华为交换机filter-policy import（OSPF）配置案例

华为交换机filter-policy import（OSPF）配置案例

假设你有三台设备：SwitchA、SwitchB 和 SwitchC。

SwitchA 作为ASBR，引入了外部路由（例如静态路由 10.1.1.0/24 和 10.1.1.1/32）。

SwitchB 是中间的OSPF路由器。

需求：你希望在 SwitchB 上配置过滤策略，拒绝接收 10.1.1.0/24 网段的路由，但允许其他所有路由进入SwitchB的路由表。SwitchC不受此限制（因为它没配置过滤）。

 完整配置案例

第一步：基础网络与OSPF配置

首先，确保所有设备的基础IP和OSPF配置完成。

SwitchA (ASBR) 配置：

system-view

sysname SwitchA

#

interface GigabitEthernet 0/0/1

 ip address 192.168.12.1 255.255.255.0

#

ospf 1

 area 0.0.0.0

  network 192.168.12.1 0.0.0.0

#

# 假设引入静态路由到OSPF

ip route-static 10.1.1.0 255.255.255.0 NULL0

ip route-static 10.1.1.1 255.255.255.255 NULL0

ospf 1

 import-route static  # 引入静态路由

SwitchB (需要配置过滤的设备) 配置：

system-view

sysname SwitchB

#

interface GigabitEthernet 0/0/1

 ip address 192.168.12.2 255.255.255.0

#

interface GigabitEthernet 0/0/2

 ip address 192.168.23.1 255.255.255.0

#

ospf 1

 area 0.0.0.0

  network 192.168.12.2 0.0.0.0

  network 192.168.23.1 0.0.0.0

SwitchC 配置：

(配置类似，连接SwitchB，属于Area 0，此处省略细节)

第二步：配置 Filter-Policy Import

这是核心步骤。我们在 SwitchB 上配置ACL（访问控制列表）作为过滤器。

创建ACL规则

我们需要定义什么流量被允许，什么被拒绝。

rule 5 deny source 10.1.1.0 0.0.0.255：拒绝 10.1.1.0/24 网段。

rule 10 permit：允许其他所有（ACL默认末尾隐含拒绝所有，所以这里必须加permit）。

在OSPF视图下应用策略

使用 filter-policy 命令，并指定方向为 import（入方向）。

SwitchB 的完整配置命令：

# 1. 进入系统视图

<SwitchB> system-view

# 2. 创建基本ACL（编号2000-2999）

[SwitchB] acl number 2000

[SwitchB-acl-basic-2000] rule 5 deny source 10.1.1.0 0.0.0.255   # 拒绝目标网段

[SwitchB-acl-basic-2000] rule 10 permit                          # 允许其他

[SwitchB-acl-basic-2000] quit

# 3. 进入OSPF进程视图，应用过滤策略

[SwitchB] ospf 1

[SwitchB-ospf-1] filter-policy 2000 import

# 4. 保存配置

[SwitchB-ospf-1] quit

[SwitchB] save

验证与效果检查

配置完成后，你需要通过命令来验证是否生效。

1. 检查 SwitchB 的路由表 (关键)

你会发现，虽然SwitchB的LSDB（链路状态数据库）里可能还有这条路由信息（因为OSPF邻居关系正常），但它没有被计算进路由表。

# 执行命令查看路由表

display ip routing-table

# 结果分析：

# 你将找不到 10.1.1.0/24 这条路由。

# 但是 10.1.1.1/32 路由依然存在（如果未被过滤）。

2. 检查 SwitchC 的路由表

去查看SwitchC的路由表，你会发现 10.1.1.0/24 依然存在。

原因：filter-policy import 是单向的，只影响本机（SwitchB）的路由表。SwitchB依然会把LSA泛洪给SwitchC，所以SwitchC能正常学习。

重要原理说明

为了防止你在实际工作中踩坑，请务必注意以下两点：

1、只过滤路由表，不过滤LSA 

OSPF是链路状态协议。filter-policy import 不会阻止LSA（链路状态通告）进入SwitchB的LSDB（数据库），它只是在OSPF计算出路由后、加入IP路由表之前进行拦截。这意味着，如果你在SwitchB上查看 display ospf lsdb，你可能依然能看到被过滤的那条外部路由的ASE LSA。

2、与 Export 的区别

filter-policy import：控制进入本机路由表的路由（影响自己）。

filter-policy export：控制本机发布出去的路由（影响邻居）。

3、与RIP的区别

如果是在RIP协议中，filter-policy import 会直接影响发送给下游邻居的路由。但在OSPF中，由于其链路状态特性，它通常不影响下游邻居（除非你在ABR/ASBR上使用特定的出方向过滤）。