01-ACL配置
本章节下载: 01-ACL配置 (323.72 KB)
目 录
ACL(Access Control List,访问控制列表)是一系列用于识别报文流的规则的集合。这里的规则是指描述报文匹配条件的判断语句,匹配条件可以是报文的源地址、目的地址、端口号等。设备依据ACL规则识别出特定的报文,并根据预先设定的策略对其进行处理,最常见的应用就是使用ACL进行报文过滤。此外,ACL还可应用于诸如路由、安全、QoS等业务中识别报文,对这些报文的具体处理方式由应用ACL的业务模块来决定。
用户在创建ACL时必须为其指定编号或名称,不同的编号可能对应不同类型的ACL,如表1-1所示;当ACL创建完成后,用户就可以通过指定编号或名称的方式来应用和编辑该ACL。
对于编号相同的基本ACL或高级ACL,必须通过ipv6关键字进行区分。对于名称相同的ACL,必须通过ipv6、mac和user-defined关键字进行区分。
根据规则制定依据的不同,可以将ACL分为如表1-1所示的几种类型。
表1-1 ACL的分类
ACL类型 |
编号范围 |
适用的IP版本 |
规则制定依据 |
基本ACL |
2000~2999 |
IPv4 |
报文的源IPv4地址 |
IPv6 |
报文的源IPv6地址 |
||
高级ACL |
3000~3999 |
IPv4 |
报文的源IPv4地址、目的IPv4地址、报文优先级、IPv4承载的协议类型及特性等三、四层信息 |
IPv6 |
报文的源IPv6地址、目的IPv6地址、报文优先级、IPv6承载的协议类型及特性等三、四层信息 |
||
二层ACL |
4000~4999 |
IPv4和IPv6 |
报文的源MAC地址、目的MAC地址、802.1p优先级、链路层协议类型等二层信息 |
当一个ACL中包含多条规则时,报文会按照一定的顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。ACL的规则匹配顺序有以下两种:
· 配置顺序:按照规则编号由小到大进行匹配。
· 自动排序:按照“深度优先”原则由深到浅进行匹配,各类型ACL的“深度优先”排序法则如表1-2所示。
表1-2 各类型ACL的“深度优先”排序法则
ACL类型 |
“深度优先”排序法则 |
IPv4基本ACL |
a 先判断规则的匹配条件中是否包含VPN实例,包含者优先 b 如果VPN实例的包含情况相同,再比较源IPv4地址范围,较小者优先 c 如果源IPv4地址范围也相同,再比较配置的先后次序,先配置者优先 |
IPv4高级ACL |
d 先判断规则的匹配条件中是否包含VPN实例,包含者优先 e 如果VPN实例的包含情况相同,再比较协议范围,指定有IPv4承载的协议类型者优先 f 如果协议范围也相同,再比较源IPv4地址范围,较小者优先 g 如果源IPv4地址范围也相同,再比较目的IPv4地址范围,较小者优先 h 如果目的IPv4地址范围也相同,再比较四层端口(即TCP/UDP端口)号的覆盖范围,较小者优先 i 如果四层端口号的覆盖范围无法比较,再比较配置的先后次序,先配置者优先 |
IPv6基本ACL |
j 先判断规则的匹配条件中是否包含VPN实例,包含者优先 k 如果VPN实例的包含情况相同,再比较源IPv6地址范围,较小者优先 l 如果源IPv6地址范围也相同,再比较配置的先后次序,先配置者优先 |
IPv6高级ACL |
m 先判断规则的匹配条件中是否包含VPN实例,包含者优先 n 如果VPN实例的包含情况相同,再比较协议范围,指定有IPv6承载的协议类型者优先 o 如果协议范围相同,再比较源IPv6地址范围,较小者优先 p 如果源IPv6地址范围也相同,再比较目的IPv6地址范围,较小者优先 q 如果目的IPv6地址范围也相同,再比较四层端口(即TCP/UDP端口)号的覆盖范围,较小者优先 r 如果四层端口号的覆盖范围无法比较,再比较配置的先后次序,先配置者优先 |
二层ACL |
s 先比较源MAC地址范围,较小者优先 t 如果源MAC地址范围相同,再比较目的MAC地址范围,较小者优先 u 如果目的MAC地址范围也相同,再比较配置的先后次序,先配置者优先 |
· 比较IPv4地址范围的大小,就是比较IPv4地址通配符掩码中“0”位的多少:“0”位越多,范围越小。通配符掩码(又称反向掩码)以点分十进制表示,并以二进制的“0”表示“匹配”,“1”表示“不关心”,这与子网掩码恰好相反,譬如子网掩码255.255.255.0对应的通配符掩码就是0.0.0.255。此外,通配符掩码中的“0”或“1”可以是不连续的,这样可以更加灵活地进行匹配,譬如0.255.0.255就是一个合法的通配符掩码。
· 比较IPv6地址范围的大小,就是比较IPv6地址前缀的长短:前缀越长,范围越小。
· 比较MAC地址范围的大小,就是比较MAC地址掩码中“1”位的多少:“1”位越多,范围越小。
ACL中的每条规则都有自己的编号,这个编号在该ACL中是唯一的。在创建规则时,可以手工为其指定一个编号;如未手工指定编号,则由系统为其自动分配一个编号。由于规则的编号可能影响规则匹配的顺序,因此当由系统自动分配编号时,为了方便后续在已有规则之前插入新的规则,系统通常会在相邻编号之间留下一定的空间,这个空间的大小(即相邻编号之间的差值)就称为ACL的步长。譬如,当步长为5时,系统会将编号5、10、15、20……依次分配给新创建的规则。
系统为规则自动分配编号的方式如下:系统从规则编号的起始值开始,自动分配一个大于现有最大编号的步长最小倍数的编号。譬如原有编号为0、5、9、10和12的五条规则,步长为5,此时如果创建一条规则且不指定编号,那么系统将自动为其分配编号15。
如果步长或规则编号的起始值发生了改变,ACL内原有全部规则的编号都将自动从规则编号的起始值开始按步长重新排列。譬如,某ACL内原有编号为0、5、9、10和15的五条规则,当修改步长为2之后,这些规则的编号将依次变为5、7、9、11和13。
需要注意的是,ACL规则的匹配顺序为自动排序时,修改步长后新的编号是按照规则的匹配顺序(即“深度优先”原则)重新排序的,并非按照规则的原有编号顺序排序。譬如,步长为5时,规则的匹配顺序为5、15、10……修改步长为2后,各规则对应的新编号为5、7、9……
传统报文过滤只对分片报文的首个分片进行匹配过滤,对后续分片一律放行,因此网络攻击者通常会构造后续分片进行流量攻击。为提高网络安全性,ACL规则缺省会匹配所有非分片报文和分片报文的全部分片,但这样又带来效率低下的问题。为了兼顾网络安全和匹配效率,可将过滤规则配置为仅对后续分片有效。
指定ACL编号创建的ACL,可以通过如下命令进入其视图:
· acl [ ipv6 ] number acl-number;
· acl { [ ipv6 ] { advanced | basic } | mac | user-defined } acl-number。
通过acl [ ipv6 ] number acl-number name acl-name命令指定名称创建的ACL,可以通过如下命令进入其视图:
· acl [ ipv6 ] number acl-number [ name acl-name ];
· acl { [ ipv6 ] { advanced | basic } | mac | user-defined } acl-number;
· acl { [ ipv6 ] { advanced | basic } | mac | user-defined } name acl-name。
通过acl { [ ipv6 ] { advanced | basic } | mac | user-defined } name acl-name命令指定名称创建的ACL,只能通过acl { [ ipv6 ] { advanced | basic } | mac | user-defined } name acl-name命令进入其视图。
对于基本或高级ACL,如果未指定ipv6参数,则表示IPv4 ACL。
如果ACL规则的匹配项中包含了除IP五元组(源IP地址、源端口号、目的IP地址、目的端口号、传输层协议)、ICMP报文的消息类型和消息码信息、VPN实例、日志操作和时间段之外的其它匹配项,则设备转发ACL匹配的这类报文时会启用慢转发流程。慢转发时设备会将报文上送控制平面,计算报文相应的表项信息。执行慢转发流程时,设备的转发能力将会有所降低。
ACL配置任务如下
· 配置不同类型的ACL
¡ 配置基本ACL
¡ 配置高级ACL
¡ 配置二层ACL
· (可选)复制ACL
· (可选)配置ACL规则的加速匹配功能
基本ACL可以应用在设备管理、NAT业务、组播业务、QoS业务和路由策略等场景中,典型应用场景如下:
· 当设备作为FTP、TFTP服务器时,为提高其安全性,可以通过配置基本ACL实现只允许满足过滤条件的客户端访问服务器。关于使用基本ACL限制客户端访问设备的详细内容,请参见“基础配置指导”中的“FTP和TFTP”。
· 在NAT业务场景中,可以通过配置基本ACL规则实现对特定报文进行地址转换。关于地址转换的详细介绍,请参见“三层技术-IP业务配置指导”中的“NAT”。
· 在组播场景中,通过配置基本ACL,设备可以作为组播数据过滤器实现只接收或转发满足过滤条件的组播报文。关于组播数据过滤器的详细介绍,请参见“IP组播配置指导”中的“PIM”和“IPv6 PIM”。
· 当需要控制设备接收、发布的路由信息时,可以通过配置基本ACL作为路由策略的过滤器,来实现只接收或发布满足过滤条件的路由。关于路由策略的详细介绍,请参见“三层技术-IP路由配置指导”中的“路由策略”。
· 当需要对不同类型的流量进行分类操作时,可以通过配置基本ACL实现对满足过滤条件的流量进行流量监管、流量整形、流分类。关于流量监管、流量整形、流分类的详细介绍,请参见“ACL和QoS配置指导”中的“QoS”。
基本ACL根据报文的源IP地址来制定规则,对报文进行匹配。
(1) 进入系统视图。
system-view
(2) 创建IPv4基本ACL。请至少选择其中一项进行配置。
¡ 通过编号创建IPv4基本ACL。
acl number acl-number [ name acl-name ] [ match-order { auto | config } ]
¡ 通过关键字创建IPv4基本ACL。
acl basic { acl-number | name acl-name } [ match-order { auto | config } ]
(3) (可选)配置ACL的描述信息。
description text
缺省情况下,未配置ACL的描述信息。
(4) (可选)配置规则编号的步长。
step step-value [ start start-value ]
缺省情况下,规则编号的步长为5,起始值为5。
(5) 创建规则。
rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { object-group address-group-name | source-address source-wildcard | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *
logging参数是否生效取决于引用该ACL的模块是否支持日志记录功能,例如报文过滤支持日志记录功能,如果其引用的ACL规则中配置了logging参数,该参数可以生效。
(6) (可选)为规则配置描述信息。
rule rule-id comment text
缺省情况下,未配置规则的描述信息。
(7) (可选)为规则配置注释信息。
rule [ rule-id ] remark text
缺省情况下,未配置规则的注释信息。
(1) 进入系统视图。
system-view
(2) 创建IPv6基本ACL。请至少选择其中一项进行配置。
¡ 通过编号创建IPv6基本ACL。
acl ipv6 number acl-number [ name acl-name ] [ match-order { auto | config } ]
¡ 通过关键字创建IPv6基本ACL。
acl ipv6 basic { acl-number | name acl-name } [ match-order { auto | config } ]
(3) (可选)配置ACL的描述信息。
description text
缺省情况下,未配置ACL的描述信息。
(4) (可选)配置规则编号的步长。
step step-value [ start start-value ]
缺省情况下,规则编号的步长为5,起始值为5。
(5) 创建规则。
rule [ rule-id ] { deny | permit } [ counting | fragment | [ logging ] | routing [ type routing-type ] | source { object-group address-group-name | source-address source-prefix | source-address/source-prefix | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *
logging参数是否生效取决于引用该ACL的模块是否支持日志记录功能,例如报文过滤支持日志记录功能,如果其引用的ACL规则中配置了logging参数,该参数可以生效。
(6) (可选)为规则配置描述信息。
rule rule-id comment text
缺省情况下,未配置规则的描述信息。
(7) (可选)为规则配置注释信息。
rule [ rule-id ] remark text
缺省情况下,未配置规则的注释信息。
高级ACL可以应用在设备管理、NAT业务、组播业务、QoS业务和路由策略等场景中,典型应用场景如下:
· 当设备作为FTP、TFTP服务器时,为提高其安全性,可以通过配置高级ACL实现只允许满足过滤条件的客户端访问服务器。关于使用高级ACL限制客户端访问设备的详细内容,请参见“基础配置指导”中的“FTP和TFTP”。
· 在NAT业务场景中,可以通过配置高级ACL规则实现对特定报文进行地址转换。关于地址转换的详细介绍,请参见“三层技术-IP业务配置指导”中的“NAT”。
· 在组播场景中,通过配置高级ACL,设备可以作为组播数据过滤器实现只接收或转发满足过滤条件的组播报文。关于组播数据过滤器的详细介绍,请参见“IP组播配置指导”中的“PIM”和“IPv6 PIM”。
· 当需要控制设备接收、发布的路由信息时,可以通过配置高级ACL作为路由策略的过滤器,来实现只接收或发布满足过滤条件的路由。关于路由策略的详细介绍,请参见“三层技术-IP路由配置指导”中的“路由策略”。
· 当需要对不同类型的流量进行分类操作时,可以通过配置高级ACL实现对满足过滤条件的流量进行流量监管、流量整形、流分类。关于流量监管、流量整形、流分类的详细介绍,请参见“ACL和QoS配置指导”中的“QoS”。
高级ACL可根据报文的源地址、目的地址、报文优先级、QoS本地值、承载的协议类型及特性(如TCP/UDP的源端口和目的端口、TCP报文标识、ICMP或ICMPv6协议的消息类型和消息码等)以及报文的封装类型、内层源地址、内层目的地址、内层承载的协议类型及特性(如TCP/UDP的内层源端口和内层目的端口)等信息来制定规则,对报文进行匹配。用户可利用高级ACL制定比基本ACL更准确、丰富、灵活的规则。
(1) 进入系统视图。
system-view
(2) 创建IPv4高级ACL。请至少选择其中一项进行配置。
¡ 通过编号创建IPv4高级ACL。
acl number acl-number [ name acl-name ] [ match-order { auto | config } ]
¡ 通过关键字创建IPv4高级ACL。
acl advanced { acl-number | name acl-name } [ match-order { auto | config } ]
(3) (可选)配置ACL的描述信息。
description text
缺省情况下,未配置ACL的描述信息。
(4) (可选)配置规则编号的步长。
step step-value [ start start-value ]
缺省情况下,规则编号的步长为5,起始值为5。
(5) 创建规则。
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { object-group address-group-name | dest-address dest-wildcard | any } | destination-port { object-group port-group-name | operator port1 [ port2 ] } | { { precedence precedence | tos tos } * | dscp dscp1 | [ fragment ] | icmp-type { icmp-type [ icmp-code ] | icmp-message } | source { object-group address-group-name | source-address source-wildcard | any } | source-port { object-group port-group-name | operator port1 [ port2 ] } | time-range time-range-name | user-group group-name } * } | vpn-instance vpn-instance-name ] *
(可选)为规则配置描述信息。
rule rule-id comment text
缺省情况下,未配置规则的描述信息。
(6) (可选)为规则配置注释信息。
rule [ rule-id ] remark text
缺省情况下,未配置规则的注释信息。
(1) 进入系统视图。
system-view
(2) 创建IPv6高级ACL。请至少选择其中一项进行配置。
¡ 通过编号创建IPv6高级ACL。
acl ipv6 number acl-number [ name acl-name ] [ match-order { auto | config } ]
¡ 通过关键字创建IPv6高级ACL。
acl ipv6 advanced { acl-number | name acl-name } [ match-order { auto | config } ]
(3) (可选)配置ACL的描述信息。
description text
缺省情况下,未配置ACL的描述信息。
(4) (可选)开启抢占ACL规则编号的功能。
rule insert-only enable
缺省情况下,抢占ACL规则编号的功能处于关闭状态。
(5) (可选)配置规则编号的步长。
step step-value [ start start-value ]
缺省情况下,规则编号的步长为5,起始值为5。
(6) 创建规则,请至少选择其中一项进行配置。
¡ 创建匹配普通报文的规则。
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { object-group address-group-name | dest-address dest-prefix | dest-address/dest-prefix | any } | destination-port { object-group port-group-name | operator port1 [ port2 ] } | dscp dscp | flow-label flow-label-value | logging | fragment | icmp6-type { icmp6-type icmp6-code | icmp6-message } | routing [ type routing-type ] | hop-by-hop [ type hop-type ] | source { object-group address-group-name | source-address source-prefix | source-address/source-prefix | any } | source-port { object-group port-group-name | operator port1 [ port2 ] } | time-range time-range-name user-group group-name | vpn-instance vpn-instance-name ] *
logging参数是否生效取决于引用该ACL的模块是否支持日志记录功能,例如报文过滤支持日志记录功能,如果其引用的ACL规则中配置了logging参数,该参数可以生效。
(7) (可选)为规则配置描述信息。
rule rule-id comment text
缺省情况下,未配置规则的描述信息。
(8) (可选)为规则配置注释信息。
rule [ rule-id ] remark text
缺省情况下,未配置规则的注释信息。
二层ACL可以应用在设备管理和QoS业务等场景中,典型应用场景如下:
· 当设备作为Telnet服务器时,为提高其安全性,可以通过配置二层ACL实现只允许满足过滤条件的客户端访问服务器。关于使用二层ACL限制客户端访问设备的详细内容,请参见“基础配置指导”中的“登录设备”。
· 当需要对不同类型的流量进行分类操作时,可以通过配置二层ACL实现对满足过滤条件的流量进行流量监管、流量整形、流分类。关于流量监管、流量整形、流分类的详细介绍,请参见“ACL和QoS配置指导”中的“QoS”。
二层ACL可根据报文的源MAC地址、目的MAC地址、802.1p优先级、链路层协议类型、报文的封装类型、报文的内层源MAC地址、内层目的MAC地址、内层链路层协议类型等二层信息来制定规则,对报文进行匹配。
(1) 进入系统视图。
system-view
(2) 创建二层ACL。请至少选择其中一项进行配置。
¡ 通过编号创建二层ACL。
acl number acl-number [ name acl-name ] [ match-order { auto | config } ]
¡ 通过关键字创建二层ACL。
acl mac { acl-number | name acl-name } [ match-order { auto | config } ]
(3) (可选)配置ACL的描述信息。
description text
缺省情况下,未配置ACL的描述信息。
(4) (可选)配置规则编号的步长。
step step-value [ start start-value ]
缺省情况下,规则编号的步长为5,起始值为5。
(5) 创建规则。
rule [ rule-id ] { deny | permit } [ cos dot1p | counting | dest-mac dest-address dest-mask | { lsap lsap-type lsap-type-mask | type protocol-type protocol-type-mask } | source-mac source-address source-mask | time-range time-range-name ] *
(6) (可选)为规则配置描述信息。
rule rule-id comment text
缺省情况下,未配置规则的描述信息。
(7) (可选)为规则配置注释信息。
rule [ rule-id ] remark text
缺省情况下,未配置规则的注释信息。
用户可通过复制一个已存在的ACL(即源ACL),来生成一个新的同类型ACL(即目的ACL)。除了ACL的编号和名称不同外,目的ACL与源ACL完全相同。
新生成的ACL规则无法复制原ACL规则的加速匹配功能。
目的ACL要与源ACL的类型相同,且目的ACL必须不存在,否则将导致复制ACL失败。
(1) 进入系统视图。
system-view
(2) 复制并生成一个新的ACL。
acl [ ipv6 | mac ] copy { source-acl-number | name source-acl-name } to { dest-acl-number | name dest-acl-name }
在对基于会话的业务报文(如NAT、ASPF等)进行规则匹配时,通常只对首个报文进行匹配以加快报文的处理速度,但这有时并不足以解决报文匹配的效率问题。譬如,当有大量用户同时与设备新建连接时,需要对每个新建连接都进行规则匹配,如果ACL内包含有大量规则,那么这个匹配过程将很长,这会导致用户建立连接时间超长,从而影响设备新建连接的性能。
ACL规则的加速匹配功能则可以解决上述问题,当对包含大量规则的ACL开启了加速匹配功能之后,其规则匹配速度将大大提高,从而提升设备的转发性能以及新建连接的性能。
当设备支持软件加速,并开启本功能后,添加、删除和修改规则时,并不会立即加速,而是延迟一定时间后加速。如果在该时间内,规则又发生变化,则重新计时。当ACL中的规则小于等于100条时,此时间为2秒;当ACL中的规则大于100条时,此时间为20秒。
(1) 进入系统视图。
system-view
(2) 创建ACL,并进入ACL视图。
acl { [ ipv6 ] { advanced | basic } { acl-number | name acl-name } | mac { acl-number | name acl-name } } [ match-order { auto | config } ]
(3) 配置ACL规则的加速匹配功能。
accelerate
缺省情况下,ACL规则的加速匹配功能处于关闭状态。
设备上存在大量ACL规则时,执行undo accelerate命令可能会导致CPU占用率达到门限状态,影响正常业务处理。
可在任意视图下执行以下命令,显示ACL的配置和运行情况。
display acl [ ipv6 | mac ] { acl-number | all | name acl-name }
请在用户视图下执行以下命令,清除ACL的统计信息。
reset acl [ ipv6 | mac ] counter { acl-number | all | name acl-name }
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!