华为策略工具大全——匹配工具之IP-Prefix
ACL
ACL默认只能匹配路由条目,无法匹配掩码范围,路由前缀采用大于小于的形式来匹配路由,弥补了acl的不足。
前缀列表,它可以将所定义的前缀列表相匹配的路由,根据定义的匹配模式进行过滤。前缀列表中的匹配条目由IP地址和掩码组成,IP地址可以是网段地址或者主机地址,掩码长度的配置范围为0-32,可以进行精确匹配货真在一定掩码长度范围内匹配,也可以通过配置关键字greater-equal和less-equal指定待匹配的前缀掩码长度。
前缀列表同时匹配前缀号和前缀长度,主要用于路由的匹配和控制,不能用于数据包的过滤。
Acl缺陷
如上图,网络中存在黑客行为,接入了一条11.1.0/25的网络,与网络中11.1.1.0/24存在冲突,当路由协议收敛后,会优先匹配11.1.1.0/25(子网掩码越长越优先),造成网络瘫痪。
使用acl进行匹配,11.1.1.0 0.0.0.0进行匹配,会将11.1.1.0/24进行阻塞掉,所以acl无法满足要求。
使用IP-Prefix进行匹配:11.1.1.0 24 greater-equal 25 less-equal 25
① 11.1.1.0 24:匹配路由条目 前24位是否与11.1.1.0相同。
② greater-equal 25 less-equal 25:匹配掩码为/25的路由。
IP-Prefix基本格式
① 只存在掩码:
[Huawei]ip ip-prefix 1 index 10 permit 10.0.0.0 16
Ø 匹配的数据包中的IP地址的掩码为/16
Ø 匹配的数据包中的IP地址的前16位IP地址一致
② 存在greater-equal和less-equa:
[Huawei]ip ip-prefix 1 index 10 permit 10.0.0.0 16 greater-equal 16 less-equal 17
① 掩码值16:首先匹配前16位是否一致,一致进入下一步,不一致忽略
② greater-equal 16 less-equal 17:匹配子网掩码是/16、/17
IP-Prefix配置
① 只存在掩码:
a) 只允许/24的子网掩码通过:
[Huawei]ip ip-prefix 1 index 10 permit 10.0.1.0 24-----------前24位与10.0.1.0一致并且子网掩码是24位
b) 匹配默认路由:
[Huawei]ip ip-prefix 1 index 10 permit 0.0.0.0 0-----------匹配默认路由
c) 匹配所有路由:
ip ip-prefix 1 index 10 permit 0.0.0.0 0 less-equal 32
d) 匹配所有主机路由:
e) ip ip-prefix 1 index 10 permit 0.0.0.0 0 greater-equal 32
② 存在greater-equal和less-equa:
① 匹配10.0.1.1/24和10.0.2.1/25的路由条目:
[Huawei]ip ip-prefix 1 index 10 deny 10.0.0.0 16 greater-equal 24 less-equal 25---匹配前16位一致的路由条目并且匹配子网掩码为15位到15位 到15位
[Huawei]ip ip-prefix 1 index 20 permit 0.0.0.0 0 less-equal 32------隐式为拒绝所有,所以配置允许所有
③ 匹配所有地址:
[Huawei]ip ip-prefix 1 index 20 permit 0.0.0.0 0 less-equal 32-----匹配所有。
为了方便广大网络爱好学习者一起学(聚)习(众)交(搞)流(基),特开设华为干货交流群,里面已经上传大量学习资料,欢迎广大网络工程师进群学习!