Bir routing protokolünde anons edilecek rotalar düzenlenirken ip prefix listlerden yararlanılır. Bu işlem sırasında access listler de kullanılabilecek olmasına rağmen prefix listler tercih edilir.
Ip prefix listler prefix bazlı filitreleme sağlayan çok güçlü araçlardır. Normal access listlere göre çok daha geniş kapsamlı olarak kullanılabilirler. Ip access-listlerde sadece belirlenen bitlerin eşleşip eşleşmediği kontrol edilirken; prefix-listlerde bu bitlere ek olarak belirlenen subnetmaskın istenilen kriterlere uygun olup olmadığı kontrol edilir. Örneğin 10.0.0.0/8 networkünde 10.1.0.0/16, 10.2.0.0/16 şeklinde /16lık tüm subnetlere izin verilmek istenildiğinde bunu bir acces-list ile gerçekleştirmek zordur. Çünkü 10.0.0.0/8 e izin verilmesi durumunda tüm 10.0-255/16lık ip grubu bu izine dahil olcaktır bunun yanında /9-10-11-12-… lik subnetler de bu izinden yararlanılacaktır. Bu tip durumlarda prefix-listler bize büyük kolaylık sağlar, onlar sayesinde sadece /16 ya da sadece istenilen subnet maskesine sahip networklerin bu izinden yararlanması sağlanır.
Bir çok kaynağa bakıldığı zaman access-listlere göre çok daha kolay anlaşılabilir olduğu söylenmektedir fakat konuyu anlaşılır bir şekilde ifade eden döküman sayısının azlığından dolayı anlaşılması zordur. Bende bu sebeple elimden geldiğince yardımcı olmaya çalışacağım.
Bir çok kaynağa bakıldığı zaman access-listlere göre çok daha kolay anlaşılabilir olduğu söylenmektedir fakat konuyu anlaşılır bir şekilde ifade eden döküman sayısının azlığından dolayı anlaşılması zordur. Bende bu sebeple elimden geldiğince yardımcı olmaya çalışacağım.
Prefix-listlerin temel özellikleri
- Filitreleme “permit” ve “deny” ifadeleriyle yapılır
- Her zaman ilk eşleşme kazanır.Örneğin üst satırlarda bir deny ifadesine takılan paket deny edilir, üst satırlarda permit ifadesine takılan bir paket alt satırlarda deny olsa bile permit edilir. Kısacası access-listlerle aynıdır.
- Access-list’lerde olduğu gibi son satır implict deny satırıdır. Yani hiç bir satır ile eşleşmeyen paketler deny edilir.
- Paketleri belirtilen ip adresi ve belirtilen subnet maskesi değerlerine uygun olması durumuna göre işleme sokar.
Permit any :
ip prefix-list deneme permit 192.168.1.0/24 ge 25
- ip prefix-list deneme deny 0.0.0.0/0 le 32
Konuyu uygulama olarak incelemeden önce konfigürasda girilen parametreleri inceleyelim.
#ip prefix-list {list-name | list-number} [seq number] {deny network/length | permit network/length} [ge ge-length] [le le-length]
Burda dikkatimizi çeken iki parametre ge ve le ‘dir.
- ge (greater than or equal) büyük veya eşit
- le (less than or equal) küçük veya eşit anlamına gelir.
Konuyu anlamak için şu örnekleri inceleyecek olursak;
- ip prefix-list deneme permit 192.168.1.0/24 ge 25
İncelemeye başlamak için ilk olarak izin verilcek networukün 192.168.1.0/24 içinde olması gereklidir. ge 25 ile belirtilen ise ilk şart sağlandıktan sonra subnet maskının 25,26,27,28,29,30,31,32 olması durumunda bu satır tarafından eşleşeceğini belirtmektir. Bu durumda 192.168.1.0/24 networküne bu satır tarafından izin verilmezken 192.168.1.0/25 networküne izin verilecektir.
- ip prefix-list deneme permit 192.168.1.0/24 le 26
Aynı şekilde ilk 24 bitin eşleşmesi durumunda subnetmaskı 26’ya küçük veya eşit olan 24,25,26 subnet maskesine sahip olan networklere izin verilecektir.
- ip prefix-list deneme permit 192.168.1.0/24 ge 25 le 26
Yine aynı şekilde ilk 24 bitin eşleşmesi durumunda subnetmaskı 25-26 bit arasında veya bu değerlere eşit olan networklere izin verilecektir. Kısacesı aşağıdaki networklere izin verilecekken
- 192.168.1.0/25
- 192.168.1.128/25
- 192.168.1.0/26
- 192.168.1.64/26
- 192.168.1.128/26
- 192.168.1.192/26
Aşağıdaki networklere izin verilmemektedir. Bunun dışında izin verilmeyen network örnekleri çoğaltılabilir burda sadece iki tanesi verilmiştir.
- 192.168.1.0/24
- 192.168.1.0/27
Aşağıda bir BGP konfigürasyonu üzerinde prefix listlerin uygulanması görünmektedir. 3. örnekte belirtilen ip adreslerinin anonsları bu routerın x.x.x.x ip adresine sahip komşusu tarafından kabul edilmekte olup geri kalan anonslar bu komşudan öğrenilmeyecektir. Bu işlemde prefix-list’i out yönünde uygulamamız durumunda ise sadece 3. örnekte belirtilen networkler bu komşuya anons edilecektir.
router bgp 300
network y.y.y.y
neighbor x.x.x.x remote-as 100
neighbor x.x.x.x prefix-list deneme in
!
ip prefix-list deneme permit 192.168.1.0/24 ge 25 le 26
Time base
network y.y.y.y
neighbor x.x.x.x remote-as 100
neighbor x.x.x.x prefix-list deneme in
!
ip prefix-list deneme permit 192.168.1.0/24 ge 25 le 26
Time base
interface FastEthernet 0/0
ip address 192.168.12.2 255 255.255.0
ip access-group NO_FACEBOOK in
!
interface FastEthernet 0/1
ip address 192.168.23.2 255 255.255.0
ip access-group NO_FACEBOOK in
!
time-range WORK_HOURS
periodic weekdays 09:00 to 17:00
!
ip access-list extended NO_FACEBOOK
deny tcp any host 192.168.23.3 eq 80 time-range WORK_HOURS
permit ip any any
Hiç yorum yok:
Yorum Gönder