ip prefix前缀列表的使用

最新推荐文章于 2025-10-03 14:20:16 发布
原创 最新推荐文章于 2025-10-03 14:20:16 发布 · 1.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络协议

本文详细解析了IP前缀列表在路由器配置中的应用,包括掩码长度与匹配规则的具体含义,以及如何灵活运用这些规则进行精确匹配和路由过滤。

ip前缀列表在路由器配置中使用比较多,掌握原理后使用也很简单并且灵活。

ip ip-prefix prefixName  a.b.c.d  x  gr(le) y

1.掩码长度x的含义

其中x代表要精确匹配的位数,从a.b.c.d的左边第一位开始算,这个和子网掩码的意义是一样的。

比如写:ip ip-prefix prefixName  12.12.12.12 16,这样写等效于:

ip ip-prefix prefixName  12.12.0.0 16,并且你会发现敲进去之后再display出来的就是

12.12.0.0 16,因为路由器会按照精确匹配长度的规则来帮你规范。

大家在写静态路由的时候,路由器也会有同样的规范操作。比如你写:

ip route-static 1.1.255.1 20 2.2.2.2,敲进去之后路由器会提示你,你可能大意了,已帮你自动产生ip route-static 1.1.240.0 20 2.2.2.2这条路由。因为第三字节255的二进制8位全是1,而掩码是20 位的,所以路由器从左边第一位数,数够20位之后后面全部改成0。也即把255对应的1111 1111截断成了1111 0000,对应的十进制就是240。1.1.255.1就变成了1.1.240.0。

2.y的意义

y可以写less-equal或greater-equal,即小于等于或大于等于。如果不写的话,那就是路由要完全精确匹配。

y代表将要被过滤的这条路由它的掩码长度是多少位的,没有其他任何意义。

比如greater-equal 24,就代表被过滤的路由条目掩码长度24-32之间就行了。

3.x与y结合起来一起理解

比如1.1.240.0 20 greater-equal 24,看起来是不是有点矛盾?

其实没啥,分开来理解就好了,1.1.240.0 20就是前20位不能动,后面12位是1是0随意。并且这条路由的长度大于24就行了。

如这条路由0000 0001.0000 0001.1111 1111.0000 0000   25,即1.1.255.0 25,这条路由就是满足能通过的。注意下划线20位部分是需要被精确匹配部分。

又如这条路由0000 0001.0000 0001.1111 0000.0000 0000 23,即1.1.240.0 23,这条路由精确匹配部分是符合的,但掩码长度不满足要求,将不能通过。

4.一些巧用

(1)option C跨域时,通常只允许把as内各路由器的32位loopback接口发送给对端as,那可以这样写:

ip ip-prefix prefixName  0.0.0.0 0 greater-equal 32

匹配长度为0,即允许任何数值;长度大于等于32,那就是允许长度为32位的任何路由通过。

(2)不写y,使用精确匹配路由和长度,比如匹配缺省路由:

ip ip-prefix prefixName  0.0.0.0 0将只允许缺省路由0.0.0.0/0通过。

比如匹配汇总的某路由:

ip ip-prefix prefixName  192.168.1.0 24将只允许192.168.1.0/24这条路由通过。

f4t0x
关注
IP-Prefix(ip前缀列表)应用 实验举例
weixin_56548356的博客
05-30 2413
IP-Prefix Lis地址前缀列表,能够同时匹配IP前缀以及掩码长度,更加精确的匹配到路由,而ACL不可以。(5)在AR1的配置路由策略(利用ACL来抓取路由),使得AR1不接收11.1.1.0/25的路由信息。(6)观察AR3的路由表,查看到达11.1.1.0/24的路由,再次在AR4上去Ping主机PC1。(4)在这种情况下,在AR4去Ping主机PC1,观察结果,是否能够Ping通?(3)再配置AR3路由器的RIP协议,使其与AR1、AR2和AR4互通。(7)定义前缀地址列表,完成(6)的内容。
地址前缀列表IP Prefix List)
m0_59331971的博客
02-14 6211
地址前缀列表IP Prefix List IP Prefix List 优点(与ACL比较): 1.性能及可控性高于ACL 2.能同时精确匹配网络号和前缀长度(ACl无法匹配掩码/前缀长度) 3.前缀列表不能用于数据包的过滤(ACl可以过滤数据包) 默认deny(ACL默认permit) 命令: 格式:ip ip-prefix 列表名 permit/deny ip地址 掩码 例:ip ip-prefix djp permit 192.168.0.0 16 验证: display ip ip-prefix
前缀列表(ip-prefix)配置
可惜已不在
09-06 3315
本来前缀列表是要和访问控制列表放在一起讲的,但是这里单拎出来是为了更详细的讲解两者的区别1.前缀列表针对IP比访问控制更加灵活。2.前缀列表在后面被引用时是无法对数据包进行过滤的。
IP前缀列表
A soul tortured by desire
12-01 9365
IP前缀列表,所匹配的对象是IP地址前缀,也就是路由条目。 一个路由条目由目的网络地址(也被称为IP前缀)及掩码长度(也被称为前缀长度)共同标识。 使用ACL从一批路由中筛选出感兴趣的路由时,是无法指定被匹配对象的目的网络掩码长度的,但是IP前缀列表可以做到,它除了能够指定被匹配对象的目的网络地址,还能指定目的网络掩码长度,从而实现对路由的精确匹配。 IP前缀列表可以包含一条或多条语句,每条语句都使用一个十进制的序号(Index)进行标识。 ip ip-prefix XA-LAN-1 index
路由发布中的前缀列表使用方法 ip prefix-list
funnycoffee123的博客
05-10 2785
(1)、可以增量修改,我们知道对于普通访问控制列表,我们不能删除该列表中的某个条目,如果想删除列表中的某个条目只能将该访问列表全部删除,而前缀列表中,一个条目可以单独地删除或添加。(2)、前缀列表在Cisco IOS 12.0及其以后的版本中可以使用。(3)、在大型列表的加载和路由查找方面比访问控制列表有显著的性能改进。(4)、前缀列表用于BGP路由
ip-prefix前缀列表拓扑与笔记
04-26
通过使用eNSP软件,我们可以建立一个模拟的IP Prefix前缀列表拓扑,从而进行相关实验和笔记的整理。 IP Prefix前缀列表通常用于控制路由信息的传播和过滤,比如在BGP(边界网关协议)或OSPF(开放最短路径优先)...
ip prefix-list(IP前缀列表)概念及题目
最新发布
weixin_42185241的博客
10-03 1053
文章摘要:IP前缀列表是一种专为路由过滤设计的工具,相比ACL能更精确地匹配网络地址和掩码长度。它支持ge/le参数灵活控制掩码范围,采用顺序执行、首次匹配和隐式拒绝原则。配置语法直观,华为与华三设备兼容。典型应用包括BGP路由过滤和路由策略控制。使用时应遵循明确命名、合理排序等最佳实践,并通过统计功能验证匹配结果。文末附有10道测试题,帮助读者检验理解程度。
路由工具之路由策略router-policy、acl列表ip-prefix前缀列表的区别、过滤列表filter-policy
Hades_Ling的优快云博客
01-29 7651
前缀列表能够同时匹配IP地址前缀以及掩码长度,列表默认动作为拒绝。ACL访问控制列表,即用于流量的匹配与控制,但也能够用于匹配路由条目。而前缀列表主要用于路由的匹配,所以前缀列表在匹配路由上远胜于ACL。路由策略,即对路由相关属性进行修改。而对于另一种技术:策略路由,即作用是直接控制路由。export:应用于本身路由器,对传递出去的路由进行过滤。import:应用于本身路由器,对接收到的路由进行过滤。关于export方向,只能在ASBR设备上应用过滤5类的路由条目。关于import方向,可以应用在任何路
IP-Prefix List
热门推荐
LiBai'S BLOG
01-16 2万+
地址前缀列表IP-Prefix List语法及匹配规则语法匹配规则配置案例拓扑分析ACL实现IP-Prefix List实现IE考试题思考题 在进行配置案例前先了解一下基础知识 IP-Prefix List IP-Prefix List:能够同时匹配网络号和前缀长度 性能及可控性比ACL强(ACL无法匹配掩码/前缀长度) 前缀列表不能用于数据包的过滤 IP-Prefix List能解决ACL解决不了的问题 语法及匹配规则 语法 前缀掩码长度范围:  前缀过滤列表可以进行精确匹配或者在一定掩码长度
前缀列表 IP-Prefix
Fanmeang的博客
07-07 939
地址前缀列表是用于控制路由发布和接收的重要工具。其匹配原则遵循"顺序匹配、唯一匹配、缺省拒绝"三大特性,能够精确匹配网络地址和掩码长度。与ACL相比,前缀列表路由过滤方面更灵活精准,可以区分不同掩码长度的相同网段路由。文章详细分析了前缀列表的匹配机制,包括通配地址的特殊处理方式,并对比了IPv4和IPv6前缀列表的应用差异。前缀列表路由引入过滤场景中表现优异,能够实现ACL无法达成的精确路由控制需求。
IP前缀列表参数详解
weixin_34413802的博客
11-08 850
前缀列表参数 前缀长度范围 没有 路由前缀长度必须等于prefix-length ge和le ge-value<=路由前缀长度〈=le-value 只有le prefix-length<=路由前缀长度〈=le-value 只有 ...
ip-prefix前缀列表
m0_73931111的博客
04-26 1048
通过指定 ip-prefix 列表的名称,filter-policy 能够根据 ip-prefix 中定义的条件来决定是否允许或拒绝某些路由信息的通过。filter-policy 为 ip-prefix 提供应用上下文:ip-prefix 本身只是一个定义了匹配规则的列表,而 filter-policy 则将这些规则应用到具体的路由协议和方向中,使得 ip-prefix 的过滤功能得以在实际的路由过程中发挥作用。:ACL只能抓取路由前缀,没用办法匹配路由的掩码信息,如果有两条路由前缀相同,
前缀列表IP-prefix
weixin_40410030的博客
06-28 700
1、完整的前缀列表命令ip ip-prefixip-prefix-name[indexindex-number] {permit|deny}ipv4-addressmask-length[greater-equalgreater-equal-value] [less-equalless-e...
ip prefix
weixin_34110749的博客
11-19 1307
ip-prefix用于过滤IP前缀,能同时匹配前缀号和掩码长度不能用于数据包过滤缺省情况下,存在最后一条默认匹配模式为deny当引用的前缀过滤列表不存在时,默认匹配模式为permitip-prefix每个地址前缀列表可以包含多个索引(index),每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他节点。若所有节点都匹配失...
路由选择工具——IP-Prefix
weixin_55299404的博客
07-26 1372
IP前缀列表匹配路由的可控性比ACL高得多,也更为灵活。IP前缀列表可匹配路由前缀中的网络地址及网络掩码(前缀长度),增强了匹配的精确度。IP前缀列表除了能够匹配具体的网络掩码长度,还能够匹配掩码长度范围,非常灵活。一个IP前缀列表可以包含一个或多个表项(语句),在匹配过程中依序进行计算。表项中的索引号(序号)决定了每个表项在整个IP前缀列表中的位置。不能用于数据包过滤。
路由基础查漏笔记】IP-prefix
qingshuiyixin的专栏
07-07 1304
IP-prefix知识点
路由策略 匹配工具 IP-Prefix
ejhrkejrk的博客
01-07 3331
路由策略
acl/IP前缀列表
06-28
<think>我们正在讨论ACL和IP前缀列表的区别和配置。根据引用[1][2][3],用户的核心需求是理解两者的区别以及如何配置。用户之前的问题是关于OSPF中使用ACL和IP前缀列表进行路由过滤,现在用户直接询问两者的配置与区别,需要结合引用内容进行回答。关键点:1.引用[1]明确指出:ACL使用通配符(反掩码)进行范围匹配,不精确;而IP前缀列表能同时匹配前缀号和前缀长度,解决ACL不能区分相同前缀不同掩码的问题。2.引用[2]说明ACL的匹配过程:按顺序匹配规则,一旦命中立即结束,未命中则按默认处理(通常是拒绝)。3.引用[3]通过实验证明:ACL无法精确匹配掩码长度,导致相同网络位但不同掩码的路由被同时过滤。回答结构:1.先概述两者的定义和主要区别(表格对比)。2.分别说明ACL和IP前缀列表的配置方法(示例)。3.强调使用场景(路由过滤vs数据包过滤)。4.解释为何在路由过滤中IP前缀列表更优(引用实验案例)。5.注意事项(如ACL在路由过滤中的限制)。注意:用户可能是在配置网络设备(如华为)时遇到问题,所以配置示例采用华为风格(如acl2000, ipip-prefix等)。</think>### ACL与IP前缀列表的配置与核心区别 根据引用内容,ACL(访问控制列表)和IP前缀列表IP Prefix List)在网络设备中承担不同角色,主要区别如下: #### 一、核心功能对比 | **特性** | ACL (访问控制列表) | IP Prefix List (前缀列表) | |------------------|-----------------------------------|-------------------------------------| | **主要用途** | 数据包过滤(安全策略) | 路由过滤(路由策略) | | **匹配精度** | 低(通配符范围匹配)[^1] | 高(精确匹配前缀+掩码长度)[^1] | | **关键参数** | 通配符掩码(如`0.0.0.255`) | `ge`/`le`(掩码长度范围控制) | | **路由区分能力** | 无法区分相同前缀不同掩码的路由[^3] | 可区分(如`10.1.1.0/24`和`10.1.1.0/25`) | | **数据包过滤** | 支持(基本/高级ACL) | **不支持**[^1] | --- #### 二、配置示例与差异解析 **1. ACL配置(华为设备)** ```bash # 基本ACL(匹配源IP) acl 2000 rule 5 permit source 192.168.1.0 0.0.0.255 # 匹配192.168.1.0/24网段 rule 10 deny # 拒绝其他所有 # 高级ACL(匹配协议+端口) acl 3000 rule 5 permit tcp destination 10.1.1.0 0.0.0.255 eq 80 # 允许访问10.1.1.0/24的80端口 ``` **问题**: 若需过滤`11.1.1.0/24`和`11.1.1.0/25`,ACL会同时过滤两者(无法区分掩码)[^3]。 --- **2. IP前缀列表配置(华为设备)** ```bash # 精确匹配/24且掩码≥25的路由 ip ip-prefix ROUTE_FILTER index 10 deny 10.0.0.0/24 ge 25 # 允许其他路由(默认放行所有) ip ip-prefix ROUTE_FILTER index 20 permit 0.0.0.0/0 le 32 # 应用至OSPF ospf 1 filter-policy ip-prefix ROUTE_FILTER import ``` **优势**: - `ge 25`:仅过滤掩码≥25的子网(如`10.0.0.0/25`,不影响`10.0.0.0/24`) - `le 32`:允许掩码≤32的所有路由(即所有IPv4路由) --- #### 三、关键区别详解 1. **匹配机制差异** - **ACL**:顺序匹配规则,命中即终止[^2] ```mermaid graph TB A[ACL匹配流程] --> B{规则存在?} B -->|是| C[顺序匹配规则] C --> D{命中?} D -->|是| E[执行允许/拒绝] D -->|否| C B -->|否| F[默认拒绝] ``` - **IP前缀列表**:基于`index`优先级匹配,支持掩码范围控制 2. **掩码处理能力** - ACL通配符`0.0.0.255`等价于`/24`,但**无法识别`/24`与`/25`的差异**[^3] - IP前缀列表通过`ge`/`le`参数实现灵活控制: - `deny 10.0.0.0/8 ge 24`:拒绝10.0.0.0/8中掩码≥24的子网 - `permit 0.0.0.0/0 le 24`:允许所有掩码≤24的路由 3. **适用场景** - **ACL**:防火墙策略、端口过滤、用户访问控制 - **IP前缀列表**:OSPF/BGP路由过滤、路由重分发控制、路由汇总 --- #### 四、典型问题解决方案 **场景**:需阻止`11.1.1.0/25`但保留`11.1.1.0/24` ```bash # ACL方案 → 失败(会同时过滤两者)[^3] acl 2000 rule 5 deny source 11.1.1.0 0.0.0.255 # 错误!无法区分掩码 # IP前缀列表方案 → 成功 ip ip-prefix FIX_PROBLEM index 10 deny 11.1.1.0/25 # 精确拒绝/25 ip ip-prefix FIX_PROBLEM index 20 permit 0.0.0.0/0 le 32 ``` > **根本原因**:ACL的**通配符机制**本质是范围匹配,而IP前缀列表的**掩码长度参数**实现精确控制[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值