- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-ACL配置
本章节下载: 01-ACL配置 (244.89 KB)
目 录
ACL(Access Control List,访问控制列表)是一或多条规则的集合,用于识别报文流。这里的规则是指描述报文匹配条件的判断语句,匹配条件可以是报文的源地址、目的地址、端口号等。网络设备依照这些规则识别出特定的报文,并根据预先设定的策略对其进行处理。
ACL可以应用在诸多领域,其中最基本的就是应用ACL进行报文过滤,具体配置过程请参见“1.3.5 应用ACL进行报文过滤”。此外,ACL还可应用于诸如路由、安全、QoS等业务中,有关ACL在这些业务中的具体应用方式,请参见相关的配置指导。
ACL本身只能识别报文,而无法对识别出的报文进行处理,对这些报文的具体处理方式由应用ACL的业务模块来决定。
用户在创建ACL时必须为其指定编号或名称,不同的编号对应不同类型的ACL,如表1-1所示;当ACL创建完成后,用户就可以通过指定编号或名称的方式来指定该ACL,以便对其进行操作。
ACL的编号和名称各在其适用的类型(IPv4和MAC)中唯一。
根据规则制订依据的不同,可以将ACL分为如表1-1所示的几种类型。
表1-1 ACL的分类
|
ACL类型 |
适用的IP版本 |
||
|
2000~2999 |
报文的源IPv4地址 |
||
|
3000~3999 |
报文的源IPv4地址、目的IPv4地址、报文优先级、IPv4承载的协议类型及特性等三、四层信息 |
||
|
4000~4999 |
报文的源MAC地址、目的MAC地址、802.1p优先级、链路层协议类型等二层信息 |
当一个ACL中包含多条规则时,报文会按照一定的顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。ACL的规则匹配顺序有以下两种:
· 自动排序:按照“深度优先”原则由深到浅进行匹配,各类型ACL的“深度优先”排序法则如表1-2所示。
表1-2 各类型ACL的“深度优先”排序法则
|
ACL类型 |
|
|
IPv4基本ACL |
(1) 比较源IPv4地址范围,较小者优先 (2) 如果源IPv4地址范围也相同,再比较配置的先后次序,先配置者优先 |
|
IPv4高级ACL |
(3) 比较协议范围,指定有IPv4承载的协议类型者优先 (4) 如果协议范围也相同,再比较源IPv4地址范围,较小者优先 (5) 如果源IPv4地址范围也相同,再比较目的IPv4地址范围,较小者优先 (6) 如果目的IPv4地址范围也相同,再比较四层端口(即TCP/UDP端口)号的覆盖范围,较小者优先 |
|
(1) 先比较源MAC地址范围,较小者优先 (2) 如果源MAC地址范围相同,再比较目的MAC地址范围,较小者优先 (3) 如果目的MAC地址范围也相同,再比较配置的先后次序,先配置者优先 |
· 比较IPv4地址范围的大小,就是比较IPv4地址通配符掩码中“0”位的多少:“0”位越多,范围越小。通配符掩码(又称反向掩码)以点分十进制表示,并以二进制的“0”表示“匹配”,“1”表示“不关心”,这与子网掩码恰好相反,譬如子网掩码255.255.255.0对应的通配符掩码就是0.0.0.255。此外,通配符掩码中的“0”或“1”可以是不连续的,这样可以更加灵活地进行匹配,譬如0.255.0.255就是一个合法的通配符掩码。
· 比较MAC地址范围的大小,就是比较MAC地址掩码中“1”位的多少:“1”位越多,范围越小。
ACL中的每条规则都有自己的编号,这个编号在该ACL中是唯一的。在创建规则时,可以手工为其指定一个编号,如未手工指定编号,则由系统为其自动分配一个编号。由于规则的编号可能影响规则匹配的顺序,因此当由系统自动分配编号时,为了方便后续在已有规则之前插入新的规则,系统通常会在相邻编号之间留下一定的空间,这个空间的大小(即相邻编号之间的差值)就称为ACL的步长。譬如,当步长为5时,系统会将编号0、5、10、15……依次分配给新创建的规则。
系统为规则自动分配编号的方式如下:系统从0开始,按照步长自动分配一个大于现有最大编号的最小编号。譬如原有编号为0、5、9、10和12的五条规则,步长为5,此时如果创建一条规则且不指定编号,那么系统将自动为其分配编号15。
如果步长发生了改变,ACL内原有全部规则的编号都将自动从0开始按新步长重新排列。譬如,某ACL内原有编号为0、5、9、10和15的五条规则,当修改步长为2之后,这些规则的编号将依次变为0、2、4、6和8。
传统报文过滤只对分片报文的首个分片进行匹配过滤,对后续分片一律放行,因此网络攻击者通常会构造后续分片进行流量攻击。为提高网络安全性,ACL规则缺省会匹配所有非分片报文和分片报文的全部分片,但这样又带来效率低下的问题。为了兼顾网络安全和匹配效率,可将过滤规则配置为仅对后续分片有效。
表1-3 ACL配置任务简介
|
应用ACL进行报文过滤 |
||
|
使能ACL加速功能 |
IPv4基本ACL根据报文的源IP地址来制订规则,对IPv4报文进行匹配。
表1-4 配置IPv4基本ACL
|
创建IPv4基本ACL,并进入IPv4基本ACL视图 |
acl basic { acl-number | name acl-name } [ match-order { auto | config } ] |
IPv4基本ACL的编号范围为2000~2999 如果以名称创建IPv4基本ACL,只能使用acl basic name acl-name命令进入其视图 如果以编号创建IPv4基本ACL,只能使用 acl basic acl-number命令进入其视图 |
|
(可选)配置ACL的描述信息 |
缺省情况下,ACL没有任何描述信息 |
|
|
缺省情况下,IPv4基本ACL内不存在任何规则 logging参数需要使用该ACL的模块支持日志记录功能,例如报文过滤 |
||
IPv4高级ACL可根据报文的源IP地址、目的IP地址、报文优先级、IP承载的协议类型及特性(如TCP/UDP的源端口和目的端口、TCP报文标识、ICMP协议的消息类型和消息码等)等信息来制定规则,对IPv4报文进行匹配。用户可利用IPv4高级ACL制订比IPv4基本ACL更准确、丰富、灵活的规则。
表1-5 配置IPv4高级ACL
|
创建IPv4高级ACL,并进入IPv4高级ACL视图 |
acl advanced { acl-number | name acl-name } [ match-order { auto | config } ] |
IPv4高级ACL的编号范围为3000~3999 如果以名称创建IPv4高级ACL,只能使用acl advanced name acl-name命令进入其视图 如果以编号创建IPv4高级ACL,只能使用acl advanced acl-number命令进入其视图 |
|
(可选)配置ACL的描述信息 |
缺省情况下,ACL没有任何描述信息 |
|
|
缺省情况下,IPv4高级ACL内不存在任何规则 logging参数需要使用该ACL的模块支持日志记录功能,例如报文过滤 |
||
二层ACL可根据报文的源MAC地址、目的MAC地址、802.1p优先级、链路层协议类型等二层信息来制订规则,对报文进行匹配。
|
创建二层ACL,并进入二层ACL视图 |
acl mac { acl-number | name acl-name } [ match-order { auto | config } ] |
二层ACL的编号范围为4000~4999 如果以名称创建二层ACL,只能使用acl mac name acl-name命令进入其视图 如果以编号创建二层ACL,只能使用 acl mac acl-number命令进入其视图 |
|
(可选)配置ACL的描述信息 |
缺省情况下,ACL没有任何描述信息 |
|
|
缺省情况下,二层ACL内不存在任何规则 |
||
用户可通过复制一个已存在的ACL(即源ACL),来生成一个新的同类型ACL(即目的ACL)。除了ACL的编号和名称不同外,目的ACL与源ACL完全相同。
目的ACL要与源ACL的类型相同,且目的ACL必须不存在,否则将导致复制失败。
ACL最基本的应用就是进行报文过滤,支持如下应用方式:
· 在接口上应用ACL进行报文过滤:即通过将ACL规则应用到指定接口的入或出方向上,从而对该接口收到或发出的报文进行过滤。
· 在安全域间实例上应用ACL进行报文过滤:即通过将ACL规则应用到指定安全域间实例上,从而对源安全域和目的安全域间的报文进行过滤。
一个接口在一个方向上最多可应用32个ACL进行报文过滤。
表1-8 在接口上应用ACL进行报文过滤
|
在接口上应用ACL进行报文过滤 |
packet-filter [ mac ] { acl-number | name acl-name } { inbound | outbound } |
一个安全域间实例上最多可应用32个ACL进行报文过滤。
表1-9 在安全域间实例上应用ACL进行报文过滤
|
zone-pair security source source-zone-name destination destination-zone-name |
||
|
在安全域间实例上应用ACL进行报文过滤 |
在配置了报文过滤日志的生成与发送周期之后,设备将周期性地生成报文过滤日志信息并发送到信息中心或生成告警信息并发送到SNMP模块,包括该周期内被匹配的报文数量以及所使用的ACL规则。同时还会使能报文的首包上送功能,即对匹配规则的数据流的第一个数据包进行记录并送到信息中心或SNMP模块。有关信息中心的详细介绍请参见“网络管理和监控配置指导”中的“信息中心”。有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
|
缺省情况下,报文过滤日志信息或告警信息的生成与发送周期为0分钟,即不记录报文过滤的日志,同时,报文首包上送功能处于关闭状态。 |
系统缺省的报文过滤动作为Permit,即允许未匹配上ACL规则的报文通过。通过本配置可更改报文过滤的缺省动作为Deny,即禁止未匹配上ACL规则的报文通过。
|
缺省情况下,报文过滤的缺省动作为Permit,即允许未匹配上ACL规则的报文通过 |
在对基于会话的业务报文(如NAT、ASPF等)进行规则匹配时,通常只对首个报文进行匹配以加快报文的处理速度,但这有时并不足以解决报文匹配的效率问题。譬如,当有大量用户同时与设备新建连接时,需要对每个新建连接都进行规则匹配,如果ACL内包含有大量规则,那么这个匹配过程将很长,这会导致用户建立连接时间超长,从而影响设备新建连接的性能。
ACL加速功能则可以解决上述问题,当对包含大量规则的ACL使能了加速功能之后,其规则匹配速度将大大提高,从而提高了设备的转发性能以及新建连接的性能。
表1-12 使能ACL加速功能
|
创建ACL,并进入ACL视图 |
acl { { advanced | basic } { acl-number | name acl-name } | mac { acl-number | name acl-name } } [ match-order { auto | config } ] |
|
|
缺省情况下,所有ACL的加速功能均处于关闭状态 |
在完成上述配置后,在任意视图下执行display命令可以显示ACL配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除ACL的统计信息。
表1-13 ACL显示和维护
|
显示ACL的加速状态 |
display acl accelerate { summary [ mac ] | verbose [ mac ] { acl-number | name acl-name } } |
|
显示ACL的配置和运行情况 |
|
|
显示ACL在报文过滤中的应用情况 |
|
|
显示ACL在报文过滤中应用的统计信息以及报文过滤缺省动作的统计信息 |
|
|
显示ACL在报文过滤中应用的累加统计信息 |
|
|
显示ACL在报文过滤中的详细应用情况 |
|
|
清除ACL的统计信息 |
reset acl [ mac ] counter { acl-number | all | name acl-name } |
|
清除ACL在报文过滤中应用的统计信息(包括累加统计信息)以及报文过滤缺省动作的统计信息 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
