对流量行为的控制需求分析
1.控制网络流量可达性
路由策略
通过修改路由条目(即对接收和发布的路由进行过滤)来控制流量可达性,这种方式称为路由策略
ACL:抓取路由、数据包
访问控制列表ACL(Access Control List)是由一系列规则组成的集合,ACL通过这些规则对报文进行分类,从而使设备可以对不同类报文进行不同的处理。ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器,在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。
目的
网络中的设备相互通信时,需要保障网络传输的安全可靠和性能稳定。例如:
防止对网络的攻击,例如IP(Internet Protocol)报文、TCP(Transmission Control Protocol)报文、ICMP(Internet Control Message Protocol)报文的攻击。
对网络访问行为进行控制,例如企业网中内、外网的通信,用户访问特定网络资源的控制,特定时间段内允许对网络的访问。
限制网络流量和提高网络性能,例如限定网络上行、下行流量的带宽,对用户申请的带宽进行收费,保证高带宽网络资源的充分利用。
隐式允许
必须使用反掩码;正掩码:必须是连续的1。反掩码:可以不连续。
缺点:ACL的掩码是定长的。
分类 | 适用 |
---|