本文详细介绍了华为网络设备的ACL(访问控制列表)配置,包括基本ACL、高级ACL和二层ACL的种类,以及ACL的匹配顺序。此外,还讲解了ACL在交换机(路由器)上的应用方式,如全局下发、VLAN下发、端口组下发和端口下发,并给出了配置示例。同时,还讨论了ACL被上层软件引用的应用,如对Telnet和WEB登录用户的控制。
一、ACL功能简介
随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对数据包进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。ACL(Access Control List,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。
二、ACL种类
1. 基本ACL:只根据数据包的源IP地址制定规则,序号为2000~2999,定义时间段也属于基本ACL。
2. 高级ACL:高级ACL可以使用数据包的源IP地址、目的IP地址、IP承载的协议类型、针对协议的特性(例如TCP或UDP的源端口、目的端口,ICMP协议的消息类型、消息码等)内容定义规则。高级ACL序号取值范围3000~3999(3998与3999是系统为集群管理预留的编号,用户无法配置)。高级ACL支持对三种报文优先级的分析处理:ToS(Type of Service,服务类型)优先级、IP优先级和DSCP(Differentiated Services CodePoint,差分服务编码点)优先级。
3. 二层ACL:根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。用户可以利用高级ACL定义比基本ACL更准确、更丰富、更灵活的规则。二层ACL的序号取值范围为4000~4999。
4. 用户自定义ACL:以数据包的头部为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。
三、ACL匹配顺序
一条ACL可以包含多个规则,因此会出现规则匹配顺序,其支持两种匹配顺序:一种是配置顺序(根据用户配置规则的先后顺序进行规则匹配,一种是自动排序(根据深度优先的顺序进行规则匹配)
1. 基本ACL的“深度优先”顺序判断原则
(1) 先比较源IP地址范围,源IP地址范围小(反掩码中“0”位的数量多)的规则优先;
(2) 如果源IP地址范围相同,则比较是否带有fragment参数,带有fragment参数的规则优先;
(3) 如果源IP地址范围、是否带有fragment参数这两个判断条件也相同,则先配置的规则优先。
2. 高级ACL的“深度优先”顺序判断原则
<
最低0.47元/天 解锁文章
扫一扫
6万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
