所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE20E-S2 V800R010C10SPC500 配置指南 - IP业务 01

本文档是NE20E-S2 V800R010C10SPC500 配置指南 - IP业务
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置高级ACL

配置高级ACL

配置高级ACL,实现对报文的匹配过滤。

应用环境

图3-5 高级ACL的典型应用环境

图3-5所示,在路由设备DeviceD上创建高级ACL,允许网络B发往网络C的所有ICMP报文,拒绝网络A发往网络C的所有ICMP报文。

配置流程

图3-6 高级ACL配置流程图

(可选)创建ACL规则的生效时间段

通过该配置任务可以指定ACL规则的生效时间段,帮助用户在特定时间段实现对网络流量的控制。

背景信息

如果用户需要在指定的时间段对某些流量进行控制操作,比如网络运营商为了在晚上黄金时间段保证视频传输的可靠带宽,需要限制普通上网用户的数据流量,其他时间段则不做限制。则可以通过配置生效时间段,控制流量通过的时间。

此配置任务用来创建一个时间段,然后在配置ACL规则时引用已经创建好的时间段,为ACL规则指定生效的时间范围。

生效的时间可以是:

  • 绝对时间段:即生效的时间是从某一时间点到另一时间点之间的固定时间范围。

  • 相对时间段:即生效的时间是周期性的时间范围。例如每周一生效。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令time-range time-name { start-time to end-time days &<1-7> | from time1 date1 [ to time2 date2 ] },创建一个时间段。

    • 最多可以创建256个名字不同的生效时间段。
    • 在同一个生效时间段(具有同一个时间段名称time-name)中可以指定多个时间范围,最多可以创建32个相对时间段和12个绝对时间段。

  3. 执行命令commit,提交配置。

创建高级ACL

通过该配置任务,可以创建高级ACL,并进行相关参数的配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令acl { name advance-acl-name { advance | [ advance ] number advance-acl-number } | [ number ] advance-acl-number } [ match-order { config | auto } ],创建高级ACL。

    高级ACL的编号范围是3000~3999。

  3. (可选)执行命令step step,配置ACL步长。

    为了方便用户在相邻的ACL规则之间插入新规则,可以通过执行该命令为ACL规则组指定步长来实现。
    说明:
    如果用户最初对某个ACL配置了4条规则,规则编号依次是:1、2、3、4,但是为了满足业务的需要,用户希望在第一条和第二条规则之间插入一条新的规则。此时,用户可以执行该命令,重新设置ACL规则组的步长。例如可以在该ACL视图下执行step 2命令,将该ACL规则组的步长设置为2,此时最初的4条规则的编号依次变为2、4、6、8,这样用户就可以执行rule 3 xxxx命令在第一条和第二条规则之间插入编号为3的新规则。

  4. (可选)执行命令description text,配置ACL的描述信息。

    ACL的描述信息用于标识该ACL的功能。当遇到如下情况时,建议用户通过description命令为ACL添加描述信息,描述该ACL的功能描述信息:

    • 配置的ACL数目较多的情况下,用户不易区分每个ACL的具体功能。
    • 两次使用同一个ACL的时间间隔较长,用户不容易记住该ACL的具体功能。
    • 命名型ACL的名字不能充分地包含该ACL的具体功能。

  5. 执行命令commit,提交配置。

(可选)配置ACL专用IP地址池

ACL专用IP地址池适用于需要同时对多个IP地址进行匹配的场景,可以减少用户手工配置多条ACL规则来实现对多个IP地址进行匹配的工作量。

背景信息

在ACL的一些典型应用场景,如策略路由场景,用户需要同时对多个IP地址进行匹配。当用户希望通过ACL同时对多个源IP地址和多个目的IP地址进行匹配实现策略路由时,必须在配置ACL规则时指定所有可能的源IP地址和目的IP地址的组合关系。然而,对于较大规模的网络,所有源IP地址和目的IP地址的组合多达上万种,完全由用户手工配置上万条ACL规则来实现对这些源IP地址和目的IP地址的同时匹配显然是不合理的。

为了减少用户的配置工作量,可以通过配置ACL专用IP地址池来实现。ACL专用IP地址池配置成功之后,用户只需要配置一条指定了ACL专用IP地址池名称(pool-name)的ACL规则即可同时对多个IP地址进行匹配。
说明:

值得注意的是,在需要通过ACL同时对多个源IP地址和多个目的IP地址进行匹配的场景下,需要执行该命令分别创建ACL专用的源IP地址池(地址池的IP地址均为需要匹配的源IP地址)和ACL专用的目的IP地址池(地址池的IP地址均为需要匹配的目的IP地址)。

当用户需要对源地址为BGP对等体的报文进行过滤时,可以配置apply bgp-peer命令将BGP对等体的地址与ACL/ACL IPv6地址池关联起来,然后配置QoS或者安全业务引用ACL/ACL6,从而实现对BGP对等体的流量过滤。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令acl ip-pool pool-name,创建ACL专用IP地址池,并进入ACL地址池视图。
  3. 关联BGP对等体功能与手动配置IP地址功能互斥,以下命令二选一进行配置:

    • 执行命令ip address ip-address { mask | mask-length },向ACL专用IP地址池中加入IP地址。

      该命令多次配置时,配置结果按多次累加生效。

    • 执行命令apply bgp-peer [ public-vpn | all-private-vpn | vpn-instance vpn-instance-name ],配置地址池与BGP对等体关联。

      说明:

      该命令只能应用于QoS或者设备安全业务。

  4. 执行命令commit,提交配置。

(可选)配置ACL端口池

ACL端口池适用于需要同时对多个端口号进行匹配的场景,可以减少用户手工配置多条ACL规则来实现对多个端口号进行匹配的工作量。

背景信息

在ACL的一些典型应用场景,如Qos流量策略场景,用户需要同时对多个端口号进行匹配。当用户希望通过高级ACL同时对多个源端口号和多个目的端口号进行匹配实现流量策略时,必须在配置ACL规则时指定所有可能的源端口号和目的端口号的组合关系。对于较大规模的网络,由用户手工配置上万条ACL规则来实现对这些端口号同时匹配显然是不合理的。

为了减少用户的配置工作量,可以通过配置ACL端口池来实现。ACL端口池配置成功之后,用户只需要配置一条指定了ACL端口池名称(pool-name)的ACL规则即可同时对多个端口号进行匹配。
说明:

值得注意的是,在需要通过ACL同时对多个源端口号和多个目的端口号进行匹配的场景下,需要执行该命令分别创建ACL源端口池(端口池内的端口号均为需要匹配的源端口号)和ACL目的端口池(端口池内的端口号均为需要匹配的目的端口号)。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令acl port-pool pool-name,创建ACL端口池,并进入ACL端口池视图。
  3. 执行命令eq begin-port-number或者neq begin-port-number或者gt begin-port-number或者lt end-port-number或者range begin-port-number end-port-number,向ACL端口池中加入端口号。
  4. 执行命令commit,提交配置。

配置高级ACL的规则

高级ACL根据报文的源或目的地址、协议类型、源或目的端口号定义规则,对报文进行过滤。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令acl { name advance-acl-name { advance | [ advance ] number advance-acl-number } | [ number ] advance-acl-number } [ match-order { config | auto } ],进入高级ACL视图。
  3. 请根据不同的协议类型,分别执行如下的几条命令,配置高级ACL的规则。

    • protocol为UDP协议时,配置高级ACL规则。

      rule [ rule-id ] [ name rule-name ] { deny | permit } { protocol | udp } [ [ dscp dscp | [ precedence precedence | tos tos ] * ] | { destination { destination-ip-address { destination-wildcard | 0 | des-netmask } | any } | destination-pool destination-pool-name } | { destination-port operator port-number | destination-port-pool destination-port-pool-name } | fragment-type { fragment | non-fragment | non-subseq | fragment-subseq | fragment-spe-first } | { source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | source-pool source-pool-name } | { source-port operator port-number | source-port-pool source-port-pool-name } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] | ttl ttl-operation ttl-value | packet-length length-operation length-value ] *

    • protocol为TCP协议时,配置高级ACL规则。

      rule [ rule-id ] [ name rule-name ] { deny | permit } { protocol | tcp } [ [ dscp dscp | [ precedence precedence | tos tos ] * ] | { destination { destination-ip-address { destination-wildcard | 0 | des-netmask } | any } | destination-pool destination-pool-name } | { destination-port operator port-number | destination-port-pool destination-port-pool-name } | fragment-type { fragment | non-fragment | non-subseq | fragment-subseq | fragment-spe-first } | { source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | source-pool source-pool-name } | { source-port operator port-number | source-port-pool source-port-pool-name } | { tcp-flag | syn-flag } { tcp-flag [ mask mask-value ] | established | { ack [ fin | psh | rst | syn | urg ] * } | { fin [ ack | psh | rst | syn | urg ] * } | { psh [ fin | ack | rst | syn | urg ] * } | { rst [ fin | psh | ack | syn | urg ] * } | { syn [ fin | psh | rst | syn | urg ] * } | { urg [ fin | psh | rst | syn | urg ] * } } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] | ttl ttl-operation ttl-value | packet-length length-operation length-value ] *

    • protocol为ICMP协议时,配置高级ACL规则。

      rule [ rule-id ] [ name rule-name ] { deny | permit } { protocol | icmp } [ [ dscp dscp | [ precedence precedence | tos tos ] * ] | { destination { destination-ip-address { destination-wildcard | 0 | des-netmask } | any } | destination-pool destination-pool-name } | fragment-type { fragment | non-fragment | non-subseq | fragment-subseq | fragment-spe-first } | icmp-type { icmp-name | icmp-type [ to icmp-type-end ] [ icmp-code ] } | { source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | source-pool source-pool-name } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] | ttl ttl-operation ttl-value | packet-length length-operation length-value ] *

    • protocol为上述知名协议之外的其他协议时,配置高级ACL规则。

      rule [ rule-id ] [ name rule-name ] { deny | permit } { protocol | gre | ip | ipinip | igmp | ospf } [ [ dscp dscp | [ precedence precedence | tos tos ] * ] | { destination { destination-ip-address { destination-wildcard | 0 | des-netmask } | any } | destination-pool destination-pool-name } | fragment-type { fragment | non-fragment | non-subseq | fragment-subseq | fragment-spe-first } | { source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | source-pool source-pool-name } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] | ttl ttl-operation ttl-value | packet-length length-operation length-value ] *

    在ACL中添加新的规则时,不会影响已经存在的规则。

    对已经存在的规则进行编辑时,如果新配置的规则内容与原规则内容存在冲突,则冲突的部分由新配置的规则内容代替。

    说明:
    配置高级ACL规则时:
    • 如果用户未指定报文的VPN实例名称(即未配置上面步骤3中的vpn-instance参数),则指公网IP报文。

    • 如果用户指定了报文具体的目的地址(即配置了上面步骤3中的destination参数)、目的端口号(即配置了上面步骤3中的destination-port参数)、源地址(即配置了上面步骤3中的source参数)、源端口号(即配置了上面步骤3中的source-port参数),则只分别针对该目的地址、目的端口号、源地址、源端口号的报文进行过滤。

    • 如果用户指定了所有目的地址、源地址(即配置了上面步骤3中的any参数),则设备不会检查报文的目的地址、源地址,认为所有报文都匹配,直接执行相应的动作(denypermit)。

    • 如果用户选择了参数time-range,引入ACL规则生效时间段,time-name必须已经存在,否则该规则配置失败。

  4. (可选)执行命令rule description text,配置规则的描述信息。

    ACL规则的描述信息用于标识ACL规则的功能,避免造成日后用户对该规则的误解或误用。当遇到如下情况时,建议用户通过该命令为ACL规则添加描述信息,描述该规则的功能:
    • 配置的ACL规则的数目较多的情况下,用户不易区分每条规则的具体功能。
    • 两次使用同一条规则的时间间隔较长,用户不容易记住该规则的具体功能。

  5. 执行命令commit,提交配置。

应用高级ACL

高级ACL可以应用在设备管理、组播过滤、QoS业务和路由策略中。

背景信息

高级ACL的典型应用如表3-4所示。

表3-4 高级ACL典型应用

高级ACL典型应用

应用场景

操作

设备管理中高级ACL的应用

用户可以通过ACL,实现对VTY用户界面的呼入呼出进行限制。

配置对VTY用户的限制时,请参考:配置VTY用户界面的呼入呼出限制

组播过滤中高级ACL的应用

当需要过滤组播报文时,可以通过配置高级ACL实现只接收或转发满足过滤条件的组播报文。

配置对组播报文的过滤时,请参考:
  • 限定源地址范围
  • 配置合法的C-RP地址范围
  • 配置合法的BSR地址范围
  • 配置SSM组地址范围

路由策略中高级ACL的应用

当需要控制路由设备接收、发布的路由信息时,可以通过配置高级ACL实现只接收或发布满足过滤条件的路由。

控制路由设备接收、发布的路由信息时,根据不同的路由协议,请参考:
  • 对接收的路由应用路由过滤器
  • 控制BGP接收路由
  • 对发布的路由应用路由过滤器
  • 控制BGP发布路由

QoS中高级ACL的应用

当需要对不同类型的流量进行分类操作时,可以通过配置高级ACL实现对满足过滤条件的流量进行流量监管、流量整形、流量分类。

配置对不同类型的流量进行分类操作时,请参考配置流量监管、配置流量整形、配置流行为。

应用高级ACL的典型案例

  • 高级ACL在设备管理中的应用案例

    例如,用户在设备上进行了如下配置:
    acl number 3001 
     rule 5 permit ip source 192.168.2.100 0 
     rule 10 deny ip source any
    user-interface vty 0 4 
     acl 3001 inbound
    匹配结果:只允许IP地址为192.168.2.100的用户通过Telnet方式登录设备,禁止其他用户通过Telnet方式登录设备。
  • 高级ACL在组播过滤中的应用案例

    例如,用户在设备上进行了如下配置:
    acl number 3001
     rule 5 permit ip source 10.10.1.2 0
     rule 10 deny ip source 10.10.1.1 0
    pim
     source-policy 3001

    匹配结果:接收源地址为10.10.1.2的组播报文,丢弃源地址为10.10.1.1的组播报文。

  • 高级ACL在路由策略中的应用案例

    例如,用户在设备上进行了如下配置:
    • 使用路由协议下的Route-Policy策略过滤路由

      ip route-static 1.1.1.0 255.255.255.0 NULL0
      ip route-static 192.168.2.0 255.255.255.0 NULL0
      ip route-static 192.168.2.100 255.255.255.255 NULL0
      bgp 1
       peer 10.1.1.1 as-number 1
       ipv4-family unicast
        undo synchronization
        import-route static route-policy test
      peer 10.1.1.1 enable
      route-policy test permit node 0
       if-match acl advanced-acl
      acl name advanced-acl
       rule 5 permit ip source 192.168.2.100 0
       rule 10 deny ip source 1.1.1.0 0.0.0.255
      

      匹配结果:网段1.1.1.0和192.168.2.0的路由将会被过滤,路由192.168.2.100会被接收。

      说明:
      • 网段1.1.1.0的路由是被ACL规则过滤的。
      • 网段192.168.2.0的路由不在ACL规则指定的范围内,则匹配了系统默认的最后一条ACL规则,而系统默认的最后一条ACL规则的动作是deny,因此该网段的路由不被系统接收。
      • 路由192.168.2.100匹配的ACL规则的动作是permit,同时route-policy的动作也是permit,所以该路由信息被接收。
      route-policy test permit node 0 
       if-match acl advanced-acl 
       apply cost 100 
      route-policy test permit node 1 
       apply cost 200
      acl name advanced-acl 
       rule 5 permit ip source 192.168.2.100 0 
      

      匹配结果:路由192.168.2.100的cost值将被修改为100,其他路由的cost值被修改为200。

      说明:
      对于route-policy节点0,检查if-match子句,路由192.168.2.100/32匹配,则执行apply子句的相应动作(apply cost 100),所以192.168.2.100/32的cost被修改为100;其他路由未通过节点0的匹配,则进入下一个route-policy节点1,直接执行相应的apply动作(apply cost 200),因此其他路由的cost值被修改为200。
      route-policy test deny node 0 
       if-match acl advanced-acl 
       apply cost 100 
      route-policy test permit node 1 
       apply cost 200
      acl name advanced-acl
       rule 5 permit ip source 192.168.2.100 0 
      
      匹配结果:路由192.168.2.100/32的cost被不能被修改为100。
      说明:
      对于route-policy节点0,检查if-match子句,路由192.168.2.100/32匹配,则执行route-policy的deny操作,相应的apply动作(apply cost 100)未被执行;其他路由未通过节点0的匹配,则进入下一个route-policy节点1,直接执行相应的apply动作(apply cost 200),因此其他路由的cost被修改为200。
    • 使用路由协议下的Filter-Policy策略过滤路由

      ip route-static 1.1.1.0 255.255.255.0 NULL0
      ip route-static 192.168.2.0 255.255.255.0 NULL0  
      ip route-static 192.168.2.100 255.255.255.255 NULL0 
      bgp 1
       peer 10.1.1.2 as-number 1 
       ipv4-family unicast 
        undo synchronization 
        filter-policy advanced-acl export 
        import-route static  
      peer 10.1.1.2 enable 
      acl name advanced-acl
       rule 5 permit ip source 192.168.2.100 0 
       rule 10 deny ip source 1.1.1.0 0.0.0.255 
      

      匹配结果:网段1.1.1.0和192.168.2.0的路由将会被过滤,路由192.168.2.100会被接收。

      说明:
      • 网段1.1.1.0的路由是被ACL规则过滤的。
      • 网段192.168.2.0的路由不在ACL规则指定的范围内,则匹配了系统默认的最后一条ACL规则,而系统默认的最后一条ACL规则的动作是deny,因此该网段的路由不被系统接收。
      • 路由192.168.2.100匹配的ACL规则的动作是permit,同时filter-policy的动作是export,所以该路由信息被接收。
  • 高级ACL在QoS中的应用案例

    例如,用户在设备上进行了如下配置:
    • 防火墙流行为(报文过滤)
      acl number 3000 
       rule 5 permit tcp destination-port eq domain 
       rule 10 permit udp destination-port eq dns 
       rule 15 permit icmp icmp-type echo 
       rule 20 permit icmp icmp-type echo-reply
      traffic classifier acl 
       if-match acl 3000
      traffic behavior test
       permit
      traffic policy test
       classifier acl behavior test
      interface GigabitEthernet0/1/1
       traffic-policy test inbound

      匹配结果:允许DNS Echo、DNS Echo-reply报文和ICMP Echo、ICMP Echo-reply报文通过。

      acl number 3000 
       rule 5 permit ip source 10.108.0.0 0.0.0.255
       rule 10 deny ip source 10.108.0.0 0.0.255.255
      traffic classifier acl 
       if-match acl 3000
      traffic behavior test
       permit
      traffic policy test
       classifier acl behavior test
      interface GigabitEthernet0/1/1
       traffic-policy test inbound

      匹配结果:允许来自网段10.108.0.0/24的IP报文通过,禁止来自10.108.0.0/16网段的IP报文。

      acl number 3000 
       rule permit tcp source 10.9.0.0 0.0.255.255 destination 10.8.160.0 0.0.0.255 destination-port eq www
      traffic classifier acl 
       if-match acl 3000
      traffic behavior test
       permit
      traffic policy test
       classifier acl behavior test
      interface GigabitEthernet0/1/1
       traffic-policy test inbound

      匹配结果:允许从10.9.0.0网段的主机向10.8.160.0网段的主机发送WWW报文。

      time-range no-http 08:00 to 16:00 working-day 
      acl number 3000 
       rule 5 deny tcp source-port eq www time-range no-http 
       rule 10 deny tcp destination-port eq www time-range no-http
      traffic classifier acl 
       if-match acl 3000
      traffic behavior test
       permit
      traffic policy test
       classifier acl behavior test
      interface GigabitEthernet0/1/1
       traffic-policy test inbound

      匹配结果:星期一到星期五的上午8:00到下午6:00禁止HTTP报文通过。

      acl number 3000 
       rule 5 permit tcp
      traffic classifier acl 
       if-match acl 3000
      traffic behavior test
       permit
      traffic policy test
       classifier acl behavior test
      interface GigabitEthernet0/1/1
       traffic-policy test inbound

      匹配结果:允许已经建立TCP连接的TCP报文通过。

    • 普通流行为
      acl number 3001
       rule 5 permit ip source 5.0.0.0 0.255.255.255
       rule 10 deny ip source 6.0.0.0 0.255.255.255
      traffic classifier acl 
       if-match acl 3001
      traffic behavior test
       remark ip-precedence 7
      traffic policy test
       classifier acl behavior test
      interface GigabitEthernet0/1/1
       traffic-policy test inbound
      此时,从接口GigabitEthernet0/1/1进入三种源IP地址的报文:
      • 报文1的源地址为:5.0.0.1/24,IP优先级为0
      • 报文2的源地址为:6.0.0.1/24,IP优先级为0
      • 报文3的源地址为:7.0.0.1/24,IP优先级为0

      匹配结果:报文1和报文3被设备正常接收,其中报文1的IP优先级被标记为7,报文3的IP优先级仍为0,报文2被设备丢弃。

检查配置结果

查看高级ACL的配置信息。

前提条件

已经完成高级ACL的所有配置。

操作步骤

  • 使用display acl { acl-number | name acl-name | all }命令查看配置的高级ACL的配置信息。
  • 使用display time-range { time-name | all }命令查看指定或者所有时间段的配置和状态。

任务示例

执行命令display acl,可以看到ACL的编号、规则数量、步长和规则的具体内容。

<HUAWEI> display acl 3000
Advanced ACL 3000, 3 rules
ACL's step is 5
 rule 1 permit icmp (0 times matched)
 rule 5 permit ip source 1.1.1.1 0 destination 2.2.2.2 0 (2 times matched)
 rule 10 permit tcp source 10.110.0.0 0.0.255.255 (1 times matched)

执行命令display time-range,可以看到当前时间段的配置和状态。

<HUAWEI> display time-range time1
Current time is 2006-3-15 14:19:16 Wednesday

Time-range : time1 ( Inactive )
 10:00 to 12:00 daily
翻译
下载文档
更新时间:2018-12-29

文档编号:EDOC1100057893

浏览量:1660

下载量:11

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页