路由工具(acl、ip-prefix)

一、介绍acl、ip-prefix的工作原理及实际作用

二、访问控制列表ACL(Access Control List)和IP-Prefix(前缀列表)的区别

          1、ACL匹配报文信息

访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

规则编号：用于标识ACL规则。可以自行配置规则编号，也可以由系统自动分配。ACL规则的编号范围是0～4294967294，。系统按照规则编号从小到大的顺序，将规则依次与报文匹配，一旦匹配上一条规则即停止匹配。
动作：包括permit/deny两种动作，表示允许/拒绝。
匹配项：ACL定义了极其丰富的匹配项。除了图中的源地址和生效时间段，ACL还支持很多其他规则匹配项。例如，二层以太网帧头信息（如源MAC、目的MAC、以太帧协议类型）、三层报文信息（如目的地址、协议类型）以及四层报文信息（如TCP/UDP端口号）等。
如果规则存在，则系统会从ACL中编号最小的规则开始查找。如果匹配上了permit规则，则停止查找规则，并返回ACL匹配结果为：匹配（允许）。如果匹配上了deny规则，则停止查找规则，并返回ACL匹配结果为：匹配（拒绝）。如果未匹配上规则，则继续查找下一条规则，以此循环。如果一直查到最后一条规则，报文仍未匹配上，则返回ACL匹配结果为：不匹配。

2、acl的分类

ACL类型根据不同的划分规则可以有不同的分类
基于ACL标识方法的划分
数字型ACL：直接指定ACL编号
#
acl number 2000  
 rule 5 permit source 10.1.11.1 0 
#
命名型ACL：为该acl写一个名称，方便标识。
[Huawei]acl name ml basic（基本）   //系统自动分配acl编号
[Huawei-acl-basic-ml]rule permit  source 10.1.11.1 0.0.0.0    
[Huawei-acl-basic-ml]dis this 
#
acl name ml 2998  
 rule 5 permit source 10.1.11.1 0 

[Huawei]acl name mx 2007  //手动指定编号
[Huawei-acl-basic-mx]rule permit source 10.1.1.1 0.0.0.0    
[Huawei-acl-basic-mx]dis this 
#
acl name mx 2007  
 rule 5 permit source 10.1.1.1 0

基于ACL规则定义方式的划分
基本ACL（编号范围2000-2999）
高级ACL（编号范围3000-3999）
二层ACL（编号范围4000-4999）
用户ACL（编号范围6000-6031）

基本ACL
仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。
高级ACL
既可使用IPv4报文的源IP地址，也可使用目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。
二层ACL
使用报文的以太网帧头信息来定义规则，如根据源MAC（Media Access Control）地址、目的MAC地址、二层协议类型等。
用户ACL
既可使用IPv4报文的源IP地址，也可使用目的IP地址、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。

3、IP-Prefix(前缀列表)

用于过滤IP前缀，能同时匹配前缀号和掩码长度
不能用于数据包过滤
缺省情况下，存在最后一条默认匹配模式为deny
当引用的前缀过滤列表不存在时，默认匹配模式为permit

前缀过滤列表可以进行精确匹配或者在一定掩码长度范围内匹配，可以通过配置关键字greater-equal和less-equal指定待匹配的前缀掩码长度范围。如果没有配置关键字greater-equal或less-equal，前缀过滤列表进行精确匹配，即只匹配掩码长度为前缀过滤列表掩码长度的相同IP地址路由；如果只配置了关键字greater-equal，则待匹配的掩码长度范围为从greater-equal指定值到32 位长度；如果只匹配了关键字less-equal，则待匹配的掩码长度范围为从指定的掩码到关键字less-equal指定值。
greater-equal-value与less-equal-value的取值限制：mask-length<=greater-equal-value<=less-equal-value<=32。

ip ip-prefix FILTER index 10 permit 1.1.1.0 24
该ip-prefix为精确匹配，只有1.1.1.1/24才能permit
ip ip-prefix FILTER index 10 permit 1.1.1.0 24 less-equal 32
掩码范围在24-32之间的网络1.1.1.0才能permit
ip ip-prefix FILTER index 10 permit 1.1.1.0 24 greater-equal 26
掩码范围在26-32之间的网络1.1.1.0才能permit
ip ip-prefix FILTER index 10 permit 1.1.1.0 24 greater-equal 26 less-equal 32
掩码范围在26-32之间的网络1.1.1.0才能permit
ip ip-prefix FILTER index 10 permit 0.0.0.0 0 greater-equal 8 less-equal 32
所有掩码长度在8到32的路由都被permit
ip ip-prefix FILTER index 20 permit 0.0.0.0 0 less-equal 32
所有路由均被permit

4、acl、ip-prefix的区别

区别1: ACL(访问控制列表)能够用于抓取数据报文也能用于抓取路由，但是ip-prefx只能用于抓取路由
区别2: ACL抓取路由时，使用网络前缀加通配符掩码配合抓取路由，但是ACL无法用于匹配掩码,如以下三条路由:
10.1.1.0/24
10.1.0.0/16
10.0.0.0/8
使用ACL抓取如下：
Acl 3000
Rule 10 permit source 10.1.0.0 0.0.255.255
此时将匹配10.1.开头的路由，后续前缀不关心，所以此ACL抓取到路由为10.1.1.0/24和10.1.0.0/16两条路由。
而前缀列表可以匹配前缓和掩码长度，更精细的筛选路由如果使用以下前缀列表:
ip ip-prefix 1 permit 10.1.0.0 16 greater-equal 24 less-equal 32
此时代表需要抓取前缀固定为10.1的路由且掩码大于等于24小于等于32的路由，此时仅能匹配到10.1.1.0/24路由条目，所以前缀列表能通过匹配掩码做到比ACL更精准的路由筛选。
区别3: ACL抓取路由时比前缀列表定义前时更加灵活。
如: 如果需要抓取以下路由中的第三个字节为奇数的路由时前缀列表无法实现，但是ACL可以实现
10.1.1.0/24
10.1.2.0/24
10.1.3.0/24
10.1.4.0/24
此时ACL可以如下配量:
ACL 3001
Rule 10 permit source 10.1.1.0 0.0.254.255
此时该ACL匹配前缀为10.1开头，且第三个字节的最后一位一定固定为1的前缀，此时可以匹配四条路由中的10.1.1.0/24和10.1.3.0/24这两条路由。那如果匹配偶数通配符掩码是多少？