предназначенный для AS64201, на маршрутизатор Edge4, и указанный трафик передавался бы через сеть AS64200.

В данном примере политикой экспорта BGP блокируется возможность AS64200 выступать в качестве транзитной сети для AS64201 и AS64202.

Описанная политика экспорта показана на рисунке ниже.

Принимается, что маршрутизаторы в AS64200 настроены для iBGP и eBGP как изображено и что маршрутизаторы в AS64201 и AS64202 настроены соответственно, как равноправные узлы eBGP (аналогично начальному положению примера настройки фильтрации по списку префиксов).

Фильтрация-исходящих-маршрутов.png

Фильтрация исходящих маршрутов

Для создания такой политики экспорта следует выполнить следующие действия в режиме настройки:

Пример - Создание политики экспорт

Действия на маршрутизаторе Edge 1

  1. Создание списка путей AS, которые следует отклонить. В данном случае такой только один - AS64202: 
1
2
3
4
[edit]
admin@edge1# set policy as-path-list AS64202 rule 10 action permit
[edit]
admin@edge1# set policy as-path-list AS64202 rule 10 regex 64202
  1. Создание правила карты маршрутов для отклонения всех путей AS из списка: 
1
2
3
4
[edit]
admin@edge1# set policy route-map eBGP-EXPORT rule 10 action deny
[edit]
admin@edge1# set policy route-map eBGP-EXPORT rule 10 match as-path AS64202
  1. Создание правила карты маршрутов для разрешения всех остальных префиксов: 
1
2
[edit]
admin@edge1# set policy route-map eBGP-EXPORT rule 20 action permit
  1. Назначение созданной политики карты маршрутов политикой карты маршрутов экспорта для AS64201: 
1
2
[edit]
admin@edge1# set protocols bgp 64200 neighbor 203.0.113.2 route-map export eBGP-EXPORT
  1. Фиксация настройки:
1
2
[edit]
admin@edge1# commit
  1. Сброс сеанса BGP с равноправным узлом для включения новых политик:
1
2
[edit]
admin@edge1:~$ clear ip bgp 203.0.113.2
  1. Отображение настроек политик:
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
[edit]
admin@edge1# show policy    as-path-list AS64202 {
       rule 10 {
           action permit
           regex 64202
       }
   }
   route-map eBGP-EXPORT {
       rule 10 {
           action deny
           match {
               as-path AS64202
           }
       }
       rule 20 {
           action permit
       }   }
  1. Отображение настройки BGP для соседа eBGP с адресом 203.0.113.2:
1
2
3
4
5
6
[edit]
admin@edge1# show protocols bgp 64200 neighbor 203.0.113.2
   remote-as 200
   route-map {
       export eBGP-EXPORT
   }

Действия на маршрутизаторе Edge 4

  1. Создание списка путей AS, которые следует отклонить. В данном случае такая AS только одна - AS64201: 
1
2
3
4
[edit]
admin@edge4# set policy as-path-list AS64201 rule 10 action permit
[edit]
admin@edge4# set policy as-path-list AS64201 rule 10 regex 64201
  1. Создание правила карты маршрутов для отклонения всех путей AS из списка: 
1
2
3
4
[edit]
admin@edge4# set policy route-map eBGP-EXPORT rule 10 action deny
[edit]
admin@edge4# set policy route-map eBGP-EXPORT rule 10 match as-path AS64201
  1. Создание правила карты маршрутов для разрешения всех остальных префиксов: 
1
2
[edit]
admin@edge4# set policy route-map eBGP-EXPORT rule 20 action permit
  1. Назначение созданной политики карты маршрутов политикой карты маршрутов экспорта для AS 300:
1
2
[edit]
admin@edge4# set protocols bgp 64200 neighbor 198.51.100.2 route-map export eBGP-EXPORT
  1. Фиксация настройки: 
1
2
[edit]
admin@edge4# commit
  1. Сброс сеанса BGP с равноправным узлом для включения новых политик: 
1
2
[edit]
admin@edge4:~$ clear ip bgp 198.51.100.2
  1. Отображение настроек политик: 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
[edit]
admin@edge4# show policy    as-path-list AS64201 {
       rule 10 {
           action permit
           regex 64201
       }
   }
   route-map eBGP-EXPORT
       rule 10 {
           action deny
           match {
               as-path AS64201
           }
       }
       rule 20 {
           action permit
       }
  1. Отображение настройки BGP для соседа eBGP с адресом 99.99.99.2:
1
2
3
4
[edit]
admin@edge4# show protocols bgp 64200 neighbor 198.51.100.2
   remote-as 64202   route-map {
       export eBGP-EXPORT   }
Проверка исходящего фильтра#

Для проверки настройки исходящего фильтра можно использовать следующие команды.

AS64201: show ip bgp#

В примере приведена таблица BGP системы AS64201 до применения фильтров экспорта.

Пример - Исходящие маршруты BGP на AS64201 до фильтрации при экспорте

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
admin@edge5:~$ show ip bgp
BGP table version is 0, local router ID is 192.168.255.5
Status codes: s suppressed, d damped, h history, * valid, > best, = multipath,
              i internal, r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 192.168.0.0      203.0.113.1              0             0 64200 i
*> 192.168.200.0    0.0.0.0                  0         32768 i
*> 192.168.201.0    0.0.0.0                  0         32768 i
*> 192.168.202.0    0.0.0.0                  0         32768 i
*> 192.168.203.0    0.0.0.0                  0         32768 i
*> 192.168.210.0    203.0.113.1                            0 64200 64202 i
*> 192.168.211.0    203.0.113.1                            0 64200 64202 i
*> 192.168.212.0    203.0.113.1                            0 64200 64202 i
*> 192.168.213.0    203.0.113.1                            0 64200 64202 i

Displayed  9 out of 9 total prefixes
AS64201: show ip bgp#

В примере приведена таблица BGP системы AS64201 после применения фильтров экспорта.

Пример - Исходящие маршруты BGP на AS64201 после фильтрации при экспорте

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
admin@edge5:~$ show ip bgp
BGP table version is 0, local router ID is 192.168.255.5
Status codes: s suppressed, d damped, h history, * valid, > best, = multipath,
              i internal, r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 192.168.0.0      203.0.113.1              0             0 64200 i
*> 192.168.200.0    0.0.0.0                  0         32768 i
*> 192.168.201.0    0.0.0.0                  0         32768 i
*> 192.168.202.0    0.0.0.0                  0         32768 i
*> 192.168.203.0    0.0.0.0                  0         32768 i

Displayed  5 out of 5 total prefixes
AS64202: show ip bgp#

В примере приведена таблица BGP системы AS64202 до применения фильтров экспорта.

Пример - Исходящие маршруты BGP на AS64202 до фильтрации при экспорте

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
admin@edge6:~$ show ip bgp
BGP table version is 0, local router ID is 192.168.255.6
Status codes: s suppressed, d damped, h history, * valid, > best, = multipath,
              i internal, r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 192.168.0.0      198.51.100.1             0             0 64200 i
*> 192.168.200.0    198.51.100.1                           0 64200 64201 i
*> 192.168.201.0    198.51.100.1                           0 64200 64201 i
*> 192.168.202.0    198.51.100.1                           0 64200 64201 i
*> 192.168.203.0    198.51.100.1                           0 64200 64201 i
*> 192.168.210.0    0.0.0.0                  0         32768 i
*> 192.168.211.0    0.0.0.0                  0         32768 i
*> 192.168.212.0    0.0.0.0                  0         32768 i
*> 192.168.213.0    0.0.0.0                  0         32768 i

Displayed  9 out of 9 total prefixes
AS64202: show ip bgp#

В примере приведена таблица BGP системы AS64202 после применения фильтров экспорта.

Пример - Исходящие маршруты BGP на AS64202 после фильтрации при экспорте

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
admin@edge6:~$ show ip bgp
BGP table version is 0, local router ID is 192.168.255.6
Status codes: s suppressed, d damped, h history, * valid, > best, = multipath,
              i internal, r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 192.168.0.0      198.51.100.1             0             0 64200 i
*> 192.168.210.0    0.0.0.0                  0         32768 i
*> 192.168.211.0    0.0.0.0                  0         32768 i
*> 192.168.212.0    0.0.0.0                  0         32768 i
*> 192.168.213.0    0.0.0.0                  0         32768 i

Displayed  5 out of 5 total prefixes