月度归档: 2018 年 3 月

Network OSPF 路由过滤(选路)

filter-policy import 是指控制OSPF 学习的路由是否会加载到全局路由中进行过滤,不影响LSA学习的路由。

配置OSPF对接收的路由进行过滤

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令ospf [ process-id ],进入OSPF进程视图。
  3. 执行命令filter-policy { acl-number | acl-name acl-name | ip-prefix ip-prefix-name | route-policy route-policy-name [ secondary ] } import,配置对接收的路由进行过滤。
    • acl-number为基本访问控制列表号。acl-name acl-name为访问控制列表名称。
    • ip-prefix ip-prefix-name为地址前缀列表名称。
    由于OSPF是基于链路状态的动态路由协议,路由信息隐藏在链路状态中,所以不能使用filter-policy import命令对发布和接收的LSA进行过滤filter-policy import命令是对OSPF计算出来的路由进行过滤,只有通过过滤的路由才被添加到路由表中,没有通过过滤的路由不会被添加进OSPF路由表,但不影响对外发布出去。

配置OSPF对发布的路由进行过滤

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令ospf [ process-id ],进入OSPF进程视图。
  3. 执行命令filter-policy { acl-number | acl-name acl-name | ip-prefix ip-prefix-name | route-policy route-policy-name } export [ protocol [ process-id ] ],配置对通过import-route命令引入的路由进行过滤,只有通过过滤的路由才能被发布出去。
    • acl-number为基本访问控制列表号。
    • acl-name acl-name为访问控制列表名称。
    • ip-prefix ip-prefix-name为地址前缀列表名称。
    • route-policy route-policy-name为路由策略名称。
    用户可以通过指定protocol [ process-id ]对特定的某一种协议或某一进程的路由信息进行过滤。如果没有指定protocol [ process-id ],则OSPF将对所有引入的路由信息进行过滤。

配置对发送的LSA进行过滤

背景信息

当两台路由器之间存在多条链路时,通过对发送的LSA进行过滤可以在某些链路上过滤LSA的传送,减少不必要的重传,节省带宽资源。

请在运行OSPF协议的路由器上进行以下配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令interface interface-type interface-number,进入接口视图。
  3. 执行命令ospf filter-lsa-out { all | { summary [ acl { acl-number | acl-name } ] | ase [ acl { acl-number | acl-name } ] | nssa [ acl { acl-number | acl-name } ] } * },配置对出方向的LSA进行过滤。缺省情况下,不对发送的LSA进行过滤。

配置对ABR Type3 LSA进行过滤

背景信息

通过对区域内出、入方向ABR Type3 LSA(Summary LSA)设置过滤条件,只有通过过滤的信息才能被发布、接收。

此功能仅在ABR上配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令ospf [ process-id ],进入OSPF进程视图。
  3. 执行命令area area-id,进入OSPF区域视图。
  4. 请根据需要,配置对ABR Type3 LSA进行过滤。
    • 执行命令filter { acl-number | acl-name acl-name | ip-prefix ip-prefix-name | route-policy route-policy-name } export,配置对本区域出方向的Summary LSA进行过滤。
    • 执行命令filter { acl-number | acl-name acl-name | ip-prefix ip-prefix-name | route-policy route-policy-name } import,配置对进入本区域的Summary LSA进行过滤。

Network OSPF路由引入与开销设置

OSPF 路由策略引入直连路由

通过ACL 引入 外部路由

  1. acl 2000
  2. rule 5 permit source 10.0.1.1 0 (1 matches)
    rule 10 permit source 10.0.11.11 0 (1 matches)
  3. route-policy 10 permit node 10
  4. if-match acl 2000
  5. ospf 100 router-id 10.0.1.1
  6. import -route direct route-policy 10

当OSPF引入外部路由时,缺省情况下引入的外部路由不继承原有路由的cost值,而是设置缺省cost值为1

如果不希望引入的外部路由采用缺省的cost值,可以使用命令default { cost { cost | inherit-metric }改变引入的外部路由的cost值。其中

  • 配置参数cost,可以指定引入的外部路由的缺省cost值,取值范围为0~16777214。
  • 配置参数inherit-metric,可以使引入的外部路由的cost值为路由自带的cost值。

OSPF 引入路由的开销设置

OSPF是一个无环路的动态路由协议,但这是针对域内路由和域间路由而言的,其对引入的外部路由环路没有很好的防范机制,所以在配置OSPF引入外部路由时一定要慎重,防止手工配置引起的环路。

请在运行OSPF协议的自治系统边界路由器ASBR上进行以下配置。

操作步骤

  • 配置OSPF引入其它协议的路由
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ospf [ process-id ],进入OSPF进程视图。
    3. 执行命令import-route { limit limit-number | { bgp [ permit-ibgp ] | direct | unr | rip [ process-id-rip ] | static | isis [ process-id-isis ] | ospf [ process-id-ospf ] } [ cost cost | type type | tag tag | route-policy route-policy-name ] * },引入其它协议的路由信息。
  • 配置OSPF引入路由时的相关参数
    1. 执行命令system-view,进入系统视图。
    2. 执行命令ospf [ process-id ],进入OSPF进程视图。
    3. 执行命令default { cost { cost-value | inherit-metric } | limitlimit | tagtag | typetype } *,配置引入路由时的参数缺省值(路由度量、标记、类型)。当OSPF引入外部路由时,可以配置一些额外参数的缺省值,如开销、路由数量、标记和类型。路由标记可以用来标识协议相关的信息,如OSPF接收BGP时用来区分自治系统的编号。缺省情况下,OSPF引入外部路由的缺省度量值为1,引入的外部路由类型为Type2,设置缺省标记值为1。
    4. 可以通过以下三条命令设置引入路由的开销值,其优先级依次递减:
    5. 通过apply cost命令设置的路由开销值。
    6. 通过import-route命令设置的引入路由开销值。
    7. 通过default命令设置引入路由的缺省开销值。

Network 华为Snmp

snmp-agent

snmp-agent sys-info version v2c

snmp target-host inform address udp-domain 10.100.20.26

snmp target-host trap address udp-domain 10.100.20.26

snmp community read cipher public

Network USG防火墙基本概念

区域

华为防火墙的区域是基于接口划分的,通过接口来控制区域的访问(流量的放行)。区域分为 untrust、DMZ、trust、local、any

区域划分后会生成生成一条默认的规则 :

允许trust区域主动发起访问untrust区域的流量 ,默认拒绝untrust 区域发起访问trust区域的流量。