当前位置:   article > 正文

行为管理(锐捷路由篇)_锐捷交换机acl配置命令

锐捷交换机acl配置命令

        大家好,我是小杜,不知不觉的已经学习了一个月了,从一个只知道些基础的“菜鸟”到现在的"普鸟",争取尽快进化成“老鸟”。

        今天继续对相关的行为管理方面的学习,相信以后会经常遇到这种问题,需要完全熟悉的掌握。话不多说,开始今天对RSR路由设备的行为管理学习。

一、ACL过滤

1、配置acl规则(一定要先配置ACL,再调用)

  ip access-list extended 100

  10 deny ip 192.168.10.0 0.0.0.255 any //拒绝源地址为192.168.10.0/24的所有流量

  20 deny ip any 114.114.114.114 0.0.0.0 //拒绝所有访问114.114.114.114的流量

  30 permit ip any any        //最后一定要允许所有!!!

2、接口下调用acl

  interface GigabitEthernet 0/0

  ip access-group 100 in //可以调用在接口in方向和out方向

二、流过滤(全局acl)

1、配置acl规则(一定要先配置ACL,再调用)

   ip access-list extended 100

   10 deny ip 192.168.10.0 0.0.0.255 any //拒绝源地址为192.168.10.0/24的所有流量

   20 deny ip any 114.114.114.114 0.0.0.0 //拒绝所有访问114.114.114.114的流量

   30 permit ip any any            //最后一定要允许所有!!!

2、全局调用acl

  ip session filter 100

  或者:ip fpm session filter 100

        RSR在默认情况下,是先建立会话流表再去匹配ACL,也就是说,就算在接口配置 deny ip any any 的ACL,这个时候一个数据包来到接口后,还会先建立一条会话,再去匹配ACL被丢弃。那么这种特性就会有一个问题,如果遇到大量的伪源IP攻击,或者是端口扫描时,虽然有ACL拒绝了这种报文的转发,但是还是会把流表给占满,而导致正常的数据无法建流而被丢弃。ip session filter 就是为解决以上问题而开发的,ip session filter的原理就是,在建立流表前去匹配调用的ACL,如果被ACL拒绝就不会再去建流了。

注意:

1、被ip session filter调用的ACL是全局生效的,而且是在建立流表前匹配,也就是说被此ACL拒绝的数据不会建流而直接被丢弃,所以一定要确保该放通的资源都放通后再启用。

2、ip session filter对设备本身所发出的数据是不生效的。

3、通过IP session filter的流量,回来时不会再匹配ip session filter所调用的ACL,也就是说能出去就能回来。

三、策略路由

1、创建策略路由条目

Router(config)#route-map route_map_name [permit | deny] sequence

route_map_name:命名策略路由

permit:对符合条件的数据包实施策略

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/IT小白/article/detail/527894
推荐阅读
相关标签
  

闽ICP备14008679号