[转帖]RIP协议使用filter-policy引用ACL无法过滤指定的路由

honghao_ouyang

故障类型	网络故障
现象描述	RouterA----------------RouterB {80.0.0.0/8; 80.0.0.0/9; } RotuerA和RouterB通过RIP协议交互路由信息，RouterA引入静态路由到RIP中，在RouterB上配置filter-policy在入方向过滤路由，无法实现只接收80.0.0.0/8，不接收80.0.0.0/9 RouterB: acl number 2000 rule 5 deny source 80.0.0.0 0.255.255.255 rule 10 permit source 80.0.0.0 0.127.255.255 rule 15 permit rip 1 version 2 network 110.0.0.0 filter-policy 2000 import 检查路由条目，两条路由都没有了： [R2-AR2220]dis ip routing-table | in 80.0.0.0 Route Flags: R - relay, D - download to fib ------------------------------------------------------------------------------ Routing Tables: Public          Destinations : 41       Routes : 42 Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
告警信息	无
原因分析	无
处理过程	filter-poilcy在RIP进程下配置，如果基于接口对路由进行过滤，则一个接口只能配置一个路由策略；如果不指定接口，就认为是配置全局过滤策略，同样每次只能配置一个策略，如果重复配置，新的策略将覆盖之前的策略。 filter-policy可以引用acl，ip-prefix，gateway进行路由过滤，在使用acl的时候，只能区分路由前缀，无法区分路由条目的掩码长度，即80.0.0.0和90.0.0.0是可以区分的，而80.0.0.0/8和80.0.0.0/9是无法区分匹配的。 上述故障现象是由于80.0.0.0/8和80.0.0.0/9同时匹配了ACL的rule deny source 80.0.0.0 0.255.255.255规则，导致两条路由都被过滤了。 此需求可以通过引用ip-prefix来实现路由控制： ip ip-prefix test index 10 deny 80.0.0.0 8 ip ip-prefix test index 20 permit 80.0.0.0 9 ip ip-prefix test index 30 permit 0.0.0.0 0 less-equal 32 rip 1 version 2 network 110.0.0.0 filter-policy ip-prefix test import 检查路由： <R2-AR2220>dis ip routing-table protocol rip Route Flags: R - relay, D - download to fib ------------------------------------------------------------------------------ Public routing table : RIP          Destinations : 11       Routes : 12 RIP routing table status : <Active>          Destinations : 11       Routes : 12 Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface        80.0.0.0/9   RIP     100  1           D   110.2.5.2       GigabitEthernet0/0/0        90.0.0.0/8   RIP     100  1           D   110.2.5.2       GigabitEthernet0/0/0        90.0.0.0/16  RIP     100  1           D   110.2.5.2       GigabitEthernet0/0/0       <omited>
建议与总结	filter-policy引用ACL过滤路由时，无法区分相同前缀不同掩码长度的路由，需要引用ip-prefix实现控制。

【转载地址】http://support.huawei.com/ecommunity/bbs/10180069.html

honghao_ouyang

咋还在审核呢？