路由策略——ACL、IP-Prefix List

ACL：

基本概念：

可以用于数据与路由信息的过滤

不会过滤设备自身产生的访问其它设备的流量，只过滤转发的流量---包括其它设备访问其它设备的、其他设备访问本设备的流量

分类：

1000~1999    接口访问列表

2000~2999    基本访问列表（只匹配源地址）

3000~3999    高级访问列表（匹配源目IP、源目端口、等）

4000~4999    MAC访问列表（源目MAC、以太网类型等）

5000~5999    用户自定义访问列表

10000~10999应用MPLS acl

 

应用方式：

1.在接口应用：

        入方向：inbound

        出方向：outbound

2.在import-route或者策略路由中引用，作为匹配条件

3.做NAT时在出接口引用

 

acl工作原理：

ACL是由一条或者多条Rule组成的，在配置规则时要注意先细后粗

匹配时就是匹配ACL中的每一条规则,按照数字序号从小到大匹配

匹配上规则后就停止匹配，执行这条规则所对应的动作

 

配置：在 接口引用为例

Acl 2000         创建基本acl

        Rule 5 permit  source  1.1.1.1 0.0.0.255    创建数字序号为5的规则，动作为允许

        Rule 7  deny

 

Int g0/0/0       在接口应用acl

        traffic-filter inbound acl 2000  在接口入方向引用了ACL2000

（允许数据源IP为1.1.1.0/24的数据进入此接口，其余全部拒绝）

 

IP-Prefix List

基本概念：

IP-Prefix List  地址前缀列表

只可用于路由信息过滤，不能用于数据包过滤

相比于ACL，可以更精确匹配网络号和前缀长度

 

配置：

ip  ip-prefix 序号 permit IP地址  子网掩码  

掩码后还有选项可添加：

 greater-equal  24   掩码大于等于24

 less-equal    32       掩码小于等于32

 

例子：

ip  ip-prefix 1 permit 1.1.0.0 24 greater-equal 25 less-equal 28

允许IP地址为1.1.0.0，掩码为25到28之间的通过

ip  ip-prefix 1 permit  1.1.0.0 24

允许IP地址为1.1.0.0，掩码等于24的通过

 

引用：

一般在import-route或者策略路由中引用，作为匹配条件