大家好,我是网工三木!
想必很多网工同仁在工作的时候,都会被领导提出一些奇奇怪怪的要求:“喂,那个做网络的,咱们公司A部门和B部门业务上有一些冲突,最好不让他们有任何往来,把公司的网络分流一下,单独的部门走单独的网络”
身为一个单纯的网工,你当然不知道为什么A部门和B部门看似团结一致,可在老板的眼里却不能共同生活在一个网络下,也许你会感到人世间的爱恨情仇,不禁陷入了沉思…
等等!老板把公司中如此重要的事情透露给我,是不是已经发现帮同事修电脑,为公司管理打印机的我是一个可造之才!决定好好的栽培我了,暗暗下定决心要抓住这次机会在老板面前表现一番,可正当你滔滔不绝的给老板提出六套方案十二个解决办法的时候,老板皱了皱眉眉头大手一挥
“哪个省钱做哪个”
OK!针对这个问题我向老板提出了一个最节省成本的方案,那就是ACL的奇偶分流,奇数主机走电信,偶数走联通
那什么是ACL呢
先简单科普一下访问控制列表ACL(Access Control List):我们经常用它来“抓取(匹配)“进出端口的数据包,我们可以通过ACL来控制一些未被授权的用户访问特定的网络资源,从而达到对访问进行控制,访问控制列表就是其中一种手段
ACL的调用有3条原则:
1、每种协议一个ACL;ACL可以匹配不同协议
2、每个方向一个ACL;一个接口分为入(in)和出(out方向)
注意:入方向是先匹配后路由;出方向是先路由后匹配
3、每个接口一个接口;一个ACL只能调用在一个接口
ACL的执行过程:
1、比对数据的方向是否匹配;
2、比对规则:进行第一个条件语句的比对,匹配则执行本条件语句的操作比如permint或deny;只有当数据不匹配第一个条件语句时继续执行下一个条件语句;如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃。
通过ACL匹配IP地址为奇数流量需要掌握
1、 正掩码和反掩码和通配符
1) 掩码(Mask):用来区分一个IP地址的网络位和主机位,从左往右连续的“1”表示网络位,连续的“0”表示主机位,并且掩码和IP地址相与(注:1与0得0,1与1得1)能得出网络地址;
“1”表示网络位,照抄
“0”表示主机位,全0
2) 反掩码(Wild Card):用来表示主机位的是从右往左连续的“1”表示主机位的个数,和Mask刚好相反,IP前缀+反掩码=IP地址的个数;
“0”表示不能改变的部分,既被固定的前缀部分。
“1”表示可变的部分,任意取值,既可取的IP地址部分。
反掩码会在我们路由协议的宣告中使用到,例如
OSPF中的宣告
network 192.168.1.0 0.0.0.255 area 0
2) Wildcard(通配符):“0”表示严格匹配,用来匹配不能变的部分;“1”表示任意匹配,用来匹配任意改变的部分;
注意:这时候不要与反掩码混淆,通配符中“0”和“1”是可以不连续的!
那如何匹配奇偶呢?
在IP地址中二进制一个32bit,每8bit为一字节,以一个字节为例:
0000 0000从左往右十进制数分别为2的7次方到2的0次方,也就是说二进制最后一位为1时十进制等于1,除了最后一个bit其他所表示的均为偶数,那匹配本字节的奇数时锁定8bit中最后一bit为1就行了,匹配偶数时锁定最后一位为0就能够匹配偶数了;
比如:
匹配192.168.1.0/24网段中的奇数主机地址
二进制:192.168.1.0000 0001
0.0.0.1111 1110
匹配192.168.1.0/24网段中的偶数主机地址
二进制:192.168.1.0000 0000
0.0.0.1111 1110
当然后续的流量分配设计到NP知识,这里先不讨论
一顿猛如虎的操作过后,搞定了老板的需求
从今往后的我就能够
想想就有点期待呢~
To be continued…