AI 助理
文档备案控制台
开发者社区 安全 文章 正文

在OSPF中使用基本ACL过滤路由信息

2025-06-04 252
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 本文介绍了通过OSPF协议实现特定网络访问限制的配置方法。需求为:RouterA从Internet接收路由并提供给OSPF网络,仅允许访问172.16.17.0/24、172.16.18.0/24和172.16.19.0/24三个网段,其中RouterC仅能访问172.16.18.0/24。配置思路包括在RouterA上使用ACL过滤发布路由,在RouterC上使用ACL过滤接收路由。操作步骤涵盖IP地址配置、OSPF基本功能配置、静态路由引入及路由发布与接收策略配置,最终实现精确的网络访问控制。

组网需求

如图,运行OSPF协议的网络中,RouterA从Internet网络接收路由,并为OSPF网络提供了Internet路由。要求OSPF网络中只能访问172.16.17.0/24、172.16.18.0/24和172.16.19.0/24三个网段的网络,其中RouterC连接的网络只能访问172.16.18.0/24网段的网络。

配置思路

采用如下的思路配置对路由进行过滤:

  1. 在RouterA上配置ACL,在路由发布时应用ACL,使RouterA仅提供路由172.16.17.0/24、172.16.18.0/24、172.16.19.0/24给RouterB,实现OSPF网络中只能访问172.16.17.0/24、172.16.18.0/24、172.16.19.0/24三个网段的网络。
  2. 在RouterC上配置ACL,在路由引入时应用ACL,使RouterC仅接收路由172.16.18.0/24,实现RouterC连接的网络只能访问172.16.18.0/24网段的网络。

操作步骤

配置各接口的IP地址

Router A

<Huawei>sys
<Huawei>sys Router A
[Router A]interface GigabitEthernet0/0/0
[Router A-GigabitEthernet0/0/0]ip address 192.168.1.1 24 
[Router A-GigabitEthernet0/0/0]quit

Router B

<Huawei>sys
<Huawei>sys Router B
[Router B]interface GigabitEthernet0/0/0
[Router B-GigabitEthernet0/0/0]ip address 192.168.3.1 24
[Router B-GigabitEthernet0/0/0]quit
[Router B]interface GigabitEthernet0/0/1
[Router B-GigabitEthernet0/0/1]ip address 192.168.2.1 24
[Router B-GigabitEthernet0/0/1]quit
[Router B]interface GigabitEthernet0/0/2
[Router B-GigabitEthernet0/0/2]ip address 192.168.1.2 24
[Router B-GigabitEthernet0/0/2]quit

Router C

<Huawei>sys
<Huawei>sys Router C
[Router C]interface GigabitEthernet0/0/0
[Router C-GigabitEthernet0/0/0]ip address 192.168.3.2 24 
[Router C-GigabitEthernet0/0/0]quit

Router D

<Huawei>sys
<Huawei>sys Router D
[Router D]interface GigabitEthernet0/0/0
[Router D-GigabitEthernet0/0/0]ip address 192.168.2.2 24 
[Router D-GigabitEthernet0/0/0]quit

配置OSPF基本功能

Router A

[Router A]ospf 1 
[Router A-ospf-1]area 0.0.0.1 
[Router A-ospf-1-area-0.0.0.1]network 192.168.1.0 0.0.0.255
[Router A-ospf-1-area-0.0.0.1]quit
[Router A-ospf-1]quit

Router B

[Router B]ospf 1 
[Router B-ospf-1]area 0.0.0.1 
[Router B-ospf-1-area-0.0.0.1]network 192.168.1.0 0.0.0.255
[Router B-ospf-1-area-0.0.0.1]network 192.168.2.0 0.0.0.255
[Router B-ospf-1-area-0.0.0.1]network 192.168.3.0 0.0.0.255
[Router B-ospf-1-area-0.0.0.1]quit
[Router B-ospf-1]quit

Router C

[Router C]ospf 1 
[Router C-ospf-1]area 0.0.0.1 
[Router C-ospf-1-area-0.0.0.1]network 192.168.3.0 0.0.0.255
[Router C-ospf-1-area-0.0.0.1]quit
[Router C-ospf-1]quit

Router D

[Router D]ospf 1 
[Router D-ospf-1]area 0.0.0.1 
[Router D-ospf-1-area-0.0.0.1]network 192.168.2.0 0.0.0.255
[Router D-ospf-1-area-0.0.0.1]quit
[Router D-ospf-1]quit

在RouterA上配置静态路由,并引入OSPF协议

Router A

[RouterA]ip route-static 172.16.16.0 24 NULL 0
[RouterA]ip route-static 172.16.17.0 24 NULL 0
[RouterA]ip route-static 172.16.18.0 24 NULL 0
[RouterA]ip route-static 172.16.19.0 24 NULL 0
[RouterA]ip route-static 172.16.20.0 24 NULL 0
[RouterA]ospf
[RouterA-ospf-1]import-route static
[RouterA-ospf-1]quit

查看RouterB路由表是否有配置的静态路由

[Router B]display ospf routing 
   OSPF Process 1 with Router ID 192.168.3.1
      Routing Tables 
 Routing for Network 
 Destination        Cost  Type       NextHop         AdvRouter       Area
 192.168.1.0/24     1     Transit    192.168.1.2     192.168.3.1     0.0.0.1
 192.168.2.0/24     1     Transit    192.168.2.1     192.168.3.1     0.0.0.1
 192.168.3.0/24     1     Transit    192.168.3.1     192.168.3.1     0.0.0.1
 Routing for ASEs
 Destination        Cost      Type       Tag         NextHop         AdvRouter
 172.16.16.0/24     1         Type2      1           192.168.1.1     192.168.1.1
 172.16.17.0/24     1         Type2      1           192.168.1.1     192.168.1.1
 172.16.18.0/24     1         Type2      1           192.168.1.1     192.168.1.1
 172.16.19.0/24     1         Type2      1           192.168.1.1     192.168.1.1
 172.16.20.0/24     1         Type2      1           192.168.1.1     192.168.1.1
 Total Nets: 8  
 Intra Area: 3  Inter Area: 0  ASE: 5  NSSA: 0
[Router B]display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 18       Routes : 18       
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
127.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
    172.16.16.0/24  O_ASE   150  1           D   192.168.1.1     GigabitEthernet0/0/2
    172.16.17.0/24  O_ASE   150  1           D   192.168.1.1     GigabitEthernet0/0/2
    172.16.18.0/24  O_ASE   150  1           D   192.168.1.1     GigabitEthernet0/0/2
    172.16.19.0/24  O_ASE   150  1           D   192.168.1.1     GigabitEthernet0/0/2
    172.16.20.0/24  O_ASE   150  1           D   192.168.1.1     GigabitEthernet0/0/2
    192.168.1.0/24  Direct  0    0           D   192.168.1.2     GigabitEthernet0/0/2
    192.168.1.2/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/2
  192.168.1.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/2
    192.168.2.0/24  Direct  0    0           D   192.168.2.1     GigabitEthernet0/0/1
    192.168.2.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/1
  192.168.2.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/1
    192.168.3.0/24  Direct  0    0           D   192.168.3.1     GigabitEthernet0/0/0
    192.168.3.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
  192.168.3.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
255.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0

配置路由发布策略

在RouterA配置 过滤器 ACL 2021 ,允许172.16.17.0/24、172.16.18.0/24和172.16.19.0/24通过

[RouterA]acl number 2021  
[RouterA-acl-basic-2021]rule permit source 172.16.17.0 0.0.0.255
[RouterA-acl-basic-2021]rule permit source 172.16.18.0 0.0.0.255
[RouterA-acl-basic-2021]rule permit source 172.16.19.0 0.0.0.255
[RouterA-acl-basic-2021]quit
[RouterA]

在RouterA OSPF中配置发布策略,引用ACL 2021进行过滤

[RouterA]ospf
[RouterA-ospf-1]filter-policy 2021 export static
[RouterA-ospf-1]quit

再次查看RouterB路由表,可以看到RouterB仅接收到ACL 2021中定义的3条路由

[Router B]display ip routing-table 
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 16       Routes : 16       
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
127.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
    172.16.17.0/24  O_ASE   150  1           D   192.168.1.1     GigabitEthernet0/0/2
    172.16.18.0/24  O_ASE   150  1           D   192.168.1.1     GigabitEthernet0/0/2
    172.16.19.0/24  O_ASE   150  1           D   192.168.1.1     GigabitEthernet0/0/2
    192.168.1.0/24  Direct  0    0           D   192.168.1.2     GigabitEthernet0/0/2
    192.168.1.2/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/2
  192.168.1.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/2
    192.168.2.0/24  Direct  0    0           D   192.168.2.1     GigabitEthernet0/0/1
    192.168.2.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/1
  192.168.2.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/1
    192.168.3.0/24  Direct  0    0           D   192.168.3.1     GigabitEthernet0/0/0
    192.168.3.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
  192.168.3.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
255.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0

配置路由接收策略

先查看Router C路由表,以便区别

[Router C]display ip routing-table 
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 14       Routes : 14       
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
127.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
    172.16.17.0/24  O_ASE   150  1           D   192.168.3.1     GigabitEthernet0/0/0
    172.16.18.0/24  O_ASE   150  1           D   192.168.3.1     GigabitEthernet0/0/0
    172.16.19.0/24  O_ASE   150  1           D   192.168.3.1     GigabitEthernet0/0/0
    192.168.1.0/24  OSPF    10   2           D   192.168.3.1     GigabitEthernet0/0/0
    192.168.2.0/24  OSPF    10   2           D   192.168.3.1     GigabitEthernet0/0/0
    192.168.3.0/24  Direct  0    0           D   192.168.3.2     GigabitEthernet0/0/0
    192.168.3.2/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
  192.168.3.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
255.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0

在RouterC配置ACL 2022,允许172.16.18.0/24通过

[RouterC]acl number 2022
[RouterC-acl-basic-2022]rule permit source 172.16.18.0 0.0.0.255
[RouterC-acl-basic-2022]quit

在RouterC配置接收策略,引用ACL 2022进行过滤

[RouterC]ospf
[RouterC-ospf-1]filter-policy 2022 import 
[RouterC-ospf-1]q
[RouterC]

再次查看RouterC的IP路由表,可以看到RouterC的本地路由表中,仅接收了ACL 2022定义的1条路由

[Router C]display ip routing-table 
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 14       Routes : 14       
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
127.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
    172.16.18.0/24  O_ASE   150  1           D   192.168.3.1     GigabitEthernet0/0/0
    192.168.3.0/24  Direct  0    0           D   192.168.3.2     GigabitEthernet0/0/0
    192.168.3.2/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
  192.168.3.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
255.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0

公众号:刘俊辉个人博客

文章标签:
网络协议
ARouter
数据安全/隐私保护
刘俊辉个人博客
目录
相关文章
暴走的莉莉酱
|
5天前
|
人工智能 定位技术 SEO
我学 GEO 第 15 天:终于知道AI GEO该如何做?
我是暴走的莉莉酱,边旅行边研究AI GEO的数字游民。专注普通人如何提升“AI可见度”——让AI在回答用户问题时准确识别、理解并推荐你。不讲玄学,只做可测、可调、可持续的GEO实践。
暴走的莉莉酱
409 125
bailiantest1
|
7天前
|
机器学习/深度学习 人工智能 调度
🐴 HappyHorse 1.1 现已上线阿里云百炼!快来查收模型使用指南,现在调用享 6 折~
HappyHorse 1.1 是新一代视频生成大模型,全面升级动态表现力、角色一致性、指令遵循、视觉质感与音画协同能力。支持I2V/T2V/R2V三类生成,适配短剧、电商广告、品牌营销等场景,提供高质、流畅、可控的AI视频生产力。
bailiantest1
694 5
🐴 HappyHorse 1.1 现已上线阿里云百炼!快来查收模型使用指南,现在调用享 6 折~
无雨云
|
5天前
|
缓存 人工智能 运维
阿里云618百炼大模型Qwen3.7-Max功能、免费试用、订阅计费、配置接入详解
Qwen3.7-MAX是阿里云百炼平台推出的通义千问3.7系列旗舰大语言模型,专为智能体时代复杂任务打造,依托阿里云全域算力与自研技术,在逻辑推理、长文本处理、代码工程、长周期自主执行等领域达到行业顶尖水平。2026年618期间,该模型推出多重免费试用权益、按量计费5折、订阅套餐优惠等专属福利,覆盖个人开发者、团队与企业全场景需求,以下从核心功能、免费试用、订阅计费、配置接入四方面展开详细解析。
无雨云
404 123
Clawdbot
|
3天前
|
人工智能 自然语言处理 API
阿里云Token Plan团队版解析:功能、三档套餐与省钱订阅指南
阿里云百炼平台推出的Token Plan团队版,是面向企业与团队的AI大模型订阅服务,以Credits为统一计量单位,整合文本与图像生成模型,提供团队管理、数据安全、多工具兼容等核心能力,解决团队零散订阅AI服务的管理混乱、成本失控、数据安全等痛点。本文将从核心定位、套餐详情、计费规则、团队管理、工具兼容、便宜订阅技巧等方面,全面解析Token Plan团队版,帮助企业与团队高效、低成本地使用AI服务。
Clawdbot
302 108
阿里云云原生
|
4天前
|
存储 人工智能 数据可视化
别再手动复制 Skill 了:多 Agent 时代的 Skill 管理方案
多 Agent 场景下 Skill 的统一管理与同步。
阿里云云原生
244 124
游客37x5chh37o32g
|
18天前
|
缓存 测试技术 API
Qwen 3.7 Plus 与 Max 实测:性价比与多模态能力差异解析(2026)
2026 年 6 月 1 日,阿里悄无声息地发布了 Qwen 3.7 Plus,距 Qwen 3.7 Max 上线刚好 11 天。同样的 1M 上下文,同样的 35 小时自治上限。但价格才是头条:Plus 是 0.40/M输入,Max是 2.50/M——便宜约 6 倍——并且还能看图、看视频。Vision Arena 上 Plus 已经排到 #16。所以这周真正值得讨论的问题不是”要不要为视觉能力买单”,而是”Max 凭什么用 6 倍价格换来 2 个百分点的 benchmark 领先”。
游客37x5chh37o32g
907 14
小鲸云
|
11天前
|
缓存 人工智能 运维
GLM 5.2自托管全流程实战:硬件选型、vLLM/SGLang部署与成本盈亏测算
2026年智谱发布GLM 5.2超大混合专家模型,区别于以往仅开放API的闭源大模型,该模型权重以MIT开源协议对外发布,企业与开发者可完整下载、本地审计、私有化部署,实现数据不出环境、自定义微调、自主调度推理资源。GLM 5.2拥有753B总参数,原生支持百万级上下文窗口,在代码生成、长文档推理、数学逻辑等多项基准测试中对标国际顶尖商用模型,是首款可完整自托管的前沿代码向大模型。
小鲸云
909 0
游客usiy5oatinu3g
|
13天前
|
Linux 程序员 数据格式
【2026最新】Notepad++下载、安装和使用一篇搞定(附中文版安装包)
Notepad++ 是一款免费开源、轻量高效的 Windows 文本编辑器,支持 C/Python/HTML 等 80+ 语言语法高亮、代码折叠、正则替换、编码转换及插件扩展,专为程序员与文本处理用户打造,完美替代系统记事本。(239字)
游客usiy5oatinu3g
1141 0