Quidway S3900系列以太网交换机操作手册-Release1510 ACL 目录 目录 第1章ACL配置 1.1 ACL简介.. 1-1 1.1.1ACL在交换机上的应用方式 1-1 1.1.2ACL匹配顺序 1-2 1.1.3基于时间段的ACL 1-2 1.1.4以太网交换机支持的ACL 1-3 1.2配置时间段. 1-3 1.2.1配置过程 .1-3 1.2.2 配置举例 1-4 1.3定义基本ACL 1-4 1.3.1配置准备 1-4 1.3.2 配置过程. ..1-5 1.3.3配置举例 1-5 1.4 定义高级 ACL. 1-5 1.4.1配置准备 1-6 1.4.2配置过程. 1-6 1.4.3配置举例, .1-11 1.5定义二层ACL 1-11 1.5.1配置准备 ..1-11 1.5.2配置过程 1-12 1.5.3 配置举例. 1-13 1.6定义用户自定义ACL 1-14 1.6.1配置准备 ..1-144 1.6.2配置过程 .1-14 1.6.3配置举例 ..1-15 1.7在端口上应用ACL .1-15 1.7.1配置准备, ..-15 1.7.2配置过程, 1-16 1.7.3配置举例. .1-16 1.8 ACL 的显示 .1-16 1.9ACL典型配置案例.. 1-17 1.9.1基本ACL配置案例 1-17 1.9.2高级ACL配置案例 .1-18 1.9.3二层ACL配置案例.. .1-19 1.9.4用户自定义ACL配置案例 .1-20
Quidway S3900系列以太网交换机操作手册-Release 1510 ACL 第1章ACL配置 第1章ACL配置 1.1ACL简介 ACL(Access ControlList,访间控制列表)主要用来实现流识别功能.
网络设备为 了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的报文.
在识别出特 定的报文之后,才能根据预先设定的策略允许或禁止相应的数据包通过.
ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、 目的地址、端口号等.
由ACL定义的数据包匹配规则,可以被其它需要对流量进行区分的功能引用,如 QoS中流分类规则的定义.
根据应用目的,可将ACL分为下面几种: 基本ACL:只根据三层源IP地址制定规则.
高级ACL:根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类 型、协议特性等三、四层信息制定规则.
二层ACL:根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类 型等二层信息制定规则.
操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的 报文. 1.1.1ACL在交换机上的应用方式 1.ACL直接下发到硬件中的情况 交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中报文的过滤和流 分类.
此时一条ACL中多个规则的匹配顺序是由交换机的硬件决定的,用户即使在 定义ACL时配置了匹配顺序,该匹配顺序也不起作用.
ACL直接下发到硬件的情况包括:交换机实现QoS功能时引I用ACL、通过ACL过 滤转发数据等.
2.ACL被上层模块引用的情况 交换机也使用ACL来对由软件处理的报文进行过滤和流分类.
此时ACL规则的匹 配顺序有两种:config(指定匹配该规则时按用户的配置顺序)和auto(指定匹配 该规则时系统自动排序,即按“深度优先”的顺序).
这种情况下用户可以在定义 1-1
QuidwayS3900系列以太网交换机操作手册-Release1510 ACL 第1章ACL配置 ACL的时候指定一条ACL中多个规则的匹配顺序.
用户一旦指定某一条ACL的匹 配顺序,就不能再更改该顺序.
只有把该列表中的规则全部删除后,才能重新 指定其匹配顺序.
ACL被软件引用的情况包括:路由策略引用ACL、对登录用户进行控制时引用ACL 等, 1.1.2ACL匹配顺序 ACL可能会包含多个规则,面每个规则都指定不同的报文范围,这样,在匹配报文 时就会出现匹配顺序的问题.
ACL支持两种匹配顺序: 配置顺序:根据配置顺序匹配ACL规则.
自动排序:根据“深度优先”规则匹配ACL规则.
“深度优先”顺序的判断原则如下: (1)先比较规则的协议范围.
IP协议的范围为1~255,其他协议的范围就是自己 的协议号:协议范围小的优先: (2)再比较源IP地址范围,源IP地址范围小(掩码长)的优先: (3)然后比较目的IP地址范围,目的IP地址范围小(掩码长)的优先: (4)最后比较四层端口号(TCP/UDP端口号)范围.
四层端口号范围小的优先: 如果规则A与规则B按照原有匹配顺序进行配置时,协议范围、源IP地址范围、 目的IP地址范围、四层端口号范围完全相同,并且其它的元素个数相同,将按照加 权规则进行排序.
加权规则如下: 设备为每个元素设定一个固定的权值,最终的匹配顺序由各个元素的权值和元 素取值来决定.
各个元素自身的权值从大到小排列:DSCP、ToS、ICMP、 established、precedence、fragment. 设备以一个固定权值依次减去规则各个元素自身的权值,剩余权值越小的规则 越优先.
如果各个规则中元素个数、元素种类完全相同,则这些元素取值的累加和越小 越优先.
1.1.3基于时间段的ACL 基于时间段的ACL使用户可以区分时间段对报文进行ACL控制.
ACL中的每条规则都可选择一个时间段.
如果规则引用的时间段未配置,则系统给 出提示信息,并允许这样的规则创建成功.
但是规则不能立即生效,直到用户配置 1-2
QuidwayS3900系列以太网交换机操作手册-Release1510 ACL 第1章ACL配置 了引用的时间段,并且系统时间在指定时间段范围内才能生效.
如果用户手工删除 ACL规则引用的时间段,则在ACL规则定时器刷新后,该规则将失效.
1.1.4以太网交换机支持的ACL QuidwayS3900系列以太网交换机支持的ACL如下: 基本ACL 高级ACL 二层ACL 用户自定义ACL 1.2配置时间段 对时间段的配置有如下内容:配置周期时间段和绝对时间段.
配置周期时间段采用 的是每周的周几的形式,配置绝对时间段采用从起始时间到结束时间的形式.
说明: QuidwayS3900系列以太网交换机支持的绝对时间段范围从1970/1/100:00起至 2100/12/31 24:00 结束.
1.2.1配置过程 表1-1配置时间段 配置步 命令 说明 进入系统视图 system-view time-range time-name ( star-time to end-time days-of-the-week [ from 创建一个时间段 start-time start-date ] [ to end-time end-date] from star-time start-date 必选 [ to end-time end-date ]| to end-time end-date } 需要注意的是: 如果一个时间段只定义了周期时间段,则只有系统时钟在该周期时间段内,该时间 段才进入激活状态.
如果一个时间段下定义了多个周期时间段,则这些周期时间段 之间是“或”的关系.
如果一个时间段只定义了绝对时间段,则只有系统时钟在该绝对时间段内,该时间 段才进入激活状态.
如果一个时间段下定义了多个绝对时间段,则这些绝对时间段 之间是“或”的关系.
1-3
Quidway S3900系列以太网交换机操作手册-Release1510 ACL 第1章ACL配置 如果一个时间段同时定义了绝对时间段和周期时间段,则只有同时满足绝对时间段 和周期时间段的定义时,该时间段才进入激活状态.
例如,一个时间段定义了绝对 时间段:从2004年1月1日0点0分到2004年12月31日23点59分,同时定 义了周期时间段:每周三的12:00到14:00.
该时间段只有在2004年内每周三 的12:00到14:00才进入激活状态.
配置绝对时间段时,如果不配置开始日期,时间段就是从系统支持的最早时间起到 配置的结束日期为止.
如果不配置结束日期,时间段就是从配置的开始日期起到 2100/12/31 23:59 为止.
1.2.2配置举例 #配置周期时间段,取值为周一到周五每天8:00到18:00. systen-view [Quidray] time-range test 8:00 to 18:00 working-day [Quidray] diaplay timerange test Current time is 13:27:32 4/16/2005 Saturday Time-range : test ( Inactive ) 08:00 to 18:00 working-day #配置绝对时间段,取值为2000年1月28日15:00起至2004年1月28日15:00 结束.
systen=view [Quidray] time-range test from 15:00 1/28/2000 to 15:00 1/28/2004 [Quidray] display time-range test Current time ia 13:30:32 4/16/2005 Saturday Tine-range : test ( Inactive ) Fron 15:00 Jan/28/2000 to 15:00 Jan/28/2004 1.3定义基本ACL 基本ACL只根据三层源IP制定规则,对数据包进行相应的分析处理.
基本ACL的序号取值范围为2000~2999 1.3.1配置准备 如果要配置带有时间段参数的规则,则需要定义相应的时间段.
定义时间段的配置 请参见1.2配置时间段.
确定了规则中源IP地址信息的取值.
1-4
