二层ACL

本帮助主要介绍以下内容:

特性简介

ACL(Access Control List,访问控制列表)是一系列用于识别报文流的规则的集合。这里的规则是指描述报文匹配条件的判断语句,匹配条件可以是报文的源地址、目的地址、端口号等。设备依据ACL规则识别出特定的报文,并根据预先设定的策略对其进行处理,最常见的应用就是使用ACL进行报文过滤。此外,ACL还可应用于诸如路由、安全、QoS等业务中识别报文,对这些报文的具体处理方式由应用ACL的业务模块来决定。

二层ACL的编号范围为4000~4999,可以匹配报文的源MAC地址、目的MAC地址、802.1p优先级、链路层协议类型等数据链路层信息。

使用限制和注意事项

当一个ACL中包含多条规则时,报文会按照一定的顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。ACL的规则匹配顺序有以下两种:

表-1 二层ACL的“深度优先”排序法则

ACL类型

“深度优先”排序法则

二层ACL

  1. 先比较源MAC地址范围,较小者优先

  2. 如果源MAC地址范围相同,再比较目的MAC地址范围,较小者优先

  3. 如果目的MAC地址范围也相同,再比较配置的先后次序,先配置者优先

比较MAC地址范围的大小,就是比较MAC地址掩码中“1”位的多少:“1”位越多,范围越小。

配置指南

配置思路

创建二层ACL的配置思路如下图所示:

修改二层ACL的配置思路如下图所示:

基础配置

创建二层ACL

创建二层ACL的具体操作步骤如下:

  1. 选择“配置 > 网络策略 > ACL”,进入ACL访问控制配置页面。

  2. 选择“二层ACL”页签,进入二层ACL配置页面。

  3. 点击<新增>按钮,进入新建二层ACL页面。

  4. (可选)在“配置克隆”选项处,选择需要复制的ACL编号,并执行下一步,如果不希望复制任何ACL则选择跳过本步骤。复制ACL可以快速创建与已存在ACL参数相同的新的ACL,新生成的ACL的仅编号和名称与源ACL不同,其他所有信息以及ACL的描述信息等都与源ACL的相同。

  5. 新增二层ACL及其参数,包括如下步骤:

    1. 在“ACL编号”中输入新建的二层ACL编号,如果勾选“ACL名称”选项框,则可以为新建的二层ACL创建唯一的名称。

    2. 在“规则匹配顺序”选项处,勾选匹配顺序。

    3. 在“规则编号步长”配置处,设置ACL规则自动生成的步长。

    4. (可选)在“描述”处输入ACL的描述信息。

  6. 新增二层ACL规则,包括如下步骤:

    1. 点击<新增>按钮,进入新建二层ACL规则页面。

    2. 在“规则编号”选项处,选择“自动编号”或者“配置编号”,采用“配置编号”时需要手动输入ACL规则的编号值。

    3. (可选)在“描述”处输入ACL规则的描述信息。

    4. 在“匹配条件”配置处,选择ACL规则的详细匹配条件,例如,可以勾选“匹配源MAC地址/掩码”,并输入规则需要匹配的源MAC地址和掩码。

    5. 在“动作”选项处,勾选规则是“允许”或“拒绝”。

    6. (可选)在“规则生效时段”下拉选项框中,可以选择已存在的时间段名称,或者也可以点击“新增”按键,参考新建时间段的操作创建新的时间段信息。

    7. (可选)在“匹配统计”按钮处,选择是否开启匹配报文的统计功能。

    8. 执行“完成”按键,则完成了二层ACL规则的新建。

  7. (可选)点击“继续创建下一个Rule”按键,则可以重复上述操作继续创建二层ACL规则。

  8. 点击“完成”按键,则完成新增二层ACL。

修改二层ACL

  1. 选择“配置 > 网络策略 > ACL”,进入ACL访问控制配置页面。

  2. 选择“二层ACL”页签,进入二层ACL配置页面。

  3. 勾选需要修改的“二层ACL”,点击编辑。

  4. 修改二层ACL及其参数,包括如下步骤:

    1. 在“规则匹配顺序”选项处,调整匹配顺序。

    2. 在“规则编号步长”配置处,修改ACL规则自动生成的步长。

    3. (可选)在“描述”处可以修改ACL的描述信息。

  5. 修改二层ACL规则,包括如下步骤:

    1. 勾选需要修改的ACL规则,点击编辑,进入二层ACL规则修改页面。

    2. (可选)在“描述”处可以修改ACL规则的描述信息。

    3. 在“匹配条件”配置处,修改ACL规则的详细匹配条件,例如,可以勾选“匹配源MAC地址/掩码”,并修改规则需要匹配的源MAC地址和掩码长度。

    4. 在“动作”选项处,修改规则是“允许”或“拒绝”。

    5. (可选)在“规则生效时段”下拉选项框中,可以修改选取已存在的时间段名称,或者也可以点击“新增”按键,参考新建时间段的操作创建新的时间段信息。

    6. (可选)在“匹配报文统计”按钮处,选择是否开启匹配报文的统计功能。

    7. 执行“完成”按键,则完成了二层ACL规则的修改。

  6. 点击“完成”按键,则完成二层ACL的修改。

二层ACL典型配置

组网需求

图-1所示,通过在AC上配置二层ACL规则,实现在2023年4月到2023年6月之间每周工作日的8点到18点不允许Client 1访问Server。

图-1 时间段典型配置组网图

配置步骤

AC基本配置

  1. 创建名为work的时间段,其时间范围为2023年4月到2023年6月之间每周工作日的8点到18点。(配置步骤略)

  2. 创建二层ACL 4001,并制订如下规则:在名为work的时间段内禁止来自源MAC地址为1000-1000-1000/FFFF-FFFF-FFFF的报文通过。

  3. 选择“配置 > 网络策略 > ACL”,进入ACL访问控制配置页面。

  4. 选择“二层ACL”页签,进入二层ACL配置页面。

  5. 点击<新增>按钮,进入新建二层ACL页面。

  6. 新建二层ACL 4001,包括如下步骤:

    1. 在“ACL编号”中输入新建的二层ACL编号为4001。

    2. 在“规则匹配顺序”选项处,勾选“配置顺序”。

    3. 在“规则编号步长”配置处,设置ACL规则自动生成的步长为5。

  7. 新增二层ACL规则,在名为work的时间段内不允许来自MAC地址为1000-1000-1000掩码为FFFF-FFFF-FFFF的报文通过:

    1. 点击<新增>按钮,进入新建二层ACL规则页面。

    2. 在“规则编号”选项处,选择“自动编号”。

    3. 在“匹配条件”配置处,勾选“匹配源IP地址/掩码”,输入需要匹配的源MAC地址为1000-1000-1000,掩码为FFFF-FFFF-FFFF。

    4. 在“动作”选项处,勾选规则为“拒绝”。

    5. 在“规则生效时段”下拉选项框中,选择时间段名称work。

    6. 在“匹配报文统计”按钮处,选择开启匹配报文的统计功能。

    7. 执行“完成”按键,则完成了二层ACL规则的新建。

  8. 点击“完成”按键,则完成新增二层ACL。

  9. 在AC的接入接口出方向上的报文进行过滤。(配置步骤略)

验证配置

选择“配置 > 网络策略 > ACL”,进入ACL访问控制配置页面,可以查看到二层ACL 4001的详细信息。

图-2 二层ACL配置情况