原理
将与前缀列表相匹配的路由,根据定义的匹配模式进行过滤,前缀列表中的匹配条目由IP地址和掩码组成,IP地址可以是网络地址或者主机地址,掩码长度的配置范围是0~32,可以进行精确匹配或者在一定的掩码长度范围内匹配,也可以根据关键字greater-equal和less-equal指定待匹配的前缀掩码长度范围。
前缀列表同时匹配前缀号和前缀长度,主要用于路由的匹配和控制,不能用于数据包的过滤。
实验目的
理解前缀列表的应用场景
掌握前缀列表的配置方法
理解前缀列表和ACL的区别
实验拓扑
实验步骤
1,配置基本的ip地址并测试联通性。
2、搭建rip网络
[R1]rip 1
[R1-rip-1]version 2
[R1-rip-1]undo summary
[R1-rip-1]network 20.0.0.0
[R1-rip-1]network 30.0.0.0
[R1-rip-1]net[R1-rip-1]network 40.0.0.0
[R2]rip 1
[R2-rip-1]version 2
[R2-rip-1]undo summary
[R2-rip-1]network 11.0.0.0
[R2-rip-1]network 20.0.0.0
[R4]rip 1
[R4-rip-1]version 2
[R4-rip-1]undo summary
[R4-rip-1]network 40.0.0.0
配置完成后,查看R4的路由表
R4已经获得pc1的路由,测试联通性。可以访问到。
将R3 加入
[R3]rip 1
[R3-rip-1]vers
[R3-rip-1]version 2
[R3-rip-1]undo summary
[R3-rip-1]network 11.0.0.0
[R3-rip-1]network 30.0.0.0
查看R4的路由表,这里由两条路由条目,在转发数据包的时候,会根据最长匹配的原则去匹配路由条目,当R4往pc1发送数据时候,数据包到达R1的时候 ,发现目的IP地址与路由表中的路由条目进行匹配,发现11.1.1.0/25条目匹配更精确。这会使得数据包根据这条路由条目进行转发,将原本要发给pc1的数据发给了R3,
使用tracert查看发往pc1的数据包所经过的网关.可以发现已经错误的发往R3了
3,配置ACL过滤原则
[R1]acl number 2000
[R1-acl-basic-2000]rule 5 deny source 11.1.1.0 0.0.0.0
[R1-acl-basic-2000]rule 10 permit source any
在rip视图下,配置过滤策略,该策略通过调用之前配置好的acl来达到过略路由的目的,并且在R1的rip路由过程中接收方向应用此路由过略策略
[R1]rip 1
[R1-rip-1]filter-policy 2000 import
配置完成后,查看R1的路由表
发现路由已经被过滤,11.1.1.0/24和11.1.1.0/25,这种做法,导致过滤了不必要的路由,
4,配置前罪列表
在R1上配置前罪列表,同时精确到匹配网络位和掩码长度
[R1]ip ip-prefix 1 deny 11.1.1.0 25 greater-equal 25 less-equal 25
[R1]ip ip-prefix 1 permit 0.0.0.0 0 less-equal 32
[R1-rip-1]filter-policy ip-prefix 1 import
查看R1的路由表,发现pc1的路由恢复了
可以ping 通
5,恢复pc2的网络
现在需要重新配置pc2的ip地址11.2.2.1/24,使得pc1和pc2可以通信
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip add 11.2.2.3 24
查看R1的路由表