路由策略——ACL、IP-Prefix List
ACL:
基本概念:
可以用于数据与路由信息的过滤
不会过滤设备自身产生的访问其它设备的流量,只过滤转发的流量---包括其它设备访问其它设备的、其他设备访问本设备的流量
分类:
1000~1999 接口访问列表
2000~2999 基本访问列表(只匹配源地址)
3000~3999 高级访问列表(匹配源目IP、源目端口、等)
4000~4999 MAC访问列表(源目MAC、以太网类型等)
5000~5999 用户自定义访问列表
10000~10999应用MPLS acl
应用方式:
1.在接口应用:
入方向:inbound
出方向:outbound
2.在import-route或者策略路由中引用,作为匹配条件
3.做NAT时在出接口引用
acl工作原理:
ACL是由一条或者多条Rule组成的,在配置规则时要注意先细后粗
匹配时就是匹配ACL中的每一条规则,按照数字序号从小到大匹配
匹配上规则后就停止匹配,执行这条规则所对应的动作
配置:在 接口引用为例
Acl 2000 创建基本acl
Rule 5 permit source 1.1.1.1 0.0.0.255 创建数字序号为5的规则,动作为允许
Rule 7 deny
Int g0/0/0 在接口应用acl
traffic-filter inbound acl 2000 在接口入方向引用了ACL2000
(允许数据源IP为1.1.1.0/24的数据进入此接口,其余全部拒绝)
IP-Prefix List
基本概念:
IP-Prefix List 地址前缀列表
只可用于路由信息过滤,不能用于数据包过滤
相比于ACL,可以更精确匹配网络号和前缀长度
配置:
ip ip-prefix 序号 permit IP地址 子网掩码
掩码后还有选项可添加:
greater-equal 24 掩码大于等于24
less-equal 32 掩码小于等于32
例子:
ip ip-prefix 1 permit 1.1.0.0 24 greater-equal 25 less-equal 28
允许IP地址为1.1.0.0,掩码为25到28之间的通过
ip ip-prefix 1 permit 1.1.0.0 24
允许IP地址为1.1.0.0,掩码等于24的通过
引用:
一般在import-route或者策略路由中引用,作为匹配条件