路由器故障:ACL做路由過濾未過濾掉一條聚合路由
ACL(Access Control List,訪問控制列表) 是路由器和交換機接口的指令列表,用來控制端口進出的數據包。下面讓我們看一下引用ACL做路由過濾未過濾掉一條聚合路由的故障是怎么解決的。
網絡環境
如圖所示,RouterA和RouterB是網絡中的兩臺路由器,在RouterA上配置路由策略過引入特定的路由。
圖中引用ACL做路由過濾未過濾掉一條聚合路由認證案例組網圖
配置完成后,發現多引入了一條路由。
故障分析
步驟 1 在RouterA上執行display current-configuration命令,查看路由策略的配置情況,發現路由策略中引用的策略匹配條件是ACL,ACL的配置如下:
- <RputerA> display current-configuration
- #
- acl 2001
- rule 10 permit source 134.128.0.0 0.0.255.255
引入的兩條路由的IP前綴為134.128.0.0/11和134.128.0.0/16。
路由策略引用的ACL只支持標準ACL,即只包含源IP地址和掩碼。
對于標準ACL,不考慮IP前綴長度,只要前綴號匹配(IP前綴由前綴號和前綴長度組成),就認為匹配。所以兩條路由都被匹配到而被引入。
----結束
處理步驟
在路由器RouterA執行以下命令:
步驟 1 執行system-view命令,進入系統視圖。
步驟 2 執行命令ip ip-prefix huawei 134.128.0.0 0.0.255.255 greater-equal 16 less-equal 16,配置IPv4地址前綴列表。
將IP前綴的greater-equal和less-equal都設置為16,即只引入16位掩碼的路由。
步驟 3 執行命令route-policy huawei permit node 10,創建Route-Policy的節點,并進入Route-Policy視圖。
步驟 4 執行命令if-match ip-prefix huawei,匹配地址前綴列表。
----結束
完成上面的配置后,可以成功將134.128.0.0/16一條路由引入進來,而將134.128.0.0/11路由過濾出去。
案例總結
過濾路由時,需要注意ACL和IP前綴的應用效果,需要精確確定掩碼長度時,需要使用IP前綴來定義。
【編輯推薦】
