路由控制2——条件工具ACL和IP-Prefix List

已于 2023-11-29 20:30:08 修改
阅读量4k 收藏 47
点赞数 5
分类专栏: # 路由交换协议理论讲解 文章标签: 网络协议 网络
于 2022-03-23 21:41:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49864110/article/details/123697303
版权

目录

ACL

基本概念

ACL分类

基本ACL的组成

ACL匹配顺序

ACL如何匹配IP地址

ACL应用方式

IP-Prefix List

基本概念

前缀列表的配置

注意事项

路由控制方式了解到,ACL、IP-Prefix List都为路由控制中的条件工具

ACL

基本概念

ACL访问控制列表是由一条或者多条规则组成的集合;本质上是一种报文过滤器,可以用于数据流量(报文)与路由信息的过滤

在对于数据流量过滤时需要注意

ACL不会过滤设备自身产生的访问其它设备的流量,只过滤转发的流量(包括其它设备访问其它设备的、其他设备访问本设备的流量)

ACL分类

基于ACL标识方法进行划分

数字型ACL(使用唯一数字标识ACL)

命名型ACL(使用名字/名字+数字来标识ACL)

基于对IPv4和IPv6支持情况划分

ACL4:也叫做ACL,仅支持对IPv4报文进行过滤的ACL

ACL6:也叫做IPv6 ACL,仅支持对IPv6报文进行过滤的ACL

根据ACL功能划分

编号范围ACL类型过滤内容
2000~2999基本ACL仅使用报文的源IP地址、分片信息、生效时间来过滤
3000~3999高级(扩展)ACL使用报文的源目IP地址、IP协议类型、ICMP类型
TCP/UDP源目端口号、生效时间来过滤
4000~4999二层ACL使用以太网帧头部信息(例如:源目MAC、二层协议类型)来过滤
5000~5999用户自定义ACL可根据报文偏移位置和偏移量来定义规则
6000~6999用户ACL使用报文的源目IP地址、源目UCL组、IP协议类型、ICMP类型
TCP/UDP源目端口号、生效时间来过滤

基本ACL的组成

ACL编号:标识ACL。可以使用数字标识,也可以使用名字+数字标识

规则编号:标识ACL规则,默认每个规则的间隔是5(即第一个规则是5,下一个为10依次递增),也可以手动指定编号。

源地址:由IP地址+通配符组成

动作:   包括允许、拒绝两种动作

匹配项:不同的ACL类型匹配项不一致。最基础的就是匹配源IP地址

ACL匹配顺序

一条ACL可以由多条deny/permit语句组成,每条语句描述一条规则,并使用唯一的规则编号

设备支持两种ACL匹配顺序:

  • 配置顺序(config模式)
  • 自动排序(auto模式)

配置顺序:

  1. 如果配置规则指定了规则编号,根据规则编号由小到大顺序匹配
  2. 如果没有配置规则没有指定规则编号,则由系统自动分配(由编号5开始,每条规则编号递增5)
  3. 一旦匹配上一条规则就停止匹配。没有匹配到规则就匹配默认规则。

  4. 没有任何匹配,则默认丢弃该数据包(默认有一条拒绝所有的ACL)

自动排序:

  1. 系统使用“深度优先”的原则,将规则按照精确度从高到低进行排序、匹配。
  2. 如果使用“深度优先”原则没有分辨出优先级,则使用配置顺序方式来匹配。
AC类型深度优先原则
基本ACL1、先看规则中是否带VPN实例,带VPN实例的规则优先。
2、再比较源IP地址范围,源IP地址范围小(IP地址通配符掩码中“0”位的数量多)的规则优先。
3、如果源IP地址范围相同,则规则编号小的优先(配置匹配)。
高级ACL1、先看规则中是否带VPN实例,带VPN实例的规则优先。
2、再比较协议范围,指定了IP协议承载的协议类型的规则优先。
3、如果协议范围相同,则比较源IP地址范围,源IP地址范围小(IP地址通配符掩码中“0”位的数量多)的规则优先。
4、如果协议范围、源IP地址范围相同,则比较目的IP地址范围,目的IP地址范围小(IP地址通配符掩码中“0”位的数量多)的规则优先。
5、如果协议范围、源IP地址范围、目的IP地址范围相同,则比较四层端口号(TCP/UDP端口号)范围,四层端口号范围小的规则优先。
6、如果上述范围都相同,则规则编号小的优先(配置匹配)。
二层ACL1、先比较二层协议类型通配符掩码,通配符掩码大(协议类型通配符掩码中“1”位的数量多)的规则优先。
2、如果二层协议类型通配符掩码相同,则比较源MAC地址范围,源MAC地址范围小(MAC地址通配符掩码中“1”位的数量多)的规则优先。
3、如果源MAC地址范围相同,则比较目的MAC地址范围,目的MAC地址范围小(MAC地址通配符掩码中“1”位的数量多)的规则优先。
4、如果源MAC地址范围、目的MAC地址范围相同,则规则编号小的优先(配置匹配)。
用户ACL1、先比较协议范围,指定了IP协议承载的协议类型的规则优先。
2、如果协议范围相同,则比较源IP地址范围。如果规则的源IP地址均为IP网段,则源IP地址范围小(IP地址通配符掩码中“0”位的数量多)的规则优先。
3、如果协议范围、源IP地址范围相同,则比较目的IP地址范围。如果规则的目的IP地址均为IP网段,则目的IP地址范围小(IP地址通配符掩码中“0”位的数量多)的规则优先。
4、如果协议范围、源IP地址范围、目的IP地址范围相同,则比较四层端口号(TCP/UDP端口号)范围,四层端口号范围小的规则优先。
5、如果上述范围都相同,则规则编号小的优先(配置匹配)。

注意:在创建ACL是可以更改匹配顺序,通过acl  [编号]  math-order [auto/config]  命令进行匹配顺序更改

ACL如何匹配IP地址

ACL使用通配符来匹配IP地址,通配符0表示匹配,1表示不匹配。0和1之间可以不连续

规则中由参照地址和通配符一同来确定IP地址的范围

匹配特殊地址

0.0.0.0   255.255.255.255  匹配任意IP地址

1.1.1.1   0.0.0.0                  仅匹配1.1.1.1这一个地址

不过需要注意的是

在匹配IP地址时,只能匹配IP地址的网络号,无法匹配子网掩码

即ACL可以灵活的匹配IP地址的前缀,无法匹配掩码长度。例如: 

  • Rule 5 permit source 1.1.1.0 0  此条规则匹配的是网络号为1.1.1.0的地址

        1.1.1.0/24  1.1.1.0/25  都被匹配

        1.1.1.128/25不被匹配,因为此网络号为1.1.1.128

  • Rule 5 permit source 1.1.1.0 24  此条规则匹配的是网络号为1.1.1.X的地址

        1.1.1.0/24  1.1.1.128/25    都被匹配

        1.1.1.0/16不被匹配,因为此网络号为1.1.0.0

ACL应用方式

1.在接口应用

   入方向:inbound

   出方向:outbound

2.在import-route或者策略路由中引用,作为匹配条件

3.做NAT时在出接口引用

4.在Telnet中应用

5.在FTP中应用

注意:ACL默认规则为全允许

IP-Prefix List

基本概念

IP-Prefix Lis地址前缀列表,能够同时匹配IP前缀以及掩码长度,更加精确的匹配到路由,而ACL不可以

不能用于IP报文过滤,只可用于路由信息过滤

前缀列表的配置

ip  ip-prefix   [名字]   index   [序号]   permit/deny   [IP地址]   [length(掩码)]  

掩码后还有选项可添加:

 greater-equal   24   掩码大于等于24

 less-equal        32   掩码小于等于32

基本常见类型的例子:

  • ip ip-prefix qwer index 10 permit 1.1.1.0 24

····精确匹配网络号为1.1.1.0,子网掩码为24的路由

  • ip ip-prefix qwer index 10 permit 1.1.1.0 8 less-equal 24

····匹配网路号为1.x.x.x,掩码大于等于8,小于等于24的路由

  • ip ip-prefix qwer index 10 permit 1.1.1.0 8 greater-equal 24

····匹配网路号为1.x.x.x,掩码大于等于24,小于等于32的路由

  • ip ip-prefix qwer index 10 permit 1.1.1.0 8 greater-equal 16 less-equal 24

····匹配网路号为1.x.x.x,掩码大于等于16,小于等于24的路由

  • ip ip-prefix qwer index 10 permit 0.0.0.0 0

····匹配缺省路由

  • ip ip-prefix qwer index 10 permit 0.0.0.0 0 less-equal 32

····匹配所有路由

  • ip ip-prefix qwer index 10 permit 0.0.0.0 1 greater-equal 8 less-equal 8

····匹配A类网段的所有路由(第一比特位为0的网络号,也就是1到127。掩码为8)

注意事项

  • ip-prefix-list默认拒绝所有路由
  • 子网掩码范围遵循 :length(必配)<= greater <= less
  • ip-prefix-list方式无法匹配奇偶路由,ACL可以
  • 前缀列表一般在import-route、路由策略、策略路由中引用,作为匹配条件
路由进阶:IP-Prefix实验配置
网络技术联盟站
11-18 768
思路是正确的,但是却无法实现。原因在上一个实验中我们已经解释过了,使用基本ACL去匹配或者抓取路由时,是无法匹配路由的掩码的,因此必须使用另外一个工具:前缀列表(prefix-list)。上面的配置中,“ip ip-prefix 1 permit 172.16.0.0 16“这条命令指的是被匹配的路由网络号的前16个比特必须与172.16.0.0的前16个比特相同,而且掩码必须为16。可以看到,R3学习到了172.16.0.0/16路由,但是172.16.0.0/24的路由则已经被我们过滤了。
地址前缀列表(IP Prefix List
m0_59331971的博客
02-14 5985
地址前缀列表IP Prefix List IP Prefix List 优点(与ACL比较): 1.性能及可控性高于ACL 2.能同时精确匹配网络前缀长度(ACl无法匹配掩码/前缀长度) 3.前缀列表不能用于数据包的过滤(ACl可以过滤数据包) 默认deny(ACL默认permit) 命令: 格式:ip ip-prefix 列表名 permit/deny ip地址 掩码 例:ip ip-prefix djp permit 192.168.0.0 16 验证: display ip ip-prefix
IP-Prefix List
热门推荐
LiBai'S BLOG
01-16 2万+
地址前缀列表IP-Prefix List语法及匹配规则语法匹配规则配置案例拓扑分析ACL实现IP-Prefix List实现IE考试题思考题 在进行配置案例前先了解一下基础知识 IP-Prefix List IP-Prefix List:能够同时匹配网络前缀长度 性能及可控性比ACL强(ACL无法匹配掩码/前缀长度) 前缀列表不能用于数据包的过滤 IP-Prefix List能解决ACL解决不了的问题 语法及匹配规则 语法 前缀掩码长度范围:  前缀过滤列表可以进行精确匹配或者在一定掩码长度
实验21.网络安全产品及管理之ACL配置前缀列表
最新发布
2202_75658977的博客
03-18 585
根据路由器转发数据的原理,在转发数据包时路由器会根据最长匹配的原则去匹配路由条目,即R4向分部A的终端PC-1发送数据时,当数据包到达R1后,根据爆头的目的IP地址与路由表中的路由条目进行匹配,发现11.1.1.0/25条目匹配更精确,这会使得数据包都根据这条路由条目进行转发,即将原本要发往PC-1的数据包都错误地发往R3,造成总部与分部A异常通信。这是因为ACL无法实现对掩码长度进行精确匹配,而分部A的网络分部B的网络位相同,都是11.1.1.0,就会导致把分部A的路由也同时过滤。
路由工具(aclip-prefix)
Fe_smoothly的博客
01-31 1735
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。规则编号:用于标识ACL规则。可以自行配置规则编号,也可以由系统自动分配。ACL规则的编号范围是0~4294967294,。
路由策略中 ACLIP Prefix、Filter Policy、Router Policy 的使用
u013669912的博客
07-05 2745
IP prefix-list
weixin_34414650的博客
04-04 403
一、前缀列表的特点: 可以增量修改,我们知道对于普通访问控制列表,我们不能删除该列表中的某个条目,如果想删除列表中的某个条目只能将该访问列表全部删除,而前缀列表中,一个条目可以单独地删除或添加。 前缀列表在Cisco IOS 12.0及其以后的版本中可以使用。 在大型列表的加载路由查找方面比访问控制列表有显著的性能改进。 前缀...
路由控制-1(aclip-prefix
weixin_45160154的博客
03-20 435
1:实验拓扑 2aclip-prefix应用: ar2:用ACL实现:只接收ar1路由10.10.10.0 /24 10.10.11.0/24 10.10.20.0/24 ar3:用ip-prefix实现:只接收ar2:10.10.10.0/24 10.10.20.0/24 3:配置 Ar1配置: GigabitEthernet0/0/0 10.10.12.1/24 LoopBack0 10.10.1.1/32 LoopBack10 10.10.10.1/24 Lo
2022-06-30 网工进阶(十四)路由策略-匹配工具ACLIP-Prefix List】、策略工具【Filter-Policy】
x629242的博客
07-02 1297
详见2022-01-02 网工基础(十八)ACL原理与配置_鹅一只的博客-CSDN博客ACL原理与配置随着网络的飞速发展,网络安全网络服务质量QoS(QualityofService)问题日益突出。访问控制列表(ACL,AccessControlList)是与其紧密相关的一个技术。ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击提高网络带宽利用率的目的,从而切实保障网络环境的安全性网络服务质量的可靠性。一 ACL概述ACL是由一系列permit或deny语句组
ACLprefix-list抓取路由条目解析.doc
08-20
路由器配置网络管理中,路由条目的过滤属性修改是一项关键任务,这通常通过访问控制列表(Access Control Lists, ACLs)前缀列表(Prefix Lists)来实现。这两种工具路由策略中扮演着重要角色,它们允许...
ACL前缀列表区别详解.doc
03-09
ACL前缀列表区别详解.doc
路由发布中的前缀列表的使用方法 ip prefix-list
funnycoffee123的博客
05-10 2145
(1)、可以增量修改,我们知道对于普通访问控制列表,我们不能删除该列表中的某个条目,如果想删除列表中的某个条目只能将该访问列表全部删除,而前缀列表中,一个条目可以单独地删除或添加。(2)、前缀列表在Cisco IOS 12.0及其以后的版本中可以使用。(3)、在大型列表的加载路由查找方面比访问控制列表有显著的性能改进。(4)、前缀列表用于BGP路由
ip prefix-list应用
weixin_33709364的博客
03-04 421
ip prefix-list 10 permit 33.33.33.0/22 ge 29 le 32(ge代表掩码大于29(含29),le代表掩码最大值为32(含32)) router eigrp 1 distribute-list prefix 10 in f0/0 转载于:https://www.cnblogs.com/vincent-liang/p/6502166.html...
IP-Prefix List(1),2024吊打面试官系列
wfegre的博客
03-30 311
如果配置的IP-Prefix的名字index都已经配置了的一项IP-Prefix List的相同,仅仅只是匹配的内容不同,则该IP-Prefix List将覆盖原有的IP-Prefix List。最近我才对这些路线做了一下新的更新,知识体系更全面了。
aclip-prefix与router-policy
weixin_37945631的博客
03-14 9389
acl number 2001                                         设置acl的编号rule 0 permit source 1.1.1.0 0.0.0.255                  设置规则route-policy 5226 deny node 10                          设置路由控制策略名为5226策略节点为1...
网络技术】ip-prefixACL的区别
weixin_46622350的博客
03-21 3013
地址前缀列表与ACL的区别 ACL地址前缀列表都可以对路由进行筛选,ACL匹配路由时只能匹配路由网络号,但无法匹配掩码,也就是前缀长度;而地址前缀列表比ACL更为灵活,可以匹配路由网络号及掩码,增强了路由匹配的精确度。 如图所示,R1R2运行OSPF,R1把192.168.0.0的静态路由导入到OSPF中,我们分别使用ACL地址前缀列表来看有什么不同 在R1上写入两条静态路由模拟直连的网段 ip route-static 192.168.0.0 255.255.0.0 NU...
网络工程师面试真题——ACLIP Prefix的区别
永远是少年
09-04 3290
问题:ACLIP Prefix的区别? 答案: 1、作用不同。 ACL不仅能匹配路由信息使用过滤工作进行路由的过滤,其本身就可以进行访问控制,可以直接配置进行数据包过滤。IP Prefix本身不能进行数据包过滤,但是其可以应用在各个路由协议中,起到过滤路由的作用,间接的起到过滤数据包的作用。 2、功能不同。 相比于ACLIP Prefix不仅能匹配路由前缀信息,还可以匹配前缀长度(子网掩码),可以对路由的掩码范围进行限制,而ACL只能匹配路由前缀,不能匹配路由掩码。相对应的,ACL可以借助通配符匹配奇偶
ACL(访问控制列表) IP prefix-list(前缀列表)的路由匹配区别
黑夜搬砖的网工
07-07 1万+
总结 能否匹配路由 路由匹配是否精确 能否做数据包过滤 目的 ip-prefix 能 精确 不能 诞生的目的就是精确匹配路由 acl 基本ACL可以,但是高级acl不能匹配路由 不精确 能 最初是为了做数据包过滤 访问控制列表.
ip ip-prefix的用法
10-11
`ip ip-prefix`是网络配置命令,在一些路由协议如BGP、OSPF等中用于管理网络前缀列表(Prefix List),也被称为访问控制列表(ACL)的一部分,用于控制路由信息的接收发送。它主要用于策略性的过滤IP路由条目,比如仅允许特定的前缀通过。 基本语法如下: ``` ip ip-prefix [prefix-name] { index index-number; permit/deny [mask-length | less-equal mask-length] prefix; [description description-string]; } ``` - `prefix-name`: 前缀列表名称,用于唯一标识该列表。 - `index number`: 指定前缀列表的顺序编号,用于路由器按序处理匹配规则。 - `permit/deny`: 表示是否允许或拒绝指定前缀。 - `mask-length` 或 `less-equal mask-length`: 定义前缀范围,可以是具体的掩码长度,也可以是更精确的“less-equal”表达式,例如100表示小于等于100位的匹配。 - `prefix`: 需要过滤的IPv4或IPv6地址前缀。 - `description`: 可选的描述字段,用于记录前缀列表的目的。 使用时,先创建前缀列表,然后在路由策略中引用这个列表来应用过滤条件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

静下心来敲木鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值