本文共 1892 字,大约阅读时间需要 6 分钟。
地址前缀列表是一种专门用于匹配路由条目的高级版本,它不仅可以匹配路由条目的来源,还可以匹配路由条目的掩码。在配置时,地址前缀列表可以与其它工具如 ACL 结合使用,提供更灵活的路由过滤控制。
索引项配置
每个地址前缀列表可以包含多个索引项,每个索引项对应一条过滤规则。如果匹配到一个索引项:permit:允许路由通过。deny:拒绝路由通过。匹配顺序
地址前缀列表从索引号小到大依次匹配,确保匹配时的唯一性和可靠性。默认拒绝
如果路由未与任何索引项匹配,默认将视为被拒绝。因此,在创建一个或多个deny模式后,需要额外配置permit模式来允许其他路由通过。ip ip-prefix 命令用于配置地址前缀列表。其基本语法如下:
ip ip-prefix ip-prefix-name [ index index-number ] { permit | deny } ipv4-address mask-length [ greater-equal greater-equal-value ] [ less-equal less-equal-value ] ipv4-address:指定网络地址。mask-length:限定网络号的前多少位严格匹配。greater-equal:表示匹配的掩码长度范围不小于指定值。less-equal:表示匹配的掩码长度范围不大于指定值。greater-equal 和 less-equal 时,仅匹配掩码长度为 mask-length 的路由。greater-equal,匹配掩码长度范围为 [greater-equal-value, 32]。less-equal,匹配掩码长度范围为 [mask-length, less-equal-value]。greater-equal 和 less-equal,匹配掩码长度范围为 [greater-equal-value, less-equal-value]。通配地址 0.0.0.0 示例:
deny模式后,需创建一个permit模式来允许其他路由通过。例如: permit 0.0.0.0 0 less-equal 32
这样可以允许所有未与任何表项匹配的路由通过。
与路由策略结合
地址前缀列表可以与路由策略工具配合使用,灵活控制路由信息的发布和接收。全局路由过滤
配合filter-policy 命令,地址前缀列表可用于过滤全局发布或接收的路由信息。例如: filter-policy export (RIP/Ospf/Bgp)filter-policy import (RIP/Ospf/Bgp)BGP 对等体配置
配合peer ip-prefix 命令,用于为特定对等体配置基于地址前缀列表的过滤器。IS-IS 路由渗透
使用地址前缀列表控制 IS-IS 路由的渗透。例如:import-route isis level-1 into level-2 filter-policy ip-prefix ip-prefix-name [ tag ]import-route isis level-2 into level-1 filter-policy ip-prefix ip-prefix-name [ tag ]在实际网络中验证地址前缀列表的效果:
ip ip-prefix gok index 10 deny 1.1.1.1 32 greater-equal 32 less-equal 32
bgp 1peer 10.1.1.2 ip-prefix huawei import
此时,R2 向 R1 的两个 BGP 路由条目会被地址前缀列表过滤掉。R1 上不会显示这些路由条目,说明它们被成功拒绝。
通过实际实验验证可以看出,地址前缀列表的配置有效地控制了路由的发布和接收。
转载地址:http://rqzzk.baihongyu.com/