【实操】路由选择工具ACL
一、背景介紹
?
?
?
ACL全稱access control list,作為一種路由選擇工具更多的是應(yīng)用于路由過濾,根據(jù)ACL編號可以分為:
基礎(chǔ)訪問控制列表
高級訪問列表
指定2層接口組
[R1]acl number ?
INTEGER<2000-2999> ?Basic access-list(add to current using rules)
INTEGER<3000-3999> ?Advanced access-list(add to current using rules)
INTEGER<4000-4999> ?Specify a L2 acl group
其中基礎(chǔ)ACL只能指定源地址,高級ACL可以指定源、目的的IP地址,端口號與協(xié)議等五元組,不同于前綴列表,ACL可以過濾路由及數(shù)據(jù)包,而前綴列表僅能過濾路由條目。
?
二、實驗拓撲
?
?
?
?
如上圖所示,當啟動ospf后(步驟略),此時在R2上能看到已成功建立全毗鄰
?
但在R3上還能學(xué)習(xí)到通往1.1.1.0/24網(wǎng)段的路由?
?
創(chuàng)建一個標準的ACL
[R2]acl number 2000[R2-acl-basic-2000]rule 0 deny source 1.1.1.0 0.0.0.255 [R2-acl-basic-2000]rule 5 permit
將ACL用到R2路由器ospf進程的入方向,為什么不能是R1的出方向,下文中會回答
[R2-ospf-1]filter-policy 2000 ? ? ?
export ?Filtering outgoing routing updates ? ?
import ?Filtering incoming routing updates ? ?
此時會發(fā)現(xiàn)一個奇怪的現(xiàn)象:R2上已經(jīng)過濾掉了1.1.1.0/24網(wǎng)段?
?
但在R3上還能學(xué)習(xí)到通往1.1.1.0/24網(wǎng)段的路由?
?
盡管R3上有路由,但是此時R3卻無法ping同R1的1.1.1.0/24網(wǎng)段,原因就是R3的路由表上通往1.1.1.0/24網(wǎng)段的下一跳指向R2的23.0.0.1/24接口,但此時R2由于ACL的關(guān)系,過濾掉了1.1.1.0/24網(wǎng)段的路由,所以無法ping通,盡管R2上沒有1.1.1.0/24網(wǎng)段的路由條目,但是lsdb中卻有R1的1類lsa(1.1.1.1)
[R2]display ospf lsdb
OSPF Process 1 with Router ID 2.2.2.2
? ? Link State Database
? ? ? ? ? ? Area: 0.0.0.0Type ? ? ?LinkState ID ? ?AdvRouter ? ? ? ? ?Age ?Len ? Sequence ? MetricRouter ? ?2.2.2.2 ? ? ? ? 2.2.2.2 ? ? ? ? ? ?706 ?48 ? ?80000009 ? ? ? 1Router ? ?1.1.1.1 ? ? ? ? 1.1.1.1 ? ? ? ? ? ?757 ?60 ? ?8000000A ? ? ? 1Router ? ?3.3.3.3 ? ? ? ? 3.3.3.3 ? ? ? ? ? ?716 ?36 ? ?80000004 ? ? ? 1Network ? 23.0.0.1 ? ? ? ?2.2.2.2 ? ? ? ? ? ?706 ?32 ? ?80000003 ? ? ? 0Network ? 12.0.0.1 ? ? ? ?1.1.1.1 ? ? ? ? ? ?760 ?32 ? ?80000003 ? ? ? 0
其中就包含了1.1.1.0/24網(wǎng)段的信息?
?
所以關(guān)于ACL過濾路由的本質(zhì)就是:
- ?
- ?
- ?
- ?
- ?
- ?
- ?
- ?
- ?
- ?
- ?
- ?
- ?
- ?
- ?
- ?
- ?
- ?
- ?
ACL不會過濾lsa信息,且同一個area內(nèi)所有路由器的lsdb一致,這就解釋了為什么R3上有1.1.1.0/24網(wǎng)段的路由
ACL過濾是發(fā)生在本地路由根據(jù)lsa計算的結(jié)果上,再一次印證了鏈路狀態(tài)型協(xié)議是本地計算路由這一特性
至于為什么要配置在入方向(import),原因就是鏈路狀態(tài)型協(xié)議對外發(fā)送的lsa,他并不受ACL約束,所以配置在出方向(export)并不會產(chǎn)生實際作用
但是對于rip,BGP這種宣告路由條目的距離矢量型協(xié)議,他們對外宣告的路由會受到ACL的影響
三、掩碼、反掩碼、通配符
?
?
?
本實驗在配置時,宣告ospf接口用的是反掩碼,宣告ACL時使用的是通配符,IP地址使用的是掩碼,他們之間區(qū)別如下:?
不少資料中提到過掩碼、反掩碼、通配符的區(qū)別,甚至百度也有專門介紹三種不同的文章,但此處需要糾正一點的是:通配符全稱通配符掩碼,就是坊間所說的反掩碼,根本沒有3種類型之說,掩碼與通配符掩碼的區(qū)別為:
在掩碼中,1表示精確匹配,0表示忽略,在配置IP地址以及路由的時候,會使用掩碼
在通配符掩碼(反掩碼)中,0表示精確匹配,1表示忽略,在ospf的配置中,通過network命令進行網(wǎng)段宣告時,在acl匹配路由時會使用通配符掩碼
四、ospf接口宣告方式
?
?
?
ospf接口宣告有2種特殊宣告方式:
宣告時采用192.168.1.1 0.0.0.0,這種方式表示精確匹配到192.168.1.1這個接口,并將它在相應(yīng)的area中激活ospf
宣告時采用0.0.0.0 255.255.255.255,這種方式表示該路由器上所有接口都在相應(yīng)的area中激活ospf
通常情況下ospf的宣告方式為192.168.1.0 0.0.0.255,這種方式表明地址為192.168.1.0~255的接口都能在相應(yīng)area中激活ospf,另需說明的是:宣告ospf接口時,不理會接口IP的掩碼,只是被匹配IP地址。
總結(jié)
以上是生活随笔為你收集整理的【实操】路由选择工具ACL的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【必看】Linux 或 Windows上
- 下一篇: 【必看】Linux 系统的备份恢复