【IT168技术】通常，ACL是用来过滤网络中的流量，是控制访问的一种网络技术手段，适用于所有的被路由协议，如IP、IPX、AppleTalk等，信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。

　　本篇给大家介绍的是引用ACL做路由过滤未过滤掉一条聚合路由的故障是如何解决的。

　　一、组网环境

　　假设路由器A和路由器B是网络中的两台路由器，在路由器A上配置路由策略过引入特定的路由，引用ACL做路由过滤时，未能过滤掉一条聚合路由，发现多引入了一条路由。

　　二、故障分析

　　1、在路由器A上执行display current-configuration，查看路由策略的配置情况，发现路由策略中引用的策略匹配条件是ACL，ACL的配置如下：

　　<路由器A> display current-configuration

　　acl 2001

　　rule 10 permit source 134.128.0.0 0.0.255.255

　　引入的两条路由的IP前缀为134.128.0.0/11和134.128.0.0/16，路由策略引用的ACL只支持标准ACL，即只包含源IP地址和掩码，对于标准ACL，不考虑IP前缀长度，只要前缀号匹配，就认为匹配。所以两条路由都被匹配到而被引入。

　　三、故障处理

　　在路由器路由器A执行以下命令：

　　1、执行system-view，进入系统视图。

　　2、执行ip ip-prefix huawei 134.128.0.0 0.0.255.255 greater-equal 16 less-equal 16，配置IPv4地址前缀列表，将IP前缀的greater-equal和less-equal都设置为16，即只引入16位掩码的路由。

　　3、执行route-policy huawei permit node 10，创建Route-Policy的节点，并进入Route-Policy视图。

　　4、执行if-match ip-prefix huawei，匹配地址前缀列表。

　　经过上面的配置，故障得到解决，这里我们可以发现，过滤路由时，需要注意ACL和IP前缀的应用效果，需要精确确定掩码长度时，需要使用IP前缀来定义。