登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

03-对象

目录

05-ACL

本章节下载 05-ACL  (238.43 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Operation_Manual/H3C_FZJH_WCG(V7)-6W201/03/202108/1451871_30005_0.htm

05-ACL

ACL

 

本帮助主要介绍以下内容:

·     特性简介

¡     ACL分类

¡     ACL规则匹配顺序

¡     ACL规则编号

·     使用限制和注意事项

特性简介

ACLAccess Control List,访问控制列表)是一或多条规则的集合,用于识别报文流。这里的规则是指描述报文匹配条件的判断语句,匹配条件可以是报文的源地址、目的地址、端口号等。设备依照这些规则识别出特定的报文,并根据预先设定的策略对其进行处理。

ACL分类

ACL包括下表所列的几种类型,它们的主要区别在于规则制订依据不同:

表-1 ACL的分类

IPv4 ACL

基本ACL

依据报文的源IPv4地址制订规则

高级ACL

依据报文的源/目的IPv4地址、源/目的端口号、优先级、承载的IPv4协议类型等三、四层信息制订规则

IPv6 ACL

基本ACL

依据报文的源IPv6地址制订规则

高级ACL

依据报文的源/目的IPv6地址、源/目的端口号、优先级、承载的IPv6协议类型等三、四层信息制订规则

二层 ACL

依据报文的源/目的MAC地址、802.1p优先级、链路层协议类型等二层信息

自定义ACL

以报文头为基准,指定从报文的第几个字节开始与掩码进行""操作,并将提取出的字符串与用户定义的字符串进行比较,从而找出相匹配的报文

 

ACL规则匹配顺序

一个ACL中可以包含多条规则,设备将报文按照一定顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。规则匹配顺序有两种:

·     配置顺序:按照规则编号由小到大进行匹配。

·     自动排序:按照“深度优先”原则由深到浅进行匹配,见下表(自定义ACL不支持自动排序):

表-2 各类型ACL的“深度优先”排序法则

IPv4 ACL

基本ACL

1.     先判断规则的匹配条件中是否包含VPN实例,包含者优先

2.     如果VPN实例的包含情况相同,再比较源IPv4地址范围,较小者优先

3.     如果源IPv4地址范围也相同,再比较配置的先后次序,先配置者优先

高级ACL

1.     先判断规则的匹配条件中是否包含VPN实例,包含者优先

2.     如果VPN实例的包含情况相同,再比较协议范围,指定有IPv4承载的协议类型者优先

3.     如果协议范围相同,再比较源IPv4地址范围,较小者优先

4.     如果源IPv4地址范围也相同,再比较目的IPv4地址范围,较小者优先

5.     如果目的IPv4地址范围也相同,再比较TCP/UDP端口号的覆盖范围,较小者优先

6.     如果TCP/UDP端口号的覆盖范围无法比较,则比较配置的先后次序,先配置者优先

IPv6 ACL

基本ACL

1.     先判断规则的匹配条件中是否包含VPN实例,包含者优先

2.     如果VPN实例的包含情况相同,再比较源IPv6地址的范围,较小者(即前缀较长者)优先

3.     如果源IPv6地址范围相同,再比较配置的先后次序,先配置者优先

高级ACL

1.     先判断规则的匹配条件中是否包含VPN实例,包含者优先

2.     如果VPN实例的包含情况相同,再比较协议范围,指定有IPv6承载的协议类型者优先

3.     如果协议范围相同,再比较源IPv6地址范围,较小者优先

4.     如果源IPv6地址范围也相同,再比较目的IPv6地址范围,较小者优先

5.     如果目的IPv6地址范围也相同,再比较TCP/UDP端口号的覆盖范围,较小者优先

6.     如果TCP/UDP端口号的覆盖范围无法比较,则比较配置的先后次序,先配置者优先

二层 ACL

1.     先比较源MAC地址范围,较小者(即掩码中"1"位较多者)优先

2.     如果源MAC地址范围相同,再比较目的MAC地址范围,较小者优先

3.     如果目的MAC地址范围也相同,再比较配置的先后次序,先配置者优先

 

ACL规则编号

每条规则都有自己的编号,这个编号可由手工指定或由系统自动分配。由于规则编号可能影响规则的匹配顺序,因此当系统自动分配编号时,为方便后续在已有规则之间插入新规则,通常在相邻编号之间留有一定空间,这就是规则编号的步长。系统自动分配编号的方式为:从0开始,按照步长分配一个大于现有最大编号的最小编号。比如原有编号为0591012的五条规则,步长为5,则系统将自动为下一条规则分配编号15。如果步长发生了改变,则原有全部规则的编号都将自动从0开始按新步长重新排列。比如原有编号为0591015的五条规则,当步长变为2后,这些规则的编号将依次变为02468

使用限制和注意事项

·     ACL既可以在本页面创建,也可以在引用ACL的特性页面创建。不论通过哪种方式创建的ACL都只能在本页面进行管理(如修改和删除ACL)。

·     删除或修改ACL可能会对引用该ACL的业务造成影响,请谨慎删除或修改ACL

·     ACL的规则匹配顺序为配置顺序时,允许修改该ACL内的任意一条已有规则;当ACL的规则匹配顺序为自动排序时,不允许修改该ACL内的已有规则。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们