华为HCNA之配置前缀列表实验
导语:
前缀列表用于对路由的匹配和过滤,既能限制前缀的范围,又能限制掩码的范围。
前缀列表的格式:Ip prefix-list A permit a.a.a.a/length ge le
Length、ge、le的格则如下:
① length与掩码无关,指的是前length位固定;
② ge指的是掩码的最小长度;
③ le 指的是掩码的最大长度。
拓扑图:
步骤:
1.基本配置:
如拓扑图和配置图所示,完成各个物理设备和接口的配置,并测试联通性:
2.搭建RIP网络:
先配置R1、R2、R4,使R4能够访问PC-1,仅以R1为例,其他路由器同理:
[R1]rip
[R1-rip-1]version 2
[R1-rip-1]undo summary
[R1-rip-1]network 20.0.0.0
[R1-rip-1]network 30.0.0.0
[R1-rip-1]network 40.0.0.0
配置完成后,查看R4的路由表:
此时,测试R4与PC-1的连通性:
现在,将分部加入到网络中,在R3上配置RIPv2:
[R3]rip
[R3-rip-1]version 2
[R3-rip-1]undo summary
[R3-rip-1]network 11.0.0.0
[R3-rip-1]network 30.0.0.0
再次查看R4的路由表:
可以看到R4接收到原来的11.1.1.0/24的路由项,还有新分部的11.1.1.0/25的路由项,同样R1也会受到这样的路由项,这样会造成什么样的后果?
根据路由转发最长匹配原则可知,发往PC-1的路由会部分错误发到新分部的PC-2上,为了验证,我们测试PC-1和R4的连通性:
可以看到,两者无法通信。
测试数据包流向:
可以观察到,R4发送给PC-1的信息确实流向了R3.
3.配置ACL过滤路由:
在R1上创建ACL,拒绝11.1.1.0这个目的网段的路由:
[R1]acl 2000
[R1-acl-basic-2000]rule 5 deny source 11.1.1.0 0.0.0.0
[R1-acl-basic-2000]rule 10 permit source any
之后,在RIP下配置过滤策略:
[R1]rip
[R1-rip-1]filter-policy 2000 import
配置完成后,查看R1的路由表:
可以看到11.1.1.0/24和11.1.1.0/25均被删除;
4.配置前缀列表过滤路由:
在R1上配置前缀列表,精确匹配网络位和掩码长度:
[R1]ip ip-prefix 1 deny 11.1.1.0 25 greater-equal 25 less-equal 25
[R1]ip ip-prefix 1 permit 0.0.0.0 0 less-equal 32
其中第二条表示放行所有路由,因为前缀列表默认隐式拒绝所有。
之后将这个前缀列表应用到过滤策略中:
[R1-rip-1]filter-policy ip-prefix 1 import
配置完成后,查看R1的路由表:
可以看到,路由表中有到PC-1的条目,没有到PC-2的条目;
此时,测试R4和PC-1的连通性:
可以观察到,通信恢复正常。
5.恢复新分部网络:
重新规划新分部的IP地址即可,如将新分部使用11.2.2.0/24网段,PC-2更改为11.2.2.1/24,R3的G0/0/0的接口地址改为11.2.2.3/24即可;
至此,前缀列表的实验配置完成!
思考题:
问题:如果将前缀列表中已配置好的语句顺序打乱会对实验结果产生影响吗?
解答: 会的,前缀列表3个条目匹配范围有冲突,范围小的必须放上面也就是序列号要小,不然会被范围大的行为覆盖导致不生效。