赞
踩
大家好,我是小杜,不知不觉的已经学习了一个月了,从一个只知道些基础的“菜鸟”到现在的"普鸟",争取尽快进化成“老鸟”。
今天继续对相关的行为管理方面的学习,相信以后会经常遇到这种问题,需要完全熟悉的掌握。话不多说,开始今天对RSR路由设备的行为管理学习。
一、ACL过滤
1、配置acl规则(一定要先配置ACL,再调用)
ip access-list extended 100
10 deny ip 192.168.10.0 0.0.0.255 any //拒绝源地址为192.168.10.0/24的所有流量
20 deny ip any 114.114.114.114 0.0.0.0 //拒绝所有访问114.114.114.114的流量
30 permit ip any any //最后一定要允许所有!!!
2、接口下调用acl
interface GigabitEthernet 0/0
ip access-group 100 in //可以调用在接口in方向和out方向
二、流过滤(全局acl)
1、配置acl规则(一定要先配置ACL,再调用)
ip access-list extended 100
10 deny ip 192.168.10.0 0.0.0.255 any //拒绝源地址为192.168.10.0/24的所有流量
20 deny ip any 114.114.114.114 0.0.0.0 //拒绝所有访问114.114.114.114的流量
30 permit ip any any //最后一定要允许所有!!!
2、全局调用acl
ip session filter 100
或者:ip fpm session filter 100
RSR在默认情况下,是先建立会话流表再去匹配ACL,也就是说,就算在接口配置 deny ip any any 的ACL,这个时候一个数据包来到接口后,还会先建立一条会话,再去匹配ACL被丢弃。那么这种特性就会有一个问题,如果遇到大量的伪源IP攻击,或者是端口扫描时,虽然有ACL拒绝了这种报文的转发,但是还是会把流表给占满,而导致正常的数据无法建流而被丢弃。ip session filter 就是为解决以上问题而开发的,ip session filter的原理就是,在建立流表前去匹配调用的ACL,如果被ACL拒绝就不会再去建流了。
注意:
1、被ip session filter调用的ACL是全局生效的,而且是在建立流表前匹配,也就是说被此ACL拒绝的数据不会建流而直接被丢弃,所以一定要确保该放通的资源都放通后再启用。
2、ip session filter对设备本身所发出的数据是不生效的。
3、通过IP session filter的流量,回来时不会再匹配ip session filter所调用的ACL,也就是说能出去就能回来。
三、策略路由
1、创建策略路由条目
Router(config)#route-map route_map_name [permit | deny] sequence
route_map_name:命名策略路由
permit:对符合条件的数据包实施策略
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。