13-ACL配置 MyPower S4330 V1.0 系列交换机配置手册

版权所有 2011 迈普通信技术股份有限公司 保留所有权利 ACL 配配置置 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 本手册著作权属迈普通信技术有限公司所有 未经著作权人书面许可 任何单位或个 人不得以任何方式摘录 复制或翻译 侵权必究 策 划 研究院 资料服务处 迈普通信技术有限公司 地址 成都市高新区九兴大道 16 号迈普大厦 技术支持热线 400 886 8669 传真 8628 85148948 E mail support 网址 邮编 610041 版本 2011 年 8 月 v1 0 版 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 目目 录录 第第 1 章章 ACL 配置配置 1 1 1 ACL 简介 1 1 1 1 ACL 的匹配顺序 1 1 1 2 支持的 ACL 2 1 2 配置时间段 3 1 2 1 配置过程 3 1 2 2 配置举例 4 1 3 定义基本 ACL 5 1 3 1 配置过程 5 1 3 2 配置举例 6 1 4 定义扩展 ACL 6 1 4 1 配置过程 6 1 4 2 配置举例 8 1 5 定义二层 ACL 9 1 5 1 配置二层 ACL 9 1 5 2 配置举例 10 1 6 激活 ACL 10 1 6 1 激活 ACL 10 1 6 2 配置举例 11 1 7 ACL 的显示和调试 12 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 1 第第 1 章章 ACL 配置配置 1 1 ACL简介简介 ACL Access Control List 访问控制列表 主要用来实现流识别功能 网络设备为 了过滤数据包 需要配置一系列的匹配规则 以识别需要过滤的对象 在识别出特定的对 象之后 才能根据预先设定的策略允许或禁止相应的数据包通过 ACL 根据一系列的匹配条件对数据包进行分类 这些条件可以是数据包的源地址 目 的地址 端口号等 交换机根据 ACL 中指定的条件来检测数据包 从而决定是转发还是丢 弃该数据包 由 ACL 定义的数据包匹配规则 还可以被其它需要对流进行区分的场合引用 如 QoS 中流分类规则的定义 根据应用目的 可将 ACL 分为下面几种 基本 ACL 只根据源 IP 地址制定规则 扩展 ACL 根据数据包的源 IP 地址信息 目的 IP 地址信息 IP 承载的协议类型 协议特性等三 四层信息制定规则 二层 ACL 根据源 MAC 地址 目的 MAC 地址 VLAN 优先级 二层协议类型 等二层信息制定规则 1 1 1 ACL 的匹配顺序的匹配顺序 由于同一条 ACL 可以配置多个子项 所以就出现了匹配顺序的问题 ACL 支持两种 匹配顺序 配置顺序 根据配置顺序匹配 ACL 规则 自动排序 根据 深度优先 规则匹配 ACL 规则 深度优先指的是最长的子项先匹配 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 2 比如 现在配置同一条 ACL 的两个子项 配置步骤如下 Switch config access list 1 deny any Config ACL subitem successfully Switch config access list 1 permit 1 1 1 1 0 Config ACL subitem successfully 如果选择的匹配顺序是配置顺序 那么 按照配置的步骤 先配置的命令就为子项 0 通过查看配置可以看到 Switch config show access list config 1 Standard IP Access List 1 match order is config 2 rule 0 deny any 1 permit 1 1 1 1 0 0 0 0 如果选择的匹配顺序是自动顺序 那么 最长的 ACL 匹配规则将为子项 0 通过查看 配置可以看到 Switch config show access list config 1 Standard IP Access List 1 match order is auto 2 rule 0 permit 1 1 1 1 0 0 0 0 1 deny any 还需要注意的是 针对需要激活才能生效的 ACL S2600 系列交换机遵守着 先激活 先生效 的匹配规则 激活的配置可以参考 1 6 激活 ACL 1 1 2 支持的支持的 ACL 交换机支持的 ACL 如下 基本 ACL 扩展 ACL 二层 ACL 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 3 1 2 配置时间段配置时间段 对时间段的配置有如下内容 配置周期时间段和绝对时间段 配置周期时间段采用的 是每周的周几的形式 配置绝对时间段采用从起始时间到结束时间的形式 1 2 1 配置过程配置过程 表 1 1配置时间段 操作命令备注 进入全局配置模式configure terminal 创建时间段并进入时间 段配置模式 time range name 配置绝对时间段 absolute start HH MM SS YYYY MM DD end HH MM SS YYYY MM DD 配置相对时间段 periodic days of the week hh mm ss to day of the week hh mm ss 必选 配置时间段需要注意 如果一个时间段只定义了周期时间段 则只有系统时钟在该周期时间段内 该时间段 才进入激活状态 如果一个时间段下定义了多个周期时间段 则这些周期时间段之间是 或 的关系 如果一个时间段只定义了绝对时间段 则只有系统时钟在该绝对时间段内 该时间段 才进入激活状态 如果一个时间段下定义了多个绝对时间段 则这些绝对时间段之间是 或 的关系 如果一个时间段同时定义了绝对时间段和周期时间段 则只有同时满足绝对时间段和 周期时间段的定义时 该时间段才进入激活状态 例如 一个时间段定义了绝对时间段 从 2009 年 1 月 1 日 0 点 0 分到 2009 年 12 月 31 日 23 点 59 分 同时定义了周期时间段 每周三的 12 00 到 14 00 该时间段只有在 2009 年内每周三的 12 00 到 14 00 才进入激 活状态 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 4 配置绝对时间段时 如果不配置开始日期 时间段就是从系统支持的最早时间起到配 置的结束日期为止 如果不配置结束日期 时间段就是从配置的开始日期起到 2100 12 31 23 59 为止 1 2 2 配置举例配置举例 1 配置绝对时间段 取值为 2009 年 1 月 3 日 16 00 起至 2009 年 1 月 5 日 16 00 结束 Switch configure terminal Switch config time range b Config time range successfully Switch config timerange b absolute start 16 00 00 2009 1 3 end 16 00 00 2009 1 5 Config absolute range successfully Switch config timerange b show time range name b Current time is 02 46 43 2009 01 31 Saturday time range b Inactive absolute start 16 00 00 2009 01 03 end 16 00 00 2009 01 05 2 配置周期时间段 取值为周一到周五每天 8 00 到 18 00 Switch configure terminal Switch config time range b Config time range successfully Switch config timerange b periodic weekdays 8 00 00 to 18 00 00 Config periodic range successfully Switch config timerange b show time range name b Current time is 02 47 56 2009 01 31 Saturday time range b Inactive 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 5 periodic weekdays 08 00 to 18 00 1 3 定义基本定义基本ACL 基本 ACL 只根据三层源 IP 制定规则 对数据包进行相应的分析处理 如果基本 ACL 以数字标识 那么序号取值范围为 1 99 最多可创建 99 条以数字为标 识的基本 ACL 如果基本 ACL 以名字标识 那么最多可以定义 1000 条 同时交换机可以 为每条 ACL 最多定义 128 条子规则 1 3 1 配置过程配置过程 如果要配置带有时间段参数的规则 则需要先定义相应的时间段 定义时间段的配置 请参见 1 2 配置时间段 表 1 2定义以数字为标识的基本 ACL 操作命令备注 进入全局配置模式configure terminal 定义子项的匹配规则access list num match order config auto 可选 默认的规则 是 config 匹配规则 定义基本 ACL access list num permit deny source IPv4 v6 source wildcard any ipv6any fragments time range name 必选 表 1 3定义以名字为标识的基本 ACL 操作命令备注 进入全局配置模式configure terminal 定义子项的匹配规则 access list standard name match order config auto 可选 默认的规则 是 config 匹配规则 定义基本 ACL 且进入 ACL 配置模式 access list standard name必选 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 6 配置 ACL 规则 permit deny source IPv4 v6 source wildcard any ipv6any fragments time range name 必选 1 3 2 配置举例配置举例 定义一条以数字为标识的基本 ACL 禁止源 IP 地址为 10 0 0 1 的报文通过 Switch configure terminal Switch config access list 1 deny 10 0 0 1 0 定义一条以名字为标识的基本 ACL 禁止源 IP 地址为 10 0 0 2 的报文通过 Switch configure terminal Switch config access list standard stdacl Switch config std nacl stdacl deny 10 0 0 2 0 1 4 定义扩展定义扩展ACL 扩展 ACL 可以根据数据包的源 IP 地址信息 目的 IP 地址信息 IP 承载的协议类型 协议特性等三 四层信息制定规则 如果扩展 ACL 以数字标识 那么序号取值范围为 100 199 最多可创建 100 条以数 字为标识的扩展 ACL 如果扩展 ACL 以名字标识 那么最多可以定义 1000 条 同时交换 机可以为每条 ACL 最多定义 128 条子规则 1 4 1 配置过程配置过程 如果要配置带有时间段参数的规则 则需要先定义相应的时间段 定义时间段的配置 请参见 1 2 配置时间段 表 1 4定义以数字为标识的扩展 ACL 操作命令备注 进入全局配置模式configure terminal 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 7 定义子项的匹配规则access list num match order config auto 可选 默认的规则 是 config 匹配规则 定义扩展 ACL access list num permit deny protocol gre icmp icmpv6 igmp ipinip ospf udp tcp established source ipv4 v6 source wildcard any ipv6any dest ipv4 v6 dest wildcard any ipv6any port gre icmp icmpv6 igmp ipinip ospf udp tcp fragments precedence precedence tos tos dscp dscp 必选 表 1 5定义以名字为标识的扩展 ACL 操作命令备注 进入全局配置模式configure terminal 定义子项的匹配规则 access list extended name match order config auto 可选 默认的规则 是 config 匹配规则 定义扩展 ACL 且进入 ACL 配置模式 access list extended name必选 配置 ACL 规则 permit deny protocol gre icmp icmpv6 igmp ipinip ospf udp tcp established source ipv4 v6 source wildcard any ipv6any dest ipv4 v6 dest wildcard any ipv6any port gre icmp icmpv6 igmp ipinip ospf udp tcp fragments precedence precedence tos tos dscp dscp 必选 扩展 ACL 里的具体参数说明如表 1 6 所示 表 1 6扩展 ACL 规则参数说明 参数作用说明 protocolIP承载的协议类型 用数字表示时取值范围为1 255 用名字表示时 可以选取 GRE ICMP IGMP IPinIP OSPF TCP UDP ICMPv6 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 8 source IPv4 v6 sour wildcard any ipv6any 指定ACL规则的源地 址信息 sour address sour wildcard用来确定数据包的 源IP地址 IPv4 v6 IPv4地址用点分十进制 表示 IPv6地址用十六进制表示 sour wildcard为0时表示主机地址 any代表任意源地址 dest IPv4 v6 dest wildcard any ipv6any 指定ACL规则的目的 址信息 dest addr dest wildcard 用来确定数据包的目的 IP地址 IPv4 v6 IPv4地址用点分十进制表 示 IPv6地址用十六进制表示 dest wildcard为0时 表示主机地址 any代表任意目的地址 portTCP UDP 端口号也可以使用列举出来的各个端口的名称标识 precedence precedence precedence 报文优先 级 IP优先级 取值范围0 7 tos tostos 报文优先级ToS 优先级 取值范围0 15 dscp dscp DSCP 优先 级 取值范围0 63 fragment 分片信息 定义规则仅对非首片分片报文有效 time range name指定规则生效的时间 段 fragments检查分片检查是否分片 1 4 2 配置举例配置举例 定义一条以数字为标识的扩展 ACL 禁止源 IP 地址为 10 0 0 1 的 FTP 报文 Switch configure terminal Switch config access list 100 deny tcp 10 0 0 1 0 ftp any 定义一条以名字为标识的扩展 ACL 禁止源 IP 地址为 10 0 0 2 的 FTP 报文 Switch configure terminal Switch config access list extended extacl Switch config ext nacl extacl deny tcp 10 0 0 2 0 ftp any 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 9 1 5 定义二层定义二层ACL 二层 ACL 可根据源 MAC 地址 目的 MAC 地址 VLAN 优先级 二层协议类型等二 层信息制定规则 如果扩展 ACL 以数字标识 那么序号取值范围为 200 299 最多可创建 100 条以数 字为标识的二层 ACL 如果扩展 ACL 以名字标识 那么最多可以定义 1000 条 同时交换 机可以为每条 ACL 最多定义 128 条子规则 1 5 1 配置二层配置二层 ACL 如果要配置带有时间段参数的规则 则需要先定义相应的时间段 定义时间段的配置 请参见 1 2 配置时间段 表 1 7定义以数字为标识的二层 ACL 操作命令备注 进入全局配置模式configure terminal 定义子项的匹配规则access list num match order config auto 可选 默认的规则 是 config 匹配规则 定义二层 ACL access list num permit deny protocol arp ip rarp cos vlan pri ingress source vlan id source mac addr source mac wildcard interface interface num any egress dest mac addr dest mac wildcard interface interface num cpu any time range name 必选 表 1 8定义以名字为标识的二层 ACL 操作命令备注 进入全局配置模式configure terminal 定义子项的匹配规则 access list link name match order config auto 可选 默认的规则 是 config 匹配规则 定义二层 ACL 且进入access list link name 必选 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 10 ACL 配置模式 配置 ACL 规则 permit deny protocol arp ip rarp cos vlan pri ingress source vlan id source mac addr source mac wildcard interface interface num any egress dest mac addr dest mac wildcard interface interface num cpu any time range name 必选 1 5 2 配置举例配置举例 定义一条以数字为标识的二层 ACL 禁止源 MAC 为 00 00 00 00 00 01 的 ARP 报 文 Switch configure terminal Switch config access list 200 deny arp ingress 00 00 00 00 00 01 0 egress any 定义一条以名字为标识的二层 ACL 禁止源 MAC 为 00 00 00 00 00 02 的 ARP 报 文 Switch configure terminal Switch config access list link lnkacl Switch config link nacl lnkacl deny arp ingress 00 00 00 00 00 02 0 egress any 1 6 激活激活ACL 1 6 1 激活激活 ACL 除了需要被上层软件引用的 ACL 比如说路由过滤 组播过滤等 其他 ACL 都需要 激活后才生效 S2600 系列路由交换机遵守 先激活先生效先激活先生效 的规则 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 11 表 1 9激活 ACL 操作命令备注 进入全局配置模式configure terminal 激活 ACL 规则 access group ip group name num link group name num subitem num 必选 1 6 2 配置举例配置举例 1 沿用 1 1 1 章节里提到的两个例子 激活之后实现相同的结果 即交换机只允许 源 IP 地址为 1 1 1 1 的报文通过 配置前 Switch config show access list config 1 Standard IP Access List 1 match order is config 2 rule 0 deny any 1 permit 1 1 1 1 0 0 0 0 配置步骤 Switch config access