了解用于路由策略匹配条件的路由过滤器
路由过滤器是匹配前缀的集合。指定匹配前缀时,可以指定与特定路由的确切匹配或精确性较低的匹配。您可以配置适用于整个列表的通用操作,也可以配置与每个前缀关联的操作。
由于路由过滤器的配置包括设置前缀和前缀长度,因此在继续配置之前,您应该全面了解 IP 寻址(包括超网)以及如何评估路由过滤器(此处说明:如何在路由策略匹配条件下评估路由过滤器).
本节讨论以下主题:
基迪克斯树
要了解路由过滤器的操作,您需要熟悉用于二进制编号匹配的设备,称为基数树(有时称为 patricia trie 或 radix trie)。基数树使用二进制查找来识别 IP 地址(路由)。请记住,IP 地址是一个 32 位数字,以点数十进制格式表示,以便于人类理解。这些 8 位分组的值可以在 0 到 255 之间。基数树可以是这些二进制数字的图形表示。
在 图 1中,基数树以没有配置的值(从 0 开始)开始,位于二进制 IP 地址的最左侧。这显示为 0/0,通常称为默认路由。
由于这是二进制值,因此每个位只能有两个可能的值中的一个:0 或 1。向下移动左侧分支表示 0 的值,而向右移动表示值 1。第一步如中 图 2所示。在第一个位置,IP 地址的第一个八位位组的值分别为 000000000 或 10000000—分别为 0 或 128。值 0/1 和 128/1 表示 图 2 。
第二步如中 图 3所示。树的第二个级别第一个八位位组有四个可能的二进制值:00000000、01000000、10000000 和 11000000。这些十进制值 0、64、128 和 192 由基数树上的 IP 地址 0/2、64/2、128/2 和 192/2 表示。
这一分步的过程持续到总 33 个级别,以表示每个可能的 IP 地址。
在查找一组全部共享相同最重要位的路由时,基数树结构很有帮助。 图 4 显示了基数树中的点,代表 192.168.0.0/16 网络。比 192.168.0.0/16 更具体的所有路由都显示在突出显示的部分。
配置路由过滤器
配置路由过滤器主题介绍了 Junos OS 的默认行为。本主题未涵盖的演练功能允许路由器考虑在同一期限内配置的更短的匹配条件,从而改变本主题讨论的评估结果。请参阅路由过滤器概述 以获取详细信息。
要配置路由过滤器,请添加一个或多个 route-filter 语句或 source-address-filter 语句:
[edit policy-options policy-statement policy-name term term-name from]
route-filter destination-prefix match-type {
actions;
}
选项 route-filter 通常用于将传入路由地址与除单播源地址以外的任何类型的目标匹配前缀。
该 destination-prefix 地址是指定为 prefix/prefix-length的 IP 版本 4 (IPv4) 或 IP 版本 6 (IPv6) 地址前缀。如果省略 prefix-length IPv4 前缀,则默认为 /32。如果省略 prefix-length IPv6 前缀,则默认为 /128。语句指定的 from 前缀必须是所有 IPv4 地址或所有 IPv6 地址。
选项 source-address-filter 通常用于将传入路由地址与多协议 BGP (MBGP) 和组播源发现协议 (MSDP) 环境中的单播源地址匹配。
source-address-filter source-prefix match-type {
actions;
}
source-prefix 地址是指定为 prefix/prefix-length的 IPv4 或 IPv6 地址前缀。如果省略 prefix-length IPv4 前缀,则默认为 /32prefix-length。如果省略 prefix-length IPv6 前缀,则默认为 /128。语句指定的 from 前缀必须是所有 IPv4 地址或所有 IPv6 地址。
match-type 是要应用于源或目标前缀的匹配类型。可以是中列出的 表 1其中一种匹配类型。有关显示各种路由时匹配类型和结果的示例,请参阅 表 2。
actions 是当路由地址符合目标匹配前缀(作为选项的一部分指定)或源匹配前缀(作为选项的一 route-filter 部分 destination-address-filter 指定)所指定的标准时,要采取的操作。这些操作可以包含一 路由策略条款中的操作个或多个所述的操作。
在路由过滤器中,您可以通过两种方式指定操作:
在
route-filter或source-address-filter选项中 — 这些操作在匹配发生后立即执行,并且then不会评估语句。语句中
then— 这些操作在匹配发生后执行,但未为route-filter或source-address-filter选项指定任何操作。
upto和prefix-length-range匹配类型相似,两者都指定了最重要的位,并且提供了一系列可以匹配的前缀长度。区别在于, upto 您只能为前缀长度范围指定上限,而 prefix-length-range 允许您同时指定下限和上限。
有关这些路由过滤器匹配类型的更多示例,请参阅 路由过滤器示例。
匹配类型 |
匹配标准 |
|---|---|
|
以下所有情况均正确:
注:
除了 对路由过滤器执行最长匹配查找时,查找将评估与其他 有关此路由过滤器匹配类型的详细信息,请参阅 如何评估地址掩码匹配类型。 例如,有关显示包含 |
|
以下所有情况均正确:
|
|
以下所有情况均正确:
|
|
以下所有情况均正确:
|
|
以下所有情况均正确:
|
|
以下所有情况均正确:
在大多数路由策略配置中,您不使用 |
|
以下所有情况均正确:
|
图 5 显示了路由 192.168.0.0/16 的详细基元树。
前缀 |
192.168/16 确切 |
192.168/16 更长 |
192.168/16 或更高版本 |
192.168/16 最高/24 |
192.168/16 prefix-length-range/18 – /20 |
192.168/16 through192.168.16/20 |
192.168/19 address-mask255.255.0.0 |
|---|---|---|---|---|---|---|---|
10.0.0.0/8 |
- |
- |
- |
- |
- |
- |
- |
192.168.0.0/16 |
匹配 |
- |
匹配 |
匹配 |
- |
匹配 |
- |
192.168.0.0/17 |
- |
匹配 |
匹配 |
匹配 |
- |
匹配 |
- |
192.168.0.0/18 |
- |
匹配 |
匹配 |
匹配 |
匹配 |
匹配 |
- |
192.168.0.0/19 |
- |
匹配 |
匹配 |
匹配 |
匹配 |
匹配 |
匹配 |
192.168.4.0/24 |
- |
匹配 |
匹配 |
匹配 |
- |
- |
- |
192.168.5.4/30 |
- |
匹配 |
匹配 |
- |
- |
- |
- |
192.168.12.4/30 |
- |
匹配 |
匹配 |
- |
- |
- |
- |
192.168.12.128/32 |
- |
匹配 |
匹配 |
- |
- |
- |
- |
192.168.16.0/20 |
- |
匹配 |
匹配 |
匹配 |
匹配 |
匹配 |
- |
192.168.192.0/18 |
- |
匹配 |
匹配 |
匹配 |
匹配 |
- |
- |
192.168.224.0/19 |
- |
匹配 |
匹配 |
匹配 |
匹配 |
- |
匹配 |
10.169.1.0/24 |
- |
- |
- |
- |
- |
- |
- |
10.170.0.0/16 |
- |
- |
- |
- |
- |
- |
- |
如何在路由策略匹配条件下评估路由过滤器
在路由过滤器评估期间,策略框架软件会将每个路由的源地址与路由过滤器中的目标前缀进行比较。评估分两步进行:
策略框架软件会执行 最长匹配查找,这意味着软件在列表中搜索长度最长的前缀。
最长匹配查找仅考虑
prefix配置的匹配前缀的和prefix-length组件,而不是match-type组件。以下示例路由过滤器说明了这一点:from { route-filter 192.168.0.0/14 upto /24 reject; route-filter 192.168.0.0/15 exact; } then accept;候选路由 192.168.1.0/24 最长的匹配项是第二个路由过滤器 192.168.0.0/15,仅基于前缀和前缀长度。
当传入路由与前缀匹配(最长优先)时,将发生以下操作:
即使匹配类型失败,路由过滤器也会停止评估其他前缀。
软件检查匹配类型和与该前缀关联的操作。
根据使用 address-mask 匹配类型的匹配标准评估路由源地址时,评估的两个步骤都包括配置的网络掩码值。有关更多详细信息,请参阅如何评估地址掩码匹配类型。
在步骤 1 中,如果评估路由 192.168.1.0/24,则无法匹配。它匹配 192.168.0.0/15 中最长的前缀,但不匹配 exact。路由过滤器已完成,因为它匹配了前缀,但结果是匹配失败,因为匹配类型失败。
如果发生匹配,将执行使用前缀指定的操作。如果未使用前缀指定操作,将执行语句中的 then 操作。如果未指定这两个操作,软件将评估下一个术语或路由策略(如果存在)或执行 accept 默认策略指定的或 reject 操作。有关默认路由策略的更多信息,请参阅 默认路由策略。
如果在路由过滤器中指定了多个前缀,则只有一个前缀需要匹配才能发生匹配。路由过滤器匹配实际上是一个逻辑 OR 操作。
如果未匹配,软件将评估下一项或路由策略(如果存在)或执行 accept 默认策略指定的或 reject 操作。
例如,将前缀 192.168.254.0/24 与以下路由过滤器进行比较:
route-filter 192.168.0.0/16 orlonger; route-filter 192.168.254.0/23 exact;
前缀 192.168.254.0/23 确定为最长的前缀。当软件根据最长的前缀评估 192.168.254.0/24 时,将发生匹配(192.168.254.0/24 是 192.168.254.0/23 的子集)。由于 192.168.254.0/24 与最长的前缀匹配,因此评估继续进行。但是,当软件评估匹配类型时,在 192.168.254.0/24 和 192.168.254.0/23 之间不会发生匹配。软件会得出结论,该术语与下一个术语或路由策略(如果存在)不匹配,或者会执行 accept 默认策略指定的或 reject 操作。
前缀顺序如何影响路由过滤器评估
指定前缀的顺序(自上而下)通常并不重要,因为策略框架软件会扫描路由过滤器,以便在评估期间查找最长的前缀。此规则的例外是在列表中多次使用相同的目标前缀。在这种情况下,前缀的顺序很重要,因为相同前缀列表是从上到下扫描的,并且应用与路由匹配的第一个匹配类型。
在以下示例中,为同一前缀指定了不同的匹配类型。路由 0.0.0.0/0 将被拒绝,路由 0.0.0.0/8 将被标记 next-hop self,路由 0.0.0.0/25 将被拒绝。
route-filter 0.0.0.0/0 upto /7 reject; route-filter 0.0.0.0/0 upto /24 next-hop self; route-filter 0.0.0.0/0 orlonger reject;
如何评估地址掩码匹配类型
除了 address-mask 配置的目标匹配前缀的长度外,路由策略匹配类型还允许您匹配配置的网络掩码值上的传入 IPv4 或 IPv6 路由地址。在路由过滤器评估期间, address-mask 将考虑配置的净掩码值,以与其他路由策略匹配类型不同的方式处理匹配类型:
当最长匹配查找评估
address-mask路由策略匹配类型时,prefix-length不会考虑配置的匹配前缀的组件。相反,查找会考虑在配置的 net 掩码值中设置的连续高阶位数。当根据使用
address-mask路由策略匹配类型的路由过滤器匹配标准评估传入 IPv4 或 IPv6 路由地址时,如果以下值相同,匹配将成功:配置的网络掩码值以及传入的 IPv4 或 IPv6 路由地址的位逻辑和
配置的网络掩码值与配置的目标匹配前缀的位逻辑和
有关包含两 address-mask 种匹配类型的路由过滤器的示例配置,请参阅 具有最长匹配查找的地址掩码匹配类型评估。
具有最长匹配查找的常见配置问题
定义路由过滤器时的一个常见问题是,包括要与同一列表中更长、相似的前缀匹配的较短前缀。例如,假设将前缀 192.168.254.0/24 与以下路由过滤器进行比较:
route-filter 192.168.0.0/16 orlonger; route-filter 192.168.254.0/23 exact;
由于策略框架软件执行最长的匹配查找,因此前缀 192.168.254.0/23 确定为最长的前缀。在 192.168.254.0/24 和 192.168.254.0/23 之间不会发生精确匹配。软件确定术语不匹配,并会继续执行下一个术语或路由策略(如果存在)或者执行 accept 默认策略指定的或 reject 操作。(有关默认路由策略的更多信息,请参阅 默认路由策略。)您希望匹配的较短前缀 192.168.0.0/16 将被无意中忽略。
解决此问题的一种解决方案是从此术语中的路由过滤器中移除 192.168.0.0/16 或更长期的前缀,并将其移动到另一个术语,其中它是唯一的前缀或列表中最长的前缀。
路由过滤器示例
本节中的示例仅显示路由策略的片段。通常,您可以将这些分片与其他术语或路由策略组合在一起。
在所有示例中,请记住,以下命令适用于非匹配路由:
评估下一个学期(如果存在)。
评估下一个策略(如果存在)。
执行
accept默认策略指定的或reject操作。有关默认路由策略的更多信息,请参阅 默认路由策略。
以下示例说明如何为各种目的配置路由过滤器:
- 拒绝具有特定目标前缀和掩码长度的路由
- 拒绝掩码长度超过 8 的路由
- 拒绝掩码长度在 26 到 29 之间的路由
- 拒绝来自特定主机的路由
- 接受具有定义前缀集的路由
- 拒绝具有定义前缀集的路由
- 拒绝前缀长度超过 24 位的路由
- 拒绝 PIM 组播流量加入
- 拒绝 PIM 流量
- 通过对路由地址和目标匹配前缀应用地址掩码来接受传入 IPv4 路由
- 接受模式类似但前缀长度不同的传入 IPv4 路由
- 具有最长匹配查找的地址掩码匹配类型评估
拒绝具有特定目标前缀和掩码长度的路由
拒绝目标前缀为 0.0.0.0 且掩码长度从 0 到 8 的路由,并接受所有其他路由:
[edit]
policy-options {
policy-statement policy-statement from-hall2 {
term 1 {
from {
route-filter 0.0.0.0/0 upto /8 reject;
}
}
then accept;
}
}
拒绝掩码长度超过 8 的路由
拒绝前 8 位设置为 0 的掩码为 /8 及更高(即 /8、/9、/10 等)的路由,并接受长度小于 8 位的路由:
[edit]
policy-options {
policy-statement from-hall3 {
term term1 {
from {
route-filter 0/0 upto /7 accept;
route-filter 0/8 orlonger;
}
then reject;
}
}
}
拒绝掩码长度在 26 到 29 之间的路由
拒绝目标前缀为 192.168.10/24 和 /26 和 /29 之间的掩码的路由,并接受所有其他路由:
[edit]
policy-options {
policy-statement from-customer-a {
term term1 {
from {
route-filter 192.168.10/24 prefix-length-range /26–/29 reject;
}
then accept;
}
}
}
拒绝来自特定主机的路由
拒绝特定主机中的一系列路由,并接受所有其他路由:
[edit]
policy-options {
policy-statement hosts-only {
from {
route-filter 10.125.0.0/16 upto /31 reject;
route-filter 0/0;
}
then accept;
}
}
在大多数路由策略配置中,您不使用 through 匹配类型。您应该将其 through 视为对一组连续的确切匹配项进行分组的工具。例如,而不是指定四个确切匹配项:
from route-filter 0.0.0.0/1 exact from route-filter 0.0.0.0/2 exact from route-filter 0.0.0.0/3 exact from route-filter 0.0.0.0/4 exact
您可以使用以下单一匹配来表示它们:
from route-filter 0.0.0.0/1 through 0.0.0.0/4
接受具有定义前缀集的路由
明确接受数量有限的前缀(第一个术语中)并拒绝所有其他前缀(在第二个术语中):
policy-options {
policy-statement internet-in {
term 1 {
from {
route-filter 192.168.231.0/24 exact accept;
route-filter 192.168.244.0/24 exact accept;
route-filter 192.168.198.0/24 exact accept;
route-filter 192.168.160.0/24 exact accept;
route-filter 192.168.59.0/24 exact accept;
}
}
term 2 {
then {
reject;
}
}
}
拒绝具有定义前缀集的路由
拒绝几组前缀,并接受剩余的前缀:
[edit policy-options]
policy-statement drop-routes {
term 1{
from { # first, reject a number of prefixes:
route-filter default exact reject; # reject 0.0.0.0/0 exact
route-filter 0.0.0.0/8 orlonger reject; # reject prefix 0, mask /8 or longer
route-filter 10.0.0.0/8 orlonger reject; # reject loopback addresses
}
route-filter 10.105.0.0/16 exact { # accept 10.105.0.0/16
as-path-prepend “1 2 3”;
accept;
}
route-filter 192.0.2.0/24 orlonger reject; # reject test network packets
route-filter 172.16.233.0/3 orlonger reject; # reject multicast and higher
route-filter 0.0.0.0/0 upto /24 accept; # accept everything up to /24
route-filter 0.0.0.0/0 orlonger accept; # accept everything else
}
}
}
}
拒绝前缀长度超过 24 位的路由
拒绝所有长度超过 24 位的前缀。您将按语句中的 export 路由策略序列安装此路由策略。此过滤器中的第一个术语在前缀长度为最多 24 位的所有路由上传递。第二个不知名的术语拒绝其他一切。
[edit policy-options]
policy-statement 24bit-filter {
term acl20 {
from {
route-filter 0.0.0.0/0 upto /24;
}
then next policy;
}
then reject;
}
如果在此示例中指定 route-filter 0.0.0.0/0 upto /24 accept了匹配前缀将立即接受,并且永远不会评估语句中的 export 下一个路由策略。
如果要将 then reject 语句包含在术语 acl20中,则大于 24 位的前缀永远不会被拒绝,因为策略框架软件在评估术语时,会继续评估下一个语句,然后再到达语句 then reject 。
拒绝 PIM 组播流量加入
配置路由策略以拒绝来自邻居的源目标前缀的协议无关组播 (PIM) 组播流量加入:
[edit]
policy-options {
policy-statement join-filter {
from {
neighbor 10.14.12.20;
source-address-filter 10.83.0.0/16 orlonger;
}
then reject;
}
}
拒绝 PIM 流量
配置路由策略以拒绝接口中源目标前缀的 PIM 流量:
[edit]
policy-options {
policy-statement join-filter {
from {
interface so-1/0/0.0;
source-address-filter 10.83.0.0/16 orlonger;
}
then reject;
}
}
以下路由策略资格符适用于 PIM:
interface—接收加入的接口neighbor— 加入的源route-filter— 组地址source-address-filter-要拒绝加入的源地址
有关在 PIM 协议定义中导入 PIM 加入过滤器的详细信息,请参阅 Junos OS 组播协议用户指南。
通过对路由地址和目标匹配前缀应用地址掩码来接受传入 IPv4 路由
接受目标前缀为 10.1.0/24 和第三个字节的传入 IPv4 路由,从 0 到 14 为偶数,包括:
[edit]
policy-options {
policy-statement from_customer_a {
term term_1 {
from {
route-filter 10.1.0.0/24 address-mask 255.255.241.0;
}
then {
...
reject;
}
}
}
}
路由策略术语 term_1 中的路由过滤器匹配以下传入 IPv4 路由地址:
10.1.0.0/24
10.1.2.0/24
10.1.4.0/24
10.1.6.0/24
10.1.8.0/24
10.1.10.0/24
10.1.12.0/24
10.1.14.0/24
网络掩码值和候选路由地址的位逻辑 AND 必须与网络掩码值和匹配前缀地址的位逻辑 AND 匹配。也就是说,如果网络掩码位模式 255.255.241.0 包含一个设置位,则要评估的传入 IPv4 路由地址必须与目标前缀地址 10.1.0.0/24 中的相应位值匹配。
网络掩码值的前两个字节为二进制 1111 1111 111 1111,这意味着如果前两个字节不是 10.1,则候选路由地址将无法匹配。
网络掩码值的第三个字节为二进制 1111 0001,这意味着如果第三个字节大于 15(十进制)或奇数或两者均未通过匹配。
匹配前缀地址的前缀长度为 24(十进制),这意味着如果候选路由地址的前缀长度不完全为 24,则匹配失败。
例如,假设在策略中测试的候选路由地址为 10.1.8.0/24(二进制 0000 1010 0000 000 1000)。
将净掩码值应用于此候选路由地址时,结果为二进制 0000 1010 0000 0001 0000 0000。
当将 netmask 值应用于配置的目标前缀地址时,结果也将是二进制 0000 1010 0000 0000 0000。
由于和 操作的结果相同,因此匹配将继续第二个匹配标准。
由于候选地址的前缀长度与配置的目标前缀地址相同(24 位),匹配成功。
再举一个例子,假设在策略中测试的候选路由地址是 10.1.3.0/24(二进制 0000 1010 0000 000 0011)。
将净掩码值应用于此候选路由地址时,结果为二进制 0000 1010 0000 0001 000 0001。
但是,当将网络掩码值应用于配置的目标前缀地址时,结果为二进制 0000 1010 0000 0001 0000 0000。
由于两个和 操作的结果不同(在第三个字节中),匹配失败。
接受模式类似但前缀长度不同的传入 IPv4 路由
接受 10.*.1/24 或 10.*.1.*/32 表单的传入 IPv4 路由地址:
[edit]
policy-options {
policy-statement from_customer_b {
term term_2 {
from {
route-filter 10.0.1.0/24 address-mask 255.0.255.0;
route-filter 10.0.1.0/32 address-mask 255.0.255.0;
}
then {
...
reject;
}
}
}
}
路由过滤器匹配标准 10.0.1.0/24 address-mask 255.0.255.0 与表单为 10.*.1/24 的传入 IPv4 路由地址匹配。路由的前缀长度必须正好为 24 位,并且第二个字节中的任何值都可以接受。
路由过滤器匹配标准 10.0.1.0/32 address-mask 255.0.255.0 与表单为 10.*.1.*/32 的传入 IPv4 路由地址匹配。路由的前缀长度必须正好是 32 位,并且第二个字节和第四个字节中的任何值都可以接受。
具有最长匹配查找的地址掩码匹配类型评估
此示例说明了最长匹配查找如何评估包含两 address-mask 种匹配类型的路由过滤器。考虑在以下路由策略术语 term_3 中配置的路由过滤器:
[edit]
policy-options {
policy-statement from_customer_c {
term term_3 {
from {
route-filter 10.0.1.0/24 address-mask 255.0.255.0;
route-filter 10.0.2.0/24 address-mask 255.240.255.0;
}
then {
...
}
}
}
}
假设根据策略术语 term_3中配置的路由过滤器测试传入 IPv4 路由源地址 10.1.1.0/24:
路由策略期限
term_3的最长匹配查找树包含两个匹配前缀:一个前缀10.0.1.0/24 address-mask 255.0.255.0,一个前缀。10.0.2.0/24 address-mask 255.240.255.0在树中搜索候选者的最长前缀匹配项时,最长匹配查找会考虑已配置netmask-value中的连续高阶位数,而不是配置的destination-prefix长度:对于第一个路由过滤器匹配标准,最长匹配查找条目为 10.0.0.0/8,因为净掩码值包含 8 个连续高阶位。
对于第二个路由过滤器匹配标准,最长匹配查找条目为 10.0.0.0/12,因为净掩码值包含 12 个连续高阶位。
对于候选路由地址 10.1.1.0/24,最长的匹配查找将返回与路由过滤器匹配标准
10.0.2.0/24 address-mask 255.240.255.0对应的树条目 10.0.0.0/12。既然已为候选路由地址识别出中
term_3匹配时间最长的前缀,则根据路由过滤器匹配标准10.0.2.0/24 address-mask 255.240.255.0评估候选路由地址:要测试传入 IPv4 路由地址 10.1.1.0/24,将网络掩码值 255.240.255.0 应用于 10.1.1.0/24。结果为 10.0.1.0。
要测试配置的目标前缀地址 10.0.2.0/24,将网络掩码值 255.240.255.0 应用于 10.0.2.0/24。结果为 10.0.2.0。
由于结果不同,路由过滤器匹配失败。无论是使用匹配标准
then还是语句指定,均不会执行任何操作。传入的 IPv4 路由地址不会根据任何其他匹配标准进行评估。