10.3 配置前缀列表

最新推荐文章于 2022-10-09 21:43:33 发布

AwayOnce

最新推荐文章于 2022-10-09 21:43:33 发布

阅读量685

点赞数 2

分类专栏：数通笔记文章标签：网络

本文链接：https://blog.csdn.net/qq_45382474/article/details/121263844

版权

数通笔记专栏收录该内容

42 篇文章 12 订阅

订阅专栏

原理概述

前缀列表即IP-Prefix List，它可以将与所定义的前缀列表相匹配的路由，根据定义的匹配模式进行过滤。前缀列表中的匹配条目由IP地址和掩码组成，IP地址可以是网段地址或主机地址，掩码长度的配置范围为0~32，可以进行精确匹配或在一定掩码长度范围内匹配，也可以通过配置关键字greater-equal 和 less-equal 指定待匹配的前缀掩码长度范围。

前缀列表能同时匹配前缀号和前缀长度，主要用于路由的匹配和控制，不能用于数据包的过滤。

实验目的

理解前缀列表的应用场景
掌握前缀列表的配置方法
理解前缀列表与ACL的区别

实验内容

本实验模拟公司网络场景。公司分部A网络使用11.1.1.0/24网段，通过路由器R2和骨干路由器R1相连，网络运行RIPv2协议。现在公司成立一个分部B，新分部B的路由器R3连接R1加入该RIPv2网络。由于新分部B的网络管理员不熟悉分公司内网IP地址规划，在新分部B中使用了11.1.1.0/25网段，这样导致从总部发往分部A的部分数据包在R1上都会由于路由掩码最长匹配从而错误的发往分部B。而整个新分部B整改IP需要一定的时间，公司当务之急是需要恢复总部与分部A的通信，可以通过在R1上使用前缀列表过滤掉这些错误的路由。

实验编址

设备	接口	IP地址	子网掩码	默认网关
R1	GE0/0/0	40.1.1.1	255.255.255.0	N/A
	GE0/0/1	20.1.1.1	255.255.255.255	N/A
	GE0/0/2	30.1.1.1	255.255.255.255
R2	GE0/0/0	11.1.1.2	255.255.255.0	N/A
R2	GE0/0/1	20.1.1.2	255.255.255.0
R3	GE0/0/0	11.1.1.11	255.255.255.128	N/A
R3	GE0/0/2	30.1.1.3	255.255.255.0	N/A
R4	GE0/0/0	40.1.1.4	255.255.255.0	N/A
PC1	Ethernet0/0/1	11.1.1.1	255.255.255.0	11.1.1.2
PC2	Ethernet0/0/1	11.1.1.10	255.255.255.128	11.1.1.11

实验拓扑

实验步骤

1.基本配置

根据实验编址进行相应的IP配置，并检测各直连链路的连通性。

2.搭建RIP网络

公司内部使用RIPv2网络。首先配置R1、R2和R4运行RIPv2协议，在总部路由器R4上能访问分部A的PC。

        [R1]rip 1
        [R1-rip-1]version 2
        [R1-rip-1]undo summary
        [R1-rip-1]network 20.0.0.0
        [R1-rip-1]network 30.0.0.0
        [R1-rip-1]network 40.0.0.0

        [R2]rip 1
        [R2-rip-1]version 2
        [R2-rip-1]undo summary
        [R2-rip-1]network 11.0.0.0
        [R2-rip-1]network 20.0.0.0

        [R4]rip 1
        [R4-rip-1]version 2
        [R4-rip-1]network 40.0.0.0

配置完成后，查看总部R4的路由表

        <R4>dis ip routing-table
        Route Flags: R - relay, D - download to fib
        ------------------------------------------------------------------------------
        Routing Tables: Public
         Destinations : 10 Routes : 10

Destination/Mask Proto Pre Cost Flags NextHop Interface

         11.1.1.0/24 RIP 100 2 D 40.1.1.1 GigabitEthernet 0/0/0
         20.1.1.0/24 RIP 100 1 D 40.1.1.1 GigabitEthernet 0/0/0
         30.1.1.0/24 RIP 100 1 D 40.1.1.1 GigabitEthernet 0/0/0
         40.1.1.0/24 Direct 0 0 D 40.1.1.4 GigabitEthernet 0/0/0
         40.1.1.4/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/0
40.1.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/0
        127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
          127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
              127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
              255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0

可以看到，R4的路由表中已经获得了11.1.1.0/24 的路由，测试R4与公司分部A中PC1的连通性。

        <R4>ping 11.1.1.1
        PING 11.1.1.1: 56 data bytes, press CTRL_C to break
        Reply from 11.1.1.1: bytes=56 Sequence=1 ttl=126 time=70 ms
          Reply from 11.1.1.1: bytes=56 Sequence=2 ttl=126 time=60 ms
          Reply from 11.1.1.1: bytes=56 Sequence=3 ttl=126 time=60 ms
          Reply from 11.1.1.1: bytes=56 Sequence=4 ttl=126 time=60 ms
          Reply from 11.1.1.1: bytes=56 Sequence=5 ttl=126 time=60 ms

现在新分部B加入公司网络，在R3上配置RIPv2协议。

        [R3]rip 1
        [R3-rip-1]version 2
        [R3-rip-1]undo summary
        [R3-rip-1]network 11.0.0.0
        [R3-rip-1]network 30.0.0.0

配置完成后，再次查看R4的路由表。

Destination/Mask Proto Pre Cost Flags NextHop Interface

         11.1.1.0/24 RIP 100 2 D 40.1.1.1 GigabitEthernet 0/0/0
         11.1.1.0/25 RIP 100 2 D 40.1.1.1 GigabitEthernet 0/0/0
          20.1.1.0/24 RIP 100 1 D 40.1.1.1 GigabitEthernet 0/0/0
          30.1.1.0/24 RIP 100 1 D 40.1.1.1 GigabitEthernet 0/0/0
          40.1.1.0/24 Direct 0 0 D 40.1.1.4 GigabitEthernet 0/0/0
          40.1.1.4/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/0
         40.1.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/0
          127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
          127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
        127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
        255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0

可以看到，此时R4接收到了公司分部A的11.1.1.0/24路由条目和新分部B的11.1.1.0/25路由条目，同样R1也会接收到这两条路由条目，这样会造成什么后果？

根据路由器转发数据的原理，在转发数据包时，路由器会根据最长匹配的原则去匹配路由条目，即R4想分部A的终端PC1发送数据时，当数据到达R1后，根据包头的目的IP地址与路由表中的路由条目进行匹配，发现11.1.1.0/25 条目更为精确，这会使得数据包都根据这条路由条目进行转发，即将原本要发往PC1的数据包都错误的发往R3，造成总部与分部A通讯异常。

在R4上测试与PC1之间的连通性。

        <R4>ping 11.1.1.1
          PING 11.1.1.1: 56 data bytes, press CTRL_C to break
          Request time out
          Request time out
          Request time out
          Request time out
          Request time out

可以发现此时无法正常通信，在R4上使用tracert命令测试发往PC1的数据包所经过的网关。

<R4>tracert 11.1.1.1

traceroute to 11.1.1.1(11.1.1.1), max hops: 30 ,packet length: 40,press CTRL_C
to break

1 40.1.1.1 30 ms 30 ms 20 ms

2 30.1.1.3 30 ms 30 ms 20 ms

3 * * *

4 * * *

可以观察到，此时R4发往分公司A的PC1的数据包确实都已经错误地发往R3。

3.配置ACL过滤路由

由于业务需要，先公司急需恢复总部与分部A间的通信。但是重新规划并配置整个分部B的IP地址需要一定的时间，此时网络管理员尝试使用ACL来配置路由过滤，即在R1上过滤掉11.1.1.0/25这条路由。

在R1上创建基本的ACL，拒绝11.1.1.0这个目的网段的路由。

        [R1]acl 2000
        [R1-acl-basic-2000]rule deny source 11.1.1.0 0.0.0.0
        [R1-acl-basic-2000]rule permit source any

接下来在RIP视图下，配置过滤策略（filter-policy），该策略通过调用之前配置好的ACL来达到过滤路由的目的，并且在R1的RIP路由进程中的接收方向应用此路由过滤策略。

[R1]rip 1
[R1-rip-1]filter-policy 2000 import

配置完成后，查看R1的路由表。

        <R1>dis ip routing-table
        Route Flags: R - relay, D - download to fib
        ------------------------------------------------------------------------------
        Routing Tables: Public
         Destinations : 13 Routes : 13

Destination/Mask Proto Pre Cost Flags NextHop Interface

          20.1.1.0/24 Direct 0 0 D 20.1.1.1 GigabitEthernet 0/0/1
          20.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/1
         20.1.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/1
          30.1.1.0/24 Direct 0 0 D 30.1.1.1 GigabitEthernet 0/0/2
          30.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/2
          30.1.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/2
          40.1.1.0/24 Direct 0 0 D 40.1.1.1 GigabitEthernet 0/0/0
          40.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/0
          40.1.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/0
          127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
          127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
        127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
        255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0

观察发现R1的路由表中11.1.1.1/24 和11.1.1.0/25这两条路由都被过滤。这是因为ACL无法实现对掩码长度进行精确匹配，而分部A的网络位和分部B的网络位相同，都是11.1.1.0，就会导致把分部A的路由也同时过滤掉。

4.配置前缀列表过滤路由

为了能够精确匹配掩码长度，仅过滤掉11.1.1.0/25这条新分部B的路由，可以在R1上配置前缀列表。

[R1]ip ip-prefix 1 deny 11.1.1.0 25 greater-equal 25 less-equal 25
[R1]ip ip-prefix 1 permit 0.0.0.0 0 less-equal 32

第二条配置表示放行所有其他的路由，这是因为前缀列表也会有一条隐含的拒绝所有的规则，所以如果要放行其他所有路由的话，一定要显式增加一条允许所有的规则，而第一条配置也可以使用下面的简写方式。

[R1]ip ip-prefix 1 deny 11.1.1.0 25

将该前缀列表应用到过滤策略下。

[R1-rip-1]filter-policy ip-prefix 1 import

配置完成后，查看R1的路由表。

Destination/Mask Proto Pre Cost Flags NextHop Interface

         11.1.1.0/24 RIP 100 1 D 20.1.1.2 GigabitEthernet 0/0/1
         20.1.1.0/24 Direct 0 0 D 20.1.1.1 GigabitEthernet 0/0/1
         20.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/1
20.1.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/1
         30.1.1.0/24 Direct 0 0 D 30.1.1.1 GigabitEthernet 0/0/2
         30.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/2
30.1.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/2
         40.1.1.0/24 Direct 0 0 D 40.1.1.1 GigabitEthernet 0/0/0
         40.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/0
40.1.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet 0/0/0
        127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
          127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
              127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
              255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0

可以观察到，此时R1的路由表中仅存在11.1.1.0/24 的路由条目，这样就恢复了分部A与总部的通信。测试总部与分部A中PC1间的连通性。

        <R4>ping 11.1.1.1
          PING 11.1.1.1: 56 data bytes, press CTRL_C to break
          Reply from 11.1.1.1: bytes=56 Sequence=1 ttl=126 time=70 ms
          Reply from 11.1.1.1: bytes=56 Sequence=2 ttl=126 time=70 ms
          Reply from 11.1.1.1: bytes=56 Sequence=3 ttl=126 time=60 ms
          Reply from 11.1.1.1: bytes=56 Sequence=4 ttl=126 time=60 ms
          Reply from 11.1.1.1: bytes=56 Sequence=5 ttl=126 time=60 ms

5.恢复新分部网络

规划分部B网络使用11.2.2.0/24网段，更烦PC2的IP地址为11.2.2.1/24，R3的GE0/0/0接口IP地址为11.2.2.3/24。

配置完成后在R1上查看路由表。

Destination/Mask Proto Pre Cost Flags NextHop Interface

11.1.1.0/24 RIP 100 1 D 20.1.1.2 GigabitEthernet 0/0/1
11.2.2.0/24 RIP 100 1 D 30.1.1.3 GigabitEthernet 0/0/2

可以发现R1的路由表中现有新分部B所在的11.2.2.0/24网段的路由条目，也有分部A的路由。用ping命令测试总部与分部A、分部B的连通性。

        <R1>ping 11.1.1.1
          PING 11.1.1.1: 56 data bytes, press CTRL_C to break
          Reply from 11.1.1.1: bytes=56 Sequence=2 ttl=127 time=70 ms
          Reply from 11.1.1.1: bytes=56 Sequence=3 ttl=127 time=50 ms
          Reply from 11.1.1.1: bytes=56 Sequence=4 ttl=127 time=50 ms
          Reply from 11.1.1.1: bytes=56 Sequence=5 ttl=127 time=60 ms

        <R1>ping 11.2.2.1
        PING 11.2.2.1: 56 data bytes, press CTRL_C to break
        Reply from 11.2.2.1: bytes=56 Sequence=2 ttl=127 time=50 ms
        Reply from 11.2.2.1: bytes=56 Sequence=3 ttl=127 time=50 ms
          Reply from 11.2.2.1: bytes=56 Sequence=4 ttl=127 time=60 ms
          Reply from 11.2.2.1: bytes=56 Sequence=5 ttl=127 time=60 ms

可以观察到，同信正常。

AwayOnce

关注

2
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
10.3 配置前缀列表

实验编址设备接口 IP地址子网掩码默认网关 R1 GE0/0/0 40.1.1.1 255.255.255.0 N/A GE0/0/1 20.1.1.1 255.255.255.255 N/A GE0/0/2 30.1.1.1 255.255.255.255 R2 GE0/0/0 11.1.1.2 255.255.255.0 N/A GE0/0/1 2...
复制链接

扫一扫