H3C配置ACL
H3C配置ACL
1. ACL简介
随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。 通过对数据包进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络 资源。ACL(Access Control List,访问控制列表)即是通过配置对报文的匹配规则和处理操作 来实现包过滤的功能。
当交换机的端口接收到报文后,即根据当前端口上应用的 ACL 规则对报文的字段进行分析,在识 别出特定的报文之后,根据预先设定的策略允许或禁止相应的数据包通过。
由 ACL 定义的数据包匹配规则,也可以被其它需要对流量进行区分的功能引用,如 QoS 中流分 类规则的定义。
ACL 通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端 口号等。根据应用目的,可将 ACL 分为以下几种:
- 基本ACL:只根据数据包的源IP地址指定规则
- 高级ACL:根据数据包的源IP、目的IP、IP承载的协议类型、协议特性等三、四层信息制定规则。
- 二层ACL:根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。
- 用户自定义ACL:以数据包的头部为基准,制定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。
2. ACL配置
2.1 配置时间段
配置步骤 | 命令 | 说明 |
---|---|---|
进入系统视图 | system-view | - |
创建一个时间段 | time-range time-name { start-time to end-time days-of-the-week [ from start-time start-date ] [ to end-time end-date ] from start-time start-date | [ to end-time end-date ] | 必选 |
举例
# 配置周期时间段,时间范围为周一到周五每天 8:00 到 18:00。
<Sysname> system-view
[Sysname] time-range test 8:00 to 18:00 working-day
[Sysname] display time-range test
Current time is 13:27:32 Apr/16/2005 Saturday
2.2 定义基本 ACL
基本 ACL 只根据源 IP 地址制定规则,对数据包进行相应的分析处理。
基本 ACL 的序号取值范围为 2000~2999。
配置步骤 | 命令 | 说明 |
---|---|---|
进入系统视图 | system-view | - |
创建一个时间段 | acl number acl-number [ match-order { auto | config } ] | 必选 缺省情况下,匹配顺序为 config |
定义 ACL 规则 | rule [ rule-id ] { deny | permit } [ rule-string ] | 必选 rule-string 的具体内容请参见命令手 册 |
定义 ACL 的描述信息 | description text | 可选 缺省情况下,ACL 没有描述信息 |
举例
# 配置基本 ACL 2000,禁止源 IP 地址为 192.168.0.1 的报文通过。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule deny source 192.168.0.1 0
# 显示基本 ACL 2000 的配置信息。
[Sysname-acl-basic-2000] display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 1
rule 0 deny source 192.168.0.1 0
2.2 定义高级ACL
高级 ACL 可以使用数据包的源 IP 地址、目的 IP 地址、IP 承载的协议类型、针对协议的特性(例 如 TCP 或 UDP 的源端口、目的端口,ICMP 协议的消息类型、消息码等)内容定义规则。 高级 ACL 序号取值范围 3000~3999(3998 与 3999 是系统为集群管理预留的编号,用户无法配 置)。
高级 ACL 支持对三种报文优先级的分析处理:ToS(Type of Service,服务类型)优先级、IP 优先级和 DSC(Differentiated Services CodePoint,差分服务编码点)优先级。 用户可以利用高级 ACL 定义比基本 ACL 更准确、更丰富、更灵活的规则。
配置步骤 | 命令 | 说明 |
---|---|---|
进入系统视图 | system-view | - |
创建并进入高级ACL视图 | acl number acl-number [ match-order { auto | config } ] | 必选 缺省情况下,匹配顺序为 config |
定义 ACL 规则 | rule [ rule-id ] { deny | permit } protocol [ rule-string ] | 必选 protocol 和rule-string 的具体内容请参见命令手 册 |
定义 ACL 规则的注释信息 | rule rule-id comment text | 可选 缺省情况下,ACL 规则没有注释信息 |
定义ACL的描述信息 | description text | 可选 缺省情况下,ACL 没有描述信息 |
举例
# 配置高级 ACL 3000,允许从 129.9.0.0/16 网段的主机向 202.38.160.0/24 网段的主机发送的端 口号为 80 的 TCP 报文通过。
<Sysname> system-view
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination
202.38.160.0 0.0.0.255 destination-port eq 80
# 显示高级 ACL 3000 的配置信息。
[Sysname-acl-adv-3000] display acl 3000
Advanced ACL 3000, 1 rule
Acl's step is 1
rule 0 permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255
destination-port eq www
2.3 定义二层ACL
二层 ACL 根据源 MAC 地址、目的 MAC 地址、802.1p 优先级、二层协议类型等二层信息制定规 则,对数据进行相应处理。
二层 ACL 的序号取值范围为 4000~4999。
配置步骤 | 命令 | 说明 |
---|---|---|
进入系统视图 | system-view | - |
创建并进入二层ACL视图 | acl number acl-number | 必选 |
定义 ACL 规则 | rule [ rule-id ] { deny | permit } [ rule-string ] | 必选 rule-string 的具体内容请参见命令手 册 |
定义 ACL 规则的注释信息 | rule rule-id comment text | 可选 缺省情况下,ACL 规则没有注释信息 |
定义ACL的描述信息 | description text | 可选 缺省情况下,ACL 没有描述信息 |
举例
配置二层 ACL 4000,禁止从 MAC 地址 000d-88f5-97ed 发送到 MAC 地址 0011-4301-991e 且 802.1p 优先级为 3 的报文通过。
<Sysname> system-view
[Sysname] acl number 4000
[Sysname-acl-ethernetframe-4000] rule deny cos 3 source 000d-88f5-97ed ffff-ffff-ffff
dest 0011-4301-991e ffff-ffff-ffff
# 显示二层 ACL 4000 的配置信息。
[Sysname-acl-ethernetframe-4000] display acl 4000
Ethernet frame ACL 4000, 1 rule
Acl's step is 1
rule 0 deny cos excellent-effort source 000d-88f5-97ed ffff-ffff-ffff dest
0011-4301-991e ffff-ffff-ffff
更多推荐
所有评论(0)