Cisco IOS中的IPv6通配符匹配可能吗?
Facebook的IPv6地址方案非常聪明,但是让我想到了ACL,是否有可能编写与之匹配的Cisco IOS IPv6 ACL?在IPv4中,您可以匹配一个中间的八位位组,例如10.xxx.10.xxx,以便用“忽略”命中任何“ x”。我认为这在IPv6中是不可能的,至少从IOS 15.1起是不可行的。 在我的示例中,由于Facebook很聪明,因此可以轻松地在FACE:B00C上进行匹配。这样就简化了,因为无需查找分配的块,我就可以在该范围内进行匹配。 2A03:2880:F000:[0000-FFFF]:FACE:B00C :: / 96 显而易见的正常方法是在2A03:2880:F000 :: // 48上进行匹配,但是不幸的是,我不确定FB是否具有较大范围(可能确实如此)。因此,在这种特殊情况下,如果我可以仅在FACE:B00C部分进行匹配,则可以匹配他们正在使用的所有内容,假设它们不会继续前进到FACE:B00D 由于无法在IOS for和IPv6 ACL中输入通配符掩码,因此我认为您无法执行此操作,但是我很好奇是否有人有一个有趣的解决方法。我认为了解这一点将很有用,因为在某些时候,我可能仅由于DDoS或激进的流量而需要过滤一个子块,而又不想为某个大型提供程序阻塞整个/ 32。 另外,这可能允许基于策略的流量重定向或优先级。如果我发现广告位于不同的块中,则可以对它们进行QoS调整,例如,对于低带宽,拥塞的卫星链路来说,这是一个不错的功能。 编辑:澄清一下。在某些情况下,我需要阻止或允许大范围内的某些范围(例如/ 32)。这些可能会有些连续,而不是数百个条目,通配符可能会匹配其中的大部分。这也可以按我可以路由所有10.x.10.0块的方式用于流量工程,其中如果x为奇数,则它沿一条路线进行运动,甚至经过另一条路线。 另一个示例是DDoS,其中使用拼写黑客的组名的模式来欺骗IPv6源IP。这将至少发生一次,能够对其进行过滤将是一件很不错的事情。 紧凑的ACL更干净,但并不总是更易于管理。这些东西可能是好主意或坏主意/做法,在这里并不是要争辩,只是试图掌握我拥有的工具与可能要创造的工具。