ORF 出站路由过滤

此实验 是为了验证ORF(出站路由过滤)

R1配置:

Loopback0 1.1.1.1

Loopback1 192.168.1.1/24

Loopback2 192.168.2.1/24

Loopback3 192.168.3.1/24

Loopback4 192.168.4.1/24

E1/0 10.1.12.1

R2配置:

Loopback 2.2.2.2

E1/0 10.1.12.2

配置IGP(RIP)保持连通性:

R1配置:

router rip

version 2

network 1.0.0.0

network
10.0.0.0

network
192.168.1.0

network
192.168.2.0

network
192.168.3.0

network
192.168.4.0

no auto-summary

R2配置:

router rip

version 2

network 2.0.0.0

network
10.0.0.0

no auto-summary

开始配置BGP:

R1配置:

router bgp 1

bgp router-id
1.1.1.1

bgp
log-neighbor-changes

network 1.1.1.0
mask 255.255.255.255

network
10.1.12.0 mask 255.255.255.0

network
192.168.1.0

network
192.168.2.0

network
192.168.3.0

network
192.168.4.0

neighbor
2.2.2.2 remote-as 2

neighbor
2.2.2.2 ebgp-multihop 2

neighbor
2.2.2.2 update-source Loopback0

R2配置:

router bgp 2

bgp router-id
2.2.2.2

bgp
log-neighbor-changes

network 2.2.2.2
mask 255.255.255.255 backdoor

network
10.1.12.0 mask 255.255.255.0

neighbor
1.1.1.1 remote-as 1

neighbor
1.1.1.1 ebgp-multihop 2

neighbor
1.1.1.1 update-source Loopback0

neighbor
1.1.1.1 capability orf prefix-list both

BGP 配置完成,这时可以在R2上看到R1通告的192.168.1.0/24 192.168.2.0/24
192.168.3.0/24 192.168.4.0/24 四条路由。

R2#sh ip bgp

BGP table version is 6, local router ID is 2.2.2.2

Status codes: s suppressed, d damped, h history, *
valid, > best, i - internal,

r
RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,

x
best-external, a additional-path, c RIB-compressed,

Origin codes: i - IGP, e - EGP, ? - incomplete

RPKI validation codes: V valid, I invalid, N Not found

Network          Next Hop            Metric LocPrf Weight Path

r>  10.1.12.0/24     1.1.1.1                  0             0 1 i

*>  192.168.1.0      1.1.1.1                  0             0 1 i

*>  192.168.2.0      1.1.1.1                  0             0 1 i

*>  192.168.3.0      1.1.1.1                  0             0 1 i

*>  192.168.4.0      1.1.1.1                  0             0 1 i

现在开始在R2上配置ORF过滤掉192.168.1.0/24
192.168.3.0/24,使R2只接收192.168.2.0/24
192.168.4.0/24两条路由

首先配置prefix-list列表:

ip prefix-list 1 seq 5 permit
192.168.2.0/24

ip prefix-list 1 seq 10 permit
192.168.4.0/24

之后在R1/R2上追加配置:

router bgp 1

neighbor 2.2.2.2 capability orf
prefix-list receive

*Jul 12 14:44:55.843: %BGP-5-ADJCHANGE: neighbor
2.2.2.2 Down Capability changed

*Jul 12 14:44:55.843: %BGP_SESSION-5-ADJCHANGE:
neighbor 2.2.2.2 IPv4 Unicast topology base removed from session  Capability changed

*Jul 12 14:44:56.271: %BGP-5-ADJCHANGE: neighbor
2.2.2.2 Up

配置完成后,会提示 capability changed。

router bgp 2

nei 1.1.1.1 capability orf
prefix-list both

nei 1.1.1.1 prefix-list 1 in

*Jul 12 14:35:27.863: %BGP-5-ADJCHANGE: neighbor
1.1.1.1 Down Capability changed

*Jul 12 14:35:27.863: %BGP_SESSION-5-ADJCHANGE:
neighbor 1.1.1.1 IPv4 Unicast topology base removed from session  Capability changed

*Jul 12 14:35:28.823: %BGP-5-ADJCHANGE: neighbor
1.1.1.1 Up

配置完成后,会提示 capability changed。

R2上的配置:

命令neighbor 1.1.1.1
capability orf prefix-list both 的作用是:激活R2与R1 BGP邻居之间的ORF功能,表明R1与R2 “交换”prefix-list。

命令nei 1.1.1.1 prefix-list
1 in的作用是:R2只接收路由前缀192.168.2.0/24 192.168.4.0/24这两条路由,拒绝其他所有路由。

命令clear ip bgp 1.1.1.1 in
prefix-filter 的作用是:迫使R2把本路由器设置的入站方向的prefix-list推送给R1。

R1上的配置:

命令neighbor 2.2.2.2
capability orf prefix-list receive的作用是:接受R2推送过来关于ORF的相关路由过滤设置。

至此,配置完成,可在R1上查看效果:

R1#sh ip bgp neighbors 2.2.2.2 advertised-routes

BGP table version is 6, local router ID is 1.1.1.1

Status codes: s suppressed, d damped, h history, *
valid, > best, i - internal,

r
RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,

x
best-external, a additional-path, c RIB-compressed,

Origin codes: i - IGP, e - EGP, ? - incomplete

RPKI validation codes: V valid, I invalid, N Not found

Network          Next Hop            Metric LocPrf Weight Path

*>  192.168.2.0      0.0.0.0                  0         32768 i

*>  192.168.4.0      0.0.0.0                  0         32768 i

Total number of prefixes 2

在R1上能看到R1只向R2发送路由192.168.2.0/24 192.168.4.0/24这两条路由,其他的路由都被拒绝,证明R2的配置正确,并且R1收到了R2推送过来的ORF过滤路由配置。

R2#sh ip bgp

BGP table version is 9, local router ID is 2.2.2.2

Status codes: s suppressed, d damped, h history, *
valid, > best, i - internal,

r
RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,

x
best-external, a additional-path, c RIB-compressed,

Origin codes: i - IGP, e - EGP, ? - incomplete

RPKI validation codes: V valid, I invalid, N Not found

Network          Next Hop            Metric LocPrf Weight Path

*>  10.1.12.0/24     0.0.0.0                  0         32768 i

*>  192.168.2.0      1.1.1.1                  0             0 1 i

*>  192.168.4.0      1.1.1.1                  0             0 1 i

同样的,在R2上也能看到效果,从R1只收到permit的两条路由前缀。

所以实际上ORF是借助prefix-list去实现路由过滤的一个特性,在本地将prefix-list推送给对端,让对端来执行路由前缀的过滤。

时间: 2024-10-02 09:34:24

ORF 出站路由过滤的相关文章

高级静态路由之路由过滤(一)

一.说明 1.ip route命令 ip route [dest-network] [mask] {next-hop address | exit interface | ip-address]} [administrative distance] [permanent] dest-network:目的网络 mask:目的网络子网掩码 next-hop address:去往目的网络的下一跳ip地址 exit interface:去往目的网络的出站接口 administrative distanc

使用路由标记来控制路由过滤

实验步骤及要求: 1.配置各台路由器的IP地址,并且使用ping命令确认连通性 2.配置R2.R3的路由双向重发布 R2(config)#router ospf 10 R2(config-router)#redistribute eigrp 10 subnets R2(config)#router eigrp 10 R2(config-router)#redistribute ospf 10 metric 10000 100 255 1 1500 R3(config)#router rip R3

OSPF路由过滤和LSA过滤的区别,以及实现方法

OSPF中路由与LSA的关系: OSPF是基于链路状态的路由协议,路由隐藏在LSA中.我们知道,OSPF有三张表,邻居表,拓扑表(LSDB),路由表.而路由表,是基于LSDB得来的,在LSDB中挑选到达目的地最好的LSA抽象成路由信息,加入到转发表,形成路由表. 路由过滤: OSPF的路由过滤,是针对计算出的路由进行的过滤,并不会对LSA及LSDB产生影响,LSA仍能泛洪.路由的过滤,只会对本路由器的路由表产生影响,不会对其他路由器的路由产生影响. 路由过滤实现方法: filter-policy

易宝典文章——玩转Office 365中的Exchange Online服务 之二十五 配置出站垃圾邮件策略通知

企业的邮件服务器应该遵从良好的发件规范,尽量减小发送垃圾邮件和批量邮件到外部邮件系统.这样可以保护企业的邮件服务器发送IP不被收集到垃圾邮件服务器列表中,从而保证从企业的邮件服务器或企业域名发送的邮件,收件方能够正常接收.基于此种情况,出站垃圾邮件筛选即尤为重要,因为它起到了保护企业邮件系统发送邮件的可靠性,同时也保护了企业在商业交往中的信誉和利益.Exchange Online的出站垃圾邮件筛选与入站筛选类似,均有连接筛选和内容筛选构成,但是出站筛选是无法进行配置的.不过可以配置出站垃圾邮件策

win7防火墙【出站】和【入站】规则什么意思?

出站就是指你的电脑中的软件向外发送请求,进站则是响应软件发出的请求 win7防火墙入站规则:别人电脑访问自己电脑的规则: win7防火墙出站规则:自己电脑访问别人电脑的规则. 比如:要开放tcp 443端口,操作步骤如下: 1.点开始--控制面板: 2.点系统和安全: 3.点Windows防火墙: 4.点高级设置: 5.点入站规则,点新建规则: 6.选中端口,点下一步: 7.选中TCP: 选中特定本地端口:输入443,点下一步: 8.选中允许连接,点下一步: 9.全部选中,点下一步: 10.输入

Windows防火墙出站、入站相关知识总结

出站默认是全部允许,只禁止相关出站规则指定的条目:入站默认是全部禁止,只允许相关入站规则指定的条目. 入站规则其实没什么好说的,直接添加规则允许某IP或端口访问,或允许某程序全部访问,就行了. 要控制一个程序的出站,只允许其访问指定IP,其它IP一律不允许,可以添加一条阻止连接的出站规则,并在作用域里指定远程IP地址的范围,并在范围中避开目标IP即可.例如:要控制程序navicat.exe只允许其访问10.0.0.97,可以在IP地址范围中添加两段:0.0.0.0-10.0.0.96,10.0.

L10 数据入站、转发、出站流程

二 写出防火墙规则链之间的顺序也就是入站数据流向.转发数据流向.出站数据流向的过程 入站:PREROUTING→INPUT 数据包到达防火墙,由prerouting处理,判断是否修改地址 路由选择:判断是要到另一个网段,还是要访问本机 如果本机,就传递到INPUT规则链,如果INPUT允许通过,则将数据包传给本机的应用程序出站:OUTPUT→POSTROUTING 数据要出去,经过OUTPUT规则链进行处理,如果允许出去,则需要POSTROUTING规则链进行判断地址是否需要修改,本机数据就可以

栈之火车进站和出站

Problem Description As the new term comes, the Ignatius Train Station is very busy nowadays. A lot of student want to get back to school by train(because the trains in the Ignatius Train Station is the fastest all over the world ^v^). But here comes

创建BDC域控制器时,提示“出站复制验证失败。在复制源域控制器上未启用出站复制”的解决办法

创建BDC域控制器时,在完成角色添加后的部署界面,进行配置后的先决条件检查,提示失败如下: 后在现有DC上通过windows powershell(CMD管理员模式)运行repadmin /showrepl,得到 运行repadmin /options [YourServerName] -disable_inbound_replrepadmin /options [YourServerName] -disable_outbound_repl 两个命令,去除disable repl选项后,即可开启