关于前缀列表和ACL的转换

594939 · 发表于 2013-1-15 17:31:38

ip prefix-list permit 10.10.10.0/24 ge 26 le 27
这个如果用ACL写应该怎么写

xuexue705 · 发表于 2013-1-15 19:18:04

这个意思就是，10.10.10.X前24位要精确匹配，子网大于26小于等于27.也就是255.255.255.224.
可以这么写，ip ac 1 permit 10.10.10.0 0.0.0.224

594939 · 发表于 2013-1-15 21:01:32

xuexue705 发表于 2013-1-15 19:18
这个意思就是，10.10.10.X前24位要精确匹配，子网大于26小于等于27.也就是255.255.255.224.
可以这么写，i ...

不对吧

84983251 · 发表于 2013-1-15 21:22:22

xuexue705 发表于 2013-1-15 19:18
这个意思就是，10.10.10.X前24位要精确匹配，子网大于26小于等于27.也就是255.255.255.224.
可以这么写，i ...

误人子弟

594939 · 发表于 2013-1-15 21:25:57

有人知道码

xuexue705 · 发表于 2013-1-15 22:24:39

，，你个儍X，，，你自己还可以再加个26子网掩码。就抓这二个子网mask
ac 1 permit 10.10.10.X 0.0.0.192,
帮你回答还误你。。。。。。
你连缀列表都没不会，自己去把NA再慢慢看一篇吧。

84983251 · 发表于 2013-1-15 23:19:01

本帖最后由 84983251 于 2013-1-15 23:37 编辑

xuexue705 发表于 2013-1-15 22:24
，，你个儍X，，，你自己还可以再加个26子网掩码。就抓这二个子网mask
ac 1 permit 10.10.10.X 0 ...

好吧！说你误人子弟还不信！ ACL后面跟的是通配符。0代表精确匹配 1代表忽略。这是最基本的是不。Na都有讲。
那么就按你的来我们算算。
10.10.10.1 255.255.255.0
10.10.10.2 255.255.255.128
10.10.10.3 255.255.255.192
10.10.10.4 255.255.255.224

按照你的说法 27位是0.0.0.224 换算过来也就是0.0.0.11100000 也就是你的后8位的前3位忽略，后5位必须匹配。你这明显就有问题！上面的前缀列表的意思是允许前缀为10.10.10.0且子网属于26和27位。你这样抓不管他的后8位前3位是多少/我只关心后8位的后5位全为0就行.上面4个Ip传递其他路由器绝对会是10.10.10.0/24~10.10.10.0/27 就拿我上面的Ip来说，你10.10.10.0 0.0.0.224 就把我上面的4个路由全部抓到了，但是我的子网位数明显不一样，明显和前缀列表定义的不一样。

xuexue705 · 发表于 2013-1-15 23:44:32

本帖最后由 xuexue705 于 2013-1-15 23:47 编辑

你上面问题所问的是前缀列表，只要精确过滤26至27位子网掩码。你现在是换算过来ACL，前24位精确匹配，
管你：10.10.10.X，但子网掩码是26至27的全抓出来。本来ACL就不可以像前缀那样精准，但是按你上面的换算，ACL就只可以这样抓一些路由。
像你这样后面来补充，那个问个毛。。。。
说你是傻X还真是。。。。
我还来回答你的问题，还真是我的问题。。。。。。

84983251 · 发表于 2013-1-15 23:47:48

Lz不用纠结这个问题，用ACL是抓不了的。就算抓也是抓的很不精确。
就拿我刚才举例的几个Ip来看
10.10.10.1 255.255.255.0
10.10.10.2 255.255.255.128
10.10.10.3 255.255.255.192
  10.10.10.4 255.255.255.224
用ACL来抓的话也就是26与27必须匹配其他可以忽略。ACL后面通配符0代表精确匹配，1代表忽略。相信Lz也懂。  那么换算过来就是
10.10.10.0 0.0.0.10011111=10.10.10.0 0.0.0.159
但是这样有个问题。我上面4个Ip传递过去的路由是10.10.10.0/24-10.10.10.0/27  你发现没换算成二进制我的后8位都是0.  那么26与27位都相同。这样也就是只要是10.10.10.0/24-10.10.10.0/31  都被抓出来了。所以很不精确

84983251 · 发表于 2013-1-16 00:04:56

xuexue705 发表于 2013-1-15 23:44
你上面问题所问的是前缀列表，只要精确过滤26至27位子网掩码。你现在是换算过来ACL，前24位精确匹配，
管你 ...

你先理解上面前缀的意思再来回答问题。明显只抓26与27位的路由你这样把24-31位的都带进去了，这和前缀的可是隔的十万八千里。不要随便说别人傻X，你看看你自己学的基本功扎实不。既然你知道不精确，为什么不告诉楼主用ACL无法实现呢，还非要用ACL抓？

594939 · 发表于 2013-1-16 09:51:41

84983251 发表于 2013-1-15 23:47
Lz不用纠结这个问题，用ACL是抓不了的。就算抓也是抓的很不精确。
就拿我刚才举例的几个Ip来看
10.10.10 ...

后8位都是0？不是吧？

84983251 · 发表于 2013-1-16 11:14:38

本帖最后由 84983251 于 2013-1-16 11:19 编辑

594939 发表于 2013-1-16 09:51
后8位都是0？不是吧？

后8位怎么可能不是0。路由器的想法是凡是不是精确匹配的，我传递过去就以0代替。因为0代表所有网段

594939 · 发表于 2013-1-16 19:42:08

还是没看明白，能说的再详细点吗，多谢了

qianpeng4 · 发表于 2013-1-18 13:26:45

不错不错，支持顶个

yulius · 发表于 2013-1-26 18:26:27

ip prefix-list permit 10.10.10.0/24 ge 26 le 27

没算错的话应该一共12条吧

10.10.10.0/26
10.10.10.0 255.255.255.192
10.10.10.64 255.255.255.192
10.10.10.128 255.255.255.192
10.10.10.192 255.255.255.192

10.10.10.0/27
10.10.10.0 255.255.255.224
10.10.10.32 255.255.255.224
10.10.10.64 255.255.255.224
10.10.10.96 255.255.255.224
10.10.10.128 255.255.255.224
10.10.10.160 255.255.255.224
10.10.10.192 255.255.255.224
10.10.10.224 255.255.255.224

access-list 1 permit 10.10.10.0 0.0.0.255
只能这样了

账号		自动登录	找回密码
密码			论坛注册

[已解决] 关于前缀列表和ACL的转换

点评

浏览过的版块

客服中心

投诉建议