配置AS_Path过滤器

简介: 本文介绍了通过配置BGP的AS_Path过滤器实现特定网络隔离的需求。场景中,AR1与AR2、AR2与AR3之间建立EBGP连接,用户希望AS10和AS30的设备无法互相通信。配置思路包括:1) 在AR1与AR2、AR2与AR3间配置EBGP连接并引入直连路由;2) 在AR2上配置AS_Path过滤器,阻止AS10与AS30的路由发布。操作步骤涵盖IP地址配置、BGP配置及AS_Path过滤器设置,并通过路由表验证结果,确保AS10和AS30的路由互不可见。

组网需求

如图,AR1与AR2、AR2与AR3之间建立EBGP连接。用户希望AS10的设备和AS30的设备无法相互通信。公众号同名

配置思路

采用如下思路配置BGP的AS_Path过滤器:

  1. 在AR1和AR2间、AR2和AR3之间分别配置EBGP连接,并引入直连路由,使AS之间通过EBGP连接实现相互通信。
  2. 在AR2上配置AS_Path过滤器,并应用该过滤规则,使AS20不向AS10发布AS30的路由,也不向AS30发布AS10的路由。

操作步骤

配置IP

AR1

<Huawei>sys
[Huawei]sys AR1
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 12.12.12.1 24
[AR1-GigabitEthernet0/0/0]q
[AR1]int lo1
[AR1-LoopBack1]ip add 1.1.1.1 24
[AR1-LoopBack1]q

AR2

<Huawei>sys 
[Huawei]sys AR2
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 12.12.12.2 24
[AR2-GigabitEthernet0/0/0]q
[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 23.23.23.2 24
[AR2-GigabitEthernet0/0/1]q

AR3

<Huawei>sys 
[Huawei]sys AR3
[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/1]ip add 23.23.23.3 24
[AR3-GigabitEthernet0/0/1]q
[AR3]int lo1
[AR3-LoopBack1]ip add 3.3.3.3 24
[AR3-LoopBack1]q

配置BGP,并引入直连路由

AR1

[AR1]bgp 10
[AR1-bgp]peer 12.12.12.2 as-number 20
#引入该设备直连路由
[AR1-bgp]import-route direct 
[AR1-bgp]q

AR2

[AR2]b  
[AR2]bgp 20
[AR2-bgp]peer 12.12.12.1 as-number 10
[AR2-bgp]peer 23.23.23.3 as-number 30
[AR2-bgp]import-route direct 
[AR2-bgp]q

AR3

[AR3]bgp 30
[AR3-bgp]peer 23.23.23.2 as-number 20
[AR3-bgp]import-route direct 
[AR3-bgp]q

分别查看AR1、AR2、AR3 BGP路由表

AR1

[AR1]display bgp routing-table 
 BGP Local router ID is 12.12.12.1 
 Status codes: * - valid, > - best, d - damped,
               h - history,  i - internal, s - suppressed, S - Stale
               Origin : i - IGP, e - EGP, ? - incomplete
 Total Number of Routes: 6
      Network            NextHop        MED        LocPrf    PrefVal Path/Ogn
 *>   1.1.1.0/24         0.0.0.0         0                     0      ?
 *>   1.1.1.1/32         0.0.0.0         0                     0      ?
 *>   3.3.3.0/24         12.12.12.2                            0      20 30?
 *>   12.12.12.0/24      0.0.0.0         0                     0      ?
                         12.12.12.2      0                     0      20?
 *>   12.12.12.1/32      0.0.0.0         0                     0      ?
 *>   23.23.23.0/24      12.12.12.2      0                     0      20?
 *>   127.0.0.0          0.0.0.0         0                     0      ?
 *>   127.0.0.1/32       0.0.0.0         0                     0      ?
[AR1]

AR2

[AR2]display bgp routing-table 
 BGP Local router ID is 12.12.12.2 
 Status codes: * - valid, > - best, d - damped,
               h - history,  i - internal, s - suppressed, S - Stale
               Origin : i - IGP, e - EGP, ? - incomplete
 Total Number of Routes: 10
      Network            NextHop        MED        LocPrf    PrefVal Path/Ogn
 *>   1.1.1.0/24         12.12.12.1      0                     0      10?
 *>   3.3.3.0/24         23.23.23.3      0                     0      30?
 *>   12.12.12.0/24      0.0.0.0         0                     0      ?
                         12.12.12.1      0                     0      10?
 *>   12.12.12.2/32      0.0.0.0         0                     0      ?
 *>   23.23.23.0/24      0.0.0.0         0                     0      ?
                         23.23.23.3      0                     0      30?
 *>   23.23.23.2/32      0.0.0.0         0                     0      ?
 *>   127.0.0.0          0.0.0.0         0                     0      ?
 *>   127.0.0.1/32       0.0.0.0         0                     0      ?

AR3

[AR3]display bgp routing-table 
 BGP Local router ID is 3.3.3.3 
 Status codes: * - valid, > - best, d - damped,
               h - history,  i - internal, s - suppressed, S - Stale
               Origin : i - IGP, e - EGP, ? - incomplete
 Total Number of Routes: 9
      Network            NextHop        MED        LocPrf    PrefVal Path/Ogn
 *>   1.1.1.0/24         23.23.23.2                            0      20 10?
 *>   3.3.3.0/24         0.0.0.0         0                     0      ?
 *>   3.3.3.3/32         0.0.0.0         0                     0      ?
 *>   12.12.12.0/24      23.23.23.2      0                     0      20?
 *>   23.23.23.0/24      0.0.0.0         0                     0      ?
                         23.23.23.2      0                     0      20?
 *>   23.23.23.3/32      0.0.0.0         0                     0      ?
 *>   127.0.0.0          0.0.0.0         0                     0      ?
 *>   127.0.0.1/32       0.0.0.0         0                     0      ?

结果

由以上路由表可以看出AR1、AR3都互相学习到了对方的直连路由

配置AS_Path过滤器

AR2

#创建AS路径过滤器
[AR2]ip as-path-filter deny30 deny _30_
[AR2]ip as-path-filter deny30 permit .*
[AR2]ip as-path-filter deny10 deny _10_
[AR2]ip as-path-filter deny10 permit .*
[AR2]bgp 20
[AR2-bgp]peer 12.12.12.1 as-path-filter deny30 export   
[AR2-bgp]peer 23.23.23.3 as-path-filter deny10 export 
[AR2-bgp]q

验证结果

AR2

#查看AR2发往AS10的发布路由表,可以看到表中没有AR2发布的AS30引入的直连路由
<AR2>display bgp routing-table peer 12.12.12.1 advertised-routes
 BGP Local router ID is 12.12.12.2 
 Status codes: * - valid, > - best, d - damped,
               h - history,  i - internal, s - suppressed, S - Stale
               Origin : i - IGP, e - EGP, ? - incomplete
 Total Number of Routes: 2
      Network            NextHop        MED        LocPrf    PrefVal Path/Ogn
 *>   12.12.12.0/24      12.12.12.2      0                     0      20?
 *>   23.23.23.0/24      12.12.12.2      0                     0      20?
#查看AR2发往AS30的发布路由表,可以看到表中没有AR2发布的AS10引入的直连路由
<AR2>display bgp routing-table peer 23.23.23.3 advertised-routes
 BGP Local router ID is 12.12.12.2 
 Status codes: * - valid, > - best, d - damped,
               h - history,  i - internal, s - suppressed, S - Stale
               Origin : i - IGP, e - EGP, ? - incomplete
 Total Number of Routes: 2
      Network            NextHop        MED        LocPrf    PrefVal Path/Ogn
 *>   12.12.12.0/24      23.23.23.2      0                     0      20?
 *>   23.23.23.0/24      23.23.23.2      0                     0      20?

AR1

#AR1的BGP路由表里也没有AS30区域的路由
<AR1>display bgp routing-table
 BGP Local router ID is 12.12.12.1 
 Status codes: * - valid, > - best, d - damped,
               h - history,  i - internal, s - suppressed, S - Stale
               Origin : i - IGP, e - EGP, ? - incomplete
 Total Number of Routes: 8
      Network            NextHop        MED        LocPrf    PrefVal Path/Ogn
 *>   1.1.1.0/24         0.0.0.0         0                     0      ?
 *>   1.1.1.1/32         0.0.0.0         0                     0      ?
 *>   12.12.12.0/24      0.0.0.0         0                     0      ?
                         12.12.12.2      0                     0      20?
 *>   12.12.12.1/32      0.0.0.0         0                     0      ?
 *>   23.23.23.0/24      12.12.12.2      0                     0      20?
 *>   127.0.0.0          0.0.0.0         0                     0      ?
 *>   127.0.0.1/32       0.0.0.0         0                     0      ?

AR3

#AR3的BGP路由表里也没有AS10区域的路由
<AR3>display bgp routing-table 
 BGP Local router ID is 3.3.3.3 
 Status codes: * - valid, > - best, d - damped,
               h - history,  i - internal, s - suppressed, S - Stale
               Origin : i - IGP, e - EGP, ? - incomplete
 Total Number of Routes: 9
      Network            NextHop        MED        LocPrf    PrefVal Path/Ogn
 *>   1.1.1.0/24         23.23.23.2                            0      20 10?
 *>   3.3.3.0/24         0.0.0.0         0                     0      ?
 *>   3.3.3.3/32         0.0.0.0         0                     0      ?
 *>   12.12.12.0/24      23.23.23.2      0                     0      20?
 *>   23.23.23.0/24      0.0.0.0         0                     0      ?
                         23.23.23.2      0                     0      20?
 *>   23.23.23.3/32      0.0.0.0         0                     0      ?
 *>   127.0.0.0          0.0.0.0         0                     0      ?
 *>   127.0.0.1/32       0.0.0.0         0                     0      ?
相关文章
|
5月前
|
网络协议 网络虚拟化 Python
配置BGP/MPLS IP VPN示例——详解版
本文介绍了BGP/MPLS IP VPN的配置示例,分部1与分部2只能和总部通信,不能互相通信。通过MPLS VPN实现分部与总部间的通信,使用BGP协议传递路由。配置包括接口IP地址设置、OSPF域内互通、PE上的VPN实例配置、MP-IBGP配置、PE与CE间EBGP对等体关系建立、MPLS及MPLS LDP功能配置,并验证了配置结果。最终测试显示,同一VPN下的CE设备可相互Ping通,不同VPN下的CE设备则不能。
配置BGP/MPLS IP VPN示例——详解版
|
Java Apache
如何用 Java 实现 word、excel 等文档在线预览?
java实现办公文件在线预览功能是一个大家在工作中也许会遇到的需求,网上些公司专门提供这样的服务,不过需要收费 如果想要免费的,可以用openoffice,实现原理就是:
|
存储 资源调度 监控
|
10月前
|
网络虚拟化
配置BGP/MPLS IP VPN示例
本文介绍了通过配置MPLS VPN实现分部与总部之间的通信需求。具体要求为分部1和分部2只能与总部通信,而分部之间不能通信。配置思路包括使用BGP协议传递路由,并将各分部分别划分到不同的VPN实例中(VPN1、VPN2、VPN3),通过设置RD和Target属性确保路由隔离。操作步骤涵盖设备IP地址配置、MPLS域内互通、PE上的VPN实例配置、接口绑定、MP-IBGP配置、CE与PE间的路由交换及MPLS LDP功能配置。最终验证显示,同一VPN内的CE设备可以相互通信,不同VPN的CE设备则无法通信,满足了组网需求。
配置BGP/MPLS IP VPN示例
|
计算机视觉 索引
OpenCv实时设置摄像头参数/获得摄像头参数值的方法论
这篇文章提供了一个OpenCV的实例教程,展示了如何使用`createTrackbar()`函数实时设置和获取摄像头参数值,如饱和度、Gamma和亮度,并通过回调函数在程序中连续修改这些参数。
|
SQL 关系型数据库 MySQL
MySQL小白教程(进阶篇):深入理解SQL与数据管理
MySQL小白教程(进阶篇):深入理解SQL与数据管理
|
机器学习/深度学习
模型选择与调优:scikit-learn中的交叉验证与网格搜索
【4月更文挑战第17天】在机器学习中,模型选择和调优至关重要,scikit-learn提供了交叉验证和网格搜索工具。交叉验证(如k折、留一法和分层k折)用于评估模型性能和参数调优。网格搜索(如GridSearchCV和RandomizedSearchCV)遍历或随机选择参数组合以找到最优设置。通过实例展示了如何使用GridSearchCV对随机森林模型进行调优,强调了理解问题和数据的重要性。
|
存储 网络协议 安全
【专栏】30 道初级网络工程师面试题为广大网络工程师提供参考。
【4月更文挑战第28天】本文为初级网络工程师提供了30道面试题,涵盖OSI七层模型、TCP/IP协议栈、IP地址分类、ARP、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN、网络拓扑、广域网、以太网、网络存储、网络拥塞、流量监控、延迟、网络安全、网络攻击防范、协议分析、性能优化、故障排查、网络虚拟化和云计算等基础知识。这些问题旨在帮助面试者准备并提升网络工程领域的知识和技能。
1514 0