通常,ACL是用來過濾網(wǎng)絡(luò)中的流量,是控制訪問的一種網(wǎng)絡(luò)技術(shù)手段,適用于所有的被路由協(xié)議,如IP、IPX、AppleTalk等,信息點間通信和內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求,需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源,從而達到對訪問進行控制的目的。
本篇給大家介紹的是引用ACL做路由過濾未過濾掉一條聚合路由的故障是如何解決的。
一、組網(wǎng)環(huán)境
假設(shè)路由器A和路由器B是網(wǎng)絡(luò)中的兩臺路由器,在路由器A上配置路由策略過引入特定的路由,引用ACL做路由過濾時,未能過濾掉一條聚合路由,發(fā)現(xiàn)多引入了一條路由。
二、故障分析
1、在路由器A上執(zhí)行display current-configuration,查看路由策略的配置情況,發(fā)現(xiàn)路由策略中引用的策略匹配條件是ACL,ACL的配置如下:
<路由器A> display current-configuration
acl 2001
rule 10 permit source 134.128.0.0 0.0.255.255
引入的兩條路由的IP前綴為134.128.0.0/11和134.128.0.0/16,路由策略引用的ACL只支持標(biāo)準(zhǔn)ACL,即只包含源IP地址和掩碼,對于標(biāo)準(zhǔn)ACL,不考慮IP前綴長度,只要前綴號匹配,就認(rèn)為匹配。所以兩條路由都被匹配到而被引入。
三、故障處理
在路由器路由器A執(zhí)行以下命令:
1、執(zhí)行system-view,進入系統(tǒng)視圖。
2、執(zhí)行ip ip-prefix huawei 134.128.0.0 0.0.255.255 greater-equal 16 less-equal 16,配置IPv4地址前綴列表,將IP前綴的greater-equal和less-equal都設(shè)置為16,即只引入16位掩碼的路由。
3、執(zhí)行route-policy huawei permit node 10,創(chuàng)建Route-Policy的節(jié)點,并進入Route-Policy視圖。
4、執(zhí)行if-match ip-prefix huawei,匹配地址前綴列表。
經(jīng)過上面的配置,故障得到解決,這里我們可以發(fā)現(xiàn),過濾路由時,需要注意ACL和IP前綴的應(yīng)用效果,需要精確確定掩碼長度時,需要使用IP前綴來定義。