僞裝網絡工程師13——路由選擇工具ACL

1、背景介紹

ACL全稱access control list，做爲一種路由選擇工具更多的是應用於路由過濾，根據ACL編號能夠分爲：

1. 基礎訪問控制列表
2. 高級訪問列表

3. 指定2層接口組

   [R1]acl number ?
   INTEGER<2000-2999>  Basic access-list(add to current using rules)
   INTEGER<3000-3999>  Advanced access-list(add to current using rules)
   INTEGER<4000-4999>  Specify a L2 acl group

   其中基礎ACL只能指定源地址，高級ACL能夠指定源、目的的IP地址，端口號與協議等五元組，不一樣於前綴列表，ACL能夠過濾路由及數據包，而前綴列表僅能過濾路由條目。

   2、實驗拓撲

   
   如上圖所示，當啓動ospf後（步驟略），此時在R2上能看到已成功創建全毗鄰

   [R2]display ospf peer
   
    OSPF Process 1 with Router ID 2.2.2.2
        Neighbors 
   
   Area 0.0.0.0 interface 12.0.0.2(GigabitEthernet0/0/0)'s neighbors
   Router ID: 1.1.1.1          Address: 12.0.0.1        
   State: Full  Mode:Nbr is  Slave  Priority: 1
   DR: 12.0.0.2  BDR: 12.0.0.1  MTU: 0    
   Dead timer due in 40  sec 
   Retrans timer interval: 5 
   Neighbor is up for 00:00:47     
   Authentication Sequence: [ 0 ] 
   
        Neighbors 
   
   Area 0.0.0.0 interface 23.0.0.1(GigabitEthernet0/0/1)'s neighbors
   Router ID: 3.3.3.3          Address: 23.0.0.2        
   State: Full  Mode:Nbr is  Master  Priority: 1
   DR: 23.0.0.2  BDR: 23.0.0.1  MTU: 0    
   Dead timer due in 36  sec 
   Retrans timer interval: 5 
   Neighbor is up for 00:00:03     
   Authentication Sequence: [ 0 ]

   但在R3上還能學習到通往1.1.1.0/24網段的路由
   
   建立一個標準的ACL

   [R2]acl number 2000
   [R2-acl-basic-2000]rule 0 deny source 1.1.1.0 0.0.0.255 
   [R2-acl-basic-2000]rule 5 permit

   將ACL用到R2路由器ospf進程的入方向，爲何不能是R1的出方向，下文中會回答

   [R2-ospf-1]filter-policy 2000 ?    
   export  Filtering outgoing routing updates    
   import  Filtering incoming routing updates

   此時會發現一個奇怪的現象：R2上已通過濾掉了1.1.1.0/24網段
   
   但在R3上還能學習到通往1.1.1.0/24網段的路由
   
   儘管R3上有路由，可是此時R3卻沒法ping同R1的1.1.1.0/24網段，緣由就是R3的路由表上通往1.1.1.0/24網段的下一跳指向R2的23.0.0.1/24接口，但此時R2因爲ACL的關係，過濾掉了1.1.1.0/24網段的路由，因此沒法ping通，儘管R2上沒有1.1.1.0/24網段的路由條目，可是lsdb中卻有R1的1類lsa（1.1.1.1）

   [R2]display ospf lsdb 
   
    OSPF Process 1 with Router ID 2.2.2.2
        Link State Database 
   
                Area: 0.0.0.0
   Type      LinkState ID    AdvRouter          Age  Len   Sequence   Metric
   Router    2.2.2.2         2.2.2.2            706  48    80000009       1
   Router    1.1.1.1         1.1.1.1            757  60    8000000A       1
   Router    3.3.3.3         3.3.3.3            716  36    80000004       1
   Network   23.0.0.1        2.2.2.2            706  32    80000003       0
   Network   12.0.0.1        1.1.1.1            760  32    80000003       0

   其中就包含了1.1.1.0/24網段的信息
   
   因此關於ACL過濾路由的本質就是：

   1. ACL不會過濾lsa信息，且同一個area內全部路由器的lsdb一致，這就解釋了爲何R3上有1.1.1.0/24網段的路由
   2. ACL過濾是發生在本地路由根據lsa計算的結果上，再一次印證了鏈路狀態型協議是本地計算路由這一特性
   3. 至於爲何要配置在入方向（import），緣由就是鏈路狀態型協議對外發送的lsa，他並不受ACL約束，因此配置在出方向（export）並不會產生實際做用
   4. 可是對於rip，BGP這種宣告路由條目的距離矢量型協議，他們對外宣告的路由會受到ACL的影響

3、掩碼、反掩碼、通配符

本實驗在配置時，宣告ospf接口用的是反掩碼，宣告ACL時使用的是通配符，IP地址使用的是掩碼，他們之間區別以下：

1. 掩碼——在掩碼中，1表示精確匹配，0表示隨機，1和0永遠不交叉，1永遠在左邊，0永遠在右邊，在配置IP地址以及路由的時候，會使用掩碼
2. 反掩碼——在反掩碼中，1表示隨機，0表示精確匹配，0和1永遠不交叉，0永遠在左邊，1永遠在右邊，在ospf的配置中，經過network命令進行網段宣告時，會使用反掩碼
3. 通配符——在統配符中，1表示隨機，0表示精確匹配，0和1的位置沒有任何的固定限制，能夠連續，能夠交叉，在ACL中，使用的通配符