路由过滤实用分享

来源:深信服社区 发布时间:2019-12-19 15:41:17 作者:admin 阅读量:223

作为一个运维工程师,日常工作中碰到的网络问题很多都是由于路由原因引起的,本人接触电子政务网比较多,电子政务网使用MPLS VPN技术,相对来说使用单位繁多,地址复杂,而且单位与单位之间实例互访等问题。所以大部分网络不通都是因为路由原因,最常碰到的就是某个业务无法访问了,排查之后发现是路由表溢出、路由冲突等原因导致。所以在电子政务网里面维护这个路由表是比较头疼的一个事情。

举个例子:

问题:

某个单位业务无法访问,排查发现没有学习到路由表,reset 一下ospf进程,结果正常了,检查日志


发现硬件性能瓶颈,芯片路由条目有限制。(路由表溢出)

再举个例子:某个对外业务,突然出现异动4g无法访问,其他正常问题(路由表冲突)

解决方法

那如何解决这种问题呢?

如果所有表项都是deny模式,则任何路由都不能通过该过滤列表,这种情况下,需要在多条deny模式表项后定义一条permit 0.0.0.0 0 less-equal 32表项,允许其它所有ipv4路由信息通过。


配置举例:

(H3C交换机)如果我们不学习指定的某些地址段路由,可以做如下配置进行过滤

#

ip ip-prefix 1 index 1 deny 59.0.0.0 8 greater-equal 11 less-equal 32

ip ip-prefix 1 index 2 deny 172.17.0.0 16 less-equal 32

ip ip-prefix 1 index 3 deny 10.17.0.0 16 less-equal 32

ip ip-prefix 1 index 4 deny 10.43.0.0 16 less-equal 32

ip ip-prefix 1 index 5 deny 10.1.0.0 16 less-equal 32

ip ip-prefix 1 index 6 deny 10.2.0.0 15 less-equal 32

ip ip-prefix 1 index 7 deny 10.87.0.0 22 less-equal 32

ip ip-prefix 1 index 100 permit 0.0.0.0 0 less-equal 32

#前面写deny规则,最后加1条permit所有,最后一条index编号可以写大一点,这样便于后期添加其他的deny规则

#

Bgp 64466

#

Ipv4-family vpnv4

Filter-policy ip-prefix 1 import   #BGP引入过滤  若是想做发布过滤,则可改成export

我们知道路由表是有进出2个方向的,那我们做路由过滤的时候也可以做两个方向的过滤。入方向的路由过滤我们可以用import,即是我们过滤我们学习到的路由;出方向的路由过滤我们可以通export,即是我们内部发布的路由。

----结尾----

实际使用中发现,原先老的一些V5版本的h3c交换机配置路由过滤之后需要重启下BGP或OSPF后方能生效,V7版本的交换机立即生效。

还有工作过程中我们也可以用ACL规则来做一些路由过滤。


Copyright ©2018-2020 [亮师兄] Powered By [个人运维笔记] Version 1.1.0   我要留言
技术支持:亮师兄(服务QQ):44480394网站备案号: 滇ICP备18010560号   备案查询
Catfish(鲶鱼) CMS V 5.4.6