在OSPF中使用基本ACL过滤路由信息示例

1、ACL的基本原理。

        ACL由一系列规则组成,通过将报文与ACL规则进行匹配,设备可以过滤出特定的报文。设备支持软件ACL和硬件ACL两种实现方式。

2、ACL的组成。

  • ACL名称:通过名称来标识ACL,就像用域名代替IP地址一样,更加方便记忆。这种ACL,称为命名型ACL。

    命名型ACL一旦创建成功,便不允许用户再修改其名称。

    仅基本ACL与基本ACL6,以及高级ACL与高级ACL6,可以使用相同的ACL名称;其他类型ACL之间,不能使用相同的ACL名称。

    命名型ACL实际上是“名字+数字”的形式,可以在定义命名型ACL时同时指定ACL编号。如果不指定编号,则由系统自动分配,设备为其分配的编号是该类型ACL可用编号中取值范围内的最大值。

  • ACL编号:用于标识ACL,也可以单独使用ACL编号,表明该ACL是数字型。

    不同的ACL类型使用不同的ACL编号取值标识。

  • 规则:即描述报文匹配条件的判断语句。

    • 规则编号:用于标识ACL规则。可以自行配置规则编号,也可以由系统自动分配。

      ACL规则的编号范围是0~4294967294,所有规则均按照规则编号从小到大进行排序。系统按照规则编号从小到大的顺序,将规则依次与报文匹配,一旦匹配上一条规则即停止匹配。

    • 动作:报文处理动作,包括permit/deny两种,表示允许/拒绝。

    • 匹配项:ACL定义了极其丰富的匹配项。除了图中中的源地址和生效时间段,ACL还支持很多其他规则匹配项。例如,二层以太网帧头信息(如源MAC、目的MAC、以太帧协议类型),三层报文信息(如目的IP地址、协议类型),以及四层报文信息(如TCP/UDP端口号)等。

    3、ACL的实现方式。

目前设备支持的ACL,有以下两种实现方式。

  • 软件ACL:针对与本机交互的报文(必须上送CPU处理的报文),由软件实现来过滤报文的ACL,比如FTP、TFTP、Telnet、SNMP、HTTP、路由协议、组播协议中引用的ACL。

  • 硬件ACL:针对所有报文,通过下发ACL资源到硬件来过滤报文的ACL,比如流策略、基于ACL的简化流策略、用户组以及为接口收到的报文添加外层Tag功能中引用的ACL。

两者主要区别在于:

  • 过滤的报文类型不同:软件ACL用来过滤与本机交互的报文,硬件ACL可以用来过滤所有报文。

  • 报文过滤方式不同:软件ACL是被上层软件引用来实现报文的过滤,硬件ACL是被下发到硬件来实现报文的过滤。通过软件ACL过滤报文时,会消耗CPU资源,通过硬件ACL过滤报文时,则会占用硬件资源。通过硬件ACL过滤报文的速度更快。

  • 对不匹配ACL的报文的处理动作不同:当使用软件ACL时,如果报文未匹配上ACL中的规则,设备对该报文采取的动作为deny,即拒绝报文通过;当使用硬件ACL时,如果报文未匹配上ACL中的规则,设备对该报文采取的动作为permit,即允许报文通过。

 4、实验案例。

设备名

接口

对应的VLANIF

IP地址

S1

GE0/0/1

VLANIF10

192.168.1.1/24

S2

GE0/0/1

VLANIF10

192.168.1.2/24

S2

GE0/0/2

VLANIF20

192.168.2.1/24

S3

GE0/0/1

VLANIF20

192.168.2.2/24

实验拓扑:

1、S1配置。

##基础IP地址配置
[S1]vlan 10
[S1-vlan10]q
[S1]interface Vlanif 10
[S1-Vlanif10]ip add 192.168.1.1 24 
[S1-Vlanif10]q
[S1]int g0/0/1
[S1-GigabitEthernet0/0/1]port link-type access 	
[S1-GigabitEthernet0/0/1]port default vlan 10

配置OSPF宣告网络

[S1]ospf
[S1-ospf-1]area 0
[S1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255 
[S1-ospf-1-area-0.0.0.0]q
[S1-ospf-1]q

配置5条静态路由,并将它们引入到OSPF中

[S1]ip route-static 172.16.16.0 24 NULL 0
[S1]ip route-static 172.16.17.0 24 NULL 0
[S1]ip route-static 172.16.18.0 24 NULL 0
[S1]ip route-static 172.16.19.0 24 NULL 0
[S1]ip route-static 172.16.20.0 24 NULL 0
[S1]ospf
[S1-ospf-1]import-route static 
[S1-ospf-1]q

在S2上查看路由表可以发现拥有5条静态,所有需要配置路由发布策略只允许17.0、18.0、19.0网段通过 

[S1]acl number 2002
[S1-acl-basic-2002]rule permit source 172.16.17.0 0.0.0.255
[S1-acl-basic-2002]rule permit source 172.16.18.0 0.0.0.255
[S1-acl-basic-2002]rule permit source 172.16.19.0 0.0.0.255
[S1-acl-basic-2002]quit
[S1]ospf
[S1-ospf-1]filter-policy 2002 export static
[S1-ospf-1]quit

 此时再查看就只能看到3条路由了

2、S2配置。

##基础IP地址配置
[S2]vlan batch 10 20
[S2]interface Vlanif 10 
[S2-Vlanif10]ip add 192.168.1.2 24 
[S2-Vlanif10]q
[S2]vlan 20
[S2-vlan20]q
[S2]interface Vlanif 20
[S2-Vlanif20]ip add 192.168.2.1 24 
[S2-Vlanif20]q
[S2]int g0/0/1
[S2-GigabitEthernet0/0/1]port link-type access 
[S2-GigabitEthernet0/0/1]port default vlan 10
[S2-GigabitEthernet0/0/1]q
[S2]int g0/0/2
[S2-GigabitEthernet0/0/2]port link-type access 
[S2-GigabitEthernet0/0/2]port default vlan 20
[S2-GigabitEthernet0/0/2]q

配置OSPF宣告网络

[S2]ospf
[S2-ospf-1]area 0 
[S2-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[S2-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[S2-ospf-1-area-0.0.0.0]q
[S2-ospf-1]q

 3、S3配置。

##基础IP地址配置
[S3]vlan 20
[S3-vlan10]q
[S3]interface Vlanif 20 
[S3-Vlanif10]ip add 192.168.2.2 24
[S3-Vlanif10]q
[S3]int g0/0/1
[S3-GigabitEthernet0/0/1]port link-type access 
[S3-GigabitEthernet0/0/1]port default vlan 10
[S3-GigabitEthernet0/0/1]q

配置OSPF宣告

[S3]ospf
[S3-ospf-1]area 0
[S3-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[S3-ospf-1-area-0.0.0.0]q
[S3-ospf-1]q

S3同样需要配置路由策略只允许18.0通过

[S3]acl number 2003
[S3-acl-basic-2003]rule permit source 172.16.18.0 0.0.0.255
[S3-acl-basic-2003]quit
[S3] ospf
[S3-ospf-1]filter-policy 2003 import
[S3-ospf-1]quit

  4、实验结果。

S2和S3的路由表只允许部分网段通过

S2:

S3:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/197557.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

SQL数据库知识点总结归纳

前后顺序可以任意颠倒,不影响库中的数据关系 关系数据库的逻辑性强而物理性弱,因此关系数据库中的各条记录前后顺序可以任意颠倒,不影响库中的数据关系 一名员工可以使用多台计算机(1:m),而一台计算机只能被一名员工使用(1:1),所以员工和计算机两个实体之间是一对多…

数字发射链路噪声系数核算方法、实例与matlab程序

前言 发射链路各器件噪声性能较差会影响发射信号信噪比,从而导致较高的误码率,通过定量的分析发射链路噪声系数与信噪比恶化的关系,能够在设计过程中进行合理的评估和处理。 一、发射链路噪声 发射链路的噪声从特性上可以大致分为&#xff1…

【专题】【中值定理-还原大法】

1)构造辅助函数 2)罗尔定理: 闭区间连续,开区间可导 F(a)F(b) 3)F‘(ξ)0,原命题得证 极限保号性:

FacetWP WordPress网站高级筛选过滤插件(含所有扩展)

点击阅读FacetWP WordPress网站高级筛选过滤插件原文 FacetWP WordPress网站高级筛选过滤插件向电子商务网站、资源库、搜索页面等添加分面搜索。FacetWP 的过滤元素(称为 facets)动态调整以适应用户输入。这有助于防止出现“未找到结果”,从…

hive数据库查看参数/hive查看当前环境配置

文章目录 一、hive查看当前环境配置命令 在一次hive数据库执行命令 set ngmr.exec.modecluster时,想看一下 ngmr.exec.mode参数原先的值是什么,所以写一下本篇博文,讲一下怎么查看hive中的参数。 一、hive查看当前环境配置命令 set &#…

MSSQL注入的入门讲解

MSSQL注入是一种网络安全漏洞,其方法是攻击者在Web应用程序的输入框中插入恶意的SQL代码,进而篡改原始的SQL查询语句,以实现攻击者的目标。例如,攻击者可能会试图获取数据库中的敏感信息或执行一些未经授权的操作。 一、MSSQL注入…

Java中熟练掌握BigDecimal运用-工具类

1、BigDecimal介绍 浮点数值不适用于无法接受舍入误差的计算当中,比如金融计算,所以建议用BigDecimal计算金 额问题。 Java在java.math包中提供的API类BigDecimal,用来对超过16位有效位的数进行精确的运算。双 精度浮点型变量double可以处…

『亚马逊云科技产品测评』活动征文|基于亚马逊EC2云服务器安装Prometheus数据可视化监控

授权声明:本篇文章授权活动官方亚马逊云科技文章转发、改写权,包括不限于在 Developer Centre, 知乎,自媒体平台,第三方开发者媒体等亚马逊云科技官方渠道 亚马逊EC2云服务器(Elastic Compute Cloud)是亚马…

二、设置三台虚拟机的内存、MAC地址、IP地址

目录 1、配置内存 2、配置MAC地址 2.1 配置node2的MAC地址

【Spark 基础】-- 序列化和反序列化

一、前言 关于序列化和反序列化的定义,在这篇文章中有详细介绍,此处简要说明: 序列化:将对象写入到 IO 流中 反序列化:从 IO 流中恢复对象 我们也可以借助下图来理解序列化和反序列化的过程。 二、Spark 的序列化器 Spark 提供了 2 个序列化库 (Java serializati…

Notepad++ 安装TextFx插件失败

据说TextFx插件是Notepad常用插件之一;有很多格式化代码的功能;下面安装一下; 插件管理里面看一下,没有这个TextFx; 根据资料,先安装NppExec; 然后下一个5.9老版本的Notepad,如下图…

二叉树(判断是否为平衡二叉树)

题目(力扣): 观察题目,发现最重要的条件就是,两颗子树的高度差的绝对值不超过1,我们就可以用递归将所有左子树和右子树都遍历一个,求出他们的高度差,若差值 > 1,则返回…

分布式搜索引擎elasticsearch(一)

5.1 初始elasticsearch elasticsearch是一款非常强大的开源搜索引擎,可以帮助我们从海量数据中快速找到需要的内容。 elasticsearch是elastic stack的核心,负责存储、搜索、分析数据。 5.1.1正向索引 5.1.2elasticsearch采用倒排索引: 文档(document):每条数据就是一个…

Word 在页眉或页脚中设置背景颜色

目录预览 一、问题描述二、解决方案三、参考链接 一、问题描述 如何在word的页眉页脚中设置背景色? 二、解决方案 打开 Word 文档并进入页眉或页脚视图。在 Word 2016 及更高版本中,你可以通过在“插入”选项卡中单击“页眉”或“页脚”按钮来进入或者…

883重要知识点

(1)程序结构分三种:顺序结构,选择结构,循环结构。 (2)该程序都要从main()开始,然后从最上面往下。 (3)计算机的数据在电脑中保存以二…

CeresPCL 拟合椭圆(2D)

文章目录 一、简介二、实现代码三、实现效果一、简介 与之前相同,我们首先需要构建我们的问题: (1)构建代价函数。假设我们得到了一组数据,也知晓该数据是用曲线方程: y = a x 3 + b x 2 + c x +

clickhouse从mysql同步数据到clickhouse的几种方式

背景 我们的业务数据一般来说都是放在Mysql中的,而我们要分析的数据一般都存放在clickhouse中,所以如何把数据从mysql同步到ck,就变成了一个必须的步骤,本文简单记录下几种同步的方式 mysql数据同步到clickhouse 方式一&#x…

供水管网PDD模型源程序matlab

function [pop5,leak1,bestobj,H,dtemp]PDDmoni(J,QL) nmaxnum100; %进化代数 popsize100; %种群大小 chromlength18;%染色体数组长度 pc0.8; %交叉概率 pm0.05; %变异概率 node_count17; %节点数 pressure zeros(popsize,node_count); %…

idea使用问题(idea相关)快捷键及窗口没有service

idea快捷键 •万能键:ALTENTER •运行当前文件:CTRLSHIFTF10 •运行上次:SHIFTF10 •以DEBUG模式运行上次:SHIFTF9 •选择运行:ALTSHIFTF10 •选择以DEBUG模式运行:ALTSHIFTF9 •搜索全部&#xff1…

SASE:网络与安全的未来之路

随着数字化时代的到来,企业和个人对网络连接和安全性的需求日益增长。传统的网络架构已经无法满足这些需求,因此,新兴的网络和安全框架SASE(Secure Access Service Edge)应运而生。本文将介绍什么是SASE,并…