過(guò)濾IP路由的技術(shù)

MiGrain

訪問(wèn)控制列表（ACL）
ACL可以工作在網(wǎng)絡(luò)的二層（鏈路層）或是三層（網(wǎng)絡(luò)層），以工作在三層的ACL為例，基本原理如下：想在某個(gè)路由器上用ACL控制（比如說(shuō)是切斷）對(duì)某個(gè)IP地址的訪問(wèn)，那么只要把這個(gè)IP地址通過(guò)配置加入到ACL中，并且針對(duì)這個(gè)IP地址規(guī)定一個(gè)控制動(dòng)作，比如說(shuō)最簡(jiǎn)單的丟棄。當(dāng)有報(bào)文經(jīng)過(guò)這個(gè)路由器的時(shí)候，在轉(zhuǎn)發(fā)報(bào)文之前首先對(duì)ACL進(jìn)行匹配，若這個(gè)報(bào)文的目的IP地址存在于ACL中，那么根據(jù)之前ACL中針對(duì)該IP地址定義的控制動(dòng)作進(jìn)行操作，比如丟棄掉這個(gè)報(bào)文。這樣通過(guò)ACL就可以切斷對(duì)于這個(gè)IP的訪問(wèn)。ACL同樣也可以針對(duì)報(bào)文的源地址進(jìn)行控制。如果ACL工作在二層的話，那么 ACL控制的對(duì)象就從三層的IP地址變成二層的MAC地址。從ACL的工作原理可以看出來(lái)，ACL是在正常報(bào)文轉(zhuǎn)發(fā)的流程中插入了一個(gè)匹配ACL的操作， 這肯定會(huì)影響到報(bào)文轉(zhuǎn)發(fā)的效率，如果需要控制的IP地址比較多，則ACL列表會(huì)更長(zhǎng)，匹配ACL的時(shí)間也更長(zhǎng)，那么報(bào)文的轉(zhuǎn)發(fā)效率會(huì)更低，這對(duì)于一些骨干路由器來(lái)講是不可忍受的。
動(dòng)態(tài)路由協(xié)議
正常情況下路由器上各種路由協(xié)議如OSPF、IS-IS、BGP等，各自計(jì)算并維護(hù)自己的路由表，所有的協(xié)議生成的路由條目最終匯總到一個(gè)路由管理模塊。對(duì)于某一個(gè)目的IP地址，各種路由協(xié)議都可以計(jì)算出一條路由。但是具體報(bào)文轉(zhuǎn)發(fā)的時(shí)候使用哪個(gè)協(xié)議計(jì)算 出來(lái)的路由，則由路由管理模塊根據(jù)一定的算法和原則進(jìn)行選擇，最終選擇出來(lái)一條路由，作為實(shí)際
使用的路由條目。
靜態(tài)路由
相對(duì)于由動(dòng)態(tài)路由協(xié)議計(jì)算出來(lái)的動(dòng)態(tài)路由條目，還有一種路由不是由路由協(xié)議計(jì)算出來(lái)的，而是由管理員手工配置下去的，這就是所謂的靜態(tài)路由。這種路由條目?jī)?yōu)先級(jí)最高，存在靜態(tài)路由的情況下路由管理模塊會(huì)優(yōu)先選擇靜態(tài)路由，而不是路由協(xié)議計(jì)算出來(lái)的動(dòng)態(tài)路由。
路由重分發(fā)
剛才說(shuō)到正常情況下各個(gè)路由協(xié)議是只維護(hù)自己的路由。但是在某些情況下比如有兩個(gè)AS（自治系統(tǒng)），AS內(nèi)使用的都是OSPF協(xié)議，而AS之間的OSPF不能互通，那么兩個(gè)AS之間的路由也就無(wú)法互通。為了讓兩個(gè)AS之間互通，那么要在兩個(gè)AS之間運(yùn)行一個(gè)域間路由協(xié)議BGP，通過(guò)配置，使得兩個(gè)AS內(nèi)由OSPF計(jì)算出來(lái)的路由，能通過(guò)BGP在兩者之間重分發(fā)。BGP會(huì)把兩個(gè)AS內(nèi)部的路由互相通告給對(duì)方AS，兩個(gè)AS就實(shí)現(xiàn)了路由互通。這種情況就是通過(guò)BGP協(xié)議重分發(fā)OSPF協(xié)議的路由條目。
另外一種情況，管理員在某個(gè)路由器上配置了一條靜態(tài)路由，但是這條靜態(tài)路由只能在這臺(tái)路由器上起作用。如果也想讓它在其他的路由器上起作用，最笨的辦法是在每個(gè)路由器上都手動(dòng)配置一條靜態(tài)路由，這很麻煩。更好的方式是讓OSPF或是IS-IS等動(dòng)態(tài)路由協(xié)議來(lái)重分發(fā)這條靜態(tài)路由，這樣通過(guò)動(dòng)態(tài)路由協(xié)議就把這條靜態(tài)路由重分發(fā)到了其他路由器上，省去了逐個(gè)路由器手工配置的麻煩。


本文來(lái)自ChinaUnix博客，如果查看原文請(qǐng)點(diǎn)：http://blog.chinaunix.net/u3/104126/showart_2095901.html