所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置用户自定义ACL

配置用户自定义ACL

前提条件

如果配置基于时间的ACL,则需创建生效时间段,并将其与ACL规则关联起来。具体操作请参见(可选)配置ACL的生效时间段

背景信息

用户自定义ACL根据报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则,即以报文头为基准,指定从报文的第几个字节开始与字符串掩码进行“与”操作,并将提取出的字符串与用户自定义的字符串进行比较,对IPv4和IPv6报文进行过滤。

用户自定义ACL比基本ACL、高级ACL和二层ACL提供了更准确、丰富、灵活的规则定义方法。例如,当希望同时根据源IP地址、ARP报文类型对ARP报文进行过滤时,则可以配置用户自定义ACL。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 创建用户自定义ACL。可使用编号或者名称两种方式创建。

    • 执行命令acl [ number ] acl-number [ match-order { auto | config } ],使用编号(5000~5999)创建一个数字型的用户自定义ACL,并进入用户自定义ACL视图。

    • 执行命令acl name acl-name { user | acl-number } [ match-order { auto | config } ],使用名称创建一个命名型的用户自定义ACL,进入用户自定义ACL视图。

    缺省情况下,未创建ACL。

    关于数字型ACL和命名型ACL的详细介绍,请参见ACL的分类

    如果创建ACL时未指定match-order参数,则该ACL默认的规则匹配顺序为config。关于ACL匹配顺序的详细介绍,请参见ACL的匹配顺序

    创建ACL后,ACL的缺省步长为5。如果该值不能满足管理员部署ACL规则的需求,则可以对ACL步长值进行调整。关于步长的详细介绍,请参见ACL的步长设定;关于步长调整的具体操作,请参见调整ACL规则的步长

    如果要删除已生效的ACL,可参见“配置基本ACL”中的删除ACL,此处不再赘述。

  3. (可选)执行命令description text,配置ACL的描述信息。

    缺省情况下,未配置ACL的描述信息。

    配置ACL时,为ACL添加描述信息可以方便理解和记忆该ACL的功能或具体用途。

  4. 执行命令rule [ rule-id ] { deny | permit } [ [ l2-head | ipv4-head | ipv6-head | l4-head ] { rule-string rule-mask offset } &<1-8> | time-range time-name ] *,配置用户自定义ACL规则。

    说明:

    S1720GFR、S1720GF、S1720GW-E、S1720GWR-E、S1720X-E、S2720EI、S2750EI、S5700LI、S5700S-LI、S5710-X-LI、S5720I-SI、S5720LI、S5720S-LI、S5720S-SI、S5720SI、S5730S-EI、S5730SI、S6720LI、S6720S-LI、S6720S-SI和S6720SI不支持&<1-8>和ipv6-head参数。

    以上步骤仅是一条permit/deny规则的配置步骤。实际配置ACL规则时,需根据具体的业务需求,决定配置多少条规则以及规则的先后匹配顺序。

    详细的规则配置示例,请参见配置用户自定义ACL规则

  5. (可选)执行命令rule rule-id description description,配置ACL规则的描述信息。

    缺省情况下,各规则没有描述信息。

    配置ACL规则时,为ACL规则添加描述信息,可以方便理解和记忆该ACL规则的功能或具体用途。

    设备仅允许为已存在的规则添加描述信息,不允许先配置规则的描述信息再配置具体的规则内容。

配置小窍门

配置用户自定义ACL规则
  • 配置基于报文的二层头、偏移位置、字符串掩码和用户自定义字符串过滤报文的规则

    在ACL 5001中配置规则,拒绝源IP地址为192.168.0.2的ARP报文通过。

    以下规则中的0x00000806是ARP帧类型,0x0000ffff是字符串掩码,10是设备内部处理不含VLAN信息的ARP报文中的协议类型字段的偏移量,c0a80002是192.168.0.2的十六进制形式,26和30分别是设备内部处理不含VLAN信息的ARP报文中源IP地址字段高两个字节和低两个字节的偏移量(ARP报文的源IP地址字段从二层头第28个字节开始占4个字节,受到用户自定义ACL规定二层头偏移位置只能是“4n+2”(n是整数)的限制,因此针对源IP地址,需要拆分成两段进行匹配,即偏移量为4×6+2=26的位置开始往后匹配4个字节的低两个字节以及偏移量为4×7+2=30的位置开始往后匹配4个字节的高两个字节)。如果要对携带VLAN信息的ARP报文进行过滤,则要将以下规则中的三个偏移量值再分别加上4。
    图1-10  ARP报文源IP地址字段在二层头中的偏移量示意图

    <HUAWEI> system-view
    [HUAWEI] acl 5001
    [HUAWEI-acl-user-5001] rule deny l2-head 0x00000806 0x0000ffff 10 0x0000c0a8 0x0000ffff 26 0x00020000 0xffff0000 30

    在名称为deny-tcp的用户自定义ACL中配置规则,拒绝所有TCP报文通过。

    以下规则中的0x00060000是TCP协议号,8是设备内部处理IP报文中协议字段的偏移量(由于IP报文中的协议字段从IPv4头第10个字节开始占1个字节,并且受到用户自定义ACL规定IPv4头偏移位置只能是“4n”(n是整数)的限制,因此针对协议字段,需要从IPv4头偏移量为8的位置开始往后匹配4个字节的第二个高位字节)。
    <HUAWEI> system-view
    [HUAWEI] acl name deny-tcp user
    [HUAWEI-acl-user-deny-tcp] rule 5 deny ipv4-head 0x00060000 0x00ff0000 8
    图1-11  TCP协议字段在IPv4头中的偏移量示意图

    说明:

    S5730SI、S5730S-EI、S6720-56C-PWH-SI-AC和S6720-56C-PWH-SI上,指定ACL规则基于报文的二层头进行偏移匹配时,如果应用此ACL的GE电口中通过的报文不带Tag标签,需要先添加一层Tag标签再计算偏移值。

  • 配置基于时间的ACL规则

    请参见“配置基本ACL”中的配置基于时间的ACL规则,不再赘述。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:32162

下载量:935

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页