72ACL配置.docx
- 文档编号:25974067
- 上传时间:2023-06-16
- 格式:DOCX
- 页数:19
- 大小:83.11KB
72ACL配置.docx
《72ACL配置.docx》由会员分享,可在线阅读,更多相关《72ACL配置.docx(19页珍藏版)》请在冰豆网上搜索。
72ACL配置
第1章ACL配置
1.1ACL概述
1.1.1ACL概述
随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。
通过对报文进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。
ACL(AccessControlList,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。
当设备的端口接收到报文后,即根据当前端口上应用的ACL规则对报文的字段进行分析,在识别出特定的报文之后,根据预先设定的策略允许或禁止该报文通过。
ACL通过一系列的匹配条件对报文进行分类,这些条件可以是报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口号等。
1.1.2ACL在交换机上的应用方式
交换机上定义的ACL支持以下两种应用方式:
●基于硬件的应用:
ACL被下发到硬件,例如配置QoS策略时引用ACL,对报文进行流分类。
需要注意的是,当ACL被QoS策略引用时,ACL规则中定义的动作(deny或permit)不起作用,设备对匹配此ACL的报文采取的动作由QoS策略中流行为定义的动作决定。
关于流行为的详细介绍请参见本手册“QoS”部分。
●基于软件的应用:
ACL被上层软件引用,例如配置登录用户控制功能时引用ACL,对Telnet、SNMP和WEB用户进行控制。
需要注意的是,当ACL被上层软件引用时,设备对匹配此ACL的报文采取的动作由ACL规则中定义的动作(deny或permit)决定。
关于登录用户控制的详细介绍请参见本手册“登录以太网交换机”部分。
说明:
当ACL下发到硬件,被QoS策略引用进行流分类时,如果报文没有与ACL中的规则匹配,此时设备不会使用流行为中定义的动作对此类报文进行处理。
当ACL被上层软件引用,对Telnet、SNMP和WEB登录用户进行控制时,如果报文没有与ACL中的规则匹配,此时设备对此类报文采取的动作为deny,即拒绝报文通过。
1.2IPv4ACL简介
1.2.1IPv4ACL分类
IPv4ACL根据ACL序号来区分不同的ACL,可以分为下列四种类型:
●基本IPv4ACL(ACL序号为2000~2999):
只根据报文的源IP地址信息制定匹配规则。
●高级IPv4ACL(ACL序号为3000~3999):
根据报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性等三、四层信息制定匹配规则。
●二层ACL(ACL序号为4000~4999):
根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则。
●用户自定义ACL(ACL序号为5000~5999):
可以以报文的二层报文头、IP报文头等为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。
1.2.2IPv4ACL命名
用户在创建IPv4ACL时,可以为ACL指定一个名称。
每个IPv4ACL最多只能有一个名称。
命名的ACL使用户可以通过名称唯一地确定一个IPv4ACL,并对其进行相应的操作。
在创建ACL时,用户可以选择是否配置名称。
ACL创建后,不允许用户修改或者删除ACL名称,也不允许为未命名的ACL添加名称。
说明:
IPv4ACL的名称对于IPv4ACL全局唯一,但允许与IPv6ACL使用相同的名称。
1.2.3IPv4ACL匹配顺序
一个ACL中可以包含多个规则,而每个规则都指定不同的报文匹配选项。
这样,在报文匹配时就会出现匹配顺序的问题。
IPv4ACL支持两种匹配顺序:
●配置顺序:
按照用户配置规则的先后顺序进行规则匹配。
●自动排序:
按照“深度优先”的顺序进行规则匹配。
1.基本IPv4ACL的“深度优先”顺序判断原则如下
(1)先比较源IP地址范围,源IP地址范围小(反掩码中“0”位的数量多)的规则优先;
(2)如果源IP地址范围相同,则先配置的规则优先。
2.高级IPv4ACL的“深度优先”顺序判断原则如下
(1)先比较协议范围,指定了IP协议承载的协议类型的规则优先;
(2)如果协议范围相同,则比较源IP地址范围,源IP地址范围小(反掩码中“0”位的数量多)的规则优先;
(3)如果协议范围、源IP地址范围相同,则比较目的IP地址范围,目的IP地址范围小(反掩码中“0”位的数量多)的规则优先;
(4)如果协议范围、源IP地址范围、目的IP地址范围相同,则比较四层端口号(TCP/UDP端口号)范围,四层端口号范围小的规则优先;
(5)如果上述范围都相同,则先配置的规则优先。
3.二层ACL的“深度优先”顺序判断原则如下
(1)先比较源MAC地址范围,源MAC地址范围小(掩码中“1”位的数量多)的规则优先;
(2)如果源MAC地址范围相同,则比较目的MAC地址范围,目的MAC地址范围小(掩码中“1”位的数量多)的规则优先;
(3)如果源MAC地址范围、目的MAC地址范围相同,则先配置的规则优先。
说明:
用户自定义ACL的匹配顺序只能为配置顺序。
在报文匹配规则时,会按照匹配顺序去匹配定义的规则,一旦有一条规则被匹配,报文就不再继续匹配其它规则了,设备将对该报文执行第一次匹配的规则指定的动作。
1.2.4IPv4ACL对分片报文的处理
传统的报文过滤并不处理所有IP报文分片,而是只对第一个(首片)分片报文进行匹配处理,后续分片一律放行。
这样,网络攻击者可能构造后续的分片报文进行流量攻击,就带来了安全隐患。
在ACL的规则配置项中,通过关键字fragment来标识该ACL规则仅对非尾片分片报文有效,而对非分片报文和尾片分片报文无效。
不包含此关键字的配置规则项对非分片报文和分片报文均有效。
1.3IPv4ACL配置
1.3.1配置时间段
用户可以根据时间段对报文进行控制。
ACL中的每条规则都可选择一个时间段,这条规则只在该指定的时间段内生效。
如果规则引用的时间段未配置,则系统给出提示信息,并允许这样的规则创建成功,但是规则不能立即生效,直到用户配置了引用的时间段,并且系统时间在指定时间段范围内ACL规则才能生效。
对时间段的配置有如下两种情况:
●配置周期时间段:
采用每个星期固定时间段的形式,例如从星期一至星期五的8:
00至18:
00。
●配置绝对时间段:
采用从某年某月某日某时某分起至某年某月某日某时某分结束的形式,例如从2000年1月28日15:
00起至2004年1月28日15:
00结束。
1.配置时间段
表1-1配置时间段
操作
命令
说明
进入系统视图
system-view
-
创建一个时间段
time-rangetime-name{start-timetoend-timedays[fromtime1date1][totime2date2]|fromtime1date1[totime2date2]|totime2date2}
必选
需要注意的是:
●如果用户通过命令time-rangetime-namestart-timetoend-timedays定义了一个周期时间段,则只有系统时钟在该周期时间段内,该时间段才进入激活状态。
●如果用户通过命令time-rangetime-name{fromtime1date1[totime2date2]|totime2date2}定义了一个绝对时间段,则只有系统时钟在该绝对时间段内,该时间段才进入激活状态。
●如果用户通过命令time-rangetime-namestart-timetoend-timedays{fromtime1date1[totime2date2]|totime2date2}同时定义了绝对时间段和周期时间段,则只有系统时钟同时满足绝对时间段和周期时间段的定义时,该时间段才进入激活状态。
例如,一个时间段定义了绝对时间段:
从2004年1月1日0点0分到2004年12月31日24点0分,同时定义了周期时间段:
每周三的12:
00到14:
00。
该时间段只有在2004年内每周三的12:
00到14:
00才进入激活状态。
●在同一个名字下可以配置多个时间段,来共同描述一个特殊时间,通过名字来引用该时间。
在同一个名字下配置的多个周期时间段之间是“或”的关系,多个绝对时间段之间是“或”的关系,而周期时间段和绝对时间段之间是“与”的关系。
●如果不配置开始日期,时间段就是从系统可表示的最早时间(即1970年1月1日0点0分)起到结束日期为止。
如果不配置结束日期,时间段就是从配置生效之日起到系统可以表示的最晚时间(即2100年12月31日24点0分)为止。
●最多可以定义256个时间段。
2.时间段配置举例
#配置周期时间段,时间范围为每周周一到周五的8:
00到18:
00。
[Sysname]time-rangetest8:
00to18:
00working-day
[Sysname]displaytime-rangetest
Currenttimeis22:
17:
421/5/2006Thursday
Time-range:
test(Inactive)
08:
00to18:
00working-day
#配置绝对时间段,时间范围为2006年1月28日15:
00起至2008年1月28日15:
00结束。
[Sysname]time-rangetestfrom15:
001/28/2006to15:
001/28/2008
[Sysname]displaytime-rangetest
Currenttimeis22:
20:
181/5/2006Thursday
Time-range:
test(Inactive)
from15:
001/28/2006to15:
001/28/2008
1.3.2配置基本IPv4ACL
基本IPv4ACL只根据源IP地址信息制定匹配规则,对报文进行相应的分析处理。
基本IPv4ACL的序号取值范围为2000~2999。
1.配置准备
如果要配置带有时间段参数的规则,则需要定义相应的时间段。
2.配置基本IPv4ACL
表1-1配置基本IPv4ACL
操作
命令
说明
进入系统视图
system-view
-
创建基本IPv4ACL并进入基本IPv4ACL视图
aclnumberacl-number[nameacl-name][match-order{auto|config}]
必选
缺省情况下,匹配顺序为config
如果用户在创建IPv4ACL时指定了名称,则之后可以通过aclnameacl-name命令进入指定名称的IPv4ACL视图
定义规则
rule[rule-id]{deny|permit}[fragment|logging|source{sour-addrsour-wildcard|any}|time-rangetime-name]*
必选
可以重复本步骤创建多条规则
定义步长
stepstep-value
可选
缺省情况下,步长为5
定义IPv4ACL的描述信息
descriptiontext
可选
缺省情况下,IPv4ACL没有描述信息
定义规则的描述信息
rulerule-idcommenttext
可选
缺省情况下,规则没有描述信息
需要注意的是:
●当ACL的匹配顺序为config时,用户可以修改该ACL中的任何一条已经存在的规则,在修改ACL中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当ACL的匹配顺序为auto时,用户不能修改该ACL中的任何一条已经存在的规则,否则系统会提示错误信息。
●在定义一条ACL规则的时候,用户可以不指定规则编号,这时,系统会从0开始,按照一定的编号步长,自动为规则分配一个大于现有最大编号的最小编号。
假设现有规则的最大编号是28,编号步长是5,那么系统分配给新定义的规则的编号将是30。
关于步长的详细介绍请参考step命令。
●新创建或修改后的规则不能和已经存在的规则相同,否则会导致创建或修改不成功,系统会提示该规则已经存在。
●当ACL的匹配顺序为auto时,新创建的规则将按照“深度优先”的原则插入到已有的规则中,但是所有规则对应的编号不会改变。
注意:
用户可以通过命令aclnumberacl-number[nameacl-name]match-order{auto|config}修改IPv4ACL的匹配顺序为auto或者config,但必须在IPv4ACL中没有规则的时候修改,对已经有规则的IPv4ACL是无法修改其匹配顺序的。
在使用rulecomment命令为规则定义描述信息时,该规则必须存在。
3.基本IPv4ACL配置举例
#配置基本IPv4ACL2000,禁止源IP地址为1.1.1.1的报文通过。
[Sysname]aclnumber2000
[Sysname-acl-basic-2000]ruledenysource1.1.1.10
[Sysname-acl-basic-2000]displayacl2000
BasicACL2000,named-none-,1rule,
ACL'sstepis5
rule0denysource1.1.1.10
1.3.3配置高级IPv4ACL
高级IPv4ACL可以使用报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性(例如TCP或UDP的源端口、目的端口,ICMP协议的消息类型、消息码等)等信息来制定匹配规则。
高级IPv4ACL支持对三种报文优先级的分析处理:
●ToS(TypeofService,服务类型)优先级
●IP优先级
●DSCP(DifferentiatedServicesCodepoint,差分服务编码点)优先级
用户可以利用高级IPv4ACL定义比基本IPv4ACL更准确、更丰富、更灵活的匹配规则。
高级IPv4ACL的序号取值范围为3000~3999。
1.配置准备
如果要配置带有时间段参数的规则,则需要定义相应的时间段。
2.配置高级IPv4ACL命令列表
表1-1配置高级IPv4ACL
操作
命令
说明
进入系统视图
system-view
-
创建高级IPv4ACL并进入高级IPv4ACL视图
aclnumberacl-number[nameacl-name][match-order{auto|config}]
必选
缺省情况下,匹配顺序为config
如果用户在创建IPv4ACL时指定了名称,则之后可以通过aclnameacl-name命令进入指定名称的IPv4ACL视图
定义规则
rule[rule-id]{deny|permit}protocol[destination{dest-addrdest-wildcard|any}|destination-portoperatorport1[port2]|dscpdscp|established|fragment|icmp-type{icmp-typeicmp-code|icmp-message}|logging|precedenceprecedence|reflective|source{sour-addrsour-wildcard|any}|source-portoperatorport1[port2]|time-rangetime-name|tostos]*
必选
可以重复本步骤创建多条规则
定义步长
stepstep-value
可选
缺省情况下,步长为5
定义IPv4ACL的描述信息
descriptiontext
可选
缺省情况下,IPv4ACL没有描述信息
定义规则的描述信息
rulerule-idcommenttext
可选
缺省情况下,规则没有描述信息
需要注意的是:
●当ACL的匹配顺序为config时,用户可以修改该ACL中的任何一条已经存在的规则,在修改ACL中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当ACL的匹配顺序为auto时,用户不能修改该ACL中的任何一条已经存在的规则,否则系统会提示错误信息。
●在定义一条ACL规则的时候,用户可以不指定规则编号,这时,系统会从0开始,按照一定的编号步长,自动为规则分配一个大于现有最大编号的最小编号。
假设现有规则的最大编号是28,编号步长是5,那么系统分配给新定义的规则的编号将是30。
关于步长的详细介绍请参考step命令。
●新创建或修改后的规则不能和已经存在的规则相同,否则会导致创建或修改不成功,系统会提示该规则已经存在。
●当ACL的匹配顺序为auto时,新创建的规则将按照“深度优先”的原则插入到已有的规则中,但是所有规则对应的编号不会改变。
注意:
●用户可以通过命令aclnumberacl-number[nameacl-name]match-order{auto|config}修改IPv4ACL的匹配顺序为auto或者config,但必须在IPv4ACL中没有规则的时候修改,对已经有规则的IPv4ACL是无法修改其匹配顺序的。
●在使用rulecomment命令为规则定义描述信息时,该规则必须存在。
3.高级IPv4ACL配置举例
#配置高级IPv4ACL3000,允许129.9.0.0网段的主机向202.38.160.0网段的主机发送端口号为80的TCP报文。
[Sysname]aclnumber3000
[Sysname-acl-adv-3000]rulepermittcpsource129.9.0.00.0.255.255destination202.38.160.00.0.0.255destination-porteq80
[Sysname-acl-adv-3000]displayacl3000
AdvancedACL3000,named-none-,1rule,
ACL'sstepis5
rule0permittcpsource129.9.0.00.0.255.255destination202.38.160.00.0.0.255destination-porteqwww
1.3.4配置二层ACL
二层ACL根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则,对报文进行相应的分析处理。
二层ACL的序号取值范围为4000~4999。
1.配置二层ACL准备
如果要配置带有时间段参数的规则,则需要定义相应的时间段。
2.配置二层ACL命令列表
表1-1配置二层ACL
操作
命令
说明
进入系统视图
system-view
-
创建二层ACL并进入二层ACL视图
aclnumberacl-number[nameacl-name][match-order{auto|config}]
必选
缺省情况下,匹配顺序为config
如果用户在创建IPv4ACL时指定了名称,则之后可以通过aclnameacl-name命令进入指定名称的IPv4ACL视图
定义规则
rule[rule-id]{deny|permit}[cosvlan-pri|dest-macdest-addrdest-mask|lsaplsap-codelsap-wildcard|source-macsour-addrsource-mask|time-rangetime-name|typetype-codetype-wildcard]*
必选
可以重复本步骤创建多条规则
定义步长
stepstep-value
可选
缺省情况下,步长为5
定义IPv4ACL的描述信息
descriptiontext
可选
缺省情况下,IPv4ACL没有描述信息
定义规则的描述信息
rulerule-idcommenttext
可选
缺省情况下,规则没有描述信息
需要注意的是:
●当ACL的匹配顺序为config时,用户可以修改该ACL中的任何一条已经存在的规则,在修改ACL中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当ACL的匹配顺序为auto时,用户不能修改该ACL中的任何一条已经存在的规则,否则系统会提示错误信息。
●在定义一条ACL规则的时候,用户可以不指定规则编号,这时,系统会从0开始,按照一定的编号步长,自动为规则分配一个大于现有最大编号的最小编号。
假设现有规则的最大编号是28,编号步长是5,那么系统分配给新定义的规则的编号将是30。
关于步长的详细介绍请参考step命令。
●新创建或修改后的规则不能和已经存在的规则相同,否则会导致创建或修改不成功,系统会提示该规则已经存在。
●当ACL的匹配顺序为auto时,新创建的规则将按照“深度优先”的原则插入到已有的规则中,但是所有规则对应的编号不会改变。
注意:
用户可以通过命令aclnumberacl-number[nameacl-name]match-order{auto|config}修改IPv4ACL的匹配顺序为auto或者config,但必须在IPv4ACL中没有规则的时候修改,对已经有规则的IPv4ACL是无法修改其匹配顺序的。
在使用rulecomment命令为规则定义描述信息时,该规则必须存在。
3.二层ACL配置举例
#配置二层ACL4000,禁止802.1p优先级为3的报文通过。
[Sysname]aclnumber4000
[Sysname-acl-ethernetframe-4000]ruledenycos3
[Sysname-acl-ethernetframe-4000]displayacl4000
EthernetframeACL4000,named-none-,1rule,
ACL'sstepis5
rule0denycosexcellent-effort
1.3.5配置用户自定义ACL
用户自定义ACL可以以报文的二层报文头、IP报文头等为基准,指定从第几个字节开始与掩码进行“与”
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 72 ACL 配置