|
ACL(Access Control List,訪問(wèn)控制列表) 是路由器和交換機(jī)接口的指令列表�,用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。下面讓我們看一下引用ACL做路由過(guò)濾未過(guò)濾掉一條聚合路由的故障是怎么解決的�。
網(wǎng)絡(luò)環(huán)境
如圖所示,RouterA和RouterB是網(wǎng)絡(luò)中的兩臺(tái)路由器�,在RouterA上配置路由策略過(guò)引入特定的路由。
圖中引用ACL做路由過(guò)濾未過(guò)濾掉一條聚合路由認(rèn)證案例組網(wǎng)圖
配置完成后�����,發(fā)現(xiàn)多引入了一條路由�����。
故障分析
步驟 1 在RouterA上執(zhí)行display current-configuration命令�,查看路由策略的配置情況�,發(fā)現(xiàn)路由策略中引用的策略匹配條件是ACL���,ACL的配置如下:
- <RputerA> display current-configuration
-
- #
-
- acl 2001
-
- rule 10 permit source 134.128.0.0 0.0.255.255
引入的兩條路由的IP前綴為134.128.0.0/11和134.128.0.0/16����。
路由策略引用的ACL只支持標(biāo)準(zhǔn)ACL�,即只包含源IP地址和掩碼。
對(duì)于標(biāo)準(zhǔn)ACL�,不考慮IP前綴長(zhǎng)度,只要前綴號(hào)匹配(IP前綴由前綴號(hào)和前綴長(zhǎng)度組成)����,就認(rèn)為匹配。所以?xún)蓷l路由都被匹配到而被引入����。
----結(jié)束
處理步驟
在路由器RouterA執(zhí)行以下命令:
步驟 1 執(zhí)行system-view命令,進(jìn)入系統(tǒng)視圖����。
步驟 2 執(zhí)行命令ip ip-prefix huawei 134.128.0.0 0.0.255.255 greater-equal 16 less-equal 16,配置IPv4地址前綴列表��。
將IP前綴的greater-equal和less-equal都設(shè)置為16�,即只引入16位掩碼的路由�����。
步驟 3 執(zhí)行命令route-policy huawei permit node 10����,創(chuàng)建Route-Policy的節(jié)點(diǎn)��,并進(jìn)入Route-Policy視圖����。
步驟 4 執(zhí)行命令if-match ip-prefix huawei�,匹配地址前綴列表。
----結(jié)束
完成上面的配置后�,可以成功將134.128.0.0/16一條路由引入進(jìn)來(lái),而將134.128.0.0/11路由過(guò)濾出去�����。
案例總結(jié)
過(guò)濾路由時(shí)��,需要注意ACL和IP前綴的應(yīng)用效果���,需要精確確定掩碼長(zhǎng)度時(shí)��,需要使用IP前綴來(lái)定義����。
本文出自:億恩科技【1tcdy.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商���!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
