#原创分享#路由过滤实用分享
  

神奇轱辘 76422人觉得有帮助

{{ttag.title}}
本帖最后由 神奇轱辘 于 2019-11-20 17:46 编辑

----写在前面----
前几天看了社区IT女神的IP路由分享,突然也想写点东西,作为一个运维工程师,日常工作中碰到的网络问题很多都是由于路由原因引起的,本人接触电子政务网比较多,电子政务网使用MPLS VPN技术,相对来说使用单位繁多,地址复杂,而且单位与单位之间实例互访等问题。所以大部分网络不通都是因为路由原因。
最常碰到的就是某个业务无法访问了,排查之后发现是路由表溢出、路由冲突等原因导致。所以在电子政务网里面维护这个路由表是比较头疼的一个事情。
----举个例子----
举个例子:某个单位业务无法访问,排查发现没有学习到路由表,reset 一下ospf进程,结果正常了,检查日志
发现硬件性能瓶颈,芯片路由条目有限制。(路由表溢出)
再举个例子:某个对外业务,突然出现异动4g无法访问,其他正常问题(路由表冲突)
----解决方法----
那如何解决这种问题呢?
其实可以通过地址前缀列表进行路由过滤


前缀列表匹配流程
如果所有表项都是deny模式,则任何路由都不能通过该过滤列表,这种情况下,需要在多条deny模式表项后定义一条permit 0.0.0.0 0 less-equal 32表项,允许其它所有ipv4路由信息通过。

配置举例:(H3C交换机)如果我们不学习指定的某些地址段路由,可以做如下配置进行过滤
#
ip ip-prefix 1 index 1 deny 59.0.0.0 8 greater-equal 11 less-equal 32
ip ip-prefix 1 index 2 deny 172.17.0.0 16 less-equal 32
ip ip-prefix 1 index 3 deny 10.17.0.0 16 less-equal 32
ip ip-prefix 1 index 4 deny 10.43.0.0 16 less-equal 32
ip ip-prefix 1 index 5 deny 10.1.0.0 16 less-equal 32
ip ip-prefix 1 index 6 deny 10.2.0.0 15 less-equal 32
ip ip-prefix 1 index 7 deny 10.87.0.0 22 less-equal 32
ip ip-prefix 1 index 100 permit 0.0.0.0 0 less-equal 32
#前面写deny规则,最后加1条permit所有,最后一条index编号可以写大一点,这样便于后期添加其他的deny规则
#
Bgp 64466
#
Ipv4-family vpnv4
Filter-policy ip-prefix 1 import   #BGP引入过滤  若是想做发布过滤,则可改成export

上面是前缀列表匹配说明
greater-equal 是大于等于 less-equal 是小于等于
我们知道路由表是有进出2个方向的,那我们做路由过滤的时候也可以做两个方向的过滤
入方向的路由过滤我们可以用import,即是我们过滤我们学习到的路由;出方向的路由过滤我们可以通export,即是我们内部发布的路由。
----PS----
实际使用中发现,原先老的一些V5版本的h3c交换机配置路由过滤之后需要重启下BGP或OSPF后方能生效,V7版本的交换机立即生效。
还有工作过程中我们也可以用ACL规则来做一些路由过滤。





打赏鼓励作者,期待更多好文!

打赏
11人已打赏

Sangfor_95899 发表于 2019-12-9 19:39
  
感谢楼主分享,看到这帖子知道社区的这个活动产生了价值,珠玉在前,我担心后人写的帖子能否更好,完全!不!必!担心!更优秀的帖子出现了。这个帖子楼主才是专家,我默默的学习了一波,期待更多分享。
很是精彩!
Sangfor_闪电回_朱丽 发表于 2019-11-20 18:07
  
您好,感谢您参与社区原创分享计划4,您的文章已被收录到计划中,交由专家评审小组评审,分享奖励将在活动结束后统一安排发放!分享越多,奖励越多,期待您更多的精彩分享哦!:感恩:
头像被屏蔽
新手031815 发表于 2019-11-23 16:26
  
提示: 作者被禁止或删除 内容自动屏蔽
静态路由 发表于 2019-11-23 22:28
  
感谢楼主分享
tangyouwu 发表于 2019-11-24 14:03
  
为楼主点赞,希望楼主多多分享干货!
心灵鸡汤 发表于 2019-11-25 14:59
  
这个不错,学习一下!
头像被屏蔽
新手780102 发表于 2019-11-26 09:45
  
提示: 作者被禁止或删除 内容自动屏蔽
ie5000 发表于 2019-11-27 09:26
  
写acl真是个技术活
feeling 发表于 2019-11-27 22:51
  
很实用的分享,值得收藏
头像被屏蔽
新手741261 发表于 2019-12-6 09:22
  
提示: 作者被禁止或删除 内容自动屏蔽
发表新帖
热门标签
全部标签>
新版本体验
每日一问
产品连连看
高手请过招
安全效果
功能体验
纪元平台
标准化排查
社区新周刊
GIF动图学习
信服课堂视频
【 社区to talk】
SDP百科
终端接入
秒懂零信任
平台使用
故障笔记
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
安装部署配置
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
排障笔记本
产品预警公告
玩转零信任
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
2023技术争霸赛专题
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
技术盲盒
山东区技术晨报
文档捉虫
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
排障那些事
西北区每日一问
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力
专家说
热门活动
产品动态
行业实践
产品解析
关键解决方案

本版达人

feeling

本周分享达人

新手29676...

本周提问达人