[转帖]RIP协议使用filter-policy引用ACL无法过滤指定的路由
故障类型 网络故障
现象描述 RouterA----------------RouterB
{80.0.0.0/8;
80.0.0.0/9;
}
RotuerA和RouterB通过RIP协议交互路由信息,RouterA引入静态路由到RIP中,在RouterB上配置filter-policy在入方向过滤路由,无法实现只接收80.0.0.0/8,不接收80.0.0.0/9
RouterB:
acl number 2000
rule 5 deny source 80.0.0.0 0.255.255.255
rule 10 permit source 80.0.0.0 0.127.255.255
rule 15 permit
rip 1
version 2
network 110.0.0.0
filter-policy 2000 import
检查路由条目,两条路由都没有了:
dis ip routing-table | in 80.0.0.0
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 41 Routes : 42
Destination/Mask Proto PreCost Flags NextHop Interface
告警信息 无
原因分析 无
处理过程 filter-poilcy在RIP进程下配置,如果基于接口对路由进行过滤,则一个接口只能配置一个路由策略;如果不指定接口,就认为是配置全局过滤策略,同样每次只能配置一个策略,如果重复配置,新的策略将覆盖之前的策略。
filter-policy可以引用acl,ip-prefix,gateway进行路由过滤,在使用acl的时候,只能区分路由前缀,无法区分路由条目的掩码长度,即80.0.0.0和90.0.0.0是可以区分的,而80.0.0.0/8和80.0.0.0/9是无法区分匹配的。
上述故障现象是由于80.0.0.0/8和80.0.0.0/9同时匹配了ACL的rule deny source 80.0.0.0 0.255.255.255规则,导致两条路由都被过滤了。
此需求可以通过引用ip-prefix来实现路由控制:
ip ip-prefix test index 10 deny 80.0.0.0 8
ip ip-prefix test index 20 permit 80.0.0.0 9
ip ip-prefix test index 30 permit 0.0.0.0 0 less-equal 32
rip 1
version 2
network 110.0.0.0
filter-policy ip-prefix test import
检查路由:
<R2-AR2220>dis ip routing-table protocol rip
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Public routing table : RIP
Destinations : 11 Routes : 12
RIP routing table status : <Active>
Destinations : 11 Routes : 12
Destination/Mask Proto PreCost Flags NextHop Interface
80.0.0.0/9 RIP 1001 D 110.2.5.2 GigabitEthernet0/0/0
90.0.0.0/8 RIP 1001 D 110.2.5.2 GigabitEthernet0/0/0
90.0.0.0/16RIP 1001 D 110.2.5.2 GigabitEthernet0/0/0
<omited>
建议与总结 filter-policy引用ACL过滤路由时,无法区分相同前缀不同掩码长度的路由,需要引用ip-prefix实现控制。
【转载地址】http://support.huawei.com/ecommunity/bbs/10180069.html
咋还在审核呢?
页:
[1]