JunOS:在策略语句中使用路由过滤器

网络工程 安全 防火墙 杜松-朱诺斯
2022-02-16 13:50:27

我正在 JunOS 11 上配置一些策略语句。我正在使用以下语法过滤入站 BGP 前缀。它相当简单且不言自明,您只需查看它就可以猜出它在做什么。但是我不确定route-filter关键字。

路由来自 BGP 邻居,并通过各种表和进程等(此处无法展开),是route-filter操作系统的一部分,所有接收到的前缀在到达进程 RIB 之前都会通过(如 ISIS 的 BGP RIP RIB) 还是主 FIB?通过创建此策略声明,它是否会在route-filter?

policy-statement PS-Deny-Some-Prefixes-Mwuhahaha {
    term 1 {
        from {
            route-filter 1.2.3.0/24 orlonger reject;
            route-filter 7.7.7.0/7 orlonger reject;
        }
        then reject;
    }
}

作为一个附带问题;JunOS允许将reject关键字写在前缀语句的末尾,因为我有一个then子句,他有什么影响吗?任何一个地方都比另一个地方更受欢迎吗?我会说该then条款更简洁,但还有其他好处吗?

1个回答

我认为(如果我的想法是错误的,请有人纠正我)。您的前缀来到 RIBin,在那里它们被过滤并放入 RIBlocal,如果您希望它们被广告/导出和过滤,它们可能被放入 RIBout。你可以用'show route [receive-protocol | 广告协议]'。

在附带的问题上,reject/accept 关键字优先于 then 子句,例如,您可以拥有一个拒绝路由过滤器和一个在 then 子句中接受的路由过滤器。应仔细阅读带有此类路由过滤器的策略声明。

其它你可能感兴趣的问题
上一篇64个公共IP的块,有多少可用? 下一篇计算机如何确定以太网帧包含 IP 数据包?