华为H3C ACL配置实例

news/2024/10/30 15:28:02/

一、ACL功能简介

随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对数据包进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。ACL(Access Control List,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。

二、ACL种类

1. 基本ACL:只根据数据包的源IP地址制定规则,序号为2000~2999,定义时间段也属于基本ACL。

2. 高级ACL:高级ACL可以使用数据包的源IP地址、目的IP地址、IP承载的协议类型、针对协议的特性(例如TCP或UDP的源端口、目的端口,ICMP协议的消息类型、消息码等)内容定义规则。高级ACL序号取值范围3000~3999(3998与3999是系统为集群管理预留的编号,用户无法配置)。高级ACL支持对三种报文优先级的分析处理:ToS(Type of Service,服务类型)优先级、IP优先级和DSCP(Differentiated Services CodePoint,差分服务编码点)优先级。

3. 二层ACL:根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。用户可以利用高级ACL定义比基本ACL更准确、更丰富、更灵活的规则。二层ACL的序号取值范围为4000~4999。

4. 用户自定义ACL:以数据包的头部为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。

三、ACL匹配顺序

一条ACL可以包含多个规则,因此会出现规则匹配顺序,其支持两种匹配顺序:一种是配置顺序(根据用户配置规则的先后顺序进行规则匹配,一种是自动排序(根据深度优先的顺序进行规则匹配)

1. 基本ACL的“深度优先”顺序判断原则

(1) 先比较源IP地址范围,源IP地址范围小(反掩码中“0”位的数量多)的规则优先;

(2) 如果源IP地址范围相同,则比较是否带有fragment参数,带有fragment参数的规则优先;

(3) 如果源IP地址范围、是否带有fragment参数这两个判断条件也相同,则先配置的规则优先。

  2. 高级ACL的“深度优先”顺序判断原则

 (1) 首先比较协议范围,指定了IP协议承载的协议类型的规则优先; 

(2) 如果协议范围相同,则比较源IP地址范围,源IP地址范围小(反掩码中“0”位的数量多)的规则优先;

(3)如果协议范围、源IP地址范围相同,则比较目的IP地址范围,目的IP地址范围小(反掩码中“0”位的数量多)的规则优先; 

(4) 如果协议范围、源IP地址范围、目的IP地址范围相同,则比较四层端口号(TCP/UDP端口号)范围,四层端口号范围小的规则优先; 

(5)如果协议范围、源IP地址范围、目的IP地址范围、四层端口号范围相同,则比较规则中参数的个数,参数个数多的规则优先。

 如果规则A与规则B的协议范围、源IP地址范围、目的IP地址范围、四层端口号范围完全相同,并且其它的参数个数也相同,将按照加权规则进行排序。设备为每个参数设定一个固定的权值,最终的匹配顺序由各个参数的权值和参数的取值来决定。各个参数自身的权值从大到小排列为icmp-type、established、dscp、tos、precedence、fragment。比较规则如下: z 设备以一个固定权值依次减去规则中所配置的各个参数自身的权值,所得结果小的规则优先; z 如果各个规则中参数种类完全相同,则这些参数取值的累加和小的规则优先。

五、ACL在交换机(路由器)上的应用方式

1. ACL直接下发到硬件的情况

 ACL可以直接下发到交换机(路由器)的硬件,用于数据转发过程中的报文过滤和流分类。此时一条ACL中多个规则的匹配顺序是由交换机的硬件决定的,对于S3100系列以太网交换机,匹配顺序为先下发的规则先匹配。 ACL直接下发到硬件的情况包括:通过ACL过滤转发数据、配置QoS功能时引用ACL等。 

2. ACL被上层软件引用的情况

 ACL也可以用来对由软件处理的报文进行过滤和流分类。此时ACL规则的匹配顺序有两种:1)config:按用户配置的先后顺序;2)auto:按“深度优先”的顺序。 

用户可以在定义ACL的时候指定一条ACL中多个规则的匹配顺序。用户一旦指定某一条ACL的匹配顺序,就不能再更改该顺序。只有把该ACL中所有的规则全部删除后,才能重新指定其匹配顺序。 ACL被上层软件引用的情况包括:路由策略引用ACL、对Telnet、SNMP和WEB登录用户进行控制时引用ACL等。

2. 配置基本ACL

(1)配置步骤

配置步骤 命令 说明
进入系统视图 system-view  
创建并进入基本ACL视图 acl number acl-number [match-order] {auto |config} 缺省为config
定义基本ACL规则 rule [rule-id] {deny | permit} [rule-string]  
定义ACL的描述信息 description text  
(2)配置举例

配置ACL2000,禁止源192.168.0.1的报文通过

<Sysname> system-view 

[Sysname] acl number 2000 

[Sysname-acl-basic-2000] rule deny source 192.168.0.1 0

显示配置

[sysname] display acl 2000

3. 配置高级ACL

配置步骤 命令 说明
进入系统视图 system-view  
创建并进入高级ACL视图 acl number acl-number [match-order {auto |config}]  
定义高级ACL规则 rule [rule-id] {permit |deny} protocol [rule-string]  
定义高级ACL规则的注释信息 rule rule-id comment text 可选,缺省情况没有注释
定义ACL描述信息 description text  
举例
<Sysname> system-view 

[Sysname] acl number 3000 

[Sysname-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80  

3. 配置二层ACL

配置步骤同高级ACL配置,但要首先确定源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等参数

举例:

<Sysname> system-view 

[Sysname] acl number 4000 

[Sysname-acl-ethernetframe-4000] rule deny cos 3 source 000d-88f5-97ed ffff-ffff-ffff dest 0011-4301-991e ffff-ffff-ffff  

需要注意的是:1)当高级ACL的匹配顺序为config时,用户可以修改该ACL中的任何一条已经存在的规则,在修改ACL中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当高级ACL的匹配顺序为auto时,用户不能修改该ACL中的任何一条已经存在的规则,否则系统会提示错误信息。 2)在创建一条ACL规则的时候,用户可以不指定规则的编号,设备将自动为这个规则分配一个编号:如果此ACL中没有规则,编号为0;如果此ACL中已有规则,编号为现有规则的最大编号+1;如果此ACL中现有规则的最大编号为65534,则系统会提示错误信息,此时用户必须指定规则的编号才能创建成功。3) 新创建或修改后的规则不能和已经存在的规则相同,否则会导致创建或修改不成功,系统会提示该规则已经存在。 4) 当高级ACL的匹配顺序为auto时,新创建的规则将按照“深度优先”的原则插入到已有的规则中,但是所有规则对应的编号不会改变。

七、ACL下发

ACL规则生效需要对规则进行下发,硬件下发方式有四种方式。

1)全局下发ACL:对所有端口接收的报文应用ACL规则进行过滤。

2)VLAN下发ACL:对所有端口接收的属于指定VLAN的报文应用ACL规则进行过滤。

3)端口组下发ACL:对端口组内所有端口接收的报文应用ACL规则进行过滤。

4)端口下发ACL:对端口接收的报文应用ACL规则进行过滤。

1. 全局下发ACL

配置步骤 命令 说明
进入系统视图 system-view  
全局下发ACL packet-filter inbound acl-rule  
举例:

在全局下发ACL,对所有端口接受的报文应用基本ACL2000进行过滤

<Sysname>system-view

[Sysname] packet-filter inbound ip-group 2000

2. VLAN下发ACL

配置步骤 命令 说明
进入系统视图 system-view  
全局下发ACL packet-filter vlan vlan-id inbound acl-rule  
举例:

在全局下发ACL,对所有端口接受的报文应用基本ACL2000进行过滤

<Sysname>system-view

[Sysname] packet-filter vlan 10 inbound ip-group 2000

3. 端口组下发ACL

配置步骤 命令 说明
进入系统视图 system-view  
进入端口组视图 port-group group-id  
端口组下发ACL packet-filter inbound acl-rule  
举例:

在全局下发ACL,对所有端口接受的报文应用基本ACL2000进行过滤

<Sysname>system-view

[Sysname]port-group 1

[Sysname-port-group-1] packet-filter inbound ip-group 2000

4. 端口下发ACL
配置步骤 命令 说明
进入系统视图 system-view  
进入端口组视图 interface interface-type interface-number  
端口组下发ACL packet-filter inbound acl-rule
举例:

在全局下发ACL,对所有端口接受的报文应用基本ACL2000进行过滤

<Sysname>system-view

[Sysname] interface e 0/0/1

[Sysname-Ethernet0/0/1] packet-filter inbound ip-group 2000

5. ACL被上层软件引用

(1)Telnet登录用户控制

在VTY用户界面引用基本ACL 2000,对Telnet登录用户进行控制。

 [Sysname] user-interface vty 0 4 

[Sysname-ui-vty0-4] acl 2000 inbound

(2)通过源IP对WEB登录控制
通过源IP地址对WEB登录用户进行控制,仅允许IP地址为10.110.100.46的WEB用户通过HTTP方式访问交换机。EB登录用户进行控制配置

<Sysname> system-view 

[Sysname] acl number 2001 match-order config 

[Sysname-acl-basic-2001] rule 1 permit source 10.110.100.46 0 

[Sysname-acl-basic-2001] quit

[Sysname] ip http acl 2000


高级ACL:根据数据包的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则。

配置步骤 命令 说明
进入系统视图 system-view
进入端口组视图 port-group group-id
端口组下发ACL packet-filter inbound acl-rule


http://www.ppmy.cn/news/162882.html

相关文章

H3C S3100交换机基础配置

端口表示方法E1/0/1(百兆电口) 25端口 G1/1/1&#xff08;千兆电口&#xff09;G1/1/2 (千兆光口) 26端口 G1/2/1&#xff08;千兆电口&#xff09;G1/2/2 (千兆光口&#xff09; 显示系统版本信息&#xff1a;display version 显示诊断信息&#xff1a;display diagnostic-…

H3C S3100交换机SSH登录配置(公钥+密码认证)

[S3100-SI]public-key local create rsa //生成本地RSA密钥对 [S3100-SI]local-user h3c [S3100-SI-luser-h3c]password cipher h3c [S3100-SI-luser-h3c]service-type ssh level 3 //创建本地用户服务类型为ssh 下面用puttygen生成rsa密钥对&#xff0c;将公钥和私钥文件保…

华三交换机 S3100 web页登陆设置方法

华三 交换机 S3100 web页登陆设置 分类&#xff1a; 系统运维 首先要通过console口设置访问IP&#xff0c;如下&#xff1a; <H3C>sys [H3C] interface Vlan-interface 1&#xff08;进入管理VLAN&#xff09; [H3C-Vlan-interface1] undo ip address&#xff08;取消管…

Java Lambda表达式

目录 1 Lambda表达式1.1 函数式编程思想概括1.2 Lambda表达式标准格式1.3 Lambda表达式练习1(抽象方法无参无返回值)1.4 Lambda表达式练习2(抽象方法带参无返回值)1.5 Lambda表达式练习2(抽象方法带参带返回值)1.5 Lambda表达式省略模式1.6 Lambda表达式注意事项1.7 Lamb…

解读科学计算助力行业高质量发展|2023 开放原子全球开源峰会科学智能分论坛即将启幕

诺贝尔奖获得者威尔逊曾说过&#xff0c;现代科学研究的三大支柱&#xff1a;科学实验、理论研究、科学计算。深度学习和科学模型的结合&#xff0c;将会给传统科学领域带来新的机遇&#xff0c;并推动科研范式的创新。人工智能在科学计算领域有哪些问题和突破&#xff1f;如何…

读数据压缩入门笔记02_二进制和熵

1. 十进制 1.1. 现代数学建立在十进制计数系统之上 2. 二进制 2.1. 二进制计数系统的工作原理与十进制计数系统一样&#xff0c;唯一的区别是前者的基数为2&#xff0c;而后者的基数为10 2.2. 数据压缩所做的就是尽可能减少表示特定数据集时所需的二进制位数量 2.3. 给定任…

八国代表团冬奥“战袍”中国泉州造

北京2022年2月15日 /美通社/ -- 福建省泉州的企业&#xff0c;为2022年北京冬奥会做出了突出贡献&#xff0c;泉州企业为八个国家的冬奥代表团&#xff0c;提供多种多样的产品 -- 包括运动服装、健身器材、卫生洁具和食品产品&#xff0c;他们还为冬奥场馆提供支持性的服务。 由…

第一台搭载鸿蒙的机器,舒华与华为联合发布首款搭载鸿蒙操作系统跑步机 引领运动健康产业发展...

原标题&#xff1a;舒华与华为联合发布首款搭载鸿蒙操作系统跑步机 引领运动健康产业发展 5月19日—22日&#xff0c;2021年(第39届)中国国际体育用品博览会在上海举办。该展览会吸引了近1300家知名企业&#xff0c;10余万人次到场参观&#xff0c;是国内历史悠久的体育展会。展…