访问控制列表

匹配的 ACL 2009时,发现该ACL不存在,默认情况下,按当前空node的动作处理,假设是deny拒绝15之后的所有路由,permit则是允许所有。
1.R1通过network方式注入5条路由,对邻居发布路由时调用路由策略,请问在R2上能看到几条路由,写出掩码。
答:AR2有3条,分别为1.1.1.1/32,10.1.1.0/24,172.16.0.0/16

2.如果路由策略中配置了router route-policy bgp permit node 50后,在R2上能看到几条路由,写出掩码。
答:在AR2上有4条,分别为1.1.1.1/32,2.2.2.2/32,10.1.1.0/24,172.16.0.0/16
注意:3.3.3.3是被命中匹配的节点,所以即使放空节点也会在节点20被拒绝。

3.写出ACL与前缀列表的区别。
1)分类
基于ACL标识方法可分为:命名型ACL和数字型ACL
基于ACL规则定义方式可分为:基本ACL、高级ACL、二层ACL,且每—种分类作用各不相同。
地址前缀列表则没有特别定义分类。

2)匹配条件
ACL定义了极其丰富的匹配项,可以将报文中的入接口、源或目的地址、协议类型、源或目的端口号等作为匹配条件,并且可以为每条规则设置生效时间段。
地址前缀列表是将源地址、目的地址和下一跳的地址前缀作为匹配条件,匹配项较少,无法设置生效时间段。
3)匹配规则
ACL匹配路由是通过IP地址和通配符
地址前缀列表匹配路由是通过网络号、网络号前缀长度及掩码长度范围
4)配置
ACL有多种分类,每种分类作用各不相同,每种分类的配置各不相同,每种分类的规则语句所匹配的参数也各不相同,在配置方面难度较大前缀列表没有分类,是通过ip地址作为匹配条件,将前缀长度和掩码长度范围作为控制,在配置方面较为简单。
5)步长
ACL默认步长设定为5
地址前缀列表默认步长设定为10
6)作用
ACL既可以用来匹配路由,又可以用来过滤数据包
地址前缀列表只能用来匹配路由,不能用于过滤数据包
7)匹配路由精确度
ACL不能精确匹配路由,匹配路由时只能匹配路由的网络号,但无法匹配掩码,对于前缀相同而掩码不同的路由需要写大量的规则才能完成匹配,配置繁琐。
前缀列表比ACL更为灵活,可以精确匹配路由,通过对网络号前缀长度的固定,掩码范围的设定,对于前缀相同而掩码不同的路由可以精确匹配,同时配置比较简单。
8)应用场景
ACL的应用场景比较丰富,例如:使用ACL限制Telnet登录权限、SNMP中应用ACL过滤非法网管、使用ACL限制不同网段用户的互访、使用ACL禁止特定用户主机在特定时间内上网、在QoS中使用ACL实施流量监管、在OSPF中使用ACL过滤路由信息。
地址前缀列表的应用场景比较单一,一般只用路由控制,例如BGP向对等体发布路由时,可以使用地址前缀列表进行对路由控制。
9)产生背景
ACL的产生最初的目的就是为了过滤数据包而诞生的
地址前缀列表的产生就是用于精确匹配路由条目

你可能感兴趣的:(信息与通信,tcp/ip,网络协议)