HCIE数通知识精讲-ACL技术

HCIEACLHCIEACL技术第第10页HCIE数通技术目 录ACL333566889ACLFTP9ACL11ACL17二层ACL216.1L ACLACL. LLIudIDACLIDIDID“ACL”设例设LID分是5、1、1……分值是，ID2开始ID方便地把新插入某位.L达设备查找引擎取出信息查找键值键值与ACL只要条和就停止查找称命查找完没符合条件称未命ACL分“t”允许或者“deny”拒绝综上述L将分三类：命“permit”命“deny”未命对于这三类处方式各特性样请参考各业务手册。ACL分类ACL类型同划分同分类例：ACLACLACL：说明：ACL编号称ACL。说明：L99。ACLACL。L：1ACLACLIP0IPv4&IPv61999。ACL02999。IPVPN分片记和间段信息来03999。既IP也IP优先DSCPIP协议、ICMP、端目端UDP端目端等来访问控制列以比访问控制列更准确、更丰富、更灵活的二层ACL0IPv4&IPv64999。以太网帧头信息来MAC、目、以太帧协议等。自0IPv4&IPv65999。偏移位置和偏移量从中提取出段内容进行MPLS0IPv4&IPv6MPLSACLMPLSExp1ACLIP10999。LableTTL来定义规则，实现报文匹配过滤。基ACL6为 2000～ 可使报文IP片标记和时2999。间段信息来定义规则。ACL6为 3000～可以使数据包源地址、目地址、3999。IP承载协议型、针协议特性（源端口、目端口、协议型、Code）等内容定义规则。说明：基说明：基ACLACL只报文Th效基ACL和基ACL6ACLACL6可以相同，二者互不影响。ACLACL指定一个名称ACL最多只有一个名称命名型的ACL使其进行相操作。ACL时，户可以选择是否配置名称ACL创建后，不允许户修改或者删除ACL名称，也不允许为未命名ACL添加名称。说明：ACL名称ACL全局唯一，但允许基ACL与基说明：ACL名称ACL全局唯一，但允许基ACL与基ACLACL6使相同的名称。ACLACL01L15222468。ACLL4L。410125107ACL2553。66ud。L“denypermit”语句组语句描述些存或矛盾地方（包两完全同）。两种即（config）（auto）数据包访问控表进行决优先级L优先级处理或矛盾情形。ACL（rule-id）到进行（auto）“深度优先”进行“深度优先”即根据规则的精确度排序，匹配条件（如协议类型、源和目的IP地址范围等）限制越严格越精确。例如可以比较地址的通配符，通配符越小，则指定的主机的范围就越小，限制就越严格。若“深度优先”的顺序相同，则匹配该规则时按rule-id从小到大排列。说明：1说明：1或者0可以不连续，掩码与反掩码必672x0。ACL类型 匹配原则基于接口的ACL

配置了any的规则排在后面，其他的rule-id小的优先。基 ACL&ACL6

VPNVPN实例的规则优先。IPIP地址范围小（掩码中“1”位的数量多）的规则优先。IPrule-id小的优先。高 ACL&ACL6

VPNVPN实例的规则优先。IP协议承载的协议类型的规则优先。IPIP地址范围小（掩码中“1”位的数量多）的规则优先。IPIPIP范围小（掩码中“1”位的数量多）的规则优先。IPIP地址范围相同，则比较四层端口号（TCP/UDP端口号）范围，四层端口号范围小的规则优先。rule-id小的优先。1“深度优先”匹配原则ACL类型匹配原则先比较二层协议类型通配符，通配符大（掩码中“1”位的数量多）的规则优先。MACMAC地址范围小（掩码中“1”位的数量多）的规则优先。MACMACMAC地址范围小（掩码中“1”位的数量多）的规则优先。MACMACrule-id小的优先。用户自定义 用户自定义ACL规则的匹配顺序只支持配置顺序，即rule-id从小到大的顺序进行匹ACL配。基于 MPLS 配置了any的规则排在后面，其他按rule-id从小到大排列。的ACLACL分片报文的支持IP报文分片，而是只对第一个（首片）分片报文进行匹配处理，后续分片一律放行。这样，网络攻击者可能构造后续的分片报文进行流量攻击，带来安全隐患。设备的包过滤提供了对分片报文过滤的功能，包括对所有分片报文进行三层（IP层）匹配过滤。ACLACL规则对所有分片报文有效；可以配置该规则仅对非首片分片报文有效；也可以配置规则对所有报文均有效。ACL生效时间段时间段用于描述一个特殊的时间范围。用户可能有这样的需求，即一些ACL规则需要在某个或某些特定时间内Th效，而在其他时间段则不Th效。例如某单位严禁员工上班时间浏览非工作网站，而下班后则允许通过指定设备浏览娱乐网站，则可以对ACL规则约定Th效时间段。这时，用户就可以先配置一个或多个时间段，然后通过配置规则引用该时间段，从而实现基于时间段的ACL过滤。如果规则引用的时间段未配置，规则不能立即Th效，直到用户配置了引用的时间段，并且系统时间在指定时间段范围内，ACL规则才能Th效。IPv6ACLIPv6ACLIPv6ACLACL6。1117. 6ACL6类 围 6 IPN和时间段信息来定义高级6 以数包、目、P的说明：ACL6ACL命令而以二者互影响。协议协议（说明：ACL6ACL命令而以二者互影响。ACLFTP. 组网需求如图1所示urP服务器（10/2）网络中户设访问权限：1（/24）所户在任意时间都FTP服务器。2（/24）所户只在某一个时间FTP服务器。他户FTP服务器。Router与各个子网之间路由达Router上FTP服务器客户端访问权限设1ACLFTP服务器访问权限组网图urL。RouterFTP功能。Router应ACL为设访问权限。操作步骤时间段<Huawei><Huawei>system-view[Huawei]sysnameRouter[Router]time-rangeftp-accessfrom0:02009/1/1to23:592011/12/31[Router]time-rangeftp-access14:00to18:00off-day[Router][Router]aclnumber2001[Router-acl-basic-2001]rulepermitsource55[Router-acl-basic-2001]rulepermitsource55time-rangeftp-access[Router-acl-basic-2001]ruledenysourceany[Router-acl-basic-2001]quitFTP功能[Router][Router]ftpserverenableFTP服务器访问权限[Router][Router]ftpacl2001验证结果子1PCA（11/24）执ftp10命令FTP服务器。20102PC11/2fp10FTP015:002PCB11/24fp10FTP。PC/24fp10P。配置文件#ur配置文件##sysnameRouter#ftpserverenableftpacl2001#time-rangeftp-access14:00to18:00off-daytime-rangeftp-accessfrom00:002009/1/1to23:592011/12/31#aclnumber2001rule5permitsource55rule10permitsource55time-rangeftp-accessrule15deny#returnACL组需求如图1所示公司企业通过ur实现各部门之间互。要求正确配置禁止研发部门和市场部门班时间8:00至17:3访问工资查询IP地址为而总裁办公室受限制随时访问。1ACL配置流分类组图：IPACL。IP#NFPEth2/0/0Eth2/0/20、20、3Eth2/0/3VLAN100取所网第一个IP面以Eth2/0/0例其他与此似不再赘述。<Huawei><Huawei>system-view[Huawei]vlanbatch102030100[Huawei]interfaceethernet2/0/0[Huawei-Ethernet2/0/0]portaccess[Huawei-Ethernet2/0/0][Huawei-Ethernet2/0/0]portdefaultvlan10[Huawei-Ethernet2/0/0]quit[Huawei]interfacevlanif10[Huawei-Vlanif10]ipaddress[Huawei-Vlanif10]quit#8:0017:30。[Huawei][Huawei]time-rangesatime8:00to17:30working-dayACL市场部门到工资查询服务器访问规则。[Huawei][Huawei]acl3002[Huawei-acl-adv-3002]ruledenyipsource55destinationtime-rangesatime[Huawei-acl-adv-3002]quit研发部门到工资查询服务器访问规则。[Huawei][Huawei]acl3003[Huawei-acl-adv-3003]ruledenyipsource55destinationtime-rangesatime[Huawei-acl-adv-3003]quitACL流分类#c_market，对匹ACL3002报文进行分类。[Huawei][Huawei]trafficclassifierc_market[Huawei-classifier-c_market]if-matchacl3002[Huawei-classifier-c_market]quit#c_rd，对匹ACL3003报文进行分类。[Huawei][Huawei]trafficclassifierc_rd[Huawei-classifier-c_rd]if-matchacl3003[Huawei-classifier-c_rd]quit流行为#b_market，动作为拒绝报文通过。[Huawei]traffic[Huawei]trafficb_market[Huawei-behavior-b_market]deny[Huawei-behavior-b_market]quit#b_r。[Huawei]traffic[Huawei]trafficb_rd[Huawei-behavior-b_rd]deny[Huawei-behavior-b_rd]quit策略#策略t将分类t与t关联。[Huawei]trafficpolicyp_market[Huawei]trafficpolicyp_marketclassifierc_marketb_market[Huawei-trafficpolicy-p_market]quit#策略p_r将分类c_rd与b_rd关联。[Huawei]trafficpolicyp_rd[Huawei]trafficpolicyp_rd[Huawei-trafficpolicy-p_rd]classifierc_rdbehaviorb_rd[Huawei-trafficpolicy-p_rd]quit应用策略#将p_marketEth2/0/1接口。[Huawei]interfaceethernet2/0/1[Huawei]interfaceethernet2/0/1[Huawei-Ethernet2/0/1]traffic-policyp_marketinbound[Huawei-Ethernet2/0/1]quit#将p_rdEth2/0/2接口。[Huawei]interfaceethernet2/0/2[Huawei]interfaceethernet2/0/2[Huawei-Ethernet2/0/2]traffic-policyp_rdinbound[Huawei-Ethernet2/0/2]quit验证结果#ACL规则的信息。<Huawei>displayaclall<Huawei>displayaclallTotalquantityofnonemptyACLnumberis2AdvancedACL3002,1ruleAdvancedACL3002,1ruleAcl'sstepis5rule5denyipsource55destination0time-rangesatime(Active)AdvancedACL3003,1ruleAcl'sstepis5rule5denyipsource55destination0time-rangesatime(Active)#。<Huawei><Huawei>displaytrafficclassifieruser-definedUserDefinedClassifierInformation:Classifier:c_marketOperator:ORRule(s):if-matchacl3002Classifier:c_rdOperator:ORRule(s):if-matchacl3003#策略。<Huawei><Huawei>displaytrafficpolicyuser-definedUserDefinedTrafficPolicyInformation:p_marketClassifier:c_marketOperator:ORBehavior:b_marketDenyPolicy:p_rdClassifier:c_rdOperator:ORBehavior:b_rdDeny文件##vlanbatch102030100#time-rangesatime08:00to17:30working-day#aclnumber3002rule5denyipsource55destination0time-rangesatime#aclnumber3003rule5denyipsource55destination0time-rangesatime#trafficclassifierc_marketoperatororif-matchacl3002trafficclassifierc_rdoperatororif-matchacl3003#trafficbehaviorb_marketdenytrafficbehaviorb_rddeny#trafficpolicyp_marketclassifierc_marketbehaviorb_markettrafficpolicyp_rdclassifierc_rdbehaviorb_rd#interfaceVlanif10ipaddress#interfaceVlanif20ipaddress#interfaceVlanif30ipaddress#interfaceVlanif100ipaddress#interfaceEthernet2/0/0portaccessportportdefaultvlan10#interfaceEthernet2/0/1portlink-typeaccessportdefaultvlan20traffic-policyp_marketinbound#interfaceEthernet2/0/2portlink-typeaccessportdefaultvlan30traffic-policyp_rdinbound#interfaceEthernet2/0/3portlink-typeaccessportdefaultvlan100#returnACL11116.1Web、P和Telnet服务的企业通过ur的接口GE访问部网络通过ur的接口Eth加入N。已知企业的段为/24企业内部的WWW服务器、FTP服务器和Telnet服务器地址分别为/24、/24和/24。为了实现内部络具备较高的安全性企业希望在ur上配置防火墙功能使部络只有特定用户可以访问内部服务器企业内只有内部服务器可以访问部络。1ACL配置防火墙。间，在间使能防火墙功能。高级ACL，对可以访问服务器户以及可以访问服务器进行分类。在间包过滤。。#。<Huawei>system-view[Huawei]sysnameRouter<Huawei>system-view[Huawei]sysnameRouter[Router]firewallcompany[Router-zone-company]priority12[Router-zone-company]quit#VLANIF100加入company。[Router]interfacevlanif[Router]interfacevlanif100[Router-Vlanif100]company[Router-Vlanif100]quit#。[Router]firewall[Router]firewallexternal[Router-zone-external]priority5[Router-zone-external]priority5[Router-zone-external]quit#GigabitEthernet1/0/0external。[Router]interfacegigabitethernet1/0/0[Router]interfacegigabitethernet1/0/0[Router-gigabitethernet1/0/0]zoneexternal[Router-gigabitethernet1/0/0]quit配置间。[Router][Router]firewallinterzonecompanyexternal[Router-interzone-company-external]firewallenable[Router-interzone-company-external]quitACL3001。#ACL3001。[Router]acl3001[Router]acl3001#配置允许特定用户从外部网络可以访问内部服务器。[Router-acl-adv-3001]rulepermittcpsourcedestination[Router-acl-adv-3001]rulepermittcpsourcedestination[Router-acl-adv-3001]rulepermittcpsourcedestination[Router-acl-adv-3001]rulepermittcpsourcedestination#配置其他用户不能从外部网络访问企业内部的任何主机。[Router-acl-adv-3001]ruledeny[Router-acl-adv-3001]ruledenyip[Router-acl-adv-3001]quitACL3002。#ACL3002。[Router]acl3002[Router]acl3002#配置允许内部服务器访问外部网络。[Router-acl-adv-3002][Router-acl-adv-3002]rulepermitipsource[Router-acl-adv-3002]rulepermitipsource[Router-acl-adv-3002]rulepermitipsource[Router-acl-adv-3002]rulepermitipsource#。[Router-acl-adv-3002]ruledeny[Router-acl-adv-3002]ruledenyip[Router-acl-adv-3002]quit在安全域间包过滤。[Router][Router]firewallinterzonecompanyexternal[Router-interzone-company-external]packet-filter3001inbound[Router-interzone-company-external]packet-filter3002outbound[Router-interzone-company-external]quit13.检查结果。成功后，仅特定主机（）可以服务器，仅服务器可以。在Router上执行displayfirewallinterzone[zone-name1zone-name2]操作，结果如下。[Router]displayfirewallinterzonecompanyexternal[Router]displayfirewallinterzonecompanyexternalinterzonecompanyexternalfirewallenablepacket-filterdefaultdenyinboundpacket-filterdefaultpermitoutboundpacket-filter3001inboundpacket-filter3002outbound文件Router文件##sysnameRouter#vlanbatch100#aclnumber3001rule5permittcpsourcedestinationrule10permittcpsourcedestinationrule15permittcpsourcedestinationrule20denyip#aclnumber3002aclnumber3002rule5permitipsourcerule10permitipsourcerule15permitipsourcerule20denyip#interfaceVlanif100ipaddresszonecompany#firewallzonecompanypriority12#firewallzoneexternalpriority5#firewallinterzonecompanyexternalfirewallenablepacket-filter3001inboundpacket-filter3002outbound#interfaceEthernet2/0/0portlink-typeaccessportdefaultvlan100#interfaceGigabitEthernet1/0/0ipaddresszoneexternal#returnACL配置流分类示例11120.1rPC00e0-f201-0101MAC0260-e207-0002的报文通过。1应ACL流分类：ACL。流分类。流行为。流策略。在接口上应流策略。操作步骤ACL#符合要求ACL。<Huawei><Huawei>system-view[Huawei]acl4000[Huawei-acl-L2-4000]ruledenysource-mac00e0-f201-0101ffff-ffff-ffffdestination-mac0260-e207-0002ffff-ffff-ffff[Huawei-acl-L2-4000]quitACL流分类#tc1，对匹ACL4000报文进行分类。[Huawei][Huawei]trafficclassifiertc1[Huawei-classifier-tc1]if-matchacl4000[Huawei-classifier-tc1]quit流行为#tb1，动作为拒绝报文通过。[Huawei][Huawei]trafficbehaviortb1[Huawei-behavior-tb1]deny[Huawei-behavior-tb1]deny[Huawei-behavior-tb1]quit#1tc11。[Huawei]trafficpolicytp1[Huawei]trafficpolicytp1[Huawei-trafficpolicy-tp1]classifiertc1behaviortb1[Huawei-trafficpolicy-tp1]quit应用#tp1GE2/0/0接口。[Huawei]interfacegigabitethernet2/0/0[Huawei]interfacegigabitethernet2/0/0[Huawei-GigabitEthernet2/0/0]traffic-policytp1inbound[Huawei-GigabitEthernet2/0/0]quit验证结果#ACL规则的信息。<Huawei>displayacl4000<Huawei>displayacl4000L2ACL4000,1ruleAcl'sstepis5rule5denydestination-mac0260-e207-0002source-mac00e0-f201-0101#查看的信息。<Huawei><Huawei>displaytrafficclassifieruser-definedUserDefinedClassifierInformation:Classifier:tc1Operator:ORRule(s):if-matchacl4000#查看的信息。<Huawei><Huawei>displaytrafficpolicyuser-definedtp1UserDefinedTrafficPolicyInformation:tp1Classifier:tc1Operator:ORBehavior:tb1DenyDeny11123.##aclnumber4000rule5denydestination-mac0260-e207-0002source-mac00e0-f201-0101#trafficclassifiertc1operatororif-matchacl4000#trafficbehaviortb1deny#trafficpolicytp1classifiertc1behaviortb1#interfaceGigabitEthernet2/0/0traffic-policytp1inbound#return11124.1RouterAGERouterB。在RouterA上6规则禁止源地址为3001::2/64的IPv6报进入RouterA的GE1/0/0。1ACL6流分类例11125.采用下的思路ACL6：ACL6流分类RouterARouterBRouterA。<Huawei><Huawei>[Huawei]RouterA[RouterA]ipv6[RouterA]interfacegigabitethernet1/0/0[RouterA-GigabitEthernet1/0/0]ipv6enable[RouterA-GigabitEthernet1/0/0]ipv6address3001::164[RouterA-GigabitEthernet1/0/0]quit#RouterA的静态路由。[RouterA]ipv6route-static3002::643001::2[RouterA]ipv6route-static3002::643001::2RouterB。<Huawei>system-view<Huawei>system-view[Huawei]sysnameRouterB[RouterB]ipv6[RouterB]interfacegigabitethernet1/0/0[RouterB-GigabitEthernet1/0/0]ipv6enable[RouterB-GigabitEthernet1/0/0]ipv6address3001::264[RouterB-GigabitEthernet1/0/0]quitRouterAACL6规则该规则3001::2的IPv6报文RouterA。[RouterA]aclipv6number3001[RouterA]aclipv6number3001[