网络技术笔记

ACL（访问控制列表）

• 定义：一种分类工具，也是流量和路由过滤工具。

  • 分类工具：由ACL编号名称、ACL规则和permit处理动作组成。
  • 过滤工具：由ACL编号名称、ACL规则和permit或deny处理动作组成。

• 应用：通常与以下工具配合使用：

  • filter-policy
  • traffic-filter
  • route-policy
  • 注意ACL的应用位置、端口和方向。

• 通配符掩码的使用：

  • 二进制中0位需要比较，1位不需要比较。

• 配置位置：

  • 在不影响正常流量的前提下，尽量靠近源。

• 规则：

  1. 一个ACL下可以添加多个规则。
  2. 多个规则之间是“或”的关系。
  3. 匹配顺序可以按照规则编号从小到大，或者按照掩码长度优先匹配。

• 举例：

  1. 10.10.10.0/24网段可以访问目标网络：

     rule xxx permit source 10.10.10.0 0.0.0.255
     

  2. 10.10.20.0/20网段不能访问目标网络：

     rule xxx deny source 10.10.20.0 0.0.0.255
     

  3. 10.10.30.0/24中单数主机可以访问目标网络，双数主机不能访问：

     rule xxx permit source 10.10.30.1 0.0.0.254
     rule xxx deny source 10.10.30.0 0.0.0.254
     

• 缺点：不能匹配网段范围。

地址前缀列表（IP Prefix List）

• 作用：类似ACL，但增加了网段范围匹配功能，仍可作为分类工具或过滤工具使用。

• 语法：

  ip ip-prefix <名称> index <编号> permit <地址> <掩码> greater-equal <掩码范围> less-equal <掩码范围>
  ip ip-prefix <名称> index <编号> deny <地址> <掩码> greater-equal <掩码范围> less-equal <掩码范围>
  

• 应用规则：

  1. index建议手动配置，并预留空间（类似ACL规则ID）。
  2. 第一个掩码xx表示需匹配的网段。
  3. greater-equal和less-equal建议必须配置。
  4. 若不添加范围，默认以第一个掩码值作为匹配的网段。
  5. 如果只添加greater-equal，最大掩码为32。
  6. 如果只添加less-equal，最小掩码为第一个掩码值。
  7. 不同index编号间是“或”的关系。

路由策略（Route Policy）

• 功能：

  • 用于路由管控、修改路由属性或路由分类。

• 注意事项：

  1. 同一策略下不同node之间是“或”的关系。
  2. 每个node内的If-match条件是“与”的关系。
  3. 如果未添加apply子句：
     • permit：分类。
     • deny：过滤。
  4. 如果添加了apply子句，则用于修改路由属性。

• 核心思想：

  • 在路由协议表中，通过策略筛选更优的路由放入IP路由表，控制IP路由表的条目。

策略路由（Policy Based Route，PBR）

• 特点：与路由策略不同，属于转发面。
• 功能：通过策略筛选更优的转发路径指导转发，控制的转发信息一定是IP路由表中已存在的最优路由。

其他工具与概念

1. Filter-Policy：用于IGP场景，过滤路由的发布和接收。
2. 路由汇聚：在汇聚时过滤路由。
3. DN位路由（OSPF专用）：可利用该字段避免路由计算。
4. Filter-LSA-Out Peer（OSPF专用）：在P2MP网络中针对LSA过滤。
5. Filter（OSPF专用）：针对某区域进出的LSA3进行过滤。
6. OSPF Filter-LSA-Out：针对出方向LSA的过滤。