1.产生背景
a.保证数据访问的安全性
b.提高链路带宽利用率
c.流量路径不优
2.解决方案:
解决方案一:路由策略:可通过修改路由条目(即对接收和发布的路由进行过滤)来控制流量可达性
解决方案二:流量过滤:可使用Traffic-Filter工具对数据直接进行过滤
3.路由策略工具
a.可利用Filter-Policy能够对接收或发布的路由进行过滤,可应用于ISIS、OSPF、BGP等协议
配置思路:
首先使用ACL或IP-Prefix List工具来匹配目标流量;
然后在协议视图下,利用Filter-Policy向目标流量发布策略
b.可利用Route-Policy工具,在RTA引入直连路由时对路由进行过滤
配置思路:
首先使用ACL或IP-Prefx List工具来匹配目标流量
在协议视图下,利用Route-Policy对引入的路由条目进行控制
3.1 ACL(访问控制列表)
1.分类:
基本ACL:主要基于源地址、分片标记和时间段信息对数据包进行分类定义 编号范围为2000-2999
高级ACL:可以基于源地址、目的地址、源端口号、目的端口号、协议类型、优先级、时间段等信息对数据包进行更为细致的分类定义,编号范围为3000-3999
二层ACL:主要基于源MAC地址、目的MAC地址和报文类型等信息对数据包进行分类定
2.匹配原则:
一个ACL可以由多条“deny|permit”语句组成,每一条语句描述了一条规则。设备收到数据流量后,会逐条匹配ACL规则,看其是否匹配。如果不匹配,则继续匹配下一条。一旦找到一条匹配的规则,就会执行规则中定义的动作,且不再继续与后续规则进行匹配;如果找不到匹配的规则,则设备会对报文直接进行转发
3.匹配顺序:
a.步长匹配原则
基于步长来进行匹配,步长越小,越优先匹配,默认步长为5
b.深度优先匹配
基于ACL限制参数的多少进行匹配,限制参数越多,越优先匹配
3.2 IP-Prefix List
1.匹配原则:
前缀过滤列表由IP地址和掩码组成,IP地址可以是网段地址或者主机地址, 掩码长度的配置范围为0~32匹配的时候将根据序列号(index)从小到大进行匹配当所有前缀过滤列表均未匹配时,缺省情况下,存在最后一条默认匹配模式为deny。当引用的前缀过滤列表不存在时,则默认匹配模式为permit