所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
优化ACL资源

优化ACL资源

当配置占用ACL资源的业务时,如果设备提示ACL资源不足,则表明设备的ACL资源已经超限。此时,除了可以删除非必需配置的业务以空出ACL资源外,还可以对ACL应用的范围进行调整或者对业务配置中的ACL规则进行合并,从而节省ACL资源。

假设使用命令if-match acl { acl-number | acl-name }配置了1K条规则,并且将引用ACL的流策略应用在8个接口的outbound方向上,该配置实际需要占用的ACL资源为8K,大于设备支持的下行ACL资源规格(假设为7K),此时该业务无法配置成功。通过以下两种方式,可以减少该业务占用的ACL资源,从而可以顺利配置成功。

  • 方式一:调整ACL应用范围

    如果应用流策略的接口均在同一个VLAN,或者部分接口在同一个VLAN,并且未应用流策略的接口均不属于这些VLAN,则可以将ACL应用在各接口所属的VLAN下(假设为VLAN 10和VLAN 20)。调整应用范围后,上例占用的ACL资源为1K(规则数)×2(VLAN数)=2K条,满足设备ACL资源规格的限制。

  • 方式二:合并ACL规则

    分析各ACL规则公用的匹配项,找出各规则之间的联系。

    假设,1K条ACL规则中包含以下内容:
    #                                                                               
    acl number 3009                                                                 
     rule 1 permit ip source 10.1.1.1 0 destination 10.10.1.1 0                                             
     rule 2 permit ip source 10.1.1.2 0 destination 10.10.1.1 0     
     rule 3 permit ip source 10.1.1.3 0 destination 10.10.1.1 0     
     rule 4 permit ip source 10.1.1.4 0 destination 10.10.1.1 0     
     ...
     rule 255 permit ip source 10.1.1.255 0 destination 10.10.1.1 0    
     rule 256 permit ip source 10.1.2.1 0 destination 10.10.1.1 0    
     ...
     rule 510 permit ip source 10.1.2.255 0 destination 10.10.1.1 0
     ...
     rule 801 deny tcp destination-port eq www      //80端口                                   
     rule 802 deny tcp destination-port eq 81   
     rule 803 deny tcp destination-port eq 82   
     ...
     rule 830 deny tcp destination-port eq pop2  //109端口 
     rule 831 deny tcp destination-port eq pop3  //110端口 
     ...
     rule 1000 xxx
    #                                                                               
    
    由于rule 1~rule 510均用到了匹配项源IP地址和目的IP地址,且源IP地址覆盖了10.1.1.0/24和10.1.2.0/24两个网段的所有地址,因此可以利用IP地址通配符掩码,将rule 1~rule 510合并成以下两条规则:
    #                                                                               
    acl number 3009                                                                 
     rule 1 permit ip source 10.1.1.0 0.0.0.255 destination 10.10.1.1 0
     rule 2 permit ip source 10.1.2.0 0.0.0.255 destination 10.10.1.1 0
     ...
    #                                                                               
    

    合并规则后,上例中的规则减少到492条,占用ACL资源数降低到492(规则数)×8(接口数)=3936条,满足设备ACL资源规格的限制。

    此外,由于前rule 801~rule 831均用到了匹配项TCP目的端口号,且端口号范围覆盖了80~110整个号段,因此可以利用TCP目的端口号的range比较符,将rule 801~rule 831合并成以下一条规则:
    #                                                                               
    acl number 3009 
     ...                                                                
     rule 801 deny tcp destination-port range 80 110
     ...
    #                                                                               
    

    合并规则后,上例中的规则再次减少到462条,占用ACL资源数降低到462(规则数)×8(接口数)=3696条,满足设备ACL资源规格的限制。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:32360

下载量:937

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页