ACL
ACL 預設隻能比對路由條目,無法比對掩碼範圍,路由字首采用大于小于的形式來比對路由,彌補了 acl 的不足。
字首清單,它可以将所定義的字首清單相比對的路由,根據定義的比對模式進行過濾。字首清單中的比對條目由 IP 位址和掩碼組成,IP 位址可以是網段位址或者主機位址,掩碼長度的配置範圍為 0-32,可以進行精确比對貨真在一定掩碼長度範圍内比對,也可以通過配置關鍵字 greater-equal 和 less-equal 指定待比對的字首掩碼長度。字首清單同時比對字首号和字首長度,主要用于路由的比對和控制,不能用于資料包的過濾。
Acl 缺陷
如上圖,網絡中存在黑客行為,接入了一條 11.1.0/25 的網絡,與網絡中 11.1.1.0/24存在沖突,當路由協定收斂後,會優先比對 11.1.1.0/25(子網路遮罩越長越優先),造成網絡癱瘓。
使用 acl 進行比對,11.1.1.0 0.0.0.0 進行比對,會将 11.1.1.0/24 進行阻塞掉,是以acl 無法滿足要求。
使用 IP-Prefix 進行比對:11.1.1.0 24 greater-equal 25 less-equal 25
① 11.1.1.0 24:比對路由條目 前 24 位是否與 11.1.1.0 相同。
② greater-equal 25 less-equal 25:比對掩碼為/25 的路由。
IP-Prefix 基本格式
① 隻存在掩碼:
[Huawei]ip ip-prefix 1 index 10 permit 10.0.0.0 16
Ø 比對的資料包中的 IP 位址的掩碼為/16
Ø 比對的資料包中的 IP 位址的前 16 位 IP 位址一緻
② 存在 greater-equal 和 less-equa:
[Huawei]ip ip-prefix 1 index 10 permit 10.0.0.0 16 greater-equal 16 less-equal 17
①掩碼值 16:首先比對前 16 位是否一緻,一緻進入下一步,不一緻忽略
② greater-equal 16 less-equal 17:比對子網路遮罩是/16、/17
IP-Prefix 配置
①隻存在掩碼:
a) 隻允許/24 的子網路遮罩通過:[Huawei]ip ip-prefix 1 index 10 permit 10.0.1.0 24 /* 前 24 位與 10.0.1.0 一緻并且子網路遮罩是 24 位
b) 比對預設路由:[Huawei]ip ip-prefix 1 index 10 permit 0.0.0.0 0 /* 比對預設路由
c) 比對所有路由:ip ip-prefix 1 index 10 permit 0.0.0.0 0 less-equal 32
d) 比對所有主機路由: ip ip-prefix 1 index 10 permit 0.0.0.0 0 greater-equal 32
② 存在 greater-equal 和 less-equa:
① 比對 10.0.1.1/24 和 10.0.2.1/25 的路由條目:
[Huawei]ip ip-prefix 1 index 10 deny 10.0.0.0 16 greater-equal 24 less-equal 25 /* 比對前 16 位一緻的路由條目并且比對子網路遮罩為 15 位到 15位 到 15 位
[Huawei]ip ip-prefix 1 index 20 permit 0.0.0.0 0 less-equal 32 /* 隐式為拒絕所有,是以配置允許所有
③ 比對所有位址:
[Huawei]ip ip-prefix 1 index 20 permit 0.0.0.0 0 less-equal 32 /* 比對所有。