AI 助理
备案控制台
开发者社区 安全 文章 正文

在OSPF中使用基本ACL过滤路由信息

2025-06-04 64
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 本文介绍了通过OSPF协议实现特定网络访问限制的配置方法。需求为:RouterA从Internet接收路由并提供给OSPF网络,仅允许访问172.16.17.0/24、172.16.18.0/24和172.16.19.0/24三个网段,其中RouterC仅能访问172.16.18.0/24。配置思路包括在RouterA上使用ACL过滤发布路由,在RouterC上使用ACL过滤接收路由。操作步骤涵盖IP地址配置、OSPF基本功能配置、静态路由引入及路由发布与接收策略配置,最终实现精确的网络访问控制。

组网需求

如图,运行OSPF协议的网络中,RouterA从Internet网络接收路由,并为OSPF网络提供了Internet路由。要求OSPF网络中只能访问172.16.17.0/24、172.16.18.0/24和172.16.19.0/24三个网段的网络,其中RouterC连接的网络只能访问172.16.18.0/24网段的网络。

配置思路

采用如下的思路配置对路由进行过滤:

  1. 在RouterA上配置ACL,在路由发布时应用ACL,使RouterA仅提供路由172.16.17.0/24、172.16.18.0/24、172.16.19.0/24给RouterB,实现OSPF网络中只能访问172.16.17.0/24、172.16.18.0/24、172.16.19.0/24三个网段的网络。
  2. 在RouterC上配置ACL,在路由引入时应用ACL,使RouterC仅接收路由172.16.18.0/24,实现RouterC连接的网络只能访问172.16.18.0/24网段的网络。

操作步骤

配置各接口的IP地址

Router A

<Huawei>sys
<Huawei>sys Router A
[Router A]interface GigabitEthernet0/0/0
[Router A-GigabitEthernet0/0/0]ip address 192.168.1.1 24 
[Router A-GigabitEthernet0/0/0]quit

Router B

<Huawei>sys
<Huawei>sys Router B
[Router B]interface GigabitEthernet0/0/0
[Router B-GigabitEthernet0/0/0]ip address 192.168.3.1 24
[Router B-GigabitEthernet0/0/0]quit
[Router B]interface GigabitEthernet0/0/1
[Router B-GigabitEthernet0/0/1]ip address 192.168.2.1 24
[Router B-GigabitEthernet0/0/1]quit
[Router B]interface GigabitEthernet0/0/2
[Router B-GigabitEthernet0/0/2]ip address 192.168.1.2 24
[Router B-GigabitEthernet0/0/2]quit

Router C

<Huawei>sys
<Huawei>sys Router C
[Router C]interface GigabitEthernet0/0/0
[Router C-GigabitEthernet0/0/0]ip address 192.168.3.2 24 
[Router C-GigabitEthernet0/0/0]quit

Router D

<Huawei>sys
<Huawei>sys Router D
[Router D]interface GigabitEthernet0/0/0
[Router D-GigabitEthernet0/0/0]ip address 192.168.2.2 24 
[Router D-GigabitEthernet0/0/0]quit

配置OSPF基本功能

Router A

[Router A]ospf 1 
[Router A-ospf-1]area 0.0.0.1 
[Router A-ospf-1-area-0.0.0.1]network 192.168.1.0 0.0.0.255
[Router A-ospf-1-area-0.0.0.1]quit
[Router A-ospf-1]quit

Router B

[Router B]ospf 1 
[Router B-ospf-1]area 0.0.0.1 
[Router B-ospf-1-area-0.0.0.1]network 192.168.1.0 0.0.0.255
[Router B-ospf-1-area-0.0.0.1]network 192.168.2.0 0.0.0.255
[Router B-ospf-1-area-0.0.0.1]network 192.168.3.0 0.0.0.255
[Router B-ospf-1-area-0.0.0.1]quit
[Router B-ospf-1]quit

Router C

[Router C]ospf 1 
[Router C-ospf-1]area 0.0.0.1 
[Router C-ospf-1-area-0.0.0.1]network 192.168.3.0 0.0.0.255
[Router C-ospf-1-area-0.0.0.1]quit
[Router C-ospf-1]quit

Router D

[Router D]ospf 1 
[Router D-ospf-1]area 0.0.0.1 
[Router D-ospf-1-area-0.0.0.1]network 192.168.2.0 0.0.0.255
[Router D-ospf-1-area-0.0.0.1]quit
[Router D-ospf-1]quit

在RouterA上配置静态路由,并引入OSPF协议

Router A

[RouterA]ip route-static 172.16.16.0 24 NULL 0
[RouterA]ip route-static 172.16.17.0 24 NULL 0
[RouterA]ip route-static 172.16.18.0 24 NULL 0
[RouterA]ip route-static 172.16.19.0 24 NULL 0
[RouterA]ip route-static 172.16.20.0 24 NULL 0
[RouterA]ospf
[RouterA-ospf-1]import-route static
[RouterA-ospf-1]quit

查看RouterB路由表是否有配置的静态路由

[Router B]display ospf routing 
   OSPF Process 1 with Router ID 192.168.3.1
      Routing Tables 
 Routing for Network 
 Destination        Cost  Type       NextHop         AdvRouter       Area
 192.168.1.0/24     1     Transit    192.168.1.2     192.168.3.1     0.0.0.1
 192.168.2.0/24     1     Transit    192.168.2.1     192.168.3.1     0.0.0.1
 192.168.3.0/24     1     Transit    192.168.3.1     192.168.3.1     0.0.0.1
 Routing for ASEs
 Destination        Cost      Type       Tag         NextHop         AdvRouter
 172.16.16.0/24     1         Type2      1           192.168.1.1     192.168.1.1
 172.16.17.0/24     1         Type2      1           192.168.1.1     192.168.1.1
 172.16.18.0/24     1         Type2      1           192.168.1.1     192.168.1.1
 172.16.19.0/24     1         Type2      1           192.168.1.1     192.168.1.1
 172.16.20.0/24     1         Type2      1           192.168.1.1     192.168.1.1
 Total Nets: 8  
 Intra Area: 3  Inter Area: 0  ASE: 5  NSSA: 0
[Router B]display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 18       Routes : 18       
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
127.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
    172.16.16.0/24  O_ASE   150  1           D   192.168.1.1     GigabitEthernet0/0/2
    172.16.17.0/24  O_ASE   150  1           D   192.168.1.1     GigabitEthernet0/0/2
    172.16.18.0/24  O_ASE   150  1           D   192.168.1.1     GigabitEthernet0/0/2
    172.16.19.0/24  O_ASE   150  1           D   192.168.1.1     GigabitEthernet0/0/2
    172.16.20.0/24  O_ASE   150  1           D   192.168.1.1     GigabitEthernet0/0/2
    192.168.1.0/24  Direct  0    0           D   192.168.1.2     GigabitEthernet0/0/2
    192.168.1.2/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/2
  192.168.1.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/2
    192.168.2.0/24  Direct  0    0           D   192.168.2.1     GigabitEthernet0/0/1
    192.168.2.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/1
  192.168.2.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/1
    192.168.3.0/24  Direct  0    0           D   192.168.3.1     GigabitEthernet0/0/0
    192.168.3.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
  192.168.3.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
255.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0

配置路由发布策略

在RouterA配置 过滤器 ACL 2021 ,允许172.16.17.0/24、172.16.18.0/24和172.16.19.0/24通过

[RouterA]acl number 2021  
[RouterA-acl-basic-2021]rule permit source 172.16.17.0 0.0.0.255
[RouterA-acl-basic-2021]rule permit source 172.16.18.0 0.0.0.255
[RouterA-acl-basic-2021]rule permit source 172.16.19.0 0.0.0.255
[RouterA-acl-basic-2021]quit
[RouterA]

在RouterA OSPF中配置发布策略,引用ACL 2021进行过滤

[RouterA]ospf
[RouterA-ospf-1]filter-policy 2021 export static
[RouterA-ospf-1]quit

再次查看RouterB路由表,可以看到RouterB仅接收到ACL 2021中定义的3条路由

[Router B]display ip routing-table 
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 16       Routes : 16       
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
127.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
    172.16.17.0/24  O_ASE   150  1           D   192.168.1.1     GigabitEthernet0/0/2
    172.16.18.0/24  O_ASE   150  1           D   192.168.1.1     GigabitEthernet0/0/2
    172.16.19.0/24  O_ASE   150  1           D   192.168.1.1     GigabitEthernet0/0/2
    192.168.1.0/24  Direct  0    0           D   192.168.1.2     GigabitEthernet0/0/2
    192.168.1.2/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/2
  192.168.1.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/2
    192.168.2.0/24  Direct  0    0           D   192.168.2.1     GigabitEthernet0/0/1
    192.168.2.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/1
  192.168.2.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/1
    192.168.3.0/24  Direct  0    0           D   192.168.3.1     GigabitEthernet0/0/0
    192.168.3.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
  192.168.3.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
255.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0

配置路由接收策略

先查看Router C路由表,以便区别

[Router C]display ip routing-table 
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 14       Routes : 14       
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
127.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
    172.16.17.0/24  O_ASE   150  1           D   192.168.3.1     GigabitEthernet0/0/0
    172.16.18.0/24  O_ASE   150  1           D   192.168.3.1     GigabitEthernet0/0/0
    172.16.19.0/24  O_ASE   150  1           D   192.168.3.1     GigabitEthernet0/0/0
    192.168.1.0/24  OSPF    10   2           D   192.168.3.1     GigabitEthernet0/0/0
    192.168.2.0/24  OSPF    10   2           D   192.168.3.1     GigabitEthernet0/0/0
    192.168.3.0/24  Direct  0    0           D   192.168.3.2     GigabitEthernet0/0/0
    192.168.3.2/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
  192.168.3.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
255.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0

在RouterC配置ACL 2022,允许172.16.18.0/24通过

[RouterC]acl number 2022
[RouterC-acl-basic-2022]rule permit source 172.16.18.0 0.0.0.255
[RouterC-acl-basic-2022]quit

在RouterC配置接收策略,引用ACL 2022进行过滤

[RouterC]ospf
[RouterC-ospf-1]filter-policy 2022 import 
[RouterC-ospf-1]q
[RouterC]

再次查看RouterC的IP路由表,可以看到RouterC的本地路由表中,仅接收了ACL 2022定义的1条路由

[Router C]display ip routing-table 
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 14       Routes : 14       
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
127.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
    172.16.18.0/24  O_ASE   150  1           D   192.168.3.1     GigabitEthernet0/0/0
    192.168.3.0/24  Direct  0    0           D   192.168.3.2     GigabitEthernet0/0/0
    192.168.3.2/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
  192.168.3.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
255.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0

公众号:刘俊辉个人博客

文章标签:
网络协议
ARouter
数据安全/隐私保护
刘俊辉个人博客
目录
相关文章
萝卜大杂烩
|
机器学习/深度学习 存储 SQL
15个超级棒的外文免费数据集,学习数据分析不愁没有数据用了!
15个超级棒的外文免费数据集,学习数据分析不愁没有数据用了!
萝卜大杂烩
503 0
Deephub
|
存储 自然语言处理 API
LlamaIndex使用指南
LlamaIndex是一个方便的工具,它充当自定义数据和大型语言模型(llm)(如GPT-4)之间的桥梁,大型语言模型模型功能强大,能够理解类似人类的文本。LlamaIndex都可以轻松地将数据与这些智能机器进行对话。这种桥梁建设使你的数据更易于访问,为更智能的应用程序和工作流铺平了道路。
Deephub
4581 0
聚优云惠
|
Linux 网络安全
Linux系统如何查看和设置防火墙规则(端口开放和禁用)
Linux系统如何查看和设置防火墙规则(端口开放和禁用)
聚优云惠
4179 0
刘俊辉个人博客
|
4月前
|
网络虚拟化
配置OptionC方式跨域VPN示例
本文介绍了跨域BGP/MPLS IP VPN的配置方法。公司总部(CE1)与分部(CE2)分别通过不同运营商AS10和AS20接入,同属vpn1。配置思路包括:1) 配置IGP协议实现骨干网互通;2) 配置MPLS基本能力和LDP建立LSP;3) 配置VPN实例并绑定接口;4) 建立EBGP对等体交换路由;5) 在ASBR-PE上发布带标签的路由;6) 配置MP-EBGP对等体关系。操作步骤涵盖IP地址配置、MPLS骨干网互通、VPN实例接入及路由验证,确保跨域通信正常。
刘俊辉个人博客
195 0
刘俊辉个人博客
|
4月前
|
JSON 自然语言处理 Linux
linux命令—tree
tree是一款强大的Linux命令行工具,用于以树状结构递归展示目录和文件,直观呈现层级关系。支持多种功能,如过滤、排序、权限显示及格式化输出等。安装方法因系统而异常用场景包括:基础用法(显示当前或指定目录结构)、核心参数应用(如层级控制-L、隐藏文件显示-a、完整路径输出-f)以及进阶操作(如磁盘空间分析--du、结合grep过滤内容、生成JSON格式列表-J等)。此外,还可生成网站目录结构图并导出为HTML文件。注意事项:使用Tab键补全路径避免错误;超大目录建议限制遍历层数;脚本中推荐禁用统计信息以优化性能。更多详情可查阅手册mantree。
刘俊辉个人博客
218 7
linux命令—tree
wljslmz
|
12月前
|
安全 网络协议 网络虚拟化
网络工程中出场率最高的三层交换机到底是个啥?与路由器有啥本质区别?
【10月更文挑战第9天】
wljslmz
674 0
网络工程中出场率最高的三层交换机到底是个啥?与路由器有啥本质区别?
思通聚宝
|
10月前
|
机器学习/深度学习 人工智能 边缘计算
24/7全时守护:AI视频监控技术的深度实现与应用分享
本文深入解析了AI视频监控系统在车间安全领域的技术实现与应用,涵盖多源数据接入、边缘计算、深度学习驱动的智能分析及高效预警机制,通过具体案例展示了系统的实时性、高精度和易部署特性,为工业安全管理提供了新路径。
思通聚宝
2429 7
米果粒
|
数据采集 消息中间件 存储
数据采集方法
【6月更文挑战第21天】数据采集方法。
米果粒
501 3
工程师阿龙
|
网络协议 网络虚拟化 网络架构
【原创】手把手教你如何配置华为Super VLAN(VLAN聚合)
【原创】手把手教你如何配置华为Super VLAN(VLAN聚合)
工程师阿龙
1284 0
神秘泣男子
|
负载均衡 算法 网络虚拟化
ensp中链路聚合配置命令
链路聚合(Link Aggregation)是结合多条物理链路形成逻辑链路的技术,提升网络带宽、增强冗余性和优化负载均衡。在高带宽、高可靠性及负载均衡需求的场景如服务器集群、数据中心等中广泛应用。配置包括手动和自动模式,手动模式下,如LSW1和LSW2,通过`int eth-trunk`、`trunkport`等命令配置接口和成员链路。自动模式下,如SW3和LSW4,使用LACP协议动态聚合,通过`mode lacp-static`和`load-balance dst-mac`命令设置。配置后,使用`dis eth-trunk`检查聚合状态。
神秘泣男子
1922 1
ensp中链路聚合配置命令