ACL
本帮助主要介绍以下内容:
特性简介
ACL(Access Control List,访问控制列表)是一或多条规则的集合,用于识别报文流。这里的规则是指描述报文匹配条件的判断语句,匹配条件可以是报文的源地址、目的地址、端口号等。设备依照这些规则识别出特定的报文,并根据预先设定的策略对其进行处理。
ACL分类
ACL包括下表所列的几种类型,它们的主要区别在于规则制订依据不同:
表-1 ACL的分类
ACL类型 | 编号范围 | 规则制定依据 | |
IPv4 ACL | 基本ACL | 2000~2999 | 依据报文的源IPv4地址制订规则 |
高级ACL | 3000~3999 | 依据报文的源/目的IPv4地址、优先级、承载的IPv4协议类型等三、四层信息制订规则 | |
IPv6 ACL | 基本ACL | 2000~2999 | 依据报文的源IPv6地址制订规则 |
高级ACL | 3000~3999 | 依据报文的源/目的IPv6地址、优先级、承载的IPv6协议类型等三、四层信息制订规则 | |
二层 ACL | 4000~4999 | 依据报文的源/目的MAC地址、802.1p优先级、链路层协议类型等二层信息 | |
用户自定义ACL | 5000~5999 | 以报文头为基准,指定从报文的第几个字节开始与掩码进行"与"操作,并将提取出的字符串与用户定义的字符串进行比较,从而找出相匹配的报文 | |
ACL规则匹配顺序
ACL类型 | 排序法则 | |
IPv4 ACL | 基本ACL |
|
高级ACL |
| |
IPv6 ACL | 基本ACL |
|
高级ACL |
| |
二层 ACL |
| |
ACL规则编号
每条规则都有自己的编号,这个编号可由手工指定或由系统自动分配。由于规则编号可能影响规则的匹配顺序,因此当系统自动分配编号时,为方便后续在已有规则之间插入新规则,通常在相邻编号之间留有一定空间,这就是规则编号的步长。系统自动分配编号的方式为:从0开始,按照步长分配一个大于现有最大编号的最小编号。比如原有编号为0、5、9、10和12的五条规则,步长为5,则系统将自动为下一条规则分配编号15。如果步长发生了改变,则原有全部规则的编号都将自动从0开始按新步长重新排列。比如原有编号为0、5、9、10和15的五条规则,当步长变为2后,这些规则的编号将依次变为0、2、4、6和8。
vSystem相关说明
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
使用限制和注意事项
ACL既可以在本页面创建,也可以在引用ACL的特性页面创建。不论通过哪种方式创建的ACL都只能在本页面进行管理(如修改和删除ACL)。
删除或修改ACL可能会对引用该ACL的业务造成影响,请谨慎删除或修改ACL。
当ACL的规则匹配顺序为配置顺序时,允许修改该ACL内的任意一条已有规则;当ACL的规则匹配顺序为自动排序时,不允许修改该ACL内的已有规则。
配置指南
配置准备
新建IPv4 ACL
新建IPv4 ACL的具体配置步骤如下:
选择“对象 > ACL > IPv4”。
在“IPv4”页面单击“新建”按钮,进入““新建IPv4 ACL”页面,具体的配置参数如下表所示。
图-1 新建IPv4 ACL
图-2 新建IPv4基本ACL的规则
图-3 新建IPv4高级ACL的规则
表-3 新建IPv4 ACL的详细配置
配置项
说明
类型
基本ACL
高级ACL
ACL
配置ACL的名称
若新建的是基本ACL,请输入2000-2999或1-63个字符,必须以英文字母开头,且不能为‘all’,禁止输入‘?’和开头结尾输入空白字符
若新建的是高级ACL,请输入3000-3999或1-63个字符,必须以英文字母开头,且不能为‘all’,禁止输入‘?’和开头结尾输入空白字符
规则匹配顺序
一个ACL中可以包含多条规则,设备将报文按照一定顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。规则匹配顺序有两种:
按照配置顺序:按照规则编号由小到大进行匹配。
自动排序:按照“深度优先”原则由深到浅进行匹配,见下表(自定义ACL不支持自动排序)
默认规则步长
配置规则编号的步长
描述
配置ACL的描述信息
确定并添加规则
没有添加规则的情况下该ACL为空,如要配置IPv4 ACL的规则就需单击此按钮,规则的详细配置请参见表-2
表-4 新建IPv4 ACL的规则的详细配置
配置项
说明
ACL编号
配置ACL的名称(自动带入表1所配置的ACL,无需配置)
规则编号
输入所配置规则的编号,规则编号方式有两种:
自动编号
手动输入
如果指定的规则ID已经存在,则将该规则修改为新指定的配置
描述
配置ACL的描述信息
动作
选择对匹配该规则的报文所进行的操作
允许:表示允许匹配该规则的报文通过
拒绝:表示禁止匹配该规则的报文通过
IP协议类型
选择IP承载的协议类型
如选择“icmp(1)”协议后,需配置ICMP类型;选择“tcp(6)”或“udp(17)”协议后,可配置TCP/UDP类型
注意:新建IPv4基本ACL的规则时不支持配置此参数
匹配条件
匹配源IP地址/通配符掩码
匹配源地址对象组
匹配目的IP地址/通配符掩码
匹配目的地址对象组
匹配TCP/UDP报文的源端口号
匹配TCP/UDP报文的目的端口号
匹配TCP报文的连接建立标识
匹配TCP报文标识
匹配ICMP报文的消息类型和消息码
匹配DSCP优先级
匹配IP优先级
匹配ToS优先级
注意:新建IPv4基本ACL的规则的匹配条件仅支持配置匹配源IP地址/通配符掩码、匹配源地址对象组。新建IPv4高级ACL的规则的匹配条件会根据所选择的IP协议而有所不同
规则生效时间段
选择规则生效的时间段,可下拉选择已有的时间段,如需新建,下拉后点击“+添加时间段”按钮,配置项如下:
名称:配置时间段的名称(1-63字符,不能为'all',禁止输入'?',仅配有名称的时间段,重启后不会保存,且在RBM组网中不会备份至备设备,请同时配置周期时间段或绝对时间段)匹配IP优先级
周期时间段:表示以每周每月为周期(如每周一的8至12点)循环生效的时间段。
绝对时间段:表示在指定时间范围内(如2015年1月1日8点至2015年1月3日18点)生效的时间段。
当一个时间段内包含有多个周期时间段和绝对时间段时,系统将先分别取各周期时间段的并集和各绝对时间段的并集,再取这两个并集的交集作为该时间段最终生效的时间范围。
VRF
指定VPN实例信息
如果选择“无”,则表示该规则仅对非VPN报文生效
分片报文
选中前面的复选框,设置该规则仅对非首片分片报文有效,对首片分片报文和非分片报文无效
如不设置,则规则对非分片报文和分片报文均有效
记录日志
选中前面的复选框,设置对匹配该规则的报文记录日志
日志内容包括:ACL规则的序号、报文通过或被丢弃、IP承载的上层协议类型、源/目的地址、源/目的端口号、报文的数目
匹配统计
选中前面的复选框,设置开启本规则的匹配统计功能
确定并继续添加
单击该按钮,可继续添加并配置下一条ACL
单击“确定”按钮,完成新建IPv4 ACL规则的配置。
新建IPv6 ACL
新建IPv6 ACL的具体配置步骤如下:
选择“对象 > ACL > IPv6”。
在“IPv6”页面单击“新建”按钮,进入“新建IPv6 ACL”页面,具体的配置参数如下表所示。
图-4 新建IPv6 ACL
图-5 新建IPv6基本ACL的规则
图-6 新建IPv6高级ACL的规则
表-5 新建IPv6 ACL的详细配置
配置项
说明
类型
基本ACL
高级ACL
ACL
配置ACL的名称
若新建的是基本ACL,请输入2000-2999或1-63个字符,必须以英文字母开头,且不能为‘all’,禁止输入‘?’和开头结尾输入空白字符
若新建的是高级ACL,请输入3000-3999或1-63个字符,必须以英文字母开头,且不能为‘all’,禁止输入‘?’和开头结尾输入空白字符
规则匹配顺序
一个ACL中可以包含多条规则,设备将报文按照一定顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。规则匹配顺序有两种:
按照配置顺序:按照规则编号由小到大进行匹配。
自动排序:按照“深度优先”原则由深到浅进行匹配,见下表(自定义ACL不支持自动排序)
默认规则步长
配置规则编号的步长
描述
配置ACL的描述信息
确定并添加规则
没有添加规则的情况下该ACL为空,如要配置IPv6 ACL的规则就需单击此按钮,规则的详细配置请参见表-2
表-6 新建IPv6 ACL的规则的详细配置
配置项
说明
ACL编号
配置ACL的名称(自动带入表1所配置的ACL,无需配置)
规则编号
输入所配置规则的编号,规则编号方式有两种:
自动编号
手动输入
如果指定的规则ID已经存在,则将该规则修改为新指定的配置
描述
配置ACL的描述信息
动作
选择对匹配该规则的报文所进行的操作
允许:表示允许匹配该规则的报文通过
拒绝:表示禁止匹配该规则的报文通过
IP协议类型
选择IP承载的协议类型
如选择“icmpv6(58)”协议后,需配置ICMPv6类型;选择“tcp(6)”或“udp(17)”协议后,可配置TCP/UDP类型
注意:新建IPv6基本ACL的规则时不支持配置此参数
匹配条件
匹配源IPv6地址/前缀长度
匹配源地址对象组
匹配目的IPv6地址/前缀长度
匹配目的地址对象组
匹配TCP/UDP报文的源端口号
匹配TCP/UDP报文的目的端口号
匹配TCP报文的连接建立标识
匹配TCP报文标识
匹配ICMPv6报文的消息类型和消息码
匹配路由头类型
匹配逐跳头类型
匹配DSCP优先级
匹配IPv6基本报文头中的流标签字段
注意:新建IPv6基本ACL的规则的匹配条件仅支持配置匹配源IPv6地址/前缀长度、匹配源地址对象组和匹配路由头类型。新建IPv6高级ACL的规则的匹配条件会根据所选择的IP协议而有所不同
规则生效时间段
选择规则生效的时间段,可下拉选择已有的时间段,如需新建,下拉后点击“+添加时间段”按钮,配置项如下:
名称:配置时间段的名称(1-63字符,不能为'all',禁止输入'?',仅配有名称的时间段,重启后不会保存,且在RBM组网中不会备份至备设备,请同时配置周期时间段或绝对时间段)匹配IP优先级
周期时间段:表示以每周每月为周期(如每周一的8至12点)循环生效的时间段。
绝对时间段:表示在指定时间范围内(如2015年1月1日8点至2015年1月3日18点)生效的时间段。
当一个时间段内包含有多个周期时间段和绝对时间段时,系统将先分别取各周期时间段的并集和各绝对时间段的并集,再取这两个并集的交集作为该时间段最终生效的时间范围。
VRF
指定VPN实例信息
如果选择“无”,则表示该规则仅对非VPN报文生效
分片报文
选中前面的复选框,设置该规则仅对非首片分片报文有效,对首片分片报文和非分片报文无效
如不设置,则规则对非分片报文和分片报文均有效
记录日志
选中前面的复选框,设置对匹配该规则的报文记录日志
日志内容包括:ACL规则的序号、报文通过或被丢弃、IP承载的上层协议类型、源/目的地址、源/目的端口号、报文的数目
匹配统计
选中前面的复选框,设置开启本规则的匹配统计功能
确定并继续添加
单击该按钮,可继续添加并配置下一条ACL
单击“确定”按钮,完成新建IPv4 ACL规则的配置。
新建二层 ACL
新建二层ACL的具体配置步骤如下:
选择“对象 > ACL > 二层”。
在“二层”页面单击“新建”按钮,进入“新建二层 ACL”页面,具体的配置参数如下表所示。
图-7 新建二层ACL
图-8 新建二层ACL的规则
表-7 新建二层 ACL的详细配置
配置项
说明
ACL
配置ACL的名称(4000-4999或1-63个字符)
规则匹配顺序
一个ACL中可以包含多条规则,设备将报文按照一定顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。规则匹配顺序有两种:
按照配置顺序:按照规则编号由小到大进行匹配。
自动排序:按照“深度优先”原则由深到浅进行匹配,见下表(自定义ACL不支持自动排序)
默认规则步长
配置规则编号的步长
描述
配置ACL的描述信息
确定并添加规则
没有添加规则的情况下该ACL为空,如要配置二层 ACL的规则就需单击此按钮,规则的详细配置请参见表-2
表-8 新建二层 ACL的规则的详细配置
配置项
说明
ACL编号
配置ACL的名称(自动带入表1所配置的ACL,无需配置)
规则编号
输入所配置规则的编号,规则编号方式有两种:
自动编号
手动输入
如果指定的规则ID已经存在,则将该规则修改为新指定的配置
描述
配置ACL的描述信息
动作
选择对匹配该规则的报文所进行的操作
允许:表示允许匹配该规则的报文通过
拒绝:表示禁止匹配该规则的报文通过
匹配条件
匹配源MAC地址/掩码
匹配目的MAC地址/掩码
匹配802.1p优先级
匹配LLC封装中的DSAP字段和SSAP字段
匹配链路层协议类型
规则生效时间段
选择规则生效的时间段,可下拉选择已有的时间段,如需新建,下拉后点击“+添加时间段”按钮,配置项如下:
名称:配置时间段的名称(1-63字符,不能为'all',禁止输入'?',仅配有名称的时间段,重启后不会保存,且在RBM组网中不会备份至备设备,请同时配置周期时间段或绝对时间段)匹配IP优先级
周期时间段:表示以每周每月为周期(如每周一的8至12点)循环生效的时间段。
绝对时间段:表示在指定时间范围内(如2015年1月1日8点至2015年1月3日18点)生效的时间段。
当一个时间段内包含有多个周期时间段和绝对时间段时,系统将先分别取各周期时间段的并集和各绝对时间段的并集,再取这两个并集的交集作为该时间段最终生效的时间范围。
匹配统计
选中前面的复选框,设置开启本规则的匹配统计功能
确定并继续添加
单击该按钮,可继续添加并配置下一条ACL
单击“确定”按钮,完成新建二层 ACL规则的配置。