Chinaunix首页 | 论坛 | 博客
  • 博客访问: 232346
  • 博文数量: 47
  • 博客积分: 4000
  • 博客等级: 上校
  • 技术积分: 775
  • 用 户 组: 普通用户
  • 注册时间: 2008-02-12 10:50
文章分类

全部博文(47)

文章存档

2011年(1)

2009年(4)

2008年(42)

我的朋友

分类: 网络与安全

2008-05-07 19:29:27

下面是一条标准的prefix-list,我们着重对之进行分析:

ip prefix-list 100 permit 128.0.0.0/2 ge 16 le 24
ge=greater or equal   le=less or equal

1、R1(config)#ip prefix-list ?
  WORD             Name of a prefix list
  sequence-number  Include/exclude sequence numbers in NVGEN

R1(config)#ip prefix-list 100 ?
  deny         Specify packets to reject
  description  Prefix-list specific descriptin
  permit       Specify packets to forward
  seq          sequence number of an entry
基本的格式上和ACL还是差不多的。


2、关键的对于128.0.0.0/2的这个/2代表了什么含义?
128.0.0.0 换成2进制数为10 000000  00000000  00000000 00000000
/2代表只对前面的2位必须match,即,前2位是不变的,在不带ge 16 le 24的情况下,prefix-list里的128.0.0.0/2 代表的是一个范围,是从128.0.0.0/7到223.255.255.252/30,而加上ge 16 le 24,的意思就是ip地址mask从 /16到/24

下面是几个例:

prefix-list 100 permit 0.0.0.0/0 代表的是所有路由
prefix-list 100 permit 0.0.0.0/32 代表的是默认路由
prefix-list 100 permit 0.0.0.0/0 ge 32代表的是所有host路由

3、在ACL里,128.0.0.0/2是什么含义?
下面是128.0.0.0的2进表达表示
10 000000  00000000  00000000 00000000
在ACL里,permit 128.0.0.0/2,那就没意义了,要使得128.0.0.0,最小的mask位数为7位(2的7次是128)

4、其实ACL也有方法定义一个范围,以实现类似prefix-list的功能。
access-list 10 permit 199.172.0.0 0.0.3.0,这里这个0.0.3.0,即起了一个定义范围的作用,0表示match,1表示不关心。这样的话,199.172.0.0 这个被定义物里,前16个bit和最后8个bit都是被定死的
,唯独第三段的最后2bit是不关心的,可以变换,所以结果就是:

199.172.0.0
199.172.1.0
199.172.2.0
199.172.3.0

 per 199.172.1.0 0.0.254.0  奇数路由
 per 199.172.0.0 0.0.254.0  偶数路由

A bit mask used in access rules, IPSec rules, and NAT rules to specify which portions of the packet's IP address must match the IP address in the rule


例:
1.1.1.1/8 ge 16 le 32  前缀列表的意思是
意义是 /8表示必须从参考的IP中匹配前8个2进位,因此所匹配的路由是1开头实际匹配的是00000001,刚好8位。但是后头定义的是路由前缀的范围,意义是,如果有路由是1.1.1.0/8 那这样的情况是不符合定义的,为什么因为他的前缀 是8,而不是大于16 小于32 的范围。所以它不能通过,那1.1.1.0/9呢?一样也不是范围内的,那1.1.1.0/17呢?这条路由可以pass理由是他的前缀大于了16,小于 32,那如果是2.2.2.0/17呢,这样的情况虽然你的前缀符合了定义,但是你的路由是2.x.x.x的不符合我的参考IP,前8个2进,必须以 00000001,即等于1.x.x.x,然后才有资格看前缀是否符合了,因此总结:前缀列表由2个部分组成,1是参考的IP,以及匹配参考IP位数的掩码,比如刚才你要想匹配住2.x.x.x 那我们只需要
写1.1.1.0/6 ge 7 le 32这样的话,就是匹配了,参考IP1.1.1.0中的前6个2进即,00000001中的000000xx.x.x 即可以是00000000,00000001,00000002,00000003开头的IP路由。再来就是前缀范围,这次的前缀范围也变大了,是大于 7,这样的话。很多路由都会被匹配如2.2.2.2/8 这个路由也会PASS了。
阅读(1110) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~