大家好,今天小编来为大家解答以下的问题,关于学习复习——路由策略与策略路由(0x05)配置地址前缀列表,这个很多人还不知道,现在让我们一起来看看吧!
本章仅介绍常用的地址前缀列表、AS 路径过滤器和团体属性过滤器的配置。 ACL的配置方法(路由策略中只能使用基本ACL)请参见配套书籍《华为交换机学习指南》(第二版)。
配置地址前缀列表
当需要根据目的地址控制路由的发布和接收时,可以配置地址前缀列表。地址前缀列表可以单独使用,即不需要在路由策略if-match语句中调用。
地址前缀列表过滤路由的原理可以概括为:顺序匹配、唯一匹配、默认拒绝。
l 顺序匹配:按照索引号从小到大的顺序进行匹配。如果同一地址前缀列表中的多个条目设置不同的索引号,则它们可能具有不同的过滤效果。实际配置时需要注意这一点。
l 待过滤的唯一匹配:路由只要与一个条目匹配,就不会尝试匹配其他条目。
l 默认拒绝: 不匹配任何条目的路由将默认无法通过地址前缀列表的过滤,相当于在列表末尾隐式“拒绝所有”条目。因此,在地址前缀列表中只创建一个或多个拒绝模式表项后,需要创建一个permit表项以允许所有其他路由通过,否则所有路由都会被拒绝。
1)地址前缀列表和ACL的区别
ACL和地址前缀列表都可以过滤路由。在匹配路由时,ACL只能匹配目的网络地址,而不能匹配掩码(地址前缀长度,ACL后面是通配符,而不是掩码)。二地址前缀配比更加灵活,可以匹配路由的网络地址和掩码(或地址前缀),也可以匹配掩码(或地址前缀)长度范围,增强了路由匹配的确定性。
如图15-3所示,SwitchB上有两条静态路由。如果只想在OSPF中引入一条路由192.168.0.0/16,应该如何配置?
如果使用ACL规则permit source 192.168.0.0 0.0.255.255作为引入OSPF进程的路由过滤器,会发现192.168.0.0网段上有两条路由,说明两条路由都已引入。这是因为ACL规则中的0.0.255.255实际上是通配符,而不是掩码长度。
所谓通配符,是指转换成二进制后,通配符中的“0”表示必须匹配网络地址的位,“1”表示不需要匹配网络地址的位。例如192.168.0.0 0.0.255.255表示匹配的网络地址为192.168.0.0~192.168.255.255,而192.168.0.0/16和192.168.0.0/24可以成功匹配ACL 2001(因为通配符0.0.255.255表示那个路由目的地址只需要匹配命令中网络地址的最高两个字节(192.168就够了),所以这两条路由匹配OSPF路由引入的路由策略,都无法匹配192.168.0.0的ACL。 /16或192.168.0.0/24。ACL只能匹配网络地址,不能匹配掩码。
您可以通过地址前缀列表轻松过滤引入的路由。例如,只需要引入192.168.0.0/16路由(不引入192.168.0.0/24路由)。此时只需配置:i pip-prefix Huawei index 10 permit 192.168.0.0 16 条目即可。由于地址前缀列表中明确指定路由目的网络掩码长度为16,因此只有16位掩码的192.168.0.0/16路由才会被允许通过,而192.168.0.0/24路由将被禁止通过。过滤掉了。
另外,地址前缀列表与ACL的区别还体现在,地址前缀列表只能根据报文的IP地址进行过滤(即只能过滤IP报文),而ACL可以还可以根据MAC地址进行过滤(即可以过滤二层报文)。数据帧),甚至用户消息的内容(即根据应用层内容进行过滤)。
1)配置地址前缀列表
配置IPv4 地址前缀列表的方法是使用ip ip-prefix ip-prefix-name [index index-number] {permit|deny} ipv4-address mask-length [match-network] [greater-equal Greater- equal -vaule] [小于等于小于等于值] 命令。
配置IPv6 地址前缀列表的方法是使用ip ipv6-prefix ipv6-prefix-name [index index-number] {permit|deny} ipv6-address mask-length [match-network] [greater-equal Greater- equal -vaule] [小于等于小于等于值] 命令。
下面对上述两个命令中的参数和选项进行说明。
ip-prefix-name, ipv6-prefix-name: 为地址前缀列表名称,唯一标识一个IPv4或IPv6地址前缀列表。长度范围为1-169个字符,区分大小写,不支持空格。
index-number: 可选参数,标识地址前缀列表中符合条件的索引号。取值范围为1-4294967295之间的整数。默认情况下,序列号值按照配置顺序依次递增,每次加10。第一个序号为10,数值越小,优先匹配。同名地址前缀列表最多支持65535个索引号。
permit:二选选项指定参数index-number标识的匹配条件的匹配模式为允许模式。该模式下,如果过滤后的IP地址在定义的范围内,则过滤通过,并进行相应的设置;否则,必须测试下一个节点。
deny: 二选选项,指定参数index-number 标识的匹配条件的匹配方式为deny 方式。该模式下,如果过滤后的IP地址在定义的范围内,则该IP地址无法通过过滤,无法进入下一个节点的测试;否则,必须进行下一个节点的测试。
ipv4-address mask-length: 指定用于路由匹配的网络IP 地址和掩码长度。 mask-length的取值范围是0-32。如果该参数指定为0.0.0.0 0,则代表所有路由。
ipv6-address prefix-length: 知道您为路由匹配提供的IPv6 地址和前缀长度。如果指定:则表示匹配全零地址。前缀长度为整数形式,取值范围为0-128。如果使用:0小于128,则表示匹配所有IPv6地址。
match-network: 可选,指定匹配的网络地址,只有当ipv4-address参数值为0.0.0.0时才能配置。用于匹配指定网络地址的路由。例如:ip ip-prefix prefix1 Permit 0.0.0.0 8 可以匹配所有掩码长度为8的路由; ip ip-prefix prefix1 Permit 0.0.0.0 8 match-network可以匹配0.0.0.1-0.255.255.255范围内的目的IP地址。内的所有路线。
【注】一般情况下,IP地址的网络ID不能为0,但华为产品可以支持网络ID为0但主机ID不为0的IP地址。这种IP地址需要特殊的系统支持,因此该选项实际中很少使用。
Greater-equal Greater-equal-value: 可选参数,指定能够匹配范围下限(即最小长度)的掩码(或前缀)长度。
l IPv4地址前缀列表中的值限制为mask-lengthgreater-equal-valueless-equal-value32。如果不配置下面介绍的less-equal less-equal-value可选参数,则路由掩码长度范围可以在greater-equal-value到32之间,相当于less-equal-value等于32。 -equal Greater-equal-value 和less-equal less-equal-value 可选参数不能同时配置,只会匹配mask-length 参数指定掩码长度的路由。
l IPv6地址前缀列表中的值限制为prefix-lengthgreater-equal-valueless-equal-value128。如果不配置下面介绍的less-equal less-equal-value可选参数,则路由掩码长度范围可以在greater-equal-value到128之间,相当于less-equal-value等于128。 -equal Greater-equal-value 和less-equal less-equal-value 可选参数不能同时配置,只会匹配prefix-length 参数指定掩码长度的路由。
less-equal less-equal-value: 可选参数,指定掩码(或前缀)长度匹配范围的上限(即最大长度)
l IPv4地址前缀列表中的值限制为mask-lengthgreater-equal-valueless-equal-value32。如果不配置great-equal Great-equal-value可选参数,则路由掩码长度范围可以在mask-length和less-equal-value之间,相当于great-equal-value等于mask-length。如果没有同时配置greater-equal Greater-equal-value和less-equal less-equal-value,则s使用mask-length作为掩码长度路由。
l IPv6地址前缀列表中的值限制为prefix-lengthgreater-equal-valueless-equal-value128。如果不配置greater-equal Greater-equal-value可选参数,则路由掩码长度范围可以在prefix-length和less-equal-value之间,相当于greater-equal-value等于prefix-length。如果不同时配置greater-equal Greater-equal-value和less-equal less-equal-value可选参数,则使用prefix-length参数指定掩码长度的路由。
【经验谈】配置IPv4或IPv6地址前缀时,需要注意以下几个方面。
l 如果ipv4-address mask-length指定为0.0.0.0 0,则只匹配默认路由;如果指定ipv6-address prefix-length为:0,则只匹配IPv6默认路由。
l 如果指定的IPv4地址前缀范围为0.0.0.0 0 less-equal 32,则匹配所有路由;如果指定的IPv6地址前缀范围为:0小于等于128,则匹配所有IPv6路由。
l 如果只配置了greater-equal和less-equal,则进行精确匹配,即只匹配掩码长度为mask-length(IPv4地址前缀列表)或prefix-length(IPv6地址前缀列表)的路由匹配。
l 如果只配置了greater-equal,则匹配的掩码长度范围为[greater-equal-value, 32](IPv4地址前缀列表)或[greater-equal-value, 128](IPv6地址前缀列表)。
l 如果只配置less-equal,则匹配的掩码长度范围为[mask-length, less-equal-value]。
l 如果同时配置了greater-equal和less-equal,则匹配的掩码长度范围为[greater-equal-value, less-equal-value]。
l 由于地址前缀列表采用默认拒绝匹配原则,如果地址前缀列表中的所有条件都为拒绝模式,则任何路由都无法通过过滤列表。在这种情况下,建议在多个拒绝模式条件之后定义并提交允许0.0.0.0 0 less-equal 32(IPv4 地址前缀列表)或允许:128(IPv6 地址前缀列表)条件,以允许所有其他IPv4 或IPv6 路由。信息传递。
缺省情况下,系统中没有IPv4或IPv6地址前缀列表。可以使用undo ip ip-prefix ip-prefix-name [index index-number]或undo ip ipv6-prefix ipv6-prefix-name [index index-number]命令。删除指定的IPv4或IPv6地址前缀列表。
用户下发地址前缀列表后,设备会对下发的参数进行有效检查和处理,生成最终用于路由匹配的IP地址。
l IPv4地址前缀列表中,最终生成表项的IP地址(ipv4-address)参数部分是用户指定的ipv4-address与mask-length逻辑与的结果。例如:如果指定ipv4-address mask-length为1.1.1.1 24,则实际生成的配置为1.1.1.0 24,1.1.1.0为1.1.1.10xFFFFFF00后的结果。
l IPv6地址前缀列表中,最终生成表项的IP地址(IPv6-address)参数部分是用户指定的ipv6-address与prefix-length逻辑与的结果。例如,如果指定:且IPv6-ADDRESS、Prefix-Length 为1:1 64,则实际配置结果为1: 64,1: 至1:10XFFF3333333333366 0 FFFF:
原创文章,作者:小su,如若转载,请注明出处:https://www.sudun.com/ask/200628.html
用户评论
你身上有刺,别扎我
终于把这篇文章看完啦!一直对路由策略挺感兴趣,尤其是策略路由那块理解起来比较深奥,这篇总结下来还蛮清晰易懂的。配上图文讲解,对我这种菜鸟来说简直太棒了!打算找个机会自己实践一下,看看能不能用这知识实现一个更复杂的网络拓扑结构。
有5位网友表示赞同!
花菲
标题写的有点笼统啊,感觉内容应该比篇幅短一点吧。不过配置地址前缀列表确实挺重要的,以前没好好琢磨过,这次看了这篇博文,对这个概念有了初步的了解,需要后续再钻研一下。
有17位网友表示赞同!
秘密
这篇文章对我来说非常有用!我最近在学习路由策略和策略路由,一直卡在如何配置地址前缀列表这个地方,看到这篇总结后豁然开朗。感谢作者的分享,你让我解决了一个大难题!
有8位网友表示赞同!
入骨相思
这篇文章有点枯燥乏味,图还是少了一点,而且内容没有特别深入的表现,感觉作者对路由策略和策略路由的理解还不够透彻,建议增加一些实际案例分析,才能更好地帮助读者理解这些概念。
有18位网友表示赞同!
糖果控
一直很感兴趣学习路由策略和地址前缀列表,这款教程太棒了! 图示清晰易懂,讲解也很详细,我已经开始着手实践了。我希望能掌握更多关于路由的知识,感谢作者分享!
有12位网友表示赞同!
代价是折磨╳
配置地址前缀列表这一块的确很重要,但我觉得这篇文章没有特别突出的部分。 希望能看到更多的策略案例分析和实战应用场景,这样才能更直观地了解到这些概念的价值。
有15位网友表示赞同!
话扎心
终于找到一篇关于路由策略的总结!学习了很多。我之前对什么是地址前缀列表感觉很迷茫,这篇博文解释得比较清楚,我已经对它有了初步的理解。我现在更想深入研究一下策略路由的概念和应用场景了。
有20位网友表示赞同!
呆檬
文章写得很详细,内容很全面,把路由策略和策略路由都介绍得很清晰,尤其是关于地址前缀列表的讲解非常实用。我觉得这篇文章很有帮助,推荐给所有想学习路由策略的人。
有13位网友表示赞同!
鹿先森,教魔方
我一直在想怎么配置地址前缀列表,看了这篇博文真是受益匪浅!作者的讲解很精炼,图表也很直观,终于彻底理解了这项技术的使用方法,谢谢分享!
有18位网友表示赞同!
孤者何惧
内容比较简单,针对初学者来说还好一些,但对于已经对路由策略有一定的了解的人来说,可能觉得不够深入。希望能看到更多高级的案例分析和应用场景。
有18位网友表示赞同!
|赤;焰﹏゛
感谢作者的分享!这篇博文让我对路由策略和策略路由有了更清晰的认识,尤其是地址前缀列表的配置方法,非常实用。我已经开始尝试在实际环境中使用这些知识了,希望我能成功搭建一个更加高效的网络拓扑结构。
有15位网友表示赞同!
夜晟洛
学习曲线太陡峭了! 这篇文章虽然很详细,但对我来说还是有点难啃,感觉需要更多的实践才能真正理解路由策略和地址前缀列表的原理。 可能我学起来比较慢,还需要多加练习才能掌握这些知识。
有9位网友表示赞同!
龙吟凤
图示清晰易懂,讲解也很到位,对学习路线非常有指导意义!我已经开始着手按照文章步骤尝试配置了,希望能顺利实现目标网络拓扑结构。
有10位网友表示赞同!
封锁感觉
文章重点在于“地址前缀列表”,但我感觉这只是路由策略的一小部分。建议作者能够进一步探讨其他方面的路由策略,比如基于协议的路由、策略的应用场景等。
有15位网友表示赞同!
如梦初醒
我之前对路由策略和策略路由的概念一直不太清楚,看了这篇博文后豁然开朗!尤其是关于地址前缀列表的配置方法,让我受益匪浅。作者的分享非常有价值,强烈推荐给大家!
有18位网友表示赞同!
命硬
学习路线清晰易懂,讲解到位,我终于明白了什么叫做地址前缀列表和策略路由。感谢作者分享这篇宝贵文章,我已经开始着手实践了,期待能够顺利完成目标网络拓扑结构搭建。
有18位网友表示赞同!
柠夏初开
文章比较理论性强,缺乏一些实际案例的分析,对于想要深入学习路由策略的人来说,可能觉得不够实用。建议作者可以增加一些实战应用场景,让读者更容易理解这些概念。
有8位网友表示赞同!
顶个蘑菇闯天下i
我一直对网络安全的知识体系很感兴趣,这篇博文让我受益很多,尤其是在了解路由策略和地址前缀列表方面,给我的学习带来了很大的启发。我已经开始尝试将这些知识应用到实际项目中,相信能够帮助我更好地保护网络安全。感谢作者的分享!
有14位网友表示赞同!