ACL与Prefix List(前缀列表)

原创 已于 2024-12-12 00:17:59 修改 · 978 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络协议 #网络 #信息与通信

于 2024-12-11 15:08:59 首次发布

匹配工具一般搭配其他操作,可实现NAT,路由策略,策略路由,MQC,流量过滤等操作

通配符掩码

我们都知道子网掩码的1是精确匹配,1是大致匹配,1必须连续

我们也知道反掩码的1是大致匹配,0是精确匹配,0必须连续

那么通配符掩码其实和反掩码很像,ta的

0也是精确匹配,1也是大致匹配,但与前两者不同的是,1可以不连续

ACL(访问控制列表)

ACL作为一种匹配工具,有5种类型,可在接口的入方向和出方向调用,一般用于实现流量过滤和NAT操作

相关概念

ACL编号(2000~6031):用于表示ACL

rule规则:ACL的匹配判断条件,后跟编号,可取0~4294967294,默认步长为5

动作:permit/deny,允许或者拒绝

匹配项:要判断的内容

匹配原则

  1. 检测是否存在ACL,存在进入ACL匹配,不存在ACL不匹配,按系统默认操作
  2. 检测ACL是否有规则,如果有开始匹配,反之ACL不匹配,按系统默认处理
  3. 开始分析,从第一条开始分析,一旦命中立即结束,按照ACL规则中匹配允许/拒绝,如果未命中,分析下一条rule
  4. 如果已无rule,则ACL匹配结果为不匹配

fd9b0b09703e44a78eddc2f55dcaa453.png

 

类型

基本ACL(2000-2999)

基于源IP,分片信息和生效时间信息定义规则

常见应用有NAT

高级ACL(3000-3999)

可基于源目IP,TCP/UDP源目端口号,ICMP报文,IP协议类,生效时间等信息定义规则

最低0.47元/天 解锁文章
路由控制2——条件工具ACLIP-Prefix List
m0_49864110的博客
03-23 4363
ACL访问控制列表是由一条或者多条规则组成的集合。ACL本质上是一种报文过滤器,可以用于数据流量路由信息的过滤在对于数据流量过滤是需要注意:ACL不会过滤设备自身产生的访问其它设备的流量,只过滤转发的流量(包括其它设备访问其它设备的、其他设备访问本设备的流量)基于ACL标识方法的划分数字型ACL(使用唯一数字标识ACL)(使用名字/名字+数字来标识ACL)基于对IPv4IPv6支持情况的划分也叫做ACL,仅支持对IPv4报文进行过滤的ACL。.........
路由工具之路由策略router-policy、acl列表ip-prefix前缀列表的区别、过滤列表filter-policy
Hades_Ling的优快云博客
01-29 7664
前缀列表能够同时匹配IP地址前缀以及掩码长度,列表默认动作为拒绝。ACL访问控制列表,即用于流量的匹配控制,但也能够用于匹配路由条目。而前缀列表主要用于路由的匹配,所以前缀列表在匹配路由上远胜于ACL。路由策略,即对路由相关属性进行修改。而对于另一种技术:策略路由,即作用是直接控制路由。export:应用于本身路由器,对传递出去的路由进行过滤。import:应用于本身路由器,对接收到的路由进行过滤。关于export方向,只能在ASBR设备上应用过滤5类的路由条目。关于import方向,可以应用在任何路
ACL前缀列表区别详解.doc
03-09
ACL前缀列表区别详解.doc
ACLip前缀列表原理及区别
MZC999999的博客
07-18 1937
1.1 ACL全称为Access Control List,即访问控制列表,顾名思义:基于访问而做的控制,该控制方式基于列表。。1.2 ACL的作用是为了针对某些访问而做的控制。1.3 ACL中所匹配的不是掩码而是通配符(重点2.子网掩码通配符的区别2.1 子网掩码是为了区分不同的网段而设计的,通常ip地址一起出现,成对使用,区分不同的网段。2.2 通配符是为了针对ip地址中匹配的范围,简单点来说就是这32位ip地址中那个能动那个不能动由我通配符来说了算!!!
前缀列表---Prefix-List
Jian Sun_的博客
09-14 2062
在谈起前缀列表之前,我们首先简单的分析一下常用的抓取路由的ACL(访问控制列表)的作用:1.抓数据2.抓路由。 举个简单的例子来看一看:1.标准ACL: R1(config)#access-list 1 permit 1.1.1.0 0.0.0.0//在R1路由器上抓取1.1.1.0网段,包括/24/25/26/27/28/29/30等网段 2.扩展ACL: R1(config)#access-list 110 permit ip 1.1.1.0 0.0.0. 255.255.255.0 0.0.
ip prefix-list(IP前缀列表)概念及题目
最新发布
weixin_42185241的博客
10-03 1055
文章摘要:IP前缀列表是一种专为路由过滤设计的工具,相比ACL能更精确地匹配网络地址掩码长度。它支持ge/le参数灵活控制掩码范围,采用顺序执行、首次匹配隐式拒绝原则。配置语法直观,华为华三设备兼容。典型应用包括BGP路由过滤路由策略控制。使用时应遵循明确命名、合理排序等最佳实践,并通过统计功能验证匹配结果。文末附有10道测试题,帮助读者检验理解程度。
ACLprefix-list抓取路由条目解析.doc
08-20
前缀列表的语法结构是:“ip prefix-list 名称 seq 序号 { permit | deny } 前缀 [ eq 长度 | [ ge 长度 ] [ le 长度 ]]”。其中,名称是列表的标识,seq是顺序编号,permit或deny表示允许或拒绝,前缀是IP地址...
ACLprefix-list、route-map
sinat_40629028的博客
10-22 1248
【语法】: ip prefix-list list-name [ seq seq-value ] { deny|permit} network/len [ ge ge-value ] [ le le-value ] ge,大于等于 le,小于等于 如果只出现ge,范围从 ge-value --> 32 如果只出现le,范围从length–>le-value 【分析】 前缀列表中的ge ,le 的理解 假定有三条路由 172.16.0.0/16 172.16.10.0/24
路由过滤,策略总结,以及应用ACL,地址前缀列表具体配置
myrouya的博客
04-24 882
R4-route-policy]if-match ip-prefix aa---如果匹配aa前缀列表,按前缀列表执行(拒绝)[R4-route-policy]apply tag 20---打上标记tag为20。路由表,又影响下游路由器的路由表。路由表,但影响下游路由器的路由表。路由表,又影响下游路由器的路由表。路由表,但影响下游路由器的路由表。路由表,又影响下游路由器的路由表。路由表,但影响下游路由器的路由表。路由表,又影响下游路由器的路由表。路由表,但影响下游路由器的路由表。既影响做策略的本机上的。
标准列表前缀列表简析
weixin_33890499的博客
04-29 799
标准访问控制列表标准防控列表中的反掩码路由协议中宣告的反掩码不一样,如可以写access-list1permit172.16.0.00.0.19.0,而不能在路由协议中network172.16.0.00.0.19.0。172.16.0.0/24,172.16.1.0/24,172.16.2.0/24,172.16.3.0/24172.16.16.0/24,17...
路由策略中 ACL、IP Prefix、Filter Policy、Router Policy 的使用
u013669912的博客
07-05 3364
ACL(访问控制列表 IP prefix-list前缀列表)的路由匹配区别
热门推荐
黑夜搬砖的网工
07-07 1万+
总结 能否匹配路由 路由匹配是否精确 能否做数据包过滤 目的 ip-prefix 能 精确 不能 诞生的目的就是精确匹配路由 acl 基本ACL可以,但是高级acl不能匹配路由 不精确 能 最初是为了做数据包过滤 访问控制列表.
ACL前缀列表的比对
weixin_33766168的博客
09-29 6861
一、 相同点:都可以用于过滤(ACL既可过滤数据包,也可过滤路由;前缀列表只能过滤路由)二、不同点:1. ACL在过滤时,除了网络前缀外,有一个通配符掩码,这个通配符掩码类似于一个反向的子网掩码,但不等于子网掩码,这通配符掩码中,为0的位表示要进行检查,即被过滤的内容要ACL网络前缀对应的位相同;为1的位表示不需要检查,无关紧要,则表示这个位不需要ACL中的网络前缀相同...
路由工具(acl、ip-prefix)
Fe_smoothly的博客
01-31 1988
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。规则编号:用于标识ACL规则。可以自行配置规则编号,也可以由系统自动分配。ACL规则的编号范围是0~4294967294,。
四、路由策略常用工具
liyao1569的博客
08-25 1211
本文简单介绍了ACLPrefix-List、Route-Map等路由策略常使用的工具的具体使用方法部分使用场景
Prefix-list路由前缀列表
weixin_47485680的博客
04-10 3110
其实说白话讲,ACL 的做用是一样的,就是能够更加精准的,更加方便的匹配路由条目 它同样可以distribute-list 以及route-map ,做路由重分发策略时使用, 角色也是相同的,distribute-list相结合使用时,prefix占有决定权 而route-map结合使用时,由route-map决定是生是死, 再有就是prefix-list相对于acl而言,只有当出现很多很多条路由时,才会显得那么出众,如果一两条而言,完全没有必要的。 从这一点看出来,route-m..
route-policy
datouwawa30的博客
09-07 2928
路由策略
路由控制、过滤
知识需要开源!
09-21 767
路由控制/过滤
前缀列表 acl
10-01
<think>我们被要求回答关于前缀列表ACL的概念、区别、使用场景、配置方法等,特别是二者的对比。 根据提供的引用材料,我们可以总结如下: 引用[1][2]主要对比了地址前缀列表(ip-prefixACL(访问控制列表)的区别: 1. 过滤维度: - 地址前缀列表:仅根据IP地址进行过滤(仅过滤IP报文) - ACL:可以根据MAC地址(过滤二层数据帧)IP地址,甚至用户报文的内容(应用层内容)进行过滤。 2. 匹配原则: - ACL:使用反掩码(wildcard mask)来匹配网络地址,反掩码中0表示必须匹配,1表示忽略。ACL默认是permit any(允许所有)。 - 地址前缀列表:可以精确匹配前缀位数(网络号长度)子网掩码位数。它使用更精确的匹配规则,可以指定前缀长度的范围。默认是deny any(拒绝所有)。 引用[2]还提供了地址前缀列表的配置示例: ip ip-prefix 5226 index 10 deny 12.1.1.0 24 greater-equal 25 less-equal 30 解释:匹配网络地址12.1.1.0/24,且要求前缀长度在25到30之间的路由,执行deny动作。 匹配所有路由: ip ip-prefix 5226 index 20 permit 0.0.0.0 0 less-equal 30 (匹配所有前缀长度不超过30的路由) 匹配所有主机路由(即前缀长度为32): ip ip-prefix 5226 index 30 permit 0.0.0.0 0 greater-equal 30 (注意:这里实际匹配的是前缀长度>=30的路由,因此包括30,31,32。若要精确匹配32,则设置greater-equal 32 less-equal 32) 引用[3]提到了ACL在权限设置上的应用(以Redis ACL为例),展示了ACL可以设置用户命令权限,说明ACL的应用范围更广。 引用[4]则对比了思科华为设备命令风格的差异,提到华为支持前缀长度表示子网掩码,更符合现代网络习惯。 因此,我们可以组织回答如下: 一、概念 1. ACL(访问控制列表): - 一种用于控制网络流量的规则集合,可以基于多种条件(如源/目的IP地址、MAC地址、端口号、协议类型等)来允许或拒绝数据包。 - 根据工作层次可分为:标准ACL(仅检查源IP)、扩展ACL(检查源目的IP、协议、端口等)、二层ACL(基于MAC地址)等。 2. 前缀列表Prefix List): - 专门用于匹配IP路由前缀网络地址前缀长度)的工具,通常用于路由过滤(如路由策略、策略路由等)。 - 匹配条件包括:网络地址前缀长度范围。 二、主要区别 | 对比项目 | ACL (访问控制列表) | 前缀列表 (Prefix List) | |------------------|--------------------------------------------|------------------------------------------| | **过滤维度** | 支持IP、MAC、应用层内容等 | 仅IP路由前缀 | | **默认动作** | 默认允许所有 (permit any) | 默认拒绝所有 (deny any) | | **匹配方式** | 使用反掩码(wildcard mask) | 精确匹配前缀长度(可指定范围) | | **应用场景** | 包过滤、流量控制、安全策略等 | 路由过滤、路由策略 | | **配置灵活性** | 支持更复杂的条件组合 | 专注于路由前缀的精确匹配 | 三、使用场景 1. ACL: - 网络安全:在路由器或交换机上配置ACL,控制进出网络的数据流(例如:禁止某IP访问服务器)。 - 服务质量(QoS):对特定流量进行标记、限速或重定向。 - 策略路由:根据ACL规则将流量引导至不同路径。 - 用户权限控制(如Redis ACL):限制用户可执行的命令。 2. 前缀列表: - 路由过滤:在路由协议(如BGP、OSPF)中,过滤发送或接收的路由信息(例如:只接收特定前缀长度的路由)。 - 路由策略:route-policy配合使用,控制路由的引入、发布接收。 四、配置方法示例 1. ACL配置(华为风格): ```bash # 创建ACL acl 2000 rule 5 permit source 192.168.1.0 0.0.0.255 # 允许192.168.1.0/24网段 rule 10 deny source any # 拒绝其他 ``` 应用ACL到接口: ```bash interface GigabitEthernet0/0/1 traffic-filter inbound acl 2000 ``` 2. 前缀列表配置(华为风格): ```bash # 创建前缀列表 ip ip-prefix mylist index 10 permit 10.0.0.0 8 greater-equal 16 less-equal 24 # 解释:允许10.0.0.0/8网段,且前缀长度在16到24位之间的路由 ``` 在路由策略中使用: ```bash route-policy POLICY1 permit node 10 if-match ip-prefix mylist apply cost 100 ``` 五、关键差异总结(补充) 引用[1][2]提到,ACL不仅可以过滤IP报文,还可以过滤二层帧应用层内容;而前缀列表仅用于IP报文(路由层面)。前缀列表在匹配路由时更加精确,因为可以指定前缀长度范围,而ACL使用反掩码只能匹配网络地址,不能控制前缀长度。 最后,根据要求,生成相关问题。 注意:引用标识要自然地添加到引用内容的末尾。根据引用材料,我们在相应位置添加[^1][^2]等。 </think>### 前缀列表ACL对比分析 #### **一、概念定义** 1. **ACL(访问控制列表)** 基于规则集合实现流量过滤,支持**多层过滤维度**[^1]: - 网络层:源/目的IP地址(使用反掩码匹配) - 数据链路层:MAC地址 - 应用层:报文内容(如HTTP头部) ```shell # 华为ACL示例:拒绝192.168.1.0/24访问80端口 acl 3000 rule 5 deny tcp source 192.168.1.0 0.0.0.255 destination-port eq 80 ``` 2. **前缀列表(IP-Prefix)** 专用于**路由过滤**,通过**精确前缀长度**匹配IP地址[^2]: - 仅处理IP报文(三层路由) - 支持前缀长度范围限定(`greater-equal/less-equal`) ```shell # 匹配/24~/30的前缀 ip ip-prefix TEST index 10 permit 10.0.0.0 24 greater-equal 24 less-equal 30 ``` --- #### **二、核心差异对比** | **特性** | **ACL** | **前缀列表** | |----------------|----------------------------------|----------------------------| | 过滤层级 | L2~L7(MAC/IP/应用层)[^1] | L3(仅IP路由) | | 匹配机制 | 反掩码(如 `192.168.1.0 0.0.0.255`) | 前缀长度精确控制[^2] | | 默认动作 | `permit any` | `deny any` | | 典型应用场景 | 安全策略、QoS、端口过滤 | 路由策略、BGP路由过滤 | | 配置复杂度 | 高(支持多条件组合) | 低(专注路由前缀) | --- #### **三、使用场景** 1. **ACL 适用场景** - **网络安全**:阻断特定MAC/IP的访问 - **流量控制**:限制P2P或视频流带宽 - **策略路由**:基于应用层协议重定向流量 ```shell # 过滤非HTTP流量 acl 3100 rule 10 permit tcp destination-port 80 ``` 2. **前缀列表 适用场景** - **路由优化**:仅接收特定长度的BGP路由 - **路由聚合**:过滤无效碎片路由(如/32) - **路由重分发**:控制OSPF引入的路由范围 ```shell # 仅允许/16~/24的路由 ip ip-prefix ROUTE_FILTER index 20 permit 172.16.0.0 16 less-equal 24 ``` --- #### **四、配置关键点** 1. **ACL 设计要点** - 规则顺序敏感(从上到下匹配) - 反掩码计算:`0`表示严格匹配,`1`表示忽略 $$ \text{反掩码} = 255.255.255.255 - \text{子网掩码} $$ - 华为vs思科:华为支持**视图层级**配置[^4] 2. **前缀列表 设计要点** - 前缀长度范围公式: $$ \text{有效路由} = \{ \text{prefix} \mid min\_len \leq len \leq max\_len \} $$ - 特殊匹配: ```shell ip ip-prefix ALL_HOSTS index 30 permit 0.0.0.0 0 greater-equal 32 # 匹配所有主机路由 ``` --- #### **五、典型配置对比** | **功能** | **ACL 配置** | **前缀列表配置** | |------------------|------------------------------------------|------------------------------------------| | 匹配特定子网 | `rule permit ip source 10.1.0.0 0.0.255.255` | `ip ip-prefix ABC permit 10.1.0.0 16` | | 匹配路由范围 | 不支持 | `permit 192.168.0.0 16 ge 24 le 28` | | 拒绝所有 | `rule deny ip` | 默认隐含(无需配置) | --- ### **总结** - **ACL**:通用流量过滤工具,适合**复杂多维策略**(如结合MAC/IP/端口)[^1] - **前缀列表**:路由专用工具,**精确控制前缀长度**,优化路由表规模[^2] - **混合使用场景**:在BGP路由策略中,前缀列表过滤路由,ACL过滤数据平面流量
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值