精华内容
下载资源
问答
  • ACL和前缀列表区别详解.doc
  • 一个地址前缀列表中可以创建多个索引项,每个索引对应一条过滤规则。 当匹配上某一索引项时,如果该索引项是permit,则这条路由被允许通过;如果该索引项是deny,则这条路由被拒绝通过。 当遍历了地址前缀列表中的...

    概述:

    前缀列表,专门用来匹配路由条目,而不是流量,相当于升级版的基础ACL,为什么这么说,是因为其不仅可以匹配路由条目条目的来源,还可以匹配匹配路由条目的掩码。

    规则:

    在这里插入图片描述

    1. 一个地址前缀列表中可以创建多个索引项,每个索引对应一条过滤规则。
    2. 当匹配上某一索引项时,如果该索引项是permit,则这条路由被允许通过;如果该索引项是deny,则这条路由被拒绝通过。
    3. 当遍历了地址前缀列表中的所有索引项,都没有匹配上,那么这条路由就被拒绝通过。

    如图所示,待过滤路由按照索引号从小到大的顺序进行匹配:
    在这里插入图片描述
    地址前缀列表过滤路由的原则可以总结为:顺序匹配、唯一匹配、默认拒绝。

    1. 顺序匹配:按索引号从小到大顺序进行匹配。同一个地址前缀列表中的多条表项设置不同的索引号,可能会有不同的过滤结果,实际配置时需要注意。
    2. 唯一匹配:待过滤路由只要与一个表项匹配,就不会再去尝试匹配其他表项。
    3. 默认拒绝:默认所有未与任何一个表项匹配的路由都视为未通过地址前缀列表的过滤。因此在一个地址前缀列表中创建了一个或多个deny模式的表项后,需要创建一个表项来允许所有其他路由通过。

    ip-prefix语法:

    地址前缀列表通过ip ip-prefix命令进行配置,常用格式如下:
    ip ip-prefix ip-prefix-name [ index index-number ] { permit | deny } ipv4-address mask-length [ greater-equal greater-equal-value ] [ less-equal less-equal-value ]

    其中ipv4-address mask-length [ greater-equal greater-equal-value ] [ less-equal less-equal-value ] 用于限定过滤路由的网络号及掩码范围,参数含义如表所示。

    参数含义:

    1. ipv4-address:用于指定网络号。
    2. mask-length:用于限定网络号的前多少位需严格匹配。
    3. greater-equal greater-equal-value:可以理解为掩码≥greater-equal-value。
    4. less-equal less-equal-value:可以理解为掩码≤less-equal-value。

    当待过滤的路由已匹配当前表项的网络号时,掩码长度可以进行精确匹配或者在一定掩码长度范围内匹配:

    1. 若不配置greater-equal和less-equal,则进行精确匹配,即只匹配掩码长度为mask-length的路由。
    2. 若只配置greater-equal,则匹配的掩码长度范围为[greater-equal-value,32]。
    3. 若只配置less-equal,则匹配的掩码长度范围为[mask-length,less-equal-value]。
    4. 若同时配置greater-equal和less-equal,则匹配的掩码长度范围为[greater-equal-value,less-equal-value]。

    通配地址(0.0.0.0)匹配示例:
    通配地址0.0.0.0表示不限定网络号,只需要匹配掩码范围即可。表中列出了几种特殊的通配地址。
    在这里插入图片描述
    说明:地址前缀列表采用默认拒绝的匹配原则,在创建了一个或多个deny模式的表项后,需要创建一个permit 0.0.0.0 0 less-equal 32表项,允许所有其他路由通过。

    举例:

    在这里插入图片描述

    前缀列表使用方式:

    除了与路由策略等工具配合使用,还可以通过filter-policy配合使用对全局的发布和接收的路由信息过滤(filter-policy可以用ACL或者前缀列表进行匹配):

    1. ip ip-prefix命令通过与下列命令配合使用,可以以地址前缀列表为过滤条件对全局发布的路由信息进行过滤。 
      filter-policy export(RIP视图下) 
      filter-policy export(OSPF视图下) 
      filter-policy export (IS-IS视图下) 
      filter-policy export(BGP视图下)

    2. ip ip-prefix命令通过与下列命令配合使用,可以以地址前缀列表为过滤条件对全局接收的路由信息进行过滤。 
      filter-policy import(RIP视图下)
      filter-policy import(OSPF视图下)
      filter-policy import(IS-IS视图下)
      filter-policy import(BGP视图下)

    3. ip ip-prefix命令通过与下列命令配合使用,为特定的对等体配置基于地址前缀列表的过滤器进行路由过滤。
      peer ip-prefix(BGP)

    4. 在IS-IS协议中,当为了防止次优路径而配置路由渗透时
      以地址前缀列表为过滤条件控制IS-IS的Level-1路由向Level-2区域进行路由渗透。
      import-route isis level-1 into level-2 filter-policy ip-prefix ip-prefix-name [ tag tag ]
      以地址前缀列表为过滤条件控制IS-IS的Level-2路由向Level-1区域进行路由渗透。
      import-route isis level-2 into level-1 filter-policy ip-prefix ip-prefix-name [ tag tag ]

    实验:

    在这里插入图片描述
    R1和R2建立IBGP邻居关系,R2通告两个回环口进入BGP,在R1上进行配置前缀列表:
    ip ip-prefix gok index 10 deny 1.1.1.1 32 greater-equal 32 less-equal 32
    bgp 1
    peer 10.1.1.2 ip-prefix huawei import
    在R2上可以看到发送了两个条目给R1:
    在这里插入图片描述
    然后在R1上查看:并没有BGP路由条目,说明匹配到的路由条目被过滤掉了,没有被匹配的路由条目依据默认的deny依旧是被过滤。
    在这里插入图片描述
    对于OSPF的过滤,前缀列表和ACL的默认是一样的,没有匹配到的默认都是拒绝。

    参考资料:《交换机在江湖》、HCIE路由交换学习指南

    展开全文
  • IP前缀列表

    千次阅读 2020-12-01 18:40:53
    IP前缀列表,所匹配的对象是IP地址前缀,也就是路由条目。 一个路由条目由目的网络地址(也被称为IP前缀)及掩码长度(也被称为前缀长度)共同标识。 使用ACL从一批路由中筛选出感兴趣的路由时,是无法指定被匹配...

    IP前缀列表,所匹配的对象是IP地址前缀,也就是路由条目。

    一个路由条目由目的网络地址(也被称为IP前缀)及掩码长度(也被称为前缀长度)共同标识。

    使用ACL从一批路由中筛选出感兴趣的路由时,是无法指定被匹配对象的目的网络掩码长度的,但是IP前缀列表可以做到,它除了能够指定被匹配对象的目的网络地址,还能指定目的网络掩码长度,从而实现对路由的精确匹配。

    IP前缀列表可以包含一条或多条语句,每条语句都使用一个十进制的序号(Index)进行标识。

    ip ip-prefix XA-LAN-1 index 5 permit 10.180.108.0 26
    ip ip-prefix XA-LAN-1 index 10 permit 10.180.108.64 26
    ip ip-prefix XA-LAN-1 index 15 permit 10.180.108.128 26
    ip ip-prefix XA-LAN-1 index 20 permit 10.180.108.192 26

    上面四条语句,就是给XA-LAN-1的前缀列表中加入四条语句,分别匹配10.180.108.0/26、10.180.108.64/26、10.180.108.128/26、10.180.108.192/26的路由条目

    当一个IP前缀列表开始进行路由匹配时,将从序号最小的语句开始依次匹配,如果路由不满足该语句中的条件,则继续匹配下一个语句。只要满足当前语句,则不再继续匹配后续的局域,被当前语句匹配住的路由,将根据该语句所定义的匹配模式(permit或deny)判断是否被允许通过,permit为允许,deny为拒绝。

    另外,在IP前缀列表的末尾隐含着一条拒绝所有的语句,因此一个对象若不满足任何一个语句,则该对象被视为不被该IP前缀列表允许通过。

    IP前缀列表是一个重要的路由工具,能够作为路由过滤器被应用于各种场景,例如可以被Route-Policy调用,或者Filter-Policy调用等等,另外,也在BGP路由协议中被直接用于路由过滤。

    如图,处于AS100的R1在BGP中发布了四条路由,缺省情况下,R2及R3都将学习到这四条BGP路由。现在要求R2将BGP路由通告给R3时,过滤掉172.16.3.0/24及172.16.4.0/24这两条路由,而放行其他路由。

    可以在R2上配置:

    ip ip-prefix a deny 172.16.3.0 24
    ip ip-prefix a deny 172.16.4.0 24
    ip ip-prefix a permit 172.16.1.0 24
    ip ip-prefix a permit 172.16.2.0 24
    
    bgp 200
    router-id 2.2.2.2
    peer 10.1.12.1 as-number 100
    peer 10.1.23.3 as-number 300
    peer 10.1.23.3 ip-prefix a export

     

    展开全文
  • 10路由策略-前缀列表

    千次阅读 2020-09-30 20:06:05
    10路由控制-前缀列表 标签(空格分隔):HCIP 文章目录10路由控制-前缀列表路由策略IP-Prefix List小技巧--不接设备产生静态路由前言 01路由过滤实施 02修改路由属性 03路由实施 04路由控制 05对流量行为的控制...

    10路由控制-前缀列表

    标签(空格分隔):HCIP


    01路由过滤实施
    在这里插入图片描述

    02修改路由属性
    在这里插入图片描述

    03路由实施
    在这里插入图片描述

    04路由控制

    在这里插入图片描述

    05对流量行为的控制需求分析
    在这里插入图片描述

    06控制网络流量可达性
    在这里插入图片描述

    07调整网络流量路径-单协议简单场景
    在这里插入图片描述

    路由策略

    定义: 通过一系列工具或方法对路由进行各种控制的"策略"
    影响路由的产生,发布,选择等,进而影响报文的转发路径

    目的:

    作用结果
    对路由进行过滤要不要这条路由?
    修改路由属性将这条路由的某个属性值修改为一个特定值

    08路由策略目的
    在这里插入图片描述

    作用:

    • 控制路由的接收,发布和引入,提高网络安全性
    • 修改路由属性,对网络数据流量进行合理规划,提高网络性能

    实现机制:路由策略的核心内容是过滤器,通过使用过滤器,定义一组匹配规则

    过滤器应用范围
    访问控制列表ACL各动态路由协议
    地址前缀列表IP-prefix list各动态路由协议
    AS路径过滤器AS-Path-FilterBGP协议
    团体属性过滤器Community-FilterBGP协议
    扩展团体属性过滤器Extcommunity-FilterVPN/bgp
    RD属性过滤器Route Distinguisher-FilterVPN/bgp
    路由策略 Route-Policy各动态路由协议

    mpls vpn

    Route-Policy可以使用前面6种过滤器定义自己的匹配规则,不仅可以匹配路由属性,还可以改变路由属性

    09路由策略各工具之间的调用关系
    在这里插入图片描述

    类型备注
    条件工具把需要的路由"抓取"出来
    策略工具把"抓取"出来的路由执行某个动作,如:允许,拒绝,修改属性等
    调用工具将路由策略应用到某个具体的路由协议里,使其生效

    IP-Prefix List

    能同时精确匹配网络号和前缀长度

    • 性能及可控性比ACL更高(ACL无法匹配掩码/前缀长度)
    • 前缀列表不能用于数据包的过滤

    10前缀列表
    在这里插入图片描述

    小技巧–不接设备产生静态路由

    无下一跳的静态路由无法写入路由表,此时使用NULL 0 黑洞接口

    ip route-static 192.168.0.0 24 NULL 0
    黑洞接口 丢弃此数据包 可以被写进路由表

    11静态路由小技巧
    在这里插入图片描述

    acl 2000
    rule permit source 192.168.0.0 0.0.255.255
    ospf 1
    filter-policy 2000 export
    无法过滤 16 和 24 掩码的路由

    12acl调用无法过滤需求的子网掩码
    在这里插入图片描述

    ip ip-prefix flipped permit 192.168.0.0 16
    ospf 1
    filter-policy ip-prefix flipped export

    13前缀列表调用过滤子网掩码
    在这里插入图片描述

    14前缀匹配列表规则
    在这里插入图片描述

    地址前缀列表过滤路由的原则总结为:顺序匹配、唯一匹配、默认拒绝。

    15前缀列表编写规则
    在这里插入图片描述

    语法规则说明
    不配置greater-equal和less-equal前缀长度=16
    只配置greater-equal前缀长度=24~32
    只配置less-equal前缀长度=16~28
    同时配置greater-equal和less-equal前缀长度=24~28

    IP地址前16位要和规则相同, 同时匹配掩码长度

    匹配所有路由
    permit 0.0.0.0 0 less 32

    16前缀列表匹配案例
    在这里插入图片描述

    17前缀列表的特殊匹配
    在这里插入图片描述

    18匹配路由题
    在这里插入图片描述

    permit 192.168.4.0 24
    permit 192.168.5.0 24
    permit 192.168.6.0 24
    permit 192.168.7.0 24

    permit 192.168.4.0 22 greater-equal 24 less-equal 24

    能同时精确匹配网络号和前缀长度

    前言

    在企业网络的设备通信中,常面临一些非法流量访问的安全性及流量路径不优等问题,故为保证数据访问的安全性,提高链路带宽利用率,就需要对网络中的流量行为进行控制,如控制网络流量可达性,调整网络流量路径等

    而当面对更加复杂,精细的流量控制需求时,就需要灵活地使用一些工具来实现.介绍一些有关流量控制的常用工具及使用场景

    展开全文
  • 策略路由、前缀列表

    千次阅读 2019-08-01 17:20:22
    策略路由可以根据源地址、目的地址、源端口、目的端口、协议、TOS等流量特征来做决策提供路由,灵活性高。 路由表与策略路由的关系 策略路由是先于路由表执行的,策略路由没有捕获的流量依然会去执行路由表 两种配置...

    PBR策略路由
    通过流量策略来执行选路的一种转发手段,使不按路由表转发主要控制路由信息的引入发布、接收等
    传统的路由表转发只能通过数据的目标地址做决策提供路由
    策略路由可以根据源地址、目的地址、源端口、目的端口、协议、TOS等流量特征来做决策提供路由,灵活性高。

    路由表与策略路由的关系
    策略路由是先于路由表执行的,策略路由没有捕获的流量依然会去执行路由表

    两种配置:
    1、接口下配置
    只能捕获该接口的如接口流量做策略(不能处理本路由器产生的流量)

    access-list 100 permit ip host 1.1.1.1 any//用acl捕获流量
    route-map pbr permit 10 //定义route-map
    match ip address 100//调用被ACl捕获的流量
    set ip next-hop 10.1.1.1//设置下一跳
    exi
    int e0/1
    ip policy route-map pbr//接口下调用
    2、全局配置
    能够捕获所有接口入接口流量以及本路由器产生的流量(源地址是本路由器的地址)
    access 100 per ip hos 1.1.1.1 any//用acl捕获流量
    route-map pbr per 10//定义route-map
    match ip add 100 //调用acl捕获流量
    set ip net-hop 10.1.1.1设置下一跳
    ip local policy route-map pbr

    策略路由的冗余
    route-map pbr per 10
    match ip add 1
    set ip net-hop ver-availab 10.1.24.2 1 track 1 //设置track监控入口监控成功则执行该语句,如果不成功则转为执行下一条set语句。
    set ip next-hop10.1.34.3

    定义track
    track 1 ip sla 1//定义一个tack探针检测sla
    exi
    ip sla 1//定义一个LSA
    icmp-echo 10.1.12.1 sour-IP 10.1.1.1//设置其探针
    ip sla sched 1 start-time now life foever//设置sla1的执行时间

    default语句
    在route-map的set ip defult//在这个位置输入,定义为被捕获的流量先查路由表如果能精确匹配(如果抓的10.5.5.5,路由表中有10.5.5.5/24位的就不叫精确匹配如果有10.5.5.5/32则叫精确匹配)就执行路由表如果不能精确匹配就执行策略路由
    access-list 100 permit ip host 1.1.1.1 any//用acl捕获流量
    route-map pbr permit 10 //定义route-map
    match ip address 100//调用被ACl捕获的流量
    set ip next-hop 10.1.1.1//设置下一跳
    exi
    int e0/1
    ip policy route-map pbr//接口下调用

    策略路由再转发层面 不如路由表,原因是匹配的东西过多,底层芯片处理支持有限。使用原则能不用就不用。如果出现非目的地址的转发策略果断用。

    策略路由的其他功能——为流量打上TOS标记
    route-map pbr per 10
    match ip add 1
    set ip precrdence priority//设置队列优先级(优先接口)

    前缀列表
    专门用于抓取控制层面流量—只能为分发列表、route-map服务;
    acl抓流量可以但是抓路由不可以不够精确比如某局域网中含有10.0.0.0/8,10.0.0.0/16,10.0.0.0/24三段路由这时想使用路由策略进行选路干涉,如果使用acl对10.0.0.0/16进行干涉的话会包含使用反掩码的形式抓取10.0.0.0 0.0.255.255 会对10.0.0.0/24位的路由条目也有干涉违背我们的本意这时使用前缀列表进行干涉就好很多。
    R3(config)#ip prefix-list xx permit 10.0.0.0/16 ?
    ge Minimum prefix length to be matched //可以理解为小于
    le Maximum prefix length to be matched //可以理解为大于
    R3(config)#ip prefix-list xx permit 10.0.0.0/16 ge 16 le 24 //抓取掩码在16—24之间的路由
    如果直接是R3(config)#ip prefix-list xx permit 10.0.0.0/16 则为抓取10.0.0.0/16的路由
    和acl相同末尾隐含所有。R3(config)#ip prefix-list xx permit 0.0.0.0/0 le 32

    展开全文
  • 总结 能否匹配路由 路由匹配是否精确 能否做数据包过滤 目的 ip-prefix 能 精确 不能 诞生的目的就是精确...访问控制列表.
  • 华为HCNA之配置前缀列表实验

    千次阅读 2020-06-21 17:21:47
    前缀列表用于对路由的匹配和过滤,既能限制前缀的范围,又能限制掩码的范围。 前缀列表的格式:Ip prefix-list A permit a.a.a.a/length ge le Length、ge、le的格则如下: ① length与掩码无关,指的是前length位...
  • ACL最后会有隐含的三行列表 permit icmp any any nd-ns permit icmp any any nd-na deny ipv6 any any 与IPv4区别是允许na和ns的数据包,保证能做地址冲突检测 这三行ACL的存在主要是因为IPv6中用NDP协议(L3)取代...
  • ACL和前缀列表的比对

    千次阅读 2018-09-29 20:35:00
    前缀列表只能过滤路由)二、不同点:1. ACL在过滤时,除了网络前缀外,有一个通配符掩码,这个通配符掩码类似于一个反向的子网掩码,但不等于子网掩码,这通配符掩码中,为0的位表示要进行检查,即被过滤的内容要和...
  • 一年到头了,我明天就回家了,今天是BGP最后一篇《使用前缀列表过滤BGP路由》。相信这些日子这么多BGP的篇章能给大家带来帮助。春节过后再来关注IPV6或交换。提前祝大家新年快乐。给大家拜个早年。一会就要走了,不...
  • IP前缀列表参数详解

    千次阅读 2017-11-12 16:15:00
    前缀列表参数 前缀长度范围没有 路由的前缀长度必须等于prefix-lengthge和le ge-value<=路由的前缀长度〈=le-value只有le prefix-length<=路由的前缀长度〈=le-value只有 ...
  • 配置前缀列表

    2020-09-28 22:44:33
    前缀列表中的匹配条目由IP地址和掩码组成,IP地址可以是网段地址或主机地址,掩码长度的匹配范围为0~32,可以进行精确匹配或者在一定掩码长度范围内匹配,也可以通过配置关键字greater-equal 和 less-equal 指定待...
  • 路由前缀列表中prefix-list

    千次阅读 2015-07-04 12:46:34
    1.1.1.1/8 ge 16 le 32 表示的意思。...后头定义的是路由前缀的范围,意义是,只有前缀大于16 小于32 内才有效。如果有路由是1.1.1.0/8 那这样的情况是不符合定义的,为什么因为他的前缀是8,而不
  • 前缀列表

    2012-06-19 14:08:34
    前缀列表  不同于用于匹配流量的IP访问列表,IP前缀列表主要是用来指定具体的网络可达的。前缀列表用来匹配前缀(网段)和前缀长度(子网掩码)。在BGP路由选择协议中,可以对BGP路由选择更新进行过滤,要完成这个...
  • 1.配置各台路由器的IP地址。 2.配置EIGRP路由协议,关闭自动汇总。 3.在R3上查看路由表。 4.只允许通过路由器R2的接口f0/0将网络172.16.0.0的路由信息通告出去,网络10.0.0.0不能通告出去。 (1)在R2上创建访问控制...
  • 将与前缀列表相匹配的路由,根据定义的匹配模式进行过滤,前缀列表中的匹配条目由IP地址和掩码组成,IP地址可以是网络地址或者主机地址,掩码长度的配置范围是0~32,可以进行精确匹配或者在一定的掩码长度范围内...
  • 前缀列表---Prefix-List

    千次阅读 2019-01-07 12:15:08
    在谈起前缀列表之前,我们首先简单的分析一下常用的抓取路由的ACL(访问控制列表)的作用:1.抓数据2.抓路由。 举个简单的例子来看一看: 1.标准ACL: R1(config)#access-list 1 permit 1.1.1.0 0.0.0.0//在R1路由器上...
  • 前缀列表配置

    2021-11-18 20:23:05
    前缀列表即 IP-Prefix List,前缀列表匹配条目由IP地址和掩码组成,ip地址可以是网段主机或者主机地址。 掩码长度为0-32 。可以精确匹配。 主要用于匹配路由和控制 ,不能用于数据包的过滤。 二、实验拓扑 二、...
  • 前缀列表ip prefix-list

    千次阅读 2018-03-07 15:11:04
    前缀列表ip prefix-list 转载 2017年09月20日 09:34:19 ...
  • 理解IP前缀列表(转载)

    2011-08-17 16:36:11
    配置路由策略时会经常需要对路由进行匹配,我们可以使用ACL和前缀列表进行路由的匹配,但ACL不灵活,绝大时候我们使用前缀列表。下面为本人对前缀列表的理解(主要是定义前缀列表),希望可以供大家借鉴参考。 ...
  • 前缀列表简介

    2015-03-11 12:38:24
    一、前缀列表的特点:(1)、可以增量修改,我们知道对于普通访问控制列表,我们不能删除该列表中的某个条目,如果想删除列表中的某个条目只能将该访问列表全部删除,而前缀列表中,一个条目可以单独地删除或添加。...
  • - - PAGE # - 关于前缀列表 ip-prefix 的几个重要运用场合分析 关于 ip ip-prefix 此命令用于配置地址前缀列表地址前缀列表即可以作为过滤器被 各协议使用也可以和路由策略配合使用 本笔记主要编入了下面的一中的 4 ...
  • CISCO路由器配置前缀列表解疑(原创)在BGP路由选择协议中,可以对BGP路由选择更新进行过滤,要完成这个工作要用到前缀列表。一、前缀列表的特点:(1)、可以增量修改,我们知道对于普通访问控制列表,我们不能删除...
  • 不同于用于匹配流量的IP访问列表,IP前缀列表主要是用来指定具体的网络可达的。前缀列表用来匹配前缀(网段)和前缀长度(子网掩码)。前缀列表有两个参数很难理解。 一、前缀列表的特点:  (1)、可以增量修改,...
  • 前缀列表 匹配路由prefix-listip prefix-list {list-name | list-number} [seq number] {deny network/length | permit network/length} [ge ge-length] [le le-length]- prefix-list 本来就是为BGP 设计的...
  • OSPF 前缀列表过滤路由

    千次阅读 2012-09-05 18:03:56
    Cisco OSPF结合前缀列表进行路由过滤实验 一、实验拓扑: 二、配置实验1:前缀列表过滤路由: 1、基本的配置: R1: interface Loopback0 ip address 1.1.1.1 255.255.255.255 interface FastEthernet0/0 ...
  • 不同于用于匹配流量的 IP访问列表, IP前缀列表主要是用来指定具体的网络可达的。前缀列表用 来匹配前缀(网段)和前缀长度(子网掩码),他即可以控制网络号、又可以控制掩码。(而ACL 只能控制网络号、无法控制...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 98,301
精华内容 39,320
关键字:

地址前缀列表