NE5000E路由过滤不生效问题

发布时间:  2012-07-26 浏览次数:  87 下载次数:  0
问题描述
工程师在ISIS中配置路由策略,过滤私网路由,限制私网路由发布到公网,后发现配置没有生效,和NE5000E相连的其他设备还能学到172网段的路由。
配置方法如下
 1.做ACL:
acl number 2222
     rule 0 deny source 172.16.0.0 0.0.0.3
     rule 10 permit
2.路由策略:
route-policy guolv permit node 100
 if-match acl 2222
route-policy guolv permit node 200
3.策略引用:
isis 1
     import-route direct route-policy guolv
设备版本号:
Huawei NE5000E Software                                                         
NE5000E Version V200R001B033.                                                   
VRP NE5000E Software Version VRPV5R1B12D063-GR                                  
Paf Version V200R001B033 (Support Rainier)                                      
License Version V200R001B033 (Support Rainier)                                  
Copyright (C) 2000-2006 Huawei Technologies Co., Ltd.                           
Compiled Dec 16 2006 16:28:55 By NE5000E GROUP                                  
            
告警信息

      
处理过程
可以将策略改为:
route-policy guolu permit node 100
 if-match acl 2222
即将最后的permit节点删除。
根因
route-policy的节点间是或的关系,acl返回deny给route-policy,route-policy会尝试下一个route-policy的node,而下一个node 200下没有配置任何if-match,所以默认返回permit给isis,所以路由没有被屏蔽掉。
建议与总结
在配置路由过滤时,一个以上的节点需要在最后配置permit node,而只有一个节点时,不可以配置permit node。
      

END