所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE20E-S2 V800R010C10SPC500 配置指南 - IP业务 01

本文档是NE20E-S2 V800R010C10SPC500 配置指南 - IP业务
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
ACL概述

ACL概述

ACL(Access Control List,访问控制列表)是由一系列规则组成的集合,ACL通过这些规则对数据包进行分类,进而路由设备根据这些规则判断数据包被拒绝或者被接受。ACL可以用于很多的业务中,比如路由策略、流量策略、QoS等。

ACL的定义

ACL是Access Control List的简称,中文是访问控制列表。ACL包含了一系列条件语句,实际上是一系列包含“允许”或者“拒绝”的规则。换句话说,ACL是人为定义的一组或者几组规则,以便设备判断是否执行用户规定的动作。

网络中的设备相互通信时,需要保障网络传输的安全可靠和性能稳定。例如:
  • 防止对网络的攻击,例如防止针对IP报文、TCP报文、ICMP报文的攻击。
  • 对网络访问行为进行控制,例如企业网中内、外网的通信,用户访问特定网络资源的控制,特定时间段内允许对网络的访问。
  • 限制网络流量和提高网络性能,例如限定网络上行、下行流量的带宽,对用户申请的带宽进行收费,保证高带宽网络资源的充分利用。
ACL通过规则对报文进行分类,这些规则应用到路由设备上,路由设备根据这些规则判断哪些报文可以接收,哪些报文需要拒绝,从而极大地提升了网络的安全性。
说明:

ACL本身只是一组规则,无法实现过滤数据包的功能;它只能标定某一类数据包,而对这类数据包的处理方法,需要由引入ACL的具体功能决定。

ACL的分类

按照功能对ACL4进行分类,如下表所示。
表3-1 ACL的分类

分类

功能概述

ACL编号

基于接口的ACL

根据报文的入接口对报文进行过滤。

编号范围是1000~1999。

基本ACL

根据源地址对报文进行过滤。

编号范围是2000~2999。

高级ACL

根据源/目的地址、源/目的端口号、协议类型等对报文进行过滤。

编号范围是3000~3999。

二层ACL

根据源MAC地址、目的MAC地址和以太帧协议类型等二层信息对报文进行过滤。

编号范围是4000~4999。

用户ACL UCL(User ACL)

根据报文的源IP地址、源业务组、源用户组、源端口号、目的IP地址、目的业务组、目的用户组、目的端口号、协议类型等内容定义规则,实现对报文的匹配过滤。

编号范围是6000~9999。

基于MPLS的ACL

根据MPLS报文的Exp值、Label值、TTL值对报文进行过滤。

编号范围是10000~10999。

ACL规则生效时间段

如果用户需要在指定的时间段对某些流量进行控制操作,比如网络运营商为了在晚上黄金时间段保证视频传输的可靠带宽,需要限制普通上网用户的数据流量,其他时间段则不做限制。则可以通过配置ACL规则的生效时间段,控制流量通过的时间。生效时间段分为绝对时间段和相对时间段:
  • 绝对时间段是指从设定的起始年月日到终止年月日之间的时间段,该时间段不会循环出现,也没有周期。
  • 相对时间段(周期时间段),是指循环周期为一周,循环出现的时间段。例如每周日8点到12点生效。

ACL规则的匹配顺序

首先查找用户是否配置了该ACL(因为有些业务可能允许引用不存在的ACL,例如QoS和OSPF)。

如果ACL存在,则从ACL中ID最小的规则开始查找,当找到一条符合匹配条件的规则时,结束查找。即规则ID越小越容易被匹配。
说明:
  • 规则通过规则ID来标识,规则ID可以由用户进行配置,也可以由系统自动根据步长生成。一个ACL中所有规则均按照规则ID从小到大排序。
  • 如果规则ID由系统自动生成,规则ID之间会留下一定的空间,具体空间大小由“ACL的步长”来设定。例如步长设定为5,ACL规则ID分配是按照5、10、15……这样来分配的。如果步长值是2,自动生成的规则ID从2开始。这样做是为了便于用户在第一条规则前面插入新规则。
  • 配置文件中,规则按照规则ID的顺序排序的,并不是按规则配置顺序。
ACL规则的排序有两种模式:Config模式和Auto模式。默认采用Config模式。
  • 如果是Config模式,用户可以手工指定规则ID,也可以由设备根据步长自动分配。

    如果用户配置规则时指定了规则ID,则规则ID的大小决定该规则的插入位置。例如,设备已有ID为5、10、15的3条规则。如果新建一条ID为3的规则,则这4条规则的显示顺序为:3、5、10、15,相当于在规则5之前插入了一条规则。如果用户配置规则时未指定规则ID,则设备根据步长按用户配置的先后顺序自动分配规则ID。例如,步长设定为5,则设备按照5、10、15……来分配规则ID。

    如果步长是2,自动生成的规则ID从2开始。步长可以方便用户进行规则维护,方便插入新规则。例如:默认步长为5,当用户不输入规则ID时,设备自动生成的第一条规则的ID就是5,当用户想在规则5前面插入新规则时,只需要输入比5小的规则ID即可,这样新规则就成了第一条规则。

    在Config模式下,设备按照规则ID由小到大进行匹配,后创建的规则有可能先匹配。

  • 如果是Auto模式,由设备自动分配规则ID,按照“深度优先”规则把精度最高的规则排在最前面。可以通过比较地址的通配符来实现,通配符越小,则指定的范围就越小。比如,129.102.1.1 0.0.0.0指定了一台主机:129.102.1.1,而129.102.1.1 0.0.0.255则指定了一个网段:129.102.1.1~129.102.1.255,显然前者指定的主机范围小,在ACL中排在前面。

    具体标准如下:

    • 对于基本ACL,直接比较源地址通配符,通配符相同的则按配置顺序;
    • 对于高级ACL,首先比较协议范围,再比较源地址通配符,相同时再比较目的地址通配符,仍相同时则比较源端口号的范围,仍相同则再比较目的端口号的范围,范围小的排在前面,如果目的端口号范围也相同则按配置顺序。
    说明:

    Auto模式的应用场景示例:网络刚部署时,用户定义了一个比较大的匹配范围,用于过滤丢弃报文。随着实际应用的时间推移,需要让这个大范围中的某些特征的报文通过,则此时可以采用Auto模式,只需要定义具体规则,不需要考虑如何对这些规则进行排序。

    ACL规则按照“深度优先”顺序匹配的原则如表3-2所示。
    表3-2 “深度优先”匹配原则

    ACL类型

    匹配原则

    基于接口的ACL

    配置了any的规则排在后面,其他按配置顺序。

    基本ACL

    1. 先看规则中是否带VPN实例,带VPN实例的规则优先。
    2. 再比较源IP地址范围,源IP地址范围小(掩码中“1”位的数量多)的规则优先。
    3. 如果上述范围都相同,则先配置的规则优先。

    高级ACL

    1. 先看规则中是否带VPN实例,带VPN实例的规则优先。
    2. 如果所有规则都带了VPN实例,则比较协议范围,指定了IP协议承载的协议类型的规则优先。
    3. 如果协议范围相同,则比较源IP地址范围,源IP地址范围小(掩码中“1”位的数量多)的规则优先。
    4. 如果源IP地址范围相同,则比较目的IP地址范围,目的IP地址范围小(掩码中“1”位的数量多)的规则优先。
    5. 如果目的IP地址范围相同,则比较四层端口号(TCP/UDP端口号)范围,四层端口号范围小的规则优先。
    6. 如果上述范围都相同,则先配置的规则优先。

    二层ACL

    1. 先比较二层协议类型通配符,通配符小(掩码中“1”位的数量多)的规则优先。
    2. 如果二层协议类型通配符相同,则比较源MAC地址范围,源MAC地址范围小(掩码中“1”位的数量多)的规则优先。
    3. 如果源MAC地址范围相同,则比较目的MAC地址范围,目的MAC地址范围小(掩码中“1”位的数量多)的规则优先。
    4. 如果目的MAC地址范围相同,则比较外层VLAN的ID,ID小的规则优先。
    5. 如果外层VLAN的ID相同,则比较外层VLAN的802.1p优先级,优先级高的规则优先。
    6. 如果外层VLAN的802.1p优先级相同,则比较内层VLAN的ID,ID小的规则优先。
    7. 如果内层VLAN的ID相同,则比较内层VLAN的802.1p优先级,优先级高的规则优先。
    8. 如果上述范围都相同,则先配置的规则优先。

    基于MPLS的ACL

    基于MPLS的ACL规则的排序只支持Config模式。

ACL的步长

设备自动为ACL规则分配编号的时候,两个相邻规则编号之间的差值,即为ACL步长。例如,如果将步长设定为5,规则编号分配是按照5、10、15…这样的规律分配的。
  • 当步长改变后,ACL中的规则编号会自动从步长值开始重新排列。例如,原来规则编号为5、10、15、20,当通过命令把步长改为2后,则规则编号变成2、4、6。
  • 当使用命令将步长恢复为缺省值后,设备将立刻按照缺省步长调整ACL规则的编号。例如:ACL 3001,步长为2,下面有4个规则,编号为0、2、4、6。如果此时使用命令将步长恢复为缺省值,则ACL规则编号变成5、10、15、20,步长为5。
翻译
下载文档
更新时间:2018-12-29

文档编号:EDOC1100057893

浏览量:1572

下载量:11

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页