问题描述:
acl number 3005
rule 0 permit ip source 0.0.0.0 255.255.255.239 destination 255.255.255.240 0
rule 5 permit ip source 0.0.0.0 255.255.255.223 destination 255.255.255.224 0
#
acl number 3006
rule 0 permit ip source 0.0.0.16 255.255.255.239 destination 255.255.255.240 0
rule 5 permit ip source 0.0.0.32 255.255.255.223 destination 255.255.255.224 0
#
这个是只匹配27位和28位掩码的路由,怎么理解,destination的作用是什么
ACL 3005 匹配源地址最后一个字节倒数第4位或第5位为0的地址
ACL 3006 匹配源地址最后一给字节倒数第4位或第5位为1的地址
精确匹配目的地址
255.255.255.240
精确匹配目的地址 255.255.255.224
destination目的地址 source源地址
你理解的不对
这是匹配掩码,不是匹配IP
抱歉 通配符 255.255.255.239 = 二进制 11111111.11111111.11111111.11101111 匹配逻辑:最后一个字节的第5位(16的位置)必须为0,其他位任意 通配符 255.255.255.223 = 二进制 11111111.11111111.11111111.11011111 匹配逻辑:最后一个字节的第6位(32的位置)必须为0 acl3006相反,第5位和第6位必须为1 这不是标准的前缀匹配掩码(不是/24、/27、/28等),而是基于特定位模式的匹配
1. destination字段作用:当ACL被route-policy的if-match acl调用时,destination第一个值是要匹配的路由掩码,第二个反掩码为0代表精确匹配该掩码:255.255.255.240对应28位掩码、255.255.255.224对应27位掩码,所以实现仅匹配27/28位掩码的路由。
2. source字段作用:用来匹配路由前缀的网络地址范围,反掩码限定前缀的匹配位,3005和3006组合是进一步拆分不同前缀段的同掩码路由,方便后续路由策略做差异化处理。
重要提醒:涉及路由策略调整需提前备份配置,在运维窗口操作,避免路由震荡。
这段ACL配置是在路由策略(比如route-policy或filter-policy)中,用来按掩码长度筛选路由的一个常见技巧。这里destination的作用并不是匹配普通报文的目的IP,而是匹配路由条目的掩码。
1. destination 在这里的真正含义
在标准ACL中,destination A B本意是匹配“目的IP地址属于A/反掩码B的网段”。
但用在路由过滤场景时,可以借用destination字段来匹配路由的掩码,写法是:
掩码值就是子网掩码的点分十进制形式(如255.255.255.240)后面的
0表示精确匹配(通配符掩码全0)
所以:
destination 255.255.255.240 0→ 匹配掩码为 /28 的路由destination 255.255.255.224 0→ 匹配掩码为 /27 的路由
2. source 的作用是什么?
source 部分用来匹配路由的网络前缀地址,后面的通配符掩码用来限定网络地址的范围。
例如 ACL 3005 的 rule 0:
先通过
destination选出所有 /28 的路由再通过
source 0.0.0.0 255.255.255.239从这些 /28 路由中,选出网络地址满足特定条件的一部分通配符掩码
255.255.255.239的二进制最后8位是1110 1111(bit4=0,必须匹配)因此匹配的网络地址的最后一个字节中,bit4(值为16)必须为0,其余位任意
即网络地址最后一个字节属于
0-15、32-47、64-79、96-111…… 等范围
类似地,rule 5 用 destination 255.255.255.224 匹配 /27 路由,再用 source 0.0.0.0 255.255.255.223(二进制 1101 1111,bit5=0)限定网络地址范围。
3. 整体理解:这两组ACL做了什么?
| ACL | 规则 | 匹配的路由类型 | 网络地址范围(最后一个字节) |
|---|---|---|---|
| 3005 | rule 0 | /28 | 第4位=0(如 x.x.x.0~15, 32~47, …) |
| 3005 | rule 5 | /27 | 第5位=0(如 x.x.x.0~31, 64~95, …) |
| 3006 | rule 0 | /28 | source 0.0.0.16 → 第4位=1且第0~3位为0? 实际更细 |
| 3006 | rule 5 | /27 | source 0.0.0.32 → 第5位=1且第0~4位为0? |
简而言之,它们不是匹配全部/27或/28路由,而是只匹配其中一部分特定网络前缀的/27和/28路由,用于精细控制路由引入或发布。
4. 为什么这样设计(总结)
destination 掩码值 0→ 明确指定路由的掩码长度source 网络地址 通配符掩码→ 指定该掩码下网络地址的匹配条件两者结合,就能像
ip ip-prefix一样,同时匹配“前缀+掩码长度”,但用ACL实现(某些老设备或特定场景下需要)。
source + 反掩码 圈定一段地址,再用 destination 固定值 0 做 “占位 / 不限制”。在金融 DC 里,这种写法常见于 针对特定网段段(/27、/28)做路由引入、黑洞路由、网段聚合过滤。1. 先看懂 H3C / 华为 ACL 里的反掩码
rule permit ip source A B destination C D
source A B:源 IP + 反掩码(wildcard)destination C D:目的 IP + 反掩码- 反掩码规则:
0= 必须严格匹配这一位1= 任意,不关心
destination 255.255.255.240 0
destination 255.255.255.224 0
目的 IP 必须完全等于前面那个 255.255.255.xxx 地址
- 用 destination 固定一个 “特殊标记地址”
- 配合 route-policy / 黑洞路由 / 静态路由 tag
- 实现只对某一类网段(/27、/28)做策略
2. 逐行拆解:为什么对应 /27、/28
先换算掩码与反掩码
/28= 掩码255.255.255.240→ 反掩码0.0.0.15/27= 掩码255.255.255.224→ 反掩码0.0.0.31
source 0.0.0.0 255.255.255.239239 二进制:1110 1111反掩码 255.255.255.239= 前 28 位必须严格匹配,只有最后 4 位任意→ 正好圈定 /28 网段source 0.0.0.0 255.255.255.223223 二进制:1101 1111反掩码 255.255.255.223= 前 27 位必须严格匹配,最后 5 位任意→ 圈定 /27 网段255.255.255.239反掩码 → 匹配 /28255.255.255.223反掩码 → 匹配 /27
3. destination 那一串到底干嘛用?
destination 255.255.255.240 0
destination 255.255.255.224 0
- 目的 IP:
255.255.255.240 - 反掩码:
0→ 必须完全一模一样
这条 ACL 匹配的是:源 IP 属于 /28 网段并且 目的 IP = 255.255.255.240
场景 1:配合黑洞路由,做网段聚合过滤
ip route-static 10.0.0.0 255.255.255.240 255.255.255.240
- 下一跳写成一个无效标记地址(255.255.255.240)
- 再用 ACL 匹配 “目的 IP = 这个标记”
- 在 route-policy 里:
- 允许 → 引入路由
- 拒绝 → 不引入
只把 /28、/27 网段的路由引入 BGP/IGP
场景 2:安全策略 + 网段粒度管控
- /27、/28 通常是业务服务器网段、安全域网段
- 用 ACL 精确圈定这类网段
- 做 QoS、流量监管、安全策略、跨域访问控制
destination 在这里就是一个人为约定的标记位,不是真的要发往那个 IP。4. 整体一句话总结
rule 0 permit ip source 0.0.0.0 255.255.255.239 destination 255.255.255.240 0
source 0.0.0.0 255.255.255.239→ 匹配 任意 /28 网段地址destination 255.255.255.240 0→ 匹配 目的 IP 固定为这个标记地址- 合起来:→ 只匹配被标记为 /28 聚合的路由条目
255.255.255.223→ /27destination 255.255.255.224 0→ 对应 /27 标记
5. 你在现场可以怎么快速验证?
display acl 3005
display acl 3006
display route-policy
display bgp routing-table
- 只有 /27、/28 路由被 permit
- 其他掩码(/24、/25、/26、/29~/32)全被 deny
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
抱歉 通配符 255.255.255.239 = 二进制 11111111.11111111.11111111.11101111 匹配逻辑:最后一个字节的第5位(16的位置)必须为0,其他位任意 通配符 255.255.255.223 = 二进制 11111111.11111111.11111111.11011111 匹配逻辑:最后一个字节的第6位(32的位置)必须为0 acl3006相反,第5位和第6位必须为1 这不是标准的前缀匹配掩码(不是/24、/27、/28等),而是基于特定位模式的匹配