172.16.8.48/28
172.16.8.64/28
Ns poderamos permitir que todas essas redes com prefixo em lista de declarao:
172.16.8.0/24 ge 28 le 28
Isto ir verificar os primeiros 24 bits para garantir que eles correspondem. Todas estas
redes tm
172.16.8 com os primeiros 24 bits, e ele no se importam o que est nos ltimos 8 bits.
Em seguida, ele vai
certifique-se que a mscara de sub-rede Maior que ou igual a 28 bits de
LESS THAN ou igual a 28 bits - o nico nmero que funciona para este de 28 bits.
Assim
os primeiros 24 bits na rede deve corresponder e tem que ter uma mscara de 28 bits.
Todos 5 de nossas redes iria corresponder por isso.
Ns poderamos ser ainda mais preciso com isso e usar:
4
172.16.8.0/25 ge 28 le 28
Se dermos uma olhada em nossos octects 4 , veremos que para todas elas a de 128
bits est desligado
para que possamos verificar que pouco tambm (25 bits total estamos checando).
0-00000000
16-0 0 0 1 0 0 0 0
32-0 0 1 0 0 0 0 0
48-0 0 1 1 0 0 0 0
64-0 1 0 0 0 0 0 0
Isso seria mais prximo de permitir que as 5 redes que temos.
Poderamos, tambm, permitir que apenas as redes classful. A primeira coisa que
precisamos fazer
descobrir exatamente o que uma rede classful.
Para uma classe de rede, sabemos que ele tem que ter uma mscara de 8 bits e deve
ser
entre 0 e 127 no primeiro octect. Se quebrar 0 e 127 que
obter:
0 --- 0 0 0 0 0 0 0 0
127-0 1 1 1 1 1 1 1
Para o primeiro octecto de uma classe de rede do primeiro bit tem que ser um 0, ele
deve ser desligada. Assim
podemos fazer um prefixo de-lista como esta:
0.0.0.0 / 1 ge 8 le 8
Em nosso primeiro octeto o primeiro bit um 0 (que o que precisaria ser para ser de
classe A),
com o / 1, temos que estamos apenas verificando o primeiro bit para ter certeza que
um 0
(Ou seja, seria uma rede de Classe 0 - 127). Estamos, ento, certificando-se que este
rede de classe A tem realmente uma classe A mscara de sub-rede de 8 bits, e apenas
8 bits seria
corresponder.
Para a classe B do que precisa ter certeza de que eles tm uma mscara de subrede de
16 bits e que
eles so na gama de 128-191 no primeiro octeto. Se quebrar 128 e 191
temos:
128-1 0 0 0 0 0 0 0
191-1 0 1 1 1 1 1 1
Os dois primeiros bits so o que ns estamos indo se preocupar. Precisamos ter certeza
de que
os dois primeiros bits no primeiro octeto so 1 0. O primeiro nmero que podemos usar
como nosso
padro estamos verificando contra 128 128 tem um 1 0 como os dois primeiros bits na sua primeiro octeto.
128.0.0.0 / 2 ge 16 le 16
Ento, estamos verificando os dois primeiros bits para garantir que a rede tem um 1 0,
significando
que ele deve estar na gama de 128 - 191. Estamos, ento, vai verificar para se certificar
que tem a mscara de bits com classe 16, e apenas um
16 mscara de bits.
5
Finalmente, temos as redes de classe C. Redes de Classe C so na gama de 192-223
e eles devem ter uma mscara de 24 bits. Se quebrar 192 e
223 temos:
192-1 1 0 0 0 0 0 0
223-1 1 0 1 1 1 1 1
Os 3 primeiros bits do primeiro octeto so o que ns nos preocupamos. 192 seria o
primeiro
nmero que pode colocar em que octect primeiro que ter 1 1 0 como seus primeiros 3
bits.
192.0.0.0 / 3 ge 24 le 24
Vamos verificar os 3 primeiros bits do octeto e certifique-se que a sua 1 1 0
o que significa que tem que ser na gama de 192-223 sendo de classe C, em seguida,
vamos
verificar para se certificar de que tem uma classe de sub-rede C classful de 24 bits.
Finalmente, como para permitir ou negar qualquer poderia ser muito til uma vez que
uma lista de prefixos apenas como um
Lista de acesso possui uma implcita negar no final:
0.0.0.0 / 0 le 32
Este "qualquer" para um prefixo de-lista. Diz verificar bits 0, eu no me importo o que
qualquer um dos bits
so. Ele tambm diz que a mscara de sub-rede pode ser de 32 bits ou menos (at o
nmero de
bits que est conferindo) para 0. Portanto, no estamos indo para verificar os bits e os
rede pode ter uma mscara de sub-qualquer coisa entre 0 e 32 bits. Isto seria
'Qualquer'.
Agora para a sua lista de prefixos:
No octeto 3 temos 1, 4, e 5. Vamos dividir esses padres para binrio para ver se ns
pode resumir isso em uma linha:
1-0 0 0 0 0 0 0 1
4-0 0 0 0 0 1 0 0
5-0 0 0 0 0 1 0 1
Para uma lista de prefixos que precisamos para ir da esquerda para a direita e no
podemos ignorar bits. Assim, para
destas trs redes que precisamos para parar na 8 bits, pois o ltimo pedao de
esquerda para a direita que o mesmo. Isto nos daria 3 bits que so diferentes, ou 8
redes possveis. Temos apenas 3 dos 8 redes possveis e no devemos
permitir ou negar mais do que realmente tem. Devemos ser o mais especfico possvel.
Se deixarmos o 91.86.1.0/24 sozinho por si s, nos dar uma lista de prefixos de:
91.86.1.0/24
Isto ir verificar os primeiros 24 bits da esquerda para a direita para se certificar de que
eles correspondem, e
Tambm certifique-se que ele tem uma mscara de subrede de 24 bits.
Para as redes 4 e 5, podemos permitir ou negar ambas com uma linha. Se
d uma olhada no 4 e 5 novamente, podemos ver que todo o bit de corresponder at o
bit 2.
Isto deixaria 1 bit que no corresponde, o que nos daria 2 redes possveis,
6
sendo que ambos temos.
O Prefixo de-lista para permitir ou negar tanto 4 e 5 seria:
91.86.4.0/23 ge 24 le 24
Isto ir verificar os primeiros 23 bits da esquerda para a direita. O bit 24 podia ser
desligado,
que nos daria 4, ou pode ser em que nos daria 5. Uma vez que temos a ge
e le envolveu o / 23 apenas pedaos verificados. O ge e le especificar que a nossa
sub-rede
mscara deve ser maior do que ou igual a 24-bits e inferior ou igual a 24-bits
o que significa que a mscara deve ser de 24 bits para ambas as redes possveis.
Certificao CCNP BSCI Exam Tutorial: Usando o Prefixo
Listas para filtrar BGP
Por Chris Bryant, CCIE # 12933
Depois de ter os fundamentos do BGP para baixo, importante aprender a filtrar BGP
atualizaes de roteamento. Existem vrios mtodos de faz-lo, mas a Cisco
recomenda uma
(E que voc est certo de ver muitas de certificao Cisco exames) o uso de prefixo
listas. A rede a seguir ser usado neste tutorial para mostrar a configurao e
efeito de listas de prefixo.
R4 est anunciando trs redes via BGP.
R4 (config) # router bgp 4
R4 (config-router) # network 21.0.0.0 mscara 255.0.0.0
R4 (config-router) # network 22.0.0.0 mscara 255.0.0.0
32 bits. Para a prova de trabalho aqui um cenrio pouco com dois roteadores e
EIGRP:
R1 tem seis loopbacks configurado, dois endereos para cada classe. Todos so
anunciados em
EIGRP e R2 tem tudo em sua tabela de roteamento:
11
R2 # sh ip rota EIGRP
1.0.0.0/24 sub-redes, 1 sub-redes
D 1.1.1.0 [90/156160] via 116.1.12.1, 00:00:12, FastEthernet0 / 0
D 100.0.0.0 / 8 [90/156160] via 116.1.12.1, 00:00:12, FastEthernet0 / 0
130.1.0.0/25 sub-redes, 1 sub-redes
D 130.1.1.0 [90/156160] via 116.1.12.1, 00:00:06, FastEthernet0 / 0
D 192.1.1.0/24 [90/156160] via 116.1.12.1, 00:00:06, FastEthernet0 / 0
D 180.1.0.0/16 [90/156160] via 116.1.12.1, 00:00:06, FastEthernet0 / 0
D 199.1.0.0/23 [90/156160] via 116.1.12.1, 00:00:06, FastEthernet0 / 0
R2 agora ter trs ip prefix-listas, uma para cada classe:
ip prefix-list CLASS-A seq 5 autorizao 0.0.0.0 / 1 le 32
ip prefix-list CLASS B-seq 5 licena 128.0.0.0 / 2 le 32
ip prefix-list CLASS-C seq 5 licena 192.0.0.0 / 3 le 32
Agora podemos comear a brincar com o comando distribuir lista sob o eigrp router
10
router eigrp 10
distribuir lista de Classe A prefixo em FastEthernet 0/0
Isso ir ativar um filtro em todos os ingresso atualizaes de roteamento provenientes
FastEthernet0 / 0 (ou
R1, neste caso). Voc agora pode esperar at que todas as rotas esgotado ou para ser
mais rpido apenas
emitir um clear ip route *. Todas as rotas que no combinam com o prefixo-list CLASS-A
no ser
instalado na tabela de roteamento para a tabela de roteamento contm apenas o
loopback dois
redes que pertencem a classe A:
R2 # sh ip rota EIGRP
1.0.0.0/24 sub-redes, 1 sub-redes
D 1.1.1.0 [90/156160] via 116.1.12.1, 00:06:44, FastEthernet0 / 0
D 100.0.0.0 / 8 [90/156160] via 116.1.12.1, 00:06:44, FastEthernet0 / 0
Alterar a distribuir lista de prefixo de-lista CLASS-A para a classe B-resultaria em
apenas
com as redes de classe B na tabela de roteamento, mesmo com a CLASS-C prefixo
lista.
Como usar um Distribua-lista para filtrar para fora de roteamento
Atualizaes no Cisco IOS
por David Davis, vExpert, VCP, CCIE 9369 - 8 de janeiro de 2009
Enquanto estiver usando protocolos de roteamento dinmico, em algum momento, voc
vai querer filtrar as rotas
que so enviados de um roteador para outro ou rotas de filtro que so recebidos em sua
roteador. Uma das maneiras mais fceis de fazer isso usar uma lista de distribuio.
Vamos descobrir como ...
12
O que um Distribua-List?
Primeiro, deixe-me ressaltar que no estamos falando de uma "lista de distribuio".
Enquanto o
"distribuio" palavra pode parecer para atender melhor, no isso que ele chamado.
I tambm, ao longo do
anos, tm periodicamente chamou-lhe uma lista de distribuio para que eu primeiro
queria definir o registro
em linha reta.
Um distribuem-list usado para controlar atualizaes de roteamento ou que chegam
ao seu roteador ou
saindo do seu roteador. Distribuem-listas trabalho sobre uma variedade de diferentes
IOS encaminhamento
protocolos. Por isso, aprender a usar distribuir listas muito valioso.
Como distribuem-lists uso Cisco IOS access-lists, voc pode definir o que muito
granular
rotas vai ou no vai ser enviado para fora do router, ou recebidos no roteador. Vamos
descobrir
como eles funcionam ...
Passo 1 - Definir o que as rotas que voc deseja filtrar
Digamos que voc deseja filtrar rotas de entrada de um roteador. Comece dando uma
olhada em
sua tabela de roteamento atual. Que redes, exatamente, voc quer filtrar? Aqui est
uma
amostra da tabela de roteamento, para o nosso exemplo:
Router # show ip route
Cdigos: C - conectado, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
! D - EIGRP, EX - EIGRP externo, O - OSPF, IA - OSPF entre reas
! N1 - OSPF NSSA externa tipo 1, N2 - OSPF NSSA tipo externa 2
! E1 - OSPF externo tipo 1, E2 - OSPF externo tipo 2, E - EGP
! i - IS-IS, L1 - IS-IS nvel-1, L2 - IS-IS nvel-2, ia - IS-IS entre reas
! * - Candidato padro, U - per-user rota esttica, o - ODR
! P - rota esttica baixado peridica
Gateway de ltimo recurso no est definido
! 100.0.0.0 / 8 varivel sub-redes, 3 sub-redes, 2 mscaras
! O 100.200.200.1/32 [110/11] via 172.16.100.29, 00:00:10, Ethernet0
! O 100.200.100.1/32 [110/11] via 172.16.100.29, 00:00:10, Ethernet0
! C 100.100.250.0/24 est diretamente conectado, Loopback0
! 172.16.0.0/24 sub-redes, 1 sub-redes
! C 172.16.100.0 est diretamente conectado, Ethernet0
Digamos que queremos filtrar 10.200.100.1/32 rota.
Passo 2 - Crie uma ACL para filtrar o trfego
13
Em seguida, precisamos definir uma ACL que identifica esse caminho, nega, e permite
que todos os outros
trfego. Aqui a ACL que eu usei:
Router (config) # access-list-50 negar 100.200.100.1
Router (config) # access-list-50 licena de qualquer
Passo 3 - Criar um Distribua-List que as referncias
ACL e define a direo
Agora, voc quer criar uma lista de distribuio que faz referncia a esta ACL, em
seguida, especificar o
direo que o Distribute-list ser aplicado.
A lista distribuem-se definido por baixo do processo de encaminhamento para o
protocolo que
sendo usado em. No nosso caso, queremos filtrar rotas OSPF assim que ns vamos
para o roteamento OSPF
processo de configurao.
Router (config) # router ospf 10
Router (config-router) # distribuir lista?
! <1-199> nmero da lista de acesso IP
! <1300-2699> nmero da lista de IP da expanso do acesso
! Nome Word, Access-list
! gateway de filtragem atualizaes de entrada com base em portal
! prefixos prefixo Filtro em atualizaes de roteamento
Router (config-router) # distribuir lista de 50?
! Filtro de entrada de atualizaes de roteamento
! Filtro de sada para fora atualizaes de roteamento
Router (config-router) # distribuir lista de 50 em
Passo 4 - Verifique se a rota foi removido
Depois de colocar sua nova ACL e distribuir lista no local, verificar se eles foram
bem sucedida. Note como, na sada via ip mostra abaixo, o 10.200.100.1 j no
mostra-se.
Router # sh ip ro
(Truncado)
100.0.0.0 / 8 varivel sub-redes, 2 subnets, 2 mscaras
14
! O 100.200.200.1/32 [110/11] via 172.16.100.29, 00:11:39, Ethernet0
! C 100.100.250.0/24 est diretamente conectado, Loopback0
! 172.16.0.0/24 sub-redes, 1 sub-redes
! C 172.16.100.0 est diretamente conectado, Ethernet0
Router #
Abaixo, voc encontrar grficos das configuraes no lugar de cada lado desta
distribuir lista de filtragem de rota:
Em Resumo
15
Nossa rota de filtragem com o comando distribuir lista foi bem sucedida. Voc pode usar
esta
mesmo conceito e processo para filtrar vrias rotas a partir de qualquer um que vai
dentro ou fora do
seu roteador. O recurso de distribuir lista trabalha com um nmero de diferentes
protocolos de roteamento.
Voc pode at especificar no comando distribuir lista de quais interfaces voc deseja
que o
comando aplicado. Ento, da prxima vez que voc precisa para no enviar uma rota
ou ter um
roteador no receber uma rota, no se esquea sobre o comando distribuir lista (no
distributionlist).
Para mais informaes sobre Distribuir listas, consulte o artigo Cisco.com Filtering
Roteamento
Atualizaes no Distance Vector protocolos de roteamento IP.
Usando prolongado access-lists em um Distribute-List
Por Brian McGahan, CCIE # 8593
Oi Brian,
Estou tentando criar uma lista de distribuio em RIP permite apenas que mesmo as
normal
campo na ACL representa o endereo de rede, onde o "destino" campo representa
a mscara de sub-rede. No IGP-aplicao distribuir lista a "fonte" de campo nos jogos
do LCA
a fonte de atualizao da rota, e de "destino" campo representa o endereo de rede.
Esta aplicao permite-nos controlar as redes que estamos recebendo, mas mais
importante que estamos recebendo-os. Tome a seguinte topologia:
Partes R1, R2, R3 e uma rede Ethernet 123.0.0.0 / 8 que est a executar PIR. Ambos
R1 e
R2 est anunciando os prefixos idnticos 10.0.0.0 / 8 e 20.0.0.0 / 8 a R3. Seu
configuraes so como se segue:
R1 # show ip int breve | exclude no atribudo
OK interface Endereo IP? Protocolo de Status de mtodo
FastEthernet0 / 0 123.0.0.1 Sim Manual up up
Loopback0 10.0.0.1 Sim Manual up up
Loopback1 20.0.0.2 Sim Manual up up
R1 # show run | begin router rip
router rip
verso 2
rede 10.0.0.0
rede 20.0.0.0
rede 123.0.0.0
R2 # show ip int breve | excluir no atribudo
OK interface Endereo IP? Protocolo de Status de mtodo
FastEthernet0 / 0 123.0.0.2 Sim Manual up up
Loopback0 10.0.0.1 Sim Manual up up
Loopback1 20.0.0.2 Sim Manual up up
R2 # sh run | router comear rip
router rip
verso 2
rede 10.0.0.0
17
rede 20.0.0.0
rede 123.0.0.0
R3 # show ip route rip
R 20.0.0.0 / 8 [120/1] via 123.0.0.2, 00:00:00, Ethernet0 / 0
[120/1] via 123.0.0.1, 00:00:00, Ethernet0 / 0
R 10.0.0.0 / 8 [120/1] via 123.0.0.2, 00:00:00, Ethernet0 / 0
[120/1] via 123.0.0.1, 00:00:00, Ethernet0 / 0
A partir desta sada, podemos ver que R3 tem os dois prefixos instalados duas vezes,
uma vez a partir de R1
e uma vez a partir de R2. Agora vamos supor que prefixo 10.0.0.0 / 8, s quer receber
do
R1, enquanto prefixo 20.0.0.0 / 8, s quer receber do R2. Podemos realizar esta
com uma lista de acesso estendida da seguinte forma:
R3 # conf t
Digite os comandos de configurao, um por linha. End com CNTL / Z.
R3 (config) # access-list-100 ip host 123.0.0.1 autorizao anfitrio 10.0.0.0
R3 (config) # access-list-100 ip host 123.0.0.2 autorizao anfitrio 20.0.0.0
R3 (config) # router rip
R3 (config-router) # distribuir lista de 100 em Ethernet0 / 0
R3 (config-router) # final
R3 # ip route claro *
R3 # show ip route rip
R 20.0.0.0 / 8 [120/1] via 123.0.0.2, 00:00:00, Ethernet0 / 0
R 10.0.0.0 / 8 [120/1] via 123.0.0.1, 00:00:00, Ethernet0 / 0
Podemos ver agora R3 s tem uma entrada para cada prefixo, com o 10.0.0.0 / 8
chegando apenas
a partir de R1 e 20.0.0.0 / 8 vindo apenas a partir de R2. A desvantagem desta
aplicao
porm, que no podemos distinguir prefixos com base em sua mscara de rede. Por
exemplo, ns
no poderia dizer que ns queremos receber 172.16.0.0/16 prefixo a partir de apenas
R1 e prefixo
172.16.0.0/24 apenas de R2. Para esta implementao no IGP poderamos usar um
prefixo de-lista
que chamado de um distribuem-lista com a "distribuir lista de prefixo" sintaxe sob a
processo de roteamento.
18