- ACL列表
ACL访问控制列表,即用于流量的匹配与控制,但也能够用于匹配路由条目。
前缀列表与AC的区别
1)ACL无法匹配路由掩码
2)ACL无法匹配精确的路由
如:存在两个路由192.168.1.0/24,192.168.1.0/16
如果用ACL只匹配192.168.1.0/16的话应该这么写:
[AR1]acl 2000
[AR1-acl-basic-2000]rule permit source 192.168.1.0 0.0.255.255
但会发现它仍会把192.168.1.0/24的路由匹配到。
因为ACL只能通过通配符匹配路由前缀,而不能匹配路由的掩码。
故两条掩码不同但前缀相同的路由能被ACL同时匹配到。
3)ACL可以对数据包进行过滤,而前缀列表只能匹配路由
- ip-prefix
前缀列表能够同时匹配IP地址前缀以及掩码长度,列表默认动作为拒绝
前缀列表的创建方式:
1)精确匹配某个网段的路由:匹配192.168.0.0/24的路由
[AR1]ip ip-prefix 1 permit 192.168.0.0 24
2)匹配某个网段的掩码范围:匹配路由前缀为192.168,掩码为30~32之间的路由条目
[AR1]ip ip-prefix 2 permit 192.168.0.0 16 greater-equal 30 less-equal 32
3)命令介绍
常规用法:
ip ip-prefix 前缀列表名称 动作(permit/deny) 匹配路由 匹配前缀
进阶用法:
ip ip-prefix 前缀列表名称 动作 匹配路由 匹配前缀 greater-equal 掩码大于等于多少 less-equal 小于等于多少
解析命令:
ip ip-prefix 前缀列表名称 动作 192.168.0.0 16 greater-equal 30 less-equal 32
匹配路由前缀为192.168,且掩码大于等于30小于等于32的路由条目。
- router-policy
针对特定的路由条目去做属性修改。
路由策略,即对路由相关属性进行修改
而对于另一种技术:策略路由,即作用是直接控制路由
如何应用路由策略?
1、首先匹配路由,应用ACL、IP-prefix等匹配技术匹配相关路由。
2、属性修改,如修改匹配出来的路由开销、tag标记等。
3、应用策略,创建好路由策略之后,可在需要进行路由修改的地方进行引用策略。