伪装网络工程师14——路由选择工具ip-prefix

时间  2020-06-14
标签 伪装 网络 工程师 路由 选择 工具 prefix 栏目 系统网络 繁體版
原文   原文链接

1、背景介绍

ip-prefix做为另外一种路由选择工具经常使用在路由过滤的场景下,相较于技能过滤路由又能过滤数据包的acl,ip-prefix只能过滤路由条目,但他却比acl在过滤路由时颗粒度更细,acl匹配的路由并不精确,由于一个完整的路由信息,包括网络地址与掩码,而acl只可以匹配路由的网络地址,因此像1.1.1.0/24与1.1.1.0/25这两个网段就没法经过acl进行区分,此时就须要使用ip-prefix工具了 网络

2、实验拓扑

本次实验拓扑以下图所示:
伪装网络工程师14——路由选择工具ip-prefix
路由器之间跑ospf协议,此时R2上经过ospf学到的路由为 less

<R2>dis ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Public routing table : OSPF
         Destinations : 5        Routes : 5        

OSPF routing table status : <Active>
         Destinations : 5        Routes : 5

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

        1.1.1.0/24  OSPF    10   1           D   12.0.0.1        GigabitEthernet
0/0/0
        1.1.1.0/25  OSPF    10   1           D   23.0.0.3        GigabitEthernet
0/0/1
      1.1.1.128/25  OSPF    10   1           D   23.0.0.3        GigabitEthernet
0/0/1
        2.2.2.0/24  OSPF    10   1           D   12.0.0.1        GigabitEthernet
0/0/0
        2.2.2.0/25  OSPF    10   1           D   23.0.0.3        GigabitEthernet
0/0/1

OSPF routing table status : <Inactive>
         Destinations : 0        Routes : 0

若是此时只想让R2学习到1.1.1.0/25跟1.1.1.128/25的网段地址,定义一个acl并引用 ide

[R2]acl 2000
[R2-acl-basic-2000]rule 10 permit source 1.1.1.0 0.0.0.128

[R2]ospf 1
[R2-ospf-1]filter-policy 2000 import

再看R2的路由表发现1.1.1.0/24也在R2的路由表中,印证了开头的说明 工具

Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Public routing table : OSPF
         Destinations : 3        Routes : 3        

OSPF routing table status : <Active>
         Destinations : 3        Routes : 3

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

        1.1.1.0/24  OSPF    10   1           D   12.0.0.1        GigabitEthernet
0/0/0
        1.1.1.0/25  OSPF    10   1           D   23.0.0.3        GigabitEthernet
0/0/1
      1.1.1.128/25  OSPF    10   1           D   23.0.0.3        GigabitEthernet
0/0/1

OSPF routing table status : <Inactive>
         Destinations : 0        Routes : 0

而用ip-prefix进行过滤,就能精确的抓取到路由 学习

[R2]ip ip-prefix A permit index 10 1.1.1.0 24 greater-equal 25 less-equal 25
[R2]ospf 1
[R2-ospf-1]filter-policy ip-prefix A import

相似于acl同样,ip-prefix也须要被引用才能生效,且默认也包含deny全部未匹配到的路由,此时R2上的路由表为 3d

[R2]display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Public routing table : OSPF
         Destinations : 2        Routes : 2        

OSPF routing table status : <Active>
         Destinations : 2        Routes : 2

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

        1.1.1.0/25  OSPF    10   1           D   23.0.0.3        GigabitEthernet
0/0/1
      1.1.1.128/25  OSPF    10   1           D   23.0.0.3        GigabitEthernet
0/0/1

OSPF routing table status : <Inactive>
         Destinations : 0        Routes : 0

3、总结

根据实验结果,能够对ip-prefix工具作出如下总结: code

  1. ip-prefix只能过滤路由条目,且粒度更精确,与acl同样使用通配符定义网段,后面使用greater-equal与less-equal精确掩码位数
  2. 使用filter-policy调用时,只调用acl或ip-prefix其中一个
  3. 与acl同样ip-prefix默认隐含一条deny全部未匹配的路由命令
  4. ip-prefix多用于路由过滤场景,且语句中的permit和denyacl中同样表示为选取和未选取
相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程