- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-ACL配置
本章節下載: 01-ACL配置 (325.26 KB)
目 錄
本文將用於IPv4和IPv6的ACL分別簡稱為IPv4 ACL和IPv6 ACL。若非特別指明,本文所指的ACL均包括IPv4 ACL和IPv6 ACL。
ACL(Access Control List,訪問控製列表)是一或多條規則的集合,用於識別報文流。所謂規則,是指描述報文匹配條件的判斷語句,這些條件可以是報文的源地址、目的地址、端口號等。網絡設備依照這些規則識別出特定的報文,並根據預先設定的策略對其進行處理。
當ACL被其他功能引用時,根據設備在實現該功能時的處理方式(硬件處理或者軟件處理),ACL可以被分為基於硬件的應用和基於軟件的應用。
典型的基於硬件的應用包括;報文過濾、QoS策略;基於軟件的應用包括:路由、對登錄用戶(Telnet、SNMP、WEB)進行控製等。
在某些應用方式下(例如QoS策略),ACL僅用於匹配報文,ACL規則中的動作(deny或permit)被忽略,不作為對報文進行丟棄或轉發的依據,類似情況請參見相應功能中的說明。
· 當ACL被QoS策略引用進行流分類時,如果報文沒有與ACL中的規則匹配,此時交換機不會使用流行為中定義的動作對此類報文進行處理。
· 當ACL被用於對Telnet、SNMP和WEB登錄用戶進行控製時,如果報文沒有與ACL中的規則匹配,此時交換機對此類報文采取的動作為deny,即拒絕報文通過。
· 關於應用ACL對報文進行過濾的介紹和配置,請參見1.3.6 應用ACL進行報文過濾。
用戶在創建ACL時必須為其指定編號,不同的編號對應不同類型的ACL,如表1-1所示;同時,為了便於記憶和識別,用戶在創建ACL時還可選擇是否為其設置名稱。ACL一旦創建,便不允許用戶再為其設置名稱、修改或刪除其原有名稱。
當ACL創建完成後,用戶就可以通過指定編號或名稱的方式來指定該ACL,以便對其進行操作。
二層ACL的編號和名稱全局唯一;IPv4基本和高級ACL的編號和名稱隻在IPv4中唯一;IPv6基本和高級ACL的編號和名稱也隻在IPv6中唯一。
根據規則製訂依據的不同,可以將ACL分為如表1-1所示的幾種類型。
表1-1 ACL的分類
|
ACL類型 |
編號範圍 |
適用的IP版本 |
規則製訂依據 |
|
基本ACL |
2000~2999 |
IPv4 |
報文的源IP地址 |
|
IPv6 |
報文的源IPv6地址 |
||
|
高級ACL |
3000~3999 |
IPv4 |
報文的源IP地址、目的IP地址、報文優先級、IP承載的協議類型及特性等三、四層信息 |
|
IPv6 |
報文的源IPv6地址、目的IPv6地址、報文優先級、IPv6承載的協議類型及特性等三、四層信息 |
||
|
二層ACL |
4000~4999 |
IPv4和IPv6 |
報文的源MAC地址、目的MAC地址、802.1p優先級、鏈路層協議類型等二層信息 |
由於ACL中每條規則的報文匹配條件不同,導致這些規則之間可能存在重複甚至矛盾的地方,因此在將一個報文與ACL的各條規則進行匹配時,需要有明確的匹配順序來確定規則執行的優先級,一旦匹配上某條規則就不會再繼續匹配下去,係統將依據該規則對該報文執行相應的操作。ACL的規則匹配順序有以下兩種:
· 配置順序:按照規則編號由小到大進行匹配。
· 自動排序:按照“深度優先”原則由深到淺進行匹配,各類型ACL的“深度優先”排序法則如表1-2所示。
表1-2 各類型ACL的“深度優先”排序法則
|
ACL類型 |
“深度優先”排序法則 |
|
IPv4基本ACL |
(1) 先判斷規則中是否攜帶有VPN實例,攜帶VPN實例者優先 (2) 如果VPN實例的攜帶情況相同,再比較源IPv4地址範圍,範圍較小者優先 (3) 如果源IP地址範圍也相同,再比較配置的先後次序,先配置者優先 |
|
IPv4高級ACL |
(1) 先判斷規則中是否攜帶有VPN實例,攜帶VPN實例者優先 (2) 如果VPN實例的攜帶情況相同,再比較協議範圍,指定有IPv4承載的協議類型者優先 (3) 如果協議範圍也相同,再比較源IPv4地址範圍,較小者優先 (4) 如果源IPv4地址範圍也相同,再比較目的IPv4地址範圍,較小者優先 (5) 如果目的IPv4地址範圍也相同,再比較四層端口(即TCP/UDP端口)號範圍,較小者優先 (6) 如果四層端口號範圍也相同,再比較配置的先後次序,先配置者優先 |
|
IPv6基本ACL |
(1) 先判斷規則中是否攜帶有VPN實例,攜帶VPN實例者優先 (2) 如果VPN實例的攜帶情況相同,再比較源IPv6地址範圍,範圍較小者優先 (3) 如果源IPv6地址範圍也相同,再比較配置的先後次序,先配置者優先 |
|
IPv6高級ACL |
(1) 先判斷規則中是否攜帶有VPN實例,攜帶VPN實例者優先 (2) 如果VPN實例的攜帶情況相同,再比較協議範圍,指定有IPv6承載的協議類型者優先 (3) 如果協議範圍相同,再比較源IPv6地址範圍,較小者優先 (4) 如果源IPv6地址範圍也相同,再比較目的IPv6地址範圍,較小者優先 (5) 如果目的IPv6地址範圍也相同,再比較四層端口(即TCP/UDP端口)號範圍,較小者優先 (6) 如果四層端口號範圍也相同,再比較配置的先後次序,先配置者優先 |
|
二層ACL |
(1) 先比較源MAC地址範圍,較小者優先 (2) 如果源MAC地址範圍相同,再比較目的MAC地址範圍,較小者優先 (3) 如果目的MAC地址範圍也相同,再比較配置的先後次序,先配置者優先 |
· 僅S5500-EI係列交換機支持在ACL規則中指定VPN實例。
· 比較IPv4地址範圍的大小,就是比較IPv4地址通配符掩碼中“0”位的多少:“0”位越多,範圍越小。通配符掩碼(又稱反向掩碼)以點分十進製表示,並以二進製的“0”表示“匹配”,“1”表示“不關心”,這與子網掩碼恰好相反,譬如子網掩碼255.255.255.0對應的通配符掩碼就是0.0.0.255。此外,通配符掩碼中的“0”或“1”可以是不連續的,這樣可以更加靈活地進行匹配,譬如0.255.0.255就是一個合法的通配符掩碼。
· 比較IPv6地址範圍的大小,就是比較IPv6地址前綴的長短:前綴越長,範圍越小。
· 比較MAC地址範圍的大小,就是比較MAC地址掩碼中“1”位的多少:“1”位越多,範圍越小。
在一個ACL中用戶可以創建多條規則,為了方便標識這些規則的用途,用戶可以為單條規則添加描述信息,也可以在各條規則之間插入注釋信息來對前一段或後一段規則進行統一描述。
規則描述信息主要用於對單條規則進行單獨標識。當需要對各條規則進行不同的標識或對某條規則進行特別標識時,適用此方式。
規則注釋信息主要用於對一段規則進行統一標識。當需要對一段規則進行相同的標識時,如果采用對每條規則都添加相同描述信息的方式,需要進行大量配置,效率會非常低下。在這種情況下,可以在這段規則的前、後插入注釋信息的方式來提高標識效率,即:在這段規則的首條規則之前以及末條規則之後分別插入一條注釋信息,通過首、尾這兩條注釋信息就可以標識整段規則的用途。
在不同的規則匹配順序下,“首條規則”和“末條規則”的確定方法不同:
· 在配置順序下:規則的顯示將按照規則編號由小到大排列,因此應通過規則的編號來確定;
· 在自動排序下:規則的顯示將按照“深度優先”原則由深到淺排列,因此應通過“深度優先”原則來確定。
ACL中的每條規則都有自己的編號,這個編號在該ACL中是唯一的。在創建規則時,可以手工為其指定一個編號,如未手工指定編號,則由係統為其自動分配一個編號。由於規則的編號可能影響規則匹配的順序,因此當由係統自動分配編號時,為了方便後續在已有規則之前插入新的規則,係統通常會在相鄰編號之間留下一定的空間,這個空間的大小(即相鄰編號之間的差值)就稱為ACL的步長。譬如,當步長為5時,係統會將編號0、5、10、15……依次分配給新創建的規則。
係統為規則自動分配編號的方式如下:係統從0開始,按照步長自動分配一個大於現有最大編號的最小編號。譬如原有編號為0、5、9、10和12的五條規則,步長為5,此時如果創建一條規則且不指定編號,那麼係統將自動為其分配編號15。
如果步長發生了改變,ACL內原有全部規則的編號都將自動從0開始按新步長重新排列。譬如,某ACL內原有編號為0、5、9、10和15的五條規則,當修改步長為2之後,這些規則的編號將依次變為0、2、4、6和8。
傳統的報文過濾並不處理所有的分片報文,隻對首個分片進行匹配處理,而對後續分片一律放行。這樣,網絡攻擊者可以構造後續的分片報文進行流量攻擊,從而帶來了安全隱患。為提高網絡安全性,ACL規則缺省會匹配所有的非分片報文以及分片報文的每個分片。同時,為了提高匹配效率,用戶也可以對此匹配策略進行修改,譬如可指定規則僅對非首片分片報文有效等。
表1-3 ACL配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置ACL的生效時間段 |
可選 本配置任務適用於IPv4和IPv6 |
|
|
配置IPv4基本ACL |
至少選擇一項 |
|
|
配置IPv6基本ACL |
||
|
配置IPv4高級ACL |
||
|
配置IPv6高級ACL |
||
|
配置二層ACL |
||
|
複製ACL |
可選 本配置任務適用於IPv4和IPv6 |
|
|
應用ACL進行報文過濾 |
可選 本配置任務適用於IPv4和IPv6 |
當ACL規則隻需在某個或某些特定的時間段內生效時,可以設置基於時間段的ACL過濾。為此,用戶可以先配置一個或多個時間段,然後在規則中引用這些時間段,那麼該規則將隻在指定的時間段內生效。ACL的生效時間段可分為以下兩種:
· 周期時間段:表示規則以一周為周期(如每周一的8至12點)循環生效。
· 絕對時間段:表示規則在指定時間範圍內(如2011年1月1日8點至2011年1月3日18點)生效。
用戶使用同一名稱可以配置內容不同的多條時間段,所配置的各周期時間段之間以及各絕對時間段之間分別取並集之後,各並集的交集將成為最終生效的時間範圍。
表1-4 配置ACL的生效時間段
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建時間段 |
time-range time-range-name { start-time to end-time days [ from time1 date1 ] [ to time2 date2 ] | from time1 date1 [ to time2 date2 ] | to time2 date2 } |
必選 缺省情況下,不存在任何時間段 |
用戶最多可以創建256個不同名稱的時間段,而同一名稱下最多可以配置32條周期時間段和12條絕對時間段。
IPv4基本ACL根據報文的源IP地址來製訂規則,對IPv4報文進行匹配。
表1-5 配置IPv4基本ACL
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建IPv4基本ACL,並進入IPv4基本ACL視圖 |
acl number acl-number [ name acl-name ] [ match-order { auto | config } ] |
必選 缺省情況下,不存在任何ACL IPv4基本ACL的編號範圍為2000~2999 |
|
配置ACL的描述信息 |
description text |
可選 缺省情況下,ACL沒有任何描述信息 |
|
配置規則編號的步長 |
step step-value |
可選 缺省情況下,規則編號的步長為5 |
|
創建規則 |
rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { sour-addr sour-wildcard | any } | time-range time-range-name | vpn-instance vpn-instance-name ] * |
必選 缺省情況下,IPv4基本ACL內不存在任何規則 S5500-SI係列交換機不支持vpn-instance參數 需要注意的是: · 當IPv4基本ACL被QoS策略引用對報文進行流分類時,不支持配置vpn-instance參數,在規則中配置的logging和counting參數不會生效 · 當IPv4基本ACL被用於報文過濾時,不支持配置vpn-instance參數 |
|
為指定規則配置描述信息 |
rule rule-id comment text |
可選 缺省情況下,規則沒有任何描述信息 |
|
配置規則注釋信息 |
rule [ rule-id ] remark text |
可選 缺省情況下,ACL內沒有任何規則注釋信息 |
|
使能基於硬件應用的ACL的規則匹配統計功能 |
hardware-count enable |
可選 缺省情況下,基於硬件應用的ACL的規則匹配統計功能處於關閉狀態 當ACL被QoS策略引用對報文進行流分類時,本功能不會生效 |
如果在創建IPv4基本ACL時為其指定了名稱,則也可以使用acl name acl-name命令通過指定名稱的方式進入其視圖。
IPv6基本ACL根據報文的源IPv6地址來製訂規則,對IPv6報文進行匹配。
表1-6 配置IPv6基本ACL
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建IPv6基本ACL,並進入IPv6基本ACL視圖 |
acl ipv6 number acl6-number [ name acl6-name ] [ match-order { auto | config } ] |
必選 缺省情況下,不存在任何ACL IPv6基本ACL的編號範圍為2000~2999 |
|
配置ACL的描述信息 |
description text |
可選 缺省情況下,ACL沒有任何描述信息 |
|
配置規則編號的步長 |
step step-value |
可選 缺省情況下,規則編號的步長為5 |
|
創建規則 |
rule [ rule-id ] { deny | permit } [ counting | fragment | logging | routing [ type routing-type ] | source { ipv6-address prefix-length | ipv6-address/prefix-length | any } | time-range time-range-name | vpn-instance vpn-instance-name ] * |
必選 缺省情況下,IPv6基本ACL內不存在任何規則 S5500-SI係列交換機不支持vpn-instance參數 需要注意的是: · 當IPv6基本ACL被QoS策略引用對報文進行流分類時,不支持配置fragment、routing和vpn-instance參數,在規則中配置的logging和counting參數不會生效 · 當IPv6基本ACL被用於報文過濾時,不支持配置fragment、routing和vpn-instance參數 |
|
為指定規則配置描述信息 |
rule rule-id comment text |
可選 缺省情況下,規則沒有任何描述信息 |
|
配置規則注釋信息 |
rule [ rule-id ] remark text |
可選 缺省情況下,ACL內沒有任何規則注釋信息 |
|
使能基於硬件應用的ACL的規則匹配統計功能 |
hardware-count enable |
可選 缺省情況下,基於硬件應用的ACL的規則匹配統計功能處於關閉狀態 當ACL被QoS策略引用對報文進行流分類時,本功能不會生效 |
如果在創建IPv6基本ACL時為其指定了名稱,則也可以使用acl ipv6 name acl6-name命令通過指定名稱的方式進入其視圖。
IPv4高級ACL可根據報文的源IP地址、目的IP地址、報文優先級、IP承載的協議類型及特性(如TCP/UDP的源端口和目的端口、TCP報文標識、ICMP協議的消息類型和消息碼等)等信息來製定規則,對IPv4報文進行匹配。用戶可利用IPv4高級ACL製訂比IPv4基本ACL更準確、豐富、靈活的規則。
表1-7 配置IPv4高級ACL
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建IPv4高級ACL,並進入IPv4高級ACL視圖 |
acl number acl-number [ name acl-name ] [ match-order { auto | config } ] |
必選 缺省情況下,不存在任何ACL IPv4高級ACL的編號範圍為3000~3999 |
|
配置ACL的描述信息 |
description text |
可選 缺省情況下,ACL沒有任何描述信息 |
|
配置規則編號的步長 |
step step-value |
可選 缺省情況下,規則編號的步長為5 |
|
創建規則 |
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { dest-addr dest-wildcard | any } | destination-port operator port1 [ port2 ] | dscp dscp | fragment | icmp-type { icmp-type [ icmp-code ] | icmp-message } | logging | precedence precedence | source { sour-addr sour-wildcard | any } | source-port operator port1 [ port2 ] | time-range time-range-name | tos tos | vpn-instance vpn-instance-name ] * |
必選 缺省情況下,IPv4高級ACL內不存在任何規則 重複執行本命令可以創建多條規則 S5500-SI係列交換機不支持vpn-instance參數 需要注意的是,當IPv4高級ACL用於QoS策略的流分類或用於報文過濾功能時: · 不支持配置vpn-instance參數 · 不支持配置操作符operator取值為neq · 當ACL用於流分類時,在規則中配置的logging和counting參數不會生效 |
|
為指定規則配置描述信息 |
rule rule-id comment text |
可選 缺省情況下,規則沒有任何描述信息 |
|
配置規則注釋信息 |
rule [ rule-id ] remark text |
可選 缺省情況下,ACL內沒有任何規則注釋信息 |
|
使能基於硬件應用的ACL的規則匹配統計功能 |
hardware-count enable |
可選 缺省情況下,基於硬件應用的ACL的規則匹配統計功能處於關閉狀態 當ACL被QoS策略引用對報文進行流分類時,本功能不會生效 |
如果在創建IPv4高級ACL時為其指定了名稱,則也可以使用acl name acl-name命令通過指定名稱的方式進入其視圖。
IPv6高級ACL可根據報文的源IPv6地址、目的IPv6地址、報文優先級、IPv6承載的協議類型及特性(如TCP/UDP的源端口和目的端口、TCP報文標識、ICMPv6協議的消息類型和消息碼等)等信息來製定規則,對IPv6報文進行匹配。用戶可利用IPv6高級ACL製訂比IPv6基本ACL更準確、豐富、靈活的規則。
表1-8 配置IPv6高級ACL
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建IPv6高級ACL,並進入IPv6高級ACL視圖 |
acl ipv6 number acl6-number [ name acl6-name ] [ match-order { auto | config } ] |
必選 缺省情況下,不存在任何ACL IPv6高級ACL的編號範圍3000~3999 |
|
配置ACL的描述信息 |
description text |
可選 缺省情況下,ACL沒有任何描述信息 |
|
配置規則編號的步長 |
step step-value |
可選 缺省情況下,規則編號的步長為5 |
|
創建規則 |
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { dest dest-prefix | dest/dest-prefix | any } | destination-port operator port1 [ port2 ] | dscp dscp | flow-label flow-label-value | fragment | icmp6-type { icmp6-type icmp6-code | icmp6-message } | logging | routing [ type routing-type ] | source { source source-prefix | source/source-prefix | any } | source-port operator port1 [ port2 ] | time-range time-range-name | vpn-instance vpn-instance-name ] * |
必選 缺省情況下,IPv6高級ACL內不存在任何規則 S5500-SI係列交換機不支持vpn-instance參數 需要注意的是,當IPv6高級ACL用於QoS策略的流分類或用於報文過濾功能時: · 不支持配置fragment和routing參數 · 不支持配置vpn-instance參數 · 不支持配置操作符operator取值為neq · 如果QoS策略或報文過濾功能應用於出方向(僅S5500-EI支持),則不支持配置flow-label參數 · 當ACL用於流分類時,在規則中配置的logging和counting參數不會生效 |
|
為指定規則配置描述信息 |
rule rule-id comment text |
可選 缺省情況下,規則沒有任何描述信息 |
|
配置規則注釋信息 |
rule [ rule-id ] remark text |
可選 缺省情況下,ACL內沒有任何規則注釋信息 |
|
使能基於硬件應用的ACL的規則匹配統計功能 |
hardware-count enable |
可選 缺省情況下,基於硬件應用的ACL的規則匹配統計功能處於關閉狀態 當ACL被QoS策略引用對報文進行流分類時,本功能不會生效 |
· 當匹配的擴展報文頭類型(protocol參數)取值為43、44、51、60時,引用該ACL的QoS策略將不能在出方向應用。
· 如果在創建IPv6高級ACL時為其指定了名稱,則也可以使用acl ipv6 name acl6-name命令通過指定名稱的方式進入其視圖。
二層ACL可根據報文的源MAC地址、目的MAC地址、802.1p優先級、鏈路層協議類型等二層信息來製訂規則,對報文進行匹配。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建二層ACL,並進入二層ACL視圖 |
acl number acl-number [ name acl-name ] [ match-order { auto | config } ] |
必選 缺省情況下,不存在任何ACL 二層ACL的編號範圍為4000~4999 |
|
配置ACL的描述信息 |
description text |
可選 缺省情況下,ACL沒有任何描述信息 |
|
配置規則編號的步長 |
step step-value |
可選 缺省情況下,規則編號的步長為5 |
|
創建規則 |
rule [ rule-id ] { deny | permit } [ cos vlan-pri | counting | dest-mac dest-addr dest-mask | { lsap lsap-type lsap-type-mask | type protocol-type protocol-type-mask } | source-mac sour-addr source-mask | time-range time-range-name ] * |
必選 缺省情況下,二層ACL內不存在任何規則 需要注意的是,當二層ACL用於QoS策略的流分類或用於報文過濾功能時,如果使用lsap參數,則lsap-type必須為AAAA,lsap-type-mask必須為FFFF,否則ACL將無法正常應用 |
|
為指定規則配置描述信息 |
rule rule-id comment text |
可選 缺省情況下,規則沒有任何描述信息 |
|
配置規則注釋信息 |
rule [ rule-id ] remark text |
可選 缺省情況下,ACL內沒有任何規則注釋信息 |
|
使能基於硬件應用的ACL的規則匹配統計功能 |
hardware-count enable |
可選 缺省情況下,基於硬件應用的ACL的規則匹配統計功能處於關閉狀態 當ACL被QoS策略引用對報文進行流分類時,本功能不會生效 |
如果在創建二層ACL時為其指定了名稱,則也可以使用acl name acl-name命令通過指定名稱的方式進入其視圖。
用戶可通過複製一個已存在的ACL(即源ACL),來生成一個新的同類型ACL(即目的ACL)。除了ACL的編號和名稱不同外,新生成的目的ACL的匹配順序、規則匹配統計功能的使能情況、規則編號的步長、所包含的規則、規則的描述信息以及ACL的描述信息等都與源ACL的相同。
表1-10 複製IPv4 ACL
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
複製生成一個新的同類型IPv4 ACL |
acl copy { source-acl-number | name source-acl-name } to { dest-acl-number | name dest-acl-name } |
必選 |
目的IPv4 ACL要與源IPv4 ACL的類型相同,且目的IPv4 ACL必須不存在,否則將導致複製失敗。
表1-11 複製IPv6 ACL
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
複製生成一個新的同類型IPv6 ACL |
acl ipv6 copy { source-acl6-number | name source-acl6-name } to { dest-acl6-number | name dest-acl6-name } |
必選 |
目的IPv6 ACL要與源IPv6 ACL的類型相同,且目的IPv6 ACL必須不存在,否則將導致複製失敗。
ACL最基本的應用就是進行報文過濾,即通過將ACL規則應用到指定接口的入或出方向上,從而對該接口收到或發出的報文進行過濾。此外,通過配置報文過濾日誌的生成與發送周期,還可周期性地生成並發送報文過濾的日誌信息(信息級別為informational),包括匹配次數以及所使用的ACL規則。該日誌信息將被發往信息中心,有關信息中心的詳細介紹,請參見“網絡管理和監控配置指導”中的“信息中心”。
· 應用ACL進行報文過濾功能中所指的“接口”包括二層以太網端口、三層以太網端口、和VLAN接口。三層以太網端口是指被配置為三層模式的以太網端口,有關以太網端口模式切換的操作,請參見“二層技術-以太網交換配置指導”中的“以太網端口配置”。S5500-SI係列交換機不支持三層以太網端口。
· 在VLAN接口上應用ACL進行報文過濾時,隻能對通過該接口進行三層轉發的報文進行過濾,而對純二層轉發的報文不進行過濾。
· 在端口上配置報文過濾時,可以同時應用IPv4 ACL、IPv6 ACL和二層ACL,但在每個方向上每種類型的ACL最多隻能應用一條。
· 係統隻支持對應用基本或高級ACL進行報文過濾的日誌進行記錄,並在配置上述ACL規則時必須打開其日誌記錄功能(通過指定logging參數)和規則匹配統計功能(通過指定counting參數或使用hardware-count enable命令)。
表1-12 應用IPv4 ACL進行報文過濾
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
應用IPv4基本ACL、IPv4高級ACL或二層ACL進行報文過濾 |
packet-filter { acl-number | name acl-name } { inbound | outbound } |
必選 缺省情況下,接口不對報文進行過濾 |
|
退回係統視圖 |
quit |
- |
|
配置IPv4報文過濾日誌的生成與發送周期 |
acl logging frequence frequence |
必選 缺省情況下,IPv4報文過濾日誌的生成與發送周期為0分鍾,即不記錄IPv4報文過濾的日誌 |
表1-13 應用IPv6 ACL進行報文過濾
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
應用IPv6基本ACL或IPv6高級ACL進行報文過濾 |
packet-filter ipv6 { acl6-number | name acl6-name } { inbound | outbound } |
必選 缺省情況下,接口不對報文進行過濾 |
|
退回係統視圖 |
quit |
- |
|
配置IPv6報文過濾日誌的生成與發送周期 |
acl ipv6 logging frequence frequence |
必選 缺省情況下,IPv6報文過濾日誌的生成與發送周期為0分鍾,即不記錄IPv6報文過濾的日誌 |
在完成上述配置後,在任意視圖下執行display命令可以顯示ACL配置後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除ACL的統計信息。
表1-14 ACL顯示和維護
|
配置 |
命令 |
|
顯示IPv4 ACL的配置和運行情況 |
display acl { acl-number | all | name acl-name } [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示IPv6 ACL的配置和運行情況 |
display acl ipv6 { acl6-number | all | name acl6-name } [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示ACL資源的使用情況 |
display acl resource [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示報文過濾策略的應用情況 |
display packet-filter { { all | interface interface-type interface-number } [ inbound | outbound ] | interface vlan-interface vlan-interface-number [ inbound | outbound ] [ slot slot-number ] } [ | { begin | exclude | include } regular-expression ] |
|
顯示時間段的配置和狀態信息 |
display time-range { time-range-name | all } [ | { begin | exclude | include } regular-expression ] |
|
清除IPv4 ACL統計信息 |
reset acl counter { acl-number | all | name acl-name } |
|
清除IPv6 ACL統計信息 |
reset acl ipv6 counter { acl6-number | all | name acl6-name } |
某公司的網絡組網如圖1-1所示,現要求:
· Switch在工作時間(8:30~18:00)可以接受管理網管工作站(Host A)的Telnet訪問,在其餘時間則不接受任何Telnet登錄請求。
· Switch作為TFTP客戶端,隻能從11.1.1.100的服務器上獲取文件,以保證設備上不會保存未授權的非法文件。
· Switch作為FTP服務器端,隻能接受網管工作站的登錄請求。
圖1-1 在設備管理功能中應用基本IPv4 ACL組網示意圖
· 對Telnet登錄請求的限製
# 定義周期時間段telnet,時間範圍為每個工作日的8:30~18:00。
<Switch> system-view
[Switch] time-range telnet 8:30 to 18:00 working-day
# 定義基本IPv4 ACL 2000,配置兩條規則,分別為允許源IP地址為10.1.3.1的報文在工作時間通過以及拒絕源IP地址為任意地址的報文通過。
[Switch] acl number 2000
[Switch-acl-basic-2000] rule permit source 10.1.3.1 0 time-range telnet
[Switch-acl-basic-2000] quit
# 在所有Telnet用戶界麵下應用ACL 2000,方向為入方向,表示對登錄到本設備的Telnet請求進行限製。
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] acl 2000 inbound
· 對TFTP服務器的訪問限製
# 定義基本IPv4 ACL 2001,配置兩條規則,分別為允許源IP地址為11.1.1.100的報文通過以及拒絕源IP地址為任意地址的報文通過。
[Switch] acl number 2001
[Switch-acl-basic-2001] rule permit source 11.1.1.100 0
[Switch-acl-basic-2001] quit
# 配置設備隻使用ACL來限製可訪問的TFTP服務器設備。
[Switch] tftp-server acl 2001
· 對FTP登錄請求的限製
# 定義基本IPv4 ACL 2002,配置兩條規則,分別為允許源IP地址為10.1.3.1的報文通過以及拒絕源IP地址為任意地址的報文通過。
[Switch] acl number 2002
[Switch-acl-basic-2001] rule permit source 10.1.3.1 0
[Switch-acl-basic-2001] quit
# 開啟設備的FTP服務器功能。
[Switch] ftp server enable
# 配置設備使用ACL 2002來限製FTP登錄請求。
[Switch] ftp server acl 2002
要求通過在Device A的端口GigabitEthernet1/0/1上配置IPv4報文過濾功能,實現在每天的8點到18點期間隻允許Host A訪問互聯網,並以10分鍾為周期記錄IPv4報文過濾的日誌信息並輸出至控製台。
圖1-2 應用IPv4 ACL進行報文過濾配置組網圖
# 創建名為study的時間段,其時間範圍為每天的8點到18點。
<DeviceA> system-view
[DeviceA] time-range study 8:0 to 18:0 daily
# 創建IPv4基本ACL 2009,並製訂如下規則:在名為study的時間段內隻允許來自Host A的報文通過、禁止來自其它IP地址的報文通過,且在這些規則中對允許通過的報文記錄日誌信息。
[DeviceA] acl number 2009
[DeviceA-acl-basic-2009] rule permit source 192.168.1.2 0 time-range study logging
[DeviceA-acl-basic-2009] rule deny source any time-range study
[DeviceA-acl-basic-2009] quit
# 配置IPv4報文過濾日誌的生成與發送周期為10分鍾。
[DeviceA] acl logging frequence 10
# 配置係統信息的輸出規則,將級別為informational的日誌信息輸出至控製台。
[DeviceA] info-center source default channel 0 log level informational
# 應用IPv4基本ACL 2009對端口GigabitEthernet1/0/1入方向上的報文進行過濾。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] packet-filter 2009 inbound
[DeviceA-GigabitEthernet1/0/1] quit
要求通過在Device A的端口GigabitEthernet1/0/1上配置IPv6報文過濾功能,實現在每天的8點到18點期間隻允許Host A訪問互聯網,並以10分鍾為周期記錄IPv6報文過濾的日誌信息並輸出至控製台。
圖1-3 應用IPv6 ACL進行報文過濾配置組網圖
# 創建名為study的時間段,其時間範圍為每天的8點到18點。
<DeviceA> system-view
[DeviceA] time-range study 8:0 to 18:0 daily
# 創建IPv6基本ACL 2009,並製訂如下規則:在名為study的時間段內隻允許來自Host A的報文通過、禁止來自其它IPv6地址的報文通過,且在這些規則中對允許通過的報文記錄日誌信息。
[DeviceA] acl ipv6 number 2009
[DeviceA-acl6-basic-2009] rule permit source 1001::2 128 time-range study logging
[DeviceA-acl6-basic-2009] rule deny source any time-range study
[DeviceA-acl6-basic-2009] quit
# 配置IPv6報文過濾日誌的生成與發送周期為10分鍾。
[DeviceA] acl ipv6 logging frequence 10
# 配置係統信息的輸出規則,將級別為informational的日誌信息輸出至控製台。
[DeviceA] info-center source default channel 0 log level informational
# 應用IPv6基本ACL 2009對端口GigabitEthernet1/0/1入方向上的報文進行過濾。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] packet-filter ipv6 2009 inbound
[DeviceA-GigabitEthernet1/0/1] quit
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
