Traffic Filtering 流过滤 概念及题目
我们来详细解析华为/H3C网络设备中的流过滤(Traffic Filtering) 概念及实验。
流过滤是一种基于访问控制列表(ACL)对数据包进行过滤的技术,是网络安全和流量管理的基础手段。
第一部分:流过滤基本概念
- 什么是流过滤?
定义:流过滤是指网络设备根据预先设定的规则(ACL),对通过其接口的数据流进行检查,并执行允许(permit) 或拒绝(deny) 动作的技术。
核心组件:ACL(Access Control List,访问控制列表)。ACL是规则的集合,每条规则定义了匹配条件和执行动作。
部署位置:通常在设备的接口(Interface) 上应用ACL,对进入(inbound)或离开(outbound)该接口的流量进行过滤。
2. 流过滤的工作原理
设备对流经接口的报文进行处理流程,如下图所示:
关键点总结:
匹配顺序:ACL规则默认按配置顺序(config)从上到下进行匹配。
一旦匹配,立即执行:报文一旦匹配某条规则,就执行该规则的动作(permit/deny),后续规则不再检查。
隐含拒绝:所有ACL在最后都有一条看不见的 rule deny ip 规则。如果报文没有匹配任何显式配置的规则,将被默认丢弃。这是最重要的安全特性。
- 流过滤的分类
根据过滤精度的不同,主要分为两类:
类型 适用ACL类型 匹配依据 应用场景
基本流过滤 基本ACL(2000-2999) 仅源IP地址 简单的源地址过滤,如限制管理主机
高级流过滤 高级ACL(3000-3999) 源/目IP、协议、源/目端口等 精细化的流量控制,如限制访问特定服务
第二部分:实验配置
我们通过两个实验来掌握基本和高级流过滤的配置。
实验拓扑
+----------+ +----------+ +-----------------+| PC1 | | Switch