路由

对流量行为的控制需求分析 1.控制网络流量可达性 路由策略 通过修改路由条目（即对接收和发布的路由进行过滤）来控制流量可达性，这种方式称为路由策略 ACL :抓取路由、数据包 访问控制列表ACL（Access Control List）是由一系列规则组成的集合，ACL通过这些规则对报文进行分类，从而使设备可以对不同类报文进行不同的处理。ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器，在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 目的 网络中的设备相互通信时，需要保障网络传输的安全可靠和性能稳定。例如： 防止对网络的攻击，例如IP（Internet Protocol）报文、TCP（Transmission Control Protocol）报文、ICMP（Internet Control Message Protocol）报文的攻击。 对网络访问行为进行控制，例如企业网中内、外网的通信，用户访问特定网络资源的控制，特定时间段内允许对网络的访问。 限制网络流量和提高网络性能，例如限定网络上行、下行流量的带宽，对用户申请的带宽进行收费，保证高带宽网络资源的充分利用。 隐式允许 必须使用反掩码；正掩码：必须是连续的1。反掩码：可以不连续。 缺点 ：ACL的掩码是定长的。 分类 适用的IP版本

Document #: 2855035D22001 Body: [标题] 策略路由配置举例 内容提要: 本篇文章着重介绍了策略路由的配置 说明: 本篇文章着重介绍了策略路由的配置，我们以 Catalyst 3550 交换机为例，虽然 3550 是交换机，该交换机有 3 层路由功能，且我们在这里主要是参考策略路由的配置，因此假定 3550 是一台路由设备。 网络拓扑见图： 我们的策略路由在 Cat3550 上实施，假如 3550 交换机有三个出口，分别隶属于 VLAN 1, VLAN 2, VLAN3 。在我们的例子里，我们在 VLAN 2 所连接的以太口上实施策略路由。由于策略路由是针对进入路由器的数据包，因此，凡是从 VLAN 2 进入路由器的数据包，都会被路由器所配置的策略路由所检查，凡是有匹配的，则根据策略进行相应的转发；如果最终没有匹配，则数据包会进行正常的路由处理。 下面是 3550 上的配置： CAT3550 (Cisco Catalyst 3550) CAT3550# show running-config Building configuration... . . ! interface Vlan1 ip address 10.10.10.1 255.255.255.0 ! interface Vlan2 ip address 20.20.20.1 255.255

策略路由基础 “路由策略”（ Routing Policy ， RP ）与“策略路由”（ Policy-BasedRouting ， PBR ）有着本质上的区别。“路由策略”中的“路由”是名词，而“策略”是动词， 操作对象是路由信息 。“路由策略”主要用来实现路由表中的路由过滤和路由属性设置等功能。它通过改变路由属性（包括可达性）来改变网络流量所经过的路径。而“策略路由”中的“策略”是名词，“路由”却变成了动词，是基于策略的路由（这里的“路由”也是动词）， 操作对象是数据报文，是在 路由表已经产生 的情况下，不按照路由表进行转发，而是根据需要按照某种策略改变数据报文转发路径 。 一、策略路由概述 传统的路由转发原理是首先根据报文的目的地址查找路由表，然后进行报文转发。但是目前越来越多的用户希望能够在传统路由转发的基础上根据自己定义的策略进行报文转发和选路。策略路由正是这样一种可依据用户制定的策略进行报文路由选路的机制。策略路由可使网络管理者不仅能够根据报文的目的地址，而且能够根据报文的源地址、报文大小和链路质量等属性来制定策略路由，以改变报文转发路径，满足用户需求。 策略路由具有如下优点： ①可以根据用户实际需求制定策略进行路由选择，增强路由选择的灵活性和可控性 ②可以使不同的数据流通过不同的链路进行发送，提高链路的利用效率。 ③在满足业务服务质量的前提下

A –--- B 两台路由器通过E1/1接口直联，运行OSPF。 A路由器配置3条静态路由： ip route 7.0.0.0 255.0.0.0 Ethernet1/1 ip route 8.0.0.0 255.0.0.0 Ethernet1/1 ip route 9.0.0.0 255.0.0.0 Ethernet1/1 A路由器ospf的配置如下： router ospf 1 log-adjacency-changes redistribute static route-map test network 0.0.0.0 255.255.255.255 area 1 1） 在A路由器上，不配置任何ACL，只配置RouteMap，配置如下： route-map test permit 10 match ip address 1 此时ACL 1是一张空表。 配置完成之后过几秒钟，在B路由器上查看OSPF的路由表，如下： Link ID ADV Router Age Seq# Checksum Tag 7.0.0.0 192.168.1.1 52 0x80000001 0x0073BA 0 8.0.0.0 192.168.1.1 1207 0x80000001 0x0066C6 0 9.0.0.0 192.168.1.1 1207 0x80000001 0x0059D2 0

一、ACL 访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。 ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。 基于ACL规则定义方式，可以将ACL分为基本ACL、高级ACL、二层ACL等种类。 基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则，对IPv4报文进行过滤。如果只需要根据源IP地址对报文进行过滤，可以配置基本ACL。 二、应用规则 1.“3P”原则 在路由器上应用ACL时，可以为每种协议（Per Protocol）、每个方向（Per Direction） 和每个接口（Per Interface）配置一个ACL，一般称为“3P原则”。 （1）一个ACL只能基于一种协议，因此每种协议都需要配置单独的ACL。 （2）经过路由器接口的数据有进（ln）和出（Out）两个方向，因此在接口上配置访问控制列表也有进（In）和出（Out）两个方向。每个接口可以配置进方向的ACL，也可以配置出方向的ACL，或者两者都配置，但是一个ACL只能控制一个方向。 （3）一个ACL只能控制一个接口上的数据流量，无法同时控制多个接口上的数据流量。

ACL（Access Control List）访问控制列表，是由一系列规则组成的集合。 先来看下拓扑图吧~ lo0就是LoopBack0，路由器上的逻辑接口，可以模拟一台主机 配置目的： AR1上的lo0可以ping通AR3上的lo0，而lo1不可以ping通AR3上的lo0 一、 首先最基本的配置，接口IP、静态路由，使这两条链路是通的。过程，此处省略n个字。 结果，两个逻辑接口都可以ping通AR3上的逻辑接口 二、配置acl 方法有很多，这里记录两种，老师讲的，一种基本ACL，一种高级ACL 基本的ACL就是简单的阻止一个特定的source发来的数据 1、基本ACL 添加一条规则，5 是这条规则的序号，一般规则之间有步长，为以后可能添加的规则预留位置 （source 源地址 反掩码）这里，因为10.0.1.1的掩码是255.255.255.255，所以反掩码为0 进入相应地接口视图，调用规则 现在用10.0.1.1去ping 10.0.2.1 就不通啦 2、高级ACL 如果AR3只是不想让10.0.1.1 ping它，而其他的数据包都可以接收，那么就要用到高级ACL 结果： ping不通。 来源： CSDN 作者： fanf_zhang 链接： https://blog.csdn.net/flyfish5/article/details/50224445

常见的ACL分标准访问控制列表、扩展访问控制列表和命名访问控制列表，不同的场合应用不同的访问控制列表。 1、 标准访问控制列表 一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。 2、 扩展访问控制列表 扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。 3、 命名访问控制列表 所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。 ACL的应用很广泛，可以实现如下功能： 1、 允许或者拒绝信息流入（或者流出）的数据流通过特定的接口； 2、 为DDR应用定义感兴趣的数据流； 3、 过滤路由更新的内容； 4、 控制对虚拟终端的访问； 5、 提供流量控制； 实验拓扑图 实验一：标准访问控制列表 搭建实验环境 本实验目的是：拒绝PC2所在网段访问路由器R2，同时允许主机PC3访问路由器R2，整个网络配置EIGRP保证IP的连通性。 这里以R2路由器为例： R2(config)# router eigrp 1 R2(config-router)#no auto

访问控制列表 （Access Control List，ACL） 是 路由器 和 交换机 接口的指令列表，用来 控制端口 进出的数据包。ACL适用于所有的 被路由协议 ，如IP、IPX、AppleTalk等。 信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，为了保证内网的安全性，需要通过 安全策略 来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，是控制访问的一种网络技术手段。 配置ACL后，可以限制网络流量，允许特定设备访问，指定转发特定端口数据包等。如可以配置ACL，禁止局域网内的设备访问外部公共网络，或者只能使用FTP服务。ACL既可以在路由器上配置，也可以在具有ACL功能的业务软件上进行配置。 ACL是物联网中保障系统安全性的重要技术，在设备硬件层安全基础上，通过对在软件层面对设备间通信进行访问控制，使用可编程方法指定访问规则，防止非法设备破坏系统安全，非法获取系统数据。 3P原则 记住 3P 原则，您便记住了在 路由器 上应用 ACL 的一般规则。您可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL： 每种协议一个 ACL：要控制接口上的流量，必须为接口上启用的每种协议定义相应的 ACL。 每个方向一个

访问控制列表ACL 为什么需要ACL，无非是进行访问控制罢了。这种技术从路由器逐步推广到交换机上进行使用。 ACL对入站或出站的通信进行过滤。ACL的局限性是不能对路由器本身发出的通信进行过滤，因此在路由器上执行ping或trace、route命令，或者通过路由器远程连接(telnet)另外一个网络设备，应用于路由器端口的ACL命令不能过滤这些通信。 ACL基本原则: - 先匹配原则 - 排序原则 - 默认丢弃原则 我们知道ACL分为标准ACL和扩展ACL。 标准ACL 标准编号范围:1~99,1300~1999。 命令格式 Router(config) #access -list 编号 permit | deny 单个IP | {网络地址 反掩码} 激活ACL命令(进入端口应用ACL) in表示进入端口的分组(入站)，out表示端口输出的分组(出站)。 我们可以这样理解，在针对配置的设备来说，该端口经过该设备传送即为入站，反之端口远离该设备即为出站。 Router(config)#interface 端口号 Router(config- if )#ip access - group acl编号 in | out 通配符掩码的例子 IP地址 通配符掩码 匹配 0.0.0.0 255.255.255.255 匹配任何地址(关键字any) 172.16.1.1 0.0.0.0

ACL（访问控制列表） 1. ACL 原理 ACL使用包过滤技术，在路由器上读取OSI七层模型的 第3层和第4层 包头中的信息。如源地址，目标地址，源端口，目标端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。 ACl是一组规则的集合，它应用在路由器的某个接口上。对路由器接口而言，访问控制列表有两个方向。 出：已经过路由器的处理，正离开路由器的数据包。 入：已到达路由器接口的数据包，将被路由器处理。 2.访问控制列表的类型 标准访问控制列表：根据数据包的源IP地址来允许或拒绝数据包，标准访问控制列表的访问控制列表号是1-99。 扩展访问控制列表：根据数据包的源IP地址，目的IP地址，指定协议，端口和标志，来允许或拒绝数据包。扩展访问控制列表的访问控制列表号是100-199 ACL作用 ACL的作用 ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。 ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 ACL是提供网络安全访问的基本手段。如：ACL允许主机A访问人力资源网络，而拒绝主机B访问。 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。 来源： CSDN 作者：