对流量行为的控制需求分析
1.控制网络流量可达性
路由策略
通过修改路由条目(即对接收和发布的路由进行过滤)来控制流量可达性,这种方式称为路由策略
ACL:抓取路由、数据包
访问控制列表ACL(Access Control List)是由一系列规则组成的集合,ACL通过这些规则对报文进行分类,从而使设备可以对不同类报文进行不同的处理。ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。
目的
网络中的设备相互通信时,需要保障网络传输的安全可靠和性能稳定。例如:
防止对网络的攻击,例如IP(Internet Protocol)报文、TCP(Transmission Control Protocol)报文、ICMP(Internet Control Message Protocol)报文的攻击。
对网络访问行为进行控制,例如企业网中内、外网的通信,用户访问特定网络资源的控制,特定时间段内允许对网络的访问。
限制网络流量和提高网络性能,例如限定网络上行、下行流量的带宽,对用户申请的带宽进行收费,保证高带宽网络资源的充分利用。
隐式允许
必须使用反掩码;正掩码:必须是连续的1。反掩码:可以不连续。
缺点:ACL的掩码是定长的。
| 分类 | 适用的IP版本 | 功能介绍 | 说明 |
|---|---|---|---|
| 基本ACL | IPv4 | 可使用IPv4报文的源IP地址、VPN实例、分片标记和时间段信息来定义规则。 | 基本IPv4 ACL简称基本ACL。编号范围为2000~2999。 |
| 高级ACL | IPv4 | 既可使用IPv4报文的源IP地址,也可使用目的地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP(User Datagram Protocol)源端口/目的端口号等来定义规则。 | 高级IPv4 ACL简称高级ACL。编号范围为3000~3999。 |
| 二层ACL | IPv4&IPv6 | 可根据报文的以太网帧头信息来定义规则,如根据源MAC(Media Access Control)地址、目的MAC地址、以太帧协议类型等。 | 编号范围为4000~4999。 |
| 用户ACL | IPv4 | 既可使用IPv4报文的源IP地址,也可使用目的地址、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。 | 编号范围为6000~6031。 |
| 基本ACL6 | IPv6 | 可使用IPv6报文的源IP地址、分片标记和时间段信息来定义规则。 | 基本IPv6 ACL简称基本ACL6。编号范围为2000~2999。 |
| 高级ACL6 | IPv6 | 可以使用IPv6报文的源地址、目的地址、IP承载的协议类型、针对协议的特性(例如TCP的源端口、目的端口、ICMPv6协议的类型、ICMPv6 Code)等内容定义规则。 | 高级IPv6 ACL简称高级ACL6。编号范围为3000~3999。 |
基本ACL和基本ACL6、高级ACL和高级ACL6对应的编号可以相同,二者互不影响
ACL的名称对于ACL全局唯一,但允许基本ACL与基本ACL6,高级ACL与高级ACL6使用相同的名称。
ACL的匹配顺序
一个ACL可以由多条“deny | permit”语句组成,每一条语句描述一条规则,这些规则可能存在重复或矛盾的地方(一条规则可以包含另一条规则,但两条规则不可能完全相同)。
设备支持两种匹配顺序,即配置顺序(config)和自动排序(auto)。当将一个数据包和访问控制列表的规则进行匹配的时候,由规则的匹配顺序决定规则的优先级,ACL通过设置规则的优先级来处理规则之间重复或矛盾的情形。
配置顺序
配置顺序按ACL规则编号(rule-id)从小到大的顺序进行匹配。
自动排序
自动排序(auto)使用“深度优先”的原则进行匹配。
“深度优先”即根据规则的精确度排序,匹配条件(如协议类型、源和目的IP地址范围等)限制越严格越精确。例如可以比较地址的通配符,通配符越小,则指定的主机的范围就越小,限制就越严格。
若“深度优先”的顺序相同,则匹配该规则时按rule-id从小到大排列。
ACL对分片报文的支持
设备支持通过ACL对分片报文进行三层(IP层)匹配的包过滤功能。
在ACL规则中,可以配置该ACL规则对所有分片报文有效;可以配置该规则仅对非首片分片报文有效;也可以配置规则对所有报文均有效。
针对网络攻击者构造分片报文进行流量攻击的情况,可以配置ACL规则仅对非首片分片报文有效,从而避免因过滤掉其他非分片报文而影响业务的正常运行,也可防止设备因不处理非首片分片报文而达不到防范分片报文攻击的目的。
ACL的应用场景
在路由中使用ACL过滤路由信息; 在QoS中使用ACL进行流分类
在防火墙中使用ACL; 在IPSec中使用ACL
IP-prefix:
前缀列表的最大的好处可以同时匹配前缀和掩码范围。
地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器,可在各路由协议发布和接收路由时单独使用。
每个地址前缀列表可以包含多个索引(index),每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配,任意一个节点匹配成功,将不再检查其他节点。若所有节点都匹配失败,路由信息将被过滤。
根据匹配的前缀不同,前缀过滤列表可以进行精确匹配,也可以进行在一定掩码长度范围内匹配。
掩码是不定长的
当IP地址为0.0.0.0时表示通配地址,表示掩码长度范围内的所有路由都被Permit或Deny。
隐式拒绝
缺点:只能过滤路由,不能过滤数据包。
私网地址:10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
Filter-policy:在协议进程下进行过滤
Filter-policy能够对接收或发布的路由进行过滤,可应用于RIP、OSPF、BGP等协议。
Route-policy:在不同路由协议间
路由策略工具,它可以灵活地与ACL、IP-Prefix List、as-path-filter等工具配合使用。
Route-policy由若干个node构成,node之间是“或”的关系,且每个node下可以有若干个if-match和apply子句。If-match之间“与”的关系。
- 抓取路由
- 写路由策略,匹配抓取路由
- 在路由进程下将其他路由协议引入到本协议时挂上route-policy
策略路由
直接通过依据用户制定的策略进行转发,且该策略优于路由转发表,这种方式层位策略路由。
进程号是一个本地概念,只对本地有意义。
策略路由优于全局路由。
策略路由与路由策略(Routing Policy)存在以下不同:
策略路由的操作对象是数据包,在路由表已经产生的情况下,不按照路由表进行转发,而是根据需要,依照某种策略改变数据包转发路径。
路由策略的操作对象是路由信息。路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。
优点:
• 可以根据用户实际需求制定策略进行路由选择,增强路由选择的灵活性和可控性。
• 可以使不同的数据流通过不同的链路进行发送,提高链路的利用效率。
• 在满足业务服务质量的前提下,选择费用较低的链路传输业务数据,从而降低企业数据服务的成本。
分类:
本地策略路由:本地策略路由仅对本机下发的报文进行处理,对转发的报文不起作用。
接口策略路由:口策略路由只对转发的报文起作用,对本地下发的报文(比如本地的Ping报文)不起作用。
智能策略路由:智能策略路由是基于业务需求的策略路由,通过匹配链路质量和网络业务对链路质量的需求,实现智能选路。
来源:CSDN
作者:Wakeup�
链接:https://blog.csdn.net/WluoW/article/details/90717512