所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE20E-S2 V800R010C10SPC500 配置指南 - IP业务 01

本文档是NE20E-S2 V800R010C10SPC500 配置指南 - IP业务
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
ACL6概述

ACL6概述

ACL(Access Control List,访问控制列表)是由一系列规则组成的集合,ACL通过这些规则对数据包进行分类,进而路由设备根据这些规则判断数据包被拒绝或者被接受。支持IPv6协议的ACL称为ACL6。ACL6可以用于很多的业务中,比如路由策略、流量策略、QoS等。

ACL6的定义

ACL是Access Control List的简称,中文是访问控制列表。ACL包含了一系列条件语句,实际上是一系列包含“允许”或者“拒绝”的规则。换句话说,ACL是人为定义的一组或者几组规则,以便设备判断是否执行用户规定的动作。支持IPv6协议的ACL称为ACL6。ACL6可以用于很多的业务中,比如路由策略、流量策略、QoS等。

网络中的设备相互通信时,需要保障网络传输安全可靠、性能稳定。当需要满足如下要求时,可以在网络设备中(可以是接入设备、核心设备等),部署ACL6特性,实现网络的安全性与稳定性。

  • 防止对网络的攻击,例如防止针对IPv6报文、TCP报文、ICMPv6报文的攻击。
  • 对网络访问行为进行控制,例如企业网中内、外网的通信,用户访问特定网络资源的控制,特定时间段内允许对网络的访问。
  • 限制网络流量和提高网络性能,例如限定网络上行、下行流量的带宽,对用户申请的带宽进行收费,保证高带宽网络资源的充分利用。
说明:

ACL6本身只是一组规则的集合,它只是通过过滤规则对报文进行了分类。因此ACL6需要与某些具体的功能(如设备管理、路由策略、流量管理、组播过滤)配合使用,才能实现过滤报文的功能。

ACL6的分类

按照功能对ACL6进行分类,如下表所示。
表11-1 ACL6的分类

分类

功能概述

ACL6编号

基于接口的ACL6

根据报文的入接口对报文进行过滤。

编号范围是1000~1999。

基本ACL6

根据源地址对报文进行过滤。

编号范围是2000~2999。

高级ACL6

根据源/目的地址、源/目的端口号、协议类型等对报文进行过滤。

编号范围是3000~3999。

用户ACL6 UCL6(User ACL6)

根据报文的源IPv6地址、源业务组、源用户组、源端口号、目的IPv6地址、目的业务组、目的用户组、目的端口号、协议类型等内容定义规则,实现对报文的匹配过滤。

编号范围是6000~9999。

ACL6规则生效时间段

如果用户需要在指定的时间段对某些流量进行控制操作,比如网络运营商为了在晚上黄金时间段保证视频传输的可靠带宽,需要限制普通上网用户的数据流量,其他时间段则不做限制。则可以通过配置ACL规则的生效时间段,控制流量通过的时间。生效时间段分为绝对时间段和相对时间段:
  • 绝对时间段是指从设定的起始年月日到终止年月日之间的时间段,该时间段不会循环出现,也没有周期。
  • 相对时间段(周期时间段),是指循环周期为一周,循环出现的时间段。例如每周日8点到12点生效。

ACL6的描述信息

创建ACL6之后,可以为该ACL6设置描述信息,此后可以快速地了解该ACL6的用途等信息,增加配置信息的可读性。

ACL6的过滤规则

ACL6的过滤规则是配置ACL6的核心,在不同的场景下,通过不同的过滤规则对报文进行分类,具体如表11-2所示。

表11-2 ACL6的过滤规则

过滤规则

支持的ACL类型

作用

生效时间段

基于接口的ACL6、基本ACL6、用户ACL6、高级ACL6

通过设置规则的生效时间,用于:
  • 流量控制
  • 访问时间段控制

报文的入接口

基于接口的ACL6

根据报文的入接口对报文进行分类,用于:
  • 流量控制
  • 访问权限控制

非首片分片报文

基本ACL6、用户ACL6、高级ACL6

根据是否是首片分片报文对报文进行分类,用于:
  • 攻击防范
  • 流量控制

源IPv6地址

基本ACL6、用户ACL6、高级ACL6

根据报文的源IPv6地址对报文进行分类,用于:
  • 流量控制
  • 访问权限控制
  • 路由过滤
  • 组播过滤

VPN实例

基本ACL6、高级ACL6

根据报文所属的VPN对报文进行分类,用于:
  • 流量控制
  • 访问权限控制

目的IPv6地址

高级ACL6、用户ACL6

根据报文的目的IPv6地址对报文进行分类,用于:
  • 流量控制
  • 访问权限控制
  • 路由过滤
  • 组播过滤

协议类型

高级ACL6、用户ACL6

对于不同的协议类型,有不同的过滤规则。

源端口号

高级ACL6、用户ACL6

根据UDP或TCP报文的源端口号对报文进行分类,用于:
  • 流量控制
  • 访问权限控制
  • 路由过滤

目的端口号

高级ACL6、用户ACL6

根据UDP或TCP报文的源端口号对报文进行分类,用于:
  • 流量控制
  • 访问权限控制
  • 路由过滤

IPv6报文DSCP值

高级ACL6、用户ACL6

根据IPv6报文的差分服务码点对报文进行分类,用于根据不同业务流进行路由过滤。

IPv6报文Precedence值

高级ACL6、用户ACL6

根据IPv6报文的优先级对报文进行分类,用于流量控制。

IPv6报文ToS值

高级ACL6、用户ACL6

根据IPv6报文的服务类型对报文进行分类,用于流量控制。

源业务组、源用户组、目的业务组、目的用户组

用户ACL6

根据报文的所属的源业务组、源用户组、目的业务组、目的用户组对报文进行分类,用于流量控制。

ACL6规则的匹配顺序

在设备上配置ACL6特性后,系统会对收到的报文与规则组中的过滤规则逐条进行匹配,直到与某条规则匹配。

规则匹配方式和规则编号这两个因素决定了各过滤规则在规则组中被匹配的先后顺序。

规则匹配方式分为配置顺序和自动顺序:

  • 自动顺序:匹配ACL6内的规则时系统按“深度优先”的顺序自动排序。

    说明:
    • “深度优先”即根据规则的精确度排序,匹配条件(如协议类型、源和目的IP地址范围等)限制越严格越精确。例如可以比较地址的通配符,通配符越小,则指定的主机的范围就越小,限制就越严格。
    • 若“深度优先”的顺序相同,则匹配该规则时按用户的配置顺序。
  • 配置顺序:匹配ACL6内的规则时系统按用户的配置顺序进行排序。

    说明:

    指定匹配该规则时按用户的配置顺序,是指在用户没有指定规则编号的前提下。若用户指定了规则编号,则匹配规则时,按编号由小到大的顺序。

翻译
下载文档
更新时间:2018-12-29

文档编号:EDOC1100057893

浏览量:1451

下载量:11

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页