Access List

访问列表(Access List)是用于基于IPv4/IPv6地址 + 掩码的prefix进行路由过滤的简单列表。

配置方法

IPv4:
config router access-list
    edit <name>
        config rule
            edit <id>
                set action {permit | deny}
                set prefix <IPv4_address>
                set wildcard <wildcard_filter>
                set exact-match {enable | disable}
            next
        end
    next
end

IPv6:
config router access-list6
    edit <name>
        config rule
            edit <id>
                set action {permit | deny}
                set prefix <IPv6_address>
                set exact-match {enable | disable}
            next
        end
    next
end
  • action {permit | deny}:动作是允许还是拒绝路由条目。
  • prefix <IPv4_address>:IPv4路由的前缀 + 掩码,如10.10.1.0/24。该配置与wildcard互斥。
  • wildcard <wildcard_filter>:以通配符掩码(反掩码)方式匹配路由,如10.0.104.0 0.255.0.255(匹配掩码为1的位,为0的位忽略),该配置与prefix互斥。
  • exact-match {enable | disable}:是否严格匹配,如果开启严格匹配,只有prefix和wildcard(掩码)完全相同的路由会匹配此Access List;如果关闭严格匹配,大于该掩码的CIDR路由也会匹配,默认关闭(仅在使用prefix模式时生效)。

引用Access List

被RIP引用

config router rip
    config distribute-list
        edit <id>
            set direction {in | out}
            set listname <string>
        next
    end
    config offset-list
        edit <id>
            set direction {in | out}
            set access-list <string>
            set offset <integer>
        next
    end
end
  • listname <string>:引用Access List或Prefix List用于出/入方向路由过滤。
  • access-list <string>:针对Access List匹配的路由修改路由的跳数(这里Access List中的动作permit/deny表示匹配/不匹配)。

被OSPF引用

config router ospf
    set distribute-list-in <string>
    config distribute-list
        edit <id>
            set access-list <string>
            set protocol {connected | static | rip}
        next
    end
end
  • distribute-list-in <string>:入方向引用Access List过滤路由。
  • access-list <string>:发布路由时引用Access List过滤路由。

被BGP引用

config router bgp
    config neighbor
        edit <ip>
            set distribute-list-in <string>
            set distribute-list-in6 <string>
            set distribute-list-in-vpnv4 <string>
            set distribute-list-out <string>
            set distribute-list-out6 <string>
            set distribute-list-out-vpnv4 <string>
        next
    end
end
  • distribute-list-in <string>:入方向引用Access List过滤IPv4路由。
  • distribute-list-in6 <string>:入方向引用Access List过滤IPv6路由。
  • distribute-list-in-vpnv4 <string>:入方向引用Access List过滤VPNv4路由。
  • distribute-list-out <string>:出方向引用Access List过滤IPv4路由。
  • distribute-list-out6 <string>:出方向引用Access List过滤IPv6路由。
  • distribute-list-out-vpnv4 <string>:出方向引用Access List过滤VPNv4路由。

被Route Map引用

被Route Map引用时,Access List中的动作permit/deny表示匹配/不匹配,而不是允许/禁用。
config router route-map
    edit <name>
        config rule
            edit <id>
                set match-ip-address <string>
                set match-ip6-address <string>
                set match-ip-nexthop <string>
                set match-ip6-nexthop <string>
            next
        end
    next
end
  • match-ip-address <string>:引用Access List匹配IPv4路由条目。
  • match-ip6-address <string>:引用Access List匹配IPv6路由条目。
  • match-ip-nexthop <string>:引用Access List匹配IPv4路由下一跳。
  • match-ip6-nexthop <string>:引用Access List匹配IPv6路由下一跳。

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2024-01-25 16:25:21

results matching ""

    No results matching ""