在企業網絡的裝置通信中,常面臨一些非法流量通路的安全性及流量路徑不優等問題,故為保證資料通路的安全性、提高鍊路帶寬使用率,就需要對網絡中的流量行為進行控制,如控制網絡流量可達性、調整網絡流量路徑等。而當面對更加複雜、精細的流量控制需求時,就需要靈活地使用一些工具來實作,本課程将主要介紹一些有關流量控制的常用工具及其使用場景。
1.acl應用場景
acl可以通過定義規則來允許或拒絕流量的通過。
acl可以根據需求來定義過濾的條件以及比對條件後所執行的動作。
1.2 acl分類
1.3 acl規則
每個acl可以包含多個規則,rta根據規則來對資料流量進行過濾。
指令配置:
[rta]acl 2000
[rta-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255
[rta]interface gigabitethernet 0/0/0
[rta-gigabitethernet 0/0/0]traffic-filter outbound acl 2000
配置确認檢視指令:
[rta]acl 3000
[rta-acl-adv-3000]rule deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0.0.0.0 destination-port eq 21
[rta-acl-adv-3000]rule deny tcp source 192.168.2.0 0.0.0.255 destination 172.16.10.2 0.0.0.0
[rta-acl-adv-3000]rule permit ip
[rta-gigabitethernet 0/0/0]traffic-filter outbound acl 3000
配置驗證:
本例要求通過acl來實作主機a和主機b分别使用不同的公網位址池來進行nat轉換。
1.配置指令:
[rta]nat address-group 1 202.110.10.8 202.110.10.15
[rta]nat address-group 2 202.115.60.1 202.115.60.30
[rta-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[rta-acl-basic-2000]acl 2001
[rta-acl-basic-2001]rule permit source 192.168.2.0 0.0.0.255
[rta-acl-basic-2001]interface gigabitethernet0/0/0
[rta-gigabitethernet0/0/0]nat outbound 2000 address-group 1
[rta-gigabitethernet0/0/0]nat outbound 2001 address-group 2
需求:當内網資料經過ar1時,需要過濾24位網段中,所有奇數ip位址的主機,不能通路8.8.8.8
當内網資料經過ar1時,需要過濾24位網段中,所有偶數ip位址的主機,不能通路9.9.9.9
1.用pc1當内網來ping8.8.8.8和9.9.9.9 此時pc1的ip位址為192.168.1.1(奇數)要求不能通路8.8.8.8
2.用pc1當内網來ping8.8.8.8和9.9.9.9 此時pc1的ip位址為192.168.1.2(偶數)要求不能通路9.9.9.9
怎麼來區分奇偶數 區分的是主機而不是路由
前面這三組是不變的,acl通配符 0代表精确比對1代表随機
192.168.1.0000 0001(二進制)最後一位為0代表偶數 奇數就修改為1最後一位
0. 0.0.1111 1110
192.168.1.1 0.0.0.254 奇數
192.168.1.0 0.0.0.254 偶數
配置完ip位址後,配置進階acl因為涉及到目的ip
之後挂接到接口下 來做應用配置
ar1:ip route-static 0.0.0.0 0.0.0.0 12.1.1.2
ar2:ip route-static 0.0.0.0 0.0.0.0 12.1.1.1
此時在ar2上建立兩個環回接口
先測試pc可以ping通ar2上環回接口
此時pc1的ip位址為192.168.1.1(奇數)奇數不能通路8.8.8.8,但可以ping通9.9.9.9
測試
此時可以看到 當pc的ip位址為奇數時可以通路9.9.9.9 但不可以通路8.8.8.8
當把pc的ip位址改為192.168.1.2(偶數)時可以通路8.8.8.8,但不能通路9.9.9.9
測試:
配置 在r1上:
acl number 3000
rule 5 deny ip source 192.168.1.1 0.0.0.254 destination 8.8.8.8 0 限制奇數不可以通路8.8.8.8 偶數可以
rule 10 deny ip source 192.168.1.0 0.0.0.254 destination 9.9.9.9 0 限制偶數不可以通路9.9.9.9 奇數可以
此時不用 permit any 預設放行所有 acl在接口上做資料封包的過濾不需要放行所有 預設放行
此時寫完了之後在接口上挂接此acl;
在g0/0/0:traffic-filter inbound acl 3000
此時來驗證一下
pc位址為192.168.1.1(奇數)ping不通8.8.8.8 可以ping通9.9.9.9
pc位址為192.168.1.2(偶數)ping不同9.9.9.9可以ping通8.8.8.8
acl的缺陷:無法比對掩碼
此時acl隻能比對字首,對于掩碼來說沒有這功能 這時候就用到字首清單了