行为管理（锐捷路由篇）

        大家好，我是小杜，不知不觉的已经学习了一个月了，从一个只知道些基础的“菜鸟”到现在的"普鸟"，争取尽快进化成“老鸟”。

        今天继续对相关的行为管理方面的学习，相信以后会经常遇到这种问题，需要完全熟悉的掌握。话不多说，开始今天对RSR路由设备的行为管理学习。

一、ACL过滤

1、配置acl规则（一定要先配置ACL，再调用）

  ip access-list extended 100

  10 deny ip 192.168.10.0 0.0.0.255 any //拒绝源地址为192.168.10.0/24的所有流量

  20 deny ip any 114.114.114.114 0.0.0.0 //拒绝所有访问114.114.114.114的流量

  30 permit ip any any        //最后一定要允许所有！！！

2、接口下调用acl

  interface GigabitEthernet 0/0

  ip access-group 100 in //可以调用在接口in方向和out方向

二、流过滤（全局acl）

1、配置acl规则（一定要先配置ACL，再调用）

   ip access-list extended 100

   10 deny ip 192.168.10.0 0.0.0.255 any //拒绝源地址为192.168.10.0/24的所有流量

   20 deny ip any 114.114.114.114 0.0.0.0 //拒绝所有访问114.114.114.114的流量

   30 permit ip any any            //最后一定要允许所有！！！

2、全局调用acl

  ip session filter 100

  或者：ip fpm session filter 100

        RSR在默认情况下，是先建立会话流表再去匹配ACL，也就是说，就算在接口配置 deny ip any any 的ACL，这个时候一个数据包来到接口后，还会先建立一条会话，再去匹配ACL被丢弃。那么这种特性就会有一个问题，如果遇到大量的伪源IP攻击，或者是端口扫描时，虽然有ACL拒绝了这种报文的转发，但是还是会把流表给占满，而导致正常的数据无法建流而被丢弃。ip session filter 就是为解决以上问题而开发的，ip session filter的原理就是，在建立流表前去匹配调用的ACL，如果被ACL拒绝就不会再去建流了。

注意：

1、被ip session filter调用的ACL是全局生效的，而且是在建立流表前匹配，也就是说被此ACL拒绝的数据不会建流而直接被丢弃，所以一定要确保该放通的资源都放通后再启用。

2、ip session filter对设备本身所发出的数据是不生效的。

3、通过IP session filter的流量，回来时不会再匹配ip session filter所调用的ACL，也就是说能出去就能回来。

三、策略路由

1、创建策略路由条目

Router(config)#route-map route_map_name [permit | deny] sequence

route_map_name：命名策略路由

permit：对符合条件的数据包实施策略