訪控列表的特殊用法

yuetian310

使用扩展访控列表匹配范围路由:
当前前缀列表为:
ip prefix-list aaa per 192.168.1.0/24 ge 27 le 29

扩展访控列表可以写为:             ---范围部分----          -ge-            -le-     
access-list 100 permit ip 192.168.1.0 0.255.255.255 255.255.255.224 0.0.0.24
这样就匹配出了在192.168.1.0/24下的掩码为27 28 29的路由了.
------>也就是从第27个bit位到第29个比特位.前面的ge部分定义从第1格bit到第27个为1.   le部分刚好相反,只有从27bit位到29bit位为1(不包括27位),其他所有位为0.

ip pre aaa per 199.172.0.0/20 ge 24 le 24

扩展访控列表可以写为:
access-list 100 per ip 199.172.0.0 0.0.15.255 host 255.255.255.0
这样也就匹配了在199.172.0.0/20范围下所有掩码为24位的路由了.

还可以写为:
access 100 per ip 199.172.0.0 0.0.15.0 any
但是这个写法就相当于使用标准的访控列表了,没有突出为使用扩展访控列表.

使用标准的访控列表:
标准访控列表的某些类似与扩展访控列表的方法我就不说了,只是说下标准访控列表的跳跃式的匹配:

access 10 per 192.168.1.0 0.0.0.14
这样变化的只有第四个8位组的第2,3,4位.这样在这个范围里,匹配到的路由将是:
192.168.1.2 ,
1.4,
1.6,
1.8,
1.10,
1.12,
1.14
也就是在1.0/28中的所有偶数路由.

匹配奇数的话是:
access 10 per 192.168.1.1 0.0.0.14
因为前面写着为192.168.1.1,第32位总是1.同时第2,3,4位的变化产生出的结果值.


标准访控列表的写法中也有些特别的例子:
写出199.172.5.0,
10.0
13.0
14.0
使用两条写出来.
这个写法中分组的时候可能选择5.0和10.0分一边,大家可能希望用一个acl语句写出5.0和10.0.
13.0和14.0写出一个,但这是不可能的.
分的时候因该将5.0和13.0用一条,10.0和14.0写一条.
这样就是:199.172.5.0 0.0.8.0
         199.172.10.0 0.0.4.0

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/12088/showart_323650.html