acl
交換機 s2000-HI
ACL
通路控制清單 主要用來實作流識别功能。網絡裝置為
了過濾資料包,需要配置一系列的比對規則,以識别需要過濾的封包。在識别出特
定的封包之後,才能根據預先設定的政策允許或禁止相應的資料包通過。
ACL 通過一系列的比對條件對資料包進行分類,這些條件可以是資料包的源位址、
目的位址、端口号等。
由ACL 定義的資料包比對規則,可以被其它需要對流量進行區分的功能引用,如
QoS 中流分類規則的定義。
根據應用目的,可将ACL 分為下面幾種:
基本ACL :隻根據三層源IP 位址制定規則。
進階ACL :根據資料包的源 IP 位址資訊、目的 IP 位址資訊、IP 承載的協定類
型、協定特性等三、四層資訊制定規則。
二層ACL :根據源MAC位址、目的MAC位址、VLAN 優先級、二層協定類
型等二層資訊制定規則。
ACL 在交換機上的應用方式
1. ACL直接下發到硬體中的情況
交換機中ACL 可以直接下發到交換機的硬體中用于資料轉發過程中封包的過濾和
流分類。此時一條 ACL 中多個規則的比對順序是由交換機的硬體決定的,使用者即使
在定義ACL 時配置了比對順序,該比對順序也不起作用。
ACL 直接下發到硬體的情況包括:交換機實作 QoS 功能時引用ACL 、通過 ACL 過
濾轉發資料等。
2. ACL被上層子產品引用的情況
交換機也使用ACL 來對由軟體處理的封包進行過濾和流分類。此時ACL 規則的匹
配順序有兩種:config(指定比對該規則時按使用者的配置順序)和 auto(指定比對
該規則時系統自動排序,即按“深度優先”的順序)。這種情況下使用者可以在定義
ACL 的時候指定一條ACL 中多個規則的比對順序。使用者一旦指定某一條ACL 的匹
配順序,就不能再更改該順序。隻有把該清單中所有的規則全部删除後,才能重新
指定其比對順序。
ACL 被軟體引用的情況包括:對登入使用者進行控制時引用ACL 等。
ACL 比對順序
ACL 支援兩種比對順序:
配置順序:根據配置順序比對ACL 規則。
自動排序:根據“深度優先”規則比對ACL 規則。
“深度優先”的原則是指:把指定資料包範圍最小的語句排在最前面。這一
點可以通過比較位址的通配符來實作,通配符越小,則指定的主機的範圍就
越小。比如129.102.1.1 0.0.0.0 指定了一台主機:129.102.1.1,而129.102.1.1
0.0.255.255 則指定了一個網段:129.102.1.1~129.102.255.255。顯然前者
在通路控制規則中排在前面。具體标準為:對于基本通路控制規則的語句,
直接比較源位址通配符,通配符相同的則按配置順序;對于基于接口過濾的
通路控制規則,配置了“any ”的規則排在後面,其它按配置順序;對于進階
通路控制規則,首先比較源位址通配符,相同的再比較目的位址通配符,仍
相同的則比較端口号的範圍,範圍小的排在前面,如果端口号範圍也相同則
按配置順序。
基于時間段的ACL
基于時間段的ACL 使使用者可以區分時間段對封包進行ACL 控制。
ACL 中的每條規則都可選擇一個時間段。如果規則引用的時間段未配置,則系統給
出提示資訊,并允許這樣的規則建立成功。但是規則不能立即生效,直到使用者配置
了引用的時間段,并且系統時間在指定時間段範圍内才能生效。如果使用者手工删除
ACL 規則引用的時間段,則在ACL 規則定時器重新整理後,該規則将失效。
交換機支援的ACL 如下:
基本ACL
進階ACL
S2000-HI交換機上定義的ACL 隻能用于被上層子產品引用的情況,不能下發到硬體。
在同一個名字下可以配置多個時間段,這些時間段之間是“或”的關系。
案例
配置時間段,取值為周一到周五每天8:00 到18:00。
und 基本ACL 的序号取值範圍為2000~2999。注意:
在定義ACL 規則時如果不指定編号,使用者将建立并定義一個新規則,裝置将自動為
這個規則配置設定一個編号。
配置ACL 2000,禁止源位址為1.1.1.1的封包通過
定義進階ACL
進階ACL 可以使用資料包的源位址資訊、目的位址資訊、IP 承載的協定類型、針對
協定的特性,例如TCP 或UDP的源端口、目的端口,TCP 标記,ICMP 協定的類
型、code等内容定義規則。
進階ACL 序号取值範圍3000~3999。
進階ACL 支援對三種封包優先級的分析處理:ToS (Type Of Service,服務類型)
優先級、IP 優先級和DSCP (Differentiated Services Codepoint Priority,差分服務
編碼點優先級)。
使用者可以利用進階ACL 定義比基本ACL 更準确、更豐富、更靈活的規則。
注意
sour-wildcard 與dest -wildcard 為目标子網路遮罩的反碼,點分十進制表示。例如,如
果使用者想指定子網路遮罩255.255.0.0,則需要輸入0.0.255.255。可以為0,表示主
機位址。
如果選擇dscp關鍵字直接輸入數值0~63
如果選擇precedence關鍵字直接輸入數值0~7
如果選擇tos 關鍵字直接輸入數值 0~15
對于在定義ACL 規則時指定編号的情況
如果指定編号對應的規則已經存在,使用者将編輯該規則,規則中編輯後的部分
将覆寫原來的内容,未被編輯的部分保持不變;
如果指定編号對應的規則不存在,使用者将建立并定義一個新的規則。
編輯後或新建立的規則不能和已經存在的規則内容完全相同,否則會導緻編輯
或建立不成功,系統會提示該規則已經存在。
這個規則配置設定一個編号。
配置ACL 3000,允許從 129.9.0.0網段的主機向202.38.160.0 網段的主機發送的
端口号為80的封包通過。
<Quidway>system-view
[Quidway] acl number 3000
ACL S3500系列以太網交換機
定義進階通路控制清單
進階通路控制清單根據源IP 、目的IP 、使用的TCP 或UDP端口号、封包優
先級等資料包的屬性資訊制定分類規則,對資料包進行相應的處理。進階訪
問控制清單支援對三種封包優先級的分析處理:TOS(Type Of Service)優先
級、IP 優先級和 DSCP 優先級。
基于數字表示的進階通路控制清單198 、199 号ACL 是交換機預留給叢集模
塊的。如果交換機沒有啟動叢集,使用者可以對這兩條通路控制清單進行配置
和修改,但是此後如果使用者在交換機上打開了叢集特性,叢集産生的通路控
制清單将自動取代使用者配置的通路控制清單。如果交換機上已經啟動了叢集
特性,将禁止使用者進行配置和修改,但是使用者可以在其它應用中引用198 、
199 号ACL 規則,也可以檢視這兩條規則。
進階通路控制清單的數字辨別取值範圍為100 ~199 。
需要注意的是,上面指令中的port1、port2 參數指的是各種高層應用使用的
TCP 或者UDP的端口号,對于部分常見的端口号,可以用相應的助記符來代
替其實際數字,如使用“bgp ”來代替BGP協定使用的 TCP 端口号179 。
說明:
對于S3026 FM、S3026 FS、S3526 、S3526 FM、S3526 FS交換機,使用者
在配置IP-any 的規則的時候,即源位址為主機IP 位址,目的位址為任意IP
位址,不能配置協定類型(即rule 指令中protocol 參數)。如果使用者配置了
協定類型,交換機會傳回配置錯誤資訊。
基于數字辨別的接口通路控制清單的數字辨別的取值範圍為1000~1999
說明:
在以太網交換機中,不存在三層實體接口,隻存在三層Vlan 虛接口,是以當
指令行提示使用者輸入接口類型時,隻能選擇 Vlan-interface型的接口,選擇了
其他類型的接口類型,指令行将會提示失敗
定義二層通路控制清單
二層通路控制清單根據源MAC位址、源 VLAN ID 、二層協定類型、封包二層
接收端口、封包二層轉發端口、目的 MAC位址等二層資訊制定規則,對資料
進行相應處理。
二層通路控制清單的數字辨別取值範圍為200 ~299 。
激活通路控制清單
将通路控制清單定義好後,必須激活之後才能使之生效。本配置用來激活那
些對交換機硬體轉發的資料進行過濾或分類的通路控制清單。
本指令支援同時激活二層通路控制清單和IP 通路控制清單(IP 通路控制清單
包括基本通路控制清單、進階通路控制清單),但是要求組合項的動作一緻,
如果動作沖突(一個是permit ,而另一個是deny)則不能激活。
公司企業網通過Switch 的百兆端口實作各部門之間的互連。财務部門的工資
查詢伺服器由Ethernet2/1端口接入(子網位址129.110.1.2)。要求正确配
置ACL ,限制其它部門在上班時間 8:00 至12:00 通路工資伺服器,而總裁辦
公室(IP 位址:129.111.1.2)不受限制,可以随時通路。
定義上班時間段
# 定義8:00 至18:00 的周期時間段。
[Quidway] time-range huawei 8:00 to 18:00 working-day
(2) 定義到工資伺服器的ACL
進入基于名字的進階通路控制清單視圖,命名為traffic-of-payserver 。
[Quidway] acl name traffic-of-payserver advanced
# 定義其它部門到工資伺服器的通路規則。
[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination
129.110.1.2 0.0.0.0 time-range huawei
# 定義總裁辦公室到工資伺服器的通路規則。
[Quidway-acl-adv-traffic-of-payserver] rule 2 permit ip source 129.111.1.2
0.0.0.0 destination 129.110.1.2 0.0.0.0
(3) 激活ACL 。
# 将traffic-of-payserver 的ACL 激活。
[Quidway] packet-filter ip-g roup traffic-of-payserver
配置對TELNET 使用者的ACL 控制
通過配置對TELNET 使用者的 ACL 控制,可以在進行密碼認證之前将一些惡意
或者不合法的連接配接請求過濾掉,保證裝置的安全。
ACL 控制功能能夠引用的通路控制清單隻能是基于數字辨別的基本訪
問控制清單,數字的取值範圍為1~99。
注意
在定義過程中,可以多次使用rule 指令給同一個通路控制清單定義多條規則。
TELNET 使用者的ACL 控制功能隻能引用基于數字辨別的基本通路控制清單
定義基本通路控制清單。
[Quidway] acl number 20 match-order config
[Quidway-acl-20] rule 1 pe rmit source 10.110.100.52 0
[Quidway-acl-20] rule 2 pe rmit source 10.110.100.46 0
[Quidway-acl-20] quit
# 引用通路控制清單。
[Quidway] user-interface vty 0 4
[Quidway-user-interface-vty0-4] acl 20 inbound
對通過SNMP 通路交換機的使用者的ACL 控制
僅允許來自10.110.100.52 和10.110.100.46 的SNMP 使用者通路交換機。
[Quidway] acl number 21 match-order config
[Quidway-acl-21] rule 1 pe rmit source 10.110.100.46 0
[Quidway-acl-21] quit
[Quidway] acl number 22 match-order config
[Quidway-acl-22] rule 1 pe rmit source 10.110.100.55 0
[Quidway-acl-22] quit
引用通路控制清單。
[Quidway] snmp-agent community read huawei acl 20
[Quidway] snmp-agent group v2c huaweigroup acl 21
[Quidway] snmp-agent usm-user v2c huaweiuser huaweigroup acl 22
對通過HTTP 通路交換機的使用者的 ACL 控制