通常,ACL是用來過濾網絡中的流量,是控制訪問的一種網絡技術手段,適用于所有的被路由協議,如IP、IPX、AppleTalk等,信息點間通信和內外網絡的通信都是企業網絡中必不可少的業務需求,需要通過安全策略來保障非授權用戶只能訪問特定的網絡資源,從而達到對訪問進行控制的目的。
本篇給大家介紹的是引用ACL做路由過濾未過濾掉一條聚合路由的故障是如何解決的。
一、組網環境
假設路由器A和路由器B是網絡中的兩臺路由器,在路由器A上配置路由策略過引入特定的路由,引用ACL做路由過濾時,未能過濾掉一條聚合路由,發現多引入了一條路由。
二、故障分析
1、在路由器A上執行display current-configuration,查看路由策略的配置情況,發現路由策略中引用的策略匹配條件是ACL,ACL的配置如下:
<路由器A> display current-configuration
acl 2001
rule 10 permit source 134.128.0.0 0.0.255.255
引入的兩條路由的IP前綴為134.128.0.0/11和134.128.0.0/16,路由策略引用的ACL只支持標準ACL,即只包含源IP地址和掩碼,對于標準ACL,不考慮IP前綴長度,只要前綴號匹配,就認為匹配。所以兩條路由都被匹配到而被引入。
三、故障處理
在路由器路由器A執行以下命令:
1、執行system-view,進入系統視圖。
2、執行ip ip-prefix huawei 134.128.0.0 0.0.255.255 greater-equal 16 less-equal 16,配置IPv4地址前綴列表,將IP前綴的greater-equal和less-equal都設置為16,即只引入16位掩碼的路由。
3、執行route-policy huawei permit node 10,創建Route-Policy的節點,并進入Route-Policy視圖。
4、執行if-match ip-prefix huawei,匹配地址前綴列表。
經過上面的配置,故障得到解決,這里我們可以發現,過濾路由時,需要注意ACL和IP前綴的應用效果,需要精確確定掩碼長度時,需要使用IP前綴來定義。
京公網安備 11010502049343號