ACL
默认情况下,acl只能匹配路由条目,而不能匹配掩码范围。路由前缀大于或小于匹配路由,弥补了ACL的不足。
前缀列表,可以根据定义的匹配模式过滤与定义的前缀列表匹配的路由。前缀列表中的匹配条目由IP地址和掩码组成。IP地址可以是网段地址或主机地址。掩模长度的配置范围为0-32,可用于精确匹配。您也可以通过配置大于等于和小于等于的关键字来指定要匹配的前缀掩码长度。
前缀列表同时匹配前缀号和前缀长度,主要用于路由匹配和控制,不用于包过滤。
Acl缺陷
如上图所示,网络中有黑客入侵,访问11.1.0/25的网络,与网络中的11.1.1.0/24冲突。路由协议收敛时会先匹配11.1.1.0/25(子网掩码越长优先级越高),导致网络瘫痪。
使用acl匹配和11.1.1.0 0.0.0匹配会阻塞11.1.1.0/24,所以acl不能满足要求。
与IP匹配-前缀:11.1.1.0 24大于等于25小于等于25
11.1.1.0 24:匹配路由条目的前24位是否与11.1.1.0相同。
大于等于25小于等于25:匹配掩码为/25的路由。
前缀基本格式
只存在掩码:
[华为]IP IP-前缀1索引10许可10.0.0.0 16
匹配数据包中的IP地址掩码是/16。
匹配数据包中IP地址的前16个IP地址是相同的。
有大等份和小等份之分:
[华为]IP IP-前缀1索引10允许10.0.0.0 16大于等于16小于等于17
掩码值16:首先匹配前16位数字是否一致,如果一致则进入下一步;如果它们不一致,请忽略它们。
大于等于16小于等于17:的匹配子网掩码为/16和/17。
IP前缀配置
只存在掩码:
a)仅允许/24子网掩码通过:
【华为】IP IP-前缀1索引10允许10.0.1.0 24-前24位与10 . 0 . 1 . 0一致,子网掩码为24位。
b)匹配默认路由:
[华为]IP IP-前缀1索引10允许0 . 0 . 0 . 00-匹配默认路由。
c)匹配所有路线:
IP-IP前缀1索引10允许0.0.0.0小于等于32
d)匹配所有主机路由:
e) ip ip前缀1索引10允许0.0.0.0大于等于32
有大等份和小等份之分:
匹配10.0.1.1/24和10.0.2.1/25的路由条目:
【华为】IP IP-前缀1索引10 deny 10.0.0.0 16大于等于24小于等于25匹配前16个一致路由条目,匹配15位到15位到15位的子网掩码。
【华为】IP IP-前缀1索引20 Permit0.0.0.0 0 0减-等于32-隐式,all被拒绝,所以配置允许all。
匹配所有地址:
[华为]IP IP-前缀1索引20允许0.0.0.0 0小于等于32-匹配全部。
想了解更多华为认证的技术干货,请关注微信官方账号【IE Networker训练营】