H3C配置ACL

1. ACL简介

随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。 通过对数据包进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络 资源。ACL(Access Control List,访问控制列表)即是通过配置对报文的匹配规则和处理操作 来实现包过滤的功能。

当交换机的端口接收到报文后,即根据当前端口上应用的 ACL 规则对报文的字段进行分析,在识 别出特定的报文之后,根据预先设定的策略允许或禁止相应的数据包通过。

由 ACL 定义的数据包匹配规则,也可以被其它需要对流量进行区分的功能引用,如 QoS 中流分 类规则的定义。

ACL 通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端 口号等。根据应用目的,可将 ACL 分为以下几种:

  • 基本ACL:只根据数据包的源IP地址指定规则
  • 高级ACL:根据数据包的源IP、目的IP、IP承载的协议类型、协议特性等三、四层信息制定规则。
  • 二层ACL:根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。
  • 用户自定义ACL:以数据包的头部为基准,制定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。

2. ACL配置

2.1 配置时间段


配置步骤命令说明
进入系统视图system-view-
创建一个时间段time-range time-name { start-time to end-time days-of-the-week [ from start-time start-date ] [ to end-time end-date ] from start-time start-date | [ to end-time end-date ]必选

举例

# 配置周期时间段,时间范围为周一到周五每天 8:00 到 18:00。

<Sysname> system-view
[Sysname] time-range test 8:00 to 18:00 working-day
[Sysname] display time-range test
Current time is 13:27:32 Apr/16/2005 Saturday

2.2 定义基本 ACL


基本 ACL 只根据源 IP 地址制定规则,对数据包进行相应的分析处理。

基本 ACL 的序号取值范围为 2000~2999。

配置步骤命令说明
进入系统视图system-view-
创建一个时间段acl number acl-number [ match-order { auto | config } ]必选 缺省情况下,匹配顺序为 config
定义 ACL 规则rule [ rule-id ] { deny | permit } [ rule-string ]必选 rule-string 的具体内容请参见命令手 册
定义 ACL 的描述信息description text可选 缺省情况下,ACL 没有描述信息

举例

# 配置基本 ACL 2000,禁止源 IP 地址为 192.168.0.1 的报文通过。

<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule deny source 192.168.0.1 0

# 显示基本 ACL 2000 的配置信息。

[Sysname-acl-basic-2000] display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 1
 rule 0 deny source 192.168.0.1 0 

2.2 定义高级ACL


高级 ACL 可以使用数据包的源 IP 地址、目的 IP 地址、IP 承载的协议类型、针对协议的特性(例 如 TCP 或 UDP 的源端口、目的端口,ICMP 协议的消息类型、消息码等)内容定义规则。 高级 ACL 序号取值范围 3000~3999(3998 与 3999 是系统为集群管理预留的编号,用户无法配 置)。

高级 ACL 支持对三种报文优先级的分析处理:ToS(Type of Service,服务类型)优先级、IP 优先级和 DSC(Differentiated Services CodePoint,差分服务编码点)优先级。 用户可以利用高级 ACL 定义比基本 ACL 更准确、更丰富、更灵活的规则。

配置步骤命令说明
进入系统视图system-view-
创建并进入高级ACL视图acl number acl-number [ match-order { auto | config } ]必选 缺省情况下,匹配顺序为 config
定义 ACL 规则rule [ rule-id ] { deny | permit } protocol [ rule-string ]必选 protocol 和rule-string 的具体内容请参见命令手 册
定义 ACL 规则的注释信息rule rule-id comment text可选 缺省情况下,ACL 规则没有注释信息
定义ACL的描述信息description text可选 缺省情况下,ACL 没有描述信息

举例

# 配置高级 ACL 3000,允许从 129.9.0.0/16 网段的主机向 202.38.160.0/24 网段的主机发送的端 口号为 80 的 TCP 报文通过。

<Sysname> system-view
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination
202.38.160.0 0.0.0.255 destination-port eq 80

# 显示高级 ACL 3000 的配置信息。

[Sysname-acl-adv-3000] display acl 3000
Advanced ACL 3000, 1 rule
Acl's step is 1
 rule 0 permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255
destination-port eq www 

2.3 定义二层ACL


二层 ACL 根据源 MAC 地址、目的 MAC 地址、802.1p 优先级、二层协议类型等二层信息制定规 则,对数据进行相应处理。

二层 ACL 的序号取值范围为 4000~4999。

配置步骤命令说明
进入系统视图system-view-
创建并进入二层ACL视图acl number acl-number必选
定义 ACL 规则rule [ rule-id ] { deny | permit } [ rule-string ]必选 rule-string 的具体内容请参见命令手 册
定义 ACL 规则的注释信息rule rule-id comment text可选 缺省情况下,ACL 规则没有注释信息
定义ACL的描述信息description text可选 缺省情况下,ACL 没有描述信息

举例

配置二层 ACL 4000,禁止从 MAC 地址 000d-88f5-97ed 发送到 MAC 地址 0011-4301-991e 且 802.1p 优先级为 3 的报文通过。

<Sysname> system-view
[Sysname] acl number 4000
[Sysname-acl-ethernetframe-4000] rule deny cos 3 source 000d-88f5-97ed ffff-ffff-ffff 
dest 0011-4301-991e ffff-ffff-ffff 

# 显示二层 ACL 4000 的配置信息。

[Sysname-acl-ethernetframe-4000] display acl 4000
Ethernet frame ACL 4000, 1 rule
Acl's step is 1
 rule 0 deny cos excellent-effort source 000d-88f5-97ed ffff-ffff-ffff dest
0011-4301-991e ffff-ffff-ffff 
Logo

旨在为数千万中国开发者提供一个无缝且高效的云端环境,以支持学习、使用和贡献开源项目。

更多推荐