- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
11-ACL配置
本章节下载: 11-ACL配置 (369.47 KB)
目 录
l 本章所介绍的ACL包括IPv4 ACL和IPv6 ACL。
l S3500-EA交换机只有工作在MCE模式时,才能支持本文中提到的VPN实例功能以及相关命令中的vpn-instance参数。有关交换机工作模式的介绍,请参见IP业务分册中的“双协议栈配置”。
随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对报文进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。ACL(Access Control List,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。
当设备的端口接收到报文后,即根据当前端口上应用的ACL规则对报文的字段进行分析,在识别出特定的报文之后,根据预先设定的策略允许或禁止该报文通过。
ACL通过一系列的匹配条件对报文进行分类,这些条件可以是报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口号等。
交换机上定义的ACL支持以下两种应用方式:
l 基于硬件的应用:ACL被下发到硬件,例如配置QoS策略时引用ACL,对报文进行流分类。需要注意的是,当ACL被QoS策略引用时,ACL规则中定义的动作(deny或permit)不起作用,设备对匹配此ACL的报文采取的动作由QoS策略中流行为定义的动作决定。关于流行为的详细介绍请参见QoS分册中的“QoS配置”部分。
l 基于软件的应用:ACL被上层软件引用,例如配置登录用户控制功能时引用ACL,对Telnet、SNMP和WEB用户进行控制。需要注意的是,当ACL被上层软件引用时,设备对匹配此ACL的报文采取的动作由ACL规则中定义的动作(deny或permit)决定。关于登录用户控制的详细介绍请参见系统分册中的“登录以太网交换机”部分。
l 当ACL下发到硬件,被QoS策略引用进行流分类时,如果报文没有与ACL中的规则匹配,此时设备不会使用流行为中定义的动作对此类报文进行处理。
l 当ACL被上层软件引用,对Telnet、SNMP和WEB登录用户进行控制时,如果报文没有与ACL中的规则匹配,此时设备对此类报文采取的动作为deny,即拒绝报文通过。
IPv4 ACL根据ACL序号来区分不同的ACL,可以分为四种类型,如表1-1所示。
|
IPv4 ACL类型 |
ACL序号范围 |
区分报文的依据 |
|
基本IPv4 ACL |
2000~2999 |
只根据报文的源IP地址信息制定匹配规则 |
|
高级IPv4 ACL |
3000~3999 |
根据报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性等三、四层信息制定匹配规则 |
|
二层ACL |
4000~4999 |
根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则 |
|
用户自定义ACL |
5000~5999 |
可以以报文的报文头、IP头等为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文 |
用户在创建IPv4 ACL时,可以为ACL指定一个名称。每个IPv4 ACL最多只能有一个名称。命名的ACL使用户可以通过名称唯一地确定一个IPv4 ACL,并对其进行相应的操作。
在创建ACL时,用户可以选择是否配置名称。ACL创建后,不允许用户修改或者删除ACL名称,也不允许为未命名的ACL添加名称。
IPv4 ACL的名称对于IPv4 ACL全局唯一,但允许与IPv6 ACL使用相同的名称。
一个ACL中可以包含多个规则,而每个规则都指定不同的报文匹配选项,这些规则可能存在重复或矛盾的地方,在将一个报文和ACL的规则进行匹配的时候,到底采用哪些规则呢?就需要确定规则的匹配顺序。
IPv4 ACL支持两种匹配顺序:
l 配置顺序:按照用户配置规则的先后顺序进行规则匹配。
l 自动排序:按照“深度优先”的顺序进行规则匹配。
(1) 先看规则中是否带VPN实例,带VPN实例的规则优先;
(2) 再比较源IP地址范围,源IP地址范围小(反掩码中“0”位的数量多)的规则优先;
(3) 如果源IP地址范围相同,则先配置的规则优先。
(1) 先看规则中是否带VPN实例,带VPN实例的规则优先;
(2) 再比较协议范围,指定了IP协议承载的协议类型的规则优先;
(3) 如果协议范围相同,则比较源IP地址范围,源IP地址范围小(反掩码中“0”位的数量多)的规则优先;
(4) 如果协议范围、源IP地址范围相同,则比较目的IP地址范围,目的IP地址范围小(反掩码中“0”位的数量多)的规则优先;
(5) 如果协议范围、源IP地址范围、目的IP地址范围相同,则比较四层端口号(TCP/UDP端口号)范围,四层端口号范围小的规则优先;
(6) 如果上述范围都相同,则先配置的规则优先。
(1) 先比较源MAC地址范围,源MAC地址范围小(掩码中“1”位的数量多)的规则优先;
(2) 如果源MAC地址范围相同,则比较目的MAC地址范围,目的MAC地址范围小(掩码中“1”位的数量多)的规则优先;
(3) 如果源MAC地址范围、目的MAC地址范围相同,则先配置的规则优先。
用户自定义ACL的匹配顺序只能为配置顺序。
在报文匹配规则时,会按照匹配顺序去匹配定义的规则,一旦有一条规则被匹配,报文就不再继续匹配其它规则了,设备将对该报文执行第一次匹配的规则指定的动作。
步长的含义是:设备自动为ACL规则分配编号的时候,每个相邻规则编号之间的差值。例如,如果将步长设定为5,规则编号分配是按照0、5、10、15…这样的规律分配的。缺省情况下,步长为5。
当步长改变后,ACL中的规则编号会自动从0开始重新排列。例如,原来规则编号为5、10、15、20,当通过命令把步长改为2后,则规则编号变成0、2、4、6。
当使用命令将步长恢复为缺省值后,设备将立刻按照缺省步长调整ACL规则的编号。例如:ACL 3001,步长为2,下面有4个规则,编号为0、2、4、6。如果此时使用命令将步长恢复为缺省值,则ACL规则编号变成0、5、10、15,步长为5。
使用步长设定的好处是用户可以方便地在规则之间插入新的规则。例如配置好了4个规则,规则编号为:0、5、10、15。此时如果用户希望能在第一条规则之后插入一条规则,则可以使用命令在0和5之间插入一条编号为1的规则。
另外,在定义一条ACL规则的时候,用户可以不指定规则编号,这时,系统会从0开始,按照步长,自动为规则分配一个大于现有最大编号的最小编号。假设现有规则的最大编号是28,步长是5,那么系统分配给新定义的规则的编号将是30。
时间段用于描述一个特殊的时间范围。用户可能有这样的需求:一些ACL规则需要在某个或某些特定时间内生效,而在其他时间段则不利用它们进行报文过滤,即通常所说的按时间段过滤。这时,用户就可以先配置一个或多个时间段,然后在相应的规则下通过时间段名称引用该时间段,这条规则只在该指定的时间段内生效,从而实现基于时间段的ACL过滤。
如果规则引用的时间段未配置,则系统给出提示信息,并允许这样的规则创建成功,但是规则不能立即生效,直到用户配置了引用的时间段,并且系统时间在指定时间段范围内ACL规则才能生效。
传统的报文过滤并不处理所有IP报文分片,而是只对首片(第一片)分片报文进行匹配处理,对后续分片不进行匹配处理。这样,网络攻击者可能构造后续的分片报文进行流量攻击,就带来了安全隐患。
在ACL的规则配置项中,通过关键字fragment来标识该ACL规则仅对非尾片分片报文有效,而对非分片报文和尾片分片报文无效。不包含此关键字的配置规则项对非分片报文和分片报文均有效。
IPv6 ACL根据ACL序号来区分不同的ACL,可以分为两种类型,如表1-2所示。
|
IPv6 ACL类型 |
ACL序号范围 |
区分报文的依据 |
|
基本IPv6 ACL |
2000~2999 |
只根据源IPv6地址信息制定匹配规则 |
|
高级IPv6 ACL |
3000~3999 |
根据报文的源IPv6地址信息、目的IPv6地址信息、IPv6承载的协议类型、协议的特性等三层、四层信息来制定匹配规则 |
用户在创建IPv6 ACL时,可以为ACL指定一个名称。每个IPv6 ACL最多只能有一个名称。命名的ACL使用户可以通过名称唯一地确定一个IPv6 ACL,并对其进行相应的操作。
在创建ACL时,用户可以选择是否配置名称。ACL创建后,不允许用户修改或者删除ACL名称,也不允许为未命名的ACL添加名称。
IPv6 ACL的名称对于IPv6 ACL全局唯一,但允许与IPv4 ACL使用相同的名称。
一个ACL中可以包含多个规则,而每个规则都指定不同的报文匹配选项,这些规则可能存在重复或矛盾的地方,在将一个报文和ACL的规则进行匹配的时候,到底采用哪些规则呢?就需要确定规则的匹配顺序。
IPv6 ACL支持两种匹配顺序:
l 配置顺序:按照用户配置规则的先后顺序进行规则匹配。
l 自动排序:按照“深度优先”的顺序进行规则匹配。
(1) 先比较源IPv6地址范围,源IPv6地址范围小(前缀长)的规则优先;
(2) 如果源IPv6地址范围相同,则先配置的规则优先。
(1) 先比较协议范围,指定了IPv6协议承载的协议类型的规则优先;
(2) 如果协议范围相同,则比较源IPv6地址范围,源IPv6地址范围小(前缀长)的规则优先;
(3) 如果协议范围、源IPv6地址范围相同,则比较目的IPv6地址范围,目的IPv6地址范围小(前缀长)的规则优先;
(4) 如果协议范围、源IPv6地址范围、目的IPv6地址范围相同,则比较四层端口号(TCP/UDP端口号)范围,四层端口号范围小的规则优先;
(5) 如果上述范围都相同,则先配置的规则优先。
在报文匹配规则时,会按照匹配顺序去匹配定义的规则,一旦有一条规则被匹配,报文就不再继续匹配其它规则了,设备将对该报文执行第一次匹配的规则指定的动作。
关于步长的介绍请参见“1.2.4 IPv4 ACL步长”。
关于生效时间段的介绍请参见“1.2.5 IPv4 ACL生效时间段”。
对时间段的配置有如下两种情况:
l 配置周期时间段:采用每周的周几的形式;
l 配置绝对时间段:采用从起始时间到结束时间的形式。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建一个时间段 |
time-range time-range-name { start-time to end-time days [ from time1 date1 ] [ to time2 date2 ] | from time1 date1 [ to time2 date2 ] | to time2 date2 } |
必选 |
|
显示时间段的配置和状态 |
display time-range { time-range-name | all } |
可选 display命令可以在任意视图下执行 |
需要注意的是:
l 如果用户通过命令time-range time-range-name start-time to end-time days定义了一个周期时间段,则只有系统时钟在该周期时间段内,该时间段才进入激活状态。
l 如果用户通过命令time-range time-range-name { from time1 date1 [ to time2 date2 ] | to time2 date2 }定义了一个绝对时间段,则只有系统时钟在该绝对时间段内,该时间段才进入激活状态。
l 如果用户通过命令time-range time-range-name start-time to end-time days { from time1 date1 [ to time2 date2 ] | to time2 date2 }同时定义了绝对时间段和周期时间段,则只有系统时钟同时满足绝对时间段和周期时间段的定义时,该时间段才进入激活状态。例如,一个时间段定义了绝对时间段:从2004年1月1日0点0分到2004年12月31日24点0分,同时定义了周期时间段:每周三的12:00到14:00。该时间段只有在2004年内每周三的12:00到14:00才进入激活状态。
l 在同一个名字下可以配置多个时间段,来共同描述一个特殊时间,通过名字来引用该时间。在同一个名字下配置的多个周期时间段之间是“或”的关系,多个绝对时间段之间是“或”的关系,而周期时间段和绝对时间段之间是“与”的关系。
l 如果不配置开始日期,时间段就是从系统可表示的最早时间(即1970年1月1日0点0分)起到结束日期为止。如果不配置结束日期,时间段就是从配置生效之日起到系统可以表示的最晚时间(即2100年12月31日24点0分)为止。
l 最多可以定义256个时间段。
# 配置时间段,时间范围为每周周一到周五的8:00到18:00。
<Sysname> system-view
[Sysname] time-range test 8:00 to 18:00 working-day
[Sysname] display time-range test
Current time is 13:27:32 4/16/2005 Saturday
Time-range : test ( Inactive )
08:00 to 18:00 working-day
# 配置绝对时间段,时间范围为2009年1月28日15:00起至2010年1月28日15:00结束。
<Sysname> system-view
[Sysname] time-range test from 15:00 1/28/2009 to 15:00 1/28/2010
[Sysname] display time-range test
Current time is 22:20:18 1/5/2009 Thursday
Time-range : test ( Inactive )
from 15:00 1/28/2009 to 15:00 1/28/2010
基本IPv4 ACL只根据源IP地址信息制定匹配规则,对报文进行相应的分析处理。
基本IPv4 ACL的序号取值范围为2000~2999。
如果要配置带有时间段参数的规则,则需要定义相应的时间段。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建基本IPv4 ACL并进入基本IPv4 ACL视图 |
acl number acl-number [ name acl-name ] [ match-order { auto | config } ] |
必选 缺省情况下,匹配顺序为config 如果用户在创建IPv4 ACL时指定了名称,则之后可以通过acl name acl-name命令进入指定名称的IPv4 ACL视图 |
|
定义规则 |
rule [ rule-id ] { deny | permit } [ fragment | logging | source { sour-addr sour-wildcard | any } | time-range time-range-name | vpn-instance vpn-instance-name ] * |
必选 可以重复本步骤创建多条规则 |
|
定义步长 |
step step-value |
可选 缺省情况下,步长为5 |
|
定义基本IPv4 ACL的描述信息 |
description text |
可选 缺省情况下,基本IPv4 ACL没有描述信息 |
|
定义规则的描述信息 |
rule rule-id comment text |
可选 缺省情况下,规则没有描述信息 |
需要注意的是:
l 当ACL的匹配顺序为config时,用户可以修改该ACL中的任何一条已经存在的规则,在修改ACL中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当ACL的匹配顺序为auto时,用户不能修改该ACL中的任何一条已经存在的规则,否则系统会提示错误信息。
l 新创建或修改后的规则不能和已经存在的规则相同,否则会导致创建或修改不成功,系统会提示该规则已经存在。
l 当ACL的匹配顺序为auto时,新创建的规则将按照“深度优先”的原则插入到已有的规则中,但是所有规则对应的编号不会改变。
l 用户可以通过命令acl number acl-number [ name acl-name ] match-order { auto | config }修改IPv4 ACL的匹配顺序为auto或者config,但必须在IPv4 ACL中没有规则的时候修改,对已经有规则的IPv4 ACL是无法修改其匹配顺序的。
l 在使用rule comment命令为规则定义描述信息时,该规则必须存在。
# 配置IPv4 ACL 2000,禁止源IP地址为1.1.1.1的报文通过。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule deny source 1.1.1.1 0
[Sysname-acl-basic-2000] display acl 2000
Basic ACL 2000, named -none-, 1 rule,
ACL's step is 5
rule 0 deny source 1.1.1.1 0 (5 times matched)
高级IPv4 ACL可以使用报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性(例如TCP或UDP的源端口、目的端口,TCP标记,ICMP协议的消息类型、消息码等)等信息来制定匹配规则。
高级IPv4 ACL支持对三种报文优先级的分析处理:
l ToS(Type of Service,服务类型)优先级;
l IP优先级;
l DSCP(Differentiated Services Codepoint,差分服务编码点)优先级。
用户可以利用高级IPv4 ACL定义比基本IPv4 ACL更准确、更丰富、更灵活的匹配规则。
高级IPv4 ACL的序号取值范围为3000~3999。
如果要配置带有时间段参数的规则,则需要定义相应的时间段。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建高级IPv4 ACL并进入高级IPv4 ACL视图 |
acl number acl-number [ name acl-name ] [ match-order { auto | config } ] |
必选 缺省情况下,匹配顺序为config 如果用户在创建IPv4 ACL时指定了名称,则之后可以通过acl name acl-name命令进入指定名称的IPv4 ACL视图 |
|
定义规则 |
rule [ rule-id ] { deny | permit } protocol [ { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | destination { dest-addr dest-wildcard | any } | destination-port operator port1 [ port2 ] | dscp dscp | fragment | icmp-type { icmp-type icmp-code | icmp-message } | logging | precedence precedence | reflective | source { sour-addr sour-wildcard | any } | source-port operator port1 [ port2 ] | time-range time-range-name | tos tos | vpn-instance vpn-instance-name ] * |
必选 可以重复本步骤创建多条规则 |
|
定义步长 |
step step-value |
可选 缺省情况下,步长为5 |
|
定义高级IPv4 ACL的描述信息 |
description text |
可选 缺省情况下,高级IPv4 ACL没有描述信息 |
|
定义规则的描述信息 |
rule rule-id comment text |
可选 缺省情况下,规则没有描述信息 |
需要注意的是:
l 当ACL的匹配顺序为config时,用户可以修改该ACL中的任何一条已经存在的规则,在修改ACL中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当ACL的匹配顺序为auto时,用户不能修改该ACL中的任何一条已经存在的规则,否则系统会提示错误信息。
l 新创建或修改后的规则不能和已经存在的规则相同,否则会导致创建或修改不成功,系统会提示该规则已经存在。
l 当ACL的匹配顺序为auto时,新创建的规则将按照“深度优先”的原则插入到已有的规则中,但是所有规则对应的编号不会改变。
l 用户可以通过命令acl number acl-number [ name acl-name ] match-order { auto | config }修改IPv4 ACL的匹配顺序为auto或者config,但必须在IPv4 ACL中没有规则的时候修改,对已经有规则的IPv4 ACL是无法修改其匹配顺序的。
l 在使用rule comment命令为规则定义描述信息时,该规则必须存在。
# 配置IPv4 ACL 3000,允许129.9.0.0网段的主机向202.38.160.0网段的主机发送端口号为80的TCP报文。
<Sysname> system-view
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80
[Sysname-acl-adv-3000] display acl 3000
Advanced ACL 3000, named -none-, 1 rule,
ACL's step is 5
rule 0 permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq www (5 times matched)
二层ACL根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则,对报文进行相应的分析处理。
二层ACL的序号取值范围为4000~4999。
如果要配置带有时间段参数的规则,则需要定义相应的时间段。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建二层ACL并进入二层ACL视图 |
acl number acl-number [ name acl-name ] [ match-order { auto | config } ] |
必选 缺省情况下,匹配顺序为config 如果用户在创建二层ACL时指定了名称,则之后可以通过acl name acl-name命令进入指定名称的二层ACL视图 |
|
定义规则 |
rule [ rule-id ] { deny | permit } [ cos vlan-pri | dest-mac dest-addr dest-mask | lsap lsap-code lsap-wildcard | source-mac sour-addr source-mask | time-range time-range-name | type type-code type-wildcard ] * |
必选 可以重复本步骤创建多条规则 |
|
定义步长 |
step step-value |
可选 缺省情况下,步长为5 |
|
定义二层ACL的描述信息 |
description text |
可选 缺省情况下,二层ACL没有描述信息 |
|
定义规则的描述信息 |
rule rule-id comment text |
可选 缺省情况下,规则没有描述信息 |
需要注意的是:
l 当ACL的匹配顺序为config时,用户可以修改该ACL中的任何一条已经存在的规则,在修改ACL中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当ACL的匹配顺序为auto时,用户不能修改该ACL中的任何一条已经存在的规则,否则系统会提示错误信息。
l 新创建或修改后的规则不能和已经存在的规则相同,否则会导致创建或修改不成功,系统会提示该规则已经存在。
l 当ACL的匹配顺序为auto时,新创建的规则将按照“深度优先”的原则插入到已有的规则中,但是所有规则对应的编号不会改变。
l 用户可以通过命令acl number acl-number [ name acl-name ] match-order { auto | config }修改IPv4 ACL的匹配顺序为auto或者config,但必须在IPv4 ACL中没有规则的时候修改,对已经有规则的IPv4 ACL是无法修改其匹配顺序的。
l 在使用rule comment命令为规则定义描述信息时,该规则必须存在。
# 配置ACL 4000,禁止802.1p优先级为3的报文通过。
<Sysname> system-view
[Sysname] acl number 4000
[Sysname-acl-ethernetframe-4000] rule deny cos 3
[Sysname-acl-ethernetframe-4000] display acl 4000
Ethernet frame ACL 4000, named -none-, 1 rule,
ACL's step is 5
rule 0 deny cos excellent-effort(5 times matched)
用户自定义ACL可以以报文的报文头、IP头等为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文,然后进行相应的处理。
用户自定义ACL的序号取值范围为5000~5999。
如果要配置带有时间段参数的规则,则需要定义相应的时间段。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建用户自定义ACL并进入用户自定义ACL视图 |
acl number acl-number [ name acl-name ] |
必选 如果用户在创建用户自定义 ACL时指定了名称,则之后可以通过acl name acl-name命令进入指定名称的用户自定义ACL视图 |
|
创建用户自定义ACL规则 |
rule [ rule-id ] { deny | permit } [ { { ipv4 | ipv6 | l2 | l4 | start } rule-string rule-mask offset }&<1-8> ] [ time-range time-range-name ] |
必选 可以重复本步骤创建多条规则 |
|
定义用户自定义ACL的描述信息 |
description text |
可选 缺省情况下,用户自定义ACL没有描述信息 |
|
定义规则的描述信息 |
rule rule-id comment text |
可选 缺省情况下,规则没有描述信息 |
用户自定义ACL需要和扩展型用户自定义流模板配合使用,用户自定义ACL中设置的偏移范围必须包含在扩展型用户自定义流模板中设置的偏移范围之内,否则用户自定义ACL不能成功应用。
需要注意的是:
l 和其他类型的IPv4 ACL不同,用户自定义ACL中包含的规则不支持修改,只能进行覆盖性配置。
l 新创建的规则不能和已经存在的规则相同,否则会导致创建不成功。
l 用户自定义ACL的匹配顺序为配置顺序。
在使用rule comment命令为规则定义描述信息时,该规则必须存在。
# 配置用户自定义ACL 5500,允许在t1时间段内,从L2帧头开始算起第13、14两个字节的内容为0x0806的报文(ARP报文)通过。
<Sysname> system-view
[Sysname] acl number 5500
[Sysname-acl-user-5500] rule 0 permit L2 0806 ffff 12 time-range t1
[Sysname-acl-user-5500] display acl 5500
User defined ACL 5500, named -none-, 1 rule,
ACL's step is 5
rule 0 permit l2 0806 ffff 12 time-range t1 (Active)
拷贝IPv4 ACL功能使用户可以通过拷贝一个已经存在的IPv4 ACL,生成一个新的同类型的IPv4 ACL。生成的新的IPv4 ACL的匹配顺序、包含的匹配规则、步长以及描述信息都和源IPv4 ACL相同。
源IPv4 ACL必须存在,目的IPv4 ACL必须不存在。
表2-6 拷贝IPv4 ACL
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
拷贝生成一个新的同类型的IPv4 ACL |
acl copy { source-acl-number | name source-acl-name } to { dest-acl-number | name dest-acl-name } |
必选 |
l 源IPv4 ACL和目的IPv4 ACL的类型要相同。
l 源IPv4 ACL的名称不会拷贝到目的IPv4 ACL。
在完成上述配置后,在任意视图下执行display命令可以显示IPv4 ACL配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除IPv4 ACL统计信息。
表2-7 IPv4 ACL显示和维护
|
配置 |
命令 |
|
显示配置的IPv4 ACL信息 |
display acl { acl-number | all | name acl-name } |
|
显示交换机ACL资源的使用情况 |
display acl resource |
|
显示时间段的配置和状态 |
display time-range { time-range-name | all } |
|
清除IPv4 ACL统计信息 |
reset acl counter { acl-number | all | name acl-name } |
l 公司企业网通过交换机Switch实现各部门之间的互连。
l 要求正确配置IPv4 ACL,禁止研发部门和市场部门在上班时间(8:00至18:00)访问工资查询服务器(IP地址为192.168.4.1),而总裁办公室不受限制,可以随时访问。
图2-1 配置IPv4 ACL组网图
(1) 定义上班时间段
# 定义8:00至18:00的周期时间段。
<Switch> system-view
[Switch] time-range trname 8:00 to 18:00 working-day
(2) 定义到工资查询服务器的IPv4 ACL
# 定义研发部门到工资查询服务器的访问规则。
[Switch] acl number 3000
[Switch-acl-adv-3000] rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.4.1 0.0.0.0 time-range trname
[Switch-acl-adv-3000] quit
# 定义市场部门到工资查询服务器的访问规则。
[Switch] acl number 3001
[Switch-acl-adv-3001] rule deny ip source 192.168.3.0 0.0.0.255 destination 192.168.4.1 0.0.0.0 time-range trname
[Switch-acl-adv-3001] quit
(3) 应用IPv4 ACL
# 定义类c_rd,对匹配IPv4 ACL 3000的报文进行分类。
[Switch] traffic classifier c_rd
[Switch-classifier-c_rd] if-match acl 3000
[Switch-classifier-c_rd] quit
# 定义流行为b_rd,动作为拒绝报文通过。
[Switch] traffic behavior b_rd
[Switch-behavior-b_rd] filter deny
[Switch-behavior-b_rd] quit
# 定义类c_market,对匹配IPv4 ACL 3001的报文进行分类。
[Switch] traffic classifier c_market
[Switch-classifier-c_market] if-match acl 3001
[Switch-classifier-c_market] quit
# 定义流行为b_market,动作为拒绝报文通过。
[Switch] traffic behavior b_market
[Switch-behavior-b_market] filter deny
[Switch-behavior-b_market] quit
# 定义QoS策略p_rd,为类c_rd指定流行为b_rd。
[Switch] qos policy p_rd
[Switch-qospolicy-p_rd] classifier c_rd behavior b_rd
[Switch-qospolicy-p_rd] quit
# 定义QoS策略p_market,为类c_market指定流行为b_market。
[Switch] qos policy p_market
[Switch-qospolicy-p_market] classifier c_market behavior b_market
[Switch-qospolicy-p_market] quit
# 将QoS策略p_rd应用到端口Ethernet 1/0/2。
[Switch] interface Ethernet 1/0/2
[Switch-Ethernet1/0/2] qos apply policy p_rd inbound
[Switch-Ethernet1/0/2] quit
# 将QoS策略p_market应用到端口Ethernet 1/0/3。
[Switch] interface Ethernet 1/0/3
[Switch-Ethernet1/0/3] qos apply policy p_market inbound
基本IPv6 ACL只根据源IPv6地址信息制定匹配规则,对报文进行相应的分析处理。
基本IPv6 ACL的序号取值范围为2000~2999。
|
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
创建基本IPv6 ACL并进入基本IPv6 ACL视图 |
acl ipv6 number acl6-number [ name acl6-name ] [ match-order { auto | config } ] |
必选 缺省情况下,匹配顺序为config 如果用户在创建IPv6 ACL时指定了名称,则之后可以通过acl ipv6 name acl6-name命令进入指定名称的IPv6 ACL视图 |
|
定义规则 |
rule [ rule-id ] { deny | permit } [ fragment | logging | source { ipv6-address prefix-length | ipv6-address/prefix-length | any } | time-range time-range-name ] * |
必选 可以重复本步骤创建多条规则 |
|
定义步长 |
step step-value |
可选 缺省情况下,步长为5 |
|
定义基本IPv6 ACL的描述信息 |
description text |
可选 缺省情况下,基本IPv6 ACL没有描述信息 |
|
定义规则的描述信息 |
rule rule-id comment text |
可选 缺省情况下,规则没有描述信息 |
需要注意的是:
l 当ACL的匹配顺序为config时,用户可以修改该ACL中的任何一条已经存在的规则,在修改ACL中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当ACL的匹配顺序为auto时,用户不能修改该ACL中的任何一条已经存在的规则,否则系统会提示错误信息。
l 新创建或修改后的规则不能和已经存在的规则相同,否则会导致创建或修改不成功,系统会提示该规则已经存在。
l 当ACL的匹配顺序为auto时,新创建的规则将按照“深度优先”的原则插入到已有的规则中,但是所有规则对应的编号不会改变。
l 用户可以通过命令acl ipv6 number acl6-number [ name acl6-name ] match-order { auto | config }修改IPv6 ACL的匹配顺序为auto或者config,但必须在IPv6 ACL中没有规则的时候修改,对已经有规则的IPv6 ACL是无法修改其匹配顺序的。
l 在使用rule comment命令为规则定义描述信息时,该规则必须存在。
# 配置IPv6 ACL 2000,禁止源IPv6地址为fe80:5060::8050/96的报文通过,允许源IPv6地址为2030:5060::9050/64的报文通过。
<Sysname> system-view
[Sysname] acl ipv6 number 2000
[Sysname-acl6-basic-2000] rule permit source 2030:5060::9050/64
[Sysname-acl6-basic-2000] rule deny source fe80:5060::8050/96
[Sysname-acl6-basic-2000] display acl ipv6 2000
Basic IPv6 ACL 2000, named -none-, 2 rules,
ACL's step is 5
rule 0 permit source 2030:5060::9050/64 (4 times matched)
rule 5 deny source FE80:5060::8050/96 (5 times matched)
高级IPv6 ACL可以使用报文的源IPv6地址信息、目的IPv6地址信息、IPv6承载的协议类型、协议的特性(例如TCP或UDP的源端口、目的端口,ICMP协议的消息类型、消息码等)等信息来制定匹配规则。
用户可以利用高级IPv6 ACL定义比基本IPv6 ACL更准确、更丰富、更灵活的规则。
高级IPv6 ACL的序号取值范围3000~3999。
如果要配置带有时间段参数的规则,则需要定义相应的时间段。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建高级IPv6 ACL并进入高级IPv6 ACL视图 |
acl ipv6 number acl6-number [ name acl6-name ] [ match-order { auto | config } ] |
必选 缺省情况下,匹配顺序为config 如果用户在创建IPv6 ACL时指定了名称,则之后可以通过acl ipv6 name acl6-name命令进入指定名称的IPv6 ACL视图 |
|
定义规则 |
rule [ rule-id ] { deny | permit } protocol [ { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | destination { dest dest-prefix | dest/dest-prefix | any } | destination-port operator port1 [ port2 ] | dscp dscp | fragment | icmpv6-type { icmpv6-type icmpv6-code | icmpv6-message } | logging | source { source source-prefix | source/source-prefix | any } | source-port operator port1 [ port2 ] | time-range time-range-name ] * |
必选 可以重复本步骤创建多条规则 |
|
定义步长 |
step step-value |
可选 缺省情况下,步长为5 |
|
定义高级IPv6 ACL的描述信息 |
description text |
可选 缺省情况下,高级IPv6 ACL没有描述信息 |
|
定义规则的描述信息 |
rule rule-id comment text |
可选 缺省情况下,规则没有描述信息 |
需要注意的是:
l 当ACL的匹配顺序为config时,用户可以修改该ACL中的任何一条已经存在的规则,在修改ACL中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当ACL的匹配顺序为auto时,用户不能修改该ACL中的任何一条已经存在的规则,否则系统会提示错误信息。
l 新创建或修改后的规则不能和已经存在的规则相同,否则会导致创建或修改不成功,系统会提示该规则已经存在。
l 当ACL的匹配顺序为auto时,新创建的规则将按照“深度优先”的原则插入到已有的规则中,但是所有规则对应的编号不会改变。
l 用户可以通过命令acl ipv6 number acl6-number [ name acl6-name ] match-order { auto | config }修改IPv6 ACL的匹配顺序为auto或者config,但必须在IPv6 ACL中没有规则的时候修改,对已经有规则的IPv6 ACL是无法修改其匹配顺序的。
l 在使用rule comment命令为规则定义描述信息时,该规则必须存在。
# 配置IPv6 ACL 3000,允许源IPv6地址为2030:5060::9050/64的TCP报文通过。
<Sysname> system-view
[Sysname] acl ipv6 number 3000
[Sysname-acl6-adv-3000] rule permit tcp source 2030:5060::9050/64
[Sysname-acl6-adv-3000] display acl ipv6 3000
Advanced IPv6 ACL 3000, named -none-, 1 rule,
ACL's step is 5
rule 0 permit tcp source 2030:5060::9050/64 (5 times matched)
拷贝IPv6 ACL功能使用户可以通过拷贝一个已经存在的IPv6 ACL,生成一个新的同类型的IPv6 ACL。生成的新的IPv6 ACL的匹配顺序、包含的匹配规则、步长以及描述信息都和源IPv6 ACL相同。
源IPv6 ACL必须存在,目的IPv6 ACL必须不存在。
表3-3 拷贝IPv6 ACL
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
拷贝生成一个新的同类型的IPv6 ACL |
acl ipv6 copy { source-acl6-number | name source-acl6-name } to { dest-acl6-number | name dest-acl6-name } |
必选 |
l 源IPv6 ACL和目的IPv6 ACL的类型要相同。
l 源IPv6 ACL的名称不会拷贝到目的IPv6 ACL。
在完成上述配置后,在任意视图下执行display命令可以显示IPv6 ACL配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除IPv6 ACL统计信息。
表3-4 IPv6 ACL显示和维护
|
操作 |
命令 |
|
显示配置的IPv6 ACL信息 |
display acl ipv6 { acl6-number | all | name acl6-name } |
|
显示时间段的配置和状态 |
display time-range { time-range-name | all } |
|
清除IPv6 ACL统计信息 |
reset acl ipv6 counter { acl6-number | all | name acl6-name } |
l 公司企业网通过交换机Switch实现各部门之间的互连。
l 要求正确配置IPv6 ACL,禁止研发部门(IPv6地址为4050::9000/120)访问网络。
图3-1 配置IPv6 ACL组网图
# 定义基本IPv6 ACL 2000,配置研发部门的访问规则。
<Switch> system-view
[Switch] acl ipv6 number 2000
[Switch-acl6-basic-2000] rule deny source 4050::9000/120
[Switch-acl6-basic-2000] quit
# 定义类c_rd,对匹配IPv6 ACL 2000的报文进行分类。
[Switch] traffic classifier c_rd
[Switch-classifier-c_rd] if-match acl ipv6 2000
[Switch-classifier-c_rd] quit
# 定义流行为b_rd,动作为拒绝报文通过。
[Switch] traffic behavior b_rd
[Switch-behavior-b_rd] filter deny
[Switch-behavior-b_rd] quit
# 定义QoS策略p_rd,为类c_rd指定流行为b_rd。
[Switch] qos policy p_rd
[Switch-qospolicy-p_rd] classifier c_rd behavior b_rd
[Switch-qospolicy-p_rd] quit
# 将QoS策略p_rd应用到端口Ethernet 1/0/1。
[Switch] interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] qos apply policy p_rd inbound
本节中提到的三层以太网接口是指已经被配置为路由模式的以太网端口,有关以太网端口模式切换的操作,请参见接入分册的“以太网端口”部分。
流模板的主要功能是对硬件下发的ACL规则中所能包含的信息进行限制。在接口下发的ACL规则中包含的信息必须是该接口下发流模板中定义信息的子集。比如,流模板定义了源IP地址、目的IP地址、源TCP端口、目的TCP端口等限制,只有在上述范围内的ACL规则可以正确下发到硬件中,用于包过滤、QoS等功能;否则ACL规则将不能下发到硬件中,导致包过滤、QoS等功能不能引用此ACL规则。
设备支持的流模板包括缺省流模板和用户自定义流模板。其中,用户自定义流模板又可分为标准型和扩展型。初始状态下,接口下默认配置缺省流模板。
流模板在全局配置,在接口应用。
流模板只对基于硬件处理的ACL有效,对基于软件处理的ACL不生效。
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
配置用户自定义流模板 |
配置标准型用户自定义流模板 |
flow-template flow-template-name basic { customer-cos | customer-vlan-id | dip | dipv6 | dmac | dport | dscp | ethernet-protocol | fragments | icmp-code | icmp-type | icmpv6-code | icmpv6-type | ip-precdence | ip-protocol | ipv6-dscp | ipv6-fragment | ipv6-protocol | service-cos | service-vlan-id | sip | sipv6 | smac | sport | tcp-flag | tos } * |
二者可选其一 |
|
配置扩展型用户自定义流模板 |
flow-template flow-template-name extend { [ start ] offset-max-value length-max-value | ipv4 offset-max-value length-max-value | ipv6 offset-max-value length-max-value | l2 offset-max-value length-max-value | l4 offset-max-value length-max-value } * |
||
|
进入接口视图或端口组视图 |
进入二层以太网端口或三层以太网接口视图 |
interface interface-type interface-number |
二者必选其一 进入端口或接口视图后,下面进行的配置只在当前端口或接口生效;进入端口组视图后,下面进行的配置将在端口组中的所有接口生效 |
|
进入端口组视图 |
port-group manual port-group-name |
||
|
在接口上应用用户自定义流模板 |
flow-template flow-template-name |
可选 缺省情况下,接口下配置缺省流模板 |
|
l 扩展型用户自定义流模板需要和用户自定义ACL配合使用,当某一端口或接口应用了扩展型流模板后,不能再应用包含基本或高级ACL的策略。
l 扩展型用户自定义流模板中设置的偏移范围必须包含用户自定义ACL中设置的偏移范围,否则用户自定义ACL不能成功应用。
l 在端口或接口上应用用户自定义流模板之前,必须先配置一个用户自定义流模板;一个端口上只能应用一个流模板。
l 在端口上应用流模板时,请关闭如下功能:802.1x功能、集群功能(NDP、NTDP、HABP、Cluster)、DHCP Snooping、端口隔离、MAC+IP+端口绑定、灵活QinQ、Voice VLAN,否则流模板将不能成功应用。同时建议用户不要在端口上应用流模版后使能这些功能。
S3500-EA系列以太网交换机最多支持配置两个用户自定义流模板。需要注意的是,在配置标准型用户自定义流模板时,每个模板中所有的元素所占字节之和要小于16个字节,否则在应用流模板的时候系统会提示错误。各个元素所占的字节数如表4-2所示。
|
名称 |
描述 |
流模板中占用的字节数 |
|
customer-cos |
用户网络802.1p优先级域 |
1字节 |
|
customer-vlan-id |
用户网络VLAN ID域 |
6字节 |
|
dip |
IP报文头部的目的IP地址域 |
不占用字节 |
|
dipv6 |
IPv6报文头部的目的IPv6地址域 |
10字节 |
|
dmac |
以太网报文头部的目的MAC地址域 |
6字节 |
|
dport |
目的端口域 |
2字节 |
|
ethernet-protocol |
以太网报文头部的协议类型域 |
4字节 |
|
dscp |
IP报文头部的DSCP域 |
1字节 |
|
ip-precedence |
IP报文头部的IP优先级域 |
|
|
tos |
IP报文头部的ToS域 |
|
|
fragments |
IP报文的分片标志位域 |
不占用字节 |
|
icmp-code |
ICMP代码域 |
2字节 |
|
icmp-type |
ICMP类型域 |
2字节 |
|
icmpv6-code |
ICMPv6 代码域 |
2字节 |
|
icmpv6-type |
ICMPv6 类型域 |
2字节 |
|
ip-protocol |
IP报文头部的协议类型域 |
不占用字节 |
|
ipv6-dscp |
IPv6报文头部的DSCP域 |
2字节 |
|
ipv6-fragment |
IPv6分片标志域 |
不占用字节 |
|
ipv6-protocol |
IPv6报文头部的协议类型域 |
不占用字节 |
|
service-cos |
运营商网络802.1p优先级域 |
不占用字节 |
|
service-vlan-id |
运营商网络VLAN ID域 |
不占用字节 |
|
sip |
IP报文头部的源IP地址域 |
不占用字节 |
|
sipv6 |
IPv6 报文头部的源IPv6地址域 |
不占用字节 |
|
smac |
以太网报文头部的源MAC地址域 |
6字节 |
|
sport |
源端口域 |
2字节 |
|
tcp-flag |
TCP报文头部的标志域 |
1字节 |
l dscp、ip-precedence、tos三个元素占用同一个字节。同时配置这三个元素,或者同时配置这三个元素中的任意两个,它们在流模板中都只占用1个字节。
l 同时配置icmp-code和icmp-type元素,两者所占字节数仍然为2个字节。
l 同时配置icmpv6-code和icmpv6-type元素,两者所占字节数仍然为2个字节。
l 同时配置icmp-code或icmp-type与sport元素,只占用2个字节;同时配置icmpv6-code或icmpv6-type与sport元素,只占用2个字节。
在完成上述配置后,在任意视图下执行display命令可以显示配置后用户自定义流模板的运行情况,通过查看显示信息验证配置的效果。
|
操作 |
命令 |
|
显示指定名称的用户自定义流模板的配置信息 |
display flow-template user-defined [ flow-template-name ] |
|
显示用户自定义流模板在接口上的应用信息 |
display flow-template interface [ interface-type interface-number ] |
配置用户自定义流模板,并分别在端口Ethernet1/0/1和Ethernet1/0/2上应用。
# 配置标准型流模板aaa。
<Sysname> system-view
[Sysname] flow-template aaa basic customer-cos smac customer-vlan-id
# 在端口Ethernet 1/0/1上应用流模板aaa。
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] flow-template aaa
[Sysname-Ethernet1/0/1] quit
# 创建用户自定义ACL 5000,配置扩展型流模板bbb,匹配ARP报文。
[Sysname] acl number 5000
[Sysname-acl-user-5000] rule deny l2 0806 ffff 12
[Sysname] flow-template bbb extend l2 12 2
# 在端口Ethernet 1/0/2上应用流模板bbb。
[Sysname] interface Ethernet 1/0/2
[Sysname-Ethernet1/0/2] flow-template bbb
[Sysname-Ethernet1/0/2] quit
# 显示所有用户自定义流模板的信息。
[Sysname] display flow-template user-defined
user-defined flow template: basic
name:aaa, index:1, total reference counts:1
fields: smac customer-vlan-id customer-cos
user-defined flow template: extend
name:bbb, index:2, total reference counts:1
fields: l2 12 2
# 显示所有端口上流模板的信息。
[Sysname] display flow-template interface
Interface: Ethernet1/0/1
user-defined flow template: basic
name:aaa, index:1, total reference counts:1
fields: smac customer-vlan-id customer-cos
Interface: Ethernet1/0/2
user-defined flow template: extend
name:bbb, index:2, total reference counts:1
fields: l2 12 2
# 删除流模板aaa。如果流模板已在端口应用,必须先在端口取消应用。
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] undo flow-template
[Sysname-Ethernet1/0/1] quit
[Sysname] undo flow-template name aaa
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
