Cartes de routage et autres objets pour le réglage du routage

Les différents protocoles de routage vous permettent d’affiner des activités telles que la distribution et l’agrégation des routes. Pour certaines fonctionnalités de réglage, vous utilisez des cartes de routage ou d’autres objets pour identifier les routes qui doivent être soumises à votre politique de réglage. Les cartes de routage ont la possibilité supplémentaire de définir des options sur les routes correspondantes, afin que vous puissiez apporter des modifications à la route que le routeur de saut suivant peut utiliser pour appliquer un comportement personnalisé.

La création de l’un de ces objets dépend de vos besoins pour affiner le comportement des protocoles de routage que vous mettez en œuvre. En évaluant d’abord vos besoins, vous déterminerez les types d’objets dont vous avez besoin pour la commande de réglage que vous souhaitez configurer.

Configurer les cartes de routage

Vous pouvez utiliser des cartes de routage à diverses fins, certains protocoles de routage prenant en charge plus d’utilisations que d’autres. L’utilisation la plus typique est d’affiner la redistribution des routes dans un autre protocole de routage.

Clauses d’autorisation et de refus des cartes de routage

Une carte de route comprend une ou plusieurs clauses permit ou deny . La séquence de ces clauses est importante : les routes sont évaluées par rapport à la carte de haut en bas, la première correspondance l’emporte. Si une route ne correspond à aucune clause, elle est considérée comme ne correspondant pas à la carte de route.

Chaque clause permit peut contenir zéro ou plusieurs instructions match et set . L’instruction match détermine les routes qui correspondent à la clause, tandis que les instructions set modifient certaines caractéristiques des routes, telles que la métrique de route. Vous n’avez besoin d’aucune instruction set : vous pouvez faire correspondre une route pour la redistribution (ou un autre service) sans la modifier.

Chaque clause deny peut contenir zéro ou plusieurs instructions match. Mais, comme les routes « refusées » ne correspondent tout simplement pas à la carte de route, il est inutile d’inclure des clauses « set », car l’action « set » ne peut pas être appliquée.

Instructions de correspondance et de définition de la carte de route

Chaque clause de carte de routage a deux types de valeurs :

  • Une valeur de correspondance sélectionne les routages auxquels cette clause doit être appliquée.

  • Une valeur définie modifie certains attributs des routes.

Pour chaque voie de routage qui est redistribuée, le routeur évalue d’abord les critères de correspondance d’une clause de la carte de route. Si la route correspond aux critères, la route est redistribuée ou rejetée comme indiqué par la clause d’autorisation ou de refus. Pour les correspondances avec les clauses d’autorisation, certains attributs de route peuvent être modifiés par les valeurs des commandes set. Si les critères de correspondance échouent, cette clause ne s’applique pas à la voie de routage et le logiciel procède à l’évaluation de la voie de routage en fonction de la clause suivante de la carte de route. L’analyse de la carte de routage se poursuit jusqu’à ce qu’une clause correspondant à la route soit trouvée ou jusqu’à ce que la fin de la carte de routage soit atteinte. S’il n’y a aucune correspondance, le routage est considéré comme ne correspondant pas à la carte de route (équivalent à une action deny (refuser)).

Pour les instructions match et set dans une seule clause :

  • Plusieurs instructions de correspondance sont associées à l’ET. C’est-à-dire qu’une voie de routage doit satisfaire à chaque instruction pour correspondre à la clause.

  • Plusieurs valeurs dans une seule instruction de correspondance sont marquées OU. Autrement dit, si un routage correspond à une valeur dans cette instruction de correspondance, il est considéré comme correspondant à l’énoncé dans son ensemble.

  • S’il n’y a aucune instruction de correspondance, toutes les routes correspondent à la clause.

  • S’il n’y a aucune instruction set dans une clause d’autorisation de carte de route, la fonctionnalité (comme la redistribution) est appliquée à la route sans modification des attributs actuels de la route.

  • Toutes les instructions set dans une clause de refus sont ignorées. Les routes « refusées » ne correspondent tout simplement pas à la carte de route, il est donc inutile d’inclure des clauses « set », car l’action « set » ne peut pas être appliquée.

  • Une clause vide, une sans instruction match ou set, correspond à toutes les routes qui n’ont pas été correspondantes par les clauses précédentes. Par exemple :

    • Une clause d’autorisation vide permet une redistribution des routes restantes sans modification.

    • Une clause de refus vide ne permet pas la redistribution des routes restantes. Il s’agit de l’action par défaut si une carte de routage est complètement analysée, mais qu’aucune correspondance explicite n’est trouvée.

Configurer une carte de routage

Vous pouvez utiliser des cartes de routage à diverses fins, certains protocoles de routage prenant en charge plus d’utilisations que d’autres. L’utilisation la plus typique est d’affiner la redistribution des routes dans un autre protocole de routage.

Une carte de route comprend une ou plusieurs clauses permit ou deny . La séquence de ces clauses est importante : les routes sont évaluées par rapport à la carte de haut en bas, la première correspondance l’emporte. Si une route ne correspond à aucune clause, elle est considérée comme ne correspondant pas à la carte de route.

Chaque clause de permission peut contenir zéro ou plusieurs instructions match et set . L’instruction match détermine les routes qui correspondent à la clause, tandis que les instructions set modifient certaines caractéristiques des routes, telles que la métrique de route. Vous n’avez besoin d’aucune instruction set : vous pouvez faire correspondre une voie de routage pour la redistribution (ou un autre service) sans modifier les routes de quelque façon que ce soit.

Chaque clause refuser peut contenir zéro ou plusieurs instructions de correspondance. Mais, comme les routes « refusées » ne correspondent tout simplement pas à la carte de route, il est inutile d’inclure des clauses « set », car l’action « set » ne peut pas être appliquée.

Pour obtenir une explication détaillée de la façon dont les instructions match et set sont évaluées, lisez attentivement Instructions de correspondance et de définition de la carte de route.

Avant de commencer

Vous pouvez utiliser divers autres objets dans une carte de routage pour définir les critères de correspondance, tels que les listes d’accès, les listes d’accès de chemin de système autonome, les listes de communauté, les listes de politiques et les listes de préfixes. Vous devez créer ces objets avant de créer la carte de routage.

Pour la correspondance d’ACL, vous pouvez utiliser des listes de contrôle d’accès standard ou étendues pour les adresses IPv4, mais les listes de contrôle d’accès étendues uniquement pour IPv6. Comme les clauses de correspondance sont basées sur IPv4 ou IPv6 uniquement, assurez-vous que vos listes de contrôle d’accès ont le bon schéma d’adresses pour les instructions de correspondance.

Notez également que les critères de correspondance et d’ensemble sont différents pour BGP par rapport aux autres protocoles de routage. Assurez-vous de sélectionner les critères de correspondance ou d’ensemble appropriés pour le processus de routage qui utilisera la carte de routage.

Procédure

Étape 1

Cliquez sur View Configuration (Afficher la configuration dans Device (Périphérique) > Advanced Configuration (Configuration avancée).

Étape 2

Veuillez sélectionner Smart CLI > Objects (Objets) dans la table des matières.

Étape 3

Effectuez l’une des opérations suivantes :

  • Pour créer un objet, cliquez sur le bouton +.

  • Pour modifier un objet, cliquez sur l'icône de modification (icône pour modifier) de l'objet.

Pour supprimer un objet non référencé, cliquez sur l'icône de la corbeille (icône de suppression) de l'objet.

Étape 4

Sélectionnez Route Map (Carte de routage) comme CLI Template (modèle CLI).

Étape 5

Saisissez un nom pour l’objet Smart CLI. Notez que ce nom est également saisi comme nom de carte de routage dans la première ligne du modèle d’interface de ligne de commande (dans la commande route-map ).

Étape 6

Créez la première clause :

  1. Cliquez sur la variable de redistribution et sélectionnez l’une des options suivantes :

    • permit —Match (Mettre en correspondance). Les connexions qui correspondent à cette règle sont sélectionnées pour la fonctionnalité que vous configurez.

    • deny —Do not match (Ne pas mettre en correspondance). Les connexions qui correspondent à cette règle sont exclues de la fonctionnalité. Notez que le trafic « refusé » n’est pas abandonné, il ne reçoit tout simplement pas le service qui lui est appliqué. Par exemple, si vous utilisez cette carte de routage pour définir les routes redistribuées, les espaces d’adresses « refusés » ne sont tout simplement pas redistribués.

  2. Cliquez sur la variable sequence-number et saisissez le numéro de la clause, de 1 à 65 535.

    Ce numéro est relatif aux autres clauses numérotées dans la carte de routage. Une pratique typique est d’ignorer le nombre par 10, c’est-à-dire 10, 20, 30, pour laisser la place d’insérer de nouvelles clauses ultérieurement.

Étape 7

Cliquez sur Show Disabled (Afficher les éléments désactivés) et configurez les instructions match pour la clause.

  1. Cliquez sur le signe plus (+) à côté de la commande configure clause pour l’activer.

  2. Cliquez sur clause et choisissez bgp-match-clause pour les cartes de routage BGP ou match-clause pour tous les autres protocoles de routage.

  3. (Cartes de routage BGP.) Configurez n’importe quelle combinaison des instructions match suivantes pour identifier les routes spécifiques que vous ciblez dans cette clause. Assurez-vous de cliquer sur l’icône - pour désactiver les commandes que vous ne configurez pas.

    • match as-path . Cliquez sur la variable et sélectionnez les objets AS Path qui définissent les numéros du système autonome à mettre en correspondance.

    • match community . Cliquez sur la variable et sélectionnez les objets de liste de communautés qui définissent les communautés à mettre en correspondance.

    • match policy-list . Cliquez sur la variable et sélectionnez les objets de liste de politiques qui définissent les critères de correspondance pour la clause.

    • match tag . Cliquez sur la variable et saisissez la valeur de la balise de routage pour la mettre en correspondance, de 0 à 4294967295.

  4. (Tous les autres protocoles de routage.) Configurez n’importe quelle combinaison des instructions match suivantes pour identifier les routes spécifiques que vous ciblez dans cette clause. Assurez-vous de cliquer sur l’icône - pour désactiver les commandes que vous ne configurez pas. Vous devrez peut-être cliquer sur le signe + pour activer certaines de ces commandes.

    • match interface . Cliquez sur la variable et sélectionnez toutes les interfaces dans les routes à mettre en correspondance.

    • configure match ipv4/ipv6 ip address list-type . Activez la commande correcte pour votre version IP. Ensuite, cliquez sur la variable list-type et choisissez si vous souhaitez faire correspondre l’adresse IP dans la route en fonction de access-list ou prefix-list . Cela ajoutera une commande match ipv4/ipv6 address , dans laquelle vous pouvez cliquer sur la variable et sélectionner les listes d’accès ou les listes de préfixes qui définissent les adresses IP à mettre en correspondance.

    • configure match ipv4/ipv6 ip next-hop list-type . Cliquez sur la variable la route en fonction et choisissez si vous souhaitez faire correspondre l’adresse IP du routeur de saut suivant dans la route en fonction de access-list ou prefix-list . Cela ajoutera une commande match ipv4/ipv6 next-hop , dans laquelle vous pouvez cliquer sur la variable et sélectionner les listes d’accès ou les listes de préfixes qui définissent les adresses IP à mettre en correspondance.

    • configure match ipv4/ipv6 ip route-source list-type . Cliquez sur la variable la route en fonction et choisissez si vous souhaitez faire correspondre l’adresse IP de la source de routage dans la route en fonction de access-list ou prefix-list . Cela ajoutera une commande match ipv4/ipv6 route-source , dans laquelle vous pouvez cliquer sur la variable et sélectionner les listes d’accès ou les listes de préfixes qui définissent les adresses IP à mettre en correspondance.

    • match metric . Cliquez sur la variable et saisissez la mesure de routage pour la mettre en correspondance, de 1 à 4 294 967 295.

    • match route-type . (OSPF, EIGRP.) Cliquez sur la variable et sélectionnez le type de routage :

      • external-1 , external-2 . Routes OSPF ou EIGRP externes de type 1 ou de type 2.

      • internal . Routes OSPF intra-zones et inter-zones ou routes internes EIGRP.

      • local . Routes BGP générées localement.

      • nssa-external-1 , nssa-external-2 . Routes externes de type 1 ou type 2 pour la zone Not So Stubby Area (NSSA).

Étape 8

(Facultatif, clauses d'autorisation uniquement.) Pour les routes autorisées, c’est-à-dire correspondantes, vous pouvez configurer les instructions set pour modifier les attributs de route. Vous n’avez pas besoin de modifier les routages ; par exemple, vous pouvez les redistribuer sans les modifier.

  1. Cliquez sur ... > Duplicate > (Dupliquer) à gauche de la commande configure match-clause ou configure bgp-match-clause dans la clause de permission. Une nouvelle commande configure de clause est ajoutée à la fin de la clause de permission.

  2. Cliquez sur clause et choisissez bgp-set-clause ou set-clause , en fonction de ce que vous avez choisi pour la clause de correspondance.

  3. (Cartes de routage BGP.) Configurez n’importe quelle combinaison des instructions set suivantes pour modifier les attributs des routes correspondantes. Assurez-vous de cliquer sur l’icône - pour désactiver les commandes que vous ne configurez pas.

    • configure set as-path options . Cliquez sur options et sélectionnez properties , ce qui ajoute les commandes suivantes que vous devez configurer. En ajoutant des éléments aux chemins, même en dupliquant les numéros de système autonome, vous allongez le chemin et faites en sorte que la route soit moins susceptible d’être sélectionnée comme la meilleure route.

      • set as-path prepend as-path . Cliquez sur as-path et saisissez jusqu’à 10 numéros de système autonome à ajouter pour commencer l’attribut AS_PATH de la route. La modification s’applique aux cartes de routage BGP sortantes.

      • set as-path prepend last-as value (valeur) . Cliquez sur value (valeur) et saisissez le nombre de fois que le système doit faire précéder le numéro du système autonome du voisin de l’annonce au début de la variable AS_PATH. La modification s’applique aux cartes de routage BGP entrantes.

      • set as-path tag . Convertit la balise d’une route en chemin de système autonome. S’applique uniquement lors de la redistribution des routes dans BGP.

    • set community community-number (numéro de communauté) properties (propriétés) . Cliquez sur community-number et saisissez la communauté pour le routage, de 1 à 4 694 967 295. Vous pouvez également cliquer sur properties (propriétés) et ajouter l’un des éléments suivants :

      • internet -- Les routes avec cette communauté sont annoncées à tous les homologues (internes et externes).

      • no-advertise -- Les routes avec cette communauté ne sont annoncées à aucun homologue (interne ou externe).

      • no-export -- Les routes avec cette communauté sont annoncées uniquement aux homologues du même système autonome ou aux autres systèmes sous-autonomes d’une confédération. Ces routes ne sont pas annoncées aux homologues externes.

    • set local-preference . Cliquez sur la variable et saisissez une valeur de préférence pour le chemin d’accès au système autonome, de 0 à 4 294 967 295. Sauf si vous le modifiez dans les options de BGP globales, la préférence par défaut pour les routes de BGP est de 100. La route avec le numéro de préférence le plus élevé est préférée.

    • set weight . Cliquez sur la variable et saisissez le poids pour le routage, de 0 à 65 535. Si le routeur détecte l’existence de plusieurs routes vers la même destination, la route ayant la pondération la plus élevée est préférée.

    • set origin options . L’origine d’une route BGP est basée sur les informations de chemin de la route dans la table de routage IP principale. Vous pouvez le modifier en cliquant sur options et en sélectionnant la façon dont vous souhaitez définir le code d’origine BGP.

      • igp . Définissez l’origine sur le système distant de protocole de passerelle intérieure (IGP).

      • incomplete . Définissez l’origine comme Incomplete (Incomplète).

    • configure next-hop ipv4/ipv6 options . Il s’agit de commandes distinctes. Cliquez sur options pour la version IP appropriée et sélectionnez l’une des options suivantes. La définition de la passerelle du saut suivant est généralement quelque chose que vous faites lors de la mise en œuvre du routage basé sur les politiques.

      • specific-ip . Sélectionnez cette option si vous souhaitez définir explicitement l’adresse IP de la passerelle du saut suivant pour ce routage. La commande set ip/ipv6 next-hop ip-address est ajoutée. Cliquez sur la variable et saisissez l’adresse IP de la passerelle du saut suivant. Vous pouvez ajouter plusieurs adresses IP, séparées par un espace. Si l’adresse de la première passerelle est inaccessible, l’adresse suivante est essayée, et ainsi de suite.

      • user-peer-address . Sélectionnez cette option si vous souhaitez définir la passerelle du saut suivant comme adresse IP de l’homologue de BGP. Si vous utilisez cette option dans une carte de routage sortante d’un homologue BGP, le prochain saut des routes correspondantes annoncées sera défini sur l’adresse de peering du routeur local, ce qui désactive le calcul du prochain saut. Aucune configuration supplémentaire n’est requise pour cette commande.

    • set ipv4/ipv6 address prefix-list . Il s’agit de commandes distinctes. Modifiez l’adresse IP de la route en fonction du contenu de la liste de préfixes que vous sélectionnez.

    • set automatic-tag . Laissez le système calculer automatiquement une valeur de balise pour le routage.

  4. (Tous les autres protocoles de routage.) Configurez n’importe quelle combinaison des instructions set suivantes pour modifier les attributs des routes correspondantes. Assurez-vous de cliquer sur l’icône - pour désactiver les commandes que vous ne configurez pas.

    • set metric . Cliquez sur la variable et saisissez la valeur de la mesure, de 0 à 4 294 967 295. Cette valeur n’est pas utilisée par l’EIGRP.

    • set metric-type . Cliquez sur la variable et sélectionnez le type de mesure :

      • type-1 , type-2 . Le type de route externe dans OSPF. Le type 2 est le paramètre par défaut.

      • internal . Définit la valeur de discriminateur de sortie multiple (MED) sur les préfixes annoncés aux voisins de BGP externes (eBGP) pour correspondre à la métrique du protocole de passerelle intérieure (IGP) du prochain saut de la route. Cela s’applique aux routes générées, dérivées de BGP internes (iBGP) et eBGP.

Étape 9

Ajoutez des clauses permit (autoriser) / deny (refuser) pour terminer la carte de routage.

Pour ajouter une clause, cliquez sur ... > Cliquez sur > Duplicate > (Dupliquer) à gauche d’une ligne permit ou deny . Une nouvelle clause de numéro de séquence de redistribution est ajoutée immédiatement après la clause pour laquelle vous cliquez sur la commande Duplicate (Dupliquer).

Bien que les clauses de carte de routage soient évaluées dans l’ordre du numéro de séquence plutôt que dans l’ordre dans lequel elles apparaissent dans l’objet, il est plus facile de modifier votre objet si vous insérez de nouvelles clauses dans l’ordre séquentiel. Vous ne pouvez pas déplacer les clauses dans l’objet.

Notez que la duplication d’une clause insère simplement une nouvelle clause vide, sans caractéristiques préconfigurées. Après avoir créé l’« entrée dupliquée », procédez comme expliqué ci-dessus pour la configurer selon vos besoins.

Étape 10

Cliquez sur OK pour enregistrer l'objet.

Vous pouvez maintenant utiliser l’objet dans une configuration de processus de routage ou dans un objet FlexConfig, pour une fonctionnalité qui nécessite une carte de routage.

Configurer une liste d’accès

Un objet de liste d’accès, également appelé liste de contrôle d‘accès (ACL ou access control list), sélectionne le trafic auquel un service s’appliquera. Vous utilisez ces objets lors de la configuration de fonctionnalités particulières, telles que pour les cartes de routage. Le trafic identifié comme autorisé par la liste de contrôle d’accès (ACL) reçoit le service, tandis que le trafic « bloqué » est exclu du service. L’exclusion du trafic d’un service ne signifie pas nécessairement son abandon.

Vous pouvez configurer les types d’ACL suivants :

  • Étendu : identifie le trafic en fonction de l'adresse et des ports source et destination. Les adresses IPv4 et IPv6 sont prises en charge.

  • Standard : le trafic est identifié en fonction de l‘adresse de destination uniquement. Seulement IPv4 est pris en charge.

Une ACL est composée d’une ou de plusieurs entrées de contrôle d’accès (ACE), ou règles. L’ordre des ACE est important. Lors de l’évaluation de la liste de contrôle d’accès pour déterminer si un paquet correspond à une entrée ACE « autorisée », le paquet est testé par rapport à chaque ACE dans l’ordre dans lequel les entrées sont répertoriées. Une fois qu’une correspondance est trouvée, aucune autre Ace n’est vérifiée. Par exemple, si vous souhaitez faire correspondre 10.100.10.1 mais exclure le reste de 10.100.10.0/24, l’entrée d’autorisation pour 10.100.10.1 doit se trouver avant l’entrée de refus pour 10.100.10.0/24. En général, placez des règles plus spécifiques en haut d’une liste de contrôle d’accès.

Les paquets qui ne correspondent pas à une entrée d’autorisation sont considérés comme refusés ou exclus de la correspondance.

Les rubriques suivantes expliquent comment configurer les objets ACL.

Configurez les listes de contrôle d’accès étendues.

Utilisez des objets ACL étendus lorsque vous souhaitez faire correspondre le trafic en fonction des adresses de source et de destination, du protocole et du port, ou s’il s’agit du trafic IPv6.

Avant de commencer

Créez tous les objets de réseau ou de port dont vous aurez besoin dans les ACE que vous créez dans l’objet.

Procédure

Étape 1

Cliquez sur View Configuration (Afficher la configuration dans Device (Périphérique) > Advanced Configuration (Configuration avancée).

Étape 2

Veuillez sélectionner Smart CLI > Objects (Objets) dans la table des matières.

Étape 3

Effectuez l’une des opérations suivantes :

  • Pour créer un objet, cliquez sur le bouton +.

  • Pour modifier un objet, cliquez sur l'icône de modification (icône pour modifier) de l'objet.

Pour supprimer un objet non référencé, cliquez sur l'icône de la corbeille (icône de suppression) de l'objet.

Étape 4

Sélectionnez Extended Access List (Liste de contrôle d’accès étendue) comme modèle CLI.

Étape 5

Saisissez un nom pour l’objet Smart CLI. Notez que ce nom est également utilisé comme nom d’ACL dans la première ligne du modèle CLI (dans la commande access list ).

Étape 6

Créez l’ACE qui doit être la règle supérieure dans l’ACL.

Chaque liste de commandes contenues dans une seule commande configure access list entry est essentiellement une commande ACE, bien qu’une fois déployée, le système peut décomposer la commande en une série d’ACE, en particulier si vous incluez plusieurs objets réseau.

  1. Dans la commande d’entrée de liste de configuration d’accès, cliquez sur Action et sélectionnez l’une des options suivantes :

    • permit —Mettre en correspondance. Les connexions qui correspondent à cette ACE sont sélectionnées pour la fonctionnalité que vous configurez.

    • deny —Ne pas mettre en correspondance. Les connexions qui correspondent à cette entrée ACE sont exclues de la fonctionnalité. Notez que le trafic « refusé » n’est pas abandonné, il ne reçoit tout simplement pas le service qui lui est appliqué. Par exemple, dans une carte de routage, si vous utilisez cette liste de contrôle d’accès pour définir les routes redistribuées, les espaces d’adresses « refusés » ne sont tout simplement pas redistribués.

  2. Dans la commande permit/deny network , cliquez sur les variables pour sélectionner les objets réseau qui définissent l’adresse IP source et l’adresse IP de destination de la connexion. Vous pouvez sélectionner plusieurs objets. Pour spécifier l’adresse « any » (toute), sélectionnez les objets any-ipv4 et any-ipv6.

  3. Dans la commande configure permit/deny port , cliquez sur Options et sélectionnez l’une des options suivantes, ce qui ajoutera la commande permit (autoriser) ou deny (refuser) correspondante au modèle :

    • any —Si le port n’a pas d’importance. C’est-à-dire que vous faites correspondre n’importe quel type de trafic IP.

    • any-source — si le port TCP/UDP source n’a pas d’importance, mais que vous souhaitez préciser le port de destination. Cliquez sur la variable destination-port dans la commande permit/deny port et sélectionnez l’objet de port.

    • any-destination — si le port TCP/UDP de destination n’a pas d’importance, mais que vous souhaitez préciser le port source. Cliquez sur la variable source-port dans la commande permit/deny port et sélectionnez l’objet de port.

    • source-destination — si les ports TCP/UDP source et de destination sont importants. Cliquez sur les variables source-port et destination-port dans la commande permit/deny port et sélectionnez les objets de port.

  4. Dans la commande configure logging , sélectionnez disabled . La journalisation s’applique aux listes de contrôle d’accès, et vous ne pouvez pas utiliser ces objets pour le contrôle d’accès. Ainsi, les options de journalisation sont ignorées, quelle que soit votre sélection.

Étape 7

Ajoutez des ACE pour terminer l’ACL.

Pour ajouter une commande ACE, cliquez sur > Duplicate > (Dupliquer) à gauche de la ligne configure access list entry . Un nouveau groupe ACE est ajouté immédiatement après l’ACE pour lequel vous cliquez sur la commande Dupliquer.

Ainsi, lorsque vous avez plusieurs ACE dans l’objet, choisissez avec soin quelle ACE vous « dupliquez ». Vous ne pouvez pas déplacer les ACE dans l’objet. Par conséquent, si vous faites une erreur, vous devez recréer manuellement l’ACE au bon emplacement.

Notez que la duplication d’une ACE insère simplement une nouvelle ACE vide, sans caractéristiques préconfigurées. Après avoir créé le « dupliquer », procédez comme expliqué ci-dessus pour le configurer selon vos besoins.

Étape 8

Cliquez sur OK pour enregistrer l'objet.

Vous pouvez maintenant utiliser l’objet dans un objet de carte de routage ou dans un objet FlexConfig, pour une fonctionnalité qui nécessite une liste de contrôle d’accès étendue.

Configurer les listes d’accès standard

Utilisez les objets ACL standard lorsque vous souhaitez mettre en correspondance le trafic en fonction de l’adresse IPv4 de destination uniquement, et que la fonctionnalité que vous configurez prend en charge les ACL standard. Sinon, utilisez des listes de contrôle d’accès étendues.

Avant de commencer

Créez tous les objets réseau dont vous aurez besoin dans les ACE que vous créez dans l’objet.

Procédure

Étape 1

Cliquez sur View Configuration (Afficher la configuration dans Device (Périphérique) > Advanced Configuration (Configuration avancée).

Étape 2

Veuillez sélectionner Smart CLI > Objects (Objets) dans la table des matières.

Étape 3

Effectuez l’une des opérations suivantes :

  • Pour créer un objet, cliquez sur le bouton +.

  • Pour modifier un objet, cliquez sur l'icône de modification (icône pour modifier) de l'objet.

Pour supprimer un objet non référencé, cliquez sur l'icône de la corbeille (icône de suppression) de l'objet.

Étape 4

Sélectionnez Standard Access List (Liste d’accès standard) comme CLI Template (Modèle CLI).

Étape 5

Saisissez un Name (Nom) pour l’objet Smart CLI. Notez que ce nom est également utilisé comme nom d’ACL dans la première ligne du modèle CLI (dans la commande access list ).

Étape 6

Créez l’ACE qui doit être la règle supérieure dans l’ACL.

Chaque liste de commandes contenues dans une seule commande configure action correspond à une commande ACE.

  1. Dans la commande configure action , cliquez sur action et sélectionnez l’une des options suivantes :

    • permit  : match (Mettre en correspondance). Les connexions qui correspondent à cette ACE sont sélectionnées pour la fonctionnalité que vous configurez.

    • deny  : ne correspond pas. Les connexions qui correspondent à cette entrée ACE sont exclues de la fonctionnalité. Notez que le trafic « refusé » n’est pas abandonné, il ne reçoit tout simplement pas le service qui lui est appliqué. Par exemple, dans une carte de routage, si vous utilisez cette liste de contrôle d’accès pour définir les routes redistribuées, les espaces d’adresses « refusés » ne sont tout simplement pas redistribués.

  2. Dans la commande permit/deny host , cliquez sur la variable pour sélectionner l’objet réseau qui définit l’adresse IP de destination de la connexion. L’objet peut préciser une adresse de réseau ou d’hôte. Vous pouvez sélectionner un objet par commande permit/deny host  ; cliquez sur > Cliquez sur > Duplicate > (Dupliquer) dans la commande pour préciser d’autres adresses, qui deviendront des ACE distinctes avec la même action. Pour spécifier une adresse « any » (tout), sélectionnez l’objet any-ipv4.

Étape 7

Ajoutez des ACE pour terminer l’ACL.

Pour ajouter une commande ACE, cliquez sur > Duplicate > (Dupliquer) à gauche de la ligne configure action . Un nouveau groupe ACE est ajouté immédiatement après l’ACE pour lequel vous cliquez sur la commande Duplicate (Dupliquer).

Ainsi, lorsque vous avez plusieurs ACE dans l’objet, choisissez avec soin quelle ACE vous « dupliquez ». Vous ne pouvez pas déplacer les ACE dans l’objet. Par conséquent, si vous faites une erreur, vous devez recréer manuellement l’ACE au bon emplacement.

Notez que la duplication d’une ACE insère simplement une nouvelle ACE vide, sans caractéristiques préconfigurées. Après avoir créé l’« entrée dupliquée », procédez comme expliqué ci-dessus pour la configurer selon vos besoins.

Étape 8

Cliquez sur OK pour enregistrer l'objet.

Vous pouvez maintenant utiliser l’objet dans un objet de carte de routage ou dans un objet FlexConfig, pour une fonctionnalité qui nécessite une liste de contrôle d’accès standard.

Configurer des listes d'accès AS Path

Vous pouvez utiliser une liste d’accès AS Path pour filtrer les mises à jour de voisin BGP en fonction des numéros de système autonome dans les mises à jour. Les mises à jour des numéros de système autonomes acceptés sont acceptées, tandis que celles des numéros de système autonomes refusés sont rejetées, c’est-à-dire qu’elles ne sont pas ajoutées à la table de routage.

Vous pouvez également appliquer le filtrage de chemin AS dans le sens sortant et filtrer les mises à jour que vous envoyez aux voisins.

En outre, vous pouvez utiliser des objets de chemin AS dans les cartes de routage pour l’agrégation des adresses BGP,

Procédure

Étape 1

Cliquez sur View Configuration (Afficher la configuration dans Device (Périphérique) > Advanced Configuration (Configuration avancée).

Étape 2

Veuillez sélectionner Smart CLI > Objects (Objets) dans la table des matières.

Étape 3

Effectuez l’une des opérations suivantes :

  • Pour créer un objet, cliquez sur le bouton +.

  • Pour modifier un objet, cliquez sur l'icône de modification (icône pour modifier) de l'objet.

Pour supprimer un objet non référencé, cliquez sur l'icône de la corbeille (icône de suppression) de l'objet.

Étape 4

Sélectionnez ASPath (Entrée de chemin de système autonome) comme CLI Template (Modèle CLI).

Étape 5

Saisissez un Name (Nom) pour l’objet Smart CLI. Le nom doit être un nombre dans la plage de 1 à 500. Notez que ce nom est également saisi comme nom de liste d’accès de chemin de système autonome dans la première ligne du modèle d’interface de ligne de commande (dans la commande as-path ).

Étape 6

Configurez une entrée de chemin de système autonome.

Chaque entrée est contenue sur une seule ligne à partir de l’option Action .

  1. Cliquez sur Action et sélectionnez l’une des options suivantes :

    • permit  : match (Mettre en correspondance). Les connexions qui correspondent à cette règle sont sélectionnées pour la fonctionnalité que vous configurez.

    • deny —Do not match (Ne pas mettre en correspondance). Les connexions qui correspondent à cette règle sont exclues de la fonctionnalité. Notez que le trafic « refusé » n’est pas abandonné, il ne reçoit tout simplement pas le service qui lui est appliqué. Par exemple, dans une carte de routage, si vous utilisez cet objet pour définir les routes redistribuées, les espaces d’adresses « refusés » ne sont tout simplement pas redistribués.

  2. Cliquez sur regex , puis saisissez l’expression régulière qui définit les numéros de système autonome devant correspondre à cette entrée.

    Dans sa forme la plus simple, l’expression régulière est simplement un numéro de chemin de système autonome complet, et vous autorisez ou refusez les mises à jour de route à partir d’un seul système autonome.

    Le numéro de système autonome peut être compris entre 1 et 4 294 967 295 ou entre 1,0 et 6 553 565 535. Le numéro de système autonome est une valeur attribuée de façon unique qui identifie chaque réseau sur Internet. Le système prend en charge les notations asplain et asdot, telles que définies dans la RFC 5396. La notation que vous devez utiliser dépend de l’activation de la commande bgp asnotation dot dans les paramètres globaux de BGP.

Étape 7

Ajoutez des entrées pour terminer la liste d’accès de chemin de système autonome.

Pour ajouter une entrée, cliquez sur .... > Duplicate(Dupliquer) à gauche de la ligne action . Une nouvelle entrée est ajoutée immédiatement après celle pour laquelle vous cliquez sur la commande Duplicate (Dupliquer).

Ainsi, lorsque vous avez de nombreuses entrées dans l’objet, choisissez soigneusement celle que vous souhaitez « dupliquer ». Vous ne pouvez pas déplacer les entrées dans l’objet ; si vous faites une erreur, vous devez recréer l’entrée au bon emplacement. Les règles sont évaluées de haut en bas, la première correspondance l’emporte.

Notez que la duplication d’une entrée insère simplement une nouvelle entrée vide, sans caractéristiques préconfigurées. Après avoir créé l’« entrée dupliquée », procédez comme expliqué ci-dessus pour la configurer selon vos besoins.

Étape 8

Cliquez sur OK pour enregistrer l’objet.

Vous pouvez maintenant utiliser l’objet dans un objet BGP, un objet de carte de routage ou un objet FlexConfig, pour une fonctionnalité qui nécessite une liste d’accès de chemin AS.

Configurer des listes de la communauté

Si vous activez votre processus BGP pour envoyer des informations de communauté, vous pouvez utiliser les listes de communautés comme clause de correspondance dans les cartes de routage afin de définir les attributs des routes correspondantes. Par exemple, vous pouvez modifier les préférences de routage pour certaines communautés.

Une communauté est un attribut ou une étiquette facultatif qu’un fournisseur de services associerait aux routages annoncés pour un groupe de destinations qui partagent un attribut commun. Les numéros de communauté spécifiques seraient quelque chose que votre fournisseur de services Internet pourrait annoncer : vous devrez obtenir les numéros et leur signification de votre fournisseur de services Internet, puis choisir la façon dont vous souhaitez les gérer à l’aide d’une carte de routage.

Les listes de communautés sont ordonnées et les correspondances sont déterminées selon une méthode de haut en bas, le premier résultat l’emporte, similaire aux listes d’accès et de préfixes.

Il existe deux types de liste de communauté :

  • Standard : utilisez une liste standard lorsque vous souhaitez cibler des communautés bien connues, comme celles obtenues auprès de votre fournisseur de services.

  • Expanded (Étendue) : utilisez une liste étendue lorsque vous souhaitez mettre en correspondance un ensemble de communautés en fonction d’expressions régulières.

Procédure

Étape 1

Cliquez sur View Configuration (Afficher la configuration) dans Device (Périphérique) > Advanced Configuration (Configuration avancée).

Étape 2

Veuillez sélectionner Smart CLI > Objects (Objets) dans la table des matières.

Étape 3

Effectuez l’une des opérations suivantes :

  • Pour créer un objet, cliquez sur le bouton +.

  • Pour modifier un objet, cliquez sur l'icône de modification (icône pour modifier) de l'objet.

Pour supprimer un objet non référencé, cliquez sur l'icône de la corbeille (icône de suppression) de l'objet.

Étape 4

Sélectionnez Standard Community List (Liste de communauté standard) ou Expanded Community List (Liste de communauté étendue) comme CLI Template (Modèle CLI).

Étape 5

Saisissez un Name (nom) pour l’objet Smart CLI. Notez que ce nom est également saisi comme Community List name (nom de liste de communauté) dans la première ligne du modèle CLI (dans la commande community-list ).

Étape 6

(Liste standard.) Configurez une entrée de liste de communauté.

Chaque entrée est contenue sur une seule ligne à partir de l’option d’action .

  1. Cliquez sur action et sélectionnez l’une des options suivantes :

    • permit —Mettre en correspondance. Les connexions qui correspondent à cette règle sont sélectionnées pour la fonctionnalité que vous configurez.

    • deny —Ne correspond pas. Les connexions qui correspondent à cette règle sont exclues de la fonctionnalité. Notez que le trafic « refusé » n’est pas abandonné, il ne reçoit tout simplement pas le service qui lui est appliqué. Par exemple, dans une carte de routage, si vous utilisez cette règle pour définir les routes redistribuées, les espaces d’adresses « refusés » ne sont tout simplement pas redistribués.

  2. Cliquez sur community-number (numéro de communauté) et saisissez jusqu’à 10 communautés séparées par des espaces. Plusieurs communautés sur une seule règle sont utilisées dans le protocole ET, de sorte qu’une correspondance n’existe que si toutes les communautés correspondent dans la route.

    Saisissez la communauté au format décimal (1-4294967295) ou en format AA:NN (chaque valeur est de 1 à 66535) en fonction de la méthode de numérotation activée pour votre processus BGP. Obtenez ces chiffres auprès de votre fournisseur de services Internet ou d’autres voisins BGP.

  3. (Facultatif) Cliquez sur properties (propriétés) et ajoutez d’autres communautés bien connues à la règle.

    • internet Les routes avec cette communauté sont annoncées à tous les homologues (internes et externes).

    • no-advertise Les routes avec cette communauté ne sont annoncées à aucun homologue (interne ou externe).

    • no-export Les routes avec cette communauté sont annoncées uniquement aux homologues du même système autonome ou aux autres systèmes sous-autonomes d’une confédération. Ces routes ne sont pas annoncées aux homologues externes.

Étape 7

(Liste étendue.) Configurez une entrée de liste de communauté.

  1. Cliquez sur action et sélectionnez permit ou deny . Ces actions sont expliquées ci-dessus.

  2. Cliquez sur regex (expression régulière) et saisissez l’expression régulière qui définit les communautés qui doivent correspondre à cette entrée.

    L’ordre de mise en correspondance à l’aide du caractère * ou + est la structure la plus longue en premier. Les constructions imbriquées sont mises en correspondance de l’extérieur vers l’intérieur. Les constructions concaténées sont évaluées à partir du côté gauche. Si une expression régulière peut correspondre à deux parties d’une même chaîne, elle correspondra d’abord à la partie la plus ancienne. Pour plus d’informations sur l’écriture d’expressions régulières, consultez l’annexe « Expressions régulières » du Guide de configuration des services de terminaux Cisco IOS.

Étape 8

Ajoutez des entrées pour terminer la liste de communautés.

Pour ajouter une entrée, cliquez sur ... > En double à gauche de la ligne d’action . Une nouvelle entrée est ajoutée immédiatement après celle pour laquelle vous cliquez sur la commande Duplicate (Dupliquer).

Ainsi, lorsque vous avez de nombreuses entrées dans l’objet, choisissez soigneusement celle que vous souhaitez « dupliquer ». Vous ne pouvez pas déplacer les entrées dans l’objet ; si vous faites une erreur, vous devez recréer l’entrée au bon emplacement.

Notez que la duplication d’une entrée insère simplement une nouvelle entrée vide, sans caractéristiques préconfigurées. Après avoir créé l’« entrée dupliquée », procédez comme expliqué ci-dessus pour la configurer selon vos besoins.

Étape 9

Cliquez sur OK pour enregistrer l’objet.

Vous pouvez maintenant utiliser l’objet dans une carte de routage, un processus de routage, ou un objet FlexConfig pour une fonctionnalité nécessitant une liste de communautés.

Configurer les listes de politiques

Vous pouvez utiliser les listes de politiques dans les cartes de routage en remplacement d’une ou de plusieurs clauses de correspondance. Ainsi, si vous avez un ensemble de clauses de correspondance que vous souhaitez réutiliser, une carte de routage simplifie votre configuration, de sorte que vous n’avez pas besoin de répéter les clauses de correspondance dans chaque carte de routage. Vous pouvez utiliser des cartes de routage qui font référence à des listes de politiques dans BGP.

Dans une carte de routage, vous pouvez inclure d’autres clauses de correspondance en plus des listes de politiques. Les clauses de correspondance de la liste de politiques correspondent uniquement aux attributs entrants.

Les listes de politiques prennent uniquement en charge la mise en correspondance des adresses IPv4; vous ne pouvez pas mettre en correspondance les adresses IPv6.

Pour les clauses de correspondance dans la carte de politiques :

  • Les clauses de correspondance multiples sont associées à l’ET. C’est-à-dire qu’une voie de routage doit satisfaire à chaque clause pour correspondre à la liste des politiques.

  • Plusieurs valeurs dans une seule clause de correspondance sont marquées OU. Autrement dit, si un routage correspond à une valeur dans cette instruction de correspondance, il est considéré comme correspondant à l’énoncé dans son ensemble.

Avant de commencer

Si vous configurez des clauses de correspondance pour les listes d’accès, les listes de préfixes ou les listes d’accès de chemin de système autonome, vous devez créer ces objets avant de créer la liste de politiques.

Procédure

Étape 1

Cliquez sur View Configuration (Afficher la configuration dans Device (Périphérique) > Advanced Configuration (Configuration avancée).

Étape 2

Veuillez sélectionner Smart CLI > Objects (Objets) dans la table des matières.

Étape 3

Effectuez l’une des opérations suivantes :

  • Pour créer un objet, cliquez sur le bouton +.

  • Pour modifier un objet, cliquez sur l'icône de modification (icône pour modifier) de l'objet.

Pour supprimer un objet non référencé, cliquez sur l'icône de la corbeille (icône de suppression) de l'objet.

Étape 4

Sélectionnez Policy List (Liste de politiques) comme CLI Template (Modèle CLI).

Étape 5

Saisissez un nom pour l’objet Smart CLI. Notez que ce nom est également saisi comme nom de liste de politiques dans la première ligne du modèle d’interface de ligne de commande (dans la commande policy-list ).

Étape 6

Cliquez sur action dans la commande policy-list , sélectionnez l’une des options suivantes :

  • permit  : match (Mettre en correspondance). Les connexions qui correspondent à cette liste sont sélectionnées pour la fonctionnalité que vous configurez.

  • deny —Do not match (Ne pas mettre en correspondance). Les connexions qui correspondent à cette liste sont exclues de la fonctionnalité. Notez que le trafic « refusé » n’est pas abandonné, il ne reçoit tout simplement pas le service qui lui est appliqué. Par exemple, dans une carte de routage, si vous utilisez cet objet pour définir les routes redistribuées, les espaces d’adresses « refusés » ne sont tout simplement pas redistribués.

Étape 7

Cliquez sur Show Disabled (Afficher désactivé) au-dessus du modèle pour afficher les commandes de correspondance. Vous devez cliquer sur l’icône + à gauche des instructions de correspondance que vous souhaitez activer. Configurez n’importe quelle combinaison des instructions de correspondance suivantes pour définir les routes que vous ciblez.

  • match as-path . Cliquez sur la variable et sélectionnez les objets AS Path qui définissent les numéros du système autonome à mettre en correspondance.

  • configure match ip address list-type . Cliquez sur la variable list-type et choisissez si vous souhaitez faire correspondre l’adresse IP dans le routage en fonction de access-list ou prefix-list . Cela ajoutera une commande match ip address , dans laquelle vous pouvez cliquer sur la variable et sélectionner les listes d’accès standard ou les listes de préfixes IPv4 qui définissent les adresses IP à mettre en correspondance.

  • configure match ip next-hop list-type . Cliquez sur la variable la route en fonction et choisissez si vous souhaitez faire correspondre l’adresse IP du routeur de saut suivant dans la route en fonction de access-list ou prefix-list . Cela ajoutera une commande match ip next-hop , dans laquelle vous pouvez cliquer sur la variable et sélectionner les listes d’accès standard ou les listes de préfixes IPv4 qui définissent les adresses IP à mettre en correspondance.

  • configure match ip route-source list-type . Cliquez sur la variable la route en fonction et choisissez si vous souhaitez faire correspondre l’adresse IP de la source de routage dans la route en fonction de access-list ou prefix-list . Cela ajoutera une commande match ip route-source , dans laquelle vous pouvez cliquer sur la variable et sélectionner les listes d’accès standard ou les listes de préfixes IPv4 qui définissent les adresses IP à mettre en correspondance.

  • match community community-list options . Cliquez sur la variable community-list et sélectionnez les objets de liste de communauté qui définissent les communautés à mettre en correspondance. Si vous souhaitez que les routes correspondent à la liste de communautés uniquement si toutes les communautés de la liste sont mises en correspondance, cliquez sur options et sélectionnez exact-match .

  • match interface . Cliquez sur la variable et sélectionnez toutes les interfaces dans les routes à mettre en correspondance.

  • match metric . Cliquez sur la variable et saisissez la mesure de discriminateur de sortie multiple (MED) de routage pour la mettre en correspondance, de 1 à 4 294 967 295.

  • match tag . Cliquez sur la variable et saisissez la valeur de la balise de routage pour la mettre en correspondance, de 0 à 4 294 967 295.

Étape 8

Cliquez sur OK pour enregistrer l'objet.

Vous pouvez maintenant utiliser l’objet dans un objet de carte de routage pour une utilisation dans le routage BGP.

Configurer des listes de préfixes

Les listes de préfixes sont similaires aux listes de contrôle d’accès. Une liste de préfixes est une liste ordonnée de règles d’autorisation/refus, où l’autorisation indique les préfixes d’adresse qui doivent correspondre à la liste et le refus indique les préfixes d’adresse qui ne doivent pas correspondre à la liste. Le système évalue les correspondances de haut en bas et attribue l’action en fonction de la première règle mise en correspondance, et pas nécessairement de la règle la mieux adaptée. Vous devez donc spécifier avec soin les numéros de séquence pour vous assurer d’obtenir les correspondances dont vous avez besoin.

Vous pouvez utiliser des listes de préfixes pour le filtrage OSPF ou les cartes de routage BGP, OSPF ou EIGRP pour la redistribution ou l’injection de route, ou pour le filtrage de voisin BGP.

Il existe des listes de préfixes distinctes pour les adresses IPv4 et IPv6, mais la structure des listes est la même.

Procédure

Étape 1

Cliquez sur View Configuration (Afficher la configuration dans Device (Périphérique) > Advanced Configuration (Configuration avancée).

Étape 2

Veuillez sélectionner Smart CLI > Objects (Objets) dans la table des matières.

Étape 3

Effectuez l’une des opérations suivantes :

  • Pour créer un objet, cliquez sur le bouton +.

  • Pour modifier un objet, cliquez sur l'icône de modification (icône pour modifier) de l'objet.

Pour supprimer un objet non référencé, cliquez sur l'icône de la corbeille (icône de suppression) de l'objet.

Étape 4

Sélectionnez IPv4 Prefix List (Liste des préfixes IPv4) ou IPv6 Prefix List (Liste des préfixes IPv6) comme CLI Template (modèle CLI).

Étape 5

Saisissez un nom pour l’objet Smart CLI. Notez que ce nom est également saisi comme nom de liste de préfixes dans la première ligne du modèle CLI (dans la commande) prefix-list ).

Étape 6

Configurez une entrée de liste de préfixes à l’aide de la ligne de commande seq .

Chaque entrée figure sur une seule ligne qui commence par l’option seq .

  1. Dans seq , cliquez sur sequence-number (numéro de séquence) et saisissez le numéro pour cette règle, de 1 à 4 294 967 294. Le nombre est relatif aux numéros de séquence des autres règles, 1 étant la première règle évaluée. La pratique courante consiste à incrémenter par pas de 5, c’est-à-dire 5, 10, 15, etc. Cela vous permet d’insérer de nouvelles règles sans avoir à modifier les numéros de séquence des autres règles.

  2. Cliquez sur Action et sélectionnez l’une des options suivantes :

    • permit —Match (Mettre en correspondance). Les connexions qui correspondent à cette règle sont sélectionnées pour la fonctionnalité que vous configurez.

    • deny —Do not match (Ne pas mettre en correspondance). Les connexions qui correspondent à cette règle sont exclues de la fonctionnalité. Notez que le trafic « refusé » n’est pas abandonné, il ne reçoit tout simplement pas le service qui lui est appliqué. Par exemple, dans une carte de routage, si vous utilisez cette règle pour définir les routes redistribuées, les espaces d’adresses « refusés » ne sont tout simplement pas redistribués.

  3. Cliquez sur ip-address-mask (adresse IP et masque) et saisissez l’adresse réseau et le masque (au format CIDR pour IPv4) ou la longueur de préfixe pour IPv6. Par exemple, 10.100.10.0/24 (IPv4) ou 2001:DB8:0:CD30::/60 (IPv6).

    Le système utilise une correspondance exacte pour cette adresse ou ce masque, sauf si vous incluez également l’une des options ge ou le . Par exemple, 10.100.10.10/8 ne correspond pas à 10.100.10.0/24, sauf si vous incluez ge 9 dans la règle.

    La longueur du masque ou du préfixe peut être :

    • IPv4 = 0 à 32

    • IPv6 = 0 à 128

  4. (Facultatif) Vous pouvez utiliser les mots-clés ge et le pour préciser la plage de longueur de préfixe à mettre en correspondance pour les préfixes plus spécifiques que l’adresse IP et la longueur de masque ou de préfixe. Sans ces mots-clés, seules les correspondances exactes sont prises en compte pour correspondre à la règle.

    ge min-prefix-length spécifie la longueur minimale du préfixe à mettre en correspondance. La valeur doit être supérieure à la longueur du masque et inférieure ou égale à la longueur maximale de préfixe, si elle est spécifiée dans l’option le .

    le max-prefix-length spécifie la longueur maximale du préfixe à mettre en correspondance. La valeur doit être supérieure ou égale à la longueur minimale du préfixe, le cas échéant, ou supérieure à la longueur du masque si la longueur minimale du préfixe n’est pas précisée.

    Outre les limites de longueur relative mentionnées ci-dessus, les longueurs dans ces options ont les limites externes suivantes :

    • IPv4 = 1 à 32

    • IPv6 = 0 à 128

Étape 7

Ajoutez des entrées pour terminer la liste des préfixes.

Pour ajouter une entrée, cliquez sur .... > Duplicate(Dupliquer) à gauche d’une ligne seq . Une nouvelle entrée est ajoutée immédiatement après celle pour laquelle vous cliquez sur la commande Duplicate (Dupliquer).

Pour votre commodité, il est préférable d’essayer de conserver les entrées dans l’ordre de séquence. Cependant, une fois déployée, la liste des préfixes sera réécrite dans l’ordre séquentiel, même si vous les avez mélangées dans l’objet.

Notez que la duplication d’une entrée insère simplement une nouvelle entrée vide, sans caractéristiques préconfigurées. Après avoir créé l’« entrée dupliquée », procédez comme expliqué ci-dessus pour la configurer selon vos besoins.

Étape 8

Cliquez sur OK pour enregistrer l'objet.

Vous pouvez maintenant utiliser l’objet dans une carte de route, un processus de routage, ou un objet FlexConfig, pour une fonctionnalité qui nécessite une liste de préfixes.

Exemples

Voici quelques exemples sur la façon de mettre en correspondance les préfixes à l’aide d’une liste de préfixes. Le numéro de séquence est omis des exemples pour des raisons de simplicité. Le comportement réel de chaque règle est modifié par toute règle antérieure dans la séquence qui correspond à un sous-ensemble des espaces d’adresse couverts.

  • Rejeter la route par défaut 0.0.0.0/0 :

    refuser 0.0.0.0/0

  • Autoriser le préfixe 10.0.0.0/8 :

    autoriser 10.0.0.0/8

  • Autoriser une longueur de masque pouvant atteindre 24 bits dans les routes avec le préfixe 192/8 :

    autoriser 192.168.0.0/8 le 24

  • Refuser les longueurs de masque supérieures à 25 bits dans les routes avec un préfixe 192/8 :

    refuser 192.168.0.0/8 ge 25

  • Autoriser les longueurs de masque de 8 à 24 bits dans tous les espaces d’adresse :

    autoriser 0.0.0.0/0 ge 8 le 24

  • Refuser les longueurs de masque supérieures à 25 bits dans tous les espaces d’adresse :

    refuser 0.0.0.0/0 ge 25

  • Refuser toutes les routes avec le préfixe 10/8 :

    refuser 10.0.0.0/8 le 32

  • Refuser tous les masques d’une longueur supérieure à 25 bits pour les routes ayant un préfixe de 192.168.1/24 :

    refuser 192.168.1.0/24 ge 25

  • Autoriser toutes les routes avec un préfixe de 0/0 :

    autoriser 0.0.0.0/0 le 32