kong的IP RESTRICTION的配置

本文详细解析了Kong插件IPRESTRICTION与基本认证(BasicAuth)在服务test-service上的执行顺序,通过实例和源码揭示了插件优先级决定的运行逻辑。重点在于配置顺序对IP访问控制的影响和插件PRIORITY值的作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Kong的IP RESTRICTION就是IP控制插件,可以控制全局、服务、路由、消费方的IP地址,通过设置黑白名单,来限制访问的IP和IP段。IP或CIDR范围到白名单的逗号分隔列表。必须在白名单或黑名单之间至少指定一个。
1、 如果配置了白名单,则白名单之外的IP都不允许访问。
2、 如果配置了黑名单,则黑名单之外的IP都允许访问。
3、 如果同时配置了黑白名单,则只允许白名单的访问。
我们将该插件配置到test-service服务上,并设置限制黑名单的IP地址为调用服务的IP。
在这里插入图片描述

在这里插入图片描述

上图我们看一下,业务服务test-service配置插件的先后执行顺序我们如何知道呢?首先从调用上来验证一下:
1、 调用服务时,首先出现的是认证,那么证明basic-auth在IP RESTRICTION和acl之前执行 :
在这里插入图片描述

2、 输入用户名密码之后,出现:
在这里插入图片描述

证明IP RESTRICTION是第二个起作用的。
3、那么针对上面的调用,如果我们改以下IP RESTRICTION限制的IP地址,让IP认证通过,则会出现:
在这里插入图片描述

因为使用的BASIC-AUTH用户不在ACL的群组中,所以ACL插件在最后起了作用,控制了服务的消费。如果换成在ACL群组中的其他用户认证,则可获得结果:
在这里插入图片描述

那么如何知道所有插件的执行先后顺序呢,最根源的办法还是阅读源码,我们从每个插件得handle.lua中查看可以得到:
ACLHandler.PRIORITY = 950
IpRestrictionHandler.PRIORITY = 990
BasicAuthHandler.PRIORITY = 1001
PRIORITY值越大越先执行,从源码中可以看到插件的先后顺序是 BasicAuth(认证)-》ipRestriction (IP控制)-> ACL(访问控制)
因此我们得到结论,由PRIORITY来决定插件运行的先后顺序的规则是无问题的。

### STP TC-Restriction配置与故障排查 #### 什么是 STP TC-Restriction? 生成树协议(STP)中的拓扑变更通知(Topology Change Notification, TCN)用于在网络拓扑发生变化时更新交换机的 MAC 地址表。然而,频繁的拓扑变更可能引发大量的地址刷新操作,进而导致网络性能下降甚至中断。因此,许多厂商提供了 **TC-Restriction** 或者称为 **TC-Protection** 的功能来缓解这一问题[^1]。 --- #### 配置 STP TC-Restriction 以下是针对不同厂商设备的具体配置方法: ##### Cisco 设备上的配置 在 Cisco 交换机上启用 STP TC-Restriction 功能可以通过以下命令完成: ```shell spanning-tree tc-protection enable ``` 这条命令会在全局范围内激活保护机制,限制因恶意攻击或意外事件引起的过多拓扑变更消息的影响[^2]。 如果希望进一步细化管理,可以设置忽略列表以屏蔽特定来源的拓扑变更请求: ```shell spanning-tree tc-protection action alert interface-type {type} ignore-list address {mac-address} ``` 通过这种方式,管理员可以选择性地忽略来自某些 MAC 地址的拓扑变更通知,从而降低潜在威胁的风险[^3]。 ##### 华为设备上的配置 对于华为系列交换机而言,其对应的命令如下所示: ```shell stp topology-change protect-period seconds ``` 此命令允许用户自定义保护周期的时间长度,在这段时间内系统不会处理额外的拓扑变更消息[^4]。 另外也可以利用 ACL 来过滤掉不必要的流量输入: ```shell traffic-filter inbound acl-number number ``` 借助访问控制列表(ACL),可以更加精确地界定哪些数据流应该被阻止进入网络内部。 --- #### 常见问题及其解决办法 尽管 STP TC-Restriction 是一项非常有用的特性,但在实际部署过程中仍可能出现各种各样的挑战。下面列举了一些典型的案例及相关对策: 1. **无法正常启动保护机制** 如果发现即使执行了相应指令却依旧未能生效,则需核查两点内容:一是确认所使用的固件版本确实支持该选项;二是检查是否存在冲突性的策略覆盖掉了原有设定。 2. **误判合法变动为非法入侵** 当存在动态环境下的合理结构调整却被错误识别成安全隐患时,应当重新审视现有的筛选条件是否过于严格,并适当放宽标准范围。 3. **性能瓶颈显现加剧** 尽管初衷是为了优化效率,但如果参数调节不当反而会造成更大的负担。此时应密切监控各项资源利用率指标并及时作出调整直至达到理想平衡点为止。 --- #### 总结说明 正确理解和运用 STP TC-Restriction 能够显著提升企业级局域网的安全性和稳定性。不过鉴于每种品牌的实现细节不尽相同,所以在规划初期就应该充分了解目标平台的支持程度以及最佳实践指导原则。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值