Présentation des filtres de routage à utiliser dans les conditions de correspondance des stratégies de routage
Un filtre de route est un ensemble de préfixes de correspondance. Lorsque vous spécifiez un préfixe de correspondance, vous pouvez spécifier une correspondance exacte avec un itinéraire particulier ou une correspondance moins précise. Vous pouvez configurer soit une action commune qui s’applique à l’ensemble de la liste, soit une action associée à chaque préfixe.
Étant donné que la configuration des filtres de routage inclut la mise en place de préfixes et de longueurs de préfixes, avant de procéder à la configuration, vous devez avoir une compréhension approfondie de l’adressage IP, y compris le supernetting, et de la façon dont les filtres de routage sont évalués (expliqué ici : Comment les filtres de routage sont évalués dans les conditions de correspondance de la stratégie de routage).
Cette section aborde les sujets suivants :
Arbres Radix
Pour comprendre le fonctionnement d’un filtre de routage, vous devez vous familiariser avec un périphérique utilisé pour la correspondance de nombres binaires, connu sous le nom d’arbre de base (parfois appelé trie patricia ou trie radix). Une arborescence de bases utilise des recherches binaires pour identifier les adresses IP (routes). N’oubliez pas qu’une adresse IP est un nombre de 32 bits représenté dans un format décimal pointillé pour une compréhension facile par les humains. Ces regroupements de 8 bits peuvent chacun avoir une valeur comprise entre 0 et 255. Un arbre de base peut être une représentation graphique de ces nombres binaires.
Dans Figure 1, l’arborescence de base commence sans valeur configurée (commence à 0) et se trouve à la position la plus à gauche de l’adresse IP binaire. Il s’agit de 0/0, souvent appelé route par défaut.
Comme il s’agit d’une valeur binaire, chaque bit ne peut avoir qu’une seule des deux valeurs possibles : un 0 ou un 1. Le déplacement vers le bas de la branche de gauche représente une valeur de 0, tandis que le déplacement vers la droite représente une valeur de 1. La première étape est illustrée à Figure 2la section . À la première position, le premier octet de l’adresse IP a une valeur de 000000000 ou 10000000, soit 0 ou 128, respectivement. Ceci est représenté par Figure 2 les valeurs 0/1 et 128/1.
La deuxième étape est illustrée à Figure 3la section . Ce deuxième niveau de l’arborescence a quatre valeurs binaires possibles pour le premier octet : 00000000, 01000000, 10000000 et 11000000. Ces valeurs décimales de 0, 64, 128 et 192 sont représentées par les adresses IP 0/2, 64/2, 128/2 et 192/2 de l’arbre de base.
Ce processus étape par étape se poursuit sur 33 niveaux au total pour représenter toutes les adresses IP possibles.
L’arborescence de la base est utile pour localiser un groupe d’itinéraires qui partagent tous les mêmes bits les plus significatifs. Figure 4 Affiche le point de l’arborescence de base qui représente le réseau 192.168.0.0/16. Tous les itinéraires plus spécifiques que 192.168.0.0/16 sont affichés dans la section en surbrillance.
Configuration des filtres de routage
La rubrique Configuration des filtres de route décrit le comportement par défaut de Junos OS. La fonctionnalité de walkup, qui n’est pas abordée dans cette rubrique, modifie les résultats de l’évaluation abordés dans cette rubrique en permettant au routeur de prendre en compte des conditions de correspondance plus courtes configurées dans le même terme. Voir Vue d’ensemble de Walkup for Route Filters pour plus de détails.
Pour configurer un filtre de routage, incluez-en une ou plusieurs route-filter instructions ou source-address-filter :
[edit policy-options policy-statement policy-name term term-name from]
route-filter destination-prefix match-type {
actions;
}
L’option route-filter est généralement utilisée pour faire correspondre une adresse de route entrante à des préfixes de correspondance de destination de n’importe quel type, à l’exception des adresses source unicast.
L’adresse destination-prefix correspond au préfixe d’adresse IP version 4 (IPv4) ou IP version 6 (IPv6) spécifié sous la forme prefix/prefix-length. Si vous omettez prefix-length un préfixe IPv4, la valeur par défaut est /32. Si vous omettez prefix-length un préfixe IPv6, la valeur par défaut est /128. Les préfixes spécifiés dans une from instruction doivent être soit toutes les adresses IPv4, soit toutes les adresses IPv6.
Cette source-address-filter option est généralement utilisée pour faire correspondre une adresse de route entrante à des adresses source unicast dans des environnements BGP multiprotocoles (MBGP) et MSDP (Multicast Source Discovery Protocol).
source-address-filter source-prefix match-type {
actions;
}
source-prefix address est le préfixe d’adresse IPv4 ou IPv6 spécifié sous la forme prefix/prefix-length. Si vous omettez prefix-length un préfixe IPv4, la valeur par défaut est /32prefix-length. Si vous omettez prefix-length un préfixe IPv6, la valeur par défaut est /128. Les préfixes spécifiés dans une from instruction doivent être soit toutes les adresses IPv4, soit toutes les adresses IPv6.
match-type est le type de correspondance à appliquer au préfixe source ou de destination. Il peut s’agir de l’un des types de correspondance répertoriés dans Tableau 1. Pour obtenir des exemples des types de correspondance et des résultats obtenus avec différents itinéraires, reportez-vous à la section Tableau 2.
actions sont les actions à effectuer si une adresse de route correspond aux critères spécifiés pour un préfixe de correspondance de destination (spécifié dans le cadre d’une option) ou pour un préfixe de correspondance source (spécifié dans le cadre d’une route-filterdestination-address-filter option). Il peut s’agir d’une ou de plusieurs des actions décrites à la section Actions dans les termes de stratégie de routage.
Dans un filtre d’itinéraire, vous pouvez spécifier des actions de deux manières :
Dans l’option ou
source-address-filter: ces actions sont effectuées immédiatement après la création d’une correspondance et l’instructionroute-filtern’estthenpas évaluée.Dans l’instruction : ces actions sont effectuées après qu’une correspondance se produise, mais aucune action n’est spécifiée pour l’option
thenroute-filterousource-address-filter.
Les upto types de correspondance et sont similaires en ce sens qu’ils spécifient tous deux les bits les plus significatifs et fournissent une plage de longueurs de prefix-length-range préfixe qui peuvent correspondre. La différence est que vous permet de spécifier une limite supérieure uniquement pour la plage de longueurs de préfixe, alors que uptoprefix-length-range vous vous permet de spécifier à la fois des limites inférieures et supérieures.
Pour plus d’exemples de ces types de correspondance de filtre de route, reportez-vous à la section Exemples de filtres de routage.
Type de correspondance |
Critères de correspondance |
|---|---|
|
Toutes les conditions suivantes sont vraies :
REMARQUE :
Le Le Lorsque la recherche de correspondance la plus longue est effectuée sur un filtre de route, la recherche évalue un Pour plus d’informations sur ce type de correspondance de filtre d’itinéraire, reportez-vous à la section Évaluation du type de correspondance d’un masque d’adresse. Pour obtenir des exemples de configurations affichant des filtres de routage contenant le type de |
|
Toutes les conditions suivantes sont vraies :
|
|
Toutes les conditions suivantes sont vraies :
|
|
Toutes les conditions suivantes sont vraies :
|
|
Toutes les conditions suivantes sont vraies :
|
|
Toutes les conditions suivantes sont vraies :
Vous n’utilisez pas le |
|
Toutes les conditions suivantes sont vraies :
|
Figure 5 Affiche l’arborescence de base détaillée de l’itinéraire 192.168.0.0/16.
Figure 6 et Tableau 2 démontrer le fonctionnement des différents types de correspondance de filtre de route.
Préfixe |
192.168/16 Exact |
192.168/16 plus long |
192.168/16 ou plus |
192.168/16 jusqu’à /24 |
192.168/16 prefix-length-range/18 – /20 |
192.168/16 through192.168.16/20 |
192.168/19 masque d’adresse255.255.0.0 |
|---|---|---|---|---|---|---|---|
10.0.0.0/8 |
– |
– |
– |
– |
– |
– |
– |
192.168.0.0/16 |
Correspondance |
– |
Correspondance |
Correspondance |
– |
Correspondance |
– |
192.168.0.0/17 |
– |
Correspondance |
Correspondance |
Correspondance |
– |
Correspondance |
– |
192.168.0.0/18 |
– |
Correspondance |
Correspondance |
Correspondance |
Correspondance |
Correspondance |
– |
192.168.0.0/19 |
– |
Correspondance |
Correspondance |
Correspondance |
Correspondance |
Correspondance |
Correspondance |
192.168.4.0/24 |
– |
Correspondance |
Correspondance |
Correspondance |
– |
– |
– |
192.168.5.4/30 |
– |
Correspondance |
Correspondance |
– |
– |
– |
– |
192.168.12.4/30 |
– |
Correspondance |
Correspondance |
– |
– |
– |
– |
192.168.12.128/32 |
– |
Correspondance |
Correspondance |
– |
– |
– |
– |
192.168.16.0/20 |
– |
Correspondance |
Correspondance |
Correspondance |
Correspondance |
Correspondance |
– |
192.168.192.0/18 |
– |
Correspondance |
Correspondance |
Correspondance |
Correspondance |
– |
– |
192.168.224.0/19 |
– |
Correspondance |
Correspondance |
Correspondance |
Correspondance |
– |
Correspondance |
10.169.1.0/24 |
– |
– |
– |
– |
– |
– |
– |
10.170.0.0/16 |
– |
– |
– |
– |
– |
– |
– |
Comment les filtres de routage sont évalués dans les conditions de correspondance de la stratégie de routage
Lors de l’évaluation du filtre de route, le logiciel Policy Framework compare l’adresse source de chaque route avec les préfixes de destination dans le filtre de route. L’évaluation se déroule en deux étapes :
Le logiciel Policy Framework effectue une recherche de la correspondance la plus longue, ce qui signifie qu’il recherche le préfixe dans la liste avec la longueur la plus longue.
La recherche de correspondance la plus longue prend uniquement en compte les
prefixcomposants et du préfixe de correspondance configuré, etprefix-lengthnon lematch-typecomposant. L’exemple de filtre d’itinéraire suivant illustre ce point :from { route-filter 192.168.0.0/14 upto /24 reject; route-filter 192.168.0.0/15 exact; } then accept;La correspondance la plus longue pour la route candidate 192.168.1.0/24 est le deuxième filtre de route, 192.168.0.0/15, qui est basé sur le préfixe et la longueur du préfixe uniquement.
Lorsqu’une route entrante correspond à un préfixe (le plus long en premier), les actions suivantes se produisent :
Le filtre de routage arrête d’évaluer les autres préfixes, même si le type de correspondance échoue.
Le logiciel examine le type de correspondance et l’action associée à ce préfixe.
Lorsqu’une adresse source de route est évaluée par rapport à un critère de correspondance qui utilise le address-mask type de correspondance, les deux étapes de l’évaluation incluent la valeur de masque de réseau configurée. Pour plus d’informations, reportez-vous à la section Évaluation du type de correspondance d’un masque d’adresse.
À l’étape 1, si la route 192.168.1.0/24 était évaluée, elle ne correspondrait pas. Il correspond au préfixe le plus long de 192.168.0.0/15, mais il ne correspond exactpas à . Le filtre de routage est terminé car il correspond à un préfixe, mais le résultat est un échec de correspondance car le type de correspondance a échoué.
Si une correspondance se produit, l’action spécifiée avec le préfixe est effectuée. Si une action n’est pas spécifiée avec le préfixe, l’action de l’instruction then est exécutée. Si aucune action n’est spécifiée, le logiciel évalue le terme ou la stratégie de routage suivant, le cas échéant, ou prend l’action ou reject l’action accept spécifiée par la stratégie par défaut. Pour plus d’informations sur les stratégies de routage par défaut, reportez-vous à la section Stratégies de routage par défaut.
Si vous spécifiez plusieurs préfixes dans le filtre de routage, un seul préfixe doit correspondre pour qu’une correspondance se produise. La correspondance du filtre de route est en fait une opération OU logique.
Si aucune correspondance ne se produit, le logiciel évalue le terme ou la stratégie de routage suivant, le cas échéant, ou prend l’action ou reject l’action accept spécifiée par la stratégie par défaut.
Par exemple, comparez le préfixe 192.168.254.0/24 avec le filtre de route suivant :
route-filter 192.168.0.0/16 orlonger; route-filter 192.168.254.0/23 exact;
Le préfixe 192.168.254.0/23 est déterminé comme étant le préfixe le plus long. Lorsque le logiciel évalue 192.168.254.0/24 par rapport au préfixe le plus long, une correspondance se produit (192.168.254.0/24 est un sous-ensemble de 192.168.254.0/23). En raison de la correspondance entre 192.168.254.0/24 et le préfixe le plus long, l’évaluation se poursuit. Cependant, lorsque le logiciel évalue le type de correspondance, il n’y a pas de correspondance entre 192.168.254.0/24 et 192.168.254.0/23 exactement. Le logiciel conclut que le terme ne correspond pas et passe au terme ou à la stratégie de routage suivant, le cas échéant, ou prend l’action accept spécifiée reject par la stratégie par défaut.
La fonction walkup permet aux termes avec plusieurs filtres d’itinéraire de « remonter » le processus d’évaluation pour inclure des itinéraires moins spécifiques ainsi que la correspondance la plus longue. En d’autres termes, l’activation de walkup modifie le comportement par défaut de « si l’un d’entre eux échoue, alors le terme échoue » à « si l’un d’entre eux correspond, alors le terme correspond ». Pour plus d’informations sur cette fonctionnalité, reportez-vous à la walkup section Vue d’ensemble de Walkup for Route Filters.
- Incidence de l’ordre des préfixes sur l’évaluation du filtre de routage
- Évaluation du type de correspondance d’un masque d’adresse
- Problème de configuration courant avec la recherche de la correspondance la plus longue
Incidence de l’ordre des préfixes sur l’évaluation du filtre de routage
L’ordre dans lequel les préfixes sont spécifiés (de haut en bas) n’a généralement pas d’importance, car le logiciel Policy Framework analyse le filtre de routage à la recherche du préfixe le plus long lors de l’évaluation. Une exception à cette règle est lorsque vous utilisez le même préfixe de destination plusieurs fois dans une liste. Dans ce cas, l’ordre des préfixes est important, car la liste des préfixes identiques est analysée de haut en bas et le premier type de correspondance qui correspond à l’itinéraire s’applique.
La fonction walkup permet aux termes avec plusieurs filtres d’itinéraire de « remonter » le processus d’évaluation pour inclure des itinéraires moins spécifiques ainsi que la correspondance la plus longue. En d’autres termes, l’activation de walkup modifie le comportement par défaut de « si l’un d’entre eux échoue, alors le terme échoue » à « si l’un d’entre eux correspond, alors le terme correspond ». Pour plus d’informations sur cette fonctionnalité, reportez-vous à la walkup section Vue d’ensemble de Walkup for Route Filters.
Dans l’exemple suivant, différents types de correspondance sont spécifiés pour le même préfixe. La route 0.0.0.0/0 serait rejetée, la route 0.0.0.0/8 serait marquée par next-hop self, et la route 0.0.0.0/25 serait rejetée.
route-filter 0.0.0.0/0 upto /7 reject; route-filter 0.0.0.0/0 upto /24 next-hop self; route-filter 0.0.0.0/0 orlonger reject;
Évaluation du type de correspondance d’un masque d’adresse
Le address-mask type de correspondance de stratégie de routage vous permet de faire correspondre les adresses de routage IPv4 ou IPv6 entrantes sur une valeur de masque de réseau configurée, en plus de la longueur d’un préfixe de correspondance de destination configuré. Lors de l’évaluation du filtre de routage, un address-mask type de correspondance est traité différemment des autres types de correspondance de la stratégie de routage, en tenant compte de la valeur de masque de réseau configurée :
Lorsqu’une recherche de correspondance la plus longue évalue un type de
address-maskcorrespondance de stratégie de routage, le composant du préfixe de correspondance configuré n’estprefix-lengthpas pris en compte. Au lieu de cela, la recherche prend en compte le nombre de bits d’ordre supérieur contigus défini dans la valeur de masque de réseau configurée.Lorsqu’une adresse de routage IPv4 ou IPv6 entrante est évaluée par rapport à un critère de correspondance de filtre de routage qui utilise le type de correspondance de
address-maskstratégie de routage, la correspondance réussit si les valeurs suivantes sont identiques :ET logique au niveau du bit de la valeur du masque de réseau configuré et de l’adresse de route IPv4 ou IPv6 entrante
Le ET logique au niveau du bit de la valeur du masque de réseau configuré et du préfixe de correspondance de destination configuré
Pour obtenir un exemple de configuration d’un filtre de routage contenant deux address-mask types de correspondance, reportez-vous à la section Évaluation d’un type de correspondance de masque d’adresse avec la recherche de la correspondance la plus longue.
Problème de configuration courant avec la recherche de la correspondance la plus longue
Un problème courant lors de la définition d’un filtre de route est l’inclusion d’un préfixe plus court que vous souhaitez faire correspondre à un préfixe plus long et similaire dans la même liste. Par exemple, imaginons que le préfixe 192.168.254.0/24 soit comparé au filtre de route suivant :
route-filter 192.168.0.0/16 orlonger; route-filter 192.168.254.0/23 exact;
Étant donné que le logiciel d’infrastructure de stratégies effectue la recherche de la correspondance la plus longue, le préfixe 192.168.254.0/23 est déterminé comme étant le préfixe le plus long. Il n’y a pas de correspondance exacte entre 192.168.254.0/24 et 192.168.254.0/23 exact. Le logiciel détermine que le terme ne correspond pas et passe au terme ou à la stratégie de routage suivant, le cas échéant, ou prend l’action accept spécifiée reject par la stratégie par défaut. (Pour plus d’informations sur les stratégies de routage par défaut, reportez-vous à la section Stratégies de routage par défaut.) Le préfixe plus court 192.168.0.0/16 ou plus que vous vouliez faire correspondre est ignoré par inadvertance.
Une solution à ce problème consiste à supprimer le préfixe 192.168.0.0/16 ou plus du filtre de route de ce terme et à le déplacer vers un autre terme où il est le seul préfixe ou le préfixe le plus long de la liste.
Une autre solution consiste à activer la walkup fonctionnalité. Voir Vue d’ensemble de Walkup for Route Filters pour plus de détails.
Exemples de filtres de routage
Les exemples de cette section ne montrent que des fragments de stratégies de routage. Normalement, vous devez combiner ces fragments avec d’autres termes ou stratégies de routage.
Dans tous les exemples, rappelez-vous que les actions suivantes s’appliquent aux itinéraires non correspondants :
Évaluez le prochain trimestre, s’il y a lieu.
Évaluez la prochaine stratégie, si elle existe.
Effectuez l’action
acceptourejectspécifiée par la stratégie par défaut. Pour plus d’informations sur les stratégies de routage par défaut, reportez-vous à la section Stratégies de routage par défaut.
Les exemples suivants montrent comment configurer des filtres de routage à des fins diverses :
- Rejet de routes avec des préfixes de destination et des longueurs de masque spécifiques
- Rejet d’itinéraires dont la longueur de masque est supérieure à huit
- Rejet d’itinéraires dont la longueur de masque est comprise entre 26 et 29
- Rejet de routes provenant d’hôtes spécifiques
- Acceptation des routes avec un ensemble défini de préfixes
- Rejet de routes avec un ensemble défini de préfixes
- Rejet des routes avec des préfixes de plus de 24 bits
- Rejet des jointures de trafic multicast PIM
- Rejet du trafic PIM
- Acceptation des routes IPv4 entrantes en appliquant un masque d’adresse à l’adresse de route et au préfixe de correspondance de destination
- Accepter des routes IPv4 entrantes avec des modèles similaires mais des longueurs de préfixe différentes
- Évaluation d’un type de correspondance de masque d’adresse avec la recherche de la correspondance la plus longue
Rejet de routes avec des préfixes de destination et des longueurs de masque spécifiques
Rejeter les routes dont le préfixe de destination est 0.0.0.0 et dont la longueur de masque est comprise entre 0 et 8, et accepter toutes les autres routes :
[edit]
policy-options {
policy-statement policy-statement from-hall2 {
term 1 {
from {
route-filter 0.0.0.0/0 upto /8 reject;
}
}
then accept;
}
}
Rejet d’itinéraires dont la longueur de masque est supérieure à huit
Rejeter les routes dont le masque est supérieur ou égal à /8 (c’est-à-dire /8, /9, /10, etc.) dont les 8 premiers bits sont définis à 0 et qui acceptent les routes d’une longueur inférieure à 8 bits :
[edit]
policy-options {
policy-statement from-hall3 {
term term1 {
from {
route-filter 0/0 upto /7 accept;
route-filter 0/8 orlonger;
}
then reject;
}
}
}
Rejet d’itinéraires dont la longueur de masque est comprise entre 26 et 29
Rejeter les routes dont le préfixe de destination est 192.168.10/24 et un masque compris entre /26 et /29 et accepter toutes les autres routes :
[edit]
policy-options {
policy-statement from-customer-a {
term term1 {
from {
route-filter 192.168.10/24 prefix-length-range /26–/29 reject;
}
then accept;
}
}
}
Rejet de routes provenant d’hôtes spécifiques
Rejeter une plage de routes provenant d’hôtes spécifiques et accepter toutes les autres routes :
[edit]
policy-options {
policy-statement hosts-only {
from {
route-filter 10.125.0.0/16 upto /31 reject;
route-filter 0/0;
}
then accept;
}
}
Vous n’utilisez pas le through type de correspondance dans la plupart des configurations de stratégie de routage. Vous devez le considérer through comme un outil permettant de regrouper un ensemble contigu de correspondances exactes. Par exemple, au lieu de spécifier quatre correspondances exactes :
from route-filter 0.0.0.0/1 exact from route-filter 0.0.0.0/2 exact from route-filter 0.0.0.0/3 exact from route-filter 0.0.0.0/4 exact
Vous pouvez les représenter avec la correspondance unique suivante :
from route-filter 0.0.0.0/1 through 0.0.0.0/4
Acceptation des routes avec un ensemble défini de préfixes
Acceptez explicitement un ensemble limité de préfixes (dans le premier terme) et rejetez tous les autres (dans le second terme) :
policy-options {
policy-statement internet-in {
term 1 {
from {
route-filter 192.168.231.0/24 exact accept;
route-filter 192.168.244.0/24 exact accept;
route-filter 192.168.198.0/24 exact accept;
route-filter 192.168.160.0/24 exact accept;
route-filter 192.168.59.0/24 exact accept;
}
}
term 2 {
then {
reject;
}
}
}
Rejet de routes avec un ensemble défini de préfixes
Refusez quelques groupes de préfixes et acceptez les préfixes restants :
[edit policy-options]
policy-statement drop-routes {
term 1{
from { # first, reject a number of prefixes:
route-filter default exact reject; # reject 0.0.0.0/0 exact
route-filter 0.0.0.0/8 orlonger reject; # reject prefix 0, mask /8 or longer
route-filter 10.0.0.0/8 orlonger reject; # reject loopback addresses
}
route-filter 10.105.0.0/16 exact { # accept 10.105.0.0/16
as-path-prepend “1 2 3”;
accept;
}
route-filter 192.0.2.0/24 orlonger reject; # reject test network packets
route-filter 172.16.233.0/3 orlonger reject; # reject multicast and higher
route-filter 0.0.0.0/0 upto /24 accept; # accept everything up to /24
route-filter 0.0.0.0/0 orlonger accept; # accept everything else
}
}
}
}
Rejet des routes avec des préfixes de plus de 24 bits
Rejeter tous les préfixes de plus de 24 bits. Vous devez installer cette stratégie de routage dans une séquence de stratégies de routage dans une export instruction. Le premier terme de ce filtre passe sur toutes les routes avec une longueur de préfixe allant jusqu’à 24 bits. Le second terme, sans nom, rejette tout le reste.
[edit policy-options]
policy-statement 24bit-filter {
term acl20 {
from {
route-filter 0.0.0.0/0 upto /24;
}
then next policy;
}
then reject;
}
Si, dans cet exemple, vous deviez spécifier route-filter 0.0.0.0/0 upto /24 accept, les préfixes correspondants seraient acceptés immédiatement et la stratégie de routage suivante dans l’instruction export ne serait jamais évaluée.
Si vous deviez inclure l’instruction dans le terme , les préfixes supérieurs à 24 bits ne seraient jamais rejetés parce que le logiciel de cadre de stratégie, lors de l’évaluation du termeacl20, passerait à l’évaluation de l’instruction suivante avant d’atteindre l’instruction.then rejectthen reject
Rejet des jointures de trafic multicast PIM
Configurez une stratégie de routage pour rejeter les jointures de trafic multicast PIM (Protocol Independent Multicast) pour un préfixe source-destination provenant d’un voisin :
[edit]
policy-options {
policy-statement join-filter {
from {
neighbor 10.14.12.20;
source-address-filter 10.83.0.0/16 orlonger;
}
then reject;
}
}
Rejet du trafic PIM
Configurez une stratégie de routage pour rejeter le trafic PIM pour un préfixe de destination source à partir d’une interface :
[edit]
policy-options {
policy-statement join-filter {
from {
interface so-1/0/0.0;
source-address-filter 10.83.0.0/16 orlonger;
}
then reject;
}
}
Les qualificateurs de stratégie de routage suivants s’appliquent à PIM :
interface: interface sur laquelle une jointure est reçueneighbor: source d’où provient une jointureroute-filter—Adresse du groupesource-address-filter: adresse source pour laquelle rejeter une jointure
Pour plus d’informations sur l’importation d’un filtre de jointure PIM dans une définition de protocole PIM, consultez le Guide de l’utilisateur des protocoles multicast Junos OS.
Acceptation des routes IPv4 entrantes en appliquant un masque d’adresse à l’adresse de route et au préfixe de correspondance de destination
Acceptez les routes IPv4 entrantes avec un préfixe de destination 10.1.0/24 et le troisième octet un nombre pair compris entre 0 et 14 inclus :
[edit]
policy-options {
policy-statement from_customer_a {
term term_1 {
from {
route-filter 10.1.0.0/24 address-mask 255.255.241.0;
}
then {
...
reject;
}
}
}
}
Le filtre de route dans le terme term_1 de stratégie de routage correspond aux adresses de route IPv4 entrantes suivantes :
10.1.0.0/24
10.1.2.0/24
10.1.4.0/24
10.1.6.0/24
10.1.8.0/24
10.1.10.0/24
10.1.12.0/24
10.1.14.0/24
Le ET logique au niveau du bit de la valeur du masque de réseau et de l’adresse de route candidate doit correspondre au ET logique au niveau du bit de la valeur du masque de réseau et de l’adresse du préfixe de correspondance. C’est-à-dire que lorsque le modèle de bits de masque de réseau 255.255.241.0 contient un bit défini, l’adresse de route IPv4 entrante évaluée doit correspondre à la valeur du bit correspondant dans l’adresse de préfixe de destination 10.1.0.0/24.
Les deux premiers octets de la valeur du masque de réseau sont binaires 1111 1111 1111 1111, ce qui signifie qu’une adresse de route candidate échouera la correspondance si les deux premiers octets ne sont pas 10,1.
Le troisième octet de la valeur du masque de réseau est le binaire 1111 0001, ce qui signifie qu’une adresse de route candidate échouera si le troisième octet est supérieur à 15 (décimal), un nombre impair ou les deux.
La longueur du préfixe de l’adresse du préfixe de correspondance est de 24 (décimal), ce qui signifie qu’une adresse de route candidate échouera à la correspondance si la longueur de son préfixe n’est pas exactement 24.
À titre d’exemple, supposons que l’adresse de route candidate testée dans la stratégie soit 10.1.8.0/24 (binaire 0000 1010 0000 0001 0000 1000).
Lorsque la valeur du masque de réseau est appliquée à cette adresse de route candidate, le résultat est binaire 0000 1010 0000 0001 0000 0000.
Lorsque la valeur du masque de réseau est appliquée à l’adresse de préfixe de destination configurée, le résultat est également binaire 0000 1010 0000 0001 0000 0000.
Étant donné que les résultats des opérations ET sont identiques, la correspondance se poursuit jusqu’au deuxième critère de correspondance.
Étant donné que les longueurs de préfixe de l’adresse candidate et de l’adresse de préfixe de destination configurée sont les mêmes (24 bits), la correspondance réussit.
Autre exemple, supposons que l’adresse de route candidate testée dans la stratégie soit 10.1.3.0/24 (binaire 0000 1010 0000 0001 0000 0011).
Lorsque la valeur du masque de réseau est appliquée à cette adresse de route candidate, le résultat est binaire 0000 1010 0000 0001 0000 0001.
Toutefois, lorsque la valeur du masque de réseau est appliquée à l’adresse de préfixe de destination configurée, le résultat est binaire 0000 1010 0000 0001 0000 0000.
Étant donné que les résultats des deux opérations ET sont différents (dans le troisième octet), la correspondance échoue.
Accepter des routes IPv4 entrantes avec des modèles similaires mais des longueurs de préfixe différentes
Acceptez les adresses de route IPv4 entrantes de la forme 10.*.1/24 ou 10.*.1.*/32 :
[edit]
policy-options {
policy-statement from_customer_b {
term term_2 {
from {
route-filter 10.0.1.0/24 address-mask 255.0.255.0;
route-filter 10.0.1.0/32 address-mask 255.0.255.0;
}
then {
...
reject;
}
}
}
}
Les critères 10.0.1.0/24 address-mask 255.0.255.0 de correspondance du filtre de routage correspondent à une adresse de routage IPv4 entrante de la forme 10.*.1/24. La longueur du préfixe de la route doit être exactement de 24 bits, et toute valeur est acceptable dans le deuxième octet.
Les critères 10.0.1.0/32 address-mask 255.0.255.0 de correspondance du filtre de routage correspondent à une adresse de routage IPv4 entrante de la forme 10.*.1.*/32. La longueur du préfixe de la route doit être exactement de 32 bits, et toute valeur est acceptable dans le deuxième et le quatrième octet.
Évaluation d’un type de correspondance de masque d’adresse avec la recherche de la correspondance la plus longue
Cet exemple illustre comment une recherche de correspondance la plus longue évalue un filtre de route qui contient deux address-mask types de correspondance. Considérons le filtre de routage configuré dans le terme term_3 de stratégie de routage ci-dessous :
[edit]
policy-options {
policy-statement from_customer_c {
term term_3 {
from {
route-filter 10.0.1.0/24 address-mask 255.0.255.0;
route-filter 10.0.2.0/24 address-mask 255.240.255.0;
}
then {
...
}
}
}
}
Supposons que l’adresse source de la route IPv4 entrante 10.1.1.0/24 soit testée par rapport au filtre de route configuré dans le terme term_3de la stratégie :
L’arborescence de correspondance la plus longue pour le terme
term_3de stratégie de routage contient deux préfixes de correspondance : un préfixe pour et un préfixe pour10.0.1.0/24 address-mask 255.0.255.010.0.2.0/24 address-mask 255.240.255.0. Lors de la recherche dans l’arborescence de la correspondance du préfixe le plus long pour un candidat, la recherche de la correspondance la plus longue prend en compte le nombre de bits d’ordre supérieur contigus dans le configuré au lieu de la longueur du configurénetmask-valuedestination-prefix:Pour le premier critère de correspondance du filtre de route, l’entrée de recherche de correspondance la plus longue est 10.0.0.0/8, car la valeur du masque de réseau contient 8 bits de poids élevé contigus.
Pour les critères de correspondance du deuxième filtre de route, l’entrée de recherche de correspondance la plus longue est 10.0.0.0/12, car la valeur du masque de réseau contient 12 bits de poids élevé contigus.
Pour l’adresse de route candidate 10.1.1.0/24, la recherche de la correspondance la plus longue renvoie l’entrée d’arborescence 10.0.0.0/12, qui correspond aux critères
10.0.2.0/24 address-mask 255.240.255.0de correspondance du filtre de route.Maintenant que le préfixe de correspondance la plus longue a
term_3été identifié pour l’adresse de route candidate, l’adresse de route candidate est évaluée par rapport aux critères10.0.2.0/24 address-mask 255.240.255.0de correspondance du filtre de route :Pour tester l’adresse de route IPv4 entrante 10.1.1.0/24, la valeur du masque de réseau 255.240.255.0 est appliquée à 10.1.1.0/24. Le résultat est 10.0.1.0.
Pour tester l’adresse de préfixe de destination configurée 10.0.2.0/24, la valeur du masque de réseau 255.240.255.0 est appliquée à 10.0.2.0/24. Le résultat est 10.0.2.0.
Étant donné que les résultats sont différents, la correspondance du filtre de routage échoue. Aucune action, qu’elle soit spécifiée avec les critères de correspondance ou avec l’instruction, n’est
thenentreprise. L’adresse de route IPv4 entrante n’est évaluée par rapport à aucun autre critère de correspondance.