基本过滤工具之配置前缀列表

原理概述：

前缀列表即 IP-Prefix List，它可以将与所定义的前缀列表相匹配的路由，根据定义的匹配模式进行过滤。前缀列表中的匹配条目由IP地址和掩码组成，IP地址可以是网段地址或者主机地址，掩码长度的配置范围为0～32，可以进行精确匹配或者在一定掩码长度范围内匹配，也可以通过配置关键字 greater-equal和 less-equal指定待匹配的前缀掩码长度范围。
前缀列表能同时匹配前缀号和前缀长度，主要用于路由的匹配和控制，不能用于数据包的过滤。

实验内容：

本实验模拟公司网络场景。公司分部A网络使用11.1.1.0/24网段，通过路由器R2和骨干路由器R1相连，网络运行RIPv2协议。现在公司新成立一个分部B，新分部B的路由器R3连接R1加入该RIPv2网络。由于新分部B的网络管理员不熟悉公司内网IP地址规划，在新分部B中使用了11.1.1.0/25网段，这样导致从总部发往分部A的部分数据包在R1上都会由于路由掩码最长匹配从而错误地发往分部B。而整个新分部B整改IP地址需要一定时间，公司当务之急是需要恢复总部与分部A的通信，可以通过在R1上使用前缀列表过滤掉这些错误的路由。

实验拓扑：

实验步骤：

①配置路由器接口和pc机的ip地址，注意pc2和R3的g0/0/1口的掩码为25位

②搭建RIP网络

//以R1为例
rip 1
version 2
undo summary
network 20.0.0.0
network 30.0.0.0
network 40.0.0.0

此时因为路由器转发路由时会按照最长匹配原则来转发，所以pc1和R4是无法进行通信的

③ 配置acl过滤路由并应用到RIP视图中

[r1-acl-basic-2000]rule 5 deny source 11.1.1.0 0.0.0.0
[r1-acl-basic-2000]rule 10 permit source any

[r1-rip-1]filter-policy 2000 import    //import是进口、流入、汇入的意思

因为acl无法对掩码长度进行精确匹配，所以此时pc1和pc2都无法R4进行通信了

④配置前缀列表过滤路由并应用到RIP视图中

[r1]ip ip-prefix 1 deny 11.1.1.0 25 greater-equal 25 less-equal 25
[r1]ip ip-prefix 1 permit 0.0.0.0 0 less-equal 32

[r1-rip-1]filter-policy ip-prefix 1 import

此时pc1可以和R4进行通信，而pc2不行

⑤恢复分部B的网络

为了新分部B能正确接入现有网络中，网络管理员需要重新规划IP地址，使分部B能与公司总部及分部A通信。
规划分部B网络使用11.2.2.0/24网段，更改PC2的IP地址为11.2.2.1/24，R3的GE0/0/0接口IP地址为11.2.2.3/24即可。