沒有過濾聚合路由器故障怎么辦?

責(zé)任編輯:hli

2012-09-06 08:41:35

摘自:比特網(wǎng)

通常,ACL是用來過濾網(wǎng)絡(luò)中的流量,是控制訪問的一種網(wǎng)絡(luò)技術(shù)手段,適用于所有的被路由協(xié)議

通常,ACL是用來過濾網(wǎng)絡(luò)中的流量,是控制訪問的一種網(wǎng)絡(luò)技術(shù)手段,適用于所有的被路由協(xié)議,如IP、IPX、AppleTalk等,信息點間通信和內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求,需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源,從而達到對訪問進行控制的目的。

本篇給大家介紹的是引用ACL做路由過濾未過濾掉一條聚合路由的故障是如何解決的。

一、組網(wǎng)環(huán)境

假設(shè)路由器A和路由器B是網(wǎng)絡(luò)中的兩臺路由器,在路由器A上配置路由策略過引入特定的路由,引用ACL做路由過濾時,未能過濾掉一條聚合路由,發(fā)現(xiàn)多引入了一條路由。

二、故障分析

1、在路由器A上執(zhí)行display current-configuration,查看路由策略的配置情況,發(fā)現(xiàn)路由策略中引用的策略匹配條件是ACL,ACL的配置如下:

<路由器A> display current-configuration

acl 2001

rule 10 permit source 134.128.0.0 0.0.255.255

引入的兩條路由的IP前綴為134.128.0.0/11和134.128.0.0/16,路由策略引用的ACL只支持標(biāo)準(zhǔn)ACL,即只包含源IP地址和掩碼,對于標(biāo)準(zhǔn)ACL,不考慮IP前綴長度,只要前綴號匹配,就認(rèn)為匹配。所以兩條路由都被匹配到而被引入。

三、故障處理

在路由器路由器A執(zhí)行以下命令:

1、執(zhí)行system-view,進入系統(tǒng)視圖。

2、執(zhí)行ip ip-prefix huawei 134.128.0.0 0.0.255.255 greater-equal 16 less-equal 16,配置IPv4地址前綴列表,將IP前綴的greater-equal和less-equal都設(shè)置為16,即只引入16位掩碼的路由。

3、執(zhí)行route-policy huawei permit node 10,創(chuàng)建Route-Policy的節(jié)點,并進入Route-Policy視圖。

4、執(zhí)行if-match ip-prefix huawei,匹配地址前綴列表。

經(jīng)過上面的配置,故障得到解決,這里我們可以發(fā)現(xiàn),過濾路由時,需要注意ACL和IP前綴的應(yīng)用效果,需要精確確定掩碼長度時,需要使用IP前綴來定義。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號