Cisco路由-映射多个ACL匹配(逻辑和)
我很难配置一个包含多个匹配的路线图。问题是,这两种匹配标准都是针对ACL的,但是ACL不同。
我想做的是
route-map TEST permit 10
match ip address 100
match ip address 110
set vrf TESTVRF我期待以上的是和操作的比赛要求。
但是,当我发布show时,它会变成
route-map TEST permit 10
match ip address 100 110
set vrf TESTVRF这是Cisco语法中的OR操作。
问题是,如何在路径图中和操作中进行多个ACL匹配?谢谢。
回答 3
Server Fault用户
发布于 2012-02-13 13:13:30
在我看来,最简单的方法是设置一个包含所有需要的匹配的access-list,并将其放在路线图中。
编辑
免责声明:我只是在猜测。
您可以尝试这样做,假设源为access-list 100,目的地为access-list 110:
在这里,您恢复了access-lists的逻辑:
access-list 100 deny ip 10.0.0.0 255.255.255.0 any
access-list 100 permit any
access-list 110 deny ip any 192.168.0.0 255.255.255.0
access-list 110 permit any然后在您的deny上使用route-map (因此,如果access-list允许,则规则将失败):
route-map TEST deny 10
match ip address 100
route-map TEST deny 20
match ip address 110
route-map TEST permit 30
set vrf TESTVRF这背后的逻辑是:
if source_address is not 10.0.0.0/24 {
fail
} else {
if destination_address is not 192.168.0.0/24 {
fail
} else {
set vrf TESTVRF
}
}基本上,它首先检查源是否被允许(通过access-list 100),如果允许,则检查目标是否被允许(access-list 101),最后检查两者是否都被允许设置vrf。
然后,您可以很容易地允许N个不同的源网络在access-list 100和M不同的目的网络在access-list 101。
Server Fault用户
发布于 2012-02-13 13:35:20
如果你不能有一个单一的访问列表,你可以只使用路线地图号码有一个“或”条件。
route-map TEST permit 10
match ip address 100
set vrf TESTVRF
route-map TEST permit 20
match ip address 110
set vrf TESTVRFServer Fault用户
发布于 2019-10-24 09:13:54
我认为你需要用对象组代替。单靠路线图,似乎是不可能实现的。
它取决于您拥有的设备,它可能支持也可能不支持。它可能需要升级ios,或者根本不支持。
例如,对象组网络src 1.1.1.0/24
对象组网络dst 2.2.2.0/24
https://serverfault.com/questions/359537
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号