- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
23-ACL典型配置指导
本章节下载 (193.14 KB)
目 录
基本ACL只根据源IP地址制定规则,对数据包进行相应的分析处理。
基本ACL的序号取值范围为2000~2999。
图1-1 基本ACL配置组网图
PC 1和PC 2通过端口Ethernet1/0/1接入交换机(以S3600系列以太网交换机为例),PC 1的IP地址为10.1.1.1。要求配置基本ACL,实现在每天8:00~18:00的时间段内对PC 1发出的IP报文进行过滤。
表1-1 配置适用的产品与软硬件版本关系
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S5100-EI系列 |
Release 2200、Release 2201软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-52P |
Release 1500、Release 1602软件版本 |
S3100-52P |
|
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
|
E352&E328 |
Release 1510、Release 1602软件版本 |
E352&E328 |
|
E152 |
Release 1500、Release 1602软件版本 |
E152 |
|
E126A |
Release 2104、Release 2107软件版本 |
E126A |
# 定义周期时间段test,时间范围为每天的8:00~18:00。
<Sysname> system-view
[Sysname] time-range test 8:00 to 18:00 daily
# 定义基本ACL 2000,配置源IP地址为10.1.1.1的访问规则。
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule 1 deny source 10.1.1.1 0 time-range test
[Sysname-acl-basic-2000] quit
# 在端口Ethernet1/0/1上应用ACL 2000。
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] packet-filter inbound ip-group 2000
#
acl number 2000
rule 1 deny source 10.1.1.1 0 time-range test
#
interface Ethernet1/0/1
packet-filter inbound ip-group 2000 rule 1
#
time-range test 08:00 to 18:00 daily
#
需要注意的是:
l 当报文同时匹配了多条下发到硬件的ACL规则时,如果这些规则中的动作冲突,一般情况下,后下发的规则生效。
l 下发多个规则时,建议用户先下发掩码范围大的规则,后下发掩码范围小的规则,同时下发掩码范围相同的规则,以保证规则下发后的实际运行结果与用户的配置意图一致。
l 设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关。
高级ACL可以使用数据包的源IP地址、目的IP地址、IP承载的协议类型、针对协议的特性(例如TCP或UDP的源端口、目的端口,ICMP协议的消息类型、消息码等)内容定义规则。
高级ACL序号取值范围3000~3999。
图1-2 高级ACL配置组网图
公司企业网通过交换机(以S3600系列以太网交换机为例)实现各部门之间的互连。研发部门由端口Ethernet1/0/1接入交换机,工资查询服务器的地址为192.168.1.2。要求配置高级ACL,禁止研发部门在工作日8:00~18:00的时间段内访问工资查询服务器。
表1-2 配置适用的产品与软硬件版本关系
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S5100-EI系列 |
Release 2200、Release 2201软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-52P |
Release 1500、Release 1602软件版本 |
S3100-52P |
|
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
|
E352&E328 |
Release 1510、Release 1602软件版本 |
E352&E328 |
|
E152 |
Release 1500、Release 1602软件版本 |
E152 |
|
E126A |
Release 2104、Release 2107软件版本 |
E126A |
# 定义周期时间段test,时间范围为工作日的8:00~18:00。
<Sysname> system-view
[Sysname] time-range test 8:00 to 18:00 working-day
# 定义高级ACL 3000,配置目的IP地址为工资查询服务器的访问规则。
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule 1 deny ip destination 192.168.1.2 0 time-range test
[Sysname-acl-adv-3000] quit
# 在端口Ethernet1/0/1上应用ACL 3000。
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] packet-filter inbound ip-group 3000
#
acl number 3000
rule 1 deny IP destination 192.168.1.2 0 time-range test
#
interface Ethernet1/0/1
packet-filter inbound ip-group 3000 rule 1
#
time-range test 08:00 to 18:00 working-day
#
需要注意的是:
l 高级ACL 3998与3999是设备为集群管理预留的编号,用户无法配置。
l 当报文同时匹配了多条下发到硬件的ACL规则时,如果这些规则中的动作冲突,一般情况下,后下发的规则生效。
l 在端口上下发高级ACL时,如果规则中定义了TCP/UDP的端口信息,则只支持配置operator取值为eq的情况。
l 下发多个规则时,建议用户先下发掩码范围大的规则,后下发掩码范围小的规则,同时下发掩码范围相同的规则,以保证规则下发后的实际运行结果与用户的配置意图一致。
l 设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关。
二层ACL根据源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则,对数据进行相应处理。
二层ACL的序号取值范围为4000~4999。
图1-3 二层ACL配置组网图
PC 1和PC 2通过端口Ethernet1/0/1接入交换机(以S3600系列以太网交换机为例),PC 1的MAC地址为0011-0011-0011。要求配置二层ACL,在每天8:00~18:00的时间段内,对PC 1发出的目的MAC为0011-0011-0012的报文进行过滤。
表1-3 配置适用的产品与软硬件版本关系
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S5100-EI系列 |
Release 2200、Release 2201软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-52P |
Release 1500、Release 1602软件版本 |
S3100-52P |
|
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
|
E352&E328 |
Release 1510、Release 1602软件版本 |
E352&E328 |
|
E152 |
Release 1500、Release 1602软件版本 |
E152 |
|
E126A |
Release 2104、Release 2107软件版本 |
E126A |
# 定义周期时间段test,时间范围为每天的8:00~18:00。
<Sysname> system-view
[Sysname] time-range test 8:00 to 18:00 daily
# 定义二层ACL 4000,配置源MAC为0011-0011-0011,目的MAC为0011-0011-0012的访问规则。
[Sysname] acl number 4000
[Sysname-acl-ethernetframe-4000] rule 1 deny source 0011-0011-0011 ffff-ffff-ffff dest 0011-0011-0012 ffff-ffff-ffff time-range test
[Sysname-acl-ethernetframe-4000] quit
# 在端口Ethernet 1/0/1上应用ACL 4000。
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] packet-filter inbound link-group 4000
#
acl number 4000
rule 1 deny source 0011-0011-0011 ffff-ffff-ffff dest 0011-0011-0012 ffff-ffff-ffff time-range test
#
interface Ethernet1/0/1
packet-filter inbound link-group 4000 rule 1
#
time-range test 08:00 to 18:00 daily
#
需要注意的是:
l 当报文同时匹配了多条下发到硬件的ACL规则时,如果这些规则中的动作冲突,一般情况下,后下发的规则生效。
l 在端口上下发二层ACL时,不支持配置format-type(包括802.3/802.2、802.3、ether_ii、snap)参数。
l 下发多个规则时,建议用户先下发掩码范围大的规则,后下发掩码范围小的规则,同时下发掩码范围相同的规则,以保证规则下发后的实际运行结果与用户的配置意图一致。
l 设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关。
用户自定义ACL以数据包的头部为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文,然后进行相应的处理。
用户自定义ACL的序号取值范围为5000~5999。
图1-4 用户自定义ACL配置组网图
网络环境描述如下:
l PC 1的IP地址为192.168.0.2,通过端口Ethernet1/0/1接入交换机(以S3600系列以太网交换机为例);PC 2的IP地址为192.168.0.3,通过端口Ethernet1/0/2接入交换机。
l PC 1和PC 2属于VLAN 1,二者的网关都设置为192.168.0.1(交换机VLAN 1接口的IP地址),通过交换机访问Internet。
l 要求配置用户自定义ACL,在每天8:00~18:00的时间段内,对PC 1发出的仿冒网关IP地址的ARP报文进行过滤。
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1510、Release 1602软件版本 |
全系列硬件版本 |
|
S3100-52P |
Release 1500、Release 1602软件版本 |
S3100-52P |
|
E352&E328 |
Release 1510、Release 1602软件版本 |
E352&E328 |
|
E152 |
Release 1500、Release 1602软件版本 |
E152 |
# 定义周期时间段test,时间范围为每天的8:00~18:00。
<Sysname> system-view
[Sysname] time-range test 8:00 to 18:00 daily
# 定义用户自定义ACL 5000,配置源IP地址为192.168.0.1的ARP报文的访问规则(假设没有端口启动VLAN-VPN功能)。其中0806为ARP协议号,16为交换机内部处理的以太网报文中协议类型字段的偏移量,c0a80001为192.168.0.1的十六进制形式,32为交换机内部处理的ARP报文中源IP地址字段的偏移量。
[Sysname] acl number 5000
[Sysname-acl-user-5000] rule 1 deny 0806 ffff 16 c0a80001 ffffffff 32 time-range test
# 在端口Ethernet 1/0/1上应用ACL 5000。
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] packet-filter inbound user-group 5000
#
acl number 5000
rule 1 deny 0806 ffff 16 c0a80001 ffffffff 32 time-range test
#
interface Ethernet1/0/1
packet-filter inbound user-group 5000 rule 1
#
time-range test 08:00 to 18:00 daily
#
需要注意的是:
l 设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关。
l 对于S3600系列/E352&E328以太网交换机,如果没有开启VLAN-VPN功能,交换机内部处理的报文都带有1层VLAN tag,1层VLAN tag占4个字节;如果某一端口上开启了VLAN-VPN功能,交换机内部处理的报文都带有2层VLAN tag,2层VLAN tag占8个字节。用户在配置规则匹配报文的特定字段时需要注意以上情况。
l 对于S5600系列以太网交换机,交换机内部处理的报文都带有2层VLAN tag,2层VLAN tag占8个字节。用户在配置规则匹配报文的特定字段时需要注意以上情况。
l 用户自定义ACL规则的命令形式为rule [ rule-id ] { deny | permit } [ rule-string rule-mask offset ] &<1-8> [ time-range time-name ]。其中rule-id为ACL规则编号,rule-string为用户自定义的规则字符串,rule-mask为用户自定义的规则掩码,offset为规则掩码的偏移量。
l 当用户在一条规则中指定多个规则字符串时,规则掩码的有效长度为128个16进制数(64个字节)。例如,用户指定了规则字符串为aa,偏移量为2个字节,当用户继续指定规则字符串bb时,其偏移量取值范围只能为3~65字节;如果规则字符串aa的偏移量为3个字节,则规则字符串bb的偏移量取值范围为4~66字节;以此类推。但是规则字符串bb的偏移量取值范围最大不能超过79个字节。
l 如表1-5中所示,S3600系列/S5600系列/E352&E328以太网交换机的硬件规则将用户自定义字符串的规则掩码偏移量从逻辑上划分成了若干个偏移量单元,每个偏移量单元为4个字节。这些规则掩码偏移量单元被划分为8个组,编号为Offset1~Offset8。
l 在下发用户自定义ACL时,S3600/S5600/E352&E328的硬件限定了交换机支持用户自定义规则字符串的最大长度为32个字节(这32字节可以是连续的字符串、也可以是多个不连续的字符串),但这32个字节的字符串最多能占用8个规则掩码偏移量单元,且任意两个偏移量单元不能属于同一个Offset组。
|
偏移量所占用的单元 |
|||||||
|
Offset1 |
Offset2 |
Offset3 |
Offset4 |
Offset5 |
Offset6 |
Offset7 |
Offset8 |
|
0~3 |
4~7 |
8~11 |
12~15 |
16~19 |
20~23 |
24~27 |
28~31 |
|
2~5 |
6~9 |
10~13 |
14~17 |
18~21 |
22~25 |
26~29 |
30~33 |
|
6~9 |
10~13 |
14~17 |
18~21 |
22~25 |
26~29 |
30~33 |
34~37 |
|
12~15 |
16~19 |
20~23 |
24~27 |
28~31 |
32~35 |
36~39 |
40~43 |
|
20~23 |
24~27 |
28~31 |
32~35 |
36~39 |
40~43 |
44~47 |
48~51 |
|
30~33 |
34~37 |
38~41 |
42~45 |
46~49 |
50~53 |
54~57 |
58~61 |
|
42~45 |
46~49 |
50~53 |
54~57 |
58~61 |
62~65 |
66~69 |
70~73 |
|
56~59 |
60~63 |
64~67 |
68~71 |
72~75 |
76~79 |
0~3 |
4~7 |
l 用户配置了用户自定义ACL 5000,规则字符串长度为32字节,规则掩码为全F,偏移量取值为4,在端口Ethernet 1/0/1上下发。这种情况下,32个字节的字符串占用了表1-5中4~7(Offset2)、8~11(Offset3)、12~15(Offset4)、16~19(Offset5)、20~23(Offset1)、24~27(Offset7)、28~31(Offse8)和32~35(Offset6)共8个单元,此时可以下发成功。
l 用户配置了用户自定义ACL 5001,规则字符串长度为32字节,规则掩码为全F,偏移量取值为24,在端口Ethernet 1/0/1上下发。这种情况下,32个字节的字符串所占用的偏移量单元不符合前文提到的“最多能占用8个规则掩码偏移量单元,且任意两个偏移量单元不能属于同一个Offset”的要求,此时不能下发成功。
l 配置用户自定义ACL匹配协议报文时,常用的协议类型以及其所使用的偏移量如下表所示。
表1-6 常用协议类型号以及偏移量
|
协议类型 |
协议号(十六进制) |
S3600系列以太网交换机没有开启VLAN-VPN功能时的偏移量 |
S3600系列以太网交换机开启VLAN-VPN功能后的偏移量 |
S5600系列以太网交换机的偏移量 |
|
ARP |
0x0806 |
16 |
20 |
20 |
|
RARP |
0x8035 |
16 |
20 |
20 |
|
IP |
0x0800 |
16 |
20 |
20 |
|
IPX |
0x8137 |
16 |
20 |
20 |
|
AppleTalk |
0x809B |
16 |
20 |
20 |
|
ICMP |
0x01 |
27 |
31 |
31 |
|
IGMP |
0x02 |
27 |
31 |
31 |
|
TCP |
0x06 |
27 |
31 |
31 |
|
UDP |
0x17 |
27 |
31 |
31 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
