ACL(访问控制列表)和IPprefix-list(前缀列表)的路由匹配 区别
1、总结
能否匹配路由匹配⼯具/匹配规则路由匹配是否精确能否做数据包过
滤
⽬的
(可选)车联网天线
精确
能同时匹配前缀号和前缀长度 ,解决ACL
题
不能
诞⽣的⽬的就是
精确匹配路由
acl
只有基本ACL可
以,但是⾼级acl不
能匹配路由
通 配 符(反掩码): 只能范围
匹配
不精确
对于前缀相同⽽掩码不同的路由⽆法匹配
能
最初是为了做数
据包过滤
ACL和地址前缀列表都可以对路由进⾏筛选,ACL匹配路由时只能使⽤“通配符”⼯具匹配路由的⽹络号,但⽆法匹配掩码,也就是前缀长度;
⽽地址前缀列表⽐ACL更为灵活和精确,可以匹配路由的⽹络号及掩码,还可以匹配路由长度范围,增强了路由匹配的精确度。护坡钢丝网
电源外壳2、访问控制列表(ACL)匹配路由
访问控制列表ACL(Access Control List)是⼀系列过滤规则的集合,可以称之为规则组。只有基本acl(Basic ACL)可以匹配路由(基本acl 条⽬为 2000-2999)。
⾼级acl不能⽤于路由匹配,因为⾼级acl可以匹配 Protocol(tcp、udp、icmp等),⾼级acl⽤于访问策略控制。
ACL匹配路由时只能使⽤“通配符”⼯具匹配路由的⽹络号,但⽆法匹配掩码长度。
2.1、什么是通配符?
通配符(反掩码):反掩码是⼀个32⽐特位的数字字符串,格式与IP地址相同,⽤于指⽰IP地址中的哪些位将被检查。和判断条件中的IP地址⼀起确定⼀个地址范围,如果数据的IP地址属于这个范围,就认为数据符合判断条件,反之则不然。
反掩码各⽐特位中,0表⽰“检查相应的位”,1表⽰“不检查相应的位”。
如:rule permit source 192.168.100.0 0.0.0.255。使⽤的反掩码匹配,依据反掩码的0位严格匹配,1位不需要匹配原
则,192.168.100这3位严格匹配。最终匹配的IP地址为 192.168.100.0/24所有IP地址及⽹段(含/24的所有⼦⽹段,以及单个IP)
关于反掩码⼏个相关测试题
1.请⽤⼀个IP地址和⼀个通配符表⽰合法主机地址192.168.100.17 / 32
2.请⽤⼀个IP地址和⼀个通配符表⽰⽹络172.160.0.0 / 16
3.请⽤⼀个IP地址和⼀个通配符表⽰⼦⽹192.168.10.8 / 29
4.请⽤IP地址和通配符表⽰地址范围192.168.1.16⾄192.168.1.28
5.反掩码255.255.255.255表⽰什么?
6.反掩码0.0.0.0表⽰什么?
反掩码测试题答案
1. 192.168.100.17 0.0.0.0
2.172.160.0.0 0.0.255.255
3. 192.168.10.8 0.0.0.7
4. 192.168.1.16 0.0.0.15
5.反掩码255.255.255.255表⽰所有IP地址,因为全为1说明不检查所有32⽐特位,这可以⽤any取代。反掩码0.0.0.0表⽰所有32位都要进⾏匹配。
6.反掩码与IP⼦⽹掩码⼯作原理不同。⼦⽹掩码中,数字1和0⽤来决定是⽹络、⼦⽹,还是相应的主机的IP地址。
3、地址前缀列表(IP-Prefix List)
地址前缀列表是⼀种包含⼀组路由信息过滤规则的过滤器,⽤户可以在规则中定义前缀和掩码范围,⽤于匹配路由。
地址前缀列表进⾏匹配的依据有两个:掩码长度和掩码范围。
掩码长度:地址前缀列表匹配的对象是IP地址前缀,前缀由IP地址和掩码长度共同定义。例如,10.1.1.1/16这条路由,掩码长度是16,这个地址的有效前缀为16位,即10.1.0.0。
掩码范围:对于前缀相同,掩码不同的路由,可以指定待匹配的前缀掩码长度范围来实现精确匹配或者在⼀定掩码长度范围内匹配。
3.1、匹配顺序
顺序匹配:按索引号从⼩到⼤顺序进⾏匹配。同⼀个地址前缀列表中的多条表项设置不同的索引号,可能会有不同的过滤结果,实际配置时需要注意。
唯⼀匹配:待过滤路由只要与⼀个表项匹配,就不会再去尝试匹配其他表项。
默认拒绝:默认所有未与任何⼀个表项匹配的路由都视为未通过地址前缀列表的过滤。因此在⼀个地址前缀列表中创建了⼀个或多个deny模式的表项后,需要创建⼀个表项来允许所有其他路由通过。
3.2、匹配参数:
参数含义
ipv4-address⽤于指定⽹络号。
mask-length⽤于限定⽹络号的前多少位需严格匹配。
greater-equal greater-equal-value表⽰掩码⼤于等于greater-equal-value。
less-equal less-equal-value表⽰掩码⼩于等于less-equal-value。
当待过滤的路由已匹配当前表项的⽹络号时,掩码长度可以进⾏精确匹配或者在⼀定掩码长度范围内匹配。
如果不配置greater-equal和less-equal,则进⾏精确匹配,即只匹配掩码长度为mask-length的路由。
如果只配置greater-equal,则匹配的掩码长度范围为⼤于[greater-equal-value]。
如果只配置less-equal,则匹配的掩码长度范围为[mask-length,less-equal-value]。
如果同时配置greater-equal和less-equal,则匹配的掩码长度范围为: [greater-equal-value≥ 匹配路由前缀范围≤ less-equal-value]。
呼吸机管路
4、以下路由的ip-prefix和acl匹配区别
192.168.200.0/30
192.168.200.4/30
192.168.206.96/30
192.168.206.100/30
192.168.206.108/30
192.168.206.112/30
4.1、使⽤ACL 2500来匹配
rule 5 permit source 192.168.0.0 0.0.255.255
这会匹配以下路由
4.2、使⽤IP prefix来匹配
ip ip-prefix test0712 index 10 permit 192.168.0.0 16
结果⽆任何路由匹配。烟道蝶阀
4.2.1如果修改ip-prefix为:
ip ip-prefix test0712 permit 192.168.0.0 16 greater-equal 30 less-equal 32
以上匹配解读:
“test07”为名称
lvds屏线“permit 192.168.0.0 16”为路由范围。
“greater-equal 30 less-equal 32”为路由长度,表⽰匹配【30≥路由长度≤32】的路由结果:路由匹配如下
