#原创分享#路由过滤实用分享

----写在前面----

前几天看了社区IT女神的IP路由分享，突然也想写点东西，作为一个运维工程师，日常工作中碰到的网络问题很多都是由于路由原因引起的，本人接触电子政务网比较多，电子政务网使用MPLS VPN技术，相对来说使用单位繁多，地址复杂，而且单位与单位之间实例互访等问题。所以大部分网络不通都是因为路由原因。

最常碰到的就是某个业务无法访问了，排查之后发现是路由表溢出、路由冲突等原因导致。所以在电子政务网里面维护这个路由表是比较头疼的一个事情。

----举个例子----

举个例子：某个单位业务无法访问，排查发现没有学习到路由表，reset 一下ospf进程，结果正常了，检查日志

发现硬件性能瓶颈，芯片路由条目有限制。（路由表溢出）

再举个例子：某个对外业务，突然出现异动4g无法访问，其他正常问题（路由表冲突）

http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=53368# （之前专门写了篇案例贴）

----解决方法----

那如何解决这种问题呢？

其实可以通过地址前缀列表进行路由过滤

前缀列表匹配流程

如果所有表项都是deny模式，则任何路由都不能通过该过滤列表，这种情况下，需要在多条deny模式表项后定义一条permit 0.0.0.0 0 less-equal 32表项，允许其它所有ipv4路由信息通过。

配置举例：（H3C交换机）如果我们不学习指定的某些地址段路由，可以做如下配置进行过滤

#

ip ip-prefix 1 index 1 deny 59.0.0.0 8 greater-equal 11 less-equal 32

ip ip-prefix 1 index 2 deny 172.17.0.0 16 less-equal 32

ip ip-prefix 1 index 3 deny 10.17.0.0 16 less-equal 32

ip ip-prefix 1 index 4 deny 10.43.0.0 16 less-equal 32

ip ip-prefix 1 index 5 deny 10.1.0.0 16 less-equal 32

ip ip-prefix 1 index 6 deny 10.2.0.0 15 less-equal 32

ip ip-prefix 1 index 7 deny 10.87.0.0 22 less-equal 32

ip ip-prefix 1 index 100 permit 0.0.0.0 0 less-equal 32

#前面写deny规则，最后加1条permit所有，最后一条index编号可以写大一点，这样便于后期添加其他的deny规则

#

Bgp 64466

#

Ipv4-family vpnv4

Filter-policy ip-prefix 1 import   #BGP引入过滤  若是想做发布过滤，则可改成export

上面是前缀列表匹配说明

greater-equal 是大于等于 less-equal 是小于等于

我们知道路由表是有进出2个方向的，那我们做路由过滤的时候也可以做两个方向的过滤

入方向的路由过滤我们可以用import，即是我们过滤我们学习到的路由；出方向的路由过滤我们可以通export，即是我们内部发布的路由。

----PS----

实际使用中发现，原先老的一些V5版本的h3c交换机配置路由过滤之后需要重启下BGP或OSPF后方能生效，V7版本的交换机立即生效。

还有工作过程中我们也可以用ACL规则来做一些路由过滤。

感谢楼主分享，看到这帖子知道社区的这个活动产生了价值，珠玉在前，我担心后人写的帖子能否更好，完全！不！必！担心！更优秀的帖子出现了。这个帖子楼主才是专家，我默默的学习了一波，期待更多分享。
很是精彩！

您好，感谢您参与社区原创分享计划4，您的文章已被收录到计划中，交由专家评审小组评审，分享奖励将在活动结束后统一安排发放！分享越多，奖励越多，期待您更多的精彩分享哦！:感恩:

感谢楼主分享

为楼主点赞，希望楼主多多分享干货！

这个不错，学习一下！

写acl真是个技术活

很实用的分享，值得收藏