- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-ACL配置
本章节下载: 01-ACL配置 (339.53 KB)
ACL(Access Control List,访问控制列表)是一系列用于识别报文流的规则的集合。这里的规则是指描述报文匹配条件的判断语句,匹配条件可以是报文的源地址、目的地址、端口号等。设备依据ACL规则识别出特定的报文,并根据预先设定的策略对其进行处理,最常见的应用就是使用ACL进行报文过滤。此外,ACL还可应用于诸如路由、安全、QoS等业务中识别报文,对这些报文的具体处理方式由应用ACL的业务模块来决定。
用户在创建ACL时必须为其指定编号或名称,不同的编号对应不同类型的ACL,如表1-1所示;当ACL创建完成后,用户就可以通过指定编号或名称的方式来应用和编辑该ACL。
对于编号相同的基本ACL或高级ACL,必须通过ipv6关键字进行区分。对于名称相同的ACL,必须通过ipv6和mac关键字进行区分。
根据规则制订依据的不同,可以将ACL分为如表1-1所示的几种类型。
表1-1 ACL的分类
|
ACL类型 |
编号范围 |
适用的IP版本 |
规则制订依据 |
|
基本ACL |
2000~2999 |
IPv4 |
报文的源IPv4地址 |
|
IPv6 |
报文的源IPv6地址 |
||
|
高级ACL |
3000~3999 |
IPv4 |
报文的源IPv4地址、目的IPv4地址、报文优先级、IPv4承载的协议类型及特性等三、四层信息 |
|
IPv6 |
报文的源IPv6地址、目的IPv6地址、报文优先级、IPv6承载的协议类型及特性等三、四层信息 |
||
|
二层ACL |
4000~4999 |
IPv4和IPv6 |
报文的源MAC地址、目的MAC地址、802.1p优先级、链路层协议类型等二层信息 |
当一个ACL中包含多条规则时,报文会按照一定的顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。ACL的规则匹配顺序有以下两种:
· 配置顺序:按照规则编号由小到大进行匹配。
· 自动排序:按照“深度优先”原则由深到浅进行匹配,各类型ACL的“深度优先”排序法则如表1-2所示。
表1-2 各类型ACL的“深度优先”排序法则
|
ACL类型 |
“深度优先”排序法则 |
|
IPv4基本ACL |
a 先判断规则的匹配条件中是否包含VPN实例,包含者优先 b 如果VPN实例的包含情况相同,再比较源IPv4地址范围,较小者优先 c 如果源IPv4地址范围也相同,再比较配置的先后次序,先配置者优先 |
|
IPv4高级ACL |
a 先判断规则的匹配条件中是否包含VPN实例,包含者优先 b 如果VPN实例的包含情况相同,再比较协议范围,指定有IPv4承载的协议类型者优先 c 如果协议范围也相同,再比较源IPv4地址范围,较小者优先 d 如果源IPv4地址范围也相同,再比较目的IPv4地址范围,较小者优先 e 如果目的IPv4地址范围也相同,再比较四层端口(即TCP/UDP端口)号的覆盖范围,较小者优先 f 如果四层端口号的覆盖范围无法比较,再比较配置的先后次序,先配置者优先 |
|
IPv6基本ACL |
a 先判断规则的匹配条件中是否包含VPN实例,包含者优先 b 如果VPN实例的包含情况相同,再比较源IPv6地址范围,较小者优先 c 如果源IPv6地址范围也相同,再比较配置的先后次序,先配置者优先 |
|
IPv6高级ACL |
a 先判断规则的匹配条件中是否包含VPN实例,包含者优先 b 如果VPN实例的包含情况相同,再比较协议范围,指定有IPv6承载的协议类型者优先 c 如果协议范围相同,再比较源IPv6地址范围,较小者优先 d 如果源IPv6地址范围也相同,再比较目的IPv6地址范围,较小者优先 e 如果目的IPv6地址范围也相同,再比较四层端口(即TCP/UDP端口)号的覆盖范围,较小者优先 f 如果四层端口号的覆盖范围无法比较,再比较配置的先后次序,先配置者优先 |
|
二层ACL |
a 先比较源MAC地址范围,较小者优先 b 如果源MAC地址范围相同,再比较目的MAC地址范围,较小者优先 c 如果目的MAC地址范围也相同,再比较配置的先后次序,先配置者优先 |
· 比较IPv4地址范围的大小,就是比较IPv4地址通配符掩码中“0”位的多少:“0”位越多,范围越小。通配符掩码(又称反向掩码)以点分十进制表示,并以二进制的“0”表示“匹配”,“1”表示“不关心”,这与子网掩码恰好相反,譬如子网掩码255.255.255.0对应的通配符掩码就是0.0.0.255。此外,通配符掩码中的“0”或“1”可以是不连续的,这样可以更加灵活地进行匹配,譬如0.255.0.255就是一个合法的通配符掩码。
· 比较IPv6地址范围的大小,就是比较IPv6地址前缀的长短:前缀越长,范围越小。
· 比较MAC地址范围的大小,就是比较MAC地址掩码中“1”位的多少:“1”位越多,范围越小。
ACL中的每条规则都有自己的编号,这个编号在该ACL中是唯一的。在创建规则时,可以手工为其指定一个编号;如未手工指定编号,则由系统为其自动分配一个编号。由于规则的编号可能影响规则匹配的顺序,因此当由系统自动分配编号时,为了方便后续在已有规则之前插入新的规则,系统通常会在相邻编号之间留下一定的空间,这个空间的大小(即相邻编号之间的差值)就称为ACL的步长。譬如,当步长为5时,系统会将编号5、10、15、20……依次分配给新创建的规则。
系统为规则自动分配编号的方式如下:系统从5开始,按照步长自动分配一个大于现有最大编号的步长最小倍数的编号。譬如原有编号为0、5、9、10和12的五条规则,步长为5,此时如果创建一条规则且不指定编号,那么系统将自动为其分配编号15。
如果步长发生了改变,ACL内原有全部规则的编号都将自动从5开始按新步长重新排列。譬如,某ACL内原有编号为0、5、9、10和15的五条规则,当修改步长为2之后,这些规则的编号将依次变为5、7、9、11和13。
需要注意的是,ACL规则的匹配顺序为自动排序时,修改步长后新的编号是按照规则的匹配顺序(即“深度优先”原则)重新排序的,并非按照规则的原有编号顺序排序。譬如,步长为5时,规则的匹配顺序为5、15、10……修改步长为2后,各规则对应的新编号为5、7、9……
如果以名称创建ACL,只能使用acl { [ ipv6 ] { advanced | basic } | mac } name acl-name命令进入其视图。
如果以编号创建ACL,只能使用acl { [ ipv6 ] | { advanced | basic } | mac } acl-number命令进入其视图。
如果配置了报文过滤功能(执行了packet-filter命令)等QoS相关功能,请确保在对应的ACL规则中将业务模块(例如NQA的ICMP探测地址)的报文放行,否则可能导致业务模块功能异常。
下表所列单板上的VLAN接口、三层聚合接口、三层聚合子接口、三层以太网接口、三层以太网子接口转发数据报文(例如关联NQA的ICMP探测报文等)时,不支持匹配出方向应用的ACL规则。
表1-3 单板信息一览表
|
单板类型 |
单板丝印 |
|
CSPEX单板 |
CSPEX-1304S、CSPEX-1404S、CSPEX-1504S |
ACL配置任务如下
· 配置不同类型的ACL
¡ 配置基本ACL
¡ 配置高级ACL
¡ 配置二层ACL
· (可选)复制ACL
· (可选)配置TCAM资源使用率告警功能
· (可选)配置静态ACL白名单功能
· (可选)应用ACL进行报文过滤
基本ACL根据报文的源IP地址来制订规则,对报文进行匹配。
基本ACL可以应用在设备管理、NAT业务、组播业务、QoS业务和路由策略等场景中,典型应用场景如下:
· 当设备作为FTP、TFTP服务器时,为提高其安全性,可以通过配置基本ACL实现只允许满足过滤条件的客户端访问服务器。关于使用基本ACL限制客户端访问设备的详细内容,请参见“基础配置指导”中的“FTP和TFTP”。
· 在NAT业务场景中,可以通过配置基本ACL规则实现对特定报文进行地址转换。
· 在组播场景中,通过配置基本ACL,设备可以作为组播数据过滤器实现只接收或转发满足过滤条件的组播报文。关于组播数据过滤器的详细介绍,请参见“IP组播配置指导”中的“PIM”和“IPv6 PIM”。
· 当需要控制设备接收、发布的路由信息时,可以通过配置基本ACL作为路由策略的过滤器,来实现只接收或发布满足过滤条件的路由。关于路由策略的详细介绍,请参见“三层结束-IP路由配置指导”中的“路由策略”。
· 当需要对不同类型的流量进行分类操作时,可以通过配置基本ACL实现对满足过滤条件的流量进行流量监管、流量整形、流分类。关于流量监管、流量整形、流分类的详细介绍,请参见“ACL和QoS配置指导”中的“QoS”。
system-view
(2) 创建IPv4基本ACL。
acl basic { acl-number | name acl-name } [ match-order { auto | config } ]
(3) (可选)配置ACL的描述信息。
description text
缺省情况下,未配置ACL的描述信息。
(4) (可选)配置规则编号的步长。
step step-value
缺省情况下,规则编号的步长为5,起始值为5。
(5) 创建规则。
rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { object-group address-group-name | source-address source-wildcard | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *
logging参数是否生效取决于引用该ACL的模块是否支持日志记录功能,例如报文过滤支持日志记录功能,如果其引用的ACL规则中配置了logging参数,该参数可以生效。
QoS策略的流分类引用ACL时,ACL规则中的logging参数不生效。
(6) (可选)为规则配置描述信息。
rule rule-id comment text
缺省情况下,未配置规则的描述信息。
(1) 进入系统视图。
system-view
(2) 创建IPv6基本ACL。
acl ipv6 basic { acl-number | name acl-name } [ match-order { auto | config } ]
(3) (可选)配置ACL的描述信息。
description text
缺省情况下,未配置ACL的描述信息。
(4) (可选)配置规则编号的步长。
step step-value
缺省情况下,规则编号的步长为5,起始值为5。
(5) 创建规则。
rule [ rule-id ] { deny | permit } [ counting | fragment | logging | routing [ type routing-type ] | source { object-group address-group-name | source-address source-prefix | source-address/source-prefix | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *
logging参数是否生效取决于引用该ACL的模块是否支持日志记录功能,例如报文过滤支持日志记录功能,如果其引用的ACL规则中配置了logging参数,该参数可以生效。
QoS策略的流分类引用ACL时,ACL规则中的logging参数不生效。
(6) (可选)为规则配置描述信息。
rule rule-id comment text
缺省情况下,未配置规则的描述信息。
高级ACL可以应用在设备管理、NAT业务、组播业务、QoS业务和路由策略等场景中,典型应用场景如下:
· 当设备作为FTP、TFTP服务器时,为提高其安全性,可以通过配置高级ACL实现只允许满足过滤条件的客户端访问服务器。关于使用高级ACL限制客户端访问设备的详细内容,请参见“基础配置指导”中的“FTP和TFTP”。
· 在NAT业务场景中,可以通过配置高级ACL规则实现对特定报文进行地址转换。
· 在组播场景中,通过配置高级ACL,设备可以作为组播数据过滤器实现只接收或转发满足过滤条件的组播报文。关于组播数据过滤器的详细介绍,请参见“IP组播配置指导”中的“PIM”和“IPv6 PIM”。
· 当需要控制设备接收、发布的路由信息时,可以通过配置高级ACL作为路由策略的过滤器,来实现只接收或发布满足过滤条件的路由。关于路由策略的详细介绍,请参见“三层结束-IP路由配置指导”中的“路由策略”。
· 当需要对不同类型的流量进行分类操作时,可以通过配置高级ACL实现对满足过滤条件的流量进行流量监管、流量整形、流分类。关于流量监管、流量整形、流分类的详细介绍,请参见“ACL和QoS配置指导”中的“QoS”。
高级ACL可根据报文的源地址、目的地址、报文优先级、QoS本地值、承载的协议类型及特性(如TCP/UDP的源端口和目的端口、TCP报文标识、ICMP或ICMPv6协议的消息类型和消息码等)等信息来制定规则,对报文进行匹配。用户可利用高级ACL制订比基本ACL更准确、丰富、灵活的规则。
system-view
(2) 创建IPv4高级ACL。
acl advanced { acl-number | name acl-name } [ match-order { auto | config } ]
缺省情况下,不存在ACL。
IPv4高级ACL的编号范围为3000~3999。
如果以名称创建IPv4高级ACL,只能使用acl advanced name acl-name命令进入其视图。
如果以编号创建IPv4高级ACL,只能使用acl advanced acl-number命令进入其视图。
两个视图独立,只能通过各自的命令访问各自的视图。
(3) (可选)配置ACL的描述信息。
description text
缺省情况下,未配置ACL的描述信息。
(4) (可选)配置规则编号的步长。
step step-value
缺省情况下,规则编号的步长为5,起始值为5。
(5) 创建规则。
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { object-group address-group-name | dest-address dest-wildcard | any } | destination-port { object-group port-group-name | operator port1 [ port2 ] } | { dscp dscp1 [ to dscp2 ] | { precedence precedence | tos tos } * } | fragment | icmp-type { icmp-type [ icmp-code ] | icmp-message } | logging | source { object-group address-group-name | source-address source-wildcard | any } | source-port { object-group port-group-name | operator port1 [ port2 ] } | time-range time-range-name | ttl operator ttl-value1 [ ttl-value2 ] | { { user-group group-name | user-group-any } | { { source-user-group source-group-name | source-user-group-any } | { destination-user-group destination-group-name | destination-user-group-any } } * } | vpn-instance vpn-instance-name ] *
logging参数是否生效取决于引用该ACL的模块是否支持日志记录功能,例如报文过滤支持日志记录功能,如果其引用的ACL规则中配置了logging参数,该参数可以生效。
QoS策略的流分类引用ACL时,ACL规则中的logging参数不生效。
(6) (可选)为规则配置描述信息。
rule rule-id comment text
缺省情况下,未配置规则的描述信息。
(1) 进入系统视图。
system-view
(2) 创建IPv6高级ACL。
acl ipv6 advanced { acl-number | name acl-name } [ match-order { auto | config } ]
缺省情况下,不存在ACL。
IPv6高级ACL的编号范围为3000~3999。
如果以名称创建IPv6高级ACL,只能使用acl ipv6 advanced name acl-name命令进入其视图。
如果以编号创建IPv6高级ACL,只能使用acl ipv6 advanced acl-number命令进入其视图。
两个视图独立,只能通过各自的命令访问各自的视图。
(3) (可选)配置ACL的描述信息。
description text
缺省情况下,未配置ACL的描述信息。
(4) (可选)配置规则编号的步长。
step step-value
缺省情况下,规则编号的步长为5,起始值为5。
(5) 创建规则。
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { object-group address-group-name | dest-address dest-prefix | dest-address/dest-prefix | any } | destination-port { object-group port-group-name | operator port1 [ port2 ] } | dscp dscp | flow-label flow-label-value | fragment | icmp6-type { icmp6-type icmp6-code | icmp6-message } | logging | routing [ type routing-type ] | hop-by-hop [ type hop-type ] | source { object-group address-group-name | source-address source-prefix | source-address/source-prefix | any } | source-port { object-group port-group-name | operator port1 [ port2 ] } | time-range time-range-name | ttl operator ttl-value1 [ ttl-value2 ] | { { user-group group-name | user-group-any } | { { source-user-group source-group-name | source-user-group-any } | { destination-user-group destination-group-name | destination-user-group-any } } * } | vpn-instance vpn-instance-name ] *
logging参数是否生效取决于引用该ACL的模块是否支持日志记录功能,例如报文过滤支持日志记录功能,如果其引用的ACL规则中配置了logging参数,该参数可以生效。
QoS策略的流分类引用ACL时,ACL规则中的logging参数不生效。
(6) (可选)为规则配置描述信息。
rule rule-id comment text
缺省情况下,未配置规则的描述信息。
二层ACL可以应用在设备管理和QoS业务等场景中,典型应用场景如下:
· 当设备作为Telnet服务器时,为提高其安全性,可以通过配置二层ACL实现只允许满足过滤条件的客户端访问服务器。关于使用二层ACL限制客户端访问设备的详细内容,请参见“基础配置指导”中的“登录设备”。
· 当需要对不同类型的流量进行分类操作时,可以通过配置二层ACL实现对满足过滤条件的流量进行流量监管、流量整形、流分类。关于流量监管、流量整形、流分类的详细介绍,请参见“ACL和QoS配置指导”中的“QoS”。
二层ACL可根据报文的源MAC地址、目的MAC地址、802.1p优先级、链路层协议类型、报文的封装类型、报文的内层源MAC地址、内层目的MAC地址、内层链路层协议类型等二层信息来制订规则,对报文进行匹配。
standard工作模式下,设备不支持引用二层ACL匹配源MAC地址并应用在接口或全局入方向。
sdn-wan工作模式下,仅下表所列单板支持引用二层ACL匹配源MAC地址并应用在接口或全局入方向。
表1-4 单板信息一览表
|
单板类型 |
单板丝印 |
|
CSPEX单板 |
CSPEX-1304S、CSPEX-1404S、CSPEX-1504S |
standard工作模式下,仅下表所列单板支持引用二层ACL匹配源MAC地址并应用在接口或全局出方向。
表1-5 单板信息一览表
|
单板类型 |
单板丝印 |
|
CSPEX单板 |
CSPEX-1304S、CSPEX-1404S、CSPEX-1504S |
sdn-wan工作模式下,设备不支持引用二层ACL匹配源MAC地址并应用在接口或全局出方向。
设备不支持引用二层ACL匹配目的MAC地址并应用在接口或全局入方向。
standard工作模式下,仅下表所列单板支持引用二层ACL匹配源MAC地址或目的MAC地址并应用在VSI接口。
表1-6 单板信息一览表
|
单板类型 |
单板丝印 |
|
CSPEX单板 |
CSPEX-1304S、CSPEX-1404S、CSPEX-1504S |
sdn-wan工作模式下,设备不支持引用二层ACL匹配源MAC地址或目的MAC地址并应用在VSI接口。
(1) 进入系统视图。
system-view
(2) 创建二层ACL。
acl mac { acl-number | name acl-name } [ match-order { auto | config } ]
(3) (可选)配置ACL的描述信息。
description text
缺省情况下,未配置ACL的描述信息。
(4) (可选)配置规则编号的步长。
step step-value
缺省情况下,规则编号的步长为5,起始值为5。
(5) 创建规则。
rule [ rule-id ] { deny | permit } [ cos dot1p | counting | dest-mac dest-address dest-mask | { lsap lsap-type lsap-type-mask | type protocol-type protocol-type-mask } | source-mac source-address source-mask | time-range time-range-name ] *
(6) (可选)为规则配置描述信息。
rule rule-id comment text
缺省情况下,未配置规则的描述信息。
用户可通过复制一个已存在的ACL(即源ACL),来生成一个新的同类型ACL(即目的ACL)。除了ACL的编号和名称不同外,目的ACL与源ACL完全相同。
目的ACL要与源ACL的类型相同,且目的ACL必须不存在,否则将导致复制ACL失败。
(1) 进入系统视图。
system-view
(2) 复制并生成一个新的ACL。
acl [ ipv6 | mac ] copy { source-acl-number | name source-acl-name } to { dest-acl-number | name dest-acl-name }
TCAM(Ternary Content Addressable Memory,三态内容寻址存储器)用于查找和匹配ACL规则、MAC表项和路由表项。当设备上存在大量ACL规则或转发表项后,TCAM资源将被耗尽,而无法继续进行ACL规则或表项的匹配,导致配置失效。此时只能删除部分规则和表项后重新配置。
通过配置TCAM资源使用率告警功能,可以对TCAM资源的使用率进行定期检测,如果当前使用率超出设定的阈值,则设备将输出日志及TRAP,以便用户对配置进行及时的调整。
(1) 进入系统视图。
system-view
(2) 配置TCAM资源使用率告警阈值。
acl resource threshold percent percent
缺省情况下,TCAM资源使用率的告警阈值为0,即TCAM资源使用率告警功能处于关闭状态。
(3) 配置TCAM资源使用率的检测周期。
acl resource log interval interval
缺省情况下,设备检测TCAM资源使用率的周期为5分钟。
设备的CPU处理能力有限,为了避免报文过度占用CPU资源,需要对上送CPU(即上送控制平面)的流量进行流量监管。ACL白名单规则配合系统预定义的流量监管策略,实现对控制平面的流量监管。当上送CPU的报文匹配上ACL白名单时,报文速率会受到限制。
系统支持两种ACL白名单生成方式:
· 系统根据当前建立的TCP连接及其他协议会话自动生成的动态ACL白名单。动态ACL白名单规则中只有匹配报文三元组(协议类型、目的IP、目的端口号)的规则和匹配报文五元组(协议类型、源和目的IP、源和目的端口号)的规则。
· 手工配置静态ACL白名单,可以根据实际组网情况手工定义ACL白名单的规则。
关于基于控制平面的流量监管,以及关于动态ACL白名单的介绍,请参见“ACL和QoS配置指导”中的“QoS”。
(1) 进入系统视图。
system-view
(2) 配置静态ACL白名单。
acl whitelist [ ipv6 ] { acl-number | name acl-name }
缺省情况下,未配置静态ACL白名单。
ACL最基本的应用就是进行报文过滤。例如,将ACL规则应用到指定接口的入或出方向上,从而对该接口收到或发出的报文进行过滤。
全局在一个方向上最多可应用32个ACL进行报文过滤。
(1) 进入系统视图。
system-view
(2) 全局应用ACL进行报文过滤。
packet-filter [ ipv6 | mac ] { acl-number | name acl-name } global { inbound | outbound } [ hardware-count ]
缺省情况下,未配置全局的报文过滤。
一个接口在一个方向上最多可应用32个ACL进行报文过滤。
暂不支持配置extension参数对报文过滤进行扩展应用。
设备对发出的报文只支持根据目的MAC地址进行过滤,不支持根据源MAC地址进行过滤。
设备不支持在Tunnel接口的入方向上应用ACL进行报文过滤。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 在接口上应用ACL进行报文过滤。
packet-filter [ ipv6 | mac | user-defined ] { acl-number | name acl-name } { inbound [ extension ] | outbound } [ hardware-count ] [ share-mode | share-mode-both ]
缺省情况下,未配置接口的报文过滤。
报文过滤日志或告警信息的生成与发送周期起始于报文过滤中ACL匹配数据流的第一个数据包,报文过滤日志或告警信息包括周期内被匹配的报文数量以及所使用的ACL规则。在一个周期内:
· 对于规则匹配数据流的第一个数据包,设备会立即生成报文过滤日志或告警信息;
· 对于规则匹配数据流的其他数据包,设备将在周期结束后生成报文过滤日志或告警信息。
设备生成的报文过滤日志将发送给信息中心,有关信息中心的详细介绍,请参见“网络管理和监控配置指导”中的“信息中心”。
设备生成的告警信息将发送给SNMP,有关SNMP的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
(1) 进入系统视图。
system-view
(2) 配置报文过滤日志信息或告警信息的生成与发送周期。
acl { logging | trap } interval interval
缺省情况下,报文过滤日志信息或告警信息的生成与发送周期为0分钟,即不记录报文过滤的日志和告警信息。
系统缺省的报文过滤动作为Permit,即允许未匹配上ACL规则的报文通过。通过本配置可更改报文过滤的缺省动作为Deny,即禁止未匹配上ACL规则的报文通过。
(1) 进入系统视图。
system-view
(2) 配置报文过滤的缺省动作为Deny。
packet-filter default deny
缺省情况下,报文过滤的缺省动作为Permit,即允许未匹配上ACL规则的报文通过。
在接口上只有应用了ACL进行报文过滤,才允许使能报文过滤缺省动作统计功能。使能了报文过滤缺省动作统计功能之后,接口将对报文过滤缺省动作的执行次数进行统计。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 在接口上使能报文过滤缺省动作统计功能。
packet-filter default { inbound | outbound } hardware-count
缺省情况下,报文过滤的缺省动作统计功能处于关闭状态。
设备ACL匹配的优先级如下:
全局报文过滤 > 聚合接口上的报文过滤 > 物理接口和MP-Group上的报文过滤 > VLAN接口上的报文过滤 > 基于控制平面应用的QoS策略 > 基于上线用户应用的QoS> > 基于全局应用的QoS策略(配置执行顺序为1) > 基于聚合接口应用的QoS策略(配置执行顺序为1) > 基于接口应用的QoS策略(配置执行顺序为1)> 聚合接口上的策略路由 > 三层物理接口上的策略路由 > VLAN接口上的策略路由 > 基于全局应用的QoS策略(未配置执行顺序) > 基于聚合接口应用的QoS策略(未配置执行顺序) > 基于接口应用的QoS策略(未配置执行顺序) > 基于VLAN应用的QoS策略。
在接口入方向上,如果配置了报文过滤功能、基于接口或全局应用流行为执行顺序为1的QoS策略或者基于上线用户应用QoS,支持报文的二次匹配。即先匹配报文过滤的规则、基于接口或全局应用流行为执行顺序为1的QoS策略或者基于上线用户应用的QoS,通过的报文再匹配QoS策略中的规则。需要注意的是:报文过滤、基于接口或全局应用流行为执行顺序为1的QoS策略或者基于上线用户应用的QoS策略中只要有一个匹配规则报文被重定向或者丢弃,则不会继续匹配QoS规则。
设备不支持在接口的出方向上做二次匹配。
在完成上述配置后,在任意视图下执行display命令可以显示ACL配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除ACL的统计信息。
表1-7 ACL显示和维护
|
配置 |
命令 |
|
显示ACL的配置和运行情况 |
display acl [ ipv6 | mac ] { acl-number | all | name acl-name } |
|
显示ACL白名单包含的ACL规则信息 |
(独立运行模式) display acl whitelist [ ipv6 ] slot slot-number (IRF模式) display acl whitelist [ ipv6 ] chassis chassis-number slot slot-number |
|
显示ACL在报文过滤中的应用情况 |
(独立运行模式) display packet-filter { { global | interface [ interface-type interface-number ] } [ inbound | outbound ] } [ slot slot-number ] (IRF模式) display packet-filter { { global | interface [ interface-type interface-number ] } [ inbound | outbound ] } [ chassis chassis-number slot slot-number ] |
|
显示ACL在报文过滤中应用的统计信息 |
(独立运行模式) display packet-filter statistics { { global | interface interface-type interface-number } { inbound | outbound } [ default | [ ipv6 | mac ] { acl-number | name acl-name } ] } [ brief ] [ slot slot-number ] (IRF模式) display packet-filter statistics { { global | interface interface-type interface-number } { inbound | outbound } [ default | [ ipv6 | mac ] { acl-number | name acl-name } ] } [ brief ] [ chassis chassis-number slot slot-number ] |
|
显示ACL在报文过滤中应用的累加统计信息 |
display packet-filter statistics sum { inbound | outbound } [ ipv6 | mac ] { acl-number | name acl-name } [ brief ] |
|
显示ACL在报文过滤中的详细应用情况 |
(独立运行模式) display packet-filter verbose { { global | interface interface-type interface-number } { inbound | outbound } [ [ ipv6 | mac ] { acl-number | name acl-name } ] } [ slot slot-number ] (IRF模式) display packet-filter verbose { { global | interface interface-type interface-number } { inbound | outbound } [ [ ipv6 | mac ] { acl-number | name acl-name } ] } [ chassis chassis-number slot slot-number ] |
|
显示QoS和ACL资源的使用情况 |
(独立运行模式) display qos-acl resource [ slot slot-number ] (IRF模式) display qos-acl resource [ chassis chassis-number slot slot-number ] |
|
清除ACL的统计信息 |
reset acl [ ipv6 | mac ] counter { acl-number | all | name acl-name } |
|
清除ACL在报文过滤中应用的统计信息 |
reset packet-filter statistics { { global | interface [ interface-type interface-number ] } { inbound | outbound } [ default | [ ipv6 | mac ] { acl-number | name acl-name } ] } |
· 某公司内的各部门之间通过Device实现互连,该公司的工作时间为每周工作日的8点到18点。
· 通过配置,允许总裁办在任意时间、财务部在工作时间访问财务数据库服务器,禁止其它部门在任何时间、财务部在非工作时间访问该服务器。
图1-1 ACL典型配置组网图
# 创建名为work的时间段,其时间范围为每周工作日的8点到18点。
<Device> system-view
[Device] time-range work 08:00 to 18:00 working-day
# 创建IPv4高级ACL 3000,并制订如下规则:允许总裁办在任意时间、财务部在工作时间访问财务数据库服务器,禁止其它部门在任何时间、财务部在非工作时间访问该服务器。
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.100 0
[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.100 0 time-range work
[Device-acl-ipv4-adv-3000] rule deny ip source any destination 192.168.0.100 0
[Device-acl-ipv4-adv-3000] quit
# 应用IPv4高级ACL 3000对接口Ten-GigabitEthernet3/1/1出方向上的报文进行过滤。
[Device] interface ten-gigabitethernet 3/1/1
[Device-Ten-GigabitEthernet3/1/1] packet-filter 3000 outbound
[Device-Ten-GigabitEthernet3/1/1] quit
配置完成后,在各部门的PC(假设均为Windows XP操作系统)上可以使用ping命令检验配置效果,在Device上可以使用display acl命令查看ACL的配置和运行情况。例如在工作时间:
# 在财务部的PC上检查到财务数据库服务器是否可达。
C:\> ping 192.168.0.100
Pinging 192.168.0.100 with 32 bytes of data:
Reply from 192.168.0.100: bytes=32 time=1ms TTL=255
Reply from 192.168.0.100: bytes=32 time<1ms TTL=255
Reply from 192.168.0.100: bytes=32 time<1ms TTL=255
Reply from 192.168.0.100: bytes=32 time<1ms TTL=255
Ping statistics for 192.168.0.100:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 1ms, Average = 0ms
由此可见,财务部的PC能够在工作时间访问财务数据库服务器。
# 在市场部的PC上检查财务数据库服务器是否可达。
C:\> ping 192.168.0.100
Pinging 192.168.0.100 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.0.100:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
由此可见,市场部的PC不能在工作时间访问财务数据库服务器。
# 查看IPv4高级ACL 3000的配置和运行情况。
[Device] display acl 3000
Advanced IPv4 ACL 3000, 3 rules,
ACL's step is 5
rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.100 0
rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.100 0 time-range work (Active)
rule 10 deny ip destination 192.168.0.100 0
由此可见,由于目前是工作时间,因此规则5是生效的;且由于之前使用了ping命令的缘故,规则5和规则10分别被匹配了4次。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
