路由策略与策略路由
策略路由和路由策略的区别
路由策略策略路由
基于控制平台,会影响路由表的表项基于转发平⾯,不会影响路由表的表项,且设备收到报⽂后,会查找策略路由进⾏匹配转发,若匹配失败,则再查找路由表进⾏转发
只能基于⽬的地址进
⾏策略判定
可基于源地址、⽬的地址、协议地址、报⽂⼤⼩等进⾏粗略制定与路由协议结合使⽤需要⼿⼯逐条配置,以保证报⽂按策略进⾏转发
常⽤到:Route-
Policy、Filter-Policy 等。
常⽤到:Traffic-Filter、Traffic-Policy、Policy-Based-Router等
策略路由和路由策略的区别
⼀、路由策略(Router-Plight)
路由策略是通过修改路由表来控制数据流量的可达性。
即对接受和发布的路由进⾏过滤。
这种⽅式称为路由策略。
⼆、策略路由。
(Traffic-Policy)
策略路由是通过⽤户制定的策略进⾏转发,且该策略优于路由表的转发。
这种⽅式称为策略路由。
总结:路由策略是基于路由表进⾏流量转发,⽽策略路由是基于策略进⾏流量的转发.。
策略路由,路由策略
策略路由,路由策略前⾔:在企业⽹络中,常⾯临⾮法流量访问及流量路径不优的问题,为了保护数据访问的安全性、提⾼链路带宽的利⽤率,需要对⽹络中的流量⾏为控制,如控制⽹络流量可达性,调整⽹络流量路径。
如何控制流量可达性? ⽅案⼀:对接收和发布的路由进⾏过滤来控制可达性,路由策略 ⽅案⼆:使⽤Traffic-filter⼯具对数据进⾏过滤,流量过滤 什么是路由策略? 通过⼀系列的⼯具或者⽅式对路由进⾏各种控制的策略,这个策略可以影响路由的产⽣,发布和选择等,进⽽影响报⽂的转发路径 在ip⽹络中,路由策略的⽤途主要有两个⽅⾯:对路由信息过滤和修改路由属性。
如图,如果使⽤流量过滤,使市场部的流量不能访问财务部。
会有极⼤的局限性,若是在RTA上做traffic-filter,流量会经过RTC RTB再在RTA上被过滤极⼤的浪费链路带宽。
若在RTC⼊⼝做traffic-filter,可能RTC不是由你进⾏管理的。
⽽且流量过滤针对每⼀个报⽂进⾏过滤,极⼤的浪费设备性能,所以建议使⽤路由策略来进⾏对流量的可达性进⾏控制。
路由策略使⽤的⼯具: 条件⼯具:把路由匹配出来,acl ip-prefix 策略⼯具:匹配抓取的路由,执⾏各种各样的策略。
router-policy 调⽤⼯具:把策略应⽤到某个具体的协议中。
filter-policy import-route配置思路:配置filter-policy不让192.168.1.0路由发出给到AR1[AR2-rip-1]filter-policy 2000 export -----对所有接⼝发出的路由做过滤[AR2-rip-1]ACL 2000[AR2-acl-basic-2000]rule PER S 192.168.2.0 0 filter-policy 2000 export static import-route static 对引⼊的静态路由实现过滤,本地不存在LSDB 当过滤本地接⼝的路由时 filter-policy 2000 export 针对链路状态路由协议⽆效,链路状态路由协议发送的是LSA filter-policy 2000 import 针对链路状态协议有效,不过是在加表实现过滤,本地LSDB中依旧有此链路状态ACL的局限性?ACL只能抓取路由的前缀,不关⼼掩码信息,如果两条路由拥有相同的前缀,ACL⽆法分别抓取前缀列表的优势?相⽐ACL来说既能匹配前缀也能抓取掩码,前缀列表不能⽤于流量过滤。
策略路由和路由策略原理
策略路由和路由策略原理知识检测一、单选题1、策略路由,顾名思义,即是根据一定的策略进行报文转发,以下不属于策略路由的是()。
A.根据报文的长度来控制报文转发B.根据源IP来控制报文转发C.根据报文的目的地址查询转发表来实现D. 根据协议类型控制报文转发2、针对单播策略路由和组播策略路由,描述错误的是()。
A.组播策略路由只支持转发的报文B. 单播策略路由不对路由器本机产生的报文进行策略路由C.组播策略路由是设置在接收报文接口而不是发送接口D.单播策略路由只对入口数据包有效3、策略路由的处理流程分为流模式和逐包模式,针对流模式和逐包模式以下描述正确的是()A. 逐包模式对第一个包查路由转发表,如果存在路由,将该路由项以source、dest、tos、入接口等索引放置到cache中,以后同样的流就可以直接查cache 。
B. 流模式每个包都进行查表后才进行转发。
C. 流模式的高中端设备所有操作由CPU+内存处理。
D. 流模式对第一个包查路由转发表,以后同样的流就可以直接查cache。
4、策略路由匹配原则关于匹配项和操作项描述错误的是()A. 可以有多个操作项B. 可以多个匹配项C. 所有节点满足匹配后,才不再继续往下匹配。
D. 只有满足所有的if-match,才算匹配。
5、单播报文转发接口的优先级从高到低为:()A.路由表中下一跳->策略路由的下一跳->策略路由的缺省下一跳->策略路由的出接口->策略路由的缺省出接口B. 策略路由的出接口->策略路由的下一跳->路由表中下一跳->策略路由的缺省出接口->策略路由的缺省下一跳C. 策略路由的出接口->策略路由的缺省出接口->策略路由的下一跳->策略路由的缺省下一跳->路由表中下一跳D. 策略路由的出接口->策略路由的下一跳->路由表中下一跳->策略路由的缺省下一跳->策略路由的缺省出接口6、按照转发接口的优先级,以下报文匹配的策略描述错误的是()A.如果添加一个节点,没有匹配项,有设置操作项,则所有报文都匹配,根据permit/deny 执行相应的操作,不再继续往下匹配。
路由策略与策略路由要点
set metric [+|-]<metric-value>
set metric-type { internal | external | type-1 | type-2 } set origin { igp | egp | incomplete } set tag <tag-value>
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
内部公开▲ 内部公开▲
学习内容
• 第一章 路由策略
第一节 路由策略的作用 第二节 路由策略的定义方法 第三节 常见的路由策略的应用
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
路由策略的定义方法(1)
内部公开▲
OSPF路由过滤器(filter)
仅针对OSPF协议,用于过滤Type-5、Type-7 LSA
OSPF区域过滤列表(area filter-list)
仅针对OSPF协议区域间路由过滤,过滤Type-3 LSA
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
route-map
内部公开▲
AS100
B路由器需要对A路由器发布的路由进行选 择,只接收20.1.1.1/32网段的路由,屏蔽 30.1.1.1/32网段的路由
20.1100域内产生的路 由,其他路由条目出于安全考虑,需要对 B屏蔽
10.1.1.2/30
20.1.1.2/30
用路由策略解决这些问题
问题一解决方案:
内部公开▲
AS100
Lo0:30.1.1.1/32 Lo1:20.1.1.1/32 10.1.1.1/30 10.1.1.2/30
路由策略和策略路由配置与管理
路由策略和策略路由配置与管理路由策略和策略路由配置与管理“路由策略”与“策略路由”之间的区别就在于它们的主体(或者说“作⽤对象”)不同,前者的主体是“路由”,是对符合条件的路由(主要)通过修改路由属性来执⾏相应的策略动作(如允许通过、拒绝通过、接收、引⼊等),使通过这些路由的数据报⽂按照规定的策略进⾏转发;⽽后者的主体是数据报⽂,是对符合条件的数据报⽂(如报⽂的源地址、报⽂长度等)按照策略规定的动作进⾏操作(如设置报⽂的出接⼝和下⼀跳、设置报⽂的缺省出接⼝和下⼀跳等),然后转发。
“路由策略”如RIP、OSPF、IS-IS、BGP中动态路由信息发送(发布)/接收控制、路由选路、路由引⼊以及BGP路由属性配置等都⽤到了“路由策略”。
路由策略基础路由策略(Routing Policy)是通过使⽤不同的匹配条件和匹配模式来选择路由,或改变路由属性。
路由策略主要应⽤在路由信息发布、接收、引⼊和路由属性修改等⼏个⽅⾯:1、控制路由的发布可通过路由策略对所要发布的路由信息进⾏过滤,只允许发布满⾜条件的路由信息。
2、控制路由的接收可通过路由策略对所要接收的路由信息进⾏过滤,只允许接收满⾜条件的路由信息。
这样可以控制路由条⽬的数量,提⾼⽹络的路由效率。
3、控制路由的引⼊可通过路由策略只引⼊满⾜条件的路由信息,并控制所引⼊的路由信息的某些属性,使其满⾜本路由协议的路由属性要求。
4、设置路由的属性修改通过路由策略过滤的路由的属性,满⾜⾃⾝需要。
⼀、路由策略原理要实现路由策略,⾸先要定义将要实施路由策略的路由信息的特征,即定义⼀组匹配规则,这就是路由策略中必须使⽤的过滤器。
可以⽤路由信息中的不同属性作为过滤器的匹配依据,如路由的⽬的地址、源地址等。
然后将匹配规则应⽤于路由的发布、接收和引⼊等过程的策略中。
在⼀个路由策略中可以包括多组以if-match语句指定的匹配条件,这些匹配条件是以节点(Node)来进⾏标识的。
如果在⼀个路由策略中包括多个节点,则路由会按照节点号从⼩到⼤依次进⾏匹配,直到与某节点的条件完全匹配(后⾯的节点就不在去匹配了),如果到了路由策略中所包括的最后⼀个节点仍没有完全匹配,则该路由拒绝通过。
策略路由和路由策略原理-整理
Interface GE11/1/0 GE11/1/0 Ethernet12/2/0 Ethernet12/2/0.200 InLoopBack0 GE11/1/0
RTB PC1 RTA RTC PC2 RTD
策略路由的引入
普通路由转发基于路由表进行报文的转发: 路由表的建立 直联路由 静态配置路由条目; 动态路由协议学习生成; 对于同一目的网段,可能存在多条distance不等的路由条目
有报文都匹配,根据permit/deny执行相应的操作,不再继 续往下匹配。但是策略路由的统计数字改变。
4、如果匹配项中使用的acl根本不存在,则缺省是不匹配任何
Page 22
报文。
5、当直接出接口指定为本地的以太网接口、子接口、
Virtual-Template接口时,虽然从指定接口转发,但不能正
通过设置IP Precedence或Tos来实现QOS。 实现负载均衡。
策略路由的分类
1、按报文分类:分为单播策略路由(针对单播报文进 行控制)和组播策略路由(只对组播报文进行控制)。
我是单播策略,单播 报文听我指挥,该报 文从接口e0/0转发
RTB RTE
单播报文 组播报文
RTA
我是组播策略,组播 报文听我指挥,该报 文从接口e1/0和s0/0 转发
直连路由:路由器接口所连接的子网的路由方式称为直连路由; 非直连路由:通过路由协议从别的路由器学到的路由称为非直连路由;分 为静态路由和动态路由; 直连路由是由链路层协议发现的,一般指去往路 由器的接口地址所在网段的路径,该路径信息不需要网络管理员维护,也 不需要路由器通过某种算法进行计算获得,只要该接口处于活动状态 (Active),路由器就会把通向该网段的路由信息填写到路由表中去,直连路 由无法使路由器获取与其不直接相连的路由信息。
route-map
route-map 从浅显到深⼊的理解理解策略路由PBR与路由策略的区别(拒绝知识的复制)今天,这个专题应⽤下route-map,在这个之前,有很多内容需要掌握,不是简单的制定⼀个路由图就可以了。
--------本次专题理论的东西居多,但是不是复制黏贴,是加上⾃⼰的理解思想。
第⼀个要解决的问题:路由策略和策略路由有什么区别?到底为何物?先说策略路由,影响的不是路由表的⽣产,策略路由⼜叫PBR,是Policy-based routing策略基于路由,那么这个路由表存在是已经存在⽽且稳定的。
⽤TCP/IP路由技术⼀书的表述就是:策略路由就是⼀个复杂的静态路由。
总结:策略路由是⼀个基于路由表的影响特定数据包的转发的⼀个⽅式,这个⽅式是应⽤于接⼝下的。
例如:让192.168.1.1的数据包都从s0/1⾛,让192.168.1.2的数据包都从s0/1⾛access-list 1 permit host 192.168.1.1access-list 2 permit host 192.168.1.2route-map ccie permit 10match ip address 1set interface s0/1router0map ccie permit 20match ip address 2set interface s0/2int fa1/0ip policy route-map ccie注意:set interface s0/1 与 set default interface s0/1set ip next-hip 与 set default ip next-hop 是有区别的,前者不查找路由直接进⾏了转发,⽽后者是先查找路由表,查找不到精确的路由表时才会转发到下⼀跳接⼝或IP。
注意:PBR只有进⽅向⽅向,⼀定要注意!PBR优先于路由表查找注意:策略路由PBR默认只对穿越流量⽣效,(config)#(ip local policy route-map ccie) //这样写是策略理由也影响本地产⽣的流量思科利⽤策略路由最常⽤的⽅式是丢弃报⽂:set interface null 0 (这样⽐acl deny 减少很多开销)int null 0no ip unreachable //为了防⽌丢弃报⽂返回⼤量的不可达信息路由策略开始了,路由策略说⽩了就是影响路由表最终⽣成的结果的,⽐如我可以匹配ACL之后修改OSPF⽹络中的COST,达到改变路由表的效果。
思科Cisco策略路由与路由策略实例详解
思科Cisco策略路由与路由策略实例详解本⽂讲述了思科Cisco策略路由与路由策略。
分享给⼤家供⼤家参考,具体如下:⼀、策略路由1. 路由策略与策略路由2. 策略路由的特点3.策略路由的配置3.1 接⼝下配置3.2 全局配置3.3 策略路由的冗余设置3.4 default语句3.5 为流量打ToS标记⼆、路由策略1.抓取流量的列表1.1 ACL访问控制列表1.2 prefix-list前缀列表2. 路由策略⼯具2.1 distribute-list分发列表2.2 route-map路由镜像2.3 OSPF filter-list⼀、策略路由1. 路由策略与策略路由路由策略是对路由信息本⾝的参数进⾏修改、控制等,最终影响路由表的⽣成,说⽩了路由策略就是告诉设备怎么学,⼀般与BGP结合使⽤⽐较多。
策略路由PBR,策略基于路由重点在路由,就是通过策略控制数据包的转发⽅向。
也有⼈把策略路由称之为⼀个复杂的静态路由。
⼀般来讲,策略路由是先于路由表执⾏的。
即设备在转发报⽂时,⾸先将报⽂与策略路由的匹配规则进⾏⽐较。
若符合匹配条件,则按策略路由进⾏转发;如果报⽂⽆法匹配策略路由的条件,再按照普通路由进⾏转发。
策略路由在转化层⾯不如路由表。
原因是匹配的东西过多,底层芯⽚处理⽀持有限。
使⽤原则是能不⽤就不⽤。
如果出现⾮⽬的地址的转发策略,果断⽤。
2. 策略路由的特点传统的路由表转发只能通过数据的⽬标地址做决策;策略路由可以根据源地址、⽬的地址、源端⼝、⽬的端⼝、协议、TOS等流量特征来做策略提供路由,灵活性⾼。
为QoS服务。
使⽤route-map及策略路由可以根据数据包的特征修改其相关QoS项,进⾏为QoS服务。
负载均衡。
使⽤策略路由可以设置数据包的⾏为,⽐如下⼀跳、下⼀接⼝等,这样在存在多条链路的情况下,可以根据数据包的应⽤不同⽽使⽤不同的链路,进⽽提供⾼效的负载均衡能⼒。
策略路由PBR默认只对穿越流量⽣效,不能处理本路由器产⽣流量3.策略路由的配置3.1 接⼝下配置接⼝下只能捕获该接⼝的⼊接⼝流量做策略(不能处理本路由器产⽣流量)R1(config)#access-list 100 permit ip host 1.1.1.1 any //⽤ACL捕获流量R1(config)#route-map pbr permit 10 //定义route-mapR1(config-route-map)#match ip add 100 //调⽤被ACL捕获的流量R1(config-route-map)#set ip next-hop 10.1.1.1 //设置下⼀跳R1(config-route-map)#exitR1(config)#int f0/0R1(config-if)#ip policy route-map pbr //接⼝下调⽤3.2 全局配置能够捕获所有⼊接⼝流量以及本路由器产⽣的流量(源地址是本路由器流量)R1(config)#access-list 100 permit ip host 1.1.1.1 any //⽤ACL捕获流量R1(config)#route-map pbr permit 10 //定义route-mapR1(config-route-map)#match ip add 100 //调⽤被ACL捕获的流量R1(config-route-map)#set ip next-hop 10.1.1.1 //设置下⼀跳R1(config-route-map)#exitR1(config)#ip local policy route-map pbr //全局下调⽤3.3 策略路由的冗余设置R1(config)#route-map PBR permit 10R1(config-route-map)#set ip next-hop verify-availability 10.1.24.2 1 track 1 //设置track监控,若track监控成功,执⾏该语句;若失败,则转为执⾏下条语句R1(config-route-map)#set ip next-hop 10.1.34.3R1(config-route-map)#exitR1(config)#ip local policy route-map PBRR1(config)#track 1 ip sla 1 //定义⼀个track监控 sla的探测结果R1(config-track)#ip sla 1 //定义⼀个slaR1(config-ip-sla)#icmp-echo 10.1.12.1 source-ip 10.4.4.4 //设置其探针R1(config)#ip sla schedule 1 life forever start-time now //设置sla 1的执⾏时间3.4 default语句在route-map的set ip default这个位置输⼊,定义为被捕获的流量先查路由表,如果能精确匹配(如果抓的为10.5.5.5,路由表中有10.5.5.5/24这不叫精确匹配;如果10.5.5.5/32则叫精确匹配)就执⾏路由表;如果不能则执⾏策略路由。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
路由策略
过滤发布和接收的路由信息 灵活地控制路由属性
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
用路由策略解决这些问题
内部公开▲
问题一解决方案:
AS100
Lo0:30.1.1.1/32
Lo1:20.1.1.1/32
A1.1.1/30
10.1.1.2/30
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
route-map-match语句
内部公开▲
match的匹配条件
match ip address <access-list-number> | prefix-list < prefix-list name> match metric <metric-value> match tag <tag-value> match as-path <path-list-number> match community-list <community-list-number> match route-type {<route-type> | external [<external-type>]}
20.1.1.2/30
BB
AS200
B路由器通过使用路由策略过滤接收的路由信 息,只接收20.1.1.1/32网段的路由,屏蔽 30.1.1.1/32网段的路由
问题二解决方案:
A路由器通过路由策略过滤对B发布的路由信 息,只发布只本AS100域内产生的路由,其 他路由不对B发布
问题三解决方案:
路由器B通过使用路由策略修改由10.1.1.0/30 网段链路接收到的路由条目的优先级,使其 优先级高于从20.1.1.0/30网段链路学习到的 路由条目
仅针对BGP协议,用于匹配BGP路由信息的自治系统路径域,与路 由映像结合使用
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
路由策略的定义方法(2)
内部公开▲
团体属性列表(community-list)
仅针对BGP协议,用于匹配BGP路由信息的自治系统团体域,与路 由映像结合使用
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
route-map-执行原则(1)
组合一:
access-list 1 permit 1.1.1.1 0.0.0.0 route-map redistribute permit 10
match ip address 1 set metric 300 router ospf 100 redistribute static route-map redistribute
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
route-map-示例
内部公开▲
定义一个名为test的route-map
route-map test permit 2
//sequence-number为2
match ××××
set ××××
route-map test permit 3
//sequence-number为3
match ××××
set ××××
该示例中,route-map由2个部分组成,sequence-number为2的 部分将优先执行。如果匹配了sequence-number为2的match部 分,则对匹配的部分进行相应的set操作,如果不匹配sequencenumber为2的部分,则继续匹配下一跳sequence-number为3的 部分。如果都不匹配,默认为deny,此路由条目将不被发布或者 接收。
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
route-map-set语句
内部公开▲
set可以执行的动作
set as-path prepend <as-path-number> set community { no-advertise | no-export | no-export-subconfed } set dampening <half-life> <reuse> <suppress> <max-suppress-time> set local-preference <value> set metric [+|-]<metric-value> set metric-type { internal | external | type-1 | type-2 } set origin { igp | egp | incomplete } set tag <tag-value>
内部公开▲
定义AS路径的表达式
AS路径记录了BGP路由信息经过的AS系统
ip as-path access-list <access-list-number> {permit|deny} <as-regular-expression>
使用as-path access-list作为定义路由策略的方法仅适 用于BGP协议
扩展ACL,可以源和目的地址、源和目的端口、协议类型作 为精确的过滤条件
access-list <access-list-number> {permit | deny} <protocol> <source> <source-wildcard> [source <port>] <destination> <destination-wildcard> [destination <port>]
根据匹配条件进行设置,主要由match和set语句组成
访问控制列表(access control list)
用于配置匹配条件
前缀列表(prefix-list )
作用类似ACL,用于配置匹配条件,可单独使用,也可与路由映像、 area filter-list结合使用
自治系统路径访问列表(as-path access-list )
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
prefix-list
内部公开▲
设置匹配条件的方法,与access-list类似
ip prefix-list prefix-list name [<sequence-number>] {permit | deny} network length [ ge greater-equal | le less-equal ]
match ip address 1 set metric 120 router ospf 100 redistribute static route-map redistribute
结果: 所有的静态路由都不能够重分发
内部公开▲
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
route-map-执行原则(3)
内内部部公公开开▲▲
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
学习内容
• 第一章 路由策略
第一节 路由策略的作用 第二节 路由策略的定义方法 第三节 常见的路由策略的应用
内内部部公公开开▲▲
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
什么是路由策略
内部公开▲
问题二:
A路由器只对B发布本AS100域内产生的路 由,其他路由条目出于安全考虑,需要对 B屏蔽
问题三:
路由器B需要路由器优先选择10.1.1.0/32 网段的链路通往AS100
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
路由策略的作用
内部公开▲
需要一个有效的方法解决上面的问题!!
内部公开▲
结果: 重分发成功,指向1.1.1.1的静态路由被重分发到OSPF,并且
METRIC值被设置为300
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
route-map-执行原则(2)
组合二:
access-list 1 permit 1.1.1.1 0.0.0.0 route-map redistribute deny 10
OSPF路由过滤器(filter)
仅针对OSPF协议,用于过滤Type-5、Type-7 LSA
OSPF区域过滤列表(area filter-list)
仅针对OSPF协议区域间路由过滤,过滤Type-3 LSA
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
route-map
<本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传>
as-path access-list-AS正则表达式
内部公开▲
AS路径的正则表达式用来定义匹配BGP路由信息的 AS路径条件
字符 $ . _ ^
内部公开▲
route-map <map-tag> [permit|deny] [<sequence-number>] match 匹配条件 set 动作
route-map由一系列的match子句和set子句组成 序列号小的先执行 匹配AS-path时使用as-path access-list 匹配community时使用community-list 匹配IP address时使用access-list