一、标准防控列表中的反掩码与路由协议中宣告的反掩码不一样,如可以写access-list 1 permit 172.16.0.0 0.0.19.0,而不能在路由协议中network 172.16.0.0 0.0.19.0。172.16.0.0/24,172.16.1.0/24,172.16.2.0/24,172.16.3.0/24,172.16.16.0/24,172.16.17.0/24,172.16.18.0/24,172.16.19.0/24。
根据前缀部分不变的照写,变的部分写0;掩码部分不变的写0,变的写1,得出以上8条路由用标准防控列表匹配为:172.16.0.0 0.0.19.0。虽然匹配的条目比上述8条多,但这已是最精确的匹配了。
二、access-list 1 permit 172.16.1.0与access-list 1 permit 172.16.1.0 0.0.0.255的区别表示方法是指匹配前面24为全相同的路由,而当出现例如172.16.1.128/25这样的条目时就不会匹配到,表示方法是指172.16.1.0/24的路由全部匹配到,包括所有范围内的子网,如果有路由1:172.16.1.0/25,路由2:172.16.1.128/25,当用匹配时,那么只匹配到路由1,而当用匹配时,那么路由1和路由2都会被匹配到。
三、前缀列表,标准防控列表不能匹配到掩码,如access-list 1 permit 172.16.1.0 0.0.0.255表示的掩码可以是24位,25位等等。
四、前缀列表写法
1、ip prefix name permit x/y [ge A |le B] 其中y<A<=B
前缀列表可以精确匹配掩码部分。
2、ip prefix-list name perimit 172.16.1.0/24
表示前面24位固定,且掩码为24位。
3、ip prefix-list name permit 172.16.1.0/24 ge 25
表示前面24位为不变,且掩码为25位到32位的。
4、ip prefix-list name permit172.16.1.0/24 le 32
表示前面24位不变,且掩码24位到32位的。
5、ip prefix-list name permit 172.16.1.0/24 ge 25 le 25
表示前面24位不变,且掩码为25位的。
配置路由策略时会经常需要对路由进行匹配,我们可以使用ACL和前缀列表进行路由的匹配,但ACL不灵活,绝大时候我们使用前缀列表,发布的路由的网络号前面部必须与前缀列表匹配,子网掩码也要规定好。
