Java教程

华为策略工具大全——匹配工具之 IP-Prefix

本文主要是介绍华为策略工具大全——匹配工具之 IP-Prefix,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
ACL ACL 默认只能匹配路由条目,无法匹配掩码范围,路由前缀采用大于小于的形式来匹配路由,弥补了 acl 的不足。 前缀列表,它可以将所定义的前缀列表相匹配的路由,根据定义的匹配模式进行过滤。前缀列表中的匹配条目由 IP 地址和掩码组成,IP 地址可以是网段地址或者主机地址,掩码长度的配置范围为 0-32,可以进行精确匹配货真在一定掩码长度范围内匹配,也可以通过配置关键字 greater-equal 和 less-equal 指定待匹配的前缀掩码长度。前缀列表同时匹配前缀号和前缀长度,主要用于路由的匹配和控制,不能用于数据包的过滤。   Acl 缺陷 如上图,网络中存在黑客行为,接入了一条 11.1.0/25 的网络,与网络中 11.1.1.0/24存在冲突,当路由协议收敛后,会优先匹配 11.1.1.0/25(子网掩码越长越优先),造成网络瘫痪。 使用 acl 进行匹配,11.1.1.0 0.0.0.0 进行匹配,会将 11.1.1.0/24 进行阻塞掉,所以acl 无法满足要求。 使用 IP-Prefix 进行匹配:11.1.1.0 24 greater-equal 25 less-equal 25 ① 11.1.1.0 24:匹配路由条目 前 24 位是否与 11.1.1.0 相同。 ② greater-equal 25 less-equal 25:匹配掩码为/25 的路由。   IP-Prefix 基本格式 ① 只存在掩码: [Huawei]ip ip-prefix 1 index 10 permit 10.0.0.0 16 Ø 匹配的数据包中的 IP 地址的掩码为/16 Ø 匹配的数据包中的 IP 地址的前 16 位 IP 地址一致 ② 存在 greater-equal 和 less-equa: [Huawei]ip ip-prefix 1 index 10 permit 10.0.0.0 16 greater-equal 16 less-equal 17 ①掩码值 16:首先匹配前 16 位是否一致,一致进入下一步,不一致忽略 ② greater-equal 16 less-equal 17:匹配子网掩码是/16、/17 IP-Prefix 配置 ①只存在掩码: a) 只允许/24 的子网掩码通过:[Huawei]ip ip-prefix 1 index 10 permit 10.0.1.0 24        /* 前 24 位与 10.0.1.0 一致并且子网掩码是 24 位 b) 匹配默认路由:[Huawei]ip ip-prefix 1 index 10 permit 0.0.0.0 0        /* 匹配默认路由 c) 匹配所有路由:ip ip-prefix 1 index 10 permit 0.0.0.0 0 less-equal 32 d) 匹配所有主机路由: ip ip-prefix 1 index 10 permit 0.0.0.0 0 greater-equal 32 ② 存在 greater-equal 和 less-equa:

① 匹配 10.0.1.1/24 和 10.0.2.1/25 的路由条目:
[Huawei]ip ip-prefix 1 index 10 deny 10.0.0.0 16 greater-equal 24 less-equal 25        /* 匹配前 16 位一致的路由条目并且匹配子网掩码为 15 位到 15位 到 15 位
[Huawei]ip ip-prefix 1 index 20 permit 0.0.0.0 0 less-equal 32        /* 隐式为拒绝所有,所以配置允许所有

③ 匹配所有地址: [Huawei]ip ip-prefix 1 index 20 permit 0.0.0.0 0 less-equal 32        /* 匹配所有。
这篇关于华为策略工具大全——匹配工具之 IP-Prefix的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!