配置前缀列表

最新推荐文章于 2024-09-06 23:47:24 发布
最新推荐文章于 2024-09-06 23:47:24 发布
阅读量2.2k 收藏 11
点赞数 6
分类专栏: 网络 文章标签: 网络

实验目的

  • 理解前缀列表的应用场景
  • 掌握前缀列表的配置方法
  • 理解前缀列表与ACL的区别

实验内容

公司分部A网络使用11.1.1.0/24网段,通过路由器R2和骨干路由器R1相连,网络运行RIPv2协议。现在公司新成立一个分部B,新分部B的路由器R3连接R1加入该RIPv2网络。由于新分部B的网络管理员不熟悉公司内网IP地址规划,在新分部B中使用了11.1.1.0/25网段,这样导致从总部发往分布A的部分数据包在R1上都会由于路由掩码最长匹配从而错误地发往分部B。而整个新分部B整改IP地址需要一定时间,公司当务之急是需要恢复总部与分部A的通信,可以通过在R1上使用前缀列表过滤掉这些错误的路由。

实验拓扑

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

实验配置

R1配置:

#
interface GigabitEthernet0/0/0
 ip address 40.1.1.1 255.255.255.0
#
interface GigabitEthernet0/0/1
 ip address 20.1.1.1 255.255.255.0
#
interface GigabitEthernet0/0/2
 ip address 30.1.1.1 255.255.255.0
#
rip 1
 undo summary
 version 2
 network 20.0.0.0
 network 30.0.0.0
 network 40.0.0.0
#

R2配置:

#
interface GigabitEthernet0/0/0
 ip address 11.1.1.2 255.255.255.0
#
interface GigabitEthernet0/0/1
 ip address 20.1.1.2 255.255.255.0
#
rip 1
 undo summary
 version 2
 network 20.0.0.0
 network 11.0.0.0
#

R3配置:

#
interface GigabitEthernet0/0/0
 ip address 11.1.1.11 255.255.255.128
#
interface GigabitEthernet0/0/2
 ip address 30.1.1.3 255.255.255.0
#
rip 1
 undo summary
 version 2
 network 30.0.0.0
 network 11.0.0.0
#

R4配置:

#
interface GigabitEthernet0/0/0
 ip address 40.1.1.4 255.255.255.0
#
rip 1
 undo summary
 version 2
 network 40.0.0.0
#

配置完成后,查看R4的路由表

<R4>dis ip routing-table 
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 8        Routes : 8        

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

       11.1.1.0/24  RIP     100  2           D   40.1.1.1        GigabitEthernet0/0/0
       11.1.1.0/25  RIP     100  2           D   40.1.1.1        GigabitEthernet0/0/0
       20.1.1.0/24  RIP     100  1           D   40.1.1.1        GigabitEthernet0/0/0
       30.1.1.0/24  RIP     100  1           D   40.1.1.1        GigabitEthernet0/0/0
       40.1.1.0/24  Direct  0    0           D   40.1.1.4        GigabitEthernet0/0/0
       40.1.1.4/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0

可以观察到,此时R4接收到了公司分部A的11.1.1.0/24路由条目和新分部B的11.1.1.0/25路由条目,同样R1也会接收到这两条路由条目,这样会造成什么后果?根据路由表转发数据的原理,在转发数据包时路由器会根据最长匹配的原则去匹配路由条目,即R4向分部A的终端PC-1发送数据时,当数据包到达R1后,根据包头的目的IP地址与路由表中的路由条目进行匹配,发现11.1.1.0/25条目匹配更精确,这会使得数据包都根据这条路由条目进行转发,即将原本要发往PC1的数据包都错误地发往R3,造成总部与分部A异常通信。

<R4>ping 11.1.1.1
  PING 11.1.1.1: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out
    Request time out
    Request time out
    Request time out

  --- 11.1.1.1 ping statistics ---
    5 packet(s) transmitted
    0 packet(s) received
    100.00% packet loss

<R4>tracert 11.1.1.1

 traceroute to  11.1.1.1(11.1.1.1), max hops: 30 ,packet length: 40,press CTRL_C
 to break 

 1 40.1.1.1 30 ms  30 ms  50 ms 

 2 30.1.1.3 60 ms  60 ms  70 ms 

 3  *  *  * 

 4  *  *  * 
 可以观察到,此时R4发往分公司A的PC1的数据包确实都已错误地发往R3

配置ACL过滤路由

由于业务需要,现公司急需恢复总部与分部A间的通信。但是重新规划并配置整个分部B的IP地址需要一定时间,此时网络管理员尝试使用ACL来配置路由过滤,即在R1上过滤掉11.1.1.0/25这条路由。

在R1上创建基本的ACL,拒绝11.1.1.0这个目的网段的路由

#
acl number 2000
 rule 5 deny source 11.1.1.0 0
#

在RIP试图下,配置过滤策略(filter-policy),该策略通过调用之前配置好的ACL来达到过滤路由的目的,并且在R1的RIP路由进程中的接收方向应用此路由过滤策略

#
rip 1
 filter-policy 2000 import
#

查看R1路由表
[R1-rip-1]dis ip routing-table 
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 8        Routes : 8        

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

       20.1.1.0/24  Direct  0    0           D   20.1.1.1        GigabitEthernet0/0/1
       20.1.1.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/1
       30.1.1.0/24  Direct  0    0           D   30.1.1.1        GigabitEthernet0/0/2
       30.1.1.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/2
       40.1.1.0/24  Direct  0    0           D   40.1.1.1        GigabitEthernet0/0/0
       40.1.1.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
观察发现R1的路由表中11.1.1.0/24和11.1.1.0/25这两条路由都被过滤。这是因为ACL无法实现对掩码长度进行精确匹配

配置前缀列表过滤路由

为了能够精确匹配掩码长度,仅过滤掉11.1.1.0/25这条新分部B的路由,可以在R1上配置前缀列表

[R1]ip ip-prefix 1 deny 11.1.1.0 25 greater-equal 25 less-equal 25
[R1]ip ip-prefix 1 permit 0.0.0.0 0 less-equal 32

第一条配置可以简写为
[R1]ip ip-prefix 1 deny 11.1.1.0 25

第二条配置表示放行所有其他的路由,这是因为前缀列表也会有一条隐含的拒绝所有的规则,所以如果要放行其他所有路由的话,一定要显式增加一条允许所有的规则。

将该前缀列表应用到过滤策略下
#
rip 1
 filter-policy ip-prefix 1 import
#

查看R1的路由表
[R1]dis ip routing-table 
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 9        Routes : 9        

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

       11.1.1.0/24  RIP     100  1           D   20.1.1.2        GigabitEthernet0/0/1
       20.1.1.0/24  Direct  0    0           D   20.1.1.1        GigabitEthernet0/0/1
       20.1.1.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/1
       30.1.1.0/24  Direct  0    0           D   30.1.1.1        GigabitEthernet0/0/2
       30.1.1.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/2
       40.1.1.0/24  Direct  0    0           D   40.1.1.1        GigabitEthernet0/0/0
       40.1.1.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/0
      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
可以观察到,此时R1的路由表中仅存11.1.1.0/24,即分部A的路由条目
		
<R4>ping 11.1.1.1
  PING 11.1.1.1: 56  data bytes, press CTRL_C to break
    Request time out
    Reply from 11.1.1.1: bytes=56 Sequence=2 ttl=126 time=120 ms
    Reply from 11.1.1.1: bytes=56 Sequence=3 ttl=126 time=70 ms
    Reply from 11.1.1.1: bytes=56 Sequence=4 ttl=126 time=120 ms
    Reply from 11.1.1.1: bytes=56 Sequence=5 ttl=126 time=100 ms

  --- 11.1.1.1 ping statistics ---
    5 packet(s) transmitted
    4 packet(s) received
    20.00% packet loss
    round-trip min/avg/max = 70/102/120 ms
 可以观察到,此时通信恢复正常

恢复新分部网络

规划分部B网络使用11.2.2.0/24网段,更改PC2的IP地址为11.2.2.1/24,R3的G0/0/0接口IP地址为11.2.2.3/24

#
interface GigabitEthernet0/0/0
 ip address 11.2.2.3 255.255.255.0
#

配置完成后,查看R1的路由表[R1]dis ip routing-table 
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 10       Routes : 10       

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

       11.1.1.0/24  RIP     100  1           D   20.1.1.2        GigabitEthernet0/0/1
       11.2.2.0/24  RIP     100  1           D   30.1.1.3        GigabitEthernet0/0/2
       20.1.1.0/24  Direct  0    0           D   20.1.1.1        GigabitEthernet0/0/1
       20.1.1.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/1
……
可以观察到,R1的路由表中现有新分部B所在11.2.2.0/24网段的路由条目,也有分部A的路由
<R4>ping 11.1.1.1
  PING 11.1.1.1: 56  data bytes, press CTRL_C to break
    Reply from 11.1.1.1: bytes=56 Sequence=1 ttl=126 time=110 ms
    Reply from 11.1.1.1: bytes=56 Sequence=2 ttl=126 time=110 ms
    Reply from 11.1.1.1: bytes=56 Sequence=3 ttl=126 time=110 ms
    Reply from 11.1.1.1: bytes=56 Sequence=4 ttl=126 time=90 ms
    Reply from 11.1.1.1: bytes=56 Sequence=5 ttl=126 time=110 ms

  --- 11.1.1.1 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 90/106/110 ms

<R4>ping 11.2.2.1
  PING 11.2.2.1: 56  data bytes, press CTRL_C to break
    Reply from 11.2.2.1: bytes=56 Sequence=1 ttl=126 time=120 ms
    Reply from 11.2.2.1: bytes=56 Sequence=2 ttl=126 time=90 ms
    Reply from 11.2.2.1: bytes=56 Sequence=3 ttl=126 time=100 ms
    Reply from 11.2.2.1: bytes=56 Sequence=4 ttl=126 time=90 ms
    Reply from 11.2.2.1: bytes=56 Sequence=5 ttl=126 time=130 ms

  --- 11.2.2.1 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 90/106/130 ms
    可以观察到,通信正常
各种控制列表--前缀列表
weixin_33910137的博客
11-18 1241
前缀列表   不同于用于匹配流量的IP访问列表,IP前缀列表主要是用来指定具体的网络可达的。前缀列表用来匹配前缀(网段)和前缀长度(子网掩码)。在BGP路由选择协议中,可以对BGP路由选择更新进行过滤,要完成这个工作要用到前缀列表。 一、前缀列表的特点:  (1)、可以增量修改,我们知道对于普通访问控制列表,我们不能删除该列表中的某个条目,如果想删除列表中的某个条目...
eNSP学习——配置前缀列表
TXFBAP的博客
06-11 1466
理解前缀列表的应用场景 掌握前缀列表配置方法 理解前缀列表与ACL的区别
如何配置前缀列表
晚风挽着浮云的博客
11-26 3335
配置前缀列表 原理概述; 前缀列表即IP-Prefix List,它可以将与所定义的前缀列表相匹配的路由,根据定义的匹配模式进行过滤。前缀列表中匹配条目由IP地址和掩码组成,IP地址可以是网段地址或者主机地址,掩码长度的配置范围为0-32,可以进行精确匹配或者在一定掩码长度范围内匹配,也可以通过配置关键字greater-equal和less-equal指定待匹配的前缀掩码长度范围。 前缀列表能同时匹配前缀号和前缀长度,主要用于路由的匹配和控制,不能用于数据包的过滤。 ...
前缀列表配置
weixin_45821358的博客
11-18 1303
前缀列表配置原理概述二、实验拓扑二、实验内容1.基本配置ip2.部署rip网络4.配置前缀列表总结与思考 原理概述 前缀列表即 IP-Prefix List,前缀列表匹配条目由IP地址和掩码组成,ip地址可以是网段主机或者主机地址。 掩码长度为0-32 。可以精确匹配。 主要用于匹配路由和控制 ,不能用于数据包的过滤。 二、实验拓扑 二、实验内容 1.基本配置ip 2.部署rip网络 4.配置前缀列表 进程调用 总结与思考 如果将前缀列表中已配置好的语句顺序打乱会对实验结果产生影响吗
10.3 配置前缀列表
12-26 201
转载于:https://www.cnblogs.com/yechaoxu/p/8116590.html
35、重分布配置实验之前缀列表prefix-list
weixin_33910434的博客
12-04 436
1、前缀列表prefix-list解析2.2.2.0/242.2.2.0/252.2.2.0/26ACL只可以控制网络号,无法控制掩码access-list 1 permit 2.2.2.0 0.0.0.255这条ACL并不能精确匹配到2.2.2.0/24,2.2.2.0/25和2.2.2.0/26同样也被包含在内,因为他们的网络号一致。Prefix-List既可以控制网络号...
华为实验27-配置前缀列表
yychentracy的博客
09-14 1614
原理 将与前缀列表相匹配的路由,根据定义的匹配模式进行过滤,前缀列表中的匹配条目由IP地址和掩码组成,IP地址可以是网络地址或者主机地址,掩码长度的配置范围是0~32,可以进行精确匹配或者在一定的掩码长度范围内匹配,也可以根据关键字greater-equal和less-equal指定待匹配的前缀掩码长度范围。 前缀列表同时匹配前缀号和前缀长度,主要用于路由的匹配和控制,不能用于数据包的过滤。 实验目的 理解前缀列表的应用场景 掌握前缀列表配置方法 理解前缀列表和ACL的区别 实验拓扑 实验步骤 1,配置
CISCO路由器配置前缀列表解疑
01-31
介绍CISCO路由器的配置前缀,为大家了解CISCO前缀列表起到一定的提示作用
分发列表前缀列表配置
qq_45562742的博客
07-22 1077
实验一 使用分发列表对出站路由更新进行过滤 实验步骤及要求: 1.配置各台路由器的IP地址。 2.配置EIGRP路由协议,关闭自动汇总。 3.在R3上查看路由表。 4.只允许通过路由器R2的接口f0/0将网络172.16.0.0的路由信息通告出去,网络10.0.0.0不能通告出去。 (1)在R2上创建访问控制列表 access-list 1 permit 172.16.0.0 0.0.255.255 (2)在R2上将访问控制列表1应用于通过接口f0/0出站的分组 router eigrp 1 distr
ACL和前缀列表区别详解.doc
03-09
前缀列表则可以实现对路由条目的精确抓取和过滤,但是其配置较为复杂。 四、实践应用 在实际应用中,ACL 和前缀列表可以根据不同的需求和场景选择使用。例如,在路由器中,可以使用 ACL 来实现简单的路由条目过滤...
前缀列表 我自己写的说明
06-22
关于前缀列表的说明我自己写的 请大家一起分享 比较容易理解的 不要害怕 还要我怎么详细啊 就是个前缀列表么 关于前缀列表的说明我自己写的 请大家一起分享 比较容易理解的 不要害怕 还要我怎么详细啊 就是个前缀列表
前缀列表解疑-prefix-list
01-01
访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。
前缀列表(ip-prefix)配置
最新发布
可惜已不在
09-06 2680
本来前缀列表是要和访问控制列表放在一起讲的,但是这里单拎出来是为了更详细的讲解两者的区别1.前缀列表针对IP比访问控制更加灵活。2.前缀列表在后面被引用时是无法对数据包进行过滤的。
配置前缀列表【eNSP实现】
Infinity_and_beyond的博客
05-08 1949
前缀列表即IP-Prefix List,它可以将与所定义的前缀列表相匹配的路由根据定义的匹配模式进行过滤。前缀列表中的匹配条目由IP地址和掩码组成,IP地址可以是网段地址或主机地址,掩码长度的配置范围为0~32,可以进行精确匹配或在一定掩码长度范围内匹配,也可以通过配置关键字greater-equal和less-equal指定待匹配的前缀掩码长度范围。 前缀列表能同时匹配前缀号和前缀长度,主要用于路由的匹配和控制,不能用于数据包的过滤。 实验目的 理解前缀列表的应用场景 掌握前缀列表配置方法 理解前缀
前缀列表---Prefix-List
ZhangPengFeiToWinner的博客
01-07 8129
在谈起前缀列表之前,我们首先简单的分析一下常用的抓取路由的ACL(访问控制列表)的作用:1.抓数据2.抓路由。 举个简单的例子来看一看: 1.标准ACL: R1(config)#access-list 1 permit 1.1.1.0 0.0.0.0//在R1路由器上抓取1.1.1.0网段,包括/24/25/26/27/28/29/30等网段 2.扩展ACL: R1(config)#access...
前缀列表和route-policy
Noel_Xie的博客
03-22 2384
Huawei]ip ip-prefix GuolLv01 index 5 permit 192.168.0.0 24 g 24 l 26 //前缀:192.168.0,掩码:24~26,192.168.1.0/24,前缀不匹配,掩码匹配,则不匹配。[Huawei]ip ip-prefix GuolLv01 index 5 permit 192.168.1.0 24 l 32 //前缀:192.168.1,掩码:24~32,192.168.1.0/24,前缀匹配,掩码匹配,则匹配。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值