本文详细介绍了OSPF路由选择中的ACL访问控制列表,包括其基本原理、通配符掩码和前缀访问控制列表。此外,还探讨了IPv4和IPv6的前缀列表以及路由策略Route-policy在路由过滤和属性设置中的应用。
HCIP-5.7OSPF路由选择工具学习
1、OSPF路由选择工具
1.1、ACL访问控制列表
ACL访问控制类表
- ACL是由permit或deny语句组成的一系列有顺序规则的集合,它通过匹配报文的信息实现对报文的分类。路由器根据ACL定义的规则判断哪些报文可以接收,哪些报文需要拒绝,从而实现对报文的过滤。
- ACL通过配置的一系列匹配规则对特定的数据包进行过滤,从而识别需要过滤的对象。然后,根据预先设定的策略允许或禁止相应的数据包通过。同时,ACL可以作为基础配置被其他功能模块引用。
1.1.1、ACL基本原理
- 访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
- ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
规则:即描述报文匹配条件的判断语句。 - 规则编号:用于标识ACL规则。可以自行配置规则编号,也可以由系统自动分配。ACL规则的编号范围是0~4294967294,所有规则均按照规则编号从小到大进行排序。
- 动作:包括permit/deny两种动作,表示允许/拒绝。
默认规则是允许 - 匹配项:ACL定义了极其丰富的匹配项。除了图中的源地址和生效时间段,ACL还支持很多其他规则匹配项。
| 匹配项 | 备注 |
|---|---|
| 二层以太网帧头 | 源MAC、目的MAC、以太帧协议类型。 |
| 三层报文信息 | 目的地址、协议类型。 |
| 四层报文信息 | TCP/UDP端口号。 |
- 如果规则存在,则系统会从ACL中编号由小到大的规则开始查找。
| 匹配动作类型 | 备注 |
|---|---|
| permit规则 | 匹配上了permit规则,则停止查找规则,并返回ACL匹配结果为:匹配(允许)。 |
| deny规则 | 匹配上了deny规则,则停止查找规则,并返回ACL匹配结果为:匹配(拒绝)。 |
| 未匹配 | 则继续查找下一条规则,以此循环。查到最后一条规则,报文仍未匹配上,则返回ACL匹配结果为:不匹配。 |
注意:华为的末行默认为permit all,允许所有。
NAT、VPN、PBR(策略路由)、route-policy的末行默认是deny any。
ACL访问控制类表种类:
| 列表种类 | 数字的范围 |
|---|---|
| 基本访问控制列表 basic acl | 2000—2999 |
| 高级访问控制列表 advanced acl | 3000—3999 |
| 基于接口的访问控制列表 interface-based acl | 1000—1999 |
| 基于MAC的控制列表 | 4000—4999 |
| 用户访问控制列表 | 6000-6031 |
ACL控制范围:
| 列表种类 | 控制范围 |
|---|---|
| 基本访问控制列表 | 根据数据包的源地址对数据包进行区分。 |
| 高级访问控制列表 | 可以匹配的字段有报文源IP地址、目的IP地址、IP 优先级、IP协议类型、ICMP类型、TCP源端口号/目的端口号、UDP源端口号/目的端口号等。华为不支持 |
| 基于接口的访问控制列表 | ENSP不支持 |
| 基于MAC的控制列表 | ENSP不支持 |
| 用户访问控制列表 | ENSP不支持 |
ENSP:华为提供的、可扩展的、图形化操作的网络仿真工具平台。
IPv6 ACL
| 分类 | 对应编号范围 | 应用场景 |
|---|---|---|
| 基本ACL6 | 编号范围为2000~2999。 | 可以使用报文的源IPv6地址、VPN(Virtual Private Network)实例、分片标记和时间段信息来定义规则。 |
| 高级ACL6 | 编号范围为3000~3999。 | 可以使用报文的源IPv6地址、目的IPv6地址、IPv6承载的协议类型、针对协议的特性(例如TCP的源端口、目的端口和ICMPv6协议的类型、ICMPv6 Code)等内容定义规则。 |
[
最低0.47元/天 解锁文章
扫一扫
231
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
