ACL和QoS 配置指导ACL配置.docx
- 文档编号:28511125
- 上传时间:2023-07-18
- 格式:DOCX
- 页数:50
- 大小:117.46KB
ACL和QoS 配置指导ACL配置.docx
《ACL和QoS 配置指导ACL配置.docx》由会员分享,可在线阅读,更多相关《ACL和QoS 配置指导ACL配置.docx(50页珍藏版)》请在冰豆网上搜索。
ACL和QoS配置指导ACL配置
目录
1ACL配置············································································································································1-1
1.1ACL简介············································································································································1-1
1.1.1ACL概述·································································································································1-1
1.1.2ACL在交换机上的应用方式····································································································1-1
1.1.3ACL的编号和名称···················································································································1-1
1.1.4ACL的分类······························································································································1-2
1.1.5ACL的规则匹配顺序···············································································································1-2
1.1.6ACL的规则描述和注释············································································································1-3
1.1.7ACL的步长······························································································································1-3
1.1.8ACL对分片报文的处理············································································································1-4
1.2ACL配置任务简介······························································································································1-4
1.3配置ACL············································································································································1-4
1.3.1配置ACL的生效时间段············································································································1-4
1.3.2配置基本ACL··························································································································1-5
1.3.3配置高级ACL··························································································································1-7
1.3.4配置二层ACL························································································································1-10
1.3.5复制ACL·······························································································································1-11
1.3.6应用ACL进行报文过滤··········································································································1-11
1.4ACL显示和维护·······························································································································1-13
1.5ACL典型配置举例····························································································································1-13
1.5.1在设备管理功能中应用ACL··································································································1-13
1.5.2应用IPv4ACL进行报文过滤配置举例···················································································1-15
1.5.3应用IPv6ACL进行报文过滤配置举例···················································································1-15
i
1ACL配置
本文将用于IPv4和IPv6的ACL分别简称为IPv4ACL和IPv6ACL。
若非特别指明,本文所指的
ACL均包括IPv4ACL和IPv6ACL。
1.1ACL简介
1.1.1ACL概述
ACL(AccessControlList,访问控制列表)是一或多条规则的集合,用于识别报文流。
所谓规则,
是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
网络
设备依照这些规则识别出特定的报文,并根据预先设定的策略对其进行处理。
1.1.2ACL在交换机上的应用方式
当ACL被其他功能引用时,根据设备在实现该功能时的处理方式(硬件处理或者软件处理),ACL
可以被分为基于硬件的应用和基于软件的应用。
典型的基于硬件的应用包括;报文过滤、QoS策略;基于软件的应用包括:
路由、对登录用户(Telnet、
SNMP、WEB)进行控制等。
在某些应用方式下(例如QoS策略),ACL仅用于匹配报文,ACL规则中的动作(deny或permit)
被忽略,不作为对报文进行丢弃或转发的依据,类似情况请参见相应功能中的说明。
∙当ACL被QoS策略引用进行流分类时,如果报文没有与ACL中的规则匹配,此时交换机不
会使用流行为中定义的动作对此类报文进行处理。
∙当ACL被用于对Telnet、SNMP和WEB登录用户进行控制时,如果报文没有与ACL中的规
则匹配,此时交换机对此类报文采取的动作为deny,即拒绝报文通过。
∙关于应用ACL对报文进行过滤的介绍和配置,请参见1.3.6应用ACL进行报文过滤。
1.1.3ACL的编号和名称
用户在创建ACL时必须为其指定编号,不同的编号对应不同类型的ACL,如表1-1所示;同时,
为了便于记忆和识别,用户在创建ACL时还可选择是否为其设置名称。
ACL一旦创建,便不允许
用户再为其设置名称、修改或删除其原有名称。
当ACL创建完成后,用户就可以通过指定编号或名称的方式来指定该ACL,以便对其进行操作。
二层ACL的编号和名称全局唯一;IPv4基本和高级ACL的编号和名称只在IPv4中唯一;IPv6
基本和高级ACL的编号和名称也只在IPv6中唯一。
1-1
1.1.4ACL的分类
根据规则制订依据的不同,可以将ACL分为如表1-1所示的几种类型。
表1-1ACL的分类
ACL类型
基本ACL
高级ACL
二层ACL
编号范围
2000~2999
3000~3999
4000~4999
适用的IP版本
IPv4
IPv6
IPv4
IPv6
IPv4和IPv6
规则制订依据
报文的源IP地址
报文的源IPv6地址
报文的源IP地址、目的IP地址、报文优先级、IP承载的协议类
型及特性等三、四层信息
报文的源IPv6地址、目的IPv6地址、报文优先级、IPv6承载
的协议类型及特性等三、四层信息
报文的源MAC地址、目的MAC地址、802.1p优先级、链路层
协议类型等二层信息
1.1.5ACL的规则匹配顺序
由于ACL中每条规则的报文匹配条件不同,导致这些规则之间可能存在重复甚至矛盾的地方,因
此在将一个报文与ACL的各条规则进行匹配时,需要有明确的匹配顺序来确定规则执行的优先级,
一旦匹配上某条规则就不会再继续匹配下去,系统将依据该规则对该报文执行相应的操作。
ACL
的规则匹配顺序有以下两种:
∙
∙
配置顺序:
按照规则编号由小到大进行匹配。
自动排序:
按照“深度优先”原则由深到浅进行匹配,各类型ACL的“深度优先”排序法则
如表1-2所示。
表1-2各类型ACL的“深度优先”排序法则
ACL类型
IPv4基本ACL
IPv4高级ACL
IPv6基本ACL
IPv6高级ACL
“深度优先”排序法则
(1)先判断规则中是否携带有VPN实例,携带VPN实例者优先
(2)如果VPN实例的携带情况相同,再比较源IPv4地址范围,范围较小者优先
(3)如果源IP地址范围也相同,再比较配置的先后次序,先配置者优先
(1)先判断规则中是否携带有VPN实例,携带VPN实例者优先
(2)如果VPN实例的携带情况相同,再比较协议范围,指定有IPv4承载的协议类型者优先
(3)如果协议范围也相同,再比较源IPv4地址范围,较小者优先
(4)如果源IPv4地址范围也相同,再比较目的IPv4地址范围,较小者优先
(5)如果目的IPv4地址范围也相同,再比较四层端口(即TCP/UDP端口)号范围,较小者
优先
(6)如果四层端口号范围也相同,再比较配置的先后次序,先配置者优先
(1)先判断规则中是否携带有VPN实例,携带VPN实例者优先
(2)如果VPN实例的携带情况相同,再比较源IPv6地址范围,范围较小者优先
(3)如果源IPv6地址范围也相同,再比较配置的先后次序,先配置者优先
(1)先判断规则中是否携带有VPN实例,携带VPN实例者优先
(2)如果VPN实例的携带情况相同,再比较协议范围,指定有IPv6承载的协议类型者优先
(3)如果协议范围相同,再比较源IPv6地址范围,较小者优先
(4)如果源IPv6地址范围也相同,再比较目的IPv6地址范围,较小者优先
(5)如果目的IPv6地址范围也相同,再比较四层端口(即TCP/UDP端口)号范围,较小者
优先
(6)如果四层端口号范围也相同,再比较配置的先后次序,先配置者优先
1-2
ACL类型
二层ACL
“深度优先”排序法则
(1)先比较源MAC地址范围,较小者优先
(2)如果源MAC地址范围相同,再比较目的MAC地址范围,较小者优先
(3)如果目的MAC地址范围也相同,再比较配置的先后次序,先配置者优先
∙仅S5500-EI系列交换机支持在ACL规则中指定VPN实例。
∙比较IPv4地址范围的大小,就是比较IPv4地址通配符掩码中“0”位的多少:
“0”位越多,
范围越小。
通配符掩码(又称反向掩码)以点分十进制表示,并以二进制的“0”表示“匹配”,
“1”表示“不关心”,这与子网掩码恰好相反,譬如子网掩码255.255.255.0对应的通配符掩
码就是0.0.0.255。
此外,通配符掩码中的“0”或“1”可以是不连续的,这样可以更加灵活
地进行匹配,譬如0.255.0.255就是一个合法的通配符掩码。
∙比较IPv6地址范围的大小,就是比较IPv6地址前缀的长短:
前缀越长,范围越小。
∙比较MAC地址范围的大小,就是比较MAC地址掩码中“1”位的多少:
“1”位越多,范围越
小。
1.1.6ACL的规则描述和注释
在一个ACL中用户可以创建多条规则,为了方便标识这些规则的用途,用户可以为单条规则添加
描述信息,也可以在各条规则之间插入注释信息来对前一段或后一段规则进行统一描述。
1.规则描述信息
规则描述信息主要用于对单条规则进行单独标识。
当需要对各条规则进行不同的标识或对某条规
则进行特别标识时,适用此方式。
2.规则注释信息
规则注释信息主要用于对一段规则进行统一标识。
当需要对一段规则进行相同的标识时,如果采
用对每条规则都添加相同描述信息的方式,需要进行大量配置,效率会非常低下。
在这种情况下,
可以在这段规则的前、后插入注释信息的方式来提高标识效率,即:
在这段规则的首条规则之前
以及末条规则之后分别插入一条注释信息,通过首、尾这两条注释信息就可以标识整段规则的用
途。
在不同的规则匹配顺序下,“首条规则”和“末条规则”的确定方法不同:
∙在配置顺序下:
规则的显示将按照规则编号由小到大排列,因此应通过规则的编号来确定;
∙在自动排序下:
规则的显示将按照“深度优先”原则由深到浅排列,因此应通过“深度优先”
原则来确定。
1.1.7ACL的步长
ACL中的每条规则都有自己的编号,这个编号在该ACL中是唯一的。
在创建规则时,可以手工
为其指定一个编号,如未手工指定编号,则由系统为其自动分配一个编号。
由于规则的编号可能
影响规则匹配的顺序,因此当由系统自动分配编号时,为了方便后续在已有规则之前插入新的规
则,系统通常会在相邻编号之间留下一定的空间,这个空间的大小(即相邻编号之间的差值)就
1-3
称为ACL的步长。
譬如,当步长为5时,系统会将编号0、5、10、15……依次分配给新创建的
规则。
系统为规则自动分配编号的方式如下:
系统从0开始,按照步长自动分配一个大于现有最大编号
的最小编号。
譬如原有编号为0、5、9、10和12的五条规则,步长为5,此时如果创建一条规
则且不指定编号,那么系统将自动为其分配编号15。
如果步长发生了改变,ACL内原有全部规则的编号都将自动从0开始按新步长重新排列。
譬如,
某ACL内原有编号为0、5、9、10和15的五条规则,当修改步长为2之后,这些规则的编号将
依次变为0、2、4、6和8。
1.1.8ACL对分片报文的处理
传统的报文过滤并不处理所有的分片报文,只对首个分片进行匹配处理,而对后续分片一律放行。
这样,网络攻击者可以构造后续的分片报文进行流量攻击,从而带来了安全隐患。
为提高网络安
全性,ACL规则缺省会匹配所有的非分片报文以及分片报文的每个分片。
同时,为了提高匹配效
率,用户也可以对此匹配策略进行修改,譬如可指定规则仅对非首片分片报文有效等。
1.2ACL配置任务简介
表1-3ACL配置任务简介
配置任务
配置ACL的生效时间段
配置IPv4基本ACL
配置IPv6基本ACL
配置IPv4高级ACL
配置IPv6高级ACL
配置二层ACL
复制ACL
应用ACL进行报文过滤
说明
可选
本配置任务适用于IPv4和IPv6
至少选择一项
可选
本配置任务适用于IPv4和IPv6
可选
本配置任务适用于IPv4和IPv6
详细配置
1.3.1
1.3.21.
1.3.22.
1.3.31.
1.3.32.
1.3.4
1.3.5
1.3.6
1.3配置ACL
1.3.1配置ACL的生效时间段
当ACL规则只需在某个或某些特定的时间段内生效时,可以设置基于时间段的ACL过滤。
为此,
用户可以先配置一个或多个时间段,然后在规则中引用这些时间段,那么该规则将只在指定的时
间段内生效。
ACL的生效时间段可分为以下两种:
∙
∙
周期时间段:
表示规则以一周为周期(如每周一的8至12点)循环生效。
绝对时间段:
表示规则在指定时间范围内(如2011年1月1日8点至2011年1月3日18
点)生效。
用户使用同一名称可以配置内容不同的多条时间段,所配置的各周期时间段之间以及各绝对时间
段之间分别取并集之后,各并集的交集将成为最终生效的时间范围。
1-4
表1-4配置ACL的生效时间段
操作
进入系统视图
创建时间段
命令
system-view
time-rangetime-range-name{start-timetoend-time
days[fromtime1date1][totime2date2]|fromtime1
date1[totime2date2]|totime2date2}
说明
-
必选
缺省情况下,不存在任何时间段
用户最多可以创建256个不同名称的时间段,而同一名称下最多可以配置32条周期时间段和12
条绝对时间段。
1.3.2配置基本ACL
1.配置IPv4基本ACL
IPv4基本ACL根据报文的源IP地址来制订规则,对IPv4报文进行匹配。
表1-5配置IPv4基本ACL
操作
进入系统视图
创建IPv4基本ACL,并
进入IPv4基本ACL视图
配置ACL的描述信息
配置规则编号的步长
创建规则
为指定规则配置描述信
息
配置规则注释信息
命令
system-view
aclnumberacl-number[name
acl-name][match-order{auto|
config}]
descriptiontext
stepstep-value
rule[rule-id]{deny|permit}
[counting|fragment|logging|
source{sour-addrsour-wildcard|
any}|time-rangetime-range-name|
vpn-instancevpn-instance-name]*
rulerule-idcommenttext
rule[rule-id]remarktext
1-5
说明
-
必选
缺省情况下,不存在任何ACL
IPv4基本ACL的编号范围为2000~2999
可选
缺省情况下,ACL没有任何描述信息
可选
缺省情况下,规则编号的步长为5
必选
缺省情况下,IPv4基本ACL内不存在任何规
则
S5500-SI系列交换机不支持vpn-instance
参数
需要注意的是:
∙当IPv4基本ACL被QoS策略引用对报
文进行流分类时,不支持配置
vpn-instance参数,在规则中配置的
logging和counting参数不会生效
∙当IPv4基本ACL被用于报文过滤时,
不支持配置vpn-instance参数
可选
缺省情况下,规则没有任何描述信息
可选
缺省情况下,ACL内没有任何规则注释信息
操作
使能基于硬件应用的
ACL的规则匹配统计功
能
命令
hardware-countenable
说明
可选
缺省情况下,基于硬件应用的ACL的规则匹
配统计功能处于关闭状态
当ACL被QoS策略引用对报文进行流分类
时,本功能不会生效
如果在创建IPv4基本ACL时为其指定了名称,则也可以使用aclnameacl-name命令通过指定
名称的方式进入其视图。
2.配置IPv6基本ACL
IPv6基本ACL根据报文的源IPv6地址来制订规则,对IPv6报文进行匹配。
表1-6配置IPv6基本ACL
操作
进入系统视图
创建IPv6基本ACL,并
进入IPv6基本ACL视图
配置ACL的描述信息
配置规则编号的步长
创建规则
为指定规则配置描述信
息
配置规则注释信息
命令
system-view
aclipv6numberacl6-number
[nameacl6-name][match-order
{auto|
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ACL和QoS 配置指导ACL配置 ACL QoS 配置 指导