Embed Size (px)
DESCRIPTION
Como Fazer Prefixo Listas de Trabalho
Citation preview
Como fazer prefixo listas de trabalho?
Por Brian McGahan, CCIE # 8593
Prefixo listas são usadas para coincidir com prefixo e prefixo de comprimento pares. Sintaxe prefixo lista-Normalé como se segue:ip prefix-list LISTA autorização w.x.y.z / lenOnde w.x.y.z é o prefixo exactoE onde len é o seu exacto prefixo de comprimento"Ip prefix-list LIST 1.2.3.0/24 permit! seria uma correspondência exata para o prefixo 1.2.3.0com uma máscara de sub-rede 255.255.255.0. Isso não corresponde 1.2.0.0/24, nem combina1.2.3.4/32, nem nada no meio.Quando você adicionar as palavras-chave "GE" e "LE" para o prefix-list, os "len" alterações de valor dos seussignificado. Ao usar o GE e LE, o valor len especifica quantos bits do prefixo que vocêestá a verificar, começando com o bit mais significativo.ip prefix-list LIST permit 1.2.3.0/24 le 32Isto significa:Confira os primeiros 24 bits do prefixo 1.2.3.0A máscara deve ser menor do que ou igual a 32Isso equivale à sintaxe lista de acesso:access-list 1 permit 1.2.3.0 0.0.0.255prefix-list LIST ip permit 0.0.0.0 / 0 le 32Isto significa:Confira os primeiros bits 0 do prefixo 0.0.0.0A máscara deve ser menor do que ou igual a 32Isso equivale a nadaip prefix-list LIST permit 0.0.0.0 / 0Isto significa:O prefixo exato 0.0.0.0, com o 0 prefixo de comprimento exato.Este é combinar uma rota padrão.prefix-list LIST ip permitir 10.0.0.0 / 8 ge 21 le 29Isto significa:Confira os primeiros 8 bits do prefixo 10.0.0.0A máscara deve ser maior do que ou igual a 21, e menos do que ouigual a 29.ip prefix-list class_A permit 0.0.0.0 / 1 ge 8 le 8Isso corresponde a todos os endereços de classe A com máscaras classful. Isso significa que:Verificar o primeiro bit de prefixo, ele deve ser um 0.A máscara deve ser maior do que ou igual a 8, e menos do que ou igual a 8. (Éexatamente 8)Ao usar o GE e valores LE, você deve satisfazer a condição:Len <GE <= LEPortanto, "ip prefix-list LIST permit 1.2.3.0/24 ge 8! não é uma lista válida.O que você não pode fazer com o prefixo-list é partida em pedaços arbitrários, como você pode em umlista de acesso. Prefixo listas não podem ser usados para verificar se um número é par
ou ímpar, nem verificar se umnúmero é divisível por 15, etc ... verificação de Bit em um prefixo de-lista é seqüencial, começando como bit mais significativo (mais à esquerda).A forma de trabalhar listas prefixo você pode especificar uma rede e uma máscara ou umde rede e uma gama de máscaras. Especificando uma rede e uma máscara é bastantesimples:ip prefix-list mylist seq 10 autorização 172.16.25.0/24Isto permitirá (combinar) os 172.16.25.0/24 rede exatas para passar a lista.No entanto listas de prefixo também pode especificar uma rede com uma variedade de máscaras. Paraexemplo:ip prefix-list mylist seq 10 172.16.0.0/16 autorização ge 24 le 26Isso vai levar toda a rede classe B 172.16.0.0 (172.16.0.0/16) epassar apenas com um sub-redes / 24, / 25 ou / 26 máscara (ge 24 le 26). Assim, a exata172.16.0.0/16 rede seria realmente falhar na lista porque ele não temuma máscara de / 24/25 ou / 26.Por padrão, se você especificar apenas "ge", então qualquer sub-rede com uma máscara maior do queou igual ao valor ge vai passar. Isto é, a GE todo o caminho até / 32. Paraexemplo:ip prefix-list mylist seq 10 permit 10.10.10.0/24 ge 28Esta lista especifica qualquer sub-rede dentro da gama de 10.10.10.0/24 que tem ummáscara de / 28 ou superior (255.255.255.240 a 255.255.255.255). Novamente, o10.10.10.0/24 sub-rede exactas falharia porque ele não tem uma máscara de / 28ou maior.Por padrão, se você especificar apenas "le", então qualquer sub-rede com uma máscara de menor ouigual ao valor le mas maior do que ou igual à máscara especificado serápassar. Ou seja, le todo o caminho para a máscara listados. Por exemplo:ip prefix-list mylist seq 10 permit 10.64.0.0/16 le 23Esta lista especifica qualquer sub-rede dentro da gama 10.64.0.0/16 que tem umamascarar entre / 16 e / 23, inclusive (255.255.0.0 para 255.255.254.0). Nestecaso, o sub-rede 10.64.0.0/16 exacta passaria porque tem uma máscara nagama / 16 a / 23.O "permitir que qualquer um", em uma lista de prefixo é:ip prefix-list mylist seq 200 permit 0.0.0.0 / 0 le 32Eu recomendo bastante familiarizado com eles, porque eles são muito poderosose realmente não é muito ruim para usar quando você se acostuma com eles!Espero que isso ajude - Rob.
IP prefix-listip prefix-list fornece o prefixo mais poderoso mecanismo de filtragem com baseAqui está um rápido tutorial pouco sobre Prefixo listas para você.Uma normal lista de acesso não pode verificar a máscara de sub-rede. Ela só pode verificarbits para certificar-se que corresponder, nada mais. Um prefixo lista tem uma vantagem sobre umacesso-lista na medida em que pode marcar as duas partes e máscara de sub-rede -
tanto teria quepáreo para a rede a ser ou permitido ou negado.Para verificar os bits de uma lista de prefixo SEMPRE vai da esquerda para a direita e NÃO PODE ignorar qualquerbits. Um exemplo básico seria o seguinte:172.16.8.0/24Se houver apenas uma / depois da rede (não le ou GE), então o número após o / éAmbos os bits verificados e máscara de sub-rede. Portanto, neste caso ele irá verificar os 24 bits da esquerdapara a direita (não se preocupam com os últimos 8pedaços) e ele vai se certificar de que tem uma máscara de 24 bits. Ambos os 24 bits verificado ea máscara de subrede de 24 bits devem corresponder para a rede a ser permitido ou negado.3Não podemos fazer uma variedade de máscaras de sub-rede também que poderia ser permitido oudenyed:172.16.8.0/24 ge 25Se usamos tanto o le ou GE (ou ambos le e GE) após o /, então o número directamenteapós a / torna-se verificado apenas os bits e o número após a ge ou le (ou ambos) éa máscara de sub-rede. Portanto, neste caso estamos ainda vai verificar os primeiros 24 bits dorede da esquerda para a direita. Se aquele jogo que estamos passando então a verificar a sub-redemáscara, que neste caso pode ser maior ou igual a 25 bits - o que significa quecontanto que os primeiros 24 bits da rede correspondem a máscara pode ser25,26,27,28,29,30,31, ou 32 bits. Eles seriam todos iguais.Nós também podemos fazer:172.16.8.0/24 le 28Novamente, isto irá verificar os primeiros 24 bits da rede para se certificar de que eles correspondem.Em seguida, ele irá checar para se certificar de que a máscara de sub-rede é menor ou igual a 28bits. Agora, isso não vai ser 28 bits para baixo a 0 bits, a máscara de sub-rede não pode ser qualquermenores do que os bits de verificação de que estamos. Assim, o intervalo válido de máscaras de sub-rede para esteSeria 28 bits para baixo para 24 bits (24,25,26,27, e 28). Todos aqueles que corresponder.Nós também podemos fazer as duas coisas e ge le:172.16.8.0/24 ge 25 le 27Aqui, novamente, estamos verificando os primeiros 24 bits para se certificar de que eles correspondem.Então nossa máscara de sub-rede deve ser maior ou igual a 25 bits de menor ouI gual a 27 bits. O que significa que 25,26, e 27 máscaras de sub-bit iria corresponder.Agora, por um par de exemplos:Se temos as seguintes redes:172.16.8.0/28172.16.8.16/28172.16.8.32/28
172.16.8.48/28172.16.8.64/28Nós poderíamos permitir que todas essas redes com prefixo em lista de declaração:172.16.8.0/24 ge 28 le 28Isto irá verificar os primeiros 24 bits para garantir que eles correspondem. Todas estas redes têm172.16.8 com os primeiros 24 bits, e ele não se importam o que está nos últimos 8 bits. Em seguida, ele vaicertifique-se que a máscara de sub-rede é Maior que ou igual a 28 bits deLESS THAN ou igual a 28 bits - o único número que funciona para este é de 28 bits. Assimos primeiros 24 bits na rede deve corresponder e tem que ter uma máscara de 28 bits.Todos 5 de nossas redes iria corresponder por isso.Nós poderíamos ser ainda mais preciso com isso e usar:4172.16.8.0/25 ge 28 le 28Se dermos uma olhada em nossos octects 4 ª, veremos que para todas elas a de 128 bits está desligadopara que possamos verificar que pouco também (25 bits total estamos checando).0 - 0 0 0 0 0 0 0 016-0 0 0 1 0 0 0 032-0 0 1 0 0 0 0 048-0 0 1 1 0 0 0 064-0 1 0 0 0 0 0 0Isso seria mais próximo de permitir que as 5 redes que temos.Poderíamos, também, permitir que apenas as redes classful. A primeira coisa que precisamos fazer édescobrir exatamente o que é uma rede classful.Para uma classe de rede, sabemos que ele tem que ter uma máscara de 8 bits e deve serentre 0 e 127 no primeiro octect. Se quebrar 0 e 127 queobter:0 --- 0 0 0 0 0 0 0 0127-0 1 1 1 1 1 1 1Para o primeiro octecto de uma classe de rede do primeiro bit tem que ser um 0, ele deve ser desligada. Assimpodemos fazer um prefixo de-lista como esta:0.0.0.0 / 1 ge 8 le 8Em nosso primeiro octeto o primeiro bit é um 0 (que é o que precisaria ser para ser de classe A),com o / 1, temos que estamos apenas verificando o primeiro bit para ter certeza que é um 0(Ou seja, seria uma rede de Classe 0 - 127). Estamos, então, certificando-se que esterede de classe A tem realmente uma classe A máscara de sub-rede de 8 bits, e apenas 8 bits seriacorresponder.Para a classe B do que precisa ter certeza de que eles têm uma máscara de subrede de 16 bits e queeles são na gama de 128-191 no primeiro octeto. Se quebrar 128 e 191temos:128-1 0 0 0 0 0 0 0
191-1 0 1 1 1 1 1 1Os dois primeiros bits são o que nós estamos indo se preocupar. Precisamos ter certeza de queos dois primeiros bits no primeiro octeto são 1 0. O primeiro número que podemos usar como nossopadrão estamos verificando contra é 128 -128 tem um 1 0 como os dois primeiros bits na sua primeiro octeto.128.0.0.0 / 2 ge 16 le 16Então, estamos verificando os dois primeiros bits para garantir que a rede tem um 1 0, significandoque ele deve estar na gama de 128 - 191. Estamos, então, vai verificar para se certificarque tem a máscara de bits com classe 16, e apenas um16 máscara de bits.5Finalmente, temos as redes de classe C. Redes de Classe C são na gama de 192-223e eles devem ter uma máscara de 24 bits. Se quebrar 192 e223 temos:192-1 1 0 0 0 0 0 0223-1 1 0 1 1 1 1 1Os 3 primeiros bits do primeiro octeto são o que nós nos preocupamos. 192 seria o primeironúmero que pode colocar em que octect primeiro que terá 1 1 0 como seus primeiros 3 bits.192.0.0.0 / 3 ge 24 le 24Vamos verificar os 3 primeiros bits do octeto e certifique-se que a sua 1 1 0o que significa que tem que ser na gama de 192-223 sendo de classe C, em seguida, vamosverificar para se certificar de que tem uma classe de sub-rede C classful de 24 bits.Finalmente, como para permitir ou negar qualquer poderia ser muito útil uma vez que uma lista de prefixos apenas como umLista de acesso possui uma implícita negar no final:0.0.0.0 / 0 le 32Este é "qualquer" para um prefixo de-lista. Diz verificar bits 0, eu não me importo o que qualquer um dos bitssão. Ele também diz que a máscara de sub-rede pode ser de 32 bits ou menos (até o número debits que está conferindo) para 0. Portanto, não estamos indo para verificar os bits e osrede pode ter uma máscara de sub-qualquer coisa entre 0 e 32 bits. Isto seria'Qualquer'.Agora para a sua lista de prefixos:No octeto 3 temos 1, 4, e 5. Vamos dividir esses padrões para binário para ver se nóspode resumir isso em uma linha:1-0 0 0 0 0 0 0 14-0 0 0 0 0 1 0 05-0 0 0 0 0 1 0 1Para uma lista de prefixos que precisamos para ir da esquerda para a direita e não podemos ignorar bits. Assim, paradestas três redes que precisamos para parar na 8 bits, pois é o último pedaço deesquerda para a direita que é o mesmo. Isto nos daria 3 bits que são diferentes, ou 8redes possíveis. Temos apenas 3 dos 8 redes possíveis e não devemospermitir ou negar mais do que realmente tem. Devemos ser o mais específico possível.
Se deixarmos o 91.86.1.0/24 sozinho por si só, nos dará uma lista de prefixos de:91.86.1.0/24Isto irá verificar os primeiros 24 bits da esquerda para a direita para se certificar de que eles correspondem, eTambém certifique-se que ele tem uma máscara de subrede de 24 bits.Para as redes 4 e 5, podemos permitir ou negar ambas com uma linha. Sedê uma olhada no 4 e 5 novamente, podemos ver que todo o bit de corresponder até o bit 2.Isto deixaria 1 bit que não corresponde, o que nos daria 2 redes possíveis,6sendo que ambos temos.O Prefixo de-lista para permitir ou negar tanto 4 e 5 seria:91.86.4.0/23 ge 24 le 24Isto irá verificar os primeiros 23 bits da esquerda para a direita. O bit 24 podia ser desligado,que nos daria 4, ou pode ser em que nos daria 5. Uma vez que temos a gee le envolveu o / 23 é apenas pedaços verificados. O ge e le especificar que a nossa sub-redemáscara deve ser maior do que ou igual a 24-bits e inferior ou igual a 24-bitso que significa que a máscara deve ser de 24 bits para ambas as redes possíveis.
Certificação CCNP BSCI Exam Tutorial: Usando o PrefixoListas para filtrar BGPPor Chris Bryant, CCIE # 12933
Depois de ter os fundamentos do BGP para baixo, é importante aprender a filtrar BGPatualizações de roteamento. Existem vários métodos de fazê-lo, mas a Cisco recomenda uma(E que você está certo de ver muitas de certificação Cisco exames) é o uso de prefixolistas. A rede a seguir será usado neste tutorial para mostrar a configuração eefeito de listas de prefixo.R4 está anunciando três redes via BGP.R4 (config) # router bgp 4R4 (config-router) # network 21.0.0.0 máscara 255.0.0.0R4 (config-router) # network 22.0.0.0 máscara 255.0.0.0
R4 (config-router) # network 23.0.0.0 máscara 255.0.0.07R3 R4 próximo eBGP vê essas rotas e os coloca em sua tabela BGP, como mostradoabaixo. R3 tem dois pares iBGP, R1 e R2, e está a anunciar-se como o IP do próximo saltoEndereço para todas as rotas BGP enviado para esses dois roteadores.R3 # show ip bgpBGP versão de tabela é de 4, ID roteador local é 3.3.3.3Os códigos de status: s suprimidos, d amortecida, a história h, * válido,> melhor, i-internosCódigos de origem: i - IGP, e - EGP,? - IncompletaRede Próxima Hop Caminho Peso Metric LocPrf*> 21.0.0.0 10.2.2.4 0 0 4 i*> 22.0.0.0 10.2.2.4 0 0 4 i*> 23.0.0.0 10.2.2.4 0 0 4 iR3 (config) # router bgp 123R3 (config-router) # vizinho 172.12.123.1 next-hop auto-R3 (config-router) # vizinho 172.12.123.2 next-hop auto-Tanto o R2 e R1 ver as três rotas.R2 # show ip bgpBGP versão de tabela é de 4, ID roteador local é 2.2.2.2Os códigos de status: s suprimidos, d amortecida, a história h, * válido,> melhor, i-internosCódigos de origem: i - IGP, e - EGP,? - IncompletaRede Próxima Hop Caminho Peso Metric LocPrf*> I21.0.0.0 172.12.123.3 0 100 0 4 i*> I22.0.0.0 172.12.123.3 0 100 0 4 i*> I23.0.0.0 172.12.123.3 0 100 0 4 iR1 # show ip bgpBGP versão de tabela é de 4, ID roteador local é 19.1.1.1Os códigos de status: s suprimidos, d amortecida, a história h, * válido,> melhor, i-internosCódigos de origem: i - IGP, e - EGP,? - IncompletaRede Próxima Hop Caminho Peso Metric LocPrf*> I21.0.0.0 172.12.123.3 0 100 0 4 i*> I22.0.0.0 172.12.123.3 0 100 0 4 i*> I23.0.0.0 172.12.123.3 0 100 0 4 iSe quiséssemos R3 para receber todas as três rotas a partir de R4 mas não anunciá-los para R2e R1, temos duas opções sobre como bloquear estas rotas. Cisco8recomendação é o uso de listas de prefixo, e uma vez que você se acostumar com a sintaxe (que vocêdeve fazer antes de tomar e passar o BSCI), você verá que eles são realmente mais fácil de usarde listas de acesso, neste caso.Neste caso, vamos configurar o R3 para enviar apenas a rota para 21.0.0.0 para R1 e23.0.0.0 para R2. Nem R1 nem R2 terá a rota para 22.0.0.0. No entanto, queremosestes dois roteadores para obter todas as rotas futuras que R4 anuncia em BGP.Uma vez que estes dois roteadores irão aprender sobre essas rotas a partir de um vizinho iBGP, eles vão
não anunciar as rotas para o outro após saber de sua rota um atribuído.Em R3, vamos escrever uma lista de prefixo que nega 22.0.0.0 / 8 e 23.0.0.0 / 8, mas permite que todos os outrosrotas. Este comando irá ser aplicada a actualizações enviadas para R1 via instrução vizinho.Depois de aplicar o comando e aplicação de um soft reset ao R3, R1 vê apenas o 21.0.0.0rota.R3 (config) # ip prefix-list FILTER_R1 negar 22.0.0.0 / 8R3 (config) # ip prefix-list FILTER_R1 negar 23.0.0.0 / 8R3 (config) # ip prefix-list FILTER_R1 autorização 0.0.0.0 / 0 le 32R3 (config) # router bgp 123R3 (config-router) # vizinho 172.12.123.1 prefixo lista FILTER_R1 foraR3 # clear ip bgp * softR1 # show ip bgpBGP versão de tabela é de 6, ID roteador local é 19.1.1.1Os códigos de status: s suprimidos, d amortecida, a história h, * válido,> melhor, i-internosCódigos de origem: i - IGP, e - EGP,? - IncompletaRede Próxima Hop Caminho Peso Metric LocPrf*> I21.0.0.0 172.12.123.3 0 100 0 4 iOs caminhos para 22.0.0.0 / 8 e 23.0.0.0 / 8 foram filtrados com êxito.Em R3, vamos escrever uma prefix-list que irá filtrar 21.0.0.0 / 8 e 22.0.0.0 / 8, mas permitir que todos osoutras rotas. Depois de aplicar esta lista de prefixo de R2 através do comando vizinho erealizar um soft reset ao R3, R2 vê apenas a rota para 23.0.0.0.R3 (config) # ip prefix-list FILTER_R2 negar 21.0.0.0 / 8R3 (config) # ip prefix-list FILTER_R2 negar 22.0.0.0 / 8R3 (config) # ip prefix-list FILTER_R2 autorização 0.0.0.0 / 0 le 32R3 (config) # router bgp 123R3 (config-router) # vizinho 172.12.123.2 prefixo lista FILTER_R2 fora9R3 # clear ip bgp * softR2 # show ip bgpBGP versão de tabela é de 6, ID roteador local é 2.2.2.2Os códigos de status: s suprimidos, d amortecida, a história h, * válido,> melhor, i-internosCódigos de origem: i - IGP, e - EGP,? - IncompletaRede Próxima Hop Caminho Peso Metric LocPrf*> I23.0.0.0 172.12.123.3 0 100 0 4 iOs caminhos para 21.0.0.0 / 8 e 22.0.0.0 / 8 foram filtrados com êxito.Para ver a lista de prefixo configurado em uma rota, bem como a ordem das declarações em cadalista, execute show ip prefix-list.R3 # show ip prefix-listip prefix-list FILTER_R1: 3 entradasseq 5 negar 22.0.0.0 / 810 seq negar 23.0.0.0 / 8seq 15 permitem 0.0.0.0 / 0 le 32ip prefix-list FILTER_R2: 3 entradasseq 5 negar 21.0.0.0 / 8
10 seq negar 22.0.0.0 / 8seq 15 permitem 0.0.0.0 / 0 le 32Usando listas de prefixo corretamente é uma parte importante do sucesso no exame CCNP, e para aqueles devocê com um olho no CCIE, é ainda mais importante. Aprenda como muitos métodos como vocêpode filtrar rotas BGP, e começar com o método fundamental - listas de prefixo!Combinando Classes de endereço com prefixo-listasEm vez de usar ACLs para coincidir com classes de endereços como o Classe A, B ou C ip prefixo listas pode fazero truque também.Permite iniciar com as definições de classe:Classe A: 1.0.0.0 - 127.255.255.255Classe B: 128.0.0.0 - 191.255.255.255Classe C: 192.0.0.0 - 223.255.255.255Os endereços reservados estão todos na definição acima, uma vez que ainda pertencem àdefinições, embora sejam apenas utilizados para a sua função especial. Para mostrar como acalcular a correta declaração prefix-list ip eles têm que ser levados para o cálculo.
10Agora, se mudar as definições de classe de decimal em binário, as classes também pode serdefinido com os bits a partir do primeiro octeto:Classe A: 0Classe B: 10Classe C: 110Não importa o que IP você tirar de uma classe o seu primeiro octeto sempre começará em binário comomostrado acima. Com base nesta lista, podemos dizer que a classe A precisa de um pouco de rede, Classe Bdois e três Classe C para ser combinado sobre ou em outras palavras:Classe A: 1.0.0.0 / 1Classe B: 128.0.0.0 / 2Classe C: 192.0.0.0 / 3Classe D: 224.0.0.0 / 4Isso é mais ou menos como as listas de prefixo pode ser construído para atender às classes de endereços, mas seusamos as afirmações acima e colocá-lo junto com um prefixo de-lista, isso não vai funcionar do jeito quedeve, desde então, só jogo no endereço exato e bits de rede. Para obtê-lotrabalho que temos para expandi-la um pouco para que coincida com todos os tipos de redes:Classe A: 1.0.0.0 / 1 le 32Classe B: 128.0.0.0 / 2 le 32Classe C: 192.0.0.0 / 3 le 32Desta vez, o prefix-list iria corresponder às classes específicas e em todos os tipos de redesa palavra-chave le 32 significa corresponder em todas as redes com uma poção de rede menor ou igual a
32 bits. Para a prova de trabalho aqui é um cenário pouco com dois roteadores e EIGRP:R1 tem seis loopbacks configurado, dois endereços para cada classe. Todos são anunciados emEIGRP e R2 tem tudo em sua tabela de roteamento:11R2 # sh ip rota EIGRP1.0.0.0/24 é sub-redes, 1 sub-redesD 1.1.1.0 [90/156160] via 116.1.12.1, 00:00:12, FastEthernet0 / 0D 100.0.0.0 / 8 [90/156160] via 116.1.12.1, 00:00:12, FastEthernet0 / 0130.1.0.0/25 é sub-redes, 1 sub-redesD 130.1.1.0 [90/156160] via 116.1.12.1, 00:00:06, FastEthernet0 / 0D 192.1.1.0/24 [90/156160] via 116.1.12.1, 00:00:06, FastEthernet0 / 0D 180.1.0.0/16 [90/156160] via 116.1.12.1, 00:00:06, FastEthernet0 / 0D 199.1.0.0/23 [90/156160] via 116.1.12.1, 00:00:06, FastEthernet0 / 0R2 agora terá três ip prefix-listas, uma para cada classe:ip prefix-list CLASS-A seq 5 autorização 0.0.0.0 / 1 le 32ip prefix-list CLASS B-seq 5 licença 128.0.0.0 / 2 le 32ip prefix-list CLASS-C seq 5 licença 192.0.0.0 / 3 le 32Agora podemos começar a brincar com o comando distribuir lista sob o eigrp router10router eigrp 10distribuir lista de Classe A prefixo em FastEthernet 0/0Isso irá ativar um filtro em todos os ingresso atualizações de roteamento provenientes FastEthernet0 / 0 (ouR1, neste caso). Você agora pode esperar até que todas as rotas esgotado ou para ser mais rápido apenasemitir um clear ip route *. Todas as rotas que não combinam com o prefixo-list CLASS-A não seráinstalado na tabela de roteamento para a tabela de roteamento contém apenas o loopback doisredes que pertencem a classe A:R2 # sh ip rota EIGRP1.0.0.0/24 é sub-redes, 1 sub-redesD 1.1.1.0 [90/156160] via 116.1.12.1, 00:06:44, FastEthernet0 / 0D 100.0.0.0 / 8 [90/156160] via 116.1.12.1, 00:06:44, FastEthernet0 / 0Alterar a distribuir lista de prefixo de-lista CLASS-A para a classe B-resultaria em apenascom as redes de classe B na tabela de roteamento, mesmo com a CLASS-C prefixo lista.Como usar um Distribua-lista para filtrar para fora de roteamentoAtualizações no Cisco IOSpor David Davis, vExpert, VCP, CCIE 9369 - 8 de janeiro de 2009Enquanto estiver usando protocolos de roteamento dinâmico, em algum momento, você vai querer filtrar as rotasque são enviados de um roteador para outro ou rotas de filtro que são recebidos em suaroteador. Uma das maneiras mais fáceis de fazer isso é usar uma lista de distribuição. Vamos descobrir como ...12O que é um Distribua-List?Primeiro, deixe-me ressaltar que não estamos falando de uma "lista de distribuição".
Enquanto o"distribuição" palavra pode parecer para atender melhor, não é isso que ele é chamado. I também, ao longo doanos, têm periodicamente chamou-lhe uma lista de distribuição para que eu primeiro queria definir o registroem linha reta.Um distribuem-list é usado para controlar atualizações de roteamento ou que chegam ao seu roteador ousaindo do seu roteador. Distribuem-listas trabalho sobre uma variedade de diferentes IOS encaminhamentoprotocolos. Por isso, aprender a usar distribuir listas é muito valioso.Como distribuem-lists uso Cisco IOS access-lists, você pode definir o que muito granularrotas vai ou não vai ser enviado para fora do router, ou recebidos no roteador. Vamos descobrircomo eles funcionam ...Passo 1 - Definir o que as rotas que você deseja filtrarDigamos que você deseja filtrar rotas de entrada de um roteador. Comece dando uma olhada emsua tabela de roteamento atual. Que redes, exatamente, você quer filtrar? Aqui está umaamostra da tabela de roteamento, para o nosso exemplo:Router # show ip routeCódigos: C - conectado, S - static, I - IGRP, R - RIP, M - mobile, B - BGP! D - EIGRP, EX - EIGRP externo, O - OSPF, IA - OSPF entre áreas! N1 - OSPF NSSA externa tipo 1, N2 - OSPF NSSA tipo externa 2! E1 - OSPF externo tipo 1, E2 - OSPF externo tipo 2, E - EGP! i - IS-IS, L1 - IS-IS nível-1, L2 - IS-IS nível-2, ia - IS-IS entre áreas! * - Candidato padrão, U - per-user rota estática, o - ODR! P - rota estática baixado periódicaGateway de último recurso não está definido! 100.0.0.0 / 8 é variável sub-redes, 3 sub-redes, 2 máscaras! O 100.200.200.1/32 [110/11] via 172.16.100.29, 00:00:10, Ethernet0! O 100.200.100.1/32 [110/11] via 172.16.100.29, 00:00:10, Ethernet0! C 100.100.250.0/24 está diretamente conectado, Loopback0! 172.16.0.0/24 é sub-redes, 1 sub-redes! C 172.16.100.0 está diretamente conectado, Ethernet0Digamos que queremos filtrar 10.200.100.1/32 rota.Passo 2 - Crie uma ACL para filtrar o tráfego13Em seguida, precisamos definir uma ACL que identifica esse caminho, nega, e permite que todos os outrostráfego. Aqui é a ACL que eu usei:Router (config) # access-list-50 negar 100.200.100.1Router (config) # access-list-50 licença de qualquerPasso 3 - Criar um Distribua-List que as referênciasACL e define a direçãoAgora, você quer criar uma lista de distribuição que faz referência a esta ACL, em seguida, especificar odireção que o Distribute-list será aplicado.A lista distribuem-se definido por baixo do processo de encaminhamento para o
protocolo que ésendo usado em. No nosso caso, queremos filtrar rotas OSPF assim que nós vamos para o roteamento OSPFprocesso de configuração.Router (config) # router ospf 10Router (config-router) # distribuir lista?! <1-199> número da lista de acesso IP! <1300-2699> número da lista de IP da expansão do acesso! Nome Word, Access-list! gateway de filtragem atualizações de entrada com base em portal! prefixos prefixo Filtro em atualizações de roteamentoRouter (config-router) # distribuir lista de 50?! Filtro de entrada de atualizações de roteamento! Filtro de saída para fora atualizações de roteamentoRouter (config-router) # distribuir lista de 50 emPasso 4 - Verifique se a rota foi removidoDepois de colocar sua nova ACL e distribuir lista no local, verificar se eles forambem sucedida. Note como, na saída via ip mostra abaixo, o 10.200.100.1 já nãomostra-se.Router # sh ip ro(Truncado)100.0.0.0 / 8 é variável sub-redes, 2 subnets, 2 máscaras14! O 100.200.200.1/32 [110/11] via 172.16.100.29, 00:11:39, Ethernet0! C 100.100.250.0/24 está diretamente conectado, Loopback0! 172.16.0.0/24 é sub-redes, 1 sub-redes! C 172.16.100.0 está diretamente conectado, Ethernet0Router #Abaixo, você encontrará gráficos das configurações no lugar de cada lado destadistribuir lista de filtragem de rota:Em Resumo15Nossa rota de filtragem com o comando distribuir lista foi bem sucedida. Você pode usar estamesmo conceito e processo para filtrar várias rotas a partir de qualquer um que vai dentro ou fora doseu roteador. O recurso de distribuir lista trabalha com um número de diferentes protocolos de roteamento.Você pode até especificar no comando distribuir lista de quais interfaces você deseja que ocomando aplicado. Então, da próxima vez que você precisa para não enviar uma rota ou ter umroteador não receber uma rota, não se esqueça sobre o comando distribuir lista (não distributionlist).Para mais informações sobre Distribuir listas, consulte o artigo Cisco.com Filtering RoteamentoAtualizações no Distance Vector protocolos de roteamento IP.Usando prolongado access-lists em um Distribute-ListPor Brian McGahan, CCIE # 8593Oi Brian,Estou tentando criar uma lista de distribuição em RIP permite apenas que mesmo as
rotas a serem recebidos. Eu possofazê-lo com sucesso com uma ACL padrão, porém se eu usar uma ACL estendida Eu não posso ficarrotas em tudo. Ouvi dizer que ACLs estendidas são melhores, porque eles também verificar amáscara de rede. O que estou fazendo de errado?Usando uma lista de acesso estendida com uma distribuem-list é compatível, porém a sintaxe podeser um pouco confuso, porque significa coisas diferentes para diferentes aplicações. Quandousando uma ACL estendida para uma lista distribuem-in BGP ele age como um prefixo de-lista. Isto significaque você pode combinar tanto o endereço do prefixo ea máscara de sub-rede. Em outras palavrasse você tiver prefixos 10.0.0.0 / 8 10.0.0.0/16 e você pode distingui-las pelodizendo não apenas deve ser o endereço 10.0.0.0, mas a máscara deve ser / 8. Em prefix-listsintaxe é muito simples, como para corresponder a esse prefixo usaríamos o seguinte:ip prefix-list PREFIX1 autorização 10.0.0.0 / 8Ao usar uma lista de acesso estendida no BGP sintaxe das alterações na lista em que estamosnão correspondência pares de origem e destino, mas em vez disso estão combinando o endereço emáscara de rede. Na sintaxe da ACL estendida acima prefix-list seria:acesso à lista-100 ip host autorização anfitrião 10.0.0.0 255.0.0.0Isso significa que o endereço deve ser exatamente 10.0.0.0 ea máscara de sub-rede deve ser exatamente255.0.0.0. Ao alterar o "host" palavra-chave para uma máscara que podemos fazer binária difusapartidas. Por exemplo, a seguinte sintaxe significa verificar qualquer endereço que começa com"192,168" e tem uma máscara de sub-/ 24:access-list 101 ip 192.168.0.0 0.0.255.255 autorização anfitrião 255.255.255.016Em outras palavras, esta lista corresponde 192.168.0.0/24, 192.168.100.0/24, 192.168.200.0/24, etcEsta sintaxe lista de acesso estendida pode também ser usado em um mapa de rotas para redistribuiçãofiltragem em ambos IGP e BGP. Por exemplo, se tomamos a anterior lista de acesso-101 ecombinados em um mapa de rotas, como se segue:route-map autorização OSPF_TO_RIP 10corresponde ao endereço ip 100!router ripredistribuir ospf 1 metric 1 OSPF_TO_RIP route-mapEsta sintaxe diria que queremos redistribuir rotas OSPF em RIP, mas somente aquelesque são 192.168.X.X/24.A confusão para essa implementação lista de acesso estendida é que quando ele é chamado como umdistribuir lista no IGP as mudanças da sintaxe. Nos exemplos anteriores, a "fonte"
normalcampo na ACL representa o endereço de rede, onde o "destino" campo representaa máscara de sub-rede. No IGP-aplicação distribuir lista a "fonte" de campo nos jogos do LCAa fonte de atualização da rota, e de "destino" campo representa o endereço de rede.Esta aplicação permite-nos controlar as redes que estamos recebendo, mas maisimportante que estamos recebendo-os. Tome a seguinte topologia:Partes R1, R2, R3 e uma rede Ethernet 123.0.0.0 / 8 que está a executar PIR. Ambos R1 eR2 está anunciando os prefixos idênticos 10.0.0.0 / 8 e 20.0.0.0 / 8 a R3. Seuconfigurações são como se segue:R1 # show ip int breve | exclude não atribuídoOK interface Endereço IP? Protocolo de Status de métodoFastEthernet0 / 0 123.0.0.1 Sim Manual up upLoopback0 10.0.0.1 Sim Manual up upLoopback1 20.0.0.2 Sim Manual up upR1 # show run | begin router riprouter ripversão 2rede 10.0.0.0rede 20.0.0.0rede 123.0.0.0R2 # show ip int breve | excluir não atribuídoOK interface Endereço IP? Protocolo de Status de métodoFastEthernet0 / 0 123.0.0.2 Sim Manual up upLoopback0 10.0.0.1 Sim Manual up upLoopback1 20.0.0.2 Sim Manual up upR2 # sh run | router começar riprouter ripversão 2rede 10.0.0.017rede 20.0.0.0rede 123.0.0.0R3 # show ip route ripR 20.0.0.0 / 8 [120/1] via 123.0.0.2, 00:00:00, Ethernet0 / 0[120/1] via 123.0.0.1, 00:00:00, Ethernet0 / 0R 10.0.0.0 / 8 [120/1] via 123.0.0.2, 00:00:00, Ethernet0 / 0[120/1] via 123.0.0.1, 00:00:00, Ethernet0 / 0A partir desta saída, podemos ver que R3 tem os dois prefixos instalados duas vezes, uma vez a partir de R1e uma vez a partir de R2. Agora vamos supor que prefixo 10.0.0.0 / 8, só quer receber doR1, enquanto prefixo 20.0.0.0 / 8, só quer receber do R2. Podemos realizar estacom uma lista de acesso estendida da seguinte forma:R3 # conf tDigite os comandos de configuração, um por linha. End com CNTL / Z.R3 (config) # access-list-100 ip host 123.0.0.1 autorização anfitrião 10.0.0.0R3 (config) # access-list-100 ip host 123.0.0.2 autorização anfitrião 20.0.0.0R3 (config) # router ripR3 (config-router) # distribuir lista de 100 em Ethernet0 / 0
R3 (config-router) # finalR3 # ip route claro *R3 # show ip route ripR 20.0.0.0 / 8 [120/1] via 123.0.0.2, 00:00:00, Ethernet0 / 0R 10.0.0.0 / 8 [120/1] via 123.0.0.1, 00:00:00, Ethernet0 / 0Podemos ver agora R3 só tem uma entrada para cada prefixo, com o 10.0.0.0 / 8 chegando apenasa partir de R1 e 20.0.0.0 / 8 vindo apenas a partir de R2. A desvantagem desta aplicaçãoporém, é que não podemos distinguir prefixos com base em sua máscara de rede. Por exemplo, nósnão poderia dizer que nós queremos receber 172.16.0.0/16 prefixo a partir de apenas R1 e prefixo172.16.0.0/24 apenas de R2. Para esta implementação no IGP poderíamos usar um prefixo de-listaque é chamado de um distribuem-lista com a "distribuir lista de prefixo" sintaxe sob aprocesso de roteamento.18
