Tweet
Bài viết này dành cho anh em đã quen tay với các giao thức định tuyến như EIGRP, OSPF, BGP… nhưng muốn bước sang cấp độ làm chủ bằng cách lọc thông tin định tuyến (route filtering) bằng mọi phương pháp có thể — từ ACLs, prefix-lists cho đến route-map.
💡 ACL và Prefix-List – Nền tảng cho mọi chiến lược lọc
Trước khi đi sâu vào từng giao thức, hãy cùng nắm lại hai công cụ phổ biến: 1. ACL (Access Control List)
Ví dụ:
access-list 10 permit 192.168.1.0 0.0.0.255
2. Prefix-List
⚙️ Filtering theo từng giao thức định tuyến
🔁 EIGRP Filtering
Dùng distribute-list (phổ biến nhất)
router eigrp 100 distribute-list 10 in Serial0/0 distribute-list prefix MYLIST out FastEthernet0/0
📌 ACL extended cho EIGRP có thể match cả IP của neighbor gửi route.
🔄 OSPF Filtering
Cách 1: Distribute-list (lọc bảng định tuyến local)
router ospf 1 distribute-list prefix MYLIST in
area 0 filter-list prefix BLOCK-THIS in area 1 filter-list prefix BLOCK-THAT out
📌 ACL extended có thể match theo router-id của router quảng bá LSA.
🌐 BGP Filtering
Distribute-list
neighbor 10.1.1.1 distribute-list 10 in
Prefix-list
neighbor 10.1.1.1 prefix-list ALLOW-ONLY in
Route-map
neighbor 10.1.1.1 route-map FILTER-BGP out
Filter-list (AS_PATH) – dành cho anh em vượt CCNP
ip as-path access-list 1 permit ^65001$ neighbor 10.1.1.1 filter-list 1 in
🧠 Nhớ kỹ hướng lọc
✅ Tổng kết thực chiến
💬 Anh em đã từng dùng route filtering để xử lý sự cố gì thú vị chưa? Hay có trick nào để tối ưu phân phối định tuyến trong hệ thống lớn? Cùng chia sẻ bên dưới nhé!
💡 ACL và Prefix-List – Nền tảng cho mọi chiến lược lọc
Trước khi đi sâu vào từng giao thức, hãy cùng nắm lại hai công cụ phổ biến: 1. ACL (Access Control List)
- Kiểu lọc: Lọc dựa trên IP và wildcard mask.
- Match logic: So sánh prefix và wildcard.
- Mặc định: Có dòng deny any ở cuối nếu không match.
- Ứng dụng: Dùng cho cả lọc gói tin (packet filtering) và lọc định tuyến (route filtering).
Ví dụ:
access-list 10 permit 192.168.1.0 0.0.0.255
2. Prefix-List
- Kiểu lọc: Tối ưu cho định tuyến.
- Match logic: So sánh prefix + prefix-length (dùng ge và le).
- Tốc độ xử lý: Nhanh hơn ACL truyền thống.
- Mặc định: deny any
- Cú pháp permit all:
⚙️ Filtering theo từng giao thức định tuyến
🔁 EIGRP Filtering
Dùng distribute-list (phổ biến nhất)
router eigrp 100 distribute-list 10 in Serial0/0 distribute-list prefix MYLIST out FastEthernet0/0
- in: Ngăn route vào EIGRP topology table.
- out: Không cho route trong bảng định tuyến đi ra.
📌 ACL extended cho EIGRP có thể match cả IP của neighbor gửi route.
🔄 OSPF Filtering
Cách 1: Distribute-list (lọc bảng định tuyến local)
router ospf 1 distribute-list prefix MYLIST in
- in: Route đến từ LSA sẽ bị chặn không đưa vào RIB.
- out: Chỉ áp dụng khi router là ASBR – chặn việc tạo LSA loại 5.
area 0 filter-list prefix BLOCK-THIS in area 1 filter-list prefix BLOCK-THAT out
- in: Lọc prefix từ các area khác trước khi nhập vào area này.
- out: Chặn prefix không cho thoát ra khỏi area.
📌 ACL extended có thể match theo router-id của router quảng bá LSA.
🌐 BGP Filtering
Distribute-list
neighbor 10.1.1.1 distribute-list 10 in
Prefix-list
neighbor 10.1.1.1 prefix-list ALLOW-ONLY in
Route-map
neighbor 10.1.1.1 route-map FILTER-BGP out
Filter-list (AS_PATH) – dành cho anh em vượt CCNP
ip as-path access-list 1 permit ^65001$ neighbor 10.1.1.1 filter-list 1 in
- in: Chặn prefix có AS_PATH matching khi nhận từ neighbor.
- out: Chặn prefix khi export, dựa trên AS_PATH.
🧠 Nhớ kỹ hướng lọc
| EIGRP | Chặn route trước khi vào topology | Chặn route không quảng bá ra |
| OSPF | Chặn LSA không thành route | Chỉ cho ASBR hoặc chặn trong LSA |
| BGP | Không vào bảng BGP | Không gửi ra ngoài |
✅ Tổng kết thực chiến
- Muốn kiểm soát route đi vào đâu? => distribute-list in
- Muốn quyết định route nào được quảng bá ra ngoài? => distribute-list out
- Muốn lọc tinh vi theo độ dài prefix? => Dùng prefix-list.
- Muốn lọc sâu hơn nữa theo policy, attribute? => Route-map là lựa chọn chuẩn bài.
💬 Anh em đã từng dùng route filtering để xử lý sự cố gì thú vị chưa? Hay có trick nào để tối ưu phân phối định tuyến trong hệ thống lớn? Cùng chia sẻ bên dưới nhé!