使用filter-policy控制路由可達性
在企業網絡的設備通信中���,常面臨一些非法流量訪問的安全性及流量路徑不優等問題���,故為保證數據訪問的安全性���、提高鏈路帶寬利用率���,就需要對網絡中的流量行為進行控制�����,如控制網絡流量可達性�、調整網絡流量路徑等����。
而當面對更加復雜���、精細的流量控制需求時����,就需要靈活地使用一些工具來實現���,本課程將主要介紹一些有關流量控制的常用工具及其使用場景�。
1.控制網絡流量可達性����。
實現市場部無法訪問財務部與研發部�����,公司總部無法訪問研發部�。
如何控制網絡流量可達性�����?
解決方案一:可通過修改路由條目(即對接收和發布的路由進行過濾)來控制流量可達性���,這種方式稱為路由策略��。
解決方案二:可直接通過依據用戶制定的策略進行轉發�����,且該策略優于路由表轉發��,這種方式稱為策略路由�。
解決方案一:路由策略
可利用Filter-Policy工具對RTA向OSPF引入的路由和RTC寫入路由表的路由進行過濾
a)首先使用ACL或IP-Prefix List工具來匹配目標流量��;
b)然后在協議視圖下�,利用Filter-Policy向目標流量發布策略�����。
解法:
在RTA上:
interface GigabitEthernet0/0/0
ip address 12.1.1.1 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 10.1.1.2 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 10.1.2.2 255.255.255.0
#
interface GigabitEthernet4/0/0
ip address 10.1.3.2 255.255.255.0
ospf 1
filter-policy ip-prefix ab export direct //對引入的直連路由進行過濾
import-route direct
area 0.0.0.0
network 12.1.1.0 0.0.0.255
#
ip ip-prefix ab index 10 permit 10.1.1.0 24 //放行10.1.1.0/24
ip ip-prefix ab index 20 permit 10.1.3.0 24 //放行10.1.3.0/24
這樣下來由于路由策略的特性��,會默認拒絕掉沒有被permit的路由�,所以研發部的路由就在市場部和總部都學不到了��。
在RTC上:
interface GigabitEthernet0/0/0
ip address 12.1.2.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 10.1.4.2 255.255.255.0
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
ospf 1
filter-policy 2000 import //使用ACL 2000對財務部的路由進行過濾
area 0.0.0.0
network 10.1.4.0 0.0.0.255
network 12.1.2.0 0.0.0.255
acl number 2000
rule 5 deny source 10.1.1.0 0.0.0.255 //過濾掉財務部的路由
rule 10 permit //放行其他路由����。
這樣���。RTC就只有一個資料部的路由��,而公司總部只有財務部和資料部的路由��。就實現市場部無法訪問研發部財務部的內容�����,也實現了公司總部不能訪問研發部的動作����。
18922156670
