没有合适的资源?快使用搜索试试~ 我知道了~
首页华为的访问控制列表ACL
资源详情
资源评论
资源推荐
i
目 录
1 ACL简介 ............................................................................................................................................ 1-1
1.1 ACL概述 ............................................................................................................................................1-1
1.1.1 ACL概述 .................................................................................................................................1-1
1.1.2 ACL在交换机上的应用方式 ....................................................................................................1-1
1.2 IPv4 ACL简介....................................................................................................................................1-2
1.2.1 IPv4 ACL分类 .........................................................................................................................1-2
1.2.2 IPv4 ACL命名 .........................................................................................................................1-2
1.2.3 IPv4 ACL匹配顺序..................................................................................................................1-2
1.2.4 IPv4 ACL步长 .........................................................................................................................1-3
1.2.5 IPv4 ACL生效时间段 ..............................................................................................................1-3
1.2.6 IPv4 ACL对分片报文的处理 ...................................................................................................1-4
1.3 IPv6 ACL简介....................................................................................................................................1-4
1.3.1 IPv6 ACL分类 .........................................................................................................................1-4
1.3.2 IPv6 ACL命名 .........................................................................................................................1-4
1.3.3 IPv6 ACL匹配顺序..................................................................................................................1-4
1.3.4 IPv6 ACL步长 .........................................................................................................................1-5
1.3.5 IPv6 ACL生效时间段 ..............................................................................................................1-5
2 IPv4 ACL配置 .................................................................................................................................... 2-1
2.1 配置时间段 ........................................................................................................................................2-1
2.1.1 配置时间段..............................................................................................................................2-1
2.1.2 时间段配置举例 ......................................................................................................................2-1
2.2 配置基本IPv4 ACL.............................................................................................................................2-2
2.2.1 配置准备 .................................................................................................................................2-2
2.2.2 配置基本IPv4 ACL..................................................................................................................2-2
2.2.3 基本IPv4 ACL配置举例...........................................................................................................2-3
2.3 配置高级IPv4 ACL.............................................................................................................................2-3
2.3.1 配置准备 .................................................................................................................................2-3
2.3.2 配置高级IPv4 ACL..................................................................................................................2-4
2.3.3 高级IPv4 ACL配置举例...........................................................................................................2-5
2.4 配置二层ACL.....................................................................................................................................2-5
2.4.1 配置准备 .................................................................................................................................2-5
2.4.2 配置二层ACL .......................................................................................................................... 2-5
2.4.3 二层ACL配置举例...................................................................................................................2-6
2.5 拷贝IPv4 ACL....................................................................................................................................2-6
2.5.1 配置准备 .................................................................................................................................2-6
2.5.2 拷贝IPv4 ACL .........................................................................................................................2-6
2.6 IPv4 ACL显示和维护.........................................................................................................................2-7
2.7 IPv4 ACL典型配置举例 .....................................................................................................................2-7
2.7.1 组网需求 .................................................................................................................................2-7
2.7.2 组网图.....................................................................................................................................2-7
2.7.3 配置步骤 .................................................................................................................................2-8
ii
3 IPv6 ACL配置 .................................................................................................................................... 3-1
3.1 配置时间段 ........................................................................................................................................3-1
3.2 配置基本IPv6 ACL.............................................................................................................................3-1
3.2.1 配置准备 .................................................................................................................................3-1
3.2.2 配置基本IPv6 ACL..................................................................................................................3-1
3.2.3 基本IPv6 ACL配置举例...........................................................................................................3-2
3.3 配置高级IPv6 ACL.............................................................................................................................3-2
3.3.1 配置准备 .................................................................................................................................3-2
3.3.2 配置高级IPv6 ACL..................................................................................................................3-3
3.3.3 高级IPv6 ACL配置举例...........................................................................................................3-4
3.4 配置二层ACL.....................................................................................................................................3-4
3.5 拷贝IPv6 ACL....................................................................................................................................3-4
3.5.1 配置准备 .................................................................................................................................3-4
3.5.2 拷贝IPv6 ACL .........................................................................................................................3-4
3.6 IPv6 ACL显示和维护.........................................................................................................................3-4
3.7 IPv6 ACL典型配置举例 .....................................................................................................................3-5
3.7.1 组网需求 .................................................................................................................................3-5
3.7.2 组网图.....................................................................................................................................3-5
3.7.3 配置步骤 .................................................................................................................................3-5
4 应用ACL进行报文过滤....................................................................................................................... 4-1
4.1 配置对IPv4 报文进行过滤..................................................................................................................4-1
4.2 配置对IPv6 报文进行过滤..................................................................................................................4-2
4.3 应用ACL进行报文过滤典型配置举例.................................................................................................4-2
4.3.1 以太网端口报文过滤典型配置举例 .........................................................................................4-2
4.3.2 VLAN接口报文过滤典型配置举例...........................................................................................4-3
1-1
1 ACL 简介
本章所介绍的 ACL 包括 IPv4 ACL 和 IPv6 ACL。
1.1 ACL
概述
1.1.1 ACL 概述
随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。
通过对报文进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。
ACL(Access Control List,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现包
过滤的功能。
ACL 通过一系列的匹配条件对报文进行分类,这些条件可以是报文的源 MAC 地址、目的 MAC 地
址、源 IP 地址、目的 IP 地址、端口号等。
1.1.2 ACL 在交换机上的应用方式
交换机上定义的 ACL 支持以下两种应用方式:
z 基于硬件的应用:ACL 被下发到硬件,例如将 ACL 应用到端口或 VLAN 接口对报文进行过滤
或在配置 QoS 功能时引用 ACL,对报文进行流分类。需要注意的是,当 ACL 被 QoS 功能引
用时,ACL 规则中定义的动作(deny 或 permit)不起作用,交换机对匹配此 ACL 的报文采
取的动作由 QoS 中流行为定义的动作决定。关于流行为的详细介绍请参见 QoS 分册的“QoS
配置”部分。
z 基于软件的应用:ACL 被上层软件引用,例如配置登录用户控制功能时引用 ACL,对 Telnet、
SNMP 和 WEB 用户进行控制。需要注意的是,当 ACL 被上层软件引用时,交换机对匹配此
ACL 的报文采取的动作由 ACL 规则中定义的动作(deny 或 permit)决定。关于登录用户控
制的详细介绍请参见系统分册的“登录交换机配置”部分。
1-2
z 当 ACL 下发到硬件,被 QoS 策略引用进行流分类时,如果报文没有与 ACL 中的规则匹配,此时
交换机不会使用流行为中定义的动作对此类报文进行处理。
z 当 ACL 被上层软件引用,对 Telnet、SNMP 和 WEB 登录用户进行控制时,如果报文没有与 ACL
中的规则匹配,此时交换机对此类报文采取的动作为 deny,即拒绝报文通过。
z 关于应用ACL对报文进行过滤的介绍和配置,请参见 4 应用ACL进行报文过滤。
1.2 IPv4 ACL
简介
1.2.1 IPv4 ACL 分类
IPv4 ACL根据ACL序号来区分不同的ACL,可以分为三种类型,如 表 1-1所示。
表1-1 IPv4 ACL 分类
IPv4 ACL 类型 ACL 序号范围 区分报文的依据
基本 IPv4 ACL 2000~2999 只根据报文的源 IP 地址信息制定匹配规则
高级 IPv4 ACL 3000~3999
根据报文的源 IP 地址信息、目的 IP 地址信息、IP 承载的协
议类型、协议的特性等三、四层信息制定匹配规则
二层 ACL 4000~4999
根据报文的源 MAC 地址、目的 MAC 地址、802.1p 优先级、
二层协议类型等二层信息制定匹配规则
1.2.2 IPv4 ACL 命名
用户在创建 IPv4 ACL 时,可以为 ACL 指定一个名称。每个 IPv4 ACL 最多只能有一个名称。命名
的 ACL 使用户可以通过名称唯一地确定一个 IPv4 ACL,并对其进行相应的操作。
在创建 ACL 时,用户可以选择是否配置名称。ACL 创建后,不允许用户修改或者删除 ACL 名称,
也不允许为未命名的 ACL 添加名称。
IPv4 ACL 的名称对于 IPv4 ACL 全局唯一,但允许与 IPv6 ACL 使用相同的名称。
1.2.3 IPv4 ACL 匹配顺序
一个 ACL 中可以包含多个规则,而每个规则都指定不同的报文匹配选项,这些规则可能存在重复或
矛盾的地方,在将一个报文和 ACL 的规则进行匹配的时候,到底采用哪些规则呢?就需要确定规则
的匹配顺序。
IPv4 ACL 支持两种匹配顺序:
z 配置顺序:按照用户配置规则的先后顺序进行规则匹配。
z 自动排序:按照“深度优先”的顺序进行规则匹配。
1. 基本 IPv4 ACL 的“深度优先”顺序判断原则如下
(1) 先比较源 IP 地址范围,源 IP 地址范围小(反掩码中“0”位的数量多)的规则优先;
1-3
(2) 如果源 IP 地址范围也相同,则先配置的规则优先。
2. 高级 IPv4 ACL 的“深度优先”顺序判断原则如下
(1) 先比较协议范围,指定了 IP 协议承载的协议类型的规则优先;
(2) 如果协议范围相同,则比较源 IP 地址范围,源 IP 地址范围小(反掩码中“0”位的数量多)
的规则优先;
(3) 如果协议范围、源 IP 地址范围相同,则比较目的 IP 地址范围,目的 IP 地址范围小(反掩码
中“0”位的数量多)的规则优先;
(4) 如果协议范围、源 IP 地址范围、目的 IP 地址范围相同,则比较四层端口号(TCP/UDP 端口
号)范围,四层端口号范围小的规则优先;
(5) 如果上述范围都相同,则先配置的规则优先。
3. 二层 ACL 的“深度优先”顺序判断原则如下
(1) 先比较源 MAC 地址范围,源 MAC 地址范围小(掩码中“1”位的数量多)的规则优先;
(2) 如果源 MAC 地址范围相同,则比较目的 MAC 地址范围,目的 MAC 地址范围小(掩码中“1”
位的数量多)的规则优先;
(3) 如果源 MAC 地址范围、目的 MAC 地址范围相同,则先配置的规则优先。
在报文匹配规则时,会按照匹配顺序去匹配定义的规则,一旦有一条规则被匹配,报文就不再继续
匹配其它规则了,交换机将对该报文执行第一次匹配的规则指定的动作。
1.2.4 IPv4 ACL 步长
1. 步长的含义
步长的含义是:交换机自动为 ACL 规则分配编号的时候,每个相邻规则编号之间的差值。例如,如
果将步长设定为 5,规则编号分配是按照 0、5、10、15…这样的规律分配的。缺省情况下,步长为
5。
当步长改变后,ACL 中的规则编号会自动重新排列。例如,原来规则编号为 0、5、10、15,当通
过命令把步长改为 2 后,则规则编号变成 0、2、4、6。
当使用命令将步长恢复为缺省值后,交换机将立刻按照缺省步长调整 ACL 规则的编号。例如:ACL
3001,步长为 2,下面有 4 个规则,编号为 0、2、4、6。如果此时使用命令将步长恢复为缺省值,
则 ACL 规则编号变成 0、5、10、15,步长为 5。
2. 步长的作用
用户可以使用步长方便地在规则之间插入新的规则。例如配置好了 4 个规则,规则编号为:0、5、
10、15。此时如果用户希望能在第一条规则之后插入一条规则,则可以使用命令在 0 和 5 之间插入
一条编号为 1 的规则。
另外,在定义一条 ACL 规则的时候,用户可以不指定规则编号,这时,系统会从 0
开始,按照步
长,自动为规则分配一个大于现有最大编号的最小编号。假设现有规则的最大编号是 28,步长是 5,
那么系统分配给新定义的规则的编号将是 30。
1.2.5 IPv4 ACL 生效时间段
时间段用于描述一个特殊的时间范围。用户可能有这样的需求:一些 ACL 规则需要在某个或某些特
定时间内生效,而在其他时间段则不利用它们进行报文过滤,即通常所说的按时间段过滤。这时,
剩余25页未读,继续阅读
fengyuchangqing
- 粉丝: 0
- 资源: 7
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- zigbee-cluster-library-specification
- JSBSim Reference Manual
- c++校园超市商品信息管理系统课程设计说明书(含源代码) (2).pdf
- 建筑供配电系统相关课件.pptx
- 企业管理规章制度及管理模式.doc
- vb打开摄像头.doc
- 云计算-可信计算中认证协议改进方案.pdf
- [详细完整版]单片机编程4.ppt
- c语言常用算法.pdf
- c++经典程序代码大全.pdf
- 单片机数字时钟资料.doc
- 11项目管理前沿1.0.pptx
- 基于ssm的“魅力”繁峙宣传网站的设计与实现论文.doc
- 智慧交通综合解决方案.pptx
- 建筑防潮设计-PowerPointPresentati.pptx
- SPC统计过程控制程序.pptx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论1