学习复习——路由策略与策略路由(0x05)配置地址前缀列表

本章仅介绍常用的地址前缀列表、AS路径过滤器、团体属性过滤器的配置。有关ACL(路由策略中仅可使用基本ACL)的配置方法参见配套图书《华为交换机学习指南》(第二

大家好,关于学习复习——路由策略与策略路由(0x05)配置地址前缀列表很多朋友都还不太明白,今天小编就来为大家分享关于的知识,希望对各位有所帮助!

本章仅介绍常用的地址前缀列表、AS 路径过滤器和团体属性过滤器的配置。 ACL的配置方法(路由策略中只能使用基本ACL)请参见配套书籍《华为交换机学习指南》(第二版)。

配置地址前缀列表

当需要根据目的地址控制路由的发布和接收时,可以配置地址前缀列表。地址前缀列表可以单独使用,即不需要在路由策略if-match语句中调用。

地址前缀列表过滤路由的原理可以概括为:顺序匹配、唯一匹配、默认拒绝。

l 顺序匹配:按照索引号从小到大的顺序进行匹配。如果同一地址前缀列表中的多个条目设置不同的索引号,则它们可能具有不同的过滤效果。实际配置时需要注意这一点。

l 待过滤的唯一匹配:路由只要与一个条目匹配,就不会尝试匹配其他条目。

l 默认拒绝: 不匹配任何条目的路由将默认无法通过地址前缀列表的过滤,相当于在列表末尾隐式“拒绝所有”条目。因此,在地址前缀列表中只创建一个或多个拒绝模式表项后,需要创建一个permit表项以允许所有其他路由通过,否则所有路由都会被拒绝。

1)地址前缀列表和ACL的区别

ACL和地址前缀列表都可以过滤路由。在匹配路由时,ACL只能匹配目的网络地址,而不能匹配掩码(地址前缀长度,ACL后面是通配符,而不是掩码)。二地址前缀配比更加灵活,可以匹配路由的网络地址和掩码(或地址前缀),也可以匹配掩码(或地址前缀)长度范围,增强了路由匹配的确定性。

如图15-3所示,SwitchB上有两条静态路由。如果只想在OSPF中引入一条路由192.168.0.0/16,应该如何配置?

如果使用ACL规则permit source 192.168.0.0 0.0.255.255作为引入OSPF进程的路由过滤器,会发现192.168.0.0网段上有两条路由,说明两条路由都已引入。这是因为ACL规则中的0.0.255.255实际上是通配符,而不是掩码长度。

所谓通配符,是指转换成二进制后,通配符中的“0”表示必须匹配网络地址的位,“1”表示不需要匹配网络地址的位。例如192.168.0.0 0.0.255.255表示匹配的网络地址为192.168.0.0~192.168.255.255,而192.168.0.0/16和192.168.0.0/24可以成功匹配ACL 2001(因为通配符0.0.255.255表示那个路由目的地址只需要匹配命令中网络地址的最高两个字节(192.168就够了),所以这两条路由匹配OSPF路由引入的路由策略,都无法匹配192.168.0.0的ACL。 /16或192.168.0.0/24。ACL只能匹配网络地址,不能匹配掩码。

您可以通过地址前缀列表轻松过滤引入的路由。例如,只需要引入192.168.0.0/16路由(不引入192.168.0.0/24路由)。此时只需配置:i pip-prefix Huawei index 10 permit 192.168.0.0 16 条目即可。由于地址前缀列表中明确指定路由目的网络掩码长度为16,因此只有16位掩码的192.168.0.0/16路由才会被允许通过,而192.168.0.0/24路由将被禁止通过。过滤掉了。

另外,地址前缀列表与ACL的区别还体现在,地址前缀列表只能根据报文的IP地址进行过滤(即只能过滤IP报文),而ACL可以还可以根据MAC地址进行过滤(即可以过滤二层报文)。数据帧),甚至用户消息的内容(即根据应用层内容进行过滤)。

1)配置地址前缀列表

配置IPv4 地址前缀列表的方法是使用ip ip-prefix ip-prefix-name [index index-number] {permit|deny} ipv4-address mask-length [match-network] [greater-equal Greater- equal -vaule] [小于等于小于等于值] 命令。

配置IPv6 地址前缀列表的方法是使用ip ipv6-prefix ipv6-prefix-name [index index-number] {permit|deny} ipv6-address mask-length [match-network] [greater-equal Greater- equal -vaule] [小于等于小于等于值] 命令。

下面对上述两个命令中的参数和选项进行说明。

ip-prefix-name, ipv6-prefix-name: 为地址前缀列表名称,唯一标识一个IPv4或IPv6地址前缀列表。长度范围为1-169个字符,区分大小写,不支持空格。

index-number: 可选参数,标识地址前缀列表中符合条件的索引号。取值范围为1-4294967295之间的整数。默认情况下,序列号值按照配置顺序依次递增,每次加10。第一个序号为10,数值越小,优先匹配。同名地址前缀列表最多支持65535个索引号。

permit:二选选项指定参数index-number标识的匹配条件的匹配模式为允许模式。该模式下,如果过滤后的IP地址在定义的范围内,则过滤通过,并进行相应的设置;否则,必须测试下一个节点。

deny: 二选选项,指定参数index-number 标识的匹配条件的匹配方式为deny 方式。该模式下,如果过滤后的IP地址在定义的范围内,则该IP地址无法通过过滤,无法进入下一个节点的测试;否则,必须进行下一个节点的测试。

学习复习——路由策略与策略路由(0x05)配置地址前缀列表

ipv4-address mask-length: 指定用于路由匹配的网络IP 地址和掩码长度。 mask-length的取值范围是0-32。如果该参数指定为0.0.0.0 0,则表示所有路由。

ipv6-address prefix-length: 知道您为路由匹配提供的IPv6 地址和前缀长度。如果指定:则表示匹配全零地址。前缀长度为整数形式,取值范围为0-128。如果使用:0小于128,则表示匹配所有IPv6地址。

match-network: 可选,指定匹配的网络地址,只有当ipv4-address参数值为0.0.0.0时才能配置。用于匹配指定网络地址的路由。例如:ip ip-prefix prefix1 Permit 0.0.0.0 8 可以匹配所有掩码长度为8的路由; ip ip-prefix prefix1 Permit 0.0.0.0 8 match-network可以匹配0.0.0.1-0.255.255.255范围内的目的IP地址。内的所有路线。

【注】一般情况下,IP地址的网络ID不能为0,但华为产品可以支持网络ID为0但主机ID不为0的IP地址。这种IP地址需要特殊的系统支持,因此该选项实际中很少使用。

Greater-equal Greater-equal-value: 可选参数,指定能够匹配范围下限(即最小长度)的掩码(或前缀)长度。

l IPv4地址前缀列表中的值限制为mask-lengthgreater-equal-valueless-equal-value32。如果不配置下面介绍的less-equal less-equal-value可选参数,则路由掩码长度范围可以在greater-equal-value到32之间,相当于less-equal-value等于32。 -equal Greater-equal-value 和less-equal less-equal-value 可选参数不能同时配置,只会匹配mask-length 参数指定掩码长度的路由。

l IPv6地址前缀列表中的值限制为prefix-lengthgreater-equal-valueless-equal-value128。如果不配置下面介绍的less-equal less-equal-value可选参数,则路由掩码长度范围可以在greater-equal-value到128之间,相当于less-equal-value等于128。 -equal Greater-equal-value 和less-equal less-equal-value 可选参数不能同时配置,只会匹配prefix-length 参数指定掩码长度的路由。

less-equal less-equal-value: 可选参数,指定掩码(或前缀)长度匹配范围的上限(即最大长度)

l IPv4地址前缀列表中的值限制为mask-lengthgreater-equal-valueless-equal-value32。如果不配置great-equal Great-equal-value可选参数,则路由掩码长度范围可以在mask-length和less-equal-value之间,相当于great-equal-value等于mask-length。如果没有同时配置greater-equal Greater-equal-value和less-equal less-equal-value,则s使用mask-length作为掩码长度路由。

l IPv6地址前缀列表中的值限制为prefix-lengthgreater-equal-valueless-equal-value128。如果不配置greater-equal Greater-equal-value可选参数,则路由掩码长度范围可以在prefix-length和less-equal-value之间,相当于greater-equal-value等于prefix-length。如果不同时配置greater-equal Greater-equal-value和less-equal less-equal-value可选参数,则使用prefix-length参数指定掩码长度的路由。

【经验谈】配置IPv4或IPv6地址前缀时,需要注意以下几个方面。

l 如果ipv4-address mask-length指定为0.0.0.0 0,则只匹配默认路由;如果指定ipv6-address prefix-length为:0,则只匹配IPv6默认路由。

l 如果指定的IPv4地址前缀范围为0.0.0.0 0 less-equal 32,则匹配所有路由;如果指定的IPv6地址前缀范围为:0小于等于128,则匹配所有IPv6路由。

l 如果只配置了greater-equal和less-equal,则进行精确匹配,即只匹配掩码长度为mask-length(IPv4地址前缀列表)或prefix-length(IPv6地址前缀列表)的路由匹配。

l 如果只配置了greater-equal,则匹配的掩码长度范围为[greater-equal-value, 32](IPv4地址前缀列表)或[greater-equal-value, 128](IPv6地址前缀列表)。

l 如果只配置less-equal,则匹配的掩码长度范围为[mask-length, less-equal-value]。

l 如果同时配置了greater-equal和less-equal,则匹配的掩码长度范围为[greater-equal-value, less-equal-value]。

l 由于地址前缀列表采用默认拒绝匹配原则,如果地址前缀列表中的所有条件都为拒绝模式,则任何路由都无法通过过滤列表。在这种情况下,建议在多个拒绝模式条件之后定义并提交允许0.0.0.0 0 less-equal 32(IPv4 地址前缀列表)或允许:128(IPv6 地址前缀列表)条件,以允许所有其他IPv4 或IPv6 路由。信息传递。

缺省情况下,系统中没有IPv4或IPv6地址前缀列表。可以使用undo ip ip-prefix ip-prefix-name [index index-number]或undo ip ipv6-prefix ipv6-prefix-name [index index-number]命令。删除指定的IPv4或IPv6地址前缀列表。

用户下发地址前缀列表后,设备会对下发的参数进行有效检查和处理,生成最终用于路由匹配的IP地址。

l IPv4地址前缀列表中,最终生成表项的IP地址(ipv4-address)参数部分是用户指定的ipv4-address与mask-length逻辑与的结果。例如:如果指定ipv4-address mask-length为1.1.1.1 24,则实际生成的配置为1.1.1.0 24,1.1.1.0为1.1.1.10xFFFFFF00后的结果。

l IPv6地址前缀列表中,最终生成表项的IP地址(IPv6-address)参数部分是用户指定的ipv6-address与prefix-length逻辑与的结果。例如,如果指定:且IPv6-ADDRESS、Prefix-Length 为1:1 64,则实际配置结果为1: 64,1: 至1:10XFFF3333333333366 0 FFFF:

用户评论

学习复习——路由策略与策略路由(0x05)配置地址前缀列表
巴黎盛开的樱花

这篇博客讲解路由策略和策略路由真的太棒了!我以前对这块一直不是很理解,感觉有点抽象。看了你的解析,终于明白了那些复杂的配置方式,地址前缀列表的用法也很直观。我现在可以更自信地去配置这些东西了!

    有13位网友表示赞同!

学习复习——路由策略与策略路由(0x05)配置地址前缀列表
恰十年

学习了一波路线策略和策略路由,真是太有收获大了!虽然一开始看概念的时候有点迷茫,但是你写的很清晰易懂,配合图示理解起来简直不要太顺畅!地址前缀列表这块也是重点梳理好。强烈推荐给正在学习网络安全领域的同学!

    有17位网友表示赞同!

学习复习——路由策略与策略路由(0x05)配置地址前缀列表
坏小子不坏

博文内容不错,我一直在学习网络路由配置,之前也接触过策略路由和地址前缀列表的概念,但是你写的代码示例和讲解还是比较深入的。希望能看到更多类似的博客,深入解析不同的路由策略。

    有13位网友表示赞同!

学习复习——路由策略与策略路由(0x05)配置地址前缀列表
孤败

感觉这篇博客有点深度,对于初学者来说可能看不太懂或者说需要一些基础知识储备才能真正理解里面的内容。我觉得可以多添加一些通俗易懂的例子和步骤,会让学习更加简单方便。

    有13位网友表示赞同!

学习复习——路由策略与策略路由(0x05)配置地址前缀列表
轨迹!

地址前缀列表这个配置选项我以前接触很少,原来它这么重要!这篇文章给我很好的启发,特别是关于策略路由的一些解释,让我们能够更清晰地了解不同场景下如何应用不同的路由策略。谢谢博主分享!

    有11位网友表示赞同!

学习复习——路由策略与策略路由(0x05)配置地址前缀列表
孤城暮雨

学习路线策略和策略路由确实很有挑战性,但是博主写的博客很棒!我受益匪浅!希望以后可以看到更多像这样的深入讲解,让我们能更加熟练运用这些高级网络配置知识.

    有10位网友表示赞同!

学习复习——路由策略与策略路由(0x05)配置地址前缀列表
龙吟凤

最近在研究网络安全领域,偶然发现这篇关于地址前缀列表的文章,顿时感觉收获满满! 作者的分析很到位,讲解也很清晰,为我进一步理解路由策略提供了很多帮助。感谢分享!

    有11位网友表示赞同!

学习复习——路由策略与策略路由(0x05)配置地址前缀列表
寒山远黛

说实话,这篇文章看了一半才有点开始明白是怎么回事?路由策略和地址前缀列表确实比较专业,我觉得还需要一些实践操作才能更好地理解这些概念。希望作者可以提供一些简单的实验案例,方便我们循序渐进地学习。

    有11位网友表示赞同!

学习复习——路由策略与策略路由(0x05)配置地址前缀列表
暮染轻纱

对路由策略和地址前缀列表配置一直没搞懂,看了你的博客感觉豁然开朗啊!你说的很明白,而且图示也很清晰,现在我对这块知识掌握得更深了,能更好地应用到实践中去了!

    有13位网友表示赞同!

学习复习——路由策略与策略路由(0x05)配置地址前缀列表
景忧丶枫涩帘淞幕雨

这篇博文太实用了!最近在做项目遇到路由配置问题,通过阅读你的文章解决了难题!尤其是地址前缀列表的讲解,给了我很大的帮助。感谢作者分享!

    有16位网友表示赞同!

学习复习——路由策略与策略路由(0x05)配置地址前缀列表
旧事酒浓

内容不错,确实很详细地介绍了策略路由和地址前缀列表,对于想要深入学习网络工程的人来说很有价值。但有些地方可能太专业了,建议加入一些通俗易懂解释,让初学者更容易理解。

    有11位网友表示赞同!

学习复习——路由策略与策略路由(0x05)配置地址前缀列表
半世晨晓。

我一直在学习网络安全相关知识,这篇博客正好是我的需求!路线策略和地址前缀列表确实是个重要的概念,谢谢你用浅而易懂的语言来讲解,让我能够快速了解这方面的内容,太棒了!感谢你的分享!

    有19位网友表示赞同!

学习复习——路由策略与策略路由(0x05)配置地址前缀列表
半梦半醒半疯癫

感觉博主的经验还是比较丰富的,对不同情况下使用哪种路由策略的分析也很到位。不过我个人感觉文章篇幅有点长,有些细节可以做一些概括或简化,可能会更容易被读者吸收。

    有8位网友表示赞同!

学习复习——路由策略与策略路由(0x05)配置地址前缀列表
挽手余生ら

地址前缀列表配置真心不容易!幸好这篇博客写的详细透彻,把各个方面都讲解得很清楚,我终于可以顺利的完成配置任务了。感谢博主的分享!

    有10位网友表示赞同!

学习复习——路由策略与策略路由(0x05)配置地址前缀列表
万象皆为过客

路由策略和策略路由确实是一块复杂的技术领域,需要不断的实践才能真正掌握。这篇博文给我提供了很好的参考,帮助我更清晰地理解相关的概念,未来会继续学习和探索。谢谢分享!

    有20位网友表示赞同!

学习复习——路由策略与策略路由(0x05)配置地址前缀列表
有一种中毒叫上瘾成咆哮i

我对网络安全技术非常感兴趣,一直想学习深层次的配置知识。这篇博客的内容很有启发,特别是关于地址前缀列表的使用方式,让我对策略路由有了更加深入的了解。希望作者能再写一些类似的文章,分享更丰富的网络安全经验!

    有5位网友表示赞同!

学习复习——路由策略与策略路由(0x05)配置地址前缀列表
昂贵的背影

内容有点专业,需要有一定的网络基础才能理解。建议添加更多的示例和案例分析,更容易吸引读者阅读和学习。同时也希望能看到更多关于实践应用的讲解,帮助我们更好地将这些理论知识转化为实际操作能力。

    有10位网友表示赞同!

学习复习——路由策略与策略路由(0x05)配置地址前缀列表
毒舌妖后

总得来说还是不错的文章,清晰地介绍了路由策略和地址前缀列表的相关概念,尤其是在讲解代码实例部分做的很好。但对于一些更细节的技术参数或配置方法,可以进一步展开阐述,以便读者更全面地理解。期待作者能继续更新更多有价值的网络安全知识!

    有18位网友表示赞同!

原创文章,作者:小su,如若转载,请注明出处:https://www.sudun.com/ask/98916.html

(0)
小su's avatar小su
上一篇 2024年8月29日 下午9:45
下一篇 2024年8月29日 下午9:48

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注