IPv4 ACL

本帮助主要介绍以下内容:

特性简介

ACL(Access Control List,访问控制列表)是一系列用于识别报文流的规则的集合。这里的规则是指描述报文匹配条件的判断语句,匹配条件可以是报文的源地址、目的地址、端口号等。设备依据ACL规则识别出特定的报文,并根据预先设定的策略对其进行处理,最常见的应用就是使用ACL进行报文过滤。此外,ACL还可应用于诸如路由、安全、QoS等业务中识别报文,对这些报文的具体处理方式由应用ACL的业务模块来决定。

IPv4 ACL可以分为:

使用限制和注意事项

当一个ACL中包含多条规则时,报文会按照一定的顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。ACL的规则匹配顺序有以下两种:

表-1 各类型ACL的“深度优先”排序法则

ACL类型

“深度优先”排序法则

IPv4基本ACL

  1. 先判断规则的匹配条件中是否包含VPN实例,包含者优先

  2. 如果VPN实例的包含情况相同,再比较源IPv4地址范围,较小者优先

  3. 如果源IPv4地址范围也相同,再比较配置的先后次序,先配置者优先

IPv4高级ACL

  1. 先判断规则的匹配条件中是否包含VPN实例,包含者优先

  2. 如果VPN实例的包含情况相同,再比较协议范围,指定有IPv4承载的协议类型者优先

  3. 如果协议范围也相同,再比较源IPv4地址范围,较小者优先

  4. 如果源IPv4地址范围也相同,再比较目的IPv4地址范围,较小者优先

  5. 如果目的IPv4地址范围也相同,再比较四层端口(即TCP/UDP端口)号的覆盖范围,较小者优先

  6. 如果四层端口号的覆盖范围无法比较,再比较配置的先后次序,先配置者优先

比较IPv4地址范围的大小,就是比较IPv4地址通配符掩码中“0”位的多少:“0”位越多,范围越小。通配符掩码(又称反向掩码)以点分十进制表示,并以二进制的“0”表示“匹配”,“1”表示“不关心”,这与子网掩码恰好相反,譬如子网掩码255.255.255.0对应的通配符掩码就是0.0.0.255。此外,通配符掩码中的“0”或“1”可以是不连续的,这样可以更加灵活地进行匹配,譬如0.255.0.255就是一个合法的通配符掩码。

配置指南

配置思路

创建IPv4 ACL的配置思路如下图所示:

修改IPv4 ACL的配置思路如下图所示:

基础配置

创建IPv4 ACL

创建IPv4 ACL的具体操作步骤如下:

  1. 选择“配置 > 网络策略 > ACL”,进入ACL访问控制配置页面。

  2. 选择“IPv4 ACL”页签,进入IPv4 ACL配置页面。

  3. 点击<新增>按钮,进入新建IPv4 ACL页面。

  4. (可选)在“配置克隆”选项处,选择需要复制的ACL编号,并执行下一步,如果不希望复制任何ACL则选择跳过本步骤。复制ACL可以快速创建与已存在ACL参数相同的新的ACL,新生成的ACL的仅编号和名称与源ACL不同,其他所有信息以及ACL的描述信息等都与源ACL的相同。

  5. 新增IPv4 ACL及其参数,包括如下步骤:

    1. 选择“ACL类型”为高级或基本。

    2. 在“ACL编号”中输入新建的IPv4 ACL编号,如果勾选“ACL名称”选项框,则可以为新建的IPv4 ACL创建唯一的名称。

    3. (可选)在“描述”处输入ACL的描述信息。

    4. 在“规则匹配顺序”选项处,勾选匹配顺序。

    5. 在“规则编号步长”配置处,设置ACL规则自动生成的步长。

  6. 新增IPv4 ACL规则,包括如下步骤:

    1. 点击<新增>按钮,进入新建IPv4 ACL规则页面。

    2. 在“规则编号”选项处,选择“自动编号”或者“配置编号”,采用“配置编号”时需要手动输入ACL规则的编号值。

    3. (可选)在“描述”处输入ACL规则的描述信息。

    4. 在“匹配条件”配置处,选择ACL规则的详细匹配条件,例如,可以勾选“匹配源IP地址/通配符掩码”,并输入规则需要匹配的源IP地址和通配符掩码。

    5. 在“动作”选项处,勾选规则是“允许”或“拒绝”。

    6. (可选)在“生效时间”下拉选项框中,可以选择已存在的时间段名称,或者也可以点击“新增”按键,参考新建时间段的操作创建新的时间段信息。

    7. (可选)在“分片报文”选项处,可以勾选该ACL规则是否仅对分片报文的首个分片生效。

    8. (可选)在“匹配报文日志”按钮处,选择是否开启匹配报文的日志功能。

    9. (可选)在“匹配报文统计”按钮处,选择是否开启匹配报文的统计功能。

    10. 点击“完成”按键,则完成了IPv4 ACL规则的新建。

修改IPv4 ACL

  1. 选择“配置 > 网络策略 > ACL”,进入ACL访问控制配置页面。

  2. 选择“IPv4 ACL”页签,进入IPv4 ACL配置页面。

  3. 勾选需要修改的“IPv4 ACL”,点击编辑。

  4. 修改IPv4 ACL及其参数,包括如下步骤:

    1. 在“规则匹配顺序”选项处,调整匹配顺序。

    2. 在“规则编号步长”配置处,修改ACL规则自动生成的步长。

    3. (可选)在“描述”处可以修改ACL的描述信息。

  5. 修改IPv4 ACL规则,包括如下步骤:

    1. 勾选需要修改的ACL规则,点击编辑,进入IPv4 ACL规则修改页面。

    2. 在“匹配条件”配置处,修改ACL规则的详细匹配条件,例如,可以勾选“匹配源IP地址/通配符掩码”,并修改规则需要匹配的源IP地址和通配符掩码。

    3. 在“动作”选项处,修改规则是“允许”或“拒绝”。

    4. (可选)在“生效时间”下拉选项框中,可以修改选取已存在的时间段名称,或者也可以点击“新增”按键,参考新建时间段的操作创建新的时间段信息。

    5. (可选)在“分片报文”选项处,可以修改选取,该ACL规则是否仅对分片报文的首个分片生效。

    6. (可选)在“匹配报文日志”按钮处,选择是否开启匹配报文的日志功能。

    7. (可选)在“匹配报文统计”按钮处,选择是否开启匹配报文的统计功能。

    8. 执行“确认”按键,则完成了IPv4 ACL规则的修改。

IPv4 ACL典型配置

组网需求

图-1所示,通过在AC上配置ACL规则,实现在2023年4月到2023年6月之间每周工作日的8点到18点只允许Client 1访问Server。

图-1 时间段典型配置组网图

配置步骤

AC基本配置

  1. 创建名为work的时间段,其时间范围为2023年4月到2023年6月之间每周工作日的8点到18点。(配置步骤略)

  2. 创建IPv4基本ACL 2001,并制订如下规则:在名为work的时间段内只允许来自192.168.1.2/32的报文通过、禁止来自其它IP地址的报文通过。

  3. 选择“配置 > 网络策略 > ACL”,进入ACL访问控制配置页面。

  4. 选择“IPv4 ACL”页签,进入IPv4 ACL配置页面。

  5. 点击<新增>按钮,进入新建IPv4 ACL页面。

  6. 新建IPv4 ACL 2001,包括如下步骤:

    1. 选择“ACL类型”为基本。

    2. 在“ACL编号”中输入新建的IPv4 ACL编号为2001。

    3. 在“规则匹配顺序”选项处,勾选“配置顺序”。

    4. 在“规则编号步长”配置处,设置ACL规则自动生成的步长为5。

  7. 新增IPv4 ACL规则,在名为work的时间段内只允许来自192.168.1.2/32的报文通过:

    1. 点击<新增>按钮,进入新建IPv4 ACL规则页面。

    2. 在“规则编号”选项处,选择“自动编号”。

    3. 在“匹配条件”配置处,勾选“匹配源IP地址/通配符掩码”,输入需要匹配的源IP地址和通配符掩码为192.168.1.2/0.0.0.0。

    4. 在“动作”选项处,勾选规则为“允许”。

    5. 在“规则生效时段”下拉选项框中,选择时间段名称work。

    6. 在“匹配报文日志”按钮处,选择开启匹配报文的日志功能。

    7. 在“匹配报文统计”按钮处,选择开启匹配报文的统计功能。

    8. 执行“确认”按键,则完成了IPv4 ACL规则的新建。

  8. 新增IPv4 ACL规则,在名为work的时间段内禁止来自非192.168.1.2/32的报文通过:

    1. 点击<新增>按钮,进入新建IPv4 ACL规则页面。

    2. 在“规则编号”选项处,选择“自动编号”。

    3. 在“动作”选项处,勾选规则为“拒绝”。

    4. 在“规则生效时段”下拉选项框中,选择时间段名称work。

    5. 在“匹配报文日志”按钮处,选择开启匹配报文的日志功能。

    6. 在“匹配报文统计”按钮处,选择开启匹配报文的统计功能。

    7. 执行“确认”按键,则完成了IPv4 ACL规则的新建。

  9. 在AC的接入接口出方向上的报文进行过滤。(配置步骤略)

验证配置

选择“配置 > 网络策略 > ACL”,进入ACL访问控制配置页面,可以查看到IPv4基本ACL 2001的详细信息。

图-2 IPv4 ACL配置情况