HUAWEI--filter-policy

HUAWEI--filter-policy

路由过滤，

相当于cisco中的distribute-list

 

其原理都是一样的，和ACL或者是prefix-list相组合，其控制权在ACL/prefix-list

不管是本地运行的协议，还是重分布的协议，都可以使用，

但是要记住一条，只针对路由条目，而不针对LSA，所以当面对OSPF,ISIS这样的链路状态协议时，配置出方向会显得无能为力

 

以一个实例来说明吧

 

 

 

 

中间的R2做双向引入便得两侧的三个前缀可以顺利到达对方

 

 

 

 

 

 

 

  现在条目可以正常的到在对端

 需求

1 在R1上配置filter-policy,过滤掉172.16.2.0条目，（inport）

2 在R2上配置filter-policy，过滤传递172.16.1.0条目。（export）

3 在R3上配置filter-policy，过滤掉192.168.1.0条目

[4这条可以测试一下看看，来验证针对于链路状态协议LSA是否生效，在R2上配置出方向的filter-policy，针对于192.168.2.0]

  

思路，

Filter-policy是要和acl进行相结合的.SO：必须要配置ACL，并且，ACL在这里是起着决定性作有的。（permit/deny）【还有一点千万不要忘了，就是华为的ACL最后一行是permit any。

 

需求1/2配置

[R1]acl 2000
[R1-acl-basic-2000]rul deny source 172.16.2.1 0  
[R1-acl-basic-2000]rul per so any
//这里要注意一下，使用filter-policy时，一定要先查看一下路由表，具体的前缀是什么，那里显示的是什么，在ACL中就要写什么，一定要相同
[R1]rip 1
[R1-rip-1]filter-policy 2000 import

 

[R2-rip-1]acl 2000
[R2-acl-basic-2000]rule 5 deny source 172.16.1.1 0  //因为是/32位的，所以直接用0代替了
[R2-acl-basic-2000]rul per so any
[R2]rip 1
[R2-rip-1]filter-policy 2000 export

而后我们在R1上查看路由表

看看有什么变化

 

 

 

 可以看到，现在只剩下172.16.3.1这个条目了，

 

至此我有一点没有相明白

HUAWEI的ACL。最后隐藏的那一条是per any ,为毛当我不配置这一条时，它就是不生效呢？

很诡异，可以在上面看到，我在部署ACL时都有写per source any

 

需求3
[R3]acl 2000  
[R3-acl-basic-2000] rule 5 deny source 192.168.1.0 0.0.0.255
[R3-acl-basic-2000] rule 10 permit

[R3]ospf 1
[R3-ospf-1] filter-policy 2000 import

正常情况下，像OSPF,ISIS这种链路状态协议，只有在入方向控制才有效，然而，只是在将条目写入路由表时

 才起的作用。

 

然而

 

 

 

 

 在LSDB中，还是可以看到这个条目的。

因为这里显示的是LSA而不是路由条目，filter-policy过滤的只是路由条目。

 

 

需求4

这一点和CISCO还是有些区别的

 

 

 

 

 

 

 使用filter-policy 2001 export 【其实后面还有参数的】

 

 

 

 可以针对于某一特定的协议，BGP,直连，ISIS,OSPF，RIP,STATIC,

但是我没有加，也出来了，

 

 

 这次情况有些特殊，在路由表中是没有看到，

但是在LSDB数据库中也没有见到它的影子。好神奇

 

--------------------------------------------------

CCIE成长之路 --- 梅利