【正文】 ic 50 localas 64988 neighbor remoteas 64988 neighbor nexthopself neighbor updatesource loopback 1 neighbor remoteas 65010 neighbor routemap out SETINBOUND network network network network network network network network network network accesslist 1 permit accesslist 1 permit accesslist 1 permit routemap SETINBOUND permit 10 match ip address 1 set metric 20routemap SETINBOUND permit 203 安全配置交換機(jī)的安全配置包括訪問控制列表(access control list)，防止DoS（deny of service）攻擊等訪問控制列表訪問控制列表可以根據(jù)源IP或目的IP以及TCP/UDP的應(yīng)用端口來允許或拒絕數(shù)據(jù)包。主要分為標(biāo)準(zhǔn)的和擴(kuò)展的2種。 ACL的ID是在全局定義的，而acl只有施加到端口才有效。ACL的默認(rèn)行為就是拒絕任何沒有明確允許的流量，所以千萬不能把一個(gè)空的acl加到端口下，否則會(huì)導(dǎo)致系統(tǒng)無法管理。Acl也可被用來控制telnet, web管理以及SNMP訪問等標(biāo)準(zhǔn)訪問控制列表的表示符如下：[no] accesslist num deny|permit sourceip/maskbits|hostname[log][no] accesslist num deny|permit host sourceip|hostname[log][no] accesslist num deny|permit any[log]注意，當(dāng)添加了log后，系統(tǒng)會(huì)用cpu往log添加被拒絕的包的紀(jì)錄，如果包的數(shù)量大的話，會(huì)導(dǎo)致交換機(jī)cpu升高，建議平時(shí)不要使用配置一個(gè)標(biāo)準(zhǔn)的訪問控制列表的例子：BigIron(config) accesslist 1 deny host BigIron(config) accesslist 1 deny host BigIron(config) accesslist 1 deny host IPHost1 BigIron(config) accesslist 1 permit anyBigIron(config) int eth 1/1BigIron(configif1/1) ip accessgroup 1 in擴(kuò)展的訪問控制列表可以根據(jù)IP協(xié)議類型，源和目的IP地址以及tcp/udp的應(yīng)用端口來進(jìn)行控制，其中常見的協(xié)議包括：Internet Control Message Protocol (ICMP)Internet Group Management Protocol (IGMP)Internet Gateway Routing Protocol (IGRP)Internet Protocol (IP)Open Shortest Path First (OSPF)Transmission Control Protocol (TCP)User Datagram Protocol (UDP)表達(dá)格式如下：[no] accesslist num deny | permit ipprotocol sourceip | hostname wildcard [operator sourcetcp/udpport] destinationip | hostname [icmptype] wildcard [operator destinationtcp/udpport] [established] [precedence name | num] [tos 0 – 63] [dscpmarking dscpvalue 0 – 7例子：BigIron(config) accesslist 103 deny tcp BigIron(config) accesslist 103 deny tcp BigIron(config) accesslist 103 deny tcp BigIron(config) accesslist 103 deny udp any range 5Bigiron(config) int ve 5Bigiron(config)ip accessgroup 5 in注意，由于foundry的設(shè)備結(jié)構(gòu)，建議acl只加到設(shè)備的in方向，不要添加到out方向每個(gè)會(huì)話的第一個(gè)tcp/udp包都將由cpu處理，另外，所有的基于icmp包的acl也由cpu處理。(這是針對(duì)ironcore的結(jié)構(gòu)來說的)防止DoS攻擊的配置防止惡性用戶對(duì)設(shè)備發(fā)動(dòng)tcp sync攻擊Bigiron(config) ip tcp burstnormal 10 burstmax 100 lockup 30系統(tǒng)會(huì)在突發(fā)大于10個(gè)包的時(shí)候開始丟棄包，如果突發(fā)大于100的話，系統(tǒng)就會(huì)丟棄所有的包。直到過了30秒4 策略路由所謂策略路由，顧名思義，即是根據(jù)一定的策略進(jìn)行報(bào)文轉(zhuǎn)發(fā)，因此策略路由是一種比目的路由更靈活的路由機(jī)制。在路由器轉(zhuǎn)發(fā)一個(gè)數(shù)據(jù)報(bào)文時(shí)，首先根據(jù)配置的規(guī)則對(duì)報(bào)文進(jìn)行過濾，匹配成功則按照一定的轉(zhuǎn)發(fā)策略進(jìn)行報(bào)文轉(zhuǎn)發(fā)。這種規(guī)則可以是基于標(biāo)準(zhǔn)和擴(kuò)展訪問控制列表，也可以基于報(bào)文的長(zhǎng)度；而轉(zhuǎn)發(fā)策略則是控制報(bào)文按照指定的策略路由表進(jìn)行轉(zhuǎn)發(fā)，也可以修改報(bào)文的IP優(yōu)先字段。因此，策略路由是對(duì)傳統(tǒng)IP路由機(jī)制的有效增強(qiáng)。策略路由一般可應(yīng)用在如下目的：1．多個(gè)ISP出口的業(yè)務(wù)網(wǎng)關(guān) 2．負(fù)載分擔(dān) 3．靈活的路由備份策略路由是基于routemap表、多策略路由表以及多轉(zhuǎn)發(fā)表實(shí)現(xiàn)的。 Routemap在路由策略一章時(shí)已經(jīng)介紹，它是由一組match子句和set子句構(gòu)成，當(dāng)需做策略路由的報(bào)文匹配routemap中的match子句定義的規(guī)則時(shí)，將按照set子句的配置決定該報(bào)文的路由方式，包括控制報(bào)文的發(fā)送下一跳,發(fā)送接口以及設(shè)置報(bào)文的IP優(yōu)先權(quán)字段。在routemap表中定義規(guī)則和報(bào)文所使用的轉(zhuǎn)發(fā)表表號(hào)，當(dāng)報(bào)文匹配規(guī)則（包括訪問控制列表和報(bào)文長(zhǎng)度）時(shí)，就按照指定的轉(zhuǎn)發(fā)表進(jìn)行路由查找。如果查找成功，則正常轉(zhuǎn)發(fā)；如果查找失敗，則繼續(xù)在系統(tǒng)轉(zhuǎn)發(fā)表中查找，成功則繼續(xù)轉(zhuǎn)發(fā)，失敗則丟棄報(bào)文。配置策略路由需要以下3個(gè)步驟1 定義一個(gè)訪問控制列表，把你要進(jìn)行區(qū)分的流量整理出來BigIron(config) accesslist 99 permit 2 配置一個(gè)routemap,把策略的目的用語句表達(dá)出來BigIron(config) routemap testroute permit 99BigIron(configroutemap testroute) match ip address 99BigIron(configroutemap testroute) set ip nexthop BigIron(configroutemap testroute) exit3 把策略添加到接口下BigIron(config) interface ve 1BigIron(configvif1) ip policy routemap testroute例如，指定3段地址，當(dāng)滿足第一段地址時(shí)，, 滿足第二段時(shí)，, 滿足第三段時(shí)，然后在接口ve1下添加該策略BigIron(config) accesslist 50 permit BigIron(config) accesslist 51 permit BigIron(config) accesslist 52 permit BigIron(config) routemap testroute permit 50BigIron(configroutemap testroute) match ip address 50BigIron(configroutemap testroute) set ip nexthop BigIron(configroutemap testroute) exitBigIron(config) routemap testroute permit 51BigIron(configroutemap testroute) match ip address 51BigIron(configroutemap testroute) set ip nexthop BigIron(configroutemap testroute) exitBigIron(config) routemap testroute permit 52BigIron(configroutemap testroute) match ip address 52BigIron(configroutemap testroute) set ip nexthop BigIron(configroutemap testroute) exitBigIron(config) interface ve 1BigIron(configvif1) ip address BigIron(configvif1) ip address BigIron(configvif1) ip address BigIron(configvif1) ip policy routemap testroute5 組播IP通信主要有三種方式：第一種是在一臺(tái)源IP主機(jī)和一臺(tái)目的IP主機(jī)之間進(jìn)行，即單播（unicast）；第二種是在一臺(tái)源IP主機(jī)和網(wǎng)絡(luò)中所有其它的IP主機(jī)之間進(jìn)行，即廣播（broadcast）；第三種是在屬于同一組的主機(jī)之間進(jìn)行，即組播(multicast)。當(dāng)要將信息發(fā)送給網(wǎng)絡(luò)中的多個(gè)主機(jī)而非所有主機(jī)時(shí)，如果采用廣播方式，不僅會(huì)將信息發(fā)送給不需要的主機(jī)而浪費(fèi)帶寬，也可能由于路由回環(huán)引起嚴(yán)重的廣播風(fēng)暴；如果采用單播方式，則由于IP包的重復(fù)發(fā)送會(huì)白白浪費(fèi)掉大量帶寬，也增加了服務(wù)器的負(fù)載，而組播通信方式則能有效地解決這種單點(diǎn)發(fā)送、多點(diǎn)接收的問題。IP 組播是指在IP網(wǎng)絡(luò)中將數(shù)據(jù)包以盡力傳送（besteffort）的形式發(fā)送到網(wǎng)絡(luò)中的某個(gè)確定節(jié)點(diǎn)子集，這個(gè)子集稱為組播組（multicast group）。IP組播的基本思想是：源主機(jī)只發(fā)送一份數(shù)據(jù)，這份數(shù)據(jù)中的目的地址為組播組地址；組播組中的所有接收者都可接收到同樣的數(shù)據(jù)拷貝，并且只有組播組內(nèi)的主機(jī)（目標(biāo)主機(jī)）所在的網(wǎng)段可以接收該數(shù)據(jù)，網(wǎng)絡(luò)中其它網(wǎng)段不能收到。組播組用D類IP地址（ ～ ）來標(biāo)識(shí)IP組播中，使用IGMP（互連網(wǎng)組管理協(xié)議）作為主機(jī)路由器之間的組播成員管理協(xié)議；主要使用PIMSM（協(xié)議無關(guān)組播協(xié)議－稀疏模式）、PIMDM（協(xié)議無關(guān)組播協(xié)議－密集模式）、DVMRP（距離向量組播路由協(xié)議）等協(xié)議作為路由器路由器之間的組播路由協(xié)議。 IANA將MAC地址范圍01:00:5E:00:00:00 ~ 01:00:5E:7F:FF:FF分配給組播使用，這就要求將28位的IP組播地址空間映射到23位的MAC地址空間中，具體的映射方法是將組播地址中的低23位放入MAC地址的低23位，如下圖所示。所以一個(gè)組播MAC地址對(duì)應(yīng)于32個(gè)組播IP地址。IGMP（Internet Group Management Protocol）協(xié)議運(yùn)行于主機(jī)和與主機(jī)直連的路由器之間，IGMP實(shí)現(xiàn)的功能是雙向的：一方面，通過IGMP協(xié)議，主機(jī)通知本地路由器希望加入并接收某個(gè)特定組播組的信息；另一方面，路由器通過IGMP協(xié)議周期性地查詢局域網(wǎng)內(nèi)某個(gè)已知組的成員是否處于活動(dòng)狀態(tài)（即該網(wǎng)段是否仍有屬于某個(gè)組播組的成員），實(shí)現(xiàn)所連網(wǎng)絡(luò)組成員關(guān)系的收集與維護(hù)。通過IGMP，在路由器中記錄的信息是某個(gè)組播組是否在本地有組成員，而不是組播組與主機(jī)之間的對(duì)應(yīng)關(guān)系。 到目前為止，IGMP有三個(gè)版本：IGMPv1（RFC1112）中定義了基本的組成員查詢和報(bào)告過程；目前通用的是IGMPv2，由RFC2236定義，在IGMPv1的基礎(chǔ)上添加了組成員快速離開的機(jī)制；IGMPv3中增加的主要功能是成員可以指定接收或指定不接收某些組播源的報(bào)文。 IGMPv2中指定三種IGMP報(bào)文：組成員查詢報(bào)文（Membership Query），組成員報(bào)告報(bào)文（Membership Report）和組成員離開報(bào)文（Leave Group）。組播路由協(xié)議根據(jù)協(xié)議的作用范圍，組播協(xié)議分為主機(jī)路由器之間的協(xié)議（組播成員管理協(xié)議），以及路由器路由器之間協(xié)議（組播路由協(xié)議）。組成員關(guān)系協(xié)議包括IGMP（互連網(wǎng)組管理協(xié)議）；組播路由協(xié)議又分為域內(nèi)組播路由協(xié)議和域間組播路由協(xié)議。域內(nèi)組播路由協(xié)議包括PIMSM、PIMDM、DVMRP等協(xié)議，域間組播路由協(xié)議包括MBGP、MSDP等協(xié)議。同時(shí)為了有效抑制組播數(shù)據(jù)在二層網(wǎng)絡(luò)中的擴(kuò)散，引入了IGMP Snooping等二層組播監(jiān)聽機(jī)制。通過IGMP和二層組播監(jiān)聽機(jī)制，在路由器和交換機(jī)中建立起直聯(lián)網(wǎng)段內(nèi)的組成員關(guān)系信息，具體地說，就是哪個(gè)接口下有哪個(gè)組播組的成員。域內(nèi)組播路由協(xié)議根