1 lista de prefijos de IP
Para filtrar las rutas recibidas, anunciadas e importadas, o para establecer atributos para las rutas, primero debe coincidir con las rutas requeridas utilizando las ACL o una lista de prefijos de IP. En la sección anterior sobre política de rutas, las ACL se utilizan para hacer coincidir las rutas. Esta sección describe cómo usar una lista de prefijos de IP para hacer coincidir las rutas. Primero, aprendamos las diferencias entre ACL y la lista de prefijos de IP.
1.1 Diferencias entre la lista de prefijos de ACL y IP
Los siguientes dos ejemplos pueden ayudar a diferenciar la lista de prefijos de ACL y IP.
1.1.1 Ejemplo 1: Uso de ACL para filtrar rutas importadas
En la Figura 3-1, las ACL están configuradas para importar dos rutas RIP en OSPF y establecer atributos para las rutas.
Usando ACLs para filtrar rutas importadas
Compruebe la tabla de enrutamiento IP de SwitchB. La siguiente salida de comando muestra que contiene dos rutas RIP 192.168.2.0/24 y 192.168.3.0/24. Ahora las dos rutas RIP se deben volver a convertir en OSPF y los costos de las dos rutas 192.168.2.0/24 y 192.168.3.0/24 deben establecerse en 10 y 20 respectivamente.
[SwitchB] display ip routing-table
Route Flags: R - relay, D - download to fib
-----------------------------------------------------------------------------
Routing Tables: Public
Destinations : 8 Routes : 8
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.1.1.0/24 Direct 0 0 D 10.1.1.1 Vlanif20
10.1.1.1/32 Direct 0 0 D 127.0.0.1 Vlanif20
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
192.168.1.0/24 Direct 0 0 D 192.168.1.2 Vlanif10
192.168.1.2/32 Direct 0 0 D 127.0.0.1 Vlanif10
192.168.2.0/24 RIP 100 1 D 192.168.1.1 Vlanif10
192.168.3.0/24 RIP 100 1 D 192.168.1.1 Vlanif10
Configure las ACL para que coincidan con las rutas requeridas.
#Configure una ACL básica 2001 para que coincida con la ruta 192.168.2.0.
[SwitchB] acl 2001
[SwitchB-acl-basic-2001] rule permit source 192.168.2.0 0
[SwitchB-acl-basic-2001] quit
# Configure un ACL 2002 básico para que coincida con la ruta 192.168.3.0.
[SwitchB] acl 2002
[SwitchB-acl-basic-2002] rule permit source 192.168.3.0 0
[SwitchB-acl-basic-2002] quit
Configure una política de rutas y aplíquela a las rutas importadas.
# Configure el nodo 10 en el route-policy de RP para establecer el costo de la ruta que coincida con la ACL básica 2001 a 10.
[SwitchB] route-policy RP permit node 10
[SwitchB-route-policy] if-match acl 2001
[SwitchB-route-policy] apply cost 10
[SwitchB-route-policy] quit
# Configure el nodo 20 en el route-policy de RP para establecer el costo de la ruta que coincida con la ACL básica 2002 a 20.
[SwitchB] route-policy RP permit node 20
[SwitchB-route-policy] if-match acl 2002
[SwitchB-route-policy] apply cost 20
[SwitchB-route-policy] quit
# Importe las rutas RIP permitidas por el route-policy de RP en OSPF.
[SwitchB] OSPF
[SwitchB-ospf-1] import-route rip 1 route-policy RP
[SwitchB-ospf-1] quit
Una vez completadas las configuraciones anteriores, verifique la tabla de enrutamiento IP de SwitchC. La siguiente salida de comando muestra que las dos rutas RIP se han importado y sus costos se han configurado según sea necesario.
<SwitchC> display ip routing-table
Route Flags: R - relay, D - download to fib
-----------------------------------------------------------------------------
Routing Tables: Public
Destinations : 6 Routes : 6
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.1.1.0/24 Direct 0 0 D 10.1.1.2 Vlanif20
10.1.1.2/32 Direct 0 0 D 127.0.0.1 Vlanif20
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0192.168.2.0/24 O_ASE 150 10 D 10.1.1.1 Vlanif20
192.168.3.0/24 O_ASE 150 20 D 10.1.1.1 Vlanif20
1.1.2 Ejemplo 2 Uso de una lista de prefijos de IP para filtrar rutas importadas
En la Figura 3-2, SwitchB tiene dos rutas estáticas, pero solo la ruta estática 192.168.0.0/16 necesita ser importada a OSPF.
Usando una lista de prefijos de IP para filtrar rutas importadas
Compruebe la tabla de enrutamiento IP de SwitchB. La siguiente salida de comando muestra que tiene dos rutas estáticas 192.168.0.0/16 y 192.168.0.0/24. Ahora solo es necesario volver a convertir la ruta 192.168.0.0/16 en OSPF.
[SwitchB] display ip routing-table
Route Flags: R - relay, D - download to fib
-----------------------------------------------------------------------------
Routing Tables: Public Destinations : 6 Routes : 6
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.10.12.0/24 Direct 0 0 D 10.10.12.1 Vlanif10
10.10.12.1/32 Direct 0 0 D 127.0.0.1 Vlanif10
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
192.168.0.0/16 Static 60 0 D 0.0.0.0 NULL0
192.168.0.0/24 Static 60 0 D 0.0.0.0 NULL0
Primero, intenta utilizar una ACL para cumplir con este requisito.
Configure una ACL básica 2001.
[SwitchB] acl 2001
[SwitchB-acl-basic-2001] rule permit source 192.168.0.0 0.0.255.255
[SwitchB-acl-basic-2001] quit
Configure una route-policy y aplíquela a las rutas importadas.
# Configure el nodo 10 en el route-policy de RP para permitir que la ruta coincida con la ACL básica 2001 y denegar todas las rutas no coincidentes.
[SwitchB] route-policy RP permit node 10
[SwitchB-route-policy] if-match acl 2001
[SwitchB-route-policy] quit
# Importe la ruta estática permitida por el route-policy de RP en OSPF.
[SwitchB] OSPF
[SwitchB-ospf-1] import-route static route-policy RP
[SwitchB-ospf-1] quit
Una vez completadas las configuraciones anteriores, verifique la tabla de enrutamiento IP de SwitchC. La siguiente salida de comando muestra que las dos rutas a 192.168.0.0 se han importado. Esto se debe a que en la fuente de permiso de la regla ACL 2001 192.168.0.0 0.0.255.255, 0.0.255.255 indica un carácter comodín pero no la longitud de la máscara.
Después de que un comodín se convierta en un número binario, 0 indica que las rutas deben coincidir con esta ACL, mientras que 1 indica que las rutas no lo hacen. Por ejemplo, 192.168.0.0 0.0.255.255 especifica un rango de prefijo de ruta: 192.168.0.0 a 192.168.255.255. Las dos rutas 192.168.0.0/16 y 192.168.0.0/24 coinciden con la ACL 2001. Por lo tanto, las dos rutas coinciden con el nodo 10 en el RP de política de ruta y ambas se importan a OSPF. Las ACL no pueden garantizar que solo coincida la ruta 192.168.0.0/16 o 192.168.0.0/24 porque las ACL solo pueden coincidir con la ID de la red pero no con la máscara.
<SwitchC> display ip routing-table
Route Flags: R - relay, D - download to fib
-----------------------------------------------------------------------------
Routing Tables: Public
Destinations : 6 Routes : 6
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.10.12.0/24 Direct 0 0 D 10.10.12.2 Vlanif10
10.10.12.2/32 Direct 0 0 D 127.0.0.1 Vlanif10
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
192.168.0.0/16 O_ASE 150 1 D 10.10.12.1 Vlanif10
192.168.0.0/24 O_ASE 150 1 D 10.10.12.1 Vlanif10
Lo siguiente utiliza una lista de prefijos de IP para filtrar las rutas importadas. Verifique si una lista de prefijos de IP puede asegurar que solo se importe la ruta 192.168.0.0/16 y que se filtre la ruta 192.168.0.0/24.
Configure una lista de prefijos de IP para permitir la ruta requerida.
# Configure una lista de prefijos de IP huawei y configure el nodo 10 para permitir la ruta 192.168.0.0/16.
[SwitchB] ip ip-prefix huawei index 10 permit 192.168.0.0 16
Configure una route-policy y aplíquela a las rutas importadas.
# Configure un route-policy de RP y configure el nodo 10 para permitir la ruta que coincida con la lista de prefijos de IP huawei y rechazar todas las rutas no coincidentes.
[SwitchB] route-policy RP permit node 10
[SwitchB-route-policy] if-match ip-prefix huawei
[SwitchB-route-policy] quit
# Importe la ruta estática permitida por el RP de política de rutas en OSPF.
[SwitchB] OSPF
[SwitchB-ospf-1] import-route static route-policy RP
[SwitchB-ospf-1] quit
Una vez completadas las configuraciones anteriores, verifique la tabla de enrutamiento IP de SwitchC. La siguiente salida de comando muestra que solo la ruta 192.168.0.0/16 se importa a OSPF.
<SwitchC> display ip routing-table
Route Flags: R - relay, D - download to fib
-----------------------------------------------------------------------------
Routing Tables: Public
Destinations : 5 Routes : 5
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.10.12.0/24 Direct 0 0 D 10.10.12.2 Vlanif10
10.10.12.2/32 Direct 0 0 D 127.0.0.1 Vlanif10
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
192.168.0.0/16 O_ASE 150 1 D 10.10.12.1 Vlanif10
Los dos ejemplos anteriores indican que tanto la lista de prefijos de ACL como de IP se pueden usar para filtrar rutas. Las ACL pueden coincidir solo con la ID de la red pero no con la máscara (longitud del prefijo), pero una lista de prefijos IP es más flexible que las ACL porque puede coincidir tanto con la ID de la red como con la máscara, lo que mejora la precisión de la coincidencia de rutas.
1.2 Principios y aplicaciones de la lista de prefijos IP
1.2.1 Reglas de filtrado
Una lista de prefijos de IP puede contener varias entradas de índice, cada una de las cuales corresponde a una regla de filtrado. En la Figura 3-3, el sistema compara las rutas que se filtrarán contra las entradas en orden ascendente de número de índice.
· Si una ruta coincide con una entrada de permiso, esta ruta está permitida. Si una ruta coincide con una entrada denegada, esta ruta se deniega.
· Si una ruta no coincide con ninguna entrada en la lista de prefijos de IP, esta ruta se deniega.
Principios de coincidencia de una lista de prefijos de IP
Reglas de filtrado de rutas de una lista de prefijos de IP: coincidencia secuencial, coincidencia única y denegar de forma predeterminada.
· Coincidencia secuencial: las rutas a filtrar se comparan con las entradas en orden ascendente de número de índice. Si se configuran diferentes números de índice para las entradas en la misma lista de prefijos de IP, se pueden obtener diferentes resultados de filtrado. Por lo tanto, tenga cuidado al configurar los números de índice.
· Coincidencia única: si una ruta que se va a filtrar coincide con una entrada, ya no intentará coincidir con otras entradas.
· Denegar de forma predeterminada: de forma predeterminada, se deniegan todas las rutas que no coinciden con ninguna entrada. Por lo tanto, después de crear una o varias entradas de denegación en una lista de prefijos de IP, se debe crear una entrada para permitir todas las otras rutas.
1.2.2 Coincidencia de máscara
Se puede usar una lista de prefijos de IP para coincidir con una máscara de ruta, lo que es una ventaja en comparación con ACL. En el ejemplo anterior, se ha utilizado una máscara en la coincidencia de ruta exacta. Además, una lista de prefijos de IP también se puede utilizar para coincidir con un rango de máscara.
Una lista de prefijos de IP se configura mediante el comando ip ip-prefix, por ejemplo:
ip ip-prefix ip-prefix-name [ index index-number ] { permit | deny } ipv4-address mask-length [ greater-equal greater-equal-value ] [ less-equal less-equal-value ]
En este commando, ipv4-address mask-length [ greater-equal greater-equal-value ] [ less-equal less-equal-value ] define el ID de red y el rango de máscara de las rutas a filtrar. La tabla 3-1 describe los parámetros en este comando.
Un rango de direcciones en una lista de prefijos de IP.
Parametro | Descripción |
ipv4-address | Especifica una ID de red. |
mask-length | Especifica la longitud de la máscara para la coincidencia exacta. |
greater-equal greater-equal-value | Indica que la longitud de la máscara debe ser mayor o igual que mayor-igual-valor. |
less-equal less-equal-value | Indica que la longitud de la máscara debe ser menor o igual que mayor-igual-valor. |
Cuando una ruta que se va a filtrar coincide con una ID de red, la longitud de la máscara puede coincidir exactamente o dentro de una longitud de máscara específica.
· Si los valores mayor-igual y menos-igual no están configurados en el comando, la coincidencia exacta se realiza en las rutas. Es decir, solo coinciden las rutas con la longitud de máscara especificada.
· Si solo se configura mayor-igual en el comando, el rango de longitud de máscara utilizado para hacer coincidir las rutas es [mayor-igual-valor, 32].
· Si solo se configura menos igual en el comando, el rango de longitud de la máscara que se usa para hacer coincidir las rutas es [longitud de la máscara, menor valor igual].
· Si se configuran en el comando tanto mayor-igual como menos-igual, el rango de longitud de máscara que se usa para hacer coincidir las rutas es [mayor-igual-valor, menor-igual-valor].
1.2.3 Aplicaciones
Supongamos que hay rutas 10.1.1.0/24, 10.1.1.0/26, 10.1.1.1/32, 10.2.2.0/24 y 10.1.0.0/16. ¿Cómo usar una lista de prefijos de IP para filtrar rutas según sea necesario para cumplir con los siguientes requisitos?
Permitir solo una ruta, por ejemplo, permitir solo la ruta 10.1.1.0/24.
Permitir solo las rutas con la misma ID de red pero con máscaras diferentes y denegar otras rutas. Por ejemplo, permita solo tres rutas 10.1.1.0/24, 10.1.1.0/26 y 10.1.1.1/32.
Denegar solo una ruta y permitir las otras rutas, por ejemplo, denegar solo la ruta 10.1.1.0/24.
Encuentra las respuestas en los siguientes ejemplos:
-------------------------- Ejemplo 1 coincidencia exacta de un solo nodo ------------------------------------
l Ejemplo 1
ip ip-prefix test index 10 permit 10.1.1.0 24
Resultado coincidente: solo se permite la ruta 10.1.1.0/24, y se deniegan otras rutas.
Nota
Solo se permite la ruta con el ID de red y la máscara especificados.
------------------------- Ejemplos 2 a 4: coincidencia con el rango de máscara especificado --------------
l Ejemplo 2
ip ip-prefix test index 10 permit 10.1.1.0 24 less-equal 32
Resultado coincidente: solo se permiten las rutas 10.1.1.0/24, 10.1.1.0/26 y 10.1.1.1/32, y se deniegan otras rutas.
Nota
Se permiten las rutas con el ID de red 10.1.1.0 y la longitud de máscara 24-32.
l Ejemplo 3
ip ip-prefix test index 10 permit 10.1.1.0 24 greater-equal 26
Resultado coincidente: solo se permiten las rutas 10.1.1.0/26 y 10.1.1.1/32, y se niegan otras rutas.
Nota
Se permiten las rutas con el ID de red 10.1.1.0 y la longitud de máscara 26-32.
l Ejemplo 4
ip ip-prefix test index 10 permit 10.1.1.0 24 greater-equal 26 less-equal 32
Resultado coincidente: solo se permiten las rutas 10.1.1.0/26 y 10.1.1.1/32, y se niegan otras rutas.
Nota
Se permiten las rutas con el ID de red 10.1.1.0 y la longitud de máscara 26-32. El resultado coincidente es el mismo que el del Ejemplo 3.
-------------------- Ejemplos 5 y 6 Coincidencia con la dirección de comodín (0.0.0.0) -----------------------
La dirección de comodín 0.0.0.0 indica que la ID de red no está especificada y solo se debe hacer coincidir el rango de máscara. La tabla 3-2 enumera direcciones de comodines especiales.
Direcciones comodín especiales
Dirección de comodín especial | Descripción |
0.0.0.0 0 | Indica que solo coincide la ruta predeterminada. |
0.0.0.0 0 menor-igual 32 | Indica que todas las rutas coinciden. |
0.0.0.0 0 mayor-igual 32 | Indica que todas las rutas del host coinciden. |
Nota
Una lista de prefijos de IP usa la regla de denegación por defecto. Después de crear una o varias entradas de denegación, se debe crear un permiso de entrada 0.0.0.0 0 menos igual a 32 para permitir otras rutas.
· Ejemplo 5
ip ip-prefix test index 10 permit 0.0.0.0 8 less-equal 32
Resultado coincidente: Se permiten todas las cinco rutas.
Nota
Se permiten todas las rutas con la longitud de máscara 8-32.
· Ejemplo 6
ip ip-prefix test index 10 deny 10.1.1.0 24
ip ip-prefix test index 20 permit 0.0.0.0 0 less-equal 32
Resultado coincidente: solo se niega la ruta 10.1.1.0/24, y se permiten otras rutas.
Nota
La ruta 10.1.1.0/24 coincide con la entrada con el número de índice 10 en la prueba de la lista de prefijos de IP, pero el modo de coincidencia es denegado. Por lo tanto, esta ruta es denegada. La entrada con el número de índice 20 permite 0.0.0.0 0 menos igual a 32 indica que todas las rutas están permitidas. Por lo tanto, las rutas que no coinciden con la entrada con el número de índice 10 coinciden con la entrada con el número de índice 20 y todas están permitidas.
Una lista de prefijos de IP puede filtrar rutas según sea necesario. Para controlar las rutas, por ejemplo, controlar la recepción, el anuncio y la importación de rutas, debe invocar una lista de prefijos de IP en una política de filtro o política de ruta. A continuación se describe cómo usar un para filtrar rutas.
Para más detalles, haz clic en el hipervínculo:
1 Política de enrutamiento | Describe varias herramientas utilizadas en la política de enrutamiento e invocación entre estas herramientas. |
Describe los componentes, las reglas de coincidencia y las aplicaciones de la política de ruta. | |
3 Lista de prefijos de IP | Describe cómo usar una lista de prefijos de IP y las diferencias entre ésta y la ACL. |
Describe los principios y aplicaciones de la política de filtro. | |
5 Política de enrutamiento BGP (1) | Describe las aplicaciones de la lista de prefijos de IP, la política de filtro y la política de ruta en BGP. |
6 Política de enrutamiento BGP (2) | Describe las aplicaciones del filtro AS_Path y el atributo de Comunidad en BGP. |
Colección de los capítulos 1 a 6 (haga clic aquí para descargar el documento PDF) | Proporciona la recopilación de los capítulos anteriores. |