所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE20E-S2 V800R010C10SPC500 配置指南 - IP业务 01

本文档是NE20E-S2 V800R010C10SPC500 配置指南 - IP业务
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置基本ACL

配置基本ACL

配置基本ACL,实现对报文的匹配过滤。

应用环境

图3-3 基本ACL的典型应用环境
说明:

本例中interface1,interface2分别代表GE0/1/0,GE0/2/0



图3-3所示,在路由设备DeviceA上创建基本ACL,允许从A网络发往Internet的所有报文,拒绝从B、C网络发往Internet的所有报文。

配置流程

图3-4 基本ACL配置流程图

(可选)创建ACL规则的生效时间段

通过该配置任务可以指定ACL规则的生效时间段,帮助用户在特定时间段实现对网络流量的控制。

背景信息

如果用户需要在指定的时间段对某些流量进行控制操作,比如网络运营商为了在晚上黄金时间段保证视频传输的可靠带宽,需要限制普通上网用户的数据流量,其他时间段则不做限制。则可以通过配置生效时间段,控制流量通过的时间。

此配置任务用来创建一个时间段,然后在配置ACL规则时引用已经创建好的时间段,为ACL规则指定生效的时间范围。

生效的时间可以是:

  • 绝对时间段:即生效的时间是从某一时间点到另一时间点之间的固定时间范围。

  • 相对时间段:即生效的时间是周期性的时间范围。例如每周一生效。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令time-range time-name { start-time to end-time days &<1-7> | from time1 date1 [ to time2 date2 ] },创建一个时间段。

    • 最多可以创建256个名字不同的生效时间段。
    • 在同一个生效时间段(具有同一个时间段名称time-name)中可以指定多个时间范围,最多可以创建32个相对时间段和12个绝对时间段。

  3. 执行命令commit,提交配置。

创建基本ACL

通过该配置任务,可以创建基本ACL,并进行相关参数的配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令acl { name basic-acl-name { basic | [ basic ] number basic-acl-number } | [ number ] basic-acl-number } [ match-order { config | auto } ],创建基本ACL。

    基本ACL的编号范围是2000~2999。

  3. (可选)执行命令step step,配置ACL步长。

    为了方便用户在相邻的ACL规则之间插入新规则,可以通过执行该命令为ACL规则组指定步长来实现。
    说明:
    如果用户最初对某个ACL配置了4条规则,规则编号依次是:1、2、3、4,但是为了满足业务的需要,用户希望在第一条和第二条规则之间插入一条新的规则。此时,用户可以执行该命令,重新设置ACL规则组的步长。例如可以在该ACL视图下执行step 2命令,将该ACL规则组的步长设置为2,此时最初的4条规则的编号依次变为2、4、6、8,这样用户就可以执行rule 3 xxxx命令在第一条和第二条规则之间插入编号为3的新规则。

  4. (可选)执行命令description text,配置ACL的描述信息。

    ACL的描述信息用于标识该ACL的功能。当遇到如下情况时,建议用户通过description命令为ACL添加描述信息,描述该ACL的功能描述信息:

    • 配置的ACL数目较多的情况下,用户不易区分每个ACL的具体功能。
    • 两次使用同一个ACL的时间间隔较长,用户不容易记住该ACL的具体功能。
    • 命名型ACL的名字不能充分地包含该ACL的具体功能。

  5. 执行命令commit,提交配置。

配置基本ACL的规则

基本ACL根据源地址定义规则,对报文进行过滤。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令acl { name basic-acl-name { basic | [ basic ] number basic-acl-number } | [ number ] basic-acl-number } [ match-order { config | auto } ],进入基本ACL视图。
  3. 执行命令rule [ rule-id ] [ name rule-name ] { deny | permit } [ fragment-type { fragment | non-fragment | non-subseq | fragment-subseq | fragment-spe-first } | source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] ] *,配置基本ACL的规则。

    • 在ACL中添加新的规则时,不会影响已经存在的规则。

    • 对已经存在的规则进行编辑时,如果新配置的规则内容与原规则内容存在冲突,则冲突的部分由新配置的规则内容代替。

    说明:

    配置基本ACL规则时:

    • 如果用户指定了报文具体的源地址(即配置了上面步骤3中的source参数),则只针对该源地址的报文进行过滤。

    • 如果用户指定了所有源地址(即选择了上面步骤3中的any参数),则设备不会检查报文的源地址,认为所有报文都匹配,直接执行相应的动作(denypermit)。

    • 如果用户选择了参数time-range,引入ACL规则生效时间段,time-name必须已经存在,否则该规则配置失败。

  4. (可选)执行命令rule description text,配置规则的描述信息。

    ACL规则的描述信息用于标识ACL规则的功能,避免造成日后用户对该规则的误解或误用。当遇到如下情况时,建议用户通过该命令为ACL规则添加描述信息,描述该规则的功能:
    • 配置的ACL规则的数目较多的情况下,用户不易区分每条规则的具体功能。
    • 两次使用同一条规则的时间间隔较长,用户不容易记住该规则的具体功能。

  5. 执行命令commit,提交配置。

应用基本ACL

基本ACL可以应用在设备管理、组播过滤、QoS业务和路由策略中。

背景信息

基本ACL的典型应用如表3-3所示。

表3-3 基本ACL典型应用

基本ACL典型应用

应用场景

操作

设备管理中基本ACL的应用

当路由设备作为FTP、TFTP服务器时,为提高其安全性,可以通过配置基本ACL实现只允许满足过滤条件的客户端访问服务器。

配置对FTP、TFTP的访问权限时,请参考:
  • 配置FTP访问控制
  • 配置TFTP访问限制

用户可以通过访问控制列表,实现对VTY用户界面的呼入呼出进行限制。

配置对VTY用户的限制时,请参考:配置VTY用户界面的呼入呼出限制

通过限定指定地址的网管管理设备,以及限定网管管理的MIB节点,可以增强网管和被管理设备使用SNMP进行通信时的安全性。

配置限制网管对设备的访问权限时,请参考:
  • 限制网管对设备的访问权限(SNMPv1)
  • 限制网管对设备的访问权限(SNMPv2)
  • 限制网管对设备的访问权限(SNMPv3)

组播过滤中基本ACL的应用

当需要过滤组播报文时,可以通过配置基本ACL实现只接收或转发满足过滤条件的组播报文。

配置对组播报文的过滤时,请参考:
  • 限定源地址范围
  • 配置合法的C-RP地址范围
  • 配置合法的BSR地址范围
  • 配置SSM组地址范围

路由策略中基本ACL的应用

当需要控制路由设备接收、发布的路由信息时,可以通过配置基本ACL实现只接收或发布满足过滤条件的路由。

控制路由设备接收、发布的路由信息时,根据不同的路由协议,请参考:
  • 对接收的路由应用路由过滤器
  • 控制BGP接收路由
  • 对发布的路由应用路由过滤器
  • 控制BGP发布路由

QoS中基本ACL的应用

当需要对不同类型的流量进行分类操作时,可以通过配置基本ACL实现对满足过滤条件的流量进行流量监管、流量整形、流量分类。

配置对不同类型的流量进行分类操作时,请参考配置流量监管、配置流量整形、配置流行为。

应用基本ACL的典型案例

  • 基本ACL在设备管理中的应用案例

    例如,用户在设备上进行了如下配置:
    • FTP登录
      acl number 2001 
       rule 5 deny source 192.168.2.100 0 
       rule 10 permit
      ftp acl 2001

      匹配结果:禁止IP地址为192.168.2.100的用户通过FTP方式登录设备。

    • Telnet登录
      acl number 2001 
       rule 5 permit source 192.168.2.100 0 
       rule 10 deny 
      user-interface vty 0 4 
       acl 2001 inbound

      匹配结果:只允许IP地址为192.168.2.100的用户通过Telnet方式登录设备,禁止其他用户通过Telnet方式登录设备。

    • SNMP登录
      acl number 2001 
       rule 5 deny source 192.168.2.100 0 
       rule 10 permit
      snmp-agent community read cipher public acl 2001

      匹配结果:禁止IP地址为192.168.2.100的用户通过SNMP方式登录设备。

  • 基本ACL在组播过滤中的应用案例

    例如,用户在设备上进行了如下配置:
    acl number 2001
     rule 5 permit source 10.10.1.2 0
     rule 10 deny source 10.10.1.1 0
    pim
     source-policy 2001

    匹配结果:接收源地址为10.10.1.2的组播报文,丢弃源地址为10.10.1.1的组播报文。

  • 基本ACL在路由策略中的应用案例

    例如,用户在设备上进行了如下配置:
    • 使用路由协议下的Route-Policy策略过滤路由

      ip route-static 1.1.1.0 255.255.255.0 NULL0
      ip route-static 192.168.2.0 255.255.255.0 NULL0
      ip route-static 192.168.2.100 255.255.255.255 NULL0
      bgp 1
       peer 10.1.1.1 as-number 1
       ipv4-family unicast
        undo synchronization
        import-route static route-policy test
      peer 10.1.1.1 enable
      route-policy test permit node 0
       if-match acl 2001
      acl number 2001
       rule 5 permit source 192.168.2.100 0
       rule 10 deny source 1.1.1.0 0.0.0.255
      

      匹配结果:网段1.1.1.0和192.168.2.0的路由将会被过滤,路由192.168.2.100会被接收。

      说明:
      • 网段1.1.1.0的路由是被ACL规则过滤的。
      • 网段192.168.2.0的路由不在ACL规则指定的范围内,则匹配了系统默认的最后一条ACL规则,而系统默认的最后一条ACL规则的动作是deny,因此该网段的路由不被系统接收。
      • 路由192.168.2.100匹配的ACL规则的动作是permit,同时route-policy的动作也是permit,所以该路由信息被接收。
      route-policy test permit node 0 
       if-match acl 2001 
       apply cost 100 
      route-policy test permit node 1 
       apply cost 200
      acl number 2001 
       rule 5 permit source 192.168.2.100 0 
      

      匹配结果:路由192.168.2.100的cost值将被修改为100,其他路由的cost值被修改为200。

      说明:
      对于route-policy节点0,检查if-match子句,路由192.168.2.100/32匹配,则执行apply子句的相应动作(apply cost 100),所以192.168.2.100/32的cost被修改为100;其他路由未通过节点0的匹配,则进入下一个route-policy节点1,直接执行相应的apply动作(apply cost 200),因此其他路由的cost值被修改为200。
      route-policy test deny node 0 
       if-match acl 2001 
       apply cost 100 
      route-policy test permit node 1 
       apply cost 200
      acl number 2001 
       rule 5 permit source 192.168.2.100 0 
      
      匹配结果:路由192.168.2.100/32的cost被不能被修改为100。
      说明:
      对于route-policy节点0,检查if-match子句,路由192.168.2.100/32匹配,则执行route-policy的deny操作,相应的apply动作(apply cost 100)未被执行;其他路由未通过节点0的匹配,则进入下一个route-policy节点1,直接执行相应的apply动作(apply cost 200),因此其他路由的cost被修改为200。
    • 使用路由协议下的Filter-Policy策略过滤路由

      ip route-static 1.1.1.0 255.255.255.0 NULL0
      ip route-static 192.168.2.0 255.255.255.0 NULL0  
      ip route-static 192.168.2.100 255.255.255.255 NULL0 
      bgp 1
       peer 10.1.1.2 as-number 1 
       ipv4-family unicast 
        undo synchronization 
        filter-policy 2001 export 
        import-route static  
      peer 10.1.1.2 enable 
      acl number 2001
       rule 5 permit source 192.168.2.100 0 
       rule 10 deny source 1.1.1.0 0.0.0.255 
      

      匹配结果:网段1.1.1.0和192.168.2.0的路由将会被过滤,路由192.168.2.100会被接收。

      说明:
      • 网段1.1.1.0的路由是被ACL规则过滤的。
      • 网段192.168.2.0的路由不在ACL规则指定的范围内,则匹配了系统默认的最后一条ACL规则,而系统默认的最后一条ACL规则的动作是deny,因此该网段的路由不被系统接收。
      • 路由192.168.2.100匹配的ACL规则的动作是permit,同时filter-policy的动作是export,所以该路由信息被接收。
  • 基本ACL在QoS中的应用案例

    例如,用户在设备上进行了如下配置:
    • 防火墙流行为(报文过滤)
      acl number 2001
       rule 5 permit source 5.0.0.0 0.255.255.255
       rule 10 deny source 6.0.0.0 0.255.255.255
      traffic classifier acl 
       if-match acl 2001
      traffic behavior test
       deny
      traffic policy test
       classifier acl behavior test
      interface GigabitEthernet0/1/1
       traffic-policy test inbound
      此时,从接口GigabitEthernet0/1/1进入三种源IP地址的报文:
      • 报文1的源地址为:5.0.0.1/24
      • 报文2的源地址为:6.0.0.1/24
      • 报文3的源地址为:7.0.0.1/24

      匹配结果:报文1和报文2被设备丢弃,报文3被设备正常接收。

    • 普通流行为
      acl number 2001
       rule 5 permit source 5.0.0.0 0.255.255.255
       rule 10 deny source 6.0.0.0 0.255.255.255
      traffic classifier acl 
       if-match acl 2001
      traffic behavior test
       remark ip-precedence 7
      traffic policy test
       classifier acl behavior test
      interface GigabitEthernet0/1/1
       traffic-policy test inbound
      此时,从接口GigabitEthernet0/1/1进入三种源IP地址的报文:
      • 报文1的源地址为:5.0.0.1/24,IP优先级为0
      • 报文2的源地址为:6.0.0.1/24,IP优先级为0
      • 报文3的源地址为:7.0.0.1/24,IP优先级为0

      匹配结果:报文1和报文3被设备正常接收,其中报文1的IP优先级被标记为7,报文3的IP优先级仍为0,报文2被设备丢弃。

检查配置结果

查看基本ACL的配置信息。

前提条件

已经完成基本ACL的所有配置。

操作步骤

  • 使用display acl { acl-number | name acl-name | all }命令查看配置的基本ACL的配置信息。
  • 使用display time-range { time-name | all }命令查看指定或者所有时间段的配置和状态。

任务示例

执行命令display acl,可以看到ACL的编号、规则数量、步长和规则的具体内容。

<HUAWEI> display acl 2000
Basic ACL 2000, 1 rule
ACL's step is 5
 rule 5 deny source 10.1.1.1 0 (3 times matched)

执行命令display time-range,可以看到当前时间段的配置和状态。

<HUAWEI> display time-range time1
Current time is 2006-3-15 14:19:16 Wednesday

Time-range : time1 ( Inactive )
 10:00 to 12:00 daily
翻译
下载文档
更新时间:2018-12-29

文档编号:EDOC1100057893

浏览量:1513

下载量:11

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页