ACL 访问控制列表


命名方式分:数字型ACL、命名型ACL

按照功能分:基于接口的ACL、基本ACL、基本ACL6、高级ACL、高级ACL6、二层ACL和用户自定义ACL。

主流:基本ACL、高级ACL、二层ACL和用户自定义ACL。

在华为S系列交换机中,没有与规则匹配的报文将丢弃。



ACL配置

1.配置ACL的生效时间段(可选)
ACL在某些时间才生效,有两种
(1)相对时间段(周期时间段):采用每个星期固定时间段的形式,例如从周一到周五的8:00到18:00
(2)绝对时间段:采用从某年某月某日某时某分起到某年某月某日某时某分结束。如:2020年10月1日10:00起至2021年1月1日18:00结束
2.创建ACL
创建一个ACL,可以是数字型也可以是命名型。数字型要对应类型的ACL编号范围。
(1)基本ACL编号取值范围:2000~2999

(2)高级ACL编号取值范围:3000~3999

(3)二层ACL编号取值范围:4000~4999

(4)用户自定义ACL编号取值范围:5000~5999

3.配置ACL规则
建议编辑一个已存在的规则前,先删除旧的规则,再创建新的规则


基本ACL

基本ACL是应用于IPv4协议网络的,且基本ACL的地址过滤信息中一定不会包括目的IP地址,只包含源IP地址。

1.配置时间段
​例:​从2020年1月1日到2021年12月12日23:59内的周一到周五每天8点到18点和周六日下午14点到18点
[SW]​time-range test from 0:0 2020/1/1 to 23:59 2021/12/12

[SW]time-range test 8:00 to 18:00 working-day (working-day周一到周五)

[SW]time-range test 14:00 to 18:00 off-day   (off-day周六日)

2.创建基本ACL

 (数字范围可以判断创建的ACL类型)

数字型[SW]acl number                        如[SW]acl 3000 
命名型[SW]acl name ‘name’ number  如[SW]acl name huang 3000

3.配置基本ACL规则

例:配置在ACL 2001中增加一条规则,允许地址192.168.1.1的报文通过

[SW]acl 2001

[SW-acl-basic-2001]rule permit source 192.168.1.1

配置在ACL2001中删除一条规则,删除规则5

[SW]acl 2001

[SW-acl-basic-2001]undo rule 5


高级ACL

​高级ACL除了可以根据 源IP地址 之外,还可根据 目的IP地址、IP承载的协议类型、协议特性(如TCP或UDP的源端口、目的端口、ICMP协议消息、消息码等)等信息进行匹配。

支持QoS中所需的优先级设置,用于指定符合对应优先级的IP数据包通过。

主要用于QoS中的流分类,可以精确地对流量进行分类。


(生效时间配置、创建和基本ACL类似)

例:配置ACL3000(采用缺省步长5)中增加一条规则号为2的,允许基于IGMP协议类型报文通过的规则

[SW]acl 3000

[SW-acl-adv-3000]rule 2 permit igmp

删除以上配置

[SW]acl 3000

[SW-acl-adv-3000]undo rule 2

例:配置ACL3001中采用规则号自动分配方式,增加一条规则,允许从129.9.0.0网段的主机向202.38.160.0网段的主机发送的所有IP报文通过。

[SW]acl 3001

[SW-acl-adv-3001]rule permit ip source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255

例:配置在ACL3001中采取规则号自动分配方式,增加一条规则,允许129.9.8.0网段内的主机建立与208.38.160.0网段内的主机UDP128端口上建立的UDP通信

[SW]acl 3001

[SW]rule permit udp source 129.9.8.0 0.0.0.255 destination 202.38.160.0 0.0.0.255 destination-port eq 128

二层ACL

二层ACL根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息进行规制匹配、处理的。



用户自定义ACL




ACL管理

1.display time-rangeall|time-name

2.display aclall|acl-number|name acl-name

3.display acl resource [slot slot-id] 非堆叠情况下是0,堆叠情况下表示堆叠ID,如果不指定参数则显示所有堆叠交换机ACL资源使用情况。

4.reset acl countername acl-name|acl-number|all


配置案例

基本ACL例:

拓扑:



要求:子网(172.16.105.0/24)所有用户都可以访问FTP

           子网(172.16.107.0/24)所有用户只能某一时段访问FTP

           其他用户不可访问FTP

步骤:

1.设定时间

[SW]time-rang ftp-access from 0:0 2020/1/1 to 23:29 2020/12/31

[SW]time-rang ftp-access 14:00 to 18:00 off-day

2.配置规制

[SW]acl number 2001

[SW-acl-basic-2001]rule permit source 172.16.105.0 0.0.0.255

[SW-acl-basic-2001]rule permit source 172.16.107.0 0.0.0.255 time-range ftp-access

[SW-acl-basic-2001]rule deny source any

3.启用ftp,调用acl

[SW]ftp server enable

[SW]ftp acl 2001


高级ACL配置例:

拓扑:



要求:禁止研发部门和市场部门在上班时间(8:00至17:30)访问工资查询服务器(IP地址为10.164.9.9),而总裁办公室不受限制.

两种配置:

(1)基于ACL的简化策略配置方法

时间和规制配置

[SW]time-range satime 8:00 to 17:30 working-day

[SW]acl 3002

[SW-acl-adv-3002]rule deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime

[SW]acl 3003

[SW-acl-adv-3003]rule deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime

在端口应用规制

[SW]int g1/0/2

[SW-g1/0/2]traffic-filter inbound acl 3002

[SW]int g1/0/3

[SW-g1/0/2]traffic-filter inbound acl 3003

(2)基于QoS流策略的配置

时间和规制配置与第一种方式一样

1.定义基于ACL的流分类

#配置流分类c_market,对匹配ACL3002的报文进行分类

[SW]traffice classifier c_market

[SW-classifier-c_market]if-match acl 3002

#配置流分类c_rd,对匹配ACL3003的报文进行分类

[SW]traffice classifier c_rd

[SW-classifier-c_rd]if-match acl 3003

2.定义流行为

#定义流行为b_market,动作为拒绝报文通过

[SW]traffic behavior b_market

[SW-behavior-b_market]deny

#定义流行为b_rd,动作为拒绝报文通过

[SW]traffic behavior b_rd

[SW-behavior-b_rd]deny

3.创建流策略,对以上流分类和流进行为进行关联

#配置流策略p_market,将流分类c_market与流行为b_market关联

[SW]traffic policy p_market

[SW-trafficpolicy-p_market]classifier c_market behavior b_market

#配置流策略p_rd,将流分类c_rd与流行为b_rd关联

[SW]traffic policy p_rd

[SW-trafficpolicy-p_rd]classifier c_market behavior b_rd

4.在对应端口上应用流策略

#将流策略p_market应用到G1/0/2接口

[SW]​int g1/0/2

[SW-g1/0/2]traffic-policy p_market inbound

#将流策略p_rd应用到G1/0/3接口

[SW]​int g1/0/3

[SW-g1/0/2]traffic-policy p_rd inbound



声明:MINI-HAVEN|版权所有,违者必究|如未注明,均为原创|本网站采用BY-NC-SA协议进行授权

转载:转载请注明原文链接 - ACL 访问控制列表


MINI-HAVEN