hi!兄弟们好!
本文将为各位介绍深信服下一代防火墙(NGAF)BGP路由过滤基于路由映射(Route-map)实施步骤,感兴趣的同学麻烦点个赞~~
目录
方案概述
实施步骤
方案实施预置条件
配置访问列表
配置路由映射(Route-map)并调用访问列表(ACL)
邻居配置调用路由映射(Route-map)
验证BGP路由过滤结果
访问列表(ACL)未匹配的路由前缀
访问列表(ACL)匹配的路由前缀
方案概述
本方案试用于深信服下一代防火墙(NGAF)8.0.7版本,其它版本暂未测试可能存在配置差异,如涉及其它版本具体配置请提前与深信服技术支持(4006306430)获取联系。
该配置方案先使用访问列表(ACL)抓取BGP路由前缀,使用路由映射(Route-map)调用访问列表(ACL)并在邻居(Peer)配置中针对具体邻居进行路由映射(Route-map)入站规则匹配,最终实现BGP入站方向的路由前缀过滤。
实施步骤
方案实施预置条件
深信服下一代防火墙(NGAF)正常与邻居建立BGP对等体关系,且可以正常学习到对端发布的路由明细,验证BGP对等体是否正常建立的方式可以点击查看路由标签查看是否学到BGP类型的路由前缀,后续的路由过滤将也将以这个标签学习到的前缀为基础。
验证BGP是否正常运行
如图所示,以上为设备正常学习到的BGP类型路由条目,存在即代表已经正确建立BGP对等体关系,且可以正常学习路由明细。
深信服下一代防火墙(NGAF)BGP路由基础配置略。
配置访问列表
访问列表是我们常见的抓取路由条目的工具,本实施方案也将基于访问列表(ACL)进行路由前缀抓取,该配置需与路由前缀长度严格匹配,深信服下一代防火墙(NGAF)的BGP访问列表默认动作为拒绝,故同一编号的访问列表无需配置匹配所有路由前缀(0.0.0.0/0)的拒绝匹配规则。
路由匹配场景下使用允许规则抓取路由前缀
如上图所示,需要创建2个编号的访问列表规则,访问列表1抓取路由前缀方便Route-map调用进行路由过滤,访问列表2用于抓取访问列表1没匹配中的剩余路由条目,并在Route-map中进行路由允许。
配置路由映射(Route-map)并调用访问列表(ACL)
使用路由映射(Route-map)的作用是为了过滤或放行访问列表(ACL)抓取的路由前缀,故在创建路由映射(Route-map)规则前需先确保访问列表(ACL)已被正确配置。
如上图所示,名为“test”名称的路由映射(Route-map)规则调用了访问列表(ACL)编号为1的访问列表(ACL),对应动作为拒绝。该配置的含义是,拒绝被访问列表(ACL)编号为1匹配的路由前缀写入深信服下一代防火墙(NGAF)路由表中。
路由映射(Route-map)优先级值越高越劣
如上图所示,配置第二条以“test”为规则的路由映射(Route-map)条目,并调用访问列表(ACL)编号为2的匹配规则,需注意,由于深信服下一代防火墙(NGAF)按优先级值从小到大匹配,所以允许规则的路由映射(Route-map)条目优先级值必须高于第一条拒绝规则的路由映射(Route-map)条目。
多条不同名的路由映射(Route-map)条目无需关注优先级配置。以邻居配置中调用的路由映射(Route-map)条目作为路由映射(Route-map)过滤最终效果。
邻居配置调用路由映射(Route-map)
以上均为前置配置,该操作尚未对BGP邻居写入深信服下一代防火墙(NGAF)的路由明细进行实际操作,不会影响用户业务可随时进行配置的增删改查,但对邻居配置中已经引用的路由映射(Route-map)或访问列表(ACL)的任何操作将实时影响BGP邻居写入深信服下一代防火墙(NGAF)明细路由,此时需提要前评估变更风险。
在邻居配置中引用之前配置的路由映射(Route-map)规则即可。
验证BGP路由过滤结果
验证前请确保您已经按前文进行了相关路由策略配置,后文仅作为BGP路由过滤的效果验证。
访问列表(ACL)未匹配的路由前缀
可看到如果没有进行任何路由过滤前,在路由表中可以查看到BGP邻居写入深信服下一代防火墙(NGAF)路由表的路由条目。
访问列表(ACL)匹配的路由前缀
我们现在针对目标网段进行访问列表(ACL)的前缀匹配,注意动作为允许。
点击提交后,可以在访问列表(ACL)最后发现最新添加的允许匹配规则。
再次查询,发现访问列表(ACL)匹配中的路由前缀已经不在深信服下一代防火墙(NGAF)的路由表内,由此判断路由过滤成功。
