06 路由引入和控制.pdfVIP

2 ACL访 问 控 制 类 表 l ACL是 由 permit或 deny语 句 组 成 的 一 系 列 有 顺 序 规 则 的 集 合 ， 它 通 过 匹 配 报 文 的 信 息 实 现 对 报 文 的 分 类 。 AR2200根 据 ACL定 义 的 规 则 判 断 哪 些 报 文 可 以 接 收 ， 哪 些 报 文 需 要 拒 绝 ， 从 而 实 现 对 报 文 的 过 滤 。 l ACL本 身 只 是 一 组 规 则 ， 只 能 区 分 某 一 类 报 文 ， 无 法 实 现 过 滤 报 文 的 功 能 。 对 这 类 报 文 的 处 理 方 法 ， 需 要 由 引 用 ACL的 具 体 功 能 来 决 定 。 ip-prefix前 缀 类 表 l ip-prefix将 与 所 定 义 的 前 缀 过 滤 列 表 相 匹 配 的 路 由 ， 根 据 定 义 的 匹 配 模 式 进 行 过 滤 ， 满 足 使 用 者 的 需 要 。 l ip-prefix不 能 用 来 过 滤 数 据 包 ， 只 能 过 滤 路 由 信 息 。 as-path-filterAS路 径 过 滤 器 l 将 BGP中 的 AS_Path属 性 作 为 匹 配 条 件 的 过 滤 器 ， 在 BGP发 布 、 接 收 路 由 时 单 独 使 用 。 community-filter团 体 属 性 过 滤 器 l 将 BGP中 的 团 体 属 性 作 为 匹 配 条 件 的 过 滤 器 ， 在 BGP发 布 、 接 收 路 由 时 单 独 使 用 。 在 BGP发 布 、 接 收 路 由 时 单 独 使 用 。 ACL的 规 则 管 理 l 每 个 ACL作 为 一 个 规 则 组 ， 可 以 包 含 多 个 规 则 。 l 规 则 通 过 规 则 ID（ rule-id） 来 标 识 ， 规 则 ID 可 以 由 用 户 进 行 配 置 ， 也 可 以 由 系 统 自 动 根 据 步 长 生 成 。 一 个 ACL中 所 有 规 则 均 按 照 规 则 ID从 小 到 大 排 序 。 l 规 则 ID 之 间 会 留 下 一 定 的 间 隔 。 如 果 不 指 定 规 则 ID 时 ， 具 体 间 隔 大 小 由 “ ACL 的 步 长 ” 来 设 定 。 用 户 可 以 根 据 规 则 ID 方 便 地 把 新 规 则 插 入 到 规 则 组 的 某 一 位 置 。 ACL的 规 则 管 理 l 报 文 到 达 设 备 时 ， 查 找 引 擎 从 报 文 中 取 出 信 息 组 成 查 找 键 值 ， 键 值 与 ACL中 的 规 则 进 行 匹 配 ， 只 要 有 一 条 规 则 和 报 文 匹 配 ， 就 停 止 查 找 ， 称 为 命 中 规 则 。 l 查 找 完 所 有 规 则 ， 如 果 没 有 符 合 条 件 的 规 则 ， 称 为 未 命 中 规 则 。 华 为 ACL缺 省 隐 含 最 后 一 条 规 则 为 permit。 基 于 接 口 的 ACL l 基 于 接 口 的 ACL根 据 报 文 的 入 接 口 定 义 规 则 ， 实 现 对 报 文 的 匹 配 过 滤 。 通 过 命 令 traffic-filter调 用 ACL。 基 本 ACL l 可 使 用 报 文 的 源 IP 地 址 、 VPN实 例 、 分 片 标 记 和 时 间 段 信 息 来 定 义 规 则 。 高 级 ACL l 既 可 使 用 报 文 的 源 IP地 址 ， 也 可 使 用 目 的 地 址 、 IP优 先 级 、 ToS、 DSCP、 IP协 议 类 型 、 ICMP类 型 、 TCP源 端 口 /目 的 端 口 、 UDP源 端 口 /目 的 端 口 号 等 来 定 义 规 则 。 高 级 访 问 控 制 列 表 可 以 定