ACL与Prefix List（前缀列表）

原创

已于 2024-12-12 00:17:59 修改 · 878 阅读

6 ·

CC 4.0 BY-SA版权

文章标签：

#网络协议 #网络 #信息与通信

于 2024-12-11 15:08:59 首次发布

匹配工具一般搭配其他操作，可实现NAT，路由策略，策略路由，MQC，流量过滤等操作

通配符掩码

我们都知道子网掩码的1是精确匹配，1是大致匹配，1必须连续

我们也知道反掩码的1是大致匹配，0是精确匹配，0必须连续

那么通配符掩码其实和反掩码很像，ta的

0也是精确匹配，1也是大致匹配，但与前两者不同的是，1可以不连续

ACL（访问控制列表）

ACL作为一种匹配工具，有5种类型，可在接口的入方向和出方向调用，一般用于实现流量过滤和NAT操作

匹配原则

检测是否存在ACL，存在进入ACL匹配，不存在ACL不匹配，按系统默认操作
检测ACL是否有规则，如果有开始匹配，反之ACL不匹配，按系统默认处理
开始分析，从第一条开始分析，一旦命中立即结束，按照ACL规则中匹配允许/拒绝，如果未命中，分析下一条rule
如果已无rule，则ACL匹配结果为不匹配

类型

基本ACL（2000-2999）

基于源IP，分片信息和生效时间信息定义规则

常见应用有NAT

高级ACL（3000-3999）

可基于源目IP，TCP/UDP源目端口号，ICMP报文，IP协议类，生效时间等信息定义规则

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

VVVVWeiYee

关注关注

8
点赞
踩
6

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

前缀列表---Prefix-List

ZhangPengFeiToWinner的博客

01-07

8222

在谈起前缀列表之前，我们首先简单的分析一下常用的抓取路由的ACL(访问控制列表)的作用:1.抓数据2.抓路由。举个简单的例子来看一看: 1.标准ACL: R1(config)#access-list 1 permit 1.1.1.0 0.0.0.0//在R1路由器上抓取1.1.1.0网段，包括/24/25/26/27/28/29/30等网段 2.扩展ACL: R1(config)#access...

prefix-list 前缀列表的说明和实验

08-22

1881

不同于用于匹配流量的 IP访问列表， IP前缀列表主要是用来指定具体的网络可达的。前缀列表用来匹配前缀（网段）和前缀长度（子网掩码），他即可以控制网络号、又可以控制掩码。（而ACL 只能控制网络号、无法控制掩码、比如 192.168.1.0/24 /25 /26 他们的网络前缀都是192.168.1.0、用 access-lsit 1 permit 192.168.1.0 0.0...

参与评论您还未登录，请先登录后发表或查看评论

H3CSE路由-路由过滤

CSerwangjun的博客

02-26

3416

PS：本篇仅挑选作者认为重要的模块，并不全面仅供复习参考，具体请自行查阅相关书籍。设有H3CNE-H3CTE学习博客专栏，敬请关注。路由过滤路由策略路由引入上述三个用来控制路由信息的PBR：策略路由，主要是用来控制用户IP数据常见的过滤器：ACL 访问控制列表prefix-list 地址前缀列表上述两个去匹配路由信息过滤策略 filter-policy路由策略 route-policy在策...

ACL和前缀列表区别详解.doc

03-09

ACL和前缀列表区别详解.doc

路由控制2——条件工具ACL和IP-Prefix List

m0_49864110的博客

03-23

4211

ACL访问控制列表是由一条或者多条规则组成的集合。ACL本质上是一种报文过滤器，可以用于数据流量与路由信息的过滤在对于数据流量过滤是需要注意：ACL不会过滤设备自身产生的访问其它设备的流量，只过滤转发的流量（包括其它设备访问其它设备的、其他设备访问本设备的流量）基于ACL标识方法的划分数字型ACL（使用唯一数字标识ACL）（使用名字/名字+数字来标识ACL）基于对IPv4和IPv6支持情况的划分也叫做ACL，仅支持对IPv4报文进行过滤的ACL。.........

ACL和ip前缀列表原理及区别

MZC999999的博客

07-18

1799

1.1 ACL全称为Access Control List,即访问控制列表，顾名思义：基于访问而做的控制，该控制方式基于列表。。1.2 ACL的作用是为了针对某些访问而做的控制。1.3 ACL中所匹配的不是掩码而是通配符（重点2.子网掩码和通配符的区别2.1 子网掩码是为了区分不同的网段而设计的，通常和ip地址一起出现，成对使用，区分不同的网段。2.2 通配符是为了针对ip地址中匹配的范围，简单点来说就是这32位ip地址中那个能动那个不能动由我通配符来说了算！！！

ACL、prefix-list、route-map

sinat_40629028的博客

10-22

1159

【语法】： ip prefix-list list-name [ seq seq-value ] { deny|permit} network/len [ ge ge-value ] [ le le-value ] ge，大于等于 le，小于等于如果只出现ge，范围从 ge-value --> 32 如果只出现le,范围从length–>le-value 【分析】前缀列表中的ge ，le 的理解假定有三条路由 172.16.0.0/16 172.16.10.0/24

ACL和prefix-list抓取路由条目解析.doc

08-20

前缀列表的语法结构是：“ip prefix-list 名称 seq 序号 { permit | deny } 前缀 [ eq 长度 | [ ge 长度 ] [ le 长度 ]]”。其中，名称是列表的标识，seq是顺序编号，permit或deny表示允许或拒绝，前缀是IP地址和...

路由过滤，策略总结，以及应用ACL，地址前缀列表具体配置

myrouya的博客

04-24

814

标准列表与前缀列表简析

weixin_33890499的博客

04-29

771

标准访问控制列表标准防控列表中的反掩码与路由协议中宣告的反掩码不一样，如可以写access-list1permit172.16.0.00.0.19.0，而不能在路由协议中network172.16.0.00.0.19.0。172.16.0.0/24，172.16.1.0/24，172.16.2.0/24，172.16.3.0/24172.16.16.0/24，17...

路由策略中 ACL、IP Prefix、Filter Policy、Router Policy 的使用

u013669912的博客

07-05

3070

…

ACL（访问控制列表）和 IP prefix-list（前缀列表）的路由匹配区别

热门推荐

黑夜搬砖的网工

07-07

1万+

总结能否匹配路由路由匹配是否精确能否做数据包过滤目的 ip-prefix 能精确不能诞生的目的就是精确匹配路由 acl 基本ACL可以，但是高级acl不能匹配路由不精确能最初是为了做数据包过滤访问控制列表.

路由工具(acl、ip-prefix)

Fe_smoothly的博客

01-31

1838

访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。规则编号：用于标识ACL规则。可以自行配置规则编号，也可以由系统自动分配。ACL规则的编号范围是0～4294967294，。

实验21.网络安全产品及管理之ACL配置前缀列表

2202_75658977的博客

03-18

624

根据路由器转发数据的原理，在转发数据包时路由器会根据最长匹配的原则去匹配路由条目，即R4向分部A的终端PC-1发送数据时，当数据包到达R1后，根据爆头的目的IP地址与路由表中的路由条目进行匹配，发现11.1.1.0/25条目匹配更精确，这会使得数据包都根据这条路由条目进行转发，即将原本要发往PC-1的数据包都错误地发往R3，造成总部与分部A异常通信。这是因为ACL无法实现对掩码长度进行精确匹配，而分部A的网络位和分部B的网络位相同，都是11.1.1.0，就会导致把分部A的路由也同时过滤。

各种控制列表--前缀列表

weixin_33910137的博客

11-18

1271

前缀列表　不同于用于匹配流量的IP访问列表，IP前缀列表主要是用来指定具体的网络可达的。前缀列表用来匹配前缀（网段）和前缀长度（子网掩码）。在BGP路由选择协议中，可以对BGP路由选择更新进行过滤，要完成这个工作要用到前缀列表。一、前缀列表的特点：　　（1）、可以增量修改，我们知道对于普通访问控制列表，我们不能删除该列表中的某个条目，如果想删除列表中的某个条目...

IP-Prefix前缀列表

2301_80002871的博客

02-13

416

当掩码为27就产生了八条：1.1.1.0/27，1.1.1.32/27，1.1.1.64/27，1.1.1.96/27，1.1.1.128/27，1.1.1.160/27，1.1.1.192/27，1.1.1.224/27。当掩码为28就产生了16条，当掩码为29就产生了32条，当掩码为30就产生了64条，当掩码为31就产生了128条，当掩码为32就产生了256条。当掩码为26就产生了四条：1.1.1.0/26，1.1.1.64/26，1.1.1.128/26，1.1.1.192/26。

【网络技术】ip-prefix与ACL的区别

weixin_46622350的博客

03-21

3068

地址前缀列表与ACL的区别 ACL和地址前缀列表都可以对路由进行筛选，ACL匹配路由时只能匹配路由的网络号，但无法匹配掩码，也就是前缀长度；而地址前缀列表比ACL更为灵活，可以匹配路由的网络号及掩码，增强了路由匹配的精确度。如图所示，R1和R2运行OSPF，R1把192.168.0.0的静态路由导入到OSPF中，我们分别使用ACL和地址前缀列表来看有什么不同在R1上写入两条静态路由模拟直连的网段 ip route-static 192.168.0.0 255.255.0.0 NU...

acl/IP前缀列表

最新发布

06-28

<think>我们正在讨论ACL和IP前缀列表的区别和配置。根据引用[1][2][3]，用户的核心需求是理解两者的区别以及如何配置。用户之前的问题是关于OSPF中使用ACL和IP前缀列表进行路由过滤，现在用户直接询问两者的配置与区别，需要结合引用内容进行回答。关键点：1.引用[1]明确指出：ACL使用通配符（反掩码）进行范围匹配，不精确；而IP前缀列表能同时匹配前缀号和前缀长度，解决ACL不能区分相同前缀不同掩码的问题。2.引用[2]说明ACL的匹配过程：按顺序匹配规则，一旦命中立即结束，未命中则按默认处理（通常是拒绝）。3.引用[3]通过实验证明：ACL无法精确匹配掩码长度，导致相同网络位但不同掩码的路由被同时过滤。回答结构：1.先概述两者的定义和主要区别（表格对比）。2.分别说明ACL和IP前缀列表的配置方法（示例）。3.强调使用场景（路由过滤vs数据包过滤）。4.解释为何在路由过滤中IP前缀列表更优（引用实验案例）。5.注意事项（如ACL在路由过滤中的限制）。注意：用户可能是在配置网络设备（如华为）时遇到问题，所以配置示例采用华为风格（如acl2000, ipip-prefix等）。</think>### ACL与IP前缀列表的配置与核心区别根据引用内容，ACL（访问控制列表）和IP前缀列表（IP Prefix List）在网络设备中承担不同角色，主要区别如下： #### 一、核心功能对比 | **特性** | ACL (访问控制列表) | IP Prefix List (前缀列表) | |------------------|-----------------------------------|-------------------------------------| | **主要用途** | 数据包过滤（安全策略） | 路由过滤（路由策略） | | **匹配精度** | 低（通配符范围匹配）[^1] | 高（精确匹配前缀+掩码长度）[^1] | | **关键参数** | 通配符掩码（如`0.0.0.255`） | `ge`/`le`（掩码长度范围控制） | | **路由区分能力** | 无法区分相同前缀不同掩码的路由[^3] | 可区分（如`10.1.1.0/24`和`10.1.1.0/25`） | | **数据包过滤** | 支持（基本/高级ACL） | **不支持**[^1] | --- #### 二、配置示例与差异解析 **1. ACL配置（华为设备）** ```bash # 基本ACL（匹配源IP） acl 2000 rule 5 permit source 192.168.1.0 0.0.0.255 # 匹配192.168.1.0/24网段 rule 10 deny # 拒绝其他所有 # 高级ACL（匹配协议+端口） acl 3000 rule 5 permit tcp destination 10.1.1.0 0.0.0.255 eq 80 # 允许访问10.1.1.0/24的80端口 ``` **问题**：若需过滤`11.1.1.0/24`和`11.1.1.0/25`，ACL会同时过滤两者（无法区分掩码）[^3]。 --- **2. IP前缀列表配置（华为设备）** ```bash # 精确匹配/24且掩码≥25的路由 ip ip-prefix ROUTE_FILTER index 10 deny 10.0.0.0/24 ge 25 # 允许其他路由（默认放行所有） ip ip-prefix ROUTE_FILTER index 20 permit 0.0.0.0/0 le 32 # 应用至OSPF ospf 1 filter-policy ip-prefix ROUTE_FILTER import ``` **优势**： - `ge 25`：仅过滤掩码≥25的子网（如`10.0.0.0/25`，不影响`10.0.0.0/24`） - `le 32`：允许掩码≤32的所有路由（即所有IPv4路由） --- #### 三、关键区别详解 1. **匹配机制差异** - **ACL**：顺序匹配规则，命中即终止[^2] ```mermaid graph TB A[ACL匹配流程] --> B{规则存在？} B -->|是| C[顺序匹配规则] C --> D{命中？} D -->|是| E[执行允许/拒绝] D -->|否| C B -->|否| F[默认拒绝] ``` - **IP前缀列表**：基于`index`优先级匹配，支持掩码范围控制 2. **掩码处理能力** - ACL通配符`0.0.0.255`等价于`/24`，但**无法识别`/24`与`/25`的差异**[^3] - IP前缀列表通过`ge`/`le`参数实现灵活控制： - `deny 10.0.0.0/8 ge 24`：拒绝10.0.0.0/8中掩码≥24的子网 - `permit 0.0.0.0/0 le 24`：允许所有掩码≤24的路由 3. **适用场景** - **ACL**：防火墙策略、端口过滤、用户访问控制 - **IP前缀列表**：OSPF/BGP路由过滤、路由重分发控制、路由汇总 --- #### 四、典型问题解决方案 **场景**：需阻止`11.1.1.0/25`但保留`11.1.1.0/24` ```bash # ACL方案 → 失败（会同时过滤两者）[^3] acl 2000 rule 5 deny source 11.1.1.0 0.0.0.255 # 错误！无法区分掩码 # IP前缀列表方案 → 成功 ip ip-prefix FIX_PROBLEM index 10 deny 11.1.1.0/25 # 精确拒绝/25 ip ip-prefix FIX_PROBLEM index 20 permit 0.0.0.0/0 le 32 ``` > **根本原因**：ACL的**通配符机制**本质是范围匹配，而IP前缀列表的**掩码长度参数**实现精确控制[^1]。