侧边栏壁纸
博主头像
落叶人生博主等级

走进秋风,寻找秋天的落叶

  • 累计撰写 130562 篇文章
  • 累计创建 28 个标签
  • 累计收到 9 条评论
标签搜索

目 录CONTENT

文章目录
系统/网络安全

假装网络工程师14——路由选择工具ip-prefix

2023-03-30 星期四 / 0 评论 / 0 点赞 / 81 阅读 / 4440 字

一、背景介绍ip-prefix作为另一种路由选择工具常用在路由过滤的场景下,相较于技能过滤路由又能过滤数据包的acl,ip-prefix只能过滤路由条目,但他却比acl在过滤路由时颗粒度更细,acl匹

.

一、背景介绍

ip-prefix作为另一种路由选择工具常用在路由过滤的场景下,相较于技能过滤路由又能过滤数据包的acl,ip-prefix只能过滤路由条目,但他却比acl在过滤路由时颗粒度更细,acl匹配的路由并不精确,因为一个完整的路由信息,包括网络地址与掩码,而acl只能够匹配路由的网络地址,所以像1.1.1.0/24与1.1.1.0/25这两个网段就无法通过acl进行区分,此时就需要使用ip-prefix工具了

二、实验拓扑

本次实验拓扑如下图所示:

路由器之间跑ospf协议,此时R2上通过ospf学到的路由为 

<R2>dis ip routing-table protocol ospf Route Flags: R - relay, D - download to fib------------------------------------------------------------------------------Public routing table : OSPF         Destinations : 5        Routes : 5        OSPF routing table status : <Active>         Destinations : 5        Routes : 5Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface        1.1.1.0/24  OSPF    10   1           D   12.0.0.1        GigabitEthernet0/0/0        1.1.1.0/25  OSPF    10   1           D   23.0.0.3        GigabitEthernet0/0/1      1.1.1.128/25  OSPF    10   1           D   23.0.0.3        GigabitEthernet0/0/1        2.2.2.0/24  OSPF    10   1           D   12.0.0.1        GigabitEthernet0/0/0        2.2.2.0/25  OSPF    10   1           D   23.0.0.3        GigabitEthernet0/0/1OSPF routing table status : <Inactive>         Destinations : 0        Routes : 0

如果此时只想让R2学习到1.1.1.0/25跟1.1.1.128/25的网段地址,定义一个acl并引用 

[R2]acl 2000[R2-acl-basic-2000]rule 10 permit source 1.1.1.0 0.0.0.128[R2]ospf 1[R2-ospf-1]filter-policy 2000 import

再看R2的路由表发现1.1.1.0/24也在R2的路由表中,印证了开头的说明 

Route Flags: R - relay, D - download to fib------------------------------------------------------------------------------Public routing table : OSPF         Destinations : 3        Routes : 3        OSPF routing table status : <Active>         Destinations : 3        Routes : 3Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface        1.1.1.0/24  OSPF    10   1           D   12.0.0.1        GigabitEthernet0/0/0        1.1.1.0/25  OSPF    10   1           D   23.0.0.3        GigabitEthernet0/0/1      1.1.1.128/25  OSPF    10   1           D   23.0.0.3        GigabitEthernet0/0/1OSPF routing table status : <Inactive>         Destinations : 0        Routes : 0

而用ip-prefix进行过滤,就能精确的抓取到路由 

[R2]ip ip-prefix A permit index 10 1.1.1.0 24 greater-equal 25 less-equal 25[R2]ospf 1[R2-ospf-1]filter-policy ip-prefix A import

类似于acl一样,ip-prefix也需要被引用才能生效,且默认也包含deny所有未匹配到的路由,此时R2上的路由表为 

[R2]display ip routing-table protocol ospf Route Flags: R - relay, D - download to fib------------------------------------------------------------------------------Public routing table : OSPF         Destinations : 2        Routes : 2        OSPF routing table status : <Active>         Destinations : 2        Routes : 2Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface        1.1.1.0/25  OSPF    10   1           D   23.0.0.3        GigabitEthernet0/0/1      1.1.1.128/25  OSPF    10   1           D   23.0.0.3        GigabitEthernet0/0/1OSPF routing table status : <Inactive>         Destinations : 0        Routes : 0

三、总结

根据实验结果,可以对ip-prefix工具做出以下总结:

  1. ip-prefix只能过滤路由条目,且粒度更精确,与acl一样使用通配符定义网段,后面使用greater-equal与less-equal精确掩码位数
  2. 使用filter-policy调用时,只调用acl或ip-prefix其中一个
  3. 与acl一样ip-prefix默认隐含一条deny所有未匹配的路由命令
  4. ip-prefix多用于路由过滤场景,且语句中的permit和denyacl中一样表示为选取和未选取
.

赞一下 返回首页
本文链接: https://www.qiuyue.org/internet/system/55066.html
广告 广告

评论区