#原创分享#路由过滤实用分享
  

神奇轱辘 34862人觉得有帮助

{{ttag.title}}
本帖最后由 神奇轱辘 于 2019-11-20 17:46 编辑

----写在前面----
前几天看了社区IT女神的IP路由分享,突然也想写点东西,作为一个运维工程师,日常工作中碰到的网络问题很多都是由于路由原因引起的,本人接触电子政务网比较多,电子政务网使用MPLS VPN技术,相对来说使用单位繁多,地址复杂,而且单位与单位之间实例互访等问题。所以大部分网络不通都是因为路由原因。
最常碰到的就是某个业务无法访问了,排查之后发现是路由表溢出、路由冲突等原因导致。所以在电子政务网里面维护这个路由表是比较头疼的一个事情。
----举个例子----
举个例子:某个单位业务无法访问,排查发现没有学习到路由表,reset 一下ospf进程,结果正常了,检查日志
331085dd4c0535d7e6.png
发现硬件性能瓶颈,芯片路由条目有限制。(路由表溢出)
再举个例子:某个对外业务,突然出现异动4g无法访问,其他正常问题(路由表冲突)
----解决方法----
那如何解决这种问题呢?
其实可以通过地址前缀列表进行路由过滤

44545dd4c24d4db73.png

前缀列表匹配流程
如果所有表项都是deny模式,则任何路由都不能通过该过滤列表,这种情况下,需要在多条deny模式表项后定义一条permit 0.0.0.0 0 less-equal 32表项,允许其它所有ipv4路由信息通过。

配置举例:(H3C交换机)如果我们不学习指定的某些地址段路由,可以做如下配置进行过滤
#
ip ip-prefix 1 index 1 deny 59.0.0.0 8 greater-equal 11 less-equal 32
ip ip-prefix 1 index 2 deny 172.17.0.0 16 less-equal 32
ip ip-prefix 1 index 3 deny 10.17.0.0 16 less-equal 32
ip ip-prefix 1 index 4 deny 10.43.0.0 16 less-equal 32
ip ip-prefix 1 index 5 deny 10.1.0.0 16 less-equal 32
ip ip-prefix 1 index 6 deny 10.2.0.0 15 less-equal 32
ip ip-prefix 1 index 7 deny 10.87.0.0 22 less-equal 32
ip ip-prefix 1 index 100 permit 0.0.0.0 0 less-equal 32
#前面写deny规则,最后加1条permit所有,最后一条index编号可以写大一点,这样便于后期添加其他的deny规则
#
Bgp 64466
#
Ipv4-family vpnv4
Filter-policy ip-prefix 1 import   #BGP引入过滤  若是想做发布过滤,则可改成export

127605dd4c56c23c7f.png
上面是前缀列表匹配说明
greater-equal 是大于等于 less-equal 是小于等于
13855dd4c66eea15c.png
我们知道路由表是有进出2个方向的,那我们做路由过滤的时候也可以做两个方向的过滤
入方向的路由过滤我们可以用import,即是我们过滤我们学习到的路由;出方向的路由过滤我们可以通export,即是我们内部发布的路由。
----PS----
实际使用中发现,原先老的一些V5版本的h3c交换机配置路由过滤之后需要重启下BGP或OSPF后方能生效,V7版本的交换机立即生效。
还有工作过程中我们也可以用ACL规则来做一些路由过滤。





打赏鼓励作者,期待更多好文!

打赏
11人已打赏

Sangfor_95899 发表于 2019-12-9 19:39
  
感谢楼主分享,看到这帖子知道社区的这个活动产生了价值,珠玉在前,我担心后人写的帖子能否更好,完全!不!必!担心!更优秀的帖子出现了。这个帖子楼主才是专家,我默默的学习了一波,期待更多分享。
很是精彩!
Sangfor_闪电回_朱丽 发表于 2019-11-20 18:07
  
您好,感谢您参与社区原创分享计划4,您的文章已被收录到计划中,交由专家评审小组评审,分享奖励将在活动结束后统一安排发放!分享越多,奖励越多,期待您更多的精彩分享哦!:感恩:
新手031815 发表于 2019-11-23 16:26
  
学习打卡
静态路由 发表于 2019-11-23 22:28
  
感谢楼主分享
tangyouwu 发表于 2019-11-24 14:03
  
为楼主点赞,希望楼主多多分享干货!
心灵鸡汤 发表于 2019-11-25 14:59
  
这个不错,学习一下!
新手780102 发表于 2019-11-26 09:45
  
回帖是美德
ie5000 发表于 2019-11-27 09:26
  
写acl真是个技术活
feeling 发表于 2019-11-27 22:51
  
很实用的分享,值得收藏
新手741261 发表于 2019-12-6 09:22
  
acl我也有点怕怕的
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
每周精选
技术笔记
干货满满
技术咨询
新版本体验
产品连连看
信服课堂视频
自助服务平台操作指引
安装部署配置
秒懂零信任
标准化排查
GIF动图学习
功能体验
2023技术争霸赛专题
通用技术
每日一记
社区帮助指南
技术晨报
安全攻防
玩转零信任
天逸直播
华北区交付直播
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

12
185
6

发帖

粉丝

关注

本版达人

LoveTec...

本周分享达人

新手24116...

本周提问达人