華為交換機ACL基礎配置
ACL基礎詳解:
訪問控制列表(ACL)是一種基於包過濾的訪問控制技術,它可以根據設定的條件對介面上的資料包進行過濾,允許其通過或丟棄。訪問控制列表被廣泛地應用於路由器和三層交換機,藉助於訪問控制列表,可以有效地控制使用者對網路的訪問,從而最大程度地保障網路安全。
訪問控制列表(Access Control Lists,ACL)是應用在路由器介面的指令列表。這些指令列表用來告訴路由器哪些資料包可以收、哪些資料包需要拒絕。至於資料包是被接收還是拒絕,可以由類似於源地址、目的地址、埠號等的特定指示條件來決定。
訪問控制列表具有許多作用,如限制網路流量、提高網路效能;通訊流量的控制,例如ACL可以限定或簡化路由更新資訊的長度,從而限制通過路由器某一網段的通訊流量;提供網路安全訪問的基本手段;在路由器埠處決定哪種型別的通訊流量被轉發或被阻塞,例如,使用者可以允許E-mail通訊流量被路由,拒絕所有的 Telnet通訊流量等。
ACL處理過程及規則:
當ACL處理資料包時,一旦資料包與某條ACL語句匹配,則會跳過列表中剩餘的其他語句,根據該條匹配的語句內容決定允許或者拒絕該資料包。如果資料包內容與ACL語句不匹配,那麼將依次使用ACL列表中的下一條語句測試資料包。該匹配過程會一直繼續,直到抵達列表末尾。最後一條隱含的語句適用於不滿足之前任何條件的所有資料包。這條最後的測試條件與這些資料包匹配,通常會隱含拒絕一切資料包的指令。此時路由器不會讓這些資料進入或送出介面,而是直接丟棄。最後這條語句通常稱為隱式的“deny any”語句。由於該語句的存在,所以在ACL中應該至少包含一條permit語句,否則,預設情況下,ACL將阻止所有流量。
訪問控制列表的使用:
ACL的使用分為兩步:
-
建立訪問控制列表ACL,根據實際需要設定對應的條件項;
-
將ACL應用到路由器指定介面的指定方向(in/out)上。
在ACL的配置與使用中需要注意以下事項:
-
ACL是自頂向下順序進行處理,一旦匹配成功,就會進行處理,且不再比對以後的語句,所以ACL中語句的順序很重要。應當將最嚴格的語句放在最上面,最不嚴格的語句放在底部。
-
當所有語句沒有匹配成功時,會丟棄分組。這也稱為ACL隱性拒絕。
-
每個介面在每個方向上,只能應用一個ACL。
-
標準ACL應該部署在距離分組的目的網路近的位置,擴充套件ACL應該部署在距離分組傳送者近的位置
華為交換機ACL配置命令:
在全域性檢視下輸入“ACL”
[HuaWei-SWitch] acl ?
INTEGER<2000-2999> Basic access-list —— 基本訪問列表
INTEGER<3000-3999> Advanced access-list —— 高階訪問列表
INTEGER<4000-4999> L2 access-list —— 二層訪問列表
INTEGER<5000-5999> User defined access-list —— 使用者定議訪問列表
INTEGER<6000-9999> UCL group access-list —— UCL組訪問列表
[HuaWei-SWitch]acl 2000 —— 進入基本訪問列表
[HuaWei-SWitch-acl-basic-2000] rule 5 deny source 192.168.1.0 0.0.0.255—— 定義行號為 5 的規則,拒絕來源IP為 192.168.1.0至192.168.1.255地址訪問
注:如果不定義行號,交換機第一行規則預設是從 5 開始,依次步長為5往後遞增。
此條命令中的子網掩碼叫做萬用字元,將IP地址與萬用字元進行與計算。
ACL中的萬用字元:
萬用字元掩碼:路由器使用萬用字元掩碼與原地址或者是目標地址一起來分辨匹配的地址範圍,在訪問控制列表中,將萬用字元掩碼中設定為1 的表示本位可以忽略ip地址中的對應位,設定成0 的表示必須精確的匹配ip地址中的對應位。
萬用字元掩碼中,可以用255.255.255.255表示所有IP地址,因為全為1說明32位中所有位都不需檢查,此時可用any替代
萬用字元中 0 代表匹配,1 代表不用管
例:[HuaWei-SWitch-acl-basic-2000] rule 1 deny source 192.168.1.0 1.1.1.1——設定行號為1的規則,拒絕來源IP的所有地址 ,萬用字元全為1表示所有位數都不用考慮,直接拒絕。那麼所有來源的IP將被直接拒絕。
當在同一個行號中,再次輸入的規則與上次輸入的規則匹配相同時,再次輸入的規則不會替換之前的規則
例:[HuaWei-SWitch-acl-basic-2000]rule 1 deny source 10.5.18.0 0.0.255.255
[HuaWei-SWitch-acl-basic-2000]rule 1 deny source 10.5.10.0 0.0.255.255
這兩條規則,將執行第一條,因為第一條的匹配規則已經包括了第二條的匹配範圍。
ACL基本配置:
[HuaWei-SWitch-acl-basic-2000] rule 2 permit source 10.5.86.0 0.0.0.255——設定行號為2的規則,允許來源IP為10.5.86.0至10.5.86.255地址這個網段訪問的流量
[HuaWei-SWitch] interface GigabitEthernet 1/0/1——進入需要設定ACL規則的埠
[HuaWei-SWitch-GigabitEthernet1/0/1]traffic-filter inbound acl 2000——設定在此埠的進方向遵循ACL 2000列表規則。
[HuaWei-SWitch-GigabitEthernet1/0/1]traffic-filter outbound acl 2001——設定在此埠的出方向遵循ACL 2001列表規則。
檢視:display acl all ——檢視交換機的所有ACL配置列表
例:[HuaWei-SWitch-GigabitEthernet1/0/1]dis acl allTotal nonempty ACL number is 2
Basic ACL 2000, 2 rulesAcl's step is 5rule 1 deny source 0.0.10.0 255.255.0.0rule 2 permit source 10.5.86.0 0.0.0.255
Basic ACL 2001, 1 ruleAcl's step is 5rule 1 permit source 10.5.88.0 0.0.0.255
注意
ACL 呼叫在最靠近目標的埠上
華為交換機acl呼叫命令:
建立ACL列表:
[S5700-2-acl-basic-2000] rule 5 permit source 192.168.10.100 0.0.0.0 —— 設定允許此IP的主機流量通過
[S5700-2-acl-basic-2000] rule 10 deny source 192.168.10.0 0.0.0.255 ——設定拒絕此IP網段的主機流量通過
[S5700-2-acl-basic-2000] rule 20 permit source 192.168.20.100 0.0.0.0 —— 設定允許此IP的主機流量通過
[S5700-2-acl-basic-2000] rule 30 deny source 192.168.20.0 0.0.0.255 ——設定拒絕此IP網段的主機流量通過
[S5700-2-acl-basic-2000] rule 40 permit source any ——設定末尾隱藏規則,放行其他來源的流量
在靠近目標的介面下呼叫ACL,要確定介面方向,是流量進入時執行,還是轉發資料出去時的方向
[S5700-2] interface GigabitEthernet 1/0/1
[S5700-2-GigabitEthernet1/0/1] traffic-filter inbound acl 2000 ——在此介面的入方向呼叫ACL2000列表規則
[S5700-2-GigabitEthernet1/0/1]traffic-filter outbound acl 2000 —— 在此介面的出方向呼叫ACL 2000列表規則
本文版權歸作者和部落格園共有,歡迎轉載,但未經作者同意必須保留此段宣告,且在文章頁面明顯位置給出原 文連線,否則保留追究法律責任的權利。