Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Verstehen von Routenfiltern für die Verwendung in Routingrichtlinien-Übereinstimmungsbedingungen

Ein Routenfilter ist eine Sammlung von Übereinstimmungs-Präfixen. Wenn Sie ein Übereinstimmungs-Präfix angeben, können Sie eine genaue Übereinstimmung mit einer bestimmten Route oder einer weniger präzisen Übereinstimmung angeben. Sie können entweder eine gemeinsame Aktion konfigurieren, die für die gesamte Liste gilt, oder eine Aktion, die mit jedem Präfix verknüpft ist.

Anmerkung:

Da die Konfiguration von Routenfiltern das Einrichten von Präfixen und Präfixlängen umfasst, sollten Sie vor der Konfiguration ein umfassendes Verständnis der IP-Adressierung einschließlich Supernetting und der Bewertung von Routenfiltern haben (hier erläutert: Bewertung von Routenfiltern in Routing-Richtlinienüberstimmungsbedingungen).

In diesem Abschnitt werden die folgenden Themen behandelt:

Radix-Bäume

Um den Betrieb eines Routenfilters zu verstehen, müssen Sie mit einem Gerät vertraut sein, das zur Binären Zahlenabgleichung verwendet wird, das als Radixbaum bekannt ist (manchmal auch als Patricia Trie oder Radix Trie bezeichnet). Ein Radix-Tree verwendet binäre Suche, um IP-Adressen (Routen) zu identifizieren. Denken Sie daran, dass es sich bei einer IP-Adresse um eine 32-Bit-Zahl handelt, die im gestrichelten Dezimalformat dargestellt wird, um menschenfreundliches Verständnis zu bieten. Diese 8-Bit-Gruppierungen können jeweils einen Wert zwischen 0 und 255 haben. Ein Radixbaum kann eine grafische Darstellung dieser binären Zahlen sein.

In Abbildung 1beginnt der Radix-Tree ohne konfigurierten Wert (beginnt bei 0) und befindet sich an der linken Position der binären IP-Adresse. Dies wird als 0/0 dargestellt, was oft als Standardroute bezeichnet wird.

Abbildung 1: Beginn eines Radix TreeBeginn eines Radix Tree

Da dies binär ist, kann jedes Bit nur einen von zwei möglichen Werten haben – eine 0 oder eine 1. Wenn Sie die linke Zweigstelle nach unten bewegen, entspricht dies einem Wert von 0, während die Bewegung nach rechts einen Wert von 1 darstellt. Der erste Schritt wird in Abbildung 2dargestellt. An der ersten Position hat das erste Oktett der IP-Adresse einen Wert von 00000000 oder 10000000 – jeweils eine 0 oder 128. Dies wird durch Abbildung 2 die Werte 0/1 und 128/1 dargestellt.

Abbildung 2: Erster Schritt eines Radix TreeErster Schritt eines Radix Tree

Der zweite Schritt wird in Abbildung 3gezeigt. Diese zweite Ebene des Baumes hat vier mögliche Binärwerte für das erste Oktett: 0000000, 01000000, 10000000 und 11000000. Diese Dezimalwerte von 0, 64, 128 und 192 werden durch die IP-Adressen 0/2, 64/2, 128/2 und 192/2 am Radixbaum dargestellt.

Abbildung 3: Zweiter Schritt eines Radix TreeZweiter Schritt eines Radix Tree

Dieser Schritt-für-Schritt-Prozess dauert 33 Ebenen an, um alle möglichen IP-Adressen darzustellen.

Die Radix Tree-Struktur ist hilfreich, wenn eine Gruppe von Routen ausfindig wird, die alle dieselben wichtigsten Bits haben. Abbildung 4 zeigt den Punkt im Radix-Tree, der das 192.168.0.0/16-Netzwerk darstellt. Alle Routen, die spezifischer als 192.168.0.0/16 sind, werden im hervorgehobenen Abschnitt angezeigt.

Abbildung 4: Suchen einer Gruppe von RoutenSuchen einer Gruppe von Routen

Konfigurieren von Routenfiltern

Anmerkung:

Das Thema "Konfigurieren von Routenfiltern" beschreibt das Junos OS-Standardverhalten. Die Walkup-Funktion, die in diesem Thema nicht behandelt wird, ändert die in diesem Thema diskutierten Bewertungsergebnisse, indem der Router kürzere Übereinstimmungsbedingungen berücksichtigen kann, die innerhalb derselben Laufzeit konfiguriert sind. Weitere Informationen finden Sie Walkup für Routenfilter – Übersicht unter.

Um einen Routenfilter zu konfigurieren, fügen Sie mindestens eine oder route-filtersource-address-filter mehrere Anweisungen ein:

Die route-filter Option wird normalerweise verwendet, um eine eingehende Route-Adresse mit dem Ziel-Präfix eines beliebigen Typs zusammenzugleichen, außer für Unicast-Quelladressen.

Die destination-prefix Adresse ist das Ip-Version 4 (IPv4) oder IP Version 6 (IPv6)-Adresspräfix, das als prefix/prefix-lengthangegeben angegeben ist. Wenn Sie ein IPv4-Präfix auslassen prefix-length , lautet der Standard /32. Wenn Sie ein IPv6-Präfix weglassen prefix-length , lautet der Standard /128. In einer from Anweisung angegebene Präfixe müssen entweder alle IPv4-Adressen oder alle IPv6-Adressen sein.

Die source-address-filter Option wird normalerweise verwendet, um eine eingehende Route-Adresse mit Unicast-Quelladressen in Multiprotocol BGP (MBGP) und Multicast Source Discovery Protocol (MSDP)-Umgebungen abgleicht.

source-prefix Adresse ist das IPv4- oder IPv6-Adressenpräfix, das als prefix/prefix-lengthangegeben angegeben ist. Wenn Sie ein IPv4-Präfix auslassen prefix-length , lautet der Standard /32prefix-length. Wenn Sie ein IPv6-Präfix weglassen prefix-length , lautet der Standard /128. In einer from Anweisung angegebene Präfixe müssen entweder alle IPv4-Adressen oder alle IPv6-Adressen sein.

match-type ist der Typ der Übereinstimmung, der auf das Quell- oder Zielpräfix angewendet wird. Es kann einer der Übereinstimmungstypen sein, die in Tabelle 1aufgeführt sind. Beispiele für die Übereinstimmungstypen und die Ergebnisse, wenn sie mit verschiedenen Routen präsentiert werden, finden Sie unter Tabelle 2.

actions sind die zu ergreifenden Aktionen, wenn eine Routenadresse den kriterien entspricht, die für ein Zielübereinstimmungspräfix (als Teil einer route-filter Option angegeben) oder für ein Quellübereinstimmungspräfix (als Teil einer destination-address-filter Option angegeben) angegeben sind. Die Aktionen können aus einer oder mehreren der in Aktionen in Routing-Richtlinienbedingungenbeschriebenen Aktionen bestehen.

In einem Routenfilter können Sie Aktionen auf zwei Arten festlegen:

  • In der route-filter option oder source-address-filter : Diese Aktionen werden unmittelbar nach dem Auftreten einer Übereinstimmung ausgeführt, und die then Anweisung wird nicht ausgewertet.

  • In der then Anweisung: Diese Aktionen werden ausgeführt, nachdem eine Übereinstimmung erfolgt, aber für die oder source-address-filter Option route-filter werden keine Aktionen angegeben.

Die upto Typen und prefix-length-range Übereinstimmungen sind ähnlich, da beide die wichtigsten Bits angeben und eine Reihe von Präfixlängen angeben, die übereinstimmen können. Der Unterschied besteht darin, dass upto Sie einen oberen Grenzwert nur für den Prefix-Längenbereich angeben können, während Sie sowohl untere prefix-length-range als auch obere Grenzwerte angeben können.

Weitere Beispiele für diese Routenfilter-Übereinstimmungstypen finden Sie unter Beispiele für Routenfilter.

Tabelle 1: Routenfilter-Übereinstimmungstypen für eine Präfixliste

Übereinstimmungstyp

Übereinstimmungskriterien

address-mask netmask-value

Alle folgenden Punkte sind wahr:

  • Die bitweise logische AND des netmask-value Musters und die eingehende IPv4- oder IPv6-Routenadresse und das bitweise logische AND des netmask-value Musters und der destination-prefix Adresse sind gleich. Die im netmask-value Muster festgelegten Bits müssen nicht zusammenhängender sein.

  • Die prefix-length Komponente der eingehenden IPv4- oder IPv6-Routenadresse und die prefix-length Komponente der destination-prefix Adresse sind gleich.

Anmerkung:

Der address-mask Übereinstimmungstyp der Routing-Richtlinie ist nur für den Abgleich einer eingehenden IPv4(family inet) oder IPv6-Routenadresse anfamily inet6 eine Liste der in einer route-filter Anweisung angegebenen Zielübereinstimmungs-Präfixe gültig.

Mit address-mask dem Übereinstimmungstyp der Routing-Richtlinie können Sie eine eingehende IPv4- oder IPv6-Route-Adresse auf einer konfigurierten Netzmaskenadresse zusätzlich zur Länge eines konfigurierten Ziel-Übereinstimmungspräfixes anpassen. Die Länge der Routenadresse muss genau mit der Länge des konfigurierten Zielübereinstimmungspräfixes übereinstimmen, da der address-mask Übereinstimmungstyp keine Präfixlängenvariationen für einen Bereich von Präfixlängen unterstützt.

Wenn die längste Übereinstimmungssuche auf einem Routenfilter durchgeführt wird, bewertet die Suche einen address-mask Übereinstimmungstyp anders als andere Arten von Routing-Richtlinienübereinstimmungen. Bei der Suche wird die Länge des Ziel-Übereinstimmungspräfixes nicht berücksichtigt. Stattdessen berücksichtigt die Suche die Anzahl der zusammenhängenden Bits hoher Ordnung, die im Netzmaskenwert festgelegt sind.

Weitere Informationen zu diesem Routenfilter-Übereinstimmungstyp finden Sie unter Bewertung eines Adressmasken-Übereinstimmungstyps.

Konfigurationen mit Routenfiltern, die den Übereinstimmungstyp address-mask enthalten, finden Sie z. B. in den folgenden Themen:

exact

Alle folgenden Punkte sind wahr:

  • Die Routenadresse teilt die gleichen wichtigsten Bits wie das Übereinstimmungspräfix (destination-prefix oder source-prefix). Die Anzahl der signifikanten Bits wird von der prefix-length Komponente des Übereinstimmungs-Präfixes beschrieben.

  • Die prefix-length Komponente des Übereinstimmungs-Präfixes entspricht der Präfixlänge der Route.

longer

Alle folgenden Punkte sind wahr:

  • Die Routenadresse teilt die gleichen wichtigsten Bits wie das Übereinstimmungspräfix (destination-prefix oder source-prefix). Die Anzahl der signifikanten Bits wird von der prefix-length Komponente des Übereinstimmungs-Präfixes beschrieben.

  • Die Präfixlänge der Route ist größer als die prefix-length Komponente des Übereinstimmungspräfixes.

orlonger

Alle folgenden Punkte sind wahr:

  • Die Routenadresse teilt die gleichen wichtigsten Bits wie das Übereinstimmungspräfix (destination-prefix oder das source-prefix). Die Anzahl der signifikanten Bits wird von der prefix-length Komponente des Übereinstimmungs-Präfixes beschrieben.

  • Die Präfixlänge der Route ist gleich oder größer als die prefix-length Komponente des konfigurierten Übereinstimmungs-Präfixes.

prefix-length-range prefix-length2-prefix-length3

Alle folgenden Punkte sind wahr:

  • Die Routenadresse teilt die gleichen wichtigsten Bits wie das Übereinstimmungspräfix (destination-prefix oder source-prefix). Die Anzahl der signifikanten Bits wird von der prefix-length Komponente des Übereinstimmungs-Präfixes beschrieben.

  • Die Präfixlänge der Route fällt zwischen prefix-length2 und prefix-length3, inklusive.

through {destination-prefix2 | source-prefix2}

Alle folgenden Punkte sind wahr:

  • Die Routenadresse teilt die gleichen wichtigsten Bits wie das erste Übereinstimmungspräfix (destination-prefix oder source-prefix). Die Anzahl der signifikanten Bits wird von der prefix-length Komponente des Präfixes der ersten Übereinstimmung beschrieben.

  • Die Routenadresse teilt die gleichen wichtigsten Bits wie das zweite Übereinstimmungspräfix (destination-prefix2 oder source-prefix2). Die Anzahl der signifikanten Bits wird von der prefix-length Komponente des zweiten Übereinstimmungspräfixes beschrieben.

  • Die Präfixlänge der Route ist kleiner oder gleich der prefix-length Komponente des zweiten Übereinstimmungspräfixes.

Sie verwenden den Übereinstimmungstyp in den through meisten Routing-Richtlinienkonfigurationen nicht. Ein Beispiel finden Sie unter Routen von bestimmten Hosts ablehnen.

upto prefix-length2

Alle folgenden Punkte sind wahr:

  • Die Routenadresse teilt die gleichen wichtigsten Bits wie das Übereinstimmungspräfix (destination-prefix oder source-prefix). Die Anzahl der signifikanten Bits wird von der prefix-length Komponente des Übereinstimmungs-Präfixes beschrieben.

  • Die Präfixlänge der Route fällt zwischen der prefix-length Komponente des Präfixes der ersten Übereinstimmung und prefix-length2.

Abbildung 5 zeigt den detaillierten Radix-Tree für die Route 192.168.0.0/16.

Abbildung 5: Teil des Radix TreeTeil des Radix Tree

Abbildung 6 und Tabelle 2 den Betrieb der verschiedenen Routenfilter-Übereinstimmungstypen zu demonstrieren.

Abbildung 6: Routenfilter-ÜbereinstimmungstypenRoutenfilter-Übereinstimmungstypen
Tabelle 2: Beispiele für Übereinstimmungstyp

Präfix

192.168/16 genau

192.168/16 länger

192.168/16 oder höher

192.168/16 bis /24

192.168/16 prefix-length-range/18 – /20

192.168/16 through192.168.16/20

192.168/19 address-mask255.255.0.0

10.0.0.0/8

192.168.0.0/16

Match

Match

Match

Match

192.168.0.0/17

Match

Match

Match

Match

192.168.0.0/18

Match

Match

Match

Match

Match

192.168.0.0/19

Match

Match

Match

Match

Match

Match

192.168.4.0/24

Match

Match

Match

192.168.5.4/30

Match

Match

192.168.12.4/30

Match

Match

192.168.12.128/32

Match

Match

192.168.16.0/20

Match

Match

Match

Match

Match

192.168.192.0/18

Match

Match

Match

Match

192.168.224.0/19

Match

Match

Match

Match

Match

10.169.1.0/24

10.170.0.0/16

Bewertung von Routenfiltern in Routing-Richtlinienüberstimmungsbedingungen

Während der Routenfilterauswertung vergleicht die Richtlinien-Framework-Software die Quelladresse jeder Route mit den Ziel-Präfixen im Routenfilter. Die Auswertung erfolgt in zwei Schritten:

  1. Die Richtlinien-Framework-Software führt eine Suche nach der längsten Übereinstimmung durch, was bedeutet, dass die Software nach dem Präfix in der Liste mit der längsten Länge sucht.

    Bei der Suche nach der längsten Übereinstimmung werden nur die prefix Komponenten des prefix-length konfigurierten Übereinstimmungspräfixes und nicht die match-type Komponente berücksichtigt. Der folgende Beispielroutenfilter veranschaulicht diesen Punkt:

    Die längste Übereinstimmung für die Kandidatenroute 192.168.1.0/24 ist der zweite Routenfilter 192.168.0.0/15, der nur auf Prefix- und Prefix-Länge basiert.

  2. Wenn eine eingehende Route mit einem Präfix übereinstimmt (am längsten zuerst), treten die folgenden Aktionen auf:

    1. Der Routenfilter stoppt die Bewertung anderer Präfixe, selbst wenn der Übereinstimmungstyp ausfällt.

    2. Die Software untersucht den Typ und die Aktion, die mit diesem Präfix verknüpft sind.

Anmerkung:

Wenn eine Route-Quelladresse anhand eines Übereinstimmungskriterien ausgewertet wird, bei dem der Übereinstimmungstyp address-mask verwendet wird, enthalten beide Schritte der Evaluierung den konfigurierten Netzmaskenwert. Weitere Informationen finden Sie unter Bewertung eines Adressmasken-Übereinstimmungstyps.

Wenn in Schritt 1 Route 192.168.1.0/24 ausgewertet würde, würde dies nicht übereinstimmen. Es entspricht dem längsten Präfix 192.168.0.0/15, aber es entspricht exactnicht . Der Routenfilter ist beendet, weil er mit einem Präfix übereinstimmte, aber das Ergebnis ist eine fehlgeschlagene Übereinstimmung, da der Übereinstimmungstyp fehlgeschlagen ist.

Wenn eine Übereinstimmung auftritt, wird die mit dem Präfix angegebene Aktion ausgeführt. Wenn eine Aktion nicht mit dem Präfix angegeben ist, wird die Aktion in der then Anweisung ausgeführt. Wenn keine aktion angegeben ist, wertet die Software den nächsten Begriff oder die Routing-Richtlinie aus, falls vorhanden, oder führt die accept von der Standardrichtlinie festgelegte Aktion bzw reject . Aktion aus. Weitere Informationen zu den Standardrouting-Richtlinien finden Sie unter Standard-Routing-Richtlinien.

Anmerkung:

Wenn Sie im Routenfilter mehrere Präfixe angeben, muss nur ein Präfix übereinstimmen, damit eine Übereinstimmung auftritt. Die Routenfilterabgleichung ist in der Regel ein logischer ODER-Vorgang.

Wenn keine Übereinstimmung auftritt, wertet die Software den nächsten Begriff oder die Routing-Richtlinie aus, falls vorhanden, oder führt die accept von der Standardrichtlinie festgelegte Oder reject Aktion aus.

Vergleichen Sie beispielsweise das Präfix 192.168.254.0/24 mit dem folgenden Routenfilter:

Das Präfix 192.168.254.0/23 wird als das längste Präfix festgelegt. Wenn die Software 192.168.254.0/24 mit dem längsten Präfix bewertet, tritt eine Übereinstimmung ein (192.168.254.0/24 ist eine Teilmenge von 192.168.254.0/23). Aufgrund der Übereinstimmung zwischen 192.168.254.0/24 und dem längsten Präfix wird die Auswertung fortgesetzt. Wenn die Software jedoch den Übereinstimmungstyp auswertet, tritt eine Übereinstimmung nicht genau zwischen 192.168.254.0/24 und 192.168.254.0/23 auf. Die Software kommt zu dem Schluss, dass der Begriff nicht mit dem nächsten Begriff oder der Routing-Richtlinie übereinstimmt oder die accept in der Standardrichtlinie festgelegte oder reject ausgeführte Aktion vornimmt.

Anmerkung:

Die Walkup-Funktion ermöglicht Begriffe mit mehreren Routenfiltern zum "Walk-up" des Evaluierungsprozesses, um weniger spezifische Routen sowie die längste Übereinstimmung einzubeziehen. Mit anderen Worten, die Aktivierung von Walkup ändert das Standardverhalten von "Wenn ein Versagen, dann schlägt der Begriff fehl" auf "Wenn eine Übereinstimmung, dann der Begriff übereinstimmungen". Weitere Informationen zu dieser walkup Funktion finden Sie unter Walkup für Routenfilter – Übersicht.

Wie sich die Präfixreihenfolge auf die Routenfilterauswertung auswirkt

Die Reihenfolge, in der die Präfixe angegeben werden (von oben nach unten), spielt in der Regel keine Rolle, da die Richtlinien-Framework-Software den Routenfilter scannt, der nach dem längsten Präfix während der Evaluierung sucht. Eine Ausnahme von dieser Regel ist, wenn Sie das gleiche Zielpräfix mehrmals in einer Liste verwenden. In diesem Fall ist die Reihenfolge der Präfixe wichtig, da die Liste identischer Präfixe von oben nach unten gescannt wird und der erste Übereinstimmungstyp, der der Route entspricht, gilt.

Anmerkung:

Die Walkup-Funktion ermöglicht Begriffe mit mehreren Routenfiltern zum "Walk-up" des Evaluierungsprozesses, um weniger spezifische Routen sowie die längste Übereinstimmung einzubeziehen. Mit anderen Worten, die Aktivierung von Walkup ändert das Standardverhalten von "Wenn ein Versagen, dann schlägt der Begriff fehl" auf "Wenn eine Übereinstimmung, dann der Begriff übereinstimmungen". Weitere Informationen zu dieser walkup Funktion finden Sie unter Walkup für Routenfilter – Übersicht.

Im folgenden Beispiel werden verschiedene Übereinstimmungstypen für das gleiche Präfix angegeben. Die Route 0.0.0.0/0 wird abgelehnt, die Route 0.0.0.0/8 mit markiert next-hop selfund die Route 0.0.0.0/25 wird abgelehnt.

Bewertung eines Adressmasken-Übereinstimmungstyps

Mit address-mask dem Übereinstimmungstyp der Routing-Richtlinie können Sie eingehende IPv4- oder IPv6-Routenadressen auf einem konfigurierten Netzmaskenwert zusätzlich zur Länge eines konfigurierten Ziel-Übereinstimmungs-Präfixes abgleichen. Während der Routenfilterauswertung wird ein Übereinstimmungstyp address-mask anders als andere Routing-Richtlinienübereinstimmungstypen unter Berücksichtigung des konfigurierten Netzmaskenwerts verarbeitet:

  • Wenn eine Suche mit der längsten Übereinstimmung einen Übereinstimmungstyp der address-mask Routing-Richtlinie auswertet, wird die prefix-length Komponente des konfigurierten Übereinstimmungs-Präfixes nicht berücksichtigt. Stattdessen wird bei der Suche die Anzahl der zusammenhängenden Bits hoher Ordnung im konfigurierten Netzmaskenwert berücksichtigt.

  • Wenn eine eingehende IPv4- oder IPv6-Routenadresse anhand eines Routenfilter-Übereinstimmungskriterien ausgewertet wird, der den Übereinstimmungstyp der address-mask Routing-Richtlinie verwendet, ist die Übereinstimmung erfolgreich, wenn die folgenden Werte identisch sind:

    • Die bitweise logische AND des konfigurierten Netzmaskwerts und die eingehende IPv4- oder IPv6-Routenadresse

    • Das bitweise logische AND des konfigurierten Netzmaskenwerts und des konfigurierten Ziel-Übereinstimmung-Präfixes

Eine Beispielkonfiguration eines Routenfilters, der zwei address-mask Übereinstimmungstypen enthält, finden Sie unter Bewertung eines Adressmasken-Übereinstimmungstyps mit Longest-Match-Suche.

Häufiges Konfigurationsproblem bei der Suche nach der längsten Übereinstimmung

Ein häufiges Problem beim Definieren eines Routenfilters ist ein kürzeres Präfix, das mit einem längeren, ähnlichen Präfix in der gleichen Liste übereinstimmen soll. Stellen Sie sich beispielsweise vor, dass das Präfix 192.168.254.0/24 mit dem folgenden Routenfilter verglichen wird:

Da die Policy Framework-Software die Suche nach der längsten Übereinstimmung durchführt, wird das Präfix 192.168.254.0/23 als das längste Präfix festgelegt. Eine genaue Übereinstimmung findet nicht zwischen 192.168.254.0/24 und 192.168.254.0/23 exakt statt. Die Software bestimmt, dass der Begriff nicht übereinstimmt und weitergeht mit dem nächsten Begriff oder der Routing-Richtlinie, falls vorhanden, oder die von der accept Standardrichtlinie festgelegte Oder reject Aktion. (Weitere Informationen zu den Standardrouting-Richtlinien finden Sie unter Standard-Routing-Richtlinien.) Das kürzere Präfix 192.168.0.0/16 oder länger, das Sie anpassen wollten, wird versehentlich ignoriert.

Eine Lösung für dieses Problem besteht darin, das Präfix 192.168.0.0/16 oder länger aus dem Routenfilter zu entfernen und es in einen anderen Begriff zu verschieben, bei dem es das einzige Präfix oder das längste Präfix in der Liste ist.

Eine weitere Lösung ist die Aktivierung der walkup Funktion. Weitere Informationen finden Sie Walkup für Routenfilter – Übersicht unter.

Beispiele für Routenfilter

Die Beispiele in diesem Abschnitt zeigen nur Fragmente von Routing-Richtlinien. Normalerweise würden Sie diese Fragmente mit anderen Begriffen oder Routingrichtlinien kombinieren.

Denken Sie in allen Beispielen daran, dass die folgenden Aktionen für nicht übereinstimmende Routen gelten:

  • Bewerten Sie gegebenenfalls den nächsten Begriff.

  • Bewerten Sie ggf. die nächste Richtlinie.

  • Führen Sie die accept in der Standardrichtlinie angegebene Aktion reject aus. Weitere Informationen zu den Standardrouting-Richtlinien finden Sie unter Standard-Routing-Richtlinien.

Die folgenden Beispiele zeigen, wie Route-Filter für verschiedene Zwecke konfiguriert werden:

Ablehnen von Routen mit bestimmten Ziel-Präfixen und Maskenlängen

Weisen Sie Routen mit dem Ziel-Präfix 0.0.0.0 und einer Maskenlänge von 0 bis 8 zurück, und akzeptieren Sie alle anderen Routen:

Ablehnen von Routen mit einer Maskenlänge von mehr als acht

Ablehnen von Routen mit einer Maske von /8 und höher (d. h. /8, /9, /10 usw.), bei denen die ersten 8 Bits auf 0 festgelegt sind und Routen mit einer Länge von weniger als 8 Bits akzeptieren:

Ablehnen von Routen mit Maskenlänge zwischen 26 und 29

Routen mit dem Ziel-Präfix 192.168.10/24 und einer Maske zwischen /26 und /29 ablehnen und alle anderen Routen akzeptieren:

Routen von bestimmten Hosts ablehnen

Weisen Sie eine Reihe von Routen von bestimmten Hosts zurück, und akzeptieren Sie alle anderen Routen:

Sie verwenden den Übereinstimmungstyp in den through meisten Routing-Richtlinienkonfigurationen nicht. Sie sollten sich ein Tool zur Gruppierung einer zusammenhängenden Gruppe von exakten Übereinstimmungen überlegen through . Anstatt beispielsweise vier genaue Übereinstimmungen anzugeben:

Sie könnten sie mit der folgenden einzigen Übereinstimmung darstellen:

Akzeptieren von Routen mit einem definierten Satz von Präfixen

Akzeptieren Sie ausdrücklich eine begrenzte Anzahl von Präfixen (im ersten Begriff) und weisen Sie alle anderen (in der zweiten Amtszeit) zurück:

Ablehnen von Routen mit einem definierten Satz von Präfixen

Einige Gruppen von Präfixen ablehnen und die verbleibenden Präfixe akzeptieren:

Ablehnen von Routen mit Präfixen, die länger als 24 Bits sind

Alle Präfixe länger als 24 Bits ablehnen. Sie würden diese Routing-Richtlinie in einer Abfolge von Routing-Richtlinien in einer export Anweisung installieren. Der erste Begriff in diesem Filter übergibt auf allen Routen mit einer Präfixlänge von bis zu 24 Bits. Der zweite, unbenannte Begriff weist alles andere zurück.

Wenn Sie in diesem Beispiel angeben route-filter 0.0.0.0/0 upto /24 acceptwürden, würden übereinstimmende Präfixe sofort akzeptiert und die nächste Routing-Richtlinie in der export Anweisung nie ausgewertet.

Wenn Sie die Anweisung in den then reject Begriff acl20einbeziehen würden, würden Präfixe über 24 Bits niemals abgelehnt, da die Policy Framework-Software bei der Bewertung des Begriffs die nächste Anweisung auswertet, bevor sie die then reject Aussage erreicht.

Ablehnen von PIM-Multicast-Datenverkehrs-Joins

Konfigurieren Sie eine Routing-Richtlinie für das Ablehnen von Protocol Independent Multicast (PIM)-Multicast-Datenverkehrs-Joins für ein Quellziel-Präfix von einem Nachbarn:

Ablehnen von PIM-Datenverkehr

Konfigurieren Einer Routing-Richtlinie zum Ablehnen von PIM-Datenverkehr für ein Quellziel-Präfix von einer Schnittstelle:

Für PIM gelten die folgenden Richtlinienqualifizierer:

  • interface— Schnittstelle, über die ein Join empfangen wird

  • neighbor— Quelle, von der ein Join stammt

  • route-filter—Gruppenadresse

  • source-address-filter— Quelladresse, für die ein Join abgelehnt werden soll

Weitere Informationen zum Importieren eines PIM-Join-Filters in einer PIM-Protokolldefinition finden Sie im Benutzerhandbuch für Junos OS Multicast Protocols.

Akzeptieren eingehender IPv4-Routen durch Anwenden einer Adressmaske auf die Routenadresse und das Ziel-Übereinstimmungs-Präfix

Akzeptieren Sie eingehende IPv4-Routen mit einem Ziel-Präfix von 10.1.0/24 und dem dritten Byte eine gleichmäßige Zahl von 0 bis 14, einschließlich:

Der Routenfilter im Begriff term_1 der Routing-Richtlinien entspricht den folgenden eingehenden IPv4-Routenadressen:

  • 10.1.0.0/24

  • 10.1.2.0/24

  • 10.1.4.0/24

  • 10.1.6.0/24

  • 10.1.8.0/24

  • 10.1.10.0/24

  • 10.1.12.0/24

  • 10.1.14.0/24

Die bitweise logische AND des Netzmaskenwerts und der Routenadresse des Kandidaten muss mit dem bitweisen logischen UND dem Netzmaskenwert und der Präfixadresse übereinstimmen. Das heißt, wenn das Netmask-Bit-Muster 255.255.241.0 ein festgelegtes Bit enthält, muss die eingehende IPv4-Routenadresse, die ausgewertet wird, mit dem Wert des entsprechenden Bit in der Ziel-Präfixadresse 10.1.0.0/24 übereinstimmen.

  • Die ersten beiden Bytes des Netzmaskenwerts sind binär 1111 1111 1111 1111, was bedeutet, dass eine Kandidatenroutenadresse die Übereinstimmung nicht schlägt, wenn die ersten beiden Bytes nicht 10.1 sind.

  • Das dritte Byte des Netmask-Werts ist binär 1111 0001, was bedeutet, dass eine Kandidatenroutenadresse die Übereinstimmung fehlschlägt, wenn das dritte Byte größer als 15 (Dezimalzahl), eine ungerade Zahl oder beides ist.

  • Die Prefix-Länge der Übereinstimmungs-Prefix-Adresse ist 24 (Dezimal), was bedeutet, dass eine Kandidatenroutenadresse die Übereinstimmung fehlschlägt, wenn ihre Präfixlänge nicht genau 24 ist.

Nehmen wir als Beispiel an, dass die in der Richtlinie getestete Kandidatenroutenadresse 10.1.8.0/24 ist (binär 0000 1010 0000 0001 0000 1000).

  • Wenn der Netzmaskenwert auf diese Routenadresse des Kandidaten angewendet wird, ist das Ergebnis binär 0000 1010 0000 0001 0000 0000.

  • Wenn der Netzmaskenwert auf die konfigurierte Ziel-Prefix-Adresse angewendet wird, ist das Ergebnis auch binär 0000 1010 0000 0001 0000 0000.

  • Da die Ergebnisse von BEIDEN UND Vorgängen gleich sind, wird die Übereinstimmung mit den zweiten Übereinstimmungskriterien fortgesetzt.

  • Da die Präfixlängen der Kandidatenadresse und die konfigurierte Ziel-Prefix-Adresse gleich sind (24 Bits), ist die Übereinstimmung erfolgreich.

Nehmen wir als weiteres Beispiel an, dass die in der Richtlinie getestete Kandidatenroutenadresse 10.1.3.0/24 ist (binär 0000 1010 0000 0001 0000 0011).

  • Wenn der Netzmaskenwert auf diese Kandidatenroutenadresse angewendet wird, ist das Ergebnis binär 0000 1010 0000 0001 0000 0001.

  • Wenn der Netzmaskenwert jedoch auf die konfigurierte Ziel-Präfixadresse angewendet wird, ist das Ergebnis binär 0000 1010 0000 0001 0000 0000 0000.

  • Da die Ergebnisse der beiden UND-Vorgänge unterschiedlich sind (im dritten Byte), schlägt die Übereinstimmung fehl.

Akzeptieren eingehender IPv4-Routen mit ähnlichen Mustern, aber unterschiedlichen Präfixlängen

Akzeptieren Sie eingehende IPv4-Routenadressen des Formulars 10.*.1/24 oder 10.*.1.*/32:

Die Übereinstimmungskriterien 10.0.1.0/24 address-mask 255.0.255.0 des Routenfilters entsprechen einer eingehenden IPv4-Routenadresse des Formulars 10.*.1/24. Die Präfixlänge der Route muss genau 24 Bits lang sein, und jeder Wert ist im zweiten Byte akzeptabel.

Die Übereinstimmungskriterien 10.0.1.0/32 address-mask 255.0.255.0 des Routenfilters entsprechen einer eingehenden IPv4-Routenadresse des Formulars 10.*.1.*/32. Die Präfixlänge der Route muss genau 32 Bits lang sein, und jeder Wert ist im zweiten Byte und im vierten Byte akzeptabel.

Bewertung eines Adressmasken-Übereinstimmungstyps mit Longest-Match-Suche

In diesem Beispiel wird veranschaulicht, wie eine Suche nach der längsten Übereinstimmung einen Routenfilter bewertet, der zwei address-mask Übereinstimmungstypen enthält. Betrachten Sie den im folgenden Begriff term_3 der Routing-Richtlinie konfigurierten Routenfilter:

Angenommen, die eingehende IPv4-Route-Quelladresse 10.1.1.0/24 wird anhand des im Richtlinienbegriff term_3konfigurierten Routenfilters getestet:

  1. Der Nachschlagebaum mit der längsten Übereinstimmung für den Begriff term_3 der Routing-Richtlinie enthält zwei Übereinstimmungs-Präfixe: ein Präfix für 10.0.1.0/24 address-mask 255.0.255.0 und ein Präfix für 10.0.2.0/24 address-mask 255.240.255.0. Bei der Suche nach der Struktur nach der Longest-Prefix-Übereinstimmung nach einem Kandidaten berücksichtigt die Suche nach der längsten Übereinstimmung die Anzahl der zusammenhängenden Bits mit hoher Reihenfolge in den konfigurierten netmask-value statt der Länge des konfigurierten destination-prefix:

    • Bei den ersten Kriterien für die Übereinstimmung des Routenfilters ist der Eintrag für die Suche nach der längsten Übereinstimmung 10.0.0.0/8, da der Netzmaskenwert 8 zusammenhängende hochgeordnete Bits enthält.

    • Für die Übereinstimmungskriterien des zweiten Routenfilters ist der Eintrag für die Suche nach der längsten Übereinstimmung 10.0.0.0/12, da der Netzmaskenwert 12 zusammenhängende Bits hoher Ordnung enthält.

    Für die Kandidatenroutenadresse 10.1.1.0/24 gibt die Suche nach der längsten Übereinstimmung den Baumeintrag 10.0.0.0/12 zurück, der den Übereinstimmungskriterien 10.0.2.0/24 address-mask 255.240.255.0des Routenfilters entspricht.

  2. Nachdem nun das Prefix term_3 mit der längsten Übereinstimmung für die Routenadresse des Kandidaten identifiziert wurde, wird die Routenadresse des Kandidaten anhand der Übereinstimmungskriterien 10.0.2.0/24 address-mask 255.240.255.0für den Routenfilter bewertet:

    1. Um die eingehende IPv4-Routenadresse 10.1.1.0/24 zu testen, wird der Netzmaskenwert 255.240.255.0 auf 10.1.1.0/24 angewendet. Das Ergebnis ist 10.0.1.0.

    2. Zum Testen der konfigurierten Ziel-Präfixadresse 10.0.2.0/24 wird der Netzmaskenwert 255.240.255.0 auf 10.0.2.0/24 angewendet. Das Ergebnis ist 10.0.2.0.

    3. Da die Ergebnisse unterschiedlich sind, schlägt die Routenfilter-Übereinstimmung fehl. Es werden keine Aktionen durchgeführt, unabhängig davon, ob sie mit den Übereinstimmungskriterien oder mit der then Anweisung angegeben sind. Die eingehende IPv4-Routenadresse wird nicht anhand anderer Übereinstimmungskriterien bewertet.

Verwandte Themen