10.3 配置前缀列表
原理概述
前缀列表即IP-Prefix List,它可以将与所定义的前缀列表相匹配的路由,根据定义的匹配模式进行过滤。前缀列表中的匹配条目由IP地址和掩码组成,IP地址可以是网段地址或主机地址,掩码长度的配置范围为0~32,可以进行精确匹配或在一定掩码长度范围内匹配,也可以通过配置关键字greater-equal 和 less-equal 指定待匹配的前缀掩码长度范围。
前缀列表能同时匹配前缀号和前缀长度,主要用于路由的匹配和控制,不能用于数据包的过滤。
实验目的
- 理解前缀列表的应用场景
- 掌握前缀列表的配置方法
- 理解前缀列表与ACL的区别
实验内容
本实验模拟公司网络场景。公司分部A网络使用11.1.1.0/24网段,通过路由器R2和骨干路由器R1相连,网络运行RIPv2协议。现在公司成立一个分部B,新分部B的路由器R3连接R1加入该RIPv2网络。由于新分部B的网络管理员不熟悉分公司内网IP地址规划,在新分部B中使用了11.1.1.0/25网段,这样导致从总部发往分部A的部分数据包在R1上都会由于路由掩码最长匹配从而错误的发往分部B。而整个新分部B整改IP需要一定的时间,公司当务之急是需要恢复总部与分部A的通信,可以通过在R1上使用前缀列表过滤掉这些错误的路由。
实验编址
| 设备 | 接口 | IP地址 | 子网掩码 | 默认网关 |
| R1 | GE0/0/0 | 40.1.1.1 | 255.255.255.0 | N/A |
| GE0/0/1 | 20.1.1.1 | 255.255.255.255 | N/A | |
| GE0/0/2 | 30.1.1.1 | 255.255.255.255 | ||
| R2 | GE0/0/0 | 11.1.1.2 | 255.255.255.0 | N/A |
| GE0/0/1 | 20.1.1.2 | 255.255.255.0 | ||
| R3 | GE0/0/0 | 11.1.1.11 | 255.255.255.128 | N/A |
| GE0/0/2 | 30.1.1.3 | 255.255.255.0 | N/A | |
| R4 | GE0/0/0 | 40.1.1.4 | 255.255.255.0 | N/A |
| PC1 | Ethernet0/0/1 | 11.1.1.1 | 255.255.255.0 | 11.1.1.2 |
| PC2 | Ethernet0/0/1 | 11.1.1.10 | 255.255.255.128 | 11.1.1.11 |
实验拓扑
实验步骤
1.基本配置
根据实验编址进行相应的IP配置,并检测各直连链路的连通性。
2.搭建RIP网络
公司内部使用RIPv2网络。首先配置R1、R2和R4运行RIPv2协议,在总部路由器R4上能访问分部A的PC。
[R1]rip 1
[R1-rip-1]version 2
[R1-rip-1]undo summary
[R1-rip-1]network 20.0.0.0
[R1-rip-1]network 30.0.0.0
[R1-rip-1]network 40.0.0.0
[R2]rip 1
[R2-rip-1]version 2
[R2-rip-1]undo summary
[R2-rip-1]network 11.0.0.0
[R2-rip-1]network 20.0.0.0
[R4]rip 1
[R4-rip-1]version 2
[R4-rip-1]network 40.0.0.0
配置完成后,查看总部R4的路由表
<R4>dis ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 10 Routes : 10
Destination/Mask Proto Pre Cost Flags NextHop Interface
11.1.1.0/24 RIP 100 2 D 40.1.1.1 GigabitEthernet 0/0/0
20.1.1.0/24 RIP 100 1 D 40.1.1.1 GigabitEthernet 0/0/0
30.1.1.0/24 RIP 100 1 D 40.1.1.1 GigabitEthernet 0/0/0
40.1.1.0/24 Direct 0 0 D 40.1.1.4 GigabitEthernet 0/0/0
40.1.1.4/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/0
40.1.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/0
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
可以看到,R4的路由表中已经获得了11.1.1.0/24 的路由,测试R4与公司分部A中PC1的连通性。
<R4>ping 11.1.1.1
PING 11.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 11.1.1.1: bytes=56 Sequence=1 ttl=126 time=70 ms
Reply from 11.1.1.1: bytes=56 Sequence=2 ttl=126 time=60 ms
Reply from 11.1.1.1: bytes=56 Sequence=3 ttl=126 time=60 ms
Reply from 11.1.1.1: bytes=56 Sequence=4 ttl=126 time=60 ms
Reply from 11.1.1.1: bytes=56 Sequence=5 ttl=126 time=60 ms
现在新分部B加入公司网络,在R3上配置RIPv2协议。
[R3]rip 1
[R3-rip-1]version 2
[R3-rip-1]undo summary
[R3-rip-1]network 11.0.0.0
[R3-rip-1]network 30.0.0.0
配置完成后,再次查看R4的路由表。
<R4>dis ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 11 Routes : 11
Destination/Mask Proto Pre Cost Flags NextHop Interface
11.1.1.0/24 RIP 100 2 D 40.1.1.1 GigabitEthernet 0/0/0
11.1.1.0/25 RIP 100 2 D 40.1.1.1 GigabitEthernet 0/0/0
20.1.1.0/24 RIP 100 1 D 40.1.1.1 GigabitEthernet 0/0/0
30.1.1.0/24 RIP 100 1 D 40.1.1.1 GigabitEthernet 0/0/0
40.1.1.0/24 Direct 0 0 D 40.1.1.4 GigabitEthernet 0/0/0
40.1.1.4/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/0
40.1.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/0
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
可以看到,此时R4接收到了公司分部A的11.1.1.0/24路由条目和新分部B的11.1.1.0/25路由条目,同样R1也会接收到这两条路由条目,这样会造成什么后果?
根据路由器转发数据的原理,在转发数据包时,路由器会根据最长匹配的原则去匹配路由条目,即R4想分部A的终端PC1发送数据时,当数据到达R1后,根据包头的目的IP地址与路由表中的路由条目进行匹配,发现11.1.1.0/25 条目更为精确,这会使得数据包都根据这条路由条目进行转发,即将原本要发往PC1的数据包都错误的发往R3,造成总部与分部A通讯异常。
在R4上测试与PC1之间的连通性。
<R4>ping 11.1.1.1
PING 11.1.1.1: 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out
可以发现此时无法正常通信,在R4上使用tracert命令测试发往PC1的数据包所经过的网关。
<R4>tracert 11.1.1.1
traceroute to 11.1.1.1(11.1.1.1), max hops: 30 ,packet length: 40,press CTRL_C
to break
1 40.1.1.1 30 ms 30 ms 20 ms
2 30.1.1.3 30 ms 30 ms 20 ms
3 * * *
4 * * *
可以观察到,此时R4发往分公司A的PC1的数据包确实都已经错误地发往R3。
3.配置ACL过滤路由
由于业务需要,先公司急需恢复总部与分部A间的通信。但是重新规划并配置整个分部B的IP地址需要一定的时间,此时网络管理员尝试使用ACL来配置路由过滤,即在R1上过滤掉11.1.1.0/25这条路由。
在R1上创建基本的ACL,拒绝11.1.1.0这个目的网段的路由。
[R1]acl 2000
[R1-acl-basic-2000]rule deny source 11.1.1.0 0.0.0.0
[R1-acl-basic-2000]rule permit source any
接下来在RIP视图下,配置过滤策略(filter-policy),该策略通过调用之前配置好的ACL来达到过滤路由的目的,并且在R1的RIP路由进程中的接收方向应用此路由过滤策略。
[R1]rip 1
[R1-rip-1]filter-policy 2000 import
配置完成后,查看R1的路由表。
<R1>dis ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 13 Routes : 13
Destination/Mask Proto Pre Cost Flags NextHop Interface
20.1.1.0/24 Direct 0 0 D 20.1.1.1 GigabitEthernet 0/0/1
20.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/1
20.1.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/1
30.1.1.0/24 Direct 0 0 D 30.1.1.1 GigabitEthernet 0/0/2
30.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/2
30.1.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/2
40.1.1.0/24 Direct 0 0 D 40.1.1.1 GigabitEthernet 0/0/0
40.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/0
40.1.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/0
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
观察发现R1的路由表中11.1.1.1/24 和11.1.1.0/25这两条路由都被过滤。这是因为ACL无法实现对掩码长度进行精确匹配,而分部A的网络位和分部B的网络位相同,都是11.1.1.0,就会导致把分部A的路由也同时过滤掉。
4.配置前缀列表过滤路由
为了能够精确匹配掩码长度,仅过滤掉11.1.1.0/25这条新分部B的路由,可以在R1上配置前缀列表。
[R1]ip ip-prefix 1 deny 11.1.1.0 25 greater-equal 25 less-equal 25
[R1]ip ip-prefix 1 permit 0.0.0.0 0 less-equal 32
第二条配置表示放行所有其他的路由,这是因为前缀列表也会有一条隐含的拒绝所有的规则,所以如果要放行其他所有路由的话,一定要显式增加一条允许所有的规则,而第一条配置也可以使用下面的简写方式。
[R1]ip ip-prefix 1 deny 11.1.1.0 25
将该前缀列表应用到过滤策略下。
[R1-rip-1]filter-policy ip-prefix 1 import
配置完成后,查看R1的路由表。
<R1>dis ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 14 Routes : 14
Destination/Mask Proto Pre Cost Flags NextHop Interface
11.1.1.0/24 RIP 100 1 D 20.1.1.2 GigabitEthernet 0/0/1
20.1.1.0/24 Direct 0 0 D 20.1.1.1 GigabitEthernet 0/0/1
20.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/1
20.1.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/1
30.1.1.0/24 Direct 0 0 D 30.1.1.1 GigabitEthernet 0/0/2
30.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/2
30.1.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/2
40.1.1.0/24 Direct 0 0 D 40.1.1.1 GigabitEthernet 0/0/0
40.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/0
40.1.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/0
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
可以观察到,此时R1的路由表中仅存在11.1.1.0/24 的路由条目,这样就恢复了分部A与总部的通信。测试总部与分部A中PC1间的连通性。
<R4>ping 11.1.1.1
PING 11.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 11.1.1.1: bytes=56 Sequence=1 ttl=126 time=70 ms
Reply from 11.1.1.1: bytes=56 Sequence=2 ttl=126 time=70 ms
Reply from 11.1.1.1: bytes=56 Sequence=3 ttl=126 time=60 ms
Reply from 11.1.1.1: bytes=56 Sequence=4 ttl=126 time=60 ms
Reply from 11.1.1.1: bytes=56 Sequence=5 ttl=126 time=60 ms
5.恢复新分部网络
规划分部B网络使用11.2.2.0/24网段,更烦PC2的IP地址为11.2.2.1/24,R3的GE0/0/0接口IP地址为11.2.2.3/24。
配置完成后在R1上查看路由表。
<R1>dis ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 15 Routes : 15
Destination/Mask Proto Pre Cost Flags NextHop Interface
11.1.1.0/24 RIP 100 1 D 20.1.1.2 GigabitEthernet 0/0/1
11.2.2.0/24 RIP 100 1 D 30.1.1.3 GigabitEthernet 0/0/2
可以发现R1的路由表中现有新分部B所在的11.2.2.0/24网段的路由条目,也有分部A的路由。用ping命令测试总部与分部A、分部B的连通性。
<R1>ping 11.1.1.1
PING 11.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 11.1.1.1: bytes=56 Sequence=2 ttl=127 time=70 ms
Reply from 11.1.1.1: bytes=56 Sequence=3 ttl=127 time=50 ms
Reply from 11.1.1.1: bytes=56 Sequence=4 ttl=127 time=50 ms
Reply from 11.1.1.1: bytes=56 Sequence=5 ttl=127 time=60 ms
<R1>ping 11.2.2.1
PING 11.2.2.1: 56 data bytes, press CTRL_C to break
Reply from 11.2.2.1: bytes=56 Sequence=2 ttl=127 time=50 ms
Reply from 11.2.2.1: bytes=56 Sequence=3 ttl=127 time=50 ms
Reply from 11.2.2.1: bytes=56 Sequence=4 ttl=127 time=60 ms
Reply from 11.2.2.1: bytes=56 Sequence=5 ttl=127 time=60 ms
可以观察到,同信正常。
10.3 配置前缀列表相关推荐
- 华为交换机前缀列表配置
交换机前缀列表配置 拓扑 设备配置 已配置ospf,目前网内设备都能互通 要求: 使用前缀列表配置路由过滤,使得192.168.2.0 .192.168.3.0. 192.168.4.0这3个网段之间 ...
- 各种控制列表--前缀列表
前缀列表 不同于用于匹配流量的IP访问列表,IP前缀列表主要是用来指定具体的网络可达的.前缀列表用来匹配前缀(网段)和前缀长度(子网掩码).在BGP路由选择协议中,可以对BGP路由选择更新进行过滤,要 ...
- 华为前缀列表ip ip-prefix
华为前缀列表ip ip-prefix 解决ACL不能够匹配多网段的工具 作用:只能匹配网段信息,相较于ACL更加精确 配置方法:一.ip ip-prefix test index 10 permit ...
- IP前缀列表配置实验
实验拓扑如下: 蓝框中运行ospf协议,r3上面有4条静态路由:172.16.0.0/24,172.16.1.0/24,172.16.2.0/24,172.16.0.0/16,分别指向ar1和ar2. ...
- 前缀列表(prefix-list)讲解
不同于用于匹配流量的IP访问列表,IP前缀列表主要是用来指定具体的网络可达的.前缀列表用来匹配前缀(网段)和前缀长度(子网掩码).前缀列表有两个参数很难理解. 下面是普通的前缀列表的参数: ip pr ...
- CCIE理论-第十五篇-IPV6-重分布+ACL+前缀列表
CCIE理论-第十五篇-IPV6-重分布+ACL+前缀列表 重分布前面讲过,这里再讲一次+实操+效果看看 在ipv6中重分布直连路由是需要加上include-connected的 环境 就这么简单哈, ...
- 地址前缀列表(IP Prefix List)
地址前缀列表 IP Prefix List 优点(与ACL比较): 1.性能及可控性高于ACL 2.能同时精确匹配网络号和前缀长度(ACl无法匹配掩码/前缀长度) 3.前缀列表不能用于数据包的过滤(A ...
- spring cloud ,spring boot application.properties 配置属性列表
#横幅 banner.charset = UTF-8#横幅文件编码. banner.location = classpath:banner.txt#横幅文件位置. banner.image.locat ...
- 锐捷路由策略(route-map)+前缀列表(prefix-list)基础实验
目录 路由策略更改路由属性实验配置 R4上配置路由策略 R4接口引用路由策略 策略路由过滤路由实验配置 在R1和R2建立ISIS邻居 R2上配置路由策略 在路由协议重发布时引用路由策略 补充事项 路由 ...
最新文章
- python里的tplt什么意思 Python的format格式化输出
- 实战并发编程 - 02解决并发问题常用套路
- python学习笔记三 pickle序列化
- 百度seo排名规则_百度关键词seo优化排名如何上首页
- C/C++对象的序列化
- 在Android浏览器下字体偏上的问题
- 【原创】1985-2021年《中国城市统计年鉴》900+全变量地级市面板数据 Python编程整理直接可用的城市面板数据
- 儒豹手机搜索发布2008年各频道关键词排行榜
- 一些关于罗马字符的知识
- android控件翻书效果,android ViewPager实现滑动翻页效果实例代码
- 灰狼优化算法(GWO)(解决TSP问题,代码完整免费)
- 【python】修改文件后缀,将JPG转换为PNG/PNG转换为JPG
- 有理数加法 (15 分)
- 笨方法学习Python 习题19 函数和变量 ---学习记录
- 与古人有关......
- 360加固保so动态脱壳
- qemu中的新版vga仿真
- android 名片识别 简书,简书,也有了我的名片
- 企业微信群管理员可以踢人吗?企业微信群怎么自动踢人?
- Vue中使用 class 类样式的方式