问一下网络前缀匹配的问题

wangbin2010jy

大家好，我想问下 ip prefix-list xx seq 10 deny 10.16.2.0/23 ge 24 le 24 是不是只是只是匹配10.16.2.0~255的子网范围，那么这个23子网在里面还有什么意义？10.16.2.0~10.16.3.255（23子网长度）

zhurx

ip prefix-list xx seq 10 deny 10.16.2.0/23 ge 24 le 24     
我的理解就是只拒绝了2组网段加入route table ：10.16.2.0/24 and 10.16.3.0/24

其他的在10.16.2.0/23内部的小网段都permit了。
permit like below list segments/subnets
10.16.2.0/25, 10.16.2.0/26,10.16.2.0/27...........10.16.2.0/32
10.16.2.128/25, 10.16.2.64/26,10.16.2.32/27...........10.16.2.252/30....
.......
10.16.3.0/25, 10.16.3.0/26,10.16.3.0/27...........10.16.3.0/32
10.16.3.128/25, 10.16.3.64/26,10.16.3.32/27...........10.16.3.252/30....
.......

liuyuhui_gdtyj

/23表示10.16.2.0和10.16.3.0两个前缀，ge 24 le 24匹配的是掩码。

李壑彝

ip prefix-list xx seq 10 deny 10.16.2.0/23 ge 24 le 24     
首先你要明白   10.16.2.0/23  这个代表啥，就像你说的  代表  
10.16.2.0~10.16.3.255
那么  ge 24 le 24   这个表示啥呢，很清楚，掩码/24

wangbin2010jy

李壑彝 发表于 2017-7-21 10:38
ip prefix-list xx seq 10 deny 10.16.2.0/23 ge 24 le 24     
首先你要明白   10.16.2.0/23  这个代表 ...

大神你好，我想再问一下。我是这样理解的，还是以这个例子为例。假如这个例子没有写ge 24 le 24的参数。直接用 /23 是 10.16.2.0~10.16.3.255 ，那么用了ge 24 le 24就是 10.16.2.0~255。那么两者的结合，感觉是冲突或者重合了 ，10.16.2.0/23已经包含了10.16.2.0~255（24位），请大神指教指教，万分感谢！

李壑彝

wangbin2010jy 发表于 2017-7-21 17:19
大神你好，我想再问一下。我是这样理解的，还是以这个例子为例。假如这个例子没有写ge 24 le 24的参数。 ...

没有哈，就如楼上那童鞋说的一样的哈，他的理解是对的，你可以模拟器试试，我这边的结果和他说的是一样的哈，只是平时我们很少看到这样用的

liuyuhui_gdtyj

wangbin2010jy 发表于 2017-7-21 17:19
大神你好，我想再问一下。我是这样理解的，还是以这个例子为例。假如这个例子没有写ge 24 le 24的参数。 ...

如果只用/23不用ge 24 le 24，则表示路由前缀必须为10.16.2.0，长度必须为23，而且并不包括10.16.3.0/23。假如我们要匹配汇总路由，就只能用10.16.2.0/23不带ge、le。
10.16.2.0/23已经包含了10.16.2.0~255（24位），说得没错。但前缀列表若没有ge、le时，匹配的是路由表的具体路由（精确匹配），而不包括该路由所表示的各个子网（模糊匹配）。这么说吧，就是字面上的文字匹配。

可能不好理解，CCNP ROUTE认证考试指南中文版第95-96页有详细的举例说明，足够你看明白了。

wangbin2010jy

谢谢，大家