【 La politique de routage de la série de commutateurs S de Huawei】3 liste de préfixe IP

22 0 0 0

La politique de routage de la série de commutateurs S de Huawei3 liste de préfixe IP

 

1 liste de préfixes IP

Pour filtrer les routes reçues, annoncées et importées ou pour définir des attributs pour les routes, vous devez d'abord correspondre aux itinéraires requis à l'aide des ACLs ou d'une liste de préfixes IP. Dans la section précédente sur la politique de route, les ACL sont utilisés pour correspondre aux routes. Cette section décrit comment utiliser une liste de préfixes IP pour correspondre aux routes. D'abord, laissez-les apprendre les différences entre la liste des préfixes IP et ACL.

1.1 Différences entre la liste des préfixes IP et ACL

Les deux exemples suivants peuvent aider à différencier entre la liste des préfixes IP et ACL.

1.1.1 Exemple 1 utilisant ACLs pour filtrer les routes importées

Dans figure 3-1, ees ACL sont configurés pour importer deux routes RIP en OSPF et des attributs pour les routes.

Utilisation d’ACLs pour filtrer les routes importées

图1 通过ACL对引入的路由进行过滤.png

 

Vérifiez la table de routage IP de SwitchB La sortie de commande suivante montre qu'elle contient deux routes RIP 192.168.2.0/24 et 192.168.3.0/24. Maintenant les deux routes RIP doivent être listées dans OSPF et les coûts des deux routes 192.168.2.0/24 et 192.168.3.0/24 ont besoin d’être fixé à 10 et 20 respectivement.

[SwitchB] display ip routing-table

Route Flags: R - relay, D - download to fib

-----------------------------------------------------------------------------

Routing Tables: Public

         Destinations : 8        Routes : 8       

 

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

 

       10.1.1.0/24  Direct  0    0           D   10.1.1.1        Vlanif20

       10.1.1.1/32  Direct  0    0           D   127.0.0.1       Vlanif20

      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0

      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0

    192.168.1.0/24  Direct  0    0           D   192.168.1.2     Vlanif10

    192.168.1.2/32  Direct  0    0           D   127.0.0.1       Vlanif10

    192.168.2.0/24  RIP     100  1           D   192.168.1.1     Vlanif10

192.168.3.0/24  RIP     100  1           D   192.168.1.1     Vlanif10

Configurez ACLs pour correspondre aux itinéraires requis.

# Configurer une ACL de base 2001 pour correspondre à la route de 192.168.2.0.

[SwitchB] acl 2001

[SwitchB-acl-basic-2001] rule permit source 192.168.2.0 0

[SwitchB-acl-basic-2001] quit

# Configurer une ACL de base 2002 pour correspondre à la route de 192.168.3.0

[SwitchB] acl 2002

[SwitchB-acl-basic-2002] rule permit source 192.168.3.0 0

[SwitchB-acl-basic-2002] quit

Configurez une politique de route et appliquez-la aux routes importées.

# Configurer le noeud 10 dans la route-policy RP pour définir le coût de la route correspondant à l'ACL de base 2001 à 10.

[SwitchB] route-policy RP permit node 10

[SwitchB-route-policy] if-match acl 2001

[SwitchB-route-policy] apply cost 10

[SwitchB-route-policy] quit

# Configurer le noeud 20 dans la route-policy RP pour définir le coût de la route correspondant à l'ACL de base 2002 à 20.

[SwitchB] route-policy RP permit node 20

[SwitchB-route-policy] if-match acl 2002

[SwitchB-route-policy] apply cost 20

[SwitchB-route-policy] quit

# Importer les routes RIP autorisées par la route-policy RP en OSPF.

[SwitchB] OSPF

[SwitchB-ospf-1] import-route rip 1 route-policy RP

[SwitchB-ospf-1] quit

Après que les configurations précédentes sont complètes, vérifier la table de routage IP de SwitchC. La sortie de commande suivante montre que les deux routes RIP ont été importées et que leurs coûts ont été configurés selon les besoins.

<SwitchC> display ip routing-table

Route Flags: R - relay, D - download to fib

-----------------------------------------------------------------------------

Routing Tables: Public

         Destinations : 6        Routes : 6       

 

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

 

       10.1.1.0/24  Direct  0    0           D   10.1.1.2        Vlanif20

       10.1.1.2/32  Direct  0    0           D   127.0.0.1       Vlanif20

      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0

      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0

    192.168.2.0/24  O_ASE   150  10          D   10.1.1.1        Vlanif20

    192.168.3.0/24  O_ASE   150  20          D   10.1.1.1        Vlanif20

1.1.2 Exemple 2 utilisant une liste de préfixes IP pour filtrer les routes importées

Dans la figure 3-2, SwitchB a deux routes statiques, mais seulement la route statique 192.168.0.0/16 a besoin d’être importé dans OSPF.

Utilisation d'une liste de préfixes IP pour filtrer les routes importées

20170322111019654002.png

 

Vérifiez la table de routage IP de SwitchB. La sortie de commande suivante montre qu'elle a deux routes statiques 192.168.0.0/16 et 192.168.0.0/24. Maintenant, seul l'itinéraire 192.168.0.0/16 doit être listé dans OSPF.

 [SwitchB] display ip routing-table

Route Flags: R - relay, D - download to fib

-----------------------------------------------------------------------------

Routing Tables: Public         Destinations : 6        Routes : 6       

 

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

 

     10.10.12.0/24  Direct  0    0           D   10.10.12.1      Vlanif10

     10.10.12.1/32  Direct  0    0           D   127.0.0.1       Vlanif10

      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0

      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0

    192.168.0.0/16  Static  60   0           D   0.0.0.0         NULL0

192.168.0.0/24  Static  60   0           D   0.0.0.0         NULL0

D'abord, vous essayez d'utiliser un ACL pour répondre à cette exigence.

Configurez une ACL de base 2001.

[SwitchB] acl 2001

[SwitchB-acl-basic-2001] rule permit source 192.168.0.0 0.0.255.255

[SwitchB-acl-basic-2001] quit

Configurez une politique de route (route-policy) et appliquez-la aux routes importées.

# Configurer le nœud 10 dans le route-policy RP pour permettre l'itinéraire correspondant à l'ACL de base 2001 et refuse toutes les routes non appariées.

[SwitchB] route-policy RP permit node 10

[SwitchB-route-policy] if-match acl 2001

[SwitchB-route-policy] quit

# Importer l'itinéraire statique autorisé par le route-policy RP dans OSPF.

[SwitchB] OSPF

[SwitchB-ospf-1] import-route static route-policy RP

[SwitchB-ospf-1] quit

Après que les configurations précédentes sont complètes, vérifier la table de routage IP de SwitchC. La sortie de commande suivante montre que les deux routes à 192.168.0.0 ont été importées. Cela est dû au fait que, dans la règle de l'ACL 2001 permettre la source 192.168.0.0 0.0.255.255, 0.0.255.255 indique un masque générique mais pas la longueur du masque.

Après qu’un masque générique est convertie en un numéro binaire, 0 indique que les routes doivent correspondre à cette ACL, tandis que 1 indique que les routes ne sont pas. Par exemple, le 192.168.0.0 0.0.255.255 spécifie une plage de préfixe de route : 192.168.0.0 jusqu’à 192.168.255.255. Les deux routes 192.168.0.0/16 et 192.168.0.0/24 à la fois correspond l'ACL 2001. Par conséquent, les deux routes correspondent au nœud 10 dans le route-policy RP et tous deux sont importés dans OSPF. ACLs ne peut s'assurer que seule la route 192.168.0.0/16 ou 192.168.0.0/24 est adapté parce que ACLs ne peut correspondre qu'à l'ID du réseau mais pas au masque.

<SwitchC> display ip routing-table

Route Flags: R - relay, D - download to fib

-----------------------------------------------------------------------------

Routing Tables: Public

         Destinations : 6        Routes : 6       

 

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

 

     10.10.12.0/24  Direct  0    0           D   10.10.12.2      Vlanif10

     10.10.12.2/32  Direct  0    0           D   127.0.0.1       Vlanif10

      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0

      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0

    192.168.0.0/16  O_ASE   150  1           D   10.10.12.1      Vlanif10

    192.168.0.0/24  O_ASE   150  1           D   10.10.12.1      Vlanif10

Ce qui suit utilise une liste de préfixes IP pour filtrer les routes importées. Vérifiez si une liste de préfixes IP peut s'assurer que seule route 192.168.0.0/16 est importée et que la route 192.168.0.0/24 est filtrée.

Configurez une liste de préfixes IP pour permettre la route requise.

# Configurer une liste de préfixe IP huawei et configurer le nœud 10 pour permettre l'itinéraire 192.168.0.0/16

[SwitchB] ip ip-prefix huawei index 10 permit 192.168.0.0 16

Configurez une politique de route et appliquez-la aux routes importées.

# Configurer une route-policy RP et configurer le nœud 10 pour permettre la route qui correspond au liste de préfixe IP huawei et nie toutes les routes non appariées.

[SwitchB] route-policy RP permit node 10

[SwitchB-route-policy] if-match ip-prefix huawei

[SwitchB-route-policy] quit

# Importer l'itinéraire statique autorisé par le route-policy RP dans OSPF.

[SwitchB] OSPF

[SwitchB-ospf-1] import-route static route-policy RP

[SwitchB-ospf-1] quit

Après que les configurations précédentes sont complètes, vérifier la table de routage IP de SwitchC. La sortie de commande suivante montre que seul l'itinéraire 192.168.0.0/16 est importé dans OSPF.

<SwitchC> display ip routing-table

Route Flags: R - relay, D - download to fib

-----------------------------------------------------------------------------

Routing Tables: Public

         Destinations : 5        Routes : 5       

 

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

 

     10.10.12.0/24  Direct  0    0           D   10.10.12.2      Vlanif10

     10.10.12.2/32  Direct  0    0           D   127.0.0.1       Vlanif10

      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0

      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0

192.168.0.0/16  O_ASE   150  1           D   10.10.12.1      Vlanif10

¿¡¡¡¡ì¬Í¡¡¡¡ì¬²©Ê¿2.pngLes deux exemples précédents indiquent que la liste des préfixes IP et ACL peuvent être utilisées pour filtrer les routes. Les ACLs ne peuvent correspondre qu'à l'ID du réseau mais pas au masque (longueur préfixe), mais une liste de préfixes IP est plus flexible que les ACLs parce qu'elle peut correspondre à la fois à l'ID réseau et au masque, améliorant la précision de correspondance de route.

1.2 Principes et applications de la liste des préfixes IP

1.2.1 Règles de filtrage

Une liste de préfixes IP peut contenir plusieurs entrées d'index, chacune correspondant à une règle de filtrage. Dans la figure 3-3, le système correspond aux itinéraires à filtrer contre les entrées dans l'ordre ascendant du numéro d'index.

l   Si une route correspond à une entrée de permis, cette route est permise. Si une route correspond à une entrée de refus, cette route est refusée.

l   Si une route ne correspond à aucune entrée dans la liste de préfixes IP, cette route est refusée.

Principes de correspondance d'une liste de préfixes IP

20170322111020014004.png

 

Règles de filtrage d'itinéraire d'une liste de préfixes IP : correspondance séquentiel, correspondance unique, et refus par défaut.

l   Correspondance séquentiel : Les routes à filtrer sont alignées contre les entrées dans l'ordre ascendant du numéro d'index. Si différents numéros d'index sont configurés pour des entrées dans la même liste de préfixes IP, des résultats de filtrage différents peuvent être obtenus. Par conséquent, faites attention lors de la configuration des numéros d'index.

l   Correspondance unique : Si un itinéraire à filtrer correspond à une entrée, il n'essaie plus de correspondre à d'autres entrées.

l   Refuser par défaut : Par défaut, toutes les routes qui ne correspondent à aucune entrée sont refusées. Par conséquent, après qu'une ou plusieurs entrées de refus sont créées dans une liste de préfixes IP, une entrée doit être créée pour permettre toutes les autres routes.

1.2.2 Correspondance par masque

Une liste de préfixes IP peut être utilisée pour correspondre à un masque de route, ce qui est un avantage par rapport à ACL. Dans l'exemple précédent, un masque a été utilisé en correspondance exacte. En outre, une liste de préfixes IP peut également être utilisée pour correspondre à une plage de masque.

Une liste de préfixes IP est configurée à l'aide de la commande ip ip-prefix, par exemple :

ip ip-prefix ip-prefix-name index index-number ] { permit | deny } ipv4-address mask-length [ greater-equal greater-equal-value ] [ less-equal less-equal-value ]

Dans cette commande ipv4-address mask-length [ greater-equal greater-equal-value ] [ less-equal less-equal-value ] définit l'ID réseau et la plage de masque des itinéraires à filtrer. Tableau 3-1décrit les paramètres dans cette commande.

Une plage d'adresses dans une liste de préfixes IP

Paramètre

Description

ipv4-address

Spécifie un ID de réseau.

mask-length

Spécifie la longueur du masque pour une correspondance exacte.

greater-equal greater-equal-value

Indique que la longueur du masque doit être supérieure ou égale à une valeur égale.

less-equal less-equal-value

Indique que la longueur du masque doit être inférieure ou égale à une valeur égale.

 

Lorsqu'une route à filtrer a apparié un ID de réseau, la longueur du masque peut être adaptée exactement ou à l'intérieur d'une longueur de masque spécifiée.

·       Si tous les deux greater-equal et less-equal ne sont pas configurés dans la commande, la correspondance exacte est effectuée sur les itinéraires. C'est-à-dire que seules les routes avec la longueur de masque spécifiée sont mises en correspondance.

·       Si seul greater-equal  est configuré dans la commande, la plage de longueurs de masque utilisée pour faire correspondre les itinéraires est [greater-equal-value, 32].

·       Si seulement less-equal est configuré dans la commande, la plage de longueurs de masque utilisée pour les itinéraires correspondants est [mask-lengthless-equal-value].

·       Si tous les deux greater-equal et less-equal sont configurés dans la commande, la plage de longueurs de masque utilisée pour faire correspondre les itinéraires est [[greater-equal-valueless-equal-value].

1.2.3 Applications

Supposons qu'il y a des routes 10.1.1.0/24, 10.1.1.0/26, 10.1.1.1/32, 10.2.2.0/24, et 10.1.0.0/16. Comment utiliser une liste de préfixes IP pour filtrer les routes comme requis pour répondre aux exigences suivantes ?

Autoriser uniquement une seule route, par exemple, ne permet que la route 10.1.1.0/24.

Autoriser uniquement les routes avec le même identifiant de réseau mais différents masques et refuser d'autres itinéraires. Par exemple, n'autorisez que trois routes 10.1.1.0/24, 10.1.1.0/26 et 10.1.1.1/32.

Refuser une seule route et autoriser les autres routes, par exemple, ne refuser que la route 10.1.1.0/24.

Trouvez les réponses dans les exemples suivants :

--------------------------------Exemple 1 Correspondance exacte à un seul noeud ----------------------------------------------------------------------------------------------------------------------------------------------------------

l   Exemple 1

ip ip-prefix test index 10 permit 10.1.1.0 24 

Résultat correspondant : Seul l'itinéraire 10.1.1.0/24 est autorisé, et d'autres itinéraires sont refusés.

note

Seule la route avec l'ID et le masque de réseau spécifiés est permise.

------------------------------Exemples 2 à 4 Correspondance contre la plage de masque spécifiée ----------------------------------

l   Exemple 2

ip ip-prefix test index 10 permit 10.1.1.0 24 less-equal 32

Résultat correspondant : Seuls les itinéraires 10.1.1.0/24, 10.1.1.0/26, et 10.1.1.1/32 sont autorisés, les and autres routes sont refusées.

note

Les routes avec l'ID de réseau 10.1.1.0 et la longueur du masque 24-32 sont permises.

l   Exemple 3

ip ip-prefix test index 10 permit 10.1.1.0 24 greater-equal 26

Résultat correspondant : Seuls les itinéraires 10.1.1.0/26 et 10.1.1.1/32 sont autorisés et d'autres itinéraires sont refusés.

note

Les routes avec l'ID réseau 10.1.1.0 et la longueur du masque 26-32 sont permises.

l   Exemple 4

ip ip-prefix test index 10 permit 10.1.1.0 24 greater-equal 26 less-equal 32

Résultat correspondant : Seuls les itinéraires 10.1.1.0/26 et 10.1.1.1/32 sont autorisés et d'autres itinéraires sont refusés.

note

Les routes avec l'ID de réseau 10.1.1.0 et la longueur du masque 26-32 sont permises. Le résultat correspondant est le même que celui de l'exemple 3.

--------------------Exemples 5 et 6 Correspondance contre l'adresse de masque générique (0.0.0.0) -----------------------

L'adresse de masque générique 0.0.0.0 indique que l'ID du réseau n'est pas spécifié et que seule la plage de masque doit être adaptée. Tableau 3-2 liste des adresses de masque générique spécial.

Adresses de carte spéciale

adresses de masque générique spécial

Description

0.0.0.0 0

Indique que seule la route par défaut est appariée.

0.0.0.0 0 less-equal 32

Indique que tous les itinéraires sont appariés.

0.0.0.0 0 greater-equal 32

Indique que tous les itinéraires d'accueil sont appariés.

 

note

Une liste de préfixes IP utilise la règle de correspondance de refus par défaut. Après la création d'une ou plusieurs entrées de refus, un permis d'entrée 0.0.0.0 0 less-equal 32 doit être créé pour permettre d'autres itinéraires.

l   Exemple 5

ip ip-prefix test index 10 permit 0.0.0.0 8 less-equal 32

Résultat correspondant : Toutes les cinq routes sont permises.

note

Toutes les routes avec la longueur du masque 8-32 sont permises.

l   Exemple 6

ip ip-prefix test index 10 deny 10.1.1.0 24

ip ip-prefix test index 20 permit 0.0.0.0 0 less-equal 32

Résultat correspondant : Seul l'itinéraire 10.1.1.0/24 est refusé, et d'autres routes sont permises.

note

L'itinéraire 10.1.1.0/24 correspond à l'entrée avec le numéro d'index 10 dans la list de préfixe IP test, mais le mode de correspondance est refusé. Par conséquent, cette route est refusée. L'entrée avec le numéro d'index 20 permet 0.0.0.0 0 less-equal 32 indique que toutes les routes sont permises. Par conséquent, les routes qui ne correspondent pas à l'entrée avec le numéro d'index 10 correspondent à l'entrée avec le numéro d'index 20 et sont toutes permises.

Une liste de préfixes IP peut filtrer les routes selon les besoins. Pour contrôler les routes, par exemple, la réception de commande, la publicité et l'importation de routes, vous devez appeler une liste de préfixes IP dans une politique de filtre ou dans une politique de route. Ce qui suit décrit comment utiliser une politique de filtre pour filtrer les routes.

Pour plus de détails, cliquez sur l'hyperlien suivant :

1 Routing Policy

Décrit divers outils utilisés pour router la politique et l'appel entre ces outils.

2 Route-Policy

Décrit les composants, les règles d'adaptation et les applications de route-policy

3 IP Prefix List

Décrit comment utiliser une liste de préfixes IP et des différences entre celle-ci et ACL.

4 Filter-Policy

Décrit les principes et les applications de la politique de filtrage.

5 BGP Routing Policy (1)

Décrit les applications de la liste de préfixes IP, de la politique de filtre et de la politique d'itinéraire dans BGP.

6 BGP Routing Policy (2)

Décrit les applications du filtre AS _ Path et de l'attribut communautaire dans BGP.

Collection of Chapters 1 Through 6 (Click Here to Download the PDF Document)

Fournit la collecte des chapitres précédents.

 

  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

Connectez-vous pour participer à la communication et au partage

S'identifier
Réponse rapide Accéder au haut de page