Verständnis von Routenfiltern zur Verwendung in Routing-Richtlinien-Übereinstimmungsbedingungen
Ein Routenfilter ist eine Ansammlung von Präfixen. Wenn Sie ein Match-Präfix angeben, können Sie eine exakte Übereinstimmung mit einer bestimmten Route oder eine weniger präzise Übereinstimmung angeben. Sie können entweder eine allgemeine Aktion konfigurieren, die für die gesamte Liste gilt, oder eine Aktion, die mit jedem Präfix verknüpft wird.
Da die Konfiguration von Routenfiltern das Einrichten von Präfixen und Präfixlängen umfasst, sollten Sie vor einer Behandlung mit der Konfiguration fundierte Kenntnisse der IP-Adressierung einschließlich Supernetting und der Bewertung von Routenfiltern verfügen (siehe hier: Wie Routenfilter in den Bedingungen für die Übereinstimmung von Routing-Richtlinien ausgewertet werden).
In diesem Abschnitt werden die folgenden Themen erörtert:
Radix Trees
Um den Betrieb eines Routenfilters zu verstehen, müssen Sie mit einem Gerät vertraut sein, das für den Binärzahlenabgleich verwendet wird, der als Radix Tree bekannt ist (manchmal als wollender Trie oder Radix trie bezeichnet). Ein Radix tree verwendet binäre Suchdaten zur Identifizierung von IP-Adressen (Routen). Denken Sie daran, dass eine IP-Adresse eine 32-Bit-Nummer ist, die in einem gepunkteten Dezimalformat dargestellt wird und ein einfaches Verständnis für Menschen bedeutet. Diese 8-Bit-Gruppierungen können jeweils einen Wert zwischen 0 und 255 haben. Ein Radix tree kann eine grafische Darstellung dieser binären Zahlen sein.
In beginnt der Radix Tree mit einem konfigurierten Wert (beginnt bei 0) und befindet sich an der linken Seite der Abbildung 1 binären IP-Adresse. Dies wird als 0/0 angezeigt, was häufig als Standardroute bezeichnet wird.
Da es sich dabei um binäre Werte handelt, kann jedes Bit nur einen von zwei möglichen Werten haben : a 0 oder 1. Wenn Sie die linke Zweigstelle nach unten bewegen, bedeutet dies einen Wert von 0, während die Bewegung nach rechts einen Wert von 1 darstellt. Der erste Schritt ist in Abbildung 2 dargestellt. An der ersten Position hat das erste Oktett der IP-Adresse einen Wert von 0000000 oder 1000000 0 oder 128. Dies wird mit Abbildung 2 den Werten 0/1 und 128/1 dargestellt.
Der zweite Schritt ist in Abbildung 3 dargestellt. Diese zweite Strukturebene hat vier mögliche Binärwerte für das erste Oktett: 0000000, 0100000, 1000000 und 1100000. Diese Dezimalwerte 0, 64, 128 und 192 werden von den IP-Adressen 0/2, 64/2, 128/2 und 192/2 auf dem Radix Tree dargestellt.
Dieser schritt-für-Schritt-Prozess wird über 33 Gesamtebenen fortgesetzt, um jede mögliche IP-Adresse zu repräsentieren.
Die Radix Tree-Struktur ist bei der Ortung einer Gruppe von Routen nützlich, die alle die gleichen wichtigen Bits teilen. zeigt den Punkt im Radix tree, der das Abbildung 4 192.168.0.0/16-Netzwerk repräsentiert. Alle Routen, die spezifischer als 192.168.0.0/16 sind, werden im hervorgehobenen Abschnitt dargestellt.
Konfigurieren von Routenfiltern
In dem Thema Konfigurieren von Routenfiltern wird das Junos OS beschrieben. Die Walkup-Funktion, die in diesem Thema nicht behandelt wird, ändert die in diesem Thema diskutierten Bewertungsergebnisse, da der Router die im gleichen Begriff konfigurierten kürzeren Übereinstimmungsbedingungen berücksichtigen kann. Details Walkup für Routenfilter – Übersicht anzeigen.
Um einen Routenfilter zu konfigurieren, führen Sie eine oder mehrere route-filtersource-address-filter Anweisungen ein:
[edit policy-options policy-statement policy-name term term-name from]
route-filter destination-prefix match-type {
actions;
}
Die Option wird normalerweise verwendet, um eine eingehende Routenadresse und Ziel-Übereinstimmungs-Präfixe beliebiger Art mit Ausnahme von route-filter Unicast-Quelladressen zu wählen.
Die Adresse ist die Adresse, die als destination-prefix IP-Version 4 (IPv4) oder IP-Version 6 (IPv6) angegeben prefix/prefix-length wurde. Wenn Sie ein prefix-length IPv4-Präfix weglassen, ist der Standard 32. Wenn Sie ein prefix-length IPv6-Präfix nicht verwenden, ist die Standardeinstellung 128. In einer Anweisung angegebene from Präfixe müssen entweder alle IPv4-Adressen oder alle IPv6-Adressen sein.
Die Option wird normalerweise verwendet, um eine eingehende Routenadresse an Unicast-Quelladressen source-address-filter in Multiprotocol BGP (MBGP)- und Multicast Source Discovery Protocol (MSDP)-Umgebungen anzupassen.
source-address-filter source-prefix match-type {
actions;
}
source-prefix -Adresse ist das IPv4- oder IPv6-Adressen-Prefix, das als prefix/prefix-length . Wenn Sie ein prefix-length IPv4-Präfix nicht verwenden, ist die Standardeinstellung 32. prefix-length Wenn Sie ein prefix-length IPv6-Präfix nicht verwenden, ist die Standardeinstellung 128. In einer Anweisung angegebene from Präfixe müssen entweder alle IPv4-Adressen oder alle IPv6-Adressen sein.
match-type ist der Typ der Übereinstimmung, die auf das Quell- oder Ziel-Präfix angewendet werden soll. Es kann einer der in aufgelisteten Übereinstimmungsarten Tabelle 1 sein. Beispiele für die Übereinstimmungsarten und die Ergebnisse, die bei der Entwicklung verschiedener Routen präsentiert werden, finden Sie Tabelle 2 unter.
actions sind die Aktionen, die durchgeführt werden, wenn eine Routenadresse mit den Kriterien für ein Ziel-Übereinstimmungs-Präfix (als Teil einer Option angegeben) oder für ein Quell-Übereinstimmungs-Präfix (als Teil einer Option route-filterdestination-address-filter angegeben) entspricht. Die Aktionen können aus einer oder mehreren der in beschriebenen Aktionen Aktionen in den Bedingungen für Routing-Richtlinien bestehen.
In einem Routenfilter können Sie Aktionen auf zwei Arten angeben:
Optional: Diese Aktionen werden sofort nach dem Auftreten einer Übereinstimmung durchgeführt und die
route-filtersource-address-filterAussage wird nichtthenausgewertet.In der Anweisung: Diese Aktionen werden nach dem Auftreten einer Übereinstimmung durchgeführt, aber keine Aktionen für
thendie option oder die Optionroute-filtersource-address-filterfestgelegt.
Die upto Typen und Übereinstimmungsarten sind ähnlich, da sowohl die wichtigsten Bits angeben als auch einen Bereich von Präfixlängen bereitstellen, die prefix-length-range übereinstimmen können. Der Unterschied besteht in der Möglichkeit, eine Obergrenze nur für den Prefix-Längenbereich anzugeben, während Sie sowohl untere als auch uptoprefix-length-range obere Grenzen angeben können.
Weitere Beispiele für diese Routenfilter-Übereinstimmungstypen finden Sie Beispiele Routenfilter unter.
Art der Übereinstimmung |
Übereinstimmungskriterien |
|---|---|
|
Dies gilt für alle Punkte:
Anmerkung:
Der Übereinstimmungstyp einer Routingrichtlinie ist nur für den Abgleich einer eingehenden IPv4- ( ) oder IPv6 - Routenadresse zu einer Liste mit in einer Anweisung angegebenen Mit dem Typ der Routingrichtlinie-Übereinstimmungsart können Sie eine eingehende IPv4- oder IPv6-Routenadresse neben der Länge eines konfigurierten Ziel-Übereinstimmungs-Präfixs auf einer konfigurierten Wenn die Suche am längsten in einer Routenfilterung ausgeführt wird, wird eine Übereinstimmungsart ausgewertet, die sich von den anderen Übereinstimmungsarten für Routingrichtlinien Weitere Informationen zu diesem Routenfilter-Übereinstimmungstyp finden Sie Wie eine Adressmasken-Übereinstimmungsart ausgewertet wird unter. Beispielkonfigurationen mit Routenfiltern, die den |
|
Dies gilt für alle Punkte:
|
|
Dies gilt für alle Punkte:
|
|
Dies gilt für alle Punkte:
|
|
Dies gilt für alle Punkte:
|
|
Dies gilt für alle Punkte:
Sie verwenden in den meisten |
|
Dies gilt für alle Punkte:
|
Abbildung 5 zeigt den detaillierten Radix Tree für die Route 192.168.0.0/16 an.
Abbildung 6 und Tabelle 2 zeigen den Betrieb der verschiedenen Routenfilter-Übereinstimmungstypen.
Präfix |
192.168/16 exakt |
192.168/16 länger |
192.168/16 oder lang |
192.168/16 Upto-/24 |
192.168/16 prefix-length-range/18 – /20 |
192.168/16 through192.168.16/20 |
192.168/19 address-mask255.255.0.0 |
|---|---|---|---|---|---|---|---|
10.0.0.0/8 |
– |
– |
– |
– |
– |
– |
– |
192.168.0.0/16 |
Match |
– |
Match |
Match |
– |
Match |
– |
192.168.0.0/17 |
– |
Match |
Match |
Match |
– |
Match |
– |
192.168.0.0/18 |
– |
Match |
Match |
Match |
Match |
Match |
– |
192.168.0.0/19 |
– |
Match |
Match |
Match |
Match |
Match |
Match |
192.168.4.0/24 |
– |
Match |
Match |
Match |
– |
– |
– |
192.168.5.4/30 |
– |
Match |
Match |
– |
– |
– |
– |
192.168.12.4/30 |
– |
Match |
Match |
– |
– |
– |
– |
192.168.12.128/32 |
– |
Match |
Match |
– |
– |
– |
– |
192.168.16.0/20 |
– |
Match |
Match |
Match |
Match |
Match |
– |
192.168.192.0/18 |
– |
Match |
Match |
Match |
Match |
– |
– |
192.168.224.0/19 |
– |
Match |
Match |
Match |
Match |
– |
Match |
10.169.1.0/24 |
– |
– |
– |
– |
– |
– |
– |
10.170.0.0/16 |
– |
– |
– |
– |
– |
– |
– |
Wie Routenfilter in den Bedingungen für die Übereinstimmung von Routing-Richtlinien ausgewertet werden
Während der Evaluierung von Routenfiltern vergleicht die Richtlinien-Framework-Software die Quelladresse jeder Route mit den Ziel-Präfixen im Routenfilter. Die Auswertung erfolgt in zwei Schritten:
Die Richtlinien-Framework-Softwareführt eine Suche mit der längsten Übereinstimmung durch, was bedeutet, dass die Software nach dem Präfix in der Liste mit der längsten Länge sucht.
Bei der Suche mit der längsten Übereinstimmung werden die konfigurierten Und Komponenten nur als Präfix und nicht als
prefixprefix-lengthKomponentematch-typeberücksichtigt. Der folgende Beispielroutenfilter veranschaulicht diesen Punkt:from { route-filter 192.168.0.0/14 upto /24 reject; route-filter 192.168.0.0/15 exact; } then accept;Die längste Übereinstimmung für die Kandidatenroute 192.168.1.0/24 ist der zweite Route-Filter, 192.168.0.0/15, der nur auf Prefix- und Prefix-Länge basiert.
Wenn eine eingehende Route mit einem Präfix (am längsten zuerst) entspricht, treten folgende Aktionen auf:
Der Routenfilter stoppt die Evaluierung anderer Präfixe, auch wenn der Übereinstimmungstyp ausfällt.
Die Software untersucht den Übereinstimmungstyp und die Aktion, die mit diesem Präfix verknüpft sind.
Wenn eine Routen-Quelladresse anhand eines Übereinstimmungskriterien, die den Übereinstimmungstyp verwenden, ausgewertet wird, enthalten beide Schritte der Bewertung den konfigurierten address-mask Netmask-Wert. Weitere Informationen finden Sie Wie eine Adressmasken-Übereinstimmungsart ausgewertet wird unter.
Wenn in Schritt 1 Route 192.168.1.0/24 ausgewertet würden, würde dies nicht übereinstimmen. Es entspricht dem längsten Präfix von 192.168.0.0/15, entspricht aber exact nicht. Der Routenfilter ist fertig, da er einem Präfix passte. Das Ergebnis ist jedoch eine fehlgeschlagene Übereinstimmung, da der Übereinstimmungstyp fehlgeschlagen ist.
Wenn eine Übereinstimmung auftritt, wird die mit dem Präfix angegebene Aktion ergriffen. Wenn eine Aktion nicht zusammen mit dem Präfix angegeben ist, wird die Aktion in der then Anweisung ergriffen. Wenn keine aktion angegeben ist, wertet die Software den nächsten Begriff oder die Routing-Richtlinie aus, falls vorhanden, oder führt die durch die Standardrichtlinie acceptreject angegebene Aktion aus. Weitere Informationen zu den Standard-Routingrichtlinien finden Sie Standard-Routing-Richtlinien unter.
Wenn Sie im Routenfilter mehrere Präfixe angeben, muss nur ein Präfix für eine Übereinstimmung übereinstimmen. Der Abgleich von Routenfiltern ist eine logische OR-Operation.
Wenn eine Übereinstimmung nicht auftritt, wertet die Software den nächsten Begriff oder eine Routing-Richtlinie aus, falls vorhanden, oder führt die oder die Aktion aus, die durch die acceptreject Standardrichtlinie festgelegt wurde.
Vergleichen Sie zum Beispiel das Präfix 192.168.254.0/24 mit dem folgenden Routenfilter:
route-filter 192.168.0.0/16 orlonger; route-filter 192.168.254.0/23 exact;
Das Präfix 192.168.254.0/23 wird als das längste Präfix bestimmt. Wenn die Software 192.168.254.0/24 anhand des längsten Präfixs bewertet, tritt eine Übereinstimmung auf (192.168.254.0/24 ist eine Untergruppe von 192.168.254.0/23). Aufgrund der Übereinstimmung zwischen 192.168.254.0/24 und dem längsten Präfix wird die Bewertung fortgesetzt. Wenn die Software jedoch den Übereinstimmungstyp bewertet, findet eine Übereinstimmung nicht zwischen 192.168.254.0/24 und 192.168.254.0/23 exakt statt. Die Software kommt zu dem Schluss, dass der Begriff nicht übereinstimmen wird und geht, wenn vorhanden, in den nächsten Begriff oder die Routing-Richtlinie über oder ergreift die von der Standardrichtlinie angegebene acceptreject Aktion.
Die Walkup-Funktion ermöglicht Begriffe mit mehreren Routenfiltern zum "Walk-up" des Bewertungsprozesses, um wenigerspezifische Routen sowie die längste Übereinstimmung zu umfassen. Anders ausgedrückt ändert die Aktivierung des Walkups das Standardverhalten von "Wenn einer ausfällt, dann schlägt der Begriff fehl" in "wenn ein Treffer, dann der Begriff entspricht". Weitere Informationen zur Funktion walkup finden Sie Walkup für Routenfilter – Übersicht unter.
- Einfluss der Prefix-Reihenfolge auf die Routenfilterbewertung
- Wie eine Adressmasken-Übereinstimmungsart ausgewertet wird
- Allgemeines Konfigurationsproblem bei der Suche nach "Longest Match"
Einfluss der Prefix-Reihenfolge auf die Routenfilterbewertung
Die Reihenfolge, in der die Präfixe angegeben sind (von oben nach unten), spielt in der Regel keine Rolle, da die Richtlinien-Framework-Software den Routenfilter nach dem längsten Präfix während der Bewertung scannt. Eine Ausnahme von dieser Regel ist, wenn Sie dasselbe Ziel-Präfix mehrfach in einer Liste verwenden. In diesem Fall ist die Reihenfolge der Präfixe wichtig, da die Liste identischer Präfixe von oben nach unten gescannt wird und der erste Übereinstimmungstyp, der der Route entspricht, gilt.
Die Walkup-Funktion ermöglicht Begriffe mit mehreren Routenfiltern zum "Walk-up" des Bewertungsprozesses, um wenigerspezifische Routen sowie die längste Übereinstimmung zu umfassen. Anders ausgedrückt ändert die Aktivierung des Walkups das Standardverhalten von "Wenn einer ausfällt, dann schlägt der Begriff fehl" in "wenn ein Treffer, dann der Begriff entspricht". Weitere Informationen zur Funktion walkup finden Sie Walkup für Routenfilter – Übersicht unter.
Im folgenden Beispiel werden für dasselbe Präfix unterschiedliche Übereinstimmungstypen festgelegt. Die Route 0.0.0.0/0 wird abgelehnt, die Route 0.0.0.0/8 wird mit markiert, und die Route next-hop self 0.0.0.0/25 wird abgelehnt.
route-filter 0.0.0.0/0 upto /7 reject; route-filter 0.0.0.0/0 upto /24 next-hop self; route-filter 0.0.0.0/0 orlonger reject;
Wie eine Adressmasken-Übereinstimmungsart ausgewertet wird
Der Typ der Routingrichtlinie ermöglicht es Ihnen, eingehende IPv4- oder IPv6-Routenadressen auf einem konfigurierten Netmask-Wert und der Länge eines konfigurierten address-mask Ziel-Übereinstimmungs-Präfixs übereinstimmen. Bei der Routenfilterauswertung wird ein Übereinstimmungstyp anders verarbeitet als die anderen Routingrichtlinien-Übereinstimmungsarten unter Berücksichtigung des konfigurierten address-mask Netmaskwerts:
Wenn bei einer Suche mit der längsten Übereinstimmung ein Routingrichtlinien-Übereinstimmungstyp ausgewertet wird, wird die Komponente des konfigurierten
address-maskprefix-lengthÜbereinstimmungs-Präfixs nicht berücksichtigt. Stattdessen berücksichtigt die Suche die Anzahl der zusammenhängende, hochwertigen Bits im konfigurierten Netmaskwert.Wenn eine eingehende IPv4- oder IPv6-Routenadresse anhand eines Routenfilter-Übereinstimmungskriterien bewertet wird, die den Typ der Routingrichtlinie verwenden, ist die Übereinstimmung erfolgreich, wenn die folgenden Werte
address-maskidentisch sind:Die bitweise logische UND der konfigurierte Netmaskwert und die eingehende IPv4- oder IPv6-Routenadresse
Das bitweise logische UND des konfigurierten Netmaskwerts und des konfigurierten Ziel-Präfixs
Ein Beispiel für die Konfiguration eines Routenfilters, der zwei address-mask Übereinstimmungstypen enthält, finden Sie Bewertung einer Adressmasken-Übereinstimmungsart mit der längsten Übereinstimmungssuche unter.
Allgemeines Konfigurationsproblem bei der Suche nach "Longest Match"
Ein häufiges Problem beim Definieren eines Routenfilters ist das kürzere Präfix, das Ihnen ein längeres, ähnliches Präfix in der gleichen Liste anzeigen soll. Stellen Sie sich beispielsweise vor, dass das Präfix 192.168.254.0/24 mit dem folgenden Routenfilter verglichen wird:
route-filter 192.168.0.0/16 orlonger; route-filter 192.168.254.0/23 exact;
Da die Richtlinien-Framework-Software eine Suche mit der längsten Übereinstimmung ausführt, wird das Präfix 192.168.254.0/23 als das längste Präfix ermittelt. Eine genaue Übereinstimmung findet nicht zwischen 192.168.254.0/24 und 192.168.254.0/23 exakt statt. Die Software bestimmt, dass der Begriff nicht passt und in den nächsten Begriff oder die Routing-Richtlinie übergeht, falls vorhanden, oder ergreift die von der Standardrichtlinie acceptreject angegebene Aktion. (Weitere Informationen zu den Standard-Routingrichtlinien finden Sie unter Standard-Routing-Richtlinien .) Das kürzere Präfix 192.168.0.0/16 oder lang, das Sie übereinstimmen möchten, wird versehentlich ignoriert.
Eine Lösung für dieses Problem ist es, das Präfix 192.168.0.0/16 oder lang aus dem Routenfilter zu entfernen und es in einen anderen Begriff zu verschieben, in dem es das einzige Präfix oder das längste Präfix in der Liste darstellt.
Eine weitere Lösung ist die Aktivierung walkup dieser Funktion. Details Walkup für Routenfilter – Übersicht anzeigen.
Beispiele Routenfilter
Die Beispiele in diesem Abschnitt zeigen nur Fragmente von Routing-Richtlinien. Normalerweise würden Sie diese Fragmente mit anderen Begriffen oder Routing-Richtlinien kombinieren.
In allen Beispielen beachten Sie, dass die folgenden Aktionen auf nichtübertroffene Routen angewendet werden:
Evaluieren Sie, falls vorhanden, den nächsten Begriff.
Evaluieren Sie, falls vorhanden, die nächste Richtlinie.
Ergreifen Sie die
acceptrejectoder die Aktion, die in der Standardrichtlinie festgelegt wurde. Weitere Informationen zu den Standard-Routingrichtlinien finden Sie Standard-Routing-Richtlinien unter.
Die folgenden Beispiele zeigen, wie Sie Routenfilter für verschiedene Zwecke konfigurieren:
- Routen mit bestimmten Ziel-Präfixen und Maskenlängen ablehnen
- Routen mit einer Maskenlänge von mehr als acht ablehnen
- Routen mit Maskenlänge zwischen 26 und 29 ablehnen
- Routen von bestimmten Hosts ablehnen
- Routen mit einer definierten Gruppe von Präfixen akzeptieren
- Routen mit einer definierten Gruppe von Präfixen ablehnen
- Routen mit Präfixen, die mehr als 24 Bits enthalten, ablehnen
- Ablehnen von PIM-Multicast-Datenverkehrs-Joins
- Ablehnen des PIM-Datenverkehrs
- Annahme eingehender IPv4-Routen durch Anwenden einer Adressmaske auf die Routenadresse und das Präfix "Destination Match"
- Eingehende IPv4-Routen mit ähnlichen Mustern, aber mit anderen Präfixlängen akzeptieren
- Bewertung einer Adressmasken-Übereinstimmungsart mit der längsten Übereinstimmungssuche
Routen mit bestimmten Ziel-Präfixen und Maskenlängen ablehnen
Routen mit einem Ziel-Präfix 0.0.0.0 und einer Maskenlänge von 0 bis 8 ablehnen, und alle anderen Routen akzeptieren:
[edit]
policy-options {
policy-statement policy-statement from-hall2 {
term 1 {
from {
route-filter 0.0.0.0/0 upto /8 reject;
}
}
then accept;
}
}
Routen mit einer Maskenlänge von mehr als acht ablehnen
Routen mit einer Maske von /8 und höher (d. h. /8, /9, /10 und so) ablehnen, bei denen die ersten 8 Bits auf 0 gesetzt sind und Routen unter 8 Bits in der Länge akzeptieren:
[edit]
policy-options {
policy-statement from-hall3 {
term term1 {
from {
route-filter 0/0 upto /7 accept;
route-filter 0/8 orlonger;
}
then reject;
}
}
}
Routen mit Maskenlänge zwischen 26 und 29 ablehnen
Routen mit dem Ziel-Präfix 192.168.10/24 und eine Maske zwischen /26 und /29 ablehnen und alle anderen Routen akzeptieren:
[edit]
policy-options {
policy-statement from-customer-a {
term term1 {
from {
route-filter 192.168.10/24 prefix-length-range /26–/29 reject;
}
then accept;
}
}
}
Routen von bestimmten Hosts ablehnen
Eine Reihe von Routen von bestimmten Hosts ablehnen und alle anderen Routen akzeptieren:
[edit]
policy-options {
policy-statement hosts-only {
from {
route-filter 10.125.0.0/16 upto /31 reject;
route-filter 0/0;
}
then accept;
}
}
Sie verwenden in den meisten through Routing-Richtlinienkonfigurationen keinen Übereinstimmungstyp. Sie sollten sich ein Tool für die Gruppierung einer zusammenhängende Gruppe through genauer Treffer überlegen. Zum Beispiel, statt vier genaue Treffer anzugeben:
from route-filter 0.0.0.0/1 exact from route-filter 0.0.0.0/2 exact from route-filter 0.0.0.0/3 exact from route-filter 0.0.0.0/4 exact
Sie können diese mit folgendem Match repräsentieren:
from route-filter 0.0.0.0/1 through 0.0.0.0/4
Routen mit einer definierten Gruppe von Präfixen akzeptieren
Übernehmen Sie ausdrücklich eine begrenzte Auswahl von Präfixen (im ersten Begriff) und lehnen Sie alle anderen ab (im zweiten Begriff):
policy-options {
policy-statement internet-in {
term 1 {
from {
route-filter 192.168.231.0/24 exact accept;
route-filter 192.168.244.0/24 exact accept;
route-filter 192.168.198.0/24 exact accept;
route-filter 192.168.160.0/24 exact accept;
route-filter 192.168.59.0/24 exact accept;
}
}
term 2 {
then {
reject;
}
}
}
Routen mit einer definierten Gruppe von Präfixen ablehnen
Ablehnen weniger Präfixgruppen und Übernehmen der verbleibenden Präfixe:
[edit policy-options]
policy-statement drop-routes {
term 1{
from { # first, reject a number of prefixes:
route-filter default exact reject; # reject 0.0.0.0/0 exact
route-filter 0.0.0.0/8 orlonger reject; # reject prefix 0, mask /8 or longer
route-filter 10.0.0.0/8 orlonger reject; # reject loopback addresses
}
route-filter 10.105.0.0/16 exact { # accept 10.105.0.0/16
as-path-prepend “1 2 3”;
accept;
}
route-filter 192.0.2.0/24 orlonger reject; # reject test network packets
route-filter 172.16.233.0/3 orlonger reject; # reject multicast and higher
route-filter 0.0.0.0/0 upto /24 accept; # accept everything up to /24
route-filter 0.0.0.0/0 orlonger accept; # accept everything else
}
}
}
}
Routen mit Präfixen, die mehr als 24 Bits enthalten, ablehnen
Alle Präfixe mit mehr als 24 Bits ablehnen. Sie würden diese Routingrichtlinie in einer Anweisung in einer Folge von Routingrichtlinien export installieren. Der erste Begriff in diesem Filter gibt auf allen Routen mit einer Präfixlänge von bis zu 24 Bits weiter. Der zweite ungenannte Begriff weist alle anderen Ziele zurück.
[edit policy-options]
policy-statement 24bit-filter {
term acl20 {
from {
route-filter 0.0.0.0/0 upto /24;
}
then next policy;
}
then reject;
}
Wenn Sie in diesem Beispiel angeben würden, würden Präfixe sofort akzeptiert, und die nächste Routing-Richtlinie in der Aussage wird route-filter 0.0.0.0/0 upto /24 acceptexport nie ausgewertet.
Wenn Sie die Aussage in den Begriff mit einordnen würden, würden Präfixe über 24 Bits niemals abgelehnt, da die Software des Richtlinien-Frameworks bei der Bewertung des Begriffs die nächste Aussage erst dann evaluieren then rejectacl20then reject würde.
Ablehnen von PIM-Multicast-Datenverkehrs-Joins
Konfigurieren Sie eine Routingrichtlinie zum Ablehnen von PROTOCOL Independent Multicast -Multicast-Datenverkehr (PIM) für ein Quellziel-Präfix eines Nachbarn:
[edit]
policy-options {
policy-statement join-filter {
from {
neighbor 10.14.12.20;
source-address-filter 10.83.0.0/16 orlonger;
}
then reject;
}
}
Ablehnen des PIM-Datenverkehrs
Konfigurieren Sie eine Routing-Richtlinie zum Ablehnen von PIM-Datenverkehr für ein Quellziel-Präfix über eine Schnittstelle:
[edit]
policy-options {
policy-statement join-filter {
from {
interface so-1/0/0.0;
source-address-filter 10.83.0.0/16 orlonger;
}
then reject;
}
}
Die folgenden Routingrichtlinien gelten für PIM:
interface— Schnittstelle, über die ein Join empfangen wirdneighbor—Quelle, von der ein Join stammtroute-filter— Gruppenadressesource-address-filter—Quelladresse, für die ein Join abgelehnt werden soll
Weitere Informationen zum Importieren eines PIM-Join-Filters in einer PIM-Protokolldefinition finden Sie im Benutzerhandbuch Junos OS Multicast-Protokolle.
Annahme eingehender IPv4-Routen durch Anwenden einer Adressmaske auf die Routenadresse und das Präfix "Destination Match"
Übernehmen Sie eingehende IPv4-Routen mit einem Ziel-Präfix von 10.1.0/24 und dem dritten Byte mit einer even Anzahl von 0 bis 14, einschließlich:
[edit]
policy-options {
policy-statement from_customer_a {
term term_1 {
from {
route-filter 10.1.0.0/24 address-mask 255.255.241.0;
}
then {
...
reject;
}
}
}
}
Der Routenfilter im Begriff "Routingrichtlinien" entspricht den folgenden eingehenden term_1 IPv4-Routenadressen:
10.1.0.0/24
10.1.2.0/24
10.1.4.0/24
10.1.6.0/24
10.1.8.0/24
10.1.10.0/24
10.1.12.0/24
10.1.14.0/24
Die bitweise Logik UND der Netmaskwert und die Kandidatenroutenadresse müssen dem bitweise logischen UND dem Netmaskwert und der Prefix-Adresse übereinstimmen. Das bedeutet, dass bei einem Netmask-Bitmuster 255.255.241.0 ein festgelegter Bit enthalten ist, muss die eingehende IPv4-Routenadresse dem Wert des entsprechenden Bits in der Ziel-Prefix-Adresse 10.1.0.0/24 entsprechen.
Die ersten beiden Bytes des Netmaskwerts sind binär 1111 1111 1111 1111, was bedeutet, dass eine Kandidatenroute-Adresse die Übereinstimmung nicht verfing, wenn die ersten beiden Bytes nicht 10.1 sind.
Das dritte Byte des Netmaskwerts ist binär 1111 0001, was bedeutet, dass eine Kandidatenroute-Adresse die Übereinstimmung nicht verwendet, wenn das dritte Byte größer als 15 (Dezimal), eine ungewöhnliche Zahl oder beides ist.
Die Prefix-Länge der Prefix-Adresse beträgt 24 (Dezimal). Das bedeutet, dass eine Kandidatenroute-Adresse die Übereinstimmung nicht verfing, wenn die Präfixlänge nicht genau 24 ist.
Beispiel: Die in der Richtlinie getestete Kandidatenrouten-Adresse ist 10.1.8.0/24 (binär 0000 1010 0000 0001 0000 10000).
Wenn der Netmask-Wert auf diese Kandidatenroutenadresse angewendet wird, ist das Ergebnis binär 0000 1010 0000 0001 0000 0000.
Wenn der Netmask-Wert auf die konfigurierte Ziel-Prefix-Adresse angewendet wird, entsteht auch binär 0000 1010 0000 0001 0000 0000.
Da sowohl bei den Abläufen als auch bei den Abläufen dieselben Ergebnisse erzielt werden, wird die Übereinstimmung mit den zweiten Übereinstimmungskriterien fortgesetzt.
Da die Präfixlängen der Kandidatenadresse und die konfigurierte Ziel-Prefix-Adresse gleich sind (24 Bits), ist die Übereinstimmung erfolgreich.
Beispiel: Die in der Richtlinie getestete Kandidatenroutenadresse ist 10.1.3.0/24 (binär 0000 1010 0000 0001 0001 0000 00011).
Wenn der Netmask-Wert auf diese Kandidatenroutenadresse angewendet wird, ist das Ergebnis binär 0000 1010 0000 0001 0000 0001.
Wenn der Netmask-Wert jedoch auf die konfigurierte Ziel-Präfixadresse angewendet wird, entsteht binär 0000 1010 0000 0001 0000 0000.
Da die Ergebnisse der beiden UND Abläufe unterschiedlich sind (im dritten Byte), schlägt die Übereinstimmung fehl.
Eingehende IPv4-Routen mit ähnlichen Mustern, aber mit anderen Präfixlängen akzeptieren
Eingehende IPv4-Routenadressen des Formulars 10.*.1/24 oder 10.*.1.*/32:
[edit]
policy-options {
policy-statement from_customer_b {
term term_2 {
from {
route-filter 10.0.1.0/24 address-mask 255.0.255.0;
route-filter 10.0.1.0/32 address-mask 255.0.255.0;
}
then {
...
reject;
}
}
}
}
Der Routenfilter entspricht der Übereinstimmungskriterien mit der eingehenden 10.0.1.0/24 address-mask 255.0.255.0 IPv4-Routenadresse des Formulars 10.*.1/24. Die Präfixlänge der Route muss exakt 24 Bits lang sein, und jeder Wert im zweiten Byte ist akzeptabel.
Der Routenfilter entspricht den Kriterien einer eingehenden 10.0.1.0/32 address-mask 255.0.255.0 IPv4-Routenadresse des Formulars 10.*.1.*/32. Die Präfixlänge der Route muss exakt 32 Bits lang sein, und jeder Wert ist im zweiten Byte und beim vierten Byte akzeptabel.
Bewertung einer Adressmasken-Übereinstimmungsart mit der längsten Übereinstimmungssuche
In diesem Beispiel wird veranschaulicht, wie eine Routenfiltersuche mit zwei address-mask Übereinstimmungsarten ausgewertet wird. Berücksichtigen Sie den Routenfilter, der im nachfolgenden Begriff für Routing-Richtlinie konfiguriert term_3 ist:
[edit]
policy-options {
policy-statement from_customer_c {
term term_3 {
from {
route-filter 10.0.1.0/24 address-mask 255.0.255.0;
route-filter 10.0.2.0/24 address-mask 255.240.255.0;
}
then {
...
}
}
}
}
Nehmen wir einmal an, dass die eingehende IPv4-Routen-Quelladresse 10.1.1.0/24 mit dem im Richtlinienbegriff konfigurierten Routenfilter getestet term_3 wird:
Der Suchstruktur mit der längsten Übereinstimmung zum Begriff einer Routing-Richtlinie
term_3enthält zwei Präfixe für Übereinstimmungen: ein Präfix für10.0.1.0/24 address-mask 255.0.255.0und ein Präfix für10.0.2.0/24 address-mask 255.240.255.0. Bei der Suche im Tree nach der längsten Präfix-Übereinstimmung eines Kandidaten berücksichtigt die Longest-Match-Suche die Anzahl der zusammenhängende, hochwertigen Bits im konfigurierten statt der Länge dernetmask-valuedestination-prefixkonfigurierten:Bei den Übereinstimmungskriterien für den ersten Routenfilter entspricht der Such eintrag mit der längsten Übereinstimmung 10.0.0.0/8, da der Netmask-Wert 8 zusammenhängende High-Order-Bits enthält.
Bei Übereinstimmungskriterien für Den zweiten Routenfilter wird die Suche am längsten mit dem Wert 10.0.0.0/12 angezeigt, da der Netmask-Wert 12 zusammenhängende High-Order-Bits enthält.
Für die Kandidatenroutenadresse 10.1.1.0/24 gibt die Suche mit der längsten Übereinstimmung den Tree-Eintrag 10.0.0.0/12 wieder, der den Kriterien für Routenfilter
10.0.2.0/24 address-mask 255.240.255.0entspricht.Nachdem jetzt das Präfix mit der am längsten übereinstimmungsbasierten Adresse der Kandidatenroute identifiziert wurde, wird die Kandidatenroutenadresse anhand der Übereinstimmungskriterien für Routenfilter
term_310.0.2.0/24 address-mask 255.240.255.0ausgewertet:Zum Testen der eingehenden IPv4-Route-Adresse 10.1.1.0/24 wird der Netmask-Wert 255.240.255.0 auf 10.1.1.0/24 angewendet. Das Ergebnis ist 10.0.1.0.
Zum Testen der konfigurierten Ziel-Prefix-Adresse 10.0.2.0/24 wird der Netmask-Wert 255.240.255.0 auf 10.0.2.0/24 angewendet. Das Ergebnis ist 10.0.2.0.
Da die Ergebnisse anders sind, schlägt die Route-Filter-Übereinstimmung fehl. Es werden keine Aktionen ergriffen, unabhängig davon, ob diese den Übereinstimmungskriterien oder der
thenAussage entsprechen. Die eingehende IPv4-Routenadresse wird nicht anhand anderer Übereinstimmungskriterien bewertet.