使用filter-policy控制路由可达性
在企业网络的设备通信中,常面临一些非法流量访问的安全性及流量路径不优等问题,故为保证数据访问的安全性、提高链路带宽利用率,就需要对网络中的流量行为进行控制,如控制网络流量可达性、调整网络流量路径等。
而当面对更加复杂、精细的流量控制需求时,就需要灵活地使用一些工具来实现,本课程将主要介绍一些有关流量控制的常用工具及其使用场景。
1.控制网络流量可达性。
实现市场部无法访问财务部与研发部,公司总部无法访问研发部。
如何控制网络流量可达性?
解决方案一:可通过修改路由条目(即对接收和发布的路由进行过滤)来控制流量可达性,这种方式称为路由策略。
解决方案二:可直接通过依据用户制定的策略进行转发,且该策略优于路由表转发,这种方式称为策略路由。
解决方案一:路由策略
可利用Filter-Policy工具对RTA向OSPF引入的路由和RTC写入路由表的路由进行过滤
a)首先使用ACL或IP-Prefix List工具来匹配目标流量;
b)然后在协议视图下,利用Filter-Policy向目标流量发布策略。
解法:
在RTA上:
interface GigabitEthernet0/0/0
ip address 12.1.1.1 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 10.1.1.2 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 10.1.2.2 255.255.255.0
#
interface GigabitEthernet4/0/0
ip address 10.1.3.2 255.255.255.0
ospf 1
filter-policy ip-prefix ab export direct //对引入的直连路由进行过滤
import-route direct
area 0.0.0.0
network 12.1.1.0 0.0.0.255
#
ip ip-prefix ab index 10 permit 10.1.1.0 24 //放行10.1.1.0/24
ip ip-prefix ab index 20 permit 10.1.3.0 24 //放行10.1.3.0/24
这样下来由于路由策略的特性,会默认拒绝掉没有被permit的路由,所以研发部的路由就在市场部和总部都学不到了。
在RTC上:
interface GigabitEthernet0/0/0
ip address 12.1.2.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 10.1.4.2 255.255.255.0
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
ospf 1
filter-policy 2000 import //使用ACL 2000对财务部的路由进行过滤
area 0.0.0.0
network 10.1.4.0 0.0.0.255
network 12.1.2.0 0.0.0.255
acl number 2000
rule 5 deny source 10.1.1.0 0.0.0.255 //过滤掉财务部的路由
rule 10 permit //放行其他路由。
这样。RTC就只有一个资料部的路由,而公司总部只有财务部和资料部的路由。就实现市场部无法访问研发部财务部的内容,也实现了公司总部不能访问研发部的动作。
