ospf协议配置命令令rip ospf acl
点击联系发帖人
时间:2018-06-14 16:33
华为ospf配置命令详解_中华文本库
华为OSPF 配置命令详解网络技术
15:22:36 阅读 946 评论 0 字号:大中小 订阅 【命令】ospf network-type { broadcast | nbma | p2mp | p2p }...
华为三层交换机做OSPF_计算机硬件及网络_IT/计算机_专业资料。配置 OSPF 基本功能...华为5700交换机OSPF配置 6页 1下载券 华为OSPF配置命令详解 13页 免费 H3C5120...
华为OSPF培训ppt_IT认证_资格考试/认证_教育专区。OSPF...使用配置命令强制路由器的ROUTER ID [QUIDWAY] ...本节主要讲解的是OSPF的数据结构,了解和掌握OSPF的...
华为路由器配置 OSPF 的 NSSA 区域组网需求如图 1 所示,所有的 S-switch 都运行 OSPF,整个自治系统划分为 3 个区域。其中 S-switch-A 和 S-switch-B 作为 ...
华为路由器配置OSPF的Stub区域实例_计算机硬件及网络_IT/计算机_专业资料。华为路由...华为路由器NAT命令详解 6页 1下载券 华为路由器配置OSPF的NS... 暂无评价 8...
附:思科和华为路由器 OSPF 相关的调试命令比较: 思科路由器 OSPF 调试的命令...思科路由器配置命令详解... 45页 免费 思科网络学院教程——OS... 52页 免费...
华为路由器 配置OSPF 42页 2财富值 华为OSPF配置命令详解 13页 免费 华为路由...配置 第六章在华为路由器上 主讲动态路由 OSPF 在华为路由器上配置 动态路由 ...
华为常用命令_计算机硬件及网络_IT/计算机_专业资料。1.执行命令 system-view,...图1 OSPF 基本配置组网图 S-A S9300-A S9300-B S9300-B S...
华为OSPF总结_计算机硬件及网络_IT/计算机_专业资料。华为 ospf 总结华为...华为OSPF配置命令详解 13页 免费 华为培训教程DTL110019 ... 28页 免费 ...
华为OSPF 区域路由聚合的配置案例来源:www.56cto.com 作者: 发布时间:2009-07...华为OSPF配置命令详解 13页 免费
华为路由器 配置OSPF 42页 1下载券介绍配置ACL的注意事项。
设备支持的ACL主要包括:基本ACL、高级ACL、二层ACL、用户自定义ACL、用户ACL、基本ACL6和高级ACL6。
介绍ACL缺省配置,实际应用的配置可以基于缺省配置进行修改。
介绍ACL的相关FAQ。
介绍ACL的参考标准和协议。
定义访问控制列表ACL(Access
Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
说明: 配置ACL后,还需将ACL在业务模块中应用,ACL才能生效。
ACL可以应用于诸多业务模块,其中最基本的ACL应用,就是在简化流策略/流策略中应用ACL,使设备能够基于全局、VLAN或接口下发ACL,实现对转发报文的过滤。此外,ACL还可以应用在Telnet、FTP、路由等模块。业务模块之间的ACL默认处理动作和处理机制有所不同,具体请参见。
目的随着网络的飞速发展,网络安全和网络服务质量QoS(Quality
of Service)问题日益突出。
企业重要服务器资源被随意访问,企业机密信息容易泄露,造成安全隐患。
Internet病毒肆意侵略企业内网,内网环境的安全性堪忧。
网络带宽被各类业务随意挤占,服务质量要求最高的语音、视频业务的带宽得不到保障,造成用户体验差。
以上种种问题,都对正常的网络通信造成了很大的影响。因此,提高网络安全性服务质量迫在眉睫。ACL就在这种情况下应运而生了。
通过ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
是一个典型的ACL应用组网场景。
图1-1 &ACL典型应用场景
某企业为保证财务数据安全,禁止研发部门访问财务服务器,但总裁办公室不受限制。实现方式:
在Interface
1的入方向上部署ACL,禁止研发部门访问财务服务器的报文通过。Interface 2上无需部署ACL,总裁办公室访问财务服务器的报文默认允许通过。
保护企业内网环境安全,防止Internet病毒入侵。实现方式:
在Interface 3的入方向上部署ACL,将病毒经常使用的端口予以封堵。
相关信息技术论坛
&ACL的基本原理
ACL由一系列规则组成,通过将报文与ACL规则进行匹配,设备可以过滤出特定的报文。设备支持的ACL,有软件和硬件两种实现方式,两者在过滤的报文类型、报文过滤方式和对不匹配ACL的报文的处理动作这三个方面有所差异。
ACL的组成一条ACL的结构组成,如所示。
图1-2 &ACL的结构组成
ACL编号:用于标识ACL,表明该ACL是数字型ACL。
根据ACL规则功能的不同,ACL被划分为基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL这几种类型,每类ACL编号的取值范围不同。关于每类ACL编号的详细介绍,请参见。
除了可以通过ACL编号标识ACL,设备还支持通过名称来标识ACL,就像用域名代替IP地址一样,更加方便记忆。这种ACL,称为命名型ACL。
命名型ACL实际上是“名字+数字”的形式,可以在定义命名型ACL时同时指定ACL编号。如果不指定编号,则由系统自动分配。例如,下面就是一个既有名字“deny-telnet-login”又有编号“3998”的ACL。
acl name deny-telnet-login 3998
rule 0 deny tcp source 10.152.0.0 0.0.63.255 destination 10.64.0.97 0 destination-port eq telnet
rule 5 deny tcp source 10.242.128.0 0.0.127.255 destination 10.64.0.97 0 destination-port eq telnet
规则:即描述报文匹配条件的判断语句。
规则编号:用于标识ACL规则。可以自行配置规则编号,也可以由系统自动分配。
ACL规则的编号范围是0~,所有规则均按照规则编号从小到大进行排序。所以,中的rule 5排在首位,而规则编号最大的rule 排在末位。系统按照规则编号从小到大的顺序,将规则依次与报文匹配,一旦匹配上一条规则即停止匹配。
动作:包括permit/deny两种动作,表示允许/拒绝。
匹配项:ACL定义了极其丰富的匹配项。除了中的源地址和生效时间段,ACL还支持很多其他规则匹配项。例如,二层以太网帧头信息(如源MAC、目的MAC、以太帧协议类型),三层报文信息(如目的地址、协议类型),以及四层报文信息(如TCP/UDP端口号)等。关于每种匹配项的详细介绍,请参见。
ACL的匹配机制设备将报文与ACL规则进行匹配时,遵循“一旦命中即停止匹配”的机制,如所示。
图1-3 &ACL的匹配机制
首先系统会查找设备上是否配置了ACL。
如果ACL不存在,则返回ACL匹配结果为:不匹配。
如果ACL存在,则查找设备是否配置了ACL规则。
如果规则不存在,则返回ACL匹配结果为:不匹配。
如果规则存在,则系统会从ACL中编号最小的规则开始查找。
如果匹配上了permit规则,则停止查找规则,并返回ACL匹配结果为:匹配(允许)。
如果匹配上了deny规则,则停止查找规则,并返回ACL匹配结果为:匹配(拒绝)。
如果未匹配上规则,则继续查找下一条规则,以此循环。如果一直查到最后一条规则,报文仍未匹配上,则返回ACL匹配结果为:不匹配。
从整个ACL匹配流程可以看出,报文与ACL规则匹配后,会产生两种匹配结果:“匹配”和“不匹配”。
匹配(命中规则):指存在ACL,且在ACL中查找到了符合匹配条件的规则。
不论匹配的动作是“permit”还是“deny”,都称为“匹配”,而不是只是匹配上permit规则才算“匹配”。
不匹配(未命中规则):指不存在ACL,或ACL中无规则,再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。
以上三种情况,都叫做“不匹配”。
说明: 无论报文匹配ACL的结果是“不匹配”、“允许”还是“拒绝”,该报文最终是被允许通过还是拒绝通过,实际是由应用ACL的各个业务模块来决定。不同的业务模块,对命中和未命中规则报文的处理方式也各不相同。例如,在Telnet模块中应用ACL,只要报文命中了permit规则,就允许通过;而在流策略中应用ACL,如果报文命中了permit规则,但流行为动作配置的是deny,该报文仍会被拒绝通过。关于各个业务模块ACL处理机制的详细介绍,请参见。
ACL的实现方式目前设备支持的ACL,有以下两种实现方式。
软件ACL:针对与本机交互的报文(必须上送CPU处理的报文),由软件实现来过滤报文的ACL,比如FTP、TFTP、Telnet、SNMP、HTTP、路由协议、组播协议中引用的ACL。
硬件ACL:针对所有报文(一般是针对转发的数据报文),通过下发ACL资源到硬件来过滤报文的ACL,比如流策略、基于ACL的简化流策略、自反ACL、用户组以及为接口收到的报文添加外层Tag功能中引用的ACL。
两者主要区别在于:
过滤的报文类型不同:软件ACL用来过滤与本机交互的报文(必须上送CPU处理的报文),硬件ACL可以用来过滤所有报文(一般是针对转发的数据报文)。
报文过滤方式不同:软件ACL是被上层软件引用来实现报文的过滤,硬件ACL是被下发到硬件来实现报文的过滤。通过软件ACL过滤报文时,会消耗CPU资源,通过硬件ACL过滤报文时,则会占用硬件资源。通过硬件ACL过滤报文的速度更快。
对不匹配ACL的报文的处理动作不同:当使用软件ACL时,如果报文未匹配上ACL中的规则,设备对该报文采取的动作为deny,即拒绝报文通过;当使用硬件ACL时,如果报文未匹配上ACL中的规则,设备对该报文采取的动作为permit,即允许报文通过。
&ACL的分类
基于ACL标识方法的划分划分如下:
数字型ACL:传统的ACL标识方法。创建ACL时,指定一个唯一的数字标识该ACL。
命名型ACL:通过名称代替编号来标识ACL。
用户在创建ACL时可以为其指定编号,不同的编号对应不同类型的ACL,如所示。同时,为了便于记忆和识别,用户还可以创建命名型ACL,即在创建ACL时为其设置名称。命名型ACL,也可以是“名称
数字”的形式,即在定义命名型ACL时,同时指定ACL编号。如果不指定编号,系统则会自动为其分配一个数字型ACL的编号。
说明: 命名型ACL一旦创建成功,便不允许用户再修改其名称。如果删除ACL名称,则表示删除整个ACL。
仅基本ACL与基本ACL6,以及高级ACL与高级ACL6,可以使用相同的ACL名称;其他类型ACL之间,不能使用相同的ACL名称。
基于对IPv4和IPv6支持情况的划分划分如下:
ACL4:通常直接叫做“ACL”,特指仅支持过滤IPv4报文的ACL。
ACL6:又叫做“IPv6 ACL”,特指仅支持过滤IPv6报文的ACL。
以上两种ACL,以及既支持过滤IPv4报文又支持过滤IPv6报文的ACL,统一称做“ACL”。各类型ACL对IPv4和IPv6的支持情况,如所示。
基于ACL规则定义方式的划分所示,基于ACL规则定义方式的划分如下。
表1-1 &基于ACL规则定义方式的ACL分类
适用的IP版本
规则定义描述
&ACL的步长设定
步长的含义步长,是指系统自动为ACL规则分配编号时,每个相邻规则编号之间的差值。
系统为ACL中首条未手工指定编号的规则分配编号时,使用步长值作为该规则的起始编号;为后续规则分配编号时,则使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号。例如ACL中包含规则rule
5和rule 12,ACL(特指基本ACL、高级ACL、二层ACL、用户自定义ACL、用户ACL)的缺省步长为5,大于12且是5的倍数的最小整数是15,所以系统分配给新配置的规则的编号为15。
说明: 基本ACL6和高级ACL6不支持步长设定,缺省步长为1。
[HUAWEI-acl-basic-2001] display this
acl number 2001
[HUAWEI-acl-basic-2001] rule deny source 10.1.1.0 0.0.0.255 //配置首条不指定规则编号的规则
[HUAWEI-acl-basic-2001] display this
acl number 2001
rule 5 deny source 10.1.1.0 0.0.0.255
[HUAWEI-acl-basic-2001] rule 12 deny source 10.2.2.0 0.0.0.255 //配置一条规则编号为12的规则
[HUAWEI-acl-basic-2001] display this
acl number 2001
rule 5 deny source 10.1.1.0 0.0.0.255
rule 12 deny source 10.2.2.0 0.0.0.255
[HUAWEI-acl-basic-2001] rule deny source 10.3.3.0 0.0.0.255 //再次配置一条不指定规则编号的规则
[HUAWEI-acl-basic-2001] display this
acl number 2001
rule 5 deny source 10.1.1.0 0.0.0.255
rule 12 deny source 10.2.2.0 0.0.0.255
rule 15 deny source 10.3.3.0 0.0.0.255
如果重新调整了步长值(例如调整为2),系统则会自动从当前步长值开始重新排列规则编号,规则编号变成2、4、6…。恢复步长值为缺省值后,系统则会立刻按照缺省步长重新调整规则编号,规则编号变成5、10、15…。
[HUAWEI-acl-basic-2001] display acl 2001
Basic ACL 2001, 3 rules
Acl's step is 5
rule 5 deny source 10.1.1.0 0.0.0.255
rule 12 deny source 10.2.2.0 0.0.0.255
rule 15 deny source 10.3.3.0 0.0.0.255
[HUAWEI-acl-basic-2001] step 2
//配置步长值为2
[HUAWEI-acl-basic-2001] display acl 2001
Basic ACL 2001, 3 rules
Acl's step is 2
rule 2 deny source 10.1.1.0 0.0.0.255
rule 4 deny source 10.2.2.0 0.0.0.255
rule 6 deny source 10.3.3.0 0.0.0.255
[HUAWEI-acl-basic-2001] undo step
//恢复步长值为缺省值
[HUAWEI-acl-basic-2001] display acl 2001
Basic ACL 2001, 3 rules
Acl's step is 5
rule 5 deny source 10.1.1.0 0.0.0.255
rule 10 deny source 10.2.2.0 0.0.0.255
rule 15 deny source 10.3.3.0 0.0.0.255
步长的作用设置步长的作用,在于方便后续在旧规则之间插入新的规则。
假设,一条ACL中,已包含了三条规则rule 5、rule 10、rule 15。如果希望源IP地址为10.1.1.3的报文也被拒绝通过,该如何处理?
rule 5 deny source 10.1.1.1 0
//表示拒绝源IP地址为10.1.1.1的报文通过
rule 10 deny source 10.1.1.2 0 //表示拒绝源IP地址为10.1.1.2的报文通过
rule 15 permit source 10.1.1.0 0.0.0.255 //表示允许源IP地址为10.1.1.0/24网段地址的报文通过
由于ACL匹配报文时遵循“一旦命中即停止匹配”的原则,所以源IP地址为10.1.1.1和10.1.1.2的报文,会在匹配上编号较小的rule
5和rule 10后停止匹配,从而被系统拒绝通过;而源IP地址为10.1.1.3的报文,则只会命中rule 15,从而得到系统允许通过。若想让源IP地址为10.1.1.3的报文也被拒绝通过,则必须为该报文配置一条新的deny规则。可以在rule
15之前插入一条新规则rule 11,这样源IP地址为10.1.1.3的报文,就会因先命中rule 11而被系统拒绝通过。插入rule
11后,该ACL的旧规则编号不受影响,且新的规则排序为rule 5、rule 10、rule 11、rule 15。
rule 5 deny source 10.1.1.1 0
//表示禁止源IP地址为10.1.1.1的报文通过
rule 10 deny source 10.1.1.2 0 //表示禁止源IP地址为10.1.1.2的报文通过
rule 11 deny source 10.1.1.3 0 //表示拒绝源IP地址为10.1.1.3的报文通过
rule 15 permit source 10.1.1.0 0.0.0.255 //表示允许源IP地址为10.1.1.0网段地址的报文通过
试想一下,如果这条ACL的规则间隔不是5,而是1(rule 1、rule 2、rule 3…),这时再想插入新的规则,就只能先删除已有的规则,然后再配置新规则,最后将之前删除的规则重新配置还原。
因此,为了避免上述操作造成的麻烦,ACL引入了步长的概念。通过设置ACL步长,使规则之间留有一定的空间,就可以轻松的在旧规则中插入新规则了。
&ACL的匹配顺序
一条ACL可以由多条“deny | permit”语句组成,每一条语句描述一条规则,这些规则可能存在重复或矛盾的地方。例如,在一条ACL中先后配置以下两条规则:
rule deny ip destination 10.1.0.0 0.0.255.255
//表示拒绝目的IP地址为10.1.0.0/16网段地址的报文通过
rule permit ip destination 10.1.1.0 0.0.0.255
//表示允许目的IP地址为10.1.1.0/24网段地址的报文通过,该网段地址范围小于10.1.0.0/16网段范围
其中,permit规则与deny规则是相互矛盾的。对于目的IP=10.1.1.1的报文,如果系统先将deny规则与其匹配,则该报文会被拒绝通过。相反,如果系统先将permit规则与其匹配,则该报文会得到允许通过。
因此,对于规则之间存在重复或矛盾的情形,报文的匹配结果与ACL的匹配顺序是息息相关的。
设备支持两种ACL匹配顺序:配置顺序(config模式)和自动排序(auto模式)。缺省的ACL匹配顺序是config模式。
配置顺序配置顺序,即系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。
如果配置规则时指定了规则编号,则规则编号越小,规则插入位置越靠前,该规则越先被匹配。
如果配置规则时未指定规则编号,则由系统自动为其分配一个编号。该编号是一个大于当前ACL内最大规则编号且是步长整数倍的最小整数,因此该规则会被最后匹配。
自动排序自动排序,是指系统使用“深度优先”的原则,将规则按照精确度从高到低进行排序,并按照精确度从高到低的顺序进行报文匹配。规则中定义的匹配项限制越严格,规则的精确度就越高,即优先级越高,系统越先匹配。各类ACL的“深度优先”顺序匹配原则如所示。
关于中提到的IP地址通配符掩码、IP协议承载的协议类型、TCP/UDP端口号、二层协议类型通配符掩码、MAC地址通配符掩码等ACL匹配项的详细介绍,请参见。
表1-2 &“深度优先”匹配原则
在自动排序的ACL中配置规则时,不允许自行指定规则编号。系统能自动识别出该规则在这条ACL中对应的优先级,并为其分配一个适当的规则编号。
例如,在auto模式的高级ACL 3001中,先后配置以下两条规则:
rule deny ip destination 10.1.0.0 0.0.255.255
//表示拒绝目的IP地址为10.1.0.0/16网段地址的报文通过
rule permit ip destination 10.1.1.0 0.0.0.255
//表示允许目的IP地址为10.1.1.0/24网段地址的报文通过,该网段地址范围小于10.1.0.0/16网段范围
两条规则均没有带VPN实例,且协议范围、源IP地址范围相同,所以根据中高级ACL的深度优先匹配原则,接下来需要进一步比较规则的目的IP地址范围。由于permit规则指定的目的地址范围小于deny规则,所以permit规则的精确度更高,系统为其分配的规则编号更小。配置完上述两条规则后,ACL
3001的规则排序如下:
acl number 3001 match-order auto
rule 5 permit ip destination 10.1.1.0 0.0.0.255
rule 10 deny ip destination 10.1.0.0 0.0.255.255
此时,如果再插入一条新的规则rule deny ip destination 10.1.1.1 0(目的IP地址范围是主机地址,优先级高于以上两条规则),则系统将按照规则的优先级关系,重新为各规则分配编号。插入新规则后,ACL
3001新的规则排序如下:
acl number 3001 match-order auto
rule 5 deny ip destination 10.1.1.1 0
rule 10 permit ip destination 10.1.1.0 0.0.0.255
rule 15 deny ip destination 10.1.0.0 0.0.255.255
相比config模式的ACL,auto模式ACL的规则匹配顺序更为复杂,但是auto模式ACL有其独特的应用场景。例如,在网络部署初始阶段,为了保证网络安全性,管理员定义了较大的ACL匹配范围,用于丢弃不可信网段范围的所有IP报文。随着时间的推移,实际应用中需要允许这个大范围中某些特征的报文通过。此时,如果管理员采用的是auto模式,则只需要定义新的ACL规则,无需再考虑如何对这些规则进行排序避免报文被误丢弃。
&ACL的常用匹配项
设备支持的ACL匹配项种类非常丰富,其中最常用的匹配项包括以下几种。
生效时间段格式:time-range time-name
所有ACL均支持根据生效时间段过滤报文。关于生效时间段的详细介绍,请参见。
IP承载的协议类型格式:protocol-number | icmp | tcp | udp | gre | igmp | ip | ipinip | ospf
高级ACL支持基于协议类型过滤报文。常用的协议类型包括:ICMP(协议号1)、TCP(协议号6)、UDP(协议号17)、GRE(协议号47)、IGMP(协议号2)、IP(指任何IP层协议)、IPinIP(协议号4)、OSPF(协议号89)。协议号的取值可以是1~255。
例如,当设备某个接口下的用户存在大量的攻击者时,如果希望能够禁止这个接口下的所有用户接入网络,则可以通过指定协议类型为IP来屏蔽这些用户的IP流量来达到目的。配置如下:rule deny ip //表示拒绝IP报文通过
再如,设备上打开透明防火墙功能后,在缺省情况下,透明防火墙会在域间丢弃所有入域间的报文,包括业务报文和协议报文。如果希望像OSPF这样的动态路由协议报文能正常通过防火墙,保证路由互通,这时,通过指定协议类型为OSPF即可解决问题。rule permit ospf
//表示允许OSPF报文通过
源/目的IP地址及其通配符掩码源IP地址及其通配符掩码格式:source { source-address source-wildcard | any }
目的IP地址及其通配符掩码格式:destination { destination-address destination-wildcard | any }
基本ACL支持根据源IP地址过滤报文,高级ACL不仅支持源IP地址,还支持根据目的IP地址过滤报文。
将源/目的IP地址定义为规则匹配项时,需要在源/目的IP地址字段后面同时指定通配符掩码,用来与源/目的IP地址字段共同确定一个地址范围。
IP地址通配符掩码与IP地址的反向子网掩码类似,也是一个32比特位的数字字符串,用于指示IP地址中的哪些位将被检查。各比特位中,“0”表示“检查相应的位”,“1”表示“不检查相应的位”,概括为一句话就是“检查0,忽略1”。但与IP地址子网掩码不同的是,子网掩码中的“0”和“1”要求必须连续,而通配符掩码中的“0”和“1”可以不连续。
通配符掩码可以为0,相当于0.0.0.0,表示源/目的地址为主机地址;也可以为255.255.255.255,表示任意IP地址,相当于指定any参数。
举一个IP地址通配符掩码的示例,当希望来自192.168.1.0/24网段的所有IP报文都能够通过,可以配置如下规则:
rule 5 permit ip source 192.168.1.0 0.0.0.255
规则中的通配符掩码为0.0.0.255,表示只需检查IP地址的前三组二进制八位数对应的比特位。因此,如果报文源IP地址的前24个比特位与参照地址的前24个比特位(192.168.1)相同,即报文的源IP地址是192.168.1.0/24网段的地址,则允许该报文通过。展示了该例的地址范围计算过程。
表1-3 &通配符掩码示例
十进制等价值
二进制等价值
更多的IP地址与通配符掩码共同确定的地址范围示例,详见。
表1-4 &IP地址与通配符掩码共同确定的地址范围
IP地址通配符掩码
确定的地址范围
源/目的MAC地址及其通配符掩码源MAC地址及其通配符掩码格式:source-mac source-mac-address [ source-mac-mask ]
目的地址及其通配符掩码格式:destination-mac dest-mac-address [ dest-mac-mask ]
仅二层ACL支持基于源/目的MAC地址过滤报文。
将源/目的MAC地址定义为规则匹配项时,可以在源/目的MAC地址字段后面同时指定通配符掩码,用来与源/目的MAC地址字段共同确定一个地址范围。
MAC地址通配符掩码的格式与MAC地址相同,采用十六进制数表示,共六个字节(48位),用于指示MAC地址中的哪些位将被检查。与IP地址通配符掩码不同的是,MAC地址通配符掩码各比特位中,1表示“检查相应的位”,0表示“不检查相应的位”。如果不指定通配符掩码,则默认掩码为ffff-ffff-ffff,表示检查MAC地址的每一位。
MAC地址与通配符掩码共同确定的地址范围示例,如所示。
表1-5 &MAC地址与通配符掩码共同确定的地址范围
MAC地址通配符掩码
确定的地址范围
VLAN编号及其掩码外层VLAN及其掩码格式:vlan-id vlan-id [ vlan-id-mask ]
内层VLAN及其掩码格式:cvlan-id cvlan-id [ cvlan-id-mask ]
二层ACL支持基于外层VLAN或内层VLAN编号过滤报文。
将VLAN编号定义为规则匹配项时,可以在VLAN编号字段后面同时指定VLAN掩码,用来与VLAN编号字段共同确定一个VLAN范围。
VLAN掩码的格式是十六进制形式,取值范围是0x0~0xFFF。如果不指定VLAN掩码,则默认掩码为0xFFF,表示检查VLAN编号的每一位。
VLAN编号与掩码共同确定的VLAN范围示例,如所示。
表1-6 &VLAN编号及其掩码共同确定的VLAN范围
确定的VLAN范围
TCP/UDP端口号源端口号格式:source-port { eq port | gt port | lt port | range port-start port-end }
目的端口号格式:destination-port { eq port | gt port | lt port | range port-start port-end }
在高级ACL中,当协议类型指定为TCP或UDP时,设备支持基于TCP/UDP的源/目的端口号过滤报文。
其中,TCP/UDP端口号的比较符含义如下:
eq port:指定等于源/目的端口。
gt port:指定大于源/目的端口。
lt port:指定小于源/目的端口。
range port-start port-end:指定源/目的端口的范围。port-start是端口范围的起始,port-end是端口范围的结束。
TCP/UDP端口号可以使用数字表示,也可以用字符串(助记符)表示。例如,rule deny tcp
destination-port eq 80,可以用rule deny tcp destination-port eq
www替代。常见TCP端口号及对应的字符串如所示,常见UDP端口号及对应的字符串如所示。
表1-7 &常见TCP端口号及对应的字符串
表1-8 &常见UDP端口号及对应的字符串
TCP标志信息格式:tcp-flag { ack | established | fin | psh | rst | syn | urg }*
在高级ACL中,当协议类型指定为TCP时,设备支持基于TCP标志信息过滤报文。
TCP报文头有6个标志位:
URG(100000):标识紧急指针有效
ACK(010000):标识确认序号有效
PSH(001000):标识接收方应该尽快将这个报文段上交给应用层
RST(000100):标识重建连接
SYN(000010):同步序号,用来发起一个连接
FIN(000001):标识发送方完成发送任务
TCP标志信息中的established,表示标志位为ACK(010000)或RST(000100)。
指定tcp-flag的ACL规则可以用来实现单向访问控制。假设,要求192.168.1.0/24网段用户可以主动访问192.168.2.0/24网段用户,但反过来192.168.2.0/24网段用户不能主动访问192.168.1.0/24。可通过在设备上连接192.168.2.0/24网段的接口入方向上,应用ACL规则来实现该需求。
由TCP建立连接和关闭连接的过程可知,只有在TCP中间连接过程的报文才会ACK=1或者RST=1。根据这个特点,配置如下两种ACL规则,允许TCP中间连接过程的报文通过,拒绝其他TCP报文通过,就可以限制192.168.2.0/24网段主动发起的TCP连接。
类型一:配置指定ack和rst参数的ACL规则
rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack
//允许ACK=1的TCP报文通过
rule 10 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag rst
//允许RST=1的TCP报文通过
rule 15 deny tcp source 192.168.2.0 0.0.0.255
//拒绝其他TCP报文通过
类型二:配置指定established参数的ACL规则
rule permit tcp source 192.168.2.0 0.0.0.255 tcp-flag established
// established表示ACK=1或者RST=1,表示允许TCP中间连接过程的报文通过
rule deny tcp source 192.168.2.0 0.0.0.255
//拒绝其他TCP报文通过
IP分片信息格式:fragment
基本ACL和高级ACL支持基于IP分片信息过滤报文。
IP分片除了首片报文外,还有后续分片报文,又叫做非首片分片报文。仅首片分片报文携带四层信息(如TCP/UDP端口号等),后续分片报文均不携带。网络设备收到分片报文后,会判断其是否是最后一个分片报文。如果不是,则为其分配内存空间,以便于最后一个分片报文到达后完成重组。黑客可以利用这一点,向接收方设备发起分片报文攻击,始终不向接收方发送最后一个分片报文,使得接收方的内存得不到及时释放(接收方会启动一个分片重组的定时器,在定时器超时前如果无法完成重组,将向发送方发送ICMP重组超时差错报文;如果定时器超时后仍未完成重组,则丢弃已存储的分片报文)。在分片报文发送数量很多并且发送速度很快的情况下,接收方的内存很容易被占满,从而导致接收方没有足够的内存资源处理其他正常的业务。
为了解决这个问题,可以配置指定fragment匹配项的ACL规则来阻塞非首片分片报文,从而达到防范分片报文攻击的目的。
针对非分片报文、首片分片报文、非首片分片报文这三类报文,ACL的处理方式如所示。
表1-9 &ACL对IP分片报文的处理方式
规则包含的匹配项
非分片报文
首片分片报文
非首片分片报文
例如,ACL 3012中存在以下规则:
acl number 3012
rule 5 deny tcp destination 192.168.2.2 0 fragment
rule 10 permit tcp destination 192.168.2.2 0 destination-port eq www
rule 15 deny ip
对于目的IP地址是192.168.2.2的TCP报文:
该报文是非分片报文或首片分片报文时:如果该报文的目的端口号是80(www对应的端口号是80),则报文与rule 10匹配,报文被允许通过;如果该报文的目的端口号不是80,则报文与rule
15匹配,报文被拒绝通过。
该报文是非首片分片报文时:该报文与rule 5匹配,报文被拒绝通过。
&ACL的生效时间段
产生背景ACL定义了丰富的匹配项,可以满足大部分的报文过滤需求。但需求是不断变化发展的,新的需求总是不断涌现。例如,某公司要求,在上班时间只允许员工浏览与工作相关的几个网站,下班或周末时间才可以访问其他互联网网站;再如,在每天20:00~22:00的网络流量的高峰期,为防止P2P、下载类业务占用大量带宽对其他数据业务的正常使用造成影响,需要对P2P、下载类业务的带宽进行限制。
基于时间的ACL过滤就是用来解决上述问题的。管理员可以根据网络访问行为的要求和网络的拥塞情况,配置一个或多个ACL生效时间段,然后在ACL规则中引用该时间段,从而实现在不同的时间段设置不同的策略,达到网络优化的目的。
生效时间段模式在ACL规则中引用的生效时间段存在两种模式:
第一种模式——周期时间段:以星期为参数来定义时间范围,表示规则以一周为周期(如每周一的8至12点)循环生效。
格式:time-range time-name start-time to end-time { days } &&1-7&
time-name:时间段名称,以英文字母开头的字符串。
start-time to end-time:开始时间和结束时间。格式为[小时:分钟]
to [小时:分钟]。
days:有多种表达方式。
Mon、Tue、Wed、Thu、Fri、Sat、Sun中的一个或者几个的组合,也可以用数字表达,0表示星期日,1表示星期一,……6表示星期六。
working-day:从星期一到星期五,五天。
daily:包括一周七天。
off-day:包括星期六和星期日,两天。
第二种模式——绝对时间段:从某年某月某日的某一时间开始,到某年某月某日的某一时间结束,表示规则在这段时间范围内生效。
格式:time-range time-name from time1 date1 [ to time2 date2 ]
time-name:时间段名称,以英文字母开头的字符串。
time1/time2:格式为[小时:分钟]。
date1/date2:格式为[YYYY/MM/DD],表示年/月/日。
可以使用同一名称(time-name)配置内容不同的多条时间段,配置的各周期时间段之间以及各绝对时间段之间的交集将成为最终生效的时间范围。
例如,在ACL 2001中引用了时间段“test”,“test”包含了三个生效时间段:#
time-range test 8:00 to 18:00 working-day
time-range test 14:00 to 18:00 off-day
time-range test from 00:00
acl number 2001
rule 5 permit time-range test
第一个时间段,表示在周一到周五每天8:00到18:00生效,这是一个周期时间段。
第二个时间段,表示在周六、周日下午14:00到18:00生效,这是一个周期时间段。
第三个时间段,表示从日00:00起到日23:59生效,这是一个绝对时间段。
时间段“test”最终描述的时间范围为:2014年的周一到周五每天8:00到18:00以及周六和周日下午14:00到18:00。
&ACL应用模块的ACL默认动作和处理机制
ACL的应用模块配置完ACL后,必须在具体的业务模块中应用ACL,才能使ACL正常下发和生效。
最基本的ACL应用方式,是在简化流策略或流策略中应用ACL,使设备能够基于全局、VLAN或接口下发ACL,实现对转发报文的过滤。此外,ACL还可以应用在Telnet、FTP、路由等模块。
如所示,ACL应用的业务模块,主要分为以下几类。
表1-10 &ACL应用的业务模块
涉及业务模块
应用模块的ACL默认动作和处理机制在各类业务模块中应用ACL时,ACL的默认动作各有不同,所以各业务模块对命中/未命中ACL规则报文的处理机制也各不相同。
例如,流策略中的ACL默认动作是permit,在流策略中应用ACL时,如果ACL中存在规则但报文未匹配上,该报文仍可以正常通过。而Telnet中的ACL默认动作是deny,在Telnet中应用ACL时,如果遇到此种情况,该报文会被拒绝通过。
此外,黑名单模块中的ACL处理机制与其他模块有所不同。在黑名单中应用ACL时,无论ACL规则配置成permit还是deny,只要报文命中了规则,该报文都会被系统丢弃。
各类业务模块中的ACL默认动作及ACL处理机制,如所示。
表1-11 &各业务模块的ACL默认动作及ACL处理机制
ACL默认动作
ACL处理机制
命中permit规则
命中deny规则
ACL中配置了规则,但未命中任何规则
ACL中未配置规则
&ACL的常用配置原则
配置ACL规则时,可以遵循以下原则:
如果配置的ACL规则存在包含关系,应注意严格条件的规则编号需要排序靠前,宽松条件的规则编号需要排序靠后,避免报文因命中宽松条件的规则而停止往下继续匹配,从而使其无法命中严格条件的规则。
根据各业务模块ACL默认动作(请参见)的不同,ACL的配置原则也不同。例如,在默认动作为permit的业务模块中,如果只希望deny部分IP地址的报文,只需配置具体IP地址的deny规则,结尾无需添加任意IP地址的permit规则;而默认动作为deny的业务模块恰与其相反。详细的ACL常用配置原则,如所示。
说明: 以下rule的表达方式仅是示意形式,实际配置方法请参考各类ACL规则的命令行格式。
rule permit xxx/rule permit xxxx:表示允许指定的报文通过,xxx/xxxx表示指定报文的标识,可以是源IP地址、源MAC地址、生效时间段等。xxxx表示的范围与xxx表示的范围是包含关系,例如xxx是某一个IP地址,xxxx可以是该IP地址所在的网段地址或any(表示任意IP地址);再如xxx是周六的某一个时段,xxxx可以是双休日全天时间或一周七天全部时间。
rule deny xxx/rule deny xxxx:表示拒绝指定的报文通过。
rule permit:表示允许所有报文通过。
rule deny:表示拒绝所有报文通过。
表1-12 &ACL的常用配置原则
业务模块的ACL默认动作
permit所有报文
deny所有报文
permit少部分报文,deny大部分报文
deny少部分报文,permit大部分报文
例1:在流策略中应用ACL,使设备对192.168.1.0/24网段的报文进行过滤,拒绝192.168.1.2和192.168.1.3主机地址的报文通过,允许192.168.1.0/24网段的其他地址的报文通过。
流策略的ACL默认动作为permit,该例属于“deny少部分报文,permit大部分报文”的情况,所以只需配置rule deny xxx。
acl number 2000
rule 5 deny source 192.168.1.2 0
rule 10 deny source 192.168.1.3 0
例2:在流策略中应用ACL,使设备对192.168.1.0/24网段的报文进行过滤,允许192.168.1.2和192.168.1.3主机地址的报文通过,拒绝192.168.1.0/24网段的其他地址的报文通过。
流策略的ACL默认动作为permit,该例属于“permit少部分报文,deny大部分报文”的情况,所以需先配置rule permit xxx,再配置rule deny xxxx。
acl number 2000
rule 5 permit source 192.168.1.2 0
rule 10 permit source 192.168.1.3 0
rule 15 deny source 192.168.1.0 0.0.0.255
例3:在Telnet中应用ACL,仅允许管理员主机(IP地址为172.16.105.2)能够Telnet登录设备,其他用户不允许Telnet登录。
Telnet的ACL默认动作为deny,该例属于“permit少部分报文,deny大部分报文”的情况,所以只需配置rule permit xxx。
acl number 2000
rule 5 permit source 172.16.105.2 0
例4:在Telnet中应用ACL,不允许某两台主机(IP地址为172.16.105.3和172.16.105.4)Telnet登录设备,其他用户均允许Telnet登录。
Telnet的ACL默认动作为deny,该例属于“deny少部分报文,permit大部分报文”的情况,所以需先配置rule deny xxx,再配置rule permit。
acl number 2000
rule 5 deny source 172.16.105.3 0
rule 10 deny source 172.16.105.4 0
rule 15 permit
例5:在FTP中应用ACL,不允许用户在周六的00:00~8:00期间访问FTP服务器,允许用户在其他任意时间访问FTP服务器。
FTP的ACL默认动作为deny,该例属于“deny少部分报文,permit大部分报文”的情况,所以需先配置rule deny xxx,再配置rule permit xxxx。
time-range t1 00:00 to 08:00 Sat
time-range t2 00:00 to 23:59 daily
acl number 2000
rule 5 deny time-range t1
rule 10 permit time-range t2
&使用ACL限制Telnet登录权限
ACL应用在Telnet模块中,可以使设备作为Telnet服务器时,对哪些Telnet客户端以Telnet方式登录到本设备能加以控制,从而有效防止未经授权用户的非法接入。
如所示,为简单而方便的配置和管理远程设备(Telnet Server),管理员在服务器端进行了配置,使Telnet用户必须使用AAA验证方式才能登录。同时,管理员配置了基于ACL的登录限制策略,保证只有管理员使用的PC才能登录该设备。
图1-4 &使用ACL限制Telnet登录权限
&SNMP中应用ACL过滤非法网管
ACL应用在SNMP模块中,可以使网管对设备的管理权限得到控制,从而有效防止非法网管操作设备。
如所示,为简单而方便的配置和管理远程设备(Switch),管理员在Switch上配置了SNMP Agent服务,Agent及时地向网管报告设备的当前状态信息,使网管可以远端控制设备。同时,管理员配置了基于ACL的网管访问权限限制,保证只有可信任的网管(NMS2)才能管理该设备。
图1-5 &SNMP中应用ACL过滤非法网管
&使用ACL限制不同网段用户的互访
ACL应用在QoS的流策略/简化流策略中,可以实现不同网段用户之间访问权限的限制,从而避免用户之间随意访问形成安全隐患。
如所示,某公司为财务部和市场部规划了两个网段的IP地址。为了避免两个部门之间相互访问造成公司机密的泄露,管理员在两个部门连接Switch的接口(Interface1和Interface2)的入方向上应用绑定了ACL的流策略/简化流策略,禁止两个部门的互访。
图1-6 &使用ACL限制不同网段用户的互访
&使用ACL禁止特定用户主机在特定时间内上网
ACL应用在QoS的流策略/简化流策略中,可以实现特定用户主机在特定时间范围内上网权限的限制。
如所示,某公司通过switch连接到Internet。部分员工经常在上班时间访问与工作无关的网站,工作效率低下。所以,管理员配置了基于时间的ACL,并在这些用户连接switch的接口(Interface 1)的入方向上应用绑定了ACL的流策略/简化流策略,禁止这些用户在工作时间内上网,其余时间均可以上网。
图1-7 &使用ACL禁止特定用户在特定时间内上网
&在QoS中使用ACL实施流量监管
ACL应用在QoS的流策略/简化流策略中,可以实现对不同流量进入网络的速率的监督,对超出部分的流量进行“惩罚”,使进入的流量被限制在一个合理的范围之内,从而保护网络资源和用户的利益。
如所示,某公司的数据业务、视频业务、语音业务分别属于VLAN 100、VLAN 110、VLAN120。由于语音业务对服务质量的要求最高,视频业务次之,数据业务要求最低,所以管理员配置了基于ACL的流量监管功能,使设备可以对该公司不同的业务流按照VLAN
ID进行分类,并对匹配ACL规则的报文进行限速,从而将不同业务的流量限制在一个合理的范围之内,保证各业务的带宽需求。
图1-8 &在QoS中使用ACL实施流量监管
&在OSPF中使用ACL过滤路由信息
ACL可以应用在各种动态路由协议中,对路由协议发布和接收的路由信息进行过滤。
如所示,在运行OSPF(Open Shortest Path First)协议的网络中,SwitchA从Internet网络接收路由,并为OSPF网络提供了Internet路由。现要求OSPF网络中只能访问172.16.17.0/24、172.16.18.0/24和172.16.19.0/24三个网段的网络,其中SwitchC连接的网络只能访问172.16.18.0/24网段的网络。
管理员可以在SwitchA上配置ACL和路由策略,使其在路由发布时运用路由策略,仅提供路由172.16.17.0/24、172.16.18.0/24、172.16.19.0/24给SwitchB,实现OSPF网络中只能访问172.16.17.0/24、172.16.18.0/24和172.16.19.0/24三个网段的网络;并且在SwitchC上配置ACL和路由策略,使其在路由引入时运用路由策略,仅接收路由172.16.18.0/24,实现SwitchC连接的网络只能访问172.16.18.0/24网段的网络。
图1-9 &在OSPF中使用ACL过滤路由信息
&配置注意事项
介绍配置ACL的注意事项。
涉及网元无需其他网元配合。
License支持ACL特性是交换机的基本特性,无需获得License许可即可应用此功能。
表1-13 &产品形态和最低软件版本支持情况
最低支持版本
特性依赖和限制
创建ACL规则时,如果该规则已存在,则系统不会创建新的规则。
仅基本ACL与基本ACL6,以及高级ACL与高级ACL6,可以使用相同的ACL名称;其他类型ACL之间,不能使用相同的ACL名称。
不同的ACL匹配顺序,可能会造成不同的报文匹配结果,所以配置ACL时需注意ACL匹配顺序。创建ACL时,如果未指定match-order参数,则该ACL默认的规则匹配顺序为config。
在ACL中配置首条规则时,如果未指定参数rule-id,系统使用步长值作为规则的起始编号。后续配置规则如仍未指定参数rule-id,系统则使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号,并将该规则排在ACL的最末位置。例如ACL中包含规则rule
5和rule 12,ACL的缺省步长为5,大于12且是5的倍数的最小整数是15,所以系统分配给新配置的规则的编号为15。
在ACL6中配置规则时,如果未指定参数rule-id,系统为规则自动分配规则编号。分配的规则编号从0开始依次加1递增,如与已存在的规则编号重复,则往后顺延。例如ACL6中包含规则rule
0、rule 1、rule 3,则系统分配给新配置的未指定rule-id的规则的编号为2。
当在规则中指定参数time-range引入生效时间段时,需保证设备的系统时间与网络上其他设备的时间一致,否则可能造成ACL不生效。
当在规则中指定source source-address source-wildcard或destination destination-address destination-wildcard参数时,IP地址通配符掩码(source-wildcard和destination-wildcard)不是正向掩码,而是与IP地址反向子网掩码类似的一种掩码。
配置ACL规则时,如果不指定参数vpn-instance vpn-instance-name,设备会对公网和私网的报文均进行匹配。
在接口上应用ACL时,需注意ACL的应用方向。如果在接口的入方向上应用ACL,设备会对从该接口进入设备的报文进行ACL匹配处理;如果在接口的出方向上应用ACL,设备会对从该接口出去的报文进行ACL匹配处理。
如果指定的rule-id已存在,且新规则与原规则存在冲突,则冲突的部分新规则代替原规则,相当于编辑一个已经存在的ACL的规则。
使用命令undo rule删除规则的时候,rule-id必须是一个已经存在的ACL规则编号,如果不知道规则的编号,可以使用命令display acl来查看。
规则即使被引用(简化流策略中引用ACL指定rule的情况除外),使用undo rule命令行也可以删除该规则,请谨慎操作,评估删除的风险。
当在设备上部署WLAN业务时,设备仅支持将以下两种ACL规则下发到AP。
ACL编号范围为且rule编号范围为0~127的高级ACL规则
ACL编号范围为且rule编号范围为0~127的用户ACL规则
对于X1E系列单板,使用命令assign
acl-mode可以配置接口板ACL规格的资源分配模式。
表1-14 &资源分配模式所获得的ACL规格
资源分配模式
IPV4 ACL规格数目
IPV6 ACL规格数目
L2 ACL规格数目
&配置任务概览
设备支持的ACL主要包括:基本ACL、高级ACL、二层ACL、用户自定义ACL、用户ACL、基本ACL6和高级ACL6。
ACL的配置任务如所示。各配置任务之间,是并列关系,至少要选择其中的一种ACL进行配置。
表1-15 &ACL配置任务概览
介绍ACL缺省配置,实际应用的配置可以基于缺省配置进行修改。
ACL的缺省配置如所示。
表1-16 &ACL缺省配置
&配置并应用基本ACL
&(可选)配置ACL的生效时间段
缺省情况下,ACL一旦被应用到业务模块后是一直生效的。通过定义生效时间段,并将时间段与ACL规则关联,可以使ACL规则在某段时间范围内生效,从而达到使用基于时间的ACL来控制业务的目的。例如,在上班时间禁止员工访问互联网网站,避免影响工作;在网络流量高峰期,限制P2P/下载类业务的带宽,避免网络拥塞等。
在ACL规则中引用的生效时间段存在两种模式:
第一种模式——周期时间段:以星期为参数来定义时间范围,表示规则以一周为周期(如每周一的8至12点)循环生效。
第二种模式——绝对时间段:从某年某月某日的某一时间开始,到某年某月某日的某一时间结束,表示规则在这段时间范围内生效。
说明: 为避免设备的系统时间与网络不同步造成ACL不生效,建议配置NTP(Network Time Protocol),实现系统时钟的自动同步,保证设备与网络中所有设备时钟的一致性。NTP的配置,请参见《S12700 系列敏捷交换机 配置指南-设备管理》中的“配置NTP基本功能”。
执行命令system-view,进入系统视图。
执行命令time-range time-name { start-time to end-time { days } &&1-7& | from time1 date1 [ to time2 date2 ] },创建一个时间段。
缺省情况下,设备没有配置时间段。
可以使用同一名称(time-name)配置内容不同的多条时间段,配置的各周期时间段之间以及各绝对时间段之间的交集将成为最终生效的时间范围。
如果要删除时间段,可参见。
后续处理创建生效时间段后,还需创建ACL并配置与生效时间段关联的ACL规则。基本ACL的配置,请参见。
配置小窍门删除生效时间段删除生效时间段前,需要先删除关联生效时间段的ACL规则或者整个ACL。
例如,在ACL 2001中配置了rule 5,该规则关联了时间段time1。#
time-range time1 from 00:00
acl number 2001
rule 5 permit time-range time1
如果需要删除时间段time1,则需先删除rule 5或者先删除ACL 2001:
先删除rule 5,再删除time1。
&HUAWEI& system-view
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] undo rule 5
[HUAWEI-acl-basic-2001] quit
[HUAWEI] undo time-range time1
先删除ACL 2001,再删除time1。
&HUAWEI& system-view
[HUAWEI] undo acl 2001
[HUAWEI] undo time-range time1
&配置基本ACL
如果配置基于时间的ACL,则需创建生效时间段,并将其与ACL规则关联起来。具体操作请参见。
基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。
如果只需要根据源IP地址对报文进行过滤,可以配置基本ACL。
执行命令system-view,进入系统视图。
创建基本ACL。可使用编号或者名称两种方式创建。
执行命令acl [ number ] acl-number [ match-order { auto | config } ],使用编号()创建一个数字型的基本ACL,并进入基本ACL视图。
执行命令acl name acl-name { basic | acl-number } [ match-order { auto | config } ],使用名称创建一个命名型的基本ACL,并进入基本ACL视图。
缺省情况下,未创建ACL。
关于数字型ACL和命名型ACL的详细介绍,请参见。
如果创建ACL时未指定match-order参数,则该ACL默认的规则匹配顺序为config。关于ACL匹配顺序的详细介绍,请参见。
创建ACL后,ACL的缺省步长为5。如果该值不能满足管理员部署ACL规则的需求,则可以对ACL步长值进行调整。关于步长的详细介绍,请参见;关于步长调整的具体操作,请参见。
如果要删除已生效的ACL,可参见。
(可选)执行命令description text,配置ACL的描述信息。
缺省情况下,未配置ACL的描述信息。
配置ACL时,为ACL添加描述信息可以方便理解和记忆该ACL的功能或具体用途。
执行命令rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | fragment | logging | time-range time-name | vpn-instance vpn-instance-name ] *,配置基本ACL的规则。
以上步骤仅是一条permit/deny规则的配置步骤。实际配置ACL规则时,需根据具体的业务需求,决定配置多少条规则以及规则的先后匹配顺序。
关于生效时间段、源IP地址及其通配符掩码和IP分片信息的详细介绍,请参见。详细的规则配置示例,请参见。
(可选)执行命令rule rule-id description description,配置ACL规则的描述信息。
缺省情况下,各规则没有描述信息。
配置ACL规则时,为ACL规则添加描述信息,可以方便理解和记忆该ACL规则的功能或具体用途。
设备仅允许为已存在的规则添加描述信息,不允许先配置规则的描述信息再配置具体的规则内容。
配置小窍门删除ACL系统视图下执行命令undo acl { [ number ] acl-number | all }或undo acl name acl-name,可以直接删除ACL,不受引用ACL的业务模块影响(简化流策略中引用ACL指定rule的情况除外),即无需先删除引用ACL的业务配置。
配置基本ACL规则
配置基于源IP地址(主机地址)过滤报文的规则
在ACL 2001中配置规则,允许源IP地址是192.168.1.3主机地址的报文通过。&HUAWEI& system-view
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] rule permit source 192.168.1.3 0
配置基于源IP地址(网段地址)过滤报文的规则
在ACL 2001中配置规则,仅允许源IP地址是192.168.1.3主机地址的报文通过,拒绝源IP地址是192.168.1.0/24网段其他地址的报文通过,并配置ACL描述信息为Permit
only 192.168.1.3 through。&HUAWEI& system-view
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] rule permit source 192.168.1.3 0
[HUAWEI-acl-basic-2001] rule deny source 192.168.1.0 0.0.0.255
[HUAWEI-acl-basic-2001] description Permit only 192.168.1.3 through
配置基于时间的ACL规则
创建时间段working-time(周一到周五每天8:00到18:00),并在名称为work-acl的ACL中配置规则,在working-time限定的时间范围内,拒绝源IP地址是192.168.1.0/24网段地址的报文通过。&HUAWEI& system-view
[HUAWEI] time-range working-time 8:00 to 18:00 working-day
[HUAWEI] acl name work-acl basic
[HUAWEI-acl-basic-work-acl] rule deny source 192.168.1.0 0.0.0.255 time-range working-time
配置基于IP分片信息、源IP地址(网段地址)过滤报文的规则
在ACL 2001中配置规则,拒绝源IP地址是192.168.1.0/24网段地址的非首片分片报文通过。&HUAWEI& system-view
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] rule deny source 192.168.1.0 0.0.0.255 fragment
&应用基本ACL
配置完ACL后,必须在具体的业务模块中应用ACL,才能使ACL正常下发和生效。
最基本的ACL应用方式,是在简化流策略或流策略中应用ACL,使设备能够基于全局、VLAN或接口下发ACL,实现对转发报文的过滤。此外,ACL还可以应用在Telnet、FTP、路由等模块。
应用基本ACL。
基本ACL的常见应用方式,如所示。
表1-17 &应用基本ACL
各业务模块的ACL应用方式
&检查配置结果
执行命令display acl { acl-number | name acl-name | all },查看ACL的配置信息。
执行命令display time-range { all | time-name },查看时间段信息。
&配置并应用高级ACL
&(可选)配置ACL的生效时间段
请参见“配置并应用基本ACL”中的。
&配置高级ACL
如果配置基于时间的ACL,则需创建生效时间段,并将其与ACL规则关联起来。具体操作请参见。
高级ACL根据源IP地址、目的IP地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。
高级ACL比基本ACL提供了更准确、丰富、灵活的规则定义方法。例如,当希望同时根据源IP地址和目的IP地址对报文进行过滤时,则需要配置高级ACL。
执行命令system-view,进入系统视图。
创建高级ACL。可使用编号或者名称两种方式创建。
执行命令acl [ number ] acl-number [ match-order { auto | config } ],使用编号()创建一个数字型的高级ACL,并进入高级ACL视图。
执行命令acl name acl-name { advance | acl-number } [ match-order { auto | config } ],使用名称创建一个命名型的高级ACL,进入高级ACL视图。
缺省情况下,未创建ACL。
关于数字型ACL和命名型ACL的详细介绍,请参见。
如果创建ACL时未指定match-order参数,则该ACL默认的规则匹配顺序为config。关于ACL匹配顺序的详细介绍,请参见。
创建ACL后,ACL的缺省步长为5。如果该值不能满足管理员部署ACL规则的需求,则可以对ACL步长值进行调整。关于步长的详细介绍,请参见;关于步长调整的具体操作,请参见。
如果要删除已生效的ACL,可参见“配置基本ACL”中的,此处不再赘述。
(可选)执行命令description text,配置ACL的描述信息。
缺省情况下,未配置ACL的描述信息。
配置ACL时,为ACL添加描述信息可以方便理解和记忆该ACL的功能或具体用途。
配置高级ACL规则。
根据IP承载的协议类型不同,在设备上配置不同的高级ACL规则。对于不同的协议类型,有不同的参数组合。
当参数protocol为ICMP时,高级ACL的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | icmp } [ destination { destination-address destination-wildcard | any } | { { precedence precedence | tos tos } * | dscp dscp } | fragment | logging | icmp-type { icmp-name | icmp-type [ icmp-code ] } | source { source-address
source-wildcard | any } | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *
当参数protocol为TCP时,高级ACL的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | tcp } [ destination { destination-address destination-wildcard | any }
| destination-port { eq port | gt port | lt port | range port-start port-end } | { { precedence precedence | tos tos } * | dscp dscp } | fragment | logging | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | tcp-flag { ack | established | fin | psh | rst | syn | urg } *
| time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *
当参数protocol为UDP时,高级ACL的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | udp } [ destination { destination-address destination-wildcard | any }
| destination-port { eq port | gt port | lt port | range port-start port-end } | { { precedence precedence | tos tos } * | dscp dscp } | fragment | logging | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *
当参数protocol为GRE、IGMP、IP、IPINIP、OSPF时,高级ACL的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | gre | igmp | ip | ipinip | ospf }
[ destination { destination-address destination-wildcard | any } | { { precedence precedence | tos tos } * | dscp dscp } | fragment | logging | source { source-address source-wildcard | any } | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *
说明: X1E系列单板不支持ttl-expired参数。
以上步骤仅是一条permit/deny规则的配置步骤。实际配置ACL规则时,需根据具体的业务需求,决定配置多少条规则以及规则的先后匹配顺序。
关于生效时间段、IP承载的协议类型、源/目的IP地址及其通配符掩码、TCP/UDP端口号、TCP标志信息和IP分片信息的详细介绍,请参见。详细的规则配置示例,请参见。
(可选)执行命令rule rule-id description description,配置ACL规则的描述信息。
缺省情况下,各规则没有描述信息。
配置ACL规则时,为ACL规则添加描述信息,可以方便理解和记忆该ACL规则的功能或具体用途。
设备仅允许为已存在的规则添加描述信息,不允许先配置规则的描述信息再配置具体的规则内容。
配置小窍门配置高级ACL规则
配置基于ICMP协议类型、源IP地址(主机地址)和目的IP地址(网段地址)过滤报文的规则
在ACL 3001中配置规则,允许源IP地址是192.168.1.3主机地址且目的IP地址是192.168.2.0/24网段地址的ICMP报文通过。&HUAWEI& system-view
[HUAWEI] acl 3001
[HUAWEI-acl-adv-3001] rule permit icmp source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255
配置基于TCP协议类型、TCP目的端口号、源IP地址(主机地址)和目的IP地址(网段地址)过滤报文的规则
在名称为deny-telnet的高级ACL中配置规则,拒绝IP地址是192.168.1.3的主机与192.168.2.0/24网段的主机建立Telnet连接。&HUAWEI& system-view
[HUAWEI] acl name deny-telnet
[HUAWEI-acl-adv-deny-telnet] rule deny tcp destination-port eq telnet source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255
在名称为no-web的高级ACL中配置规则,禁止192.168.1.3和192.168.1.4两台主机访问Web网页(HTTP协议用于网页浏览,对应TCP端口号是80),并配置ACL描述信息为Web
access restrictions。&HUAWEI& system-view
[HUAWEI] acl name no-web
[HUAWEI-acl-adv-no-web] description Web access restrictions
[HUAWEI-acl-adv-no-web] rule deny tcp destination-port eq 80 source 192.168.1.3 0
[HUAWEI-acl-adv-no-web] rule deny tcp destination-port eq 80 source 192.168.1.4 0
配置基于TCP协议类型、源IP地址(网段地址)和TCP标志信息过滤报文的规则
在ACL 3002中配置规则,拒绝192.168.2.0/24网段的主机主动发起的TCP握手报文通过,允许该网段主机被动响应TCP握手的报文通过,实现192.168.2.0/24网段地址的单向访问控制。同时,配置ACL规则描述信息分别为Allow
the ACK TCP packets through、Allow the RST TCP packets through和Do not
Allow the other TCP packet through。
完成以上配置,必须先配置两条permit规则,允许192.168.2.0/24网段的ACK=1或RST=1的报文通过,再配置一条deny规则,拒绝该网段的其他TCP报文通过。&HUAWEI& system-view
[HUAWEI] acl 3002
[HUAWEI-acl-adv-3002] rule permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack
[HUAWEI-acl-adv-3002] display this
//如果配置规则时未指定规则编号,则可以通过此步骤查看到系统为该规则分配的编号,然后根据该编号,为该规则配置描述信息。
acl number 3002
rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack
//系统分配的规则编号是5
[HUAWEI-acl-adv-3002] rule 5 description Allow the ACK TCP packets through
[HUAWEI-acl-adv-3002] rule permit tcp source 192.168.2.0 0.0.0.255 tcp-flag rst
[HUAWEI-acl-adv-3002] display this
acl number 3002
rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack
rule 5 description Allow the ACK TCP packets through
rule 10 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag rst
//系统分配的规则编号是10
[HUAWEI-acl-adv-3002] rule 10 description Allow the RST TCP packets through
[HUAWEI-acl-adv-3002] rule deny tcp source 192.168.2.0 0.0.0.255
[HUAWEI-acl-adv-3002] display this
acl number 3002
rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack
rule 5 description Allow the ACK TCP packets through
rule 10 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag rst
rule 10 description Allow the RST TCP packets through
rule 15 deny tcp source 192.168.2.0 0.0.0.255
//系统分配的规则编号是15
[HUAWEI-acl-adv-3002] rule 15 description Do not Allow the other TCP packet through
也可以通过配置established参数,允许192.168.2.0/24网段的ACK=1或RST=1的报文通过,再配置一条deny规则,拒绝该网段的其他TCP报文通过。&HUAWEI& system-view
[HUAWEI] acl 3002
[HUAWEI-acl-adv-3002] rule permit tcp source 192.168.2.0 0.0.0.255 tcp-flag established
[HUAWEI-acl-adv-3002] rule 5 description Allow the Established TCP packets through
[HUAWEI-acl-adv-3002] rule deny tcp source 192.168.2.0 0.0.0.255
[HUAWEI-acl-adv-3002] rule 10 description Do not Allow the other TCP packet through
[HUAWEI-acl-adv-3002] display this
acl number 3002
rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag established
rule 5 description Allow the Established TCP packets through
rule 10 deny tcp source 192.168.2.0 0.0.0.255
rule 10 description Do not Allow the other TCP packet through
请参见“配置基本ACL”中的,不再赘述。
配置基于IP分片信息、源IP地址(网段地址)过滤报文的规则
请参见“配置基本ACL”中的,不再赘述。
&应用高级ACL
配置完ACL后,必须在具体的业务模块中应用ACL,才能使ACL正常下发和生效。
最基本的ACL应用方式,是在简化流策略或流策略中应用ACL,使设备能够基于全局、VLAN或接口下发ACL,实现对转发报文的过滤。此外,ACL还可以应用在FTP、组播等模块。
应用高级ACL。
高级ACL的常见应用方式,如所示。
表1-18 &应用高级ACL
各业务模块的ACL应用方式
&检查配置结果
执行命令display acl { acl-number | name acl-name | all },查看ACL的配置信息。
执行命令display time-range { all | time-name },查看时间段信息。
&配置并应用二层ACL
&(可选)配置ACL的生效时间段
请参见“配置并应用基本ACL”中的。
&配置二层ACL
如果配置基于时间的ACL,则需创建生效时间段,并将其与ACL规则关联起来。具体操作请参见。
二层ACL根据以太网帧头信息来定义规则,如源MAC(Media Access
Control)地址、目的MAC地址、VLAN、二层协议类型等,对IPv4和IPv6报文进行过滤。
如果只需要根据二层信息过滤报文,可以配置二层ACL。
执行命令system-view,进入系统视图。
创建二层ACL。可使用编号或者名称两种方式创建。
执行命令acl [ number ] acl-number [ match-order { auto | config } ],使用编号()创建一个数字型的二层ACL,并进入二层ACL视图。
执行命令acl name acl-name { link | acl-number } [ match-order { auto | config } ],使用名称创建一个命名型的二层ACL,进入二层ACL视图。
缺省情况下,未创建ACL。
关于数字型ACL和命名型ACL的详细介绍,请参见。
如果创建ACL时未指定match-order参数,则该ACL默认的规则匹配顺序为config。关于ACL匹配顺序的详细介绍,请参见。
创建ACL后,ACL的缺省步长为5。如果该值不能满足管理员部署ACL规则的需求,则可以对ACL步长值进行调整。关于步长的详细介绍,请参见;关于步长调整的具体操作,请参见。
如果要删除已生效的ACL,可参见“配置基本ACL”中的,此处不再赘述。
(可选)执行命令description text,配置ACL的描述信息。
缺省情况下,未配置ACL的描述信息。
配置ACL时,为ACL添加描述信息可以方便理解和记忆该ACL的功能或具体用途。
执行命令rule [ rule-id ] { permit | deny } [ [ ether-ii | 802.3 | snap ] | l2-protocol type-value [ type-mask ] | destination-mac dest-mac-address [ dest-mac-mask ] | source-mac source-mac-address [ source-mac-mask ] | vlan-id vlan-id [ vlan-id-mask ] | 8021p 802.1p-value | cvlan-id cvlan-id [ cvlan-id-mask ] | cvlan-8021p 802.1p-value | double-tag | time-range time-name ] *,配置二层ACL的规则。
以上步骤仅是一条permit/deny规则的配置步骤。实际配置ACL规则时,需根据具体的业务需求,决定配置多少条规则以及规则的先后匹配顺序。
关于生效时间段、源/目的MAC地址及其通配符掩码、VLAN编号及其掩码的详细介绍,请参见。详细的规则配置示例,请参见。
(可选)执行命令rule rule-id description description,配置ACL规则的描述信息。
缺省情况下,各规则没有描述信息。
配置ACL规则时,为ACL规则添加描述信息,可以方便理解和记忆该ACL规则的功能或具体用途。
设备仅允许为已存在的规则添加描述信息,不允许先配置规则的描述信息再配置具体的规则内容。
配置小窍门配置二层ACL规则
配置基于源MAC地址(单个MAC地址)、目的MAC地址(单个MAC地址)和二层协议类型过滤报文的规则
在ACL 4001中配置规则,允许目的MAC地址是01、源MAC地址是02的ARP报文(二层协议类型值为0x0806)通过。&HUAWEI& system-view
[HUAWEI] acl 4001
[HUAWEI-acl-L2-4001] rule permit destination-mac 01 source-mac 02 l2-protocol 0x0806
在ACL 4001中配置规则,拒绝PPPoE报文(二层协议类型值为0x8863)通过。&HUAWEI& system-view
[HUAWEI] acl 4001
[HUAWEI-acl-L2-4001] rule deny l2-protocol 0x8863
配置基于源MAC地址(MAC地址段)和内层VLAN过滤报文的规则
在名称为deny-vlan10-mac的二层ACL中配置规则,拒绝来自VLAN10且源MAC地址在00e0-fc01--fc01-ffff范围内的报文通过。&HUAWEI& system-view
[HUAWEI] acl name deny-vlan10-mac link
[HUAWEI-acl-L2-deny-vlan10-mac] rule deny vlan-id 10 source-mac 00e0-fc01-0000 ffff-ffff-0000
配置基于时间的ACL规则
请参见“配置基本ACL”中的,不再赘述。
&应用二层ACL
配置完ACL后,必须在具体的业务模块中应用ACL,才能使ACL正常下发和生效。
最基本的ACL应用方式,是在简化流策略/流策略中应用ACL,使设备能够基于全局、VLAN或接口下发ACL,实现对转发报文的过滤。此外,ACL还可以应用在本机防攻击等模块。
应用二层ACL。
二层ACL的常见应用方式,如所示。
表1-19 &应用二层ACL
各业务模块的ACL应用方式
&检查配置结果
执行命令display acl { acl-number | name acl-name | all },查看ACL的配置信息。
执行命令display time-range { all | time-name },查看时间段信息。
&配置并应用用户自定义ACL
说明: X1E系列单板不支持用户自定义ACL。
&(可选)配置ACL的生效时间段
请参见“配置并应用基本ACL”中的。
&配置用户自定义ACL
如果配置基于时间的ACL,则需创建生效时间段,并将其与ACL规则关联起来。具体操作请参见。
用户自定义ACL根据报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则,即以报文头为基准,指定从报文的第几个字节开始与字符串掩码进行“与”操作,并将提取出的字符串与用户自定义的字符串进行比较,对IPv4和IPv6报文进行过滤。
用户自定义ACL比基本ACL、高级ACL和二层ACL提供了更准确、丰富、灵活的规则定义方法。例如,当希望同时根据源IP地址、ARP报文类型对ARP报文进行过滤时,则可以配置用户自定义ACL。
执行命令system-view,进入系统视图。
创建用户自定义ACL。可使用编号或者名称两种方式创建。
执行命令acl [ number ] acl-number [ match-order { auto | config } ],使用编号()创建一个数字型的用户自定义ACL,并进入用户自定义ACL视图。
执行命令acl name acl-name { user | acl-number } [ match-order { auto | config } ],使用名称创建一个命名型的用户自定义ACL,进入用户自定义ACL视图。
缺省情况下,未创建ACL。
关于数字型ACL和命名型ACL的详细介绍,请参见。
如果创建ACL时未指定match-order参数,则该ACL默认的规则匹配顺序为config。关于ACL匹配顺序的详细介绍,请参见。
创建ACL后,ACL的缺省步长为5。如果该值不能满足管理员部署ACL规则的需求,则可以对ACL步长值进行调整。关于步长的详细介绍,请参见;关于步长调整的具体操作,请参见。
如果要删除已生效的ACL,可参见“配置基本ACL”中的,此处不再赘述。
(可选)执行命令description text,配置ACL的描述信息。
缺省情况下,未配置ACL的描述信息。
配置ACL时,为ACL添加描述信息可以方便理解和记忆该ACL的功能或具体用途。
执行命令rule [ rule-id ] { deny | permit } [ [ l2-head | ipv4-head | ipv6-head | l4-head ] { rule-string
rule-mask offset } &&1-8& | time-range time-name ] *,配置用户自定义ACL规则。
以上步骤仅是一条permit/deny规则的配置步骤。实际配置ACL规则时,需根据具体的业务需求,决定配置多少条规则以及规则的先后匹配顺序。
详细的规则配置示例,请参见。
(可选)执行命令rule rule-id description description,配置ACL规则的描述信息。
缺省情况下,各规则没有描述信息。
配置ACL规则时,为ACL规则添加描述信息,可以方便理解和记忆该ACL规则的功能或具体用途。
设备仅允许为已存在的规则添加描述信息,不允许先配置规则的描述信息再配置具体的规则内容。
配置小窍门配置用户自定义ACL规则
配置基于报文的二层头、偏移位置、字符串掩码和用户自定义字符串过滤报文的规则
在ACL 5001中配置规则,拒绝源IP地址为192.168.0.2的ARP报文通过。
以下规则中的0x是ARP帧类型,0x0000ffff是字符串掩码,10是设备内部处理不含VLAN信息的ARP报文中的协议类型字段的偏移量,c0a88.0.2的十六进制形式,26和30分别是设备内部处理不含VLAN信息的ARP报文中源IP地址字段高两个字节和低两个字节的偏移量(ARP报文的源IP地址字段从二层头第28个字节开始占4个字节,受到用户自定义ACL规定二层头偏移位置只能是“4n+2”(n是整数)的限制,因此针对源IP地址,需要拆分成两段进行匹配,即偏移量为4×6+2=26的位置开始往后匹配4个字节的低两个字节以及偏移量为4×7+2=30的位置开始往后匹配4个字节的高两个字节)。如果要对携带VLAN信息的ARP报文进行过滤,则要将以下规则中的三个偏移量值再分别加上4。图1-10 &ARP报文源IP地址字段在二层头中的偏移量示意图
&HUAWEI& system-view
[HUAWEI] acl 5001
[HUAWEI-acl-user-5001] rule deny l2-head 0xx0000ffff 10 0x 0x0000ffff 26 0xxffff0000 30
在名称为deny-tcp的用户自定义ACL中配置规则,拒绝所有TCP报文通过。
以下规则中的0x是TCP协议号,8是设备内部处理IP报文中协议字段的偏移量(由于IP报文中的协议字段从IPv4头第10个字节开始占1个字节,并且受到用户自定义ACL规定IPv4头偏移位置只能是“4n”(n是整数)的限制,因此针对协议字段,需要从IPv4头偏移量为8的位置开始往后匹配4个字节的第二个高位字节)。&HUAWEI& system-view
[HUAWEI] acl name deny-tcp user
[HUAWEI-acl-user-deny-tcp] rule 5 deny ipv4-head 0xx00ff0000 8
图1-11 &TCP协议字段在IPv4头中的偏移量示意图
配置基于时间的ACL规则
请参见“配置基本ACL”中的,不再赘述。
&应用用户自定义ACL
配置完ACL后,必须在具体的业务模块中应用ACL,才能使ACL正常下发和生效。
目前用户自定义ACL仅支持在简化流策略/流策略中应用,使设备能够基于全局、VLAN或接口下发ACL,实现对转发报文的过滤。
应用用户自定义ACL。
用户自定义ACL的常见应用方式,如所示。
表1-20 &应用用户自定义ACL
各业务模块的ACL应用方式
&检查配置结果
执行命令display acl { acl-number | name acl-name | all },查看ACL的配置信息。
执行命令display time-range { all | time-name },查看时间段信息。
&配置并应用用户ACL
&(可选)配置ACL的生效时间段
请参见“配置并应用基本ACL”中的。
&配置用户ACL
通过命令authentication unified-mode将NAC配置模式切换成统一模式,并重启设备使该模式功能生效。
通过命令ucl-group创建标记用户类别的UCL组。
如果配置基于时间的ACL,则需创建生效时间段,并将其与ACL规则关联起来。具体操作请参见。
用户ACL根据IPv4报文的源IP地址或源UCL(User Control
List)组、目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号、生效时间段等来定义规则,对IPv4报文进行过滤。
如果需要根据UCL组对报文进行过滤,可以配置用户ACL。
说明: S系列中的SA系列单板不支持用户ACL。
执行命令system-view,进入系统视图。
创建用户ACL。可使用编号或者名称两种方式创建。
执行命令acl [ number ] acl-number [ match-order { auto | config } ],使用编号(6000~9999)创建一个数字型的用户ACL,并进入用户ACL视图。
执行命令acl name acl-name { ucl | acl-number } [ match-order { auto | config } ],使用名称创建一个命名型的用户ACL,并进入用户ACL视图。
缺省情况下,未创建ACL。
关于数字型ACL和命名型ACL的详细介绍,请参见。
如果创建ACL时未指定match-order参数,则该ACL默认的规则匹配顺序为config。关于ACL匹配顺序的详细介绍,请参见。
创建ACL后,ACL的缺省步长为5。如果该值不能满足管理员部署ACL规则的需求,则可以对ACL步长值进行调整。关于步长的详细介绍,请参见;关于步长调整的具体操作,请参见。
如果要删除已生效的ACL,可参见“配置基本ACL”中的,此处不再赘述。
(可选)执行命令description text,配置ACL的描述信息。
缺省情况下,未配置ACL的描述信息。
配置ACL时,为ACL添加描述信息可以方便理解和记忆该ACL的功能或具体用途。
配置用户ACL规则。
根据IP承载的协议类型不同,在设备上配置不同的用户ACL规则。对于不同的协议类型,有不同的参数组合。
当参数protocol为ICMP时,用户ACL的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | icmp } [ source { source-address source-wildcard | any | ucl-group { source-ucl-group-index | name source-ucl-group-name } } | destination { destination-address destination-wildcard | any | ucl-group { destination-ucl-group-index | name destination-ucl-group-name } | fqdn fqdn-name } | icmp-type { icmp-name | icmp-type [ icmp-code ] } | time-range time-name | vpn-instance vpn-instance-name ] *
当参数protocol为TCP时,用户ACL的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | tcp } [ source { source-address source-wildcard | any | ucl-group { source-ucl-group-index | name source-ucl-group-name } } | destination { destination-address destination-wildcard | any | ucl-group { destination-ucl-group-index | name destination-ucl-group-name } | fqdn fqdn-name } | source-port { eq port | gt port | lt port | range port-start port-end } | destination-port { eq port | gt port | lt port | range port-start port-end } | time-range time-name | vpn-instance vpn-instance-name ] *
当参数protocol为UDP时,用户ACL的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | udp } [ source { source-address source-wildcard | any | ucl-group { source-ucl-group-index | name source-ucl-group-name } } | destination { destination-address destination-wildcard | any | ucl-group { destination-ucl-group-index | name destination-ucl-group-name } | fqdn fqdn-name } | source-port { eq port | gt port | lt port | range port-start port-end } | destination-port { eq port | gt port | lt port | range port-start port-end } | time-range time-name | vpn-instance vpn-instance-name ] *
当参数protocol为GRE、IGMP、IP、IPINIP、OSPF时,用户ACL的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | gre | igmp | ip | ipinip | ospf } [ source { source-address source-wildcard | any | ucl-group { source-ucl-group-index | name source-ucl-group-name } } | destination { destination-address destination-wildcard | any | ucl-group { destination-ucl-group-index | name destination-ucl-group-name }
| fqdn fqdn-name } | time-range time-name | vpn-instance vpn-instance-name ] *
以上步骤仅是一条permit/deny规则的配置步骤。实际配置ACL规则时,需根据具体的业务需求,决定配置多少条规则以及规则的先后匹配顺序。
详细的规则配置示例,请参见。
(可选)执行命令rule rule-id description description,配置ACL规则的描述信息。
缺省情况下,各规则没有描述信息。
配置ACL规则时,为ACL规则添加描述信息,可以方便理解和记忆该ACL规则的功能或具体用途。
设备仅允许为已存在的规则添加描述信息,不允许先配置规则的描述信息再配置具体的规则内容。
配置小窍门配置用户ACL规则
配置基于源UCL组、目的IP地址过滤报文的规则
在ACL 6000中配置规则,拒绝从源UCL组group1的主机向192.168.1.0/24网段的主机发送的所有IP报文通过。&HUAWEI& system-view
[HUAWEI] ucl-group 1 name group1
[HUAWEI] acl 6000
[HUAWEI-acl-ucl-6000] rule deny ip source ucl-group name group1 destination 192.168.1.0 0.0.0.255
配置基于时间的ACL规则
请参见“配置基本ACL”中的,不再赘述。
&应用用户ACL
配置完ACL后,必须在具体的业务模块中应用ACL,才能使ACL正常下发和生效。
目前用户ACL仅支持在NAC特性的UCL组中应用。通过配置UCL组,并配置用户ACL规则关联UCL组使一组用户复用ACL规则,再配置基于用户ACL对报文进行过滤使ACL生效,最后在AAA的业务方案中应用UCL组,可以实现对用户的网络访问权限进行分组控制。
应用用户ACL。
用户ACL的应用方式,如所示。
表1-21 &应用用户ACL
各业务模块的ACL应用方式
&检查配置结果
执行命令display acl { acl-number | name acl-name | all },查看ACL的配置信息。
执行命令display time-range { all | time-name },查看时间段信息。
&配置并应用基本ACL6
&(可选)配置ACL6的生效时间段
ACL6与ACL关联的生效时间段相同,配置方法请参见“配置并应用基本ACL”中的。
&配置基本ACL6
如果配置基于时间的ACL6,则需创建生效时间段,并将其与ACL6规则关联起来。具体操作请参见。
基本ACL6根据源IPv6地址、分片信息和生效时间段等信息来定义规则,对IPv6报文进行过滤。
如果只需要根据源IPv6地址对报文进行过滤,可以配置基本ACL6。
执行命令system-view,进入系统视图。
创建基本ACL6。可使用编号或者名称两种方式创建。
执行命令acl ipv6 [ number ] acl6-number [ match-order { auto | config } ],使用编号()创建一个数字型的基本ACL6,并进入基本ACL6视图。
执行命令acl ipv6 name acl6-name { basic | acl6-number } [ match-order { auto | config } ],使用名称创建一个命名型的基本ACL6,并进入基本ACL6视图。
缺省情况下,未创建ACL6。
数字型ACL6和命名型ACL6的原理同数字型ACL和命名型ACL,详细介绍请参见。
如果创建ACL6时未指定match-order参数,则该ACL6默认的规则匹配顺序为config。ACL6的规则匹配顺序同ACL匹配顺序,详细介绍请参见。
如果要删除已生效的ACL6,可参见。
执行命令rule [ rule-id ] { deny | permit } [ fragment | logging | source {
source-ipv6-address prefix-length | source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | time-range time-name | vpn-instance vpn-instance-name ] *,配置基本ACL6规则。
以上步骤仅是一条permit/deny规则的配置步骤。实际配置ACL规则时,需根据具体的业务需求,决定配置多少条规则以及规则的先后匹配顺序。
详细的规则配置示例,请参见。
(可选)执行命令rule rule-id description description,配置ACL规则的描述信息。
缺省情况下,各规则没有描述信息。
配置ACL规则时,为ACL规则添加描述信息,可以方便理解和记忆该ACL规则的功能或具体用途。
设备仅允许为已存在的规则添加描述信息,不允许先配置规则的描述信息再配置具体的规则内容。
配置小窍门删除ACL6系统视图下执行命令undo acl ipv6 { all | [ number ] acl6-number }或undo acl ipv6 name acl6-name,可以直接删除ACL6,不受引用ACL6的业务模块影响(简化流策略中引用ACL6指定rule的情况除外),即无需先删除引用ACL6的业务配置。
配置基本ACL6规则
配置基于源IPv6地址(主机地址)过滤报文的规则
在ACL6 2001中配置规则,允许源IPv6地址是fc00:1::1/128主机地址的报文通过。&HUAWEI& system-view
[HUAWEI] acl ipv6 2001
[HUAWEI-acl6-basic-2001] rule permit source fc00:1::1 128
配置基于源IPv6地址(网段地址)过滤报文的规则
在ACL6 2001中配置规则,仅允许源IPv6地址是fc00:1::1/128主机地址的报文通过,拒绝源IPv6地址是fc00:1::/64网段其他地址的报文通过。&HUAWEI& system-view
[HUAWEI] acl ipv6 2001
[HUAWEI-acl6-basic-2001] rule permit source fc00:1::1 128
[HUAWEI-acl6-basic-2001] rule deny source fc00:1:: 64
请参见“配置基本ACL”中的,不再赘述。
配置基于IP分片信息、源IP地址(网段地址)过滤报文的规则
请参见“配置基本ACL”中的,不再赘述。
&应用基本ACL6
配置完ACL6后,必须在具体的业务模块中应用ACL6,才能使ACL6正常下发和生效。
最基本的ACL6应用方式,是在简化流策略/流策略中应用ACL6,使设备能够基于全局、VLAN或接口下发ACL6,实现对转发报文的过滤。此外,ACL6还可以应用在Telnet、FTP、路由等模块。
应用基本ACL6。
基本ACL的常见应用方式,如所示。
表1-22 &应用基本ACL6
各业务模块的ACL应用方式
&检查配置结果
执行命令display acl ipv6 { acl6-number | name acl6-name | all },查看ACL6的配置信息。
执行命令display time-range { all | time-name },查看时间段信息。
&配置并应用高级ACL6
&(可选)配置ACL6的生效时间段
ACL6与ACL关联的生效时间段相同,配置方法请参见“配置并应用基本ACL”中的。
&配置高级ACL6
如果配置基于时间的ACL6,则需创建生效时间段,并将其与ACL6规则关联起来。具体操作请参见。
高级ACL6根据源IPv6地址、目的IPv6地址、IPv6协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv6报文进行过滤。
高级ACL6比基本ACL6提供了更准确、丰富、灵活的规则定义方法。例如,当希望同时根据源IPv6地址和目的IPv6地址对报文进行过滤时,则需要配置高级ACL6。
执行命令system-view,进入系统视图。
创建高级ACL。可使用编号或者名称两种方式创建。
执行命令acl ipv6 [ number ] acl6-number [ match-order { auto | config } ],使用编号()创建一个数字型的高级ACL6,并进入高级ACL6视图。
执行命令acl ipv6 name acl6-name { advance | acl6-number } [ match-order { auto | config } ],使用名称创建一个命名型的高级ACL6,进入高级ACL6视图。
缺省情况下,未创建ACL。
数字型ACL6和命名型ACL6}
华为OSPF 配置命令详解网络技术
15:22:36 阅读 946 评论 0 字号:大中小 订阅 【命令】ospf network-type { broadcast | nbma | p2mp | p2p }...
华为三层交换机做OSPF_计算机硬件及网络_IT/计算机_专业资料。配置 OSPF 基本功能...华为5700交换机OSPF配置 6页 1下载券 华为OSPF配置命令详解 13页 免费 H3C5120...
华为OSPF培训ppt_IT认证_资格考试/认证_教育专区。OSPF...使用配置命令强制路由器的ROUTER ID [QUIDWAY] ...本节主要讲解的是OSPF的数据结构,了解和掌握OSPF的...
华为路由器配置 OSPF 的 NSSA 区域组网需求如图 1 所示,所有的 S-switch 都运行 OSPF,整个自治系统划分为 3 个区域。其中 S-switch-A 和 S-switch-B 作为 ...
华为路由器配置OSPF的Stub区域实例_计算机硬件及网络_IT/计算机_专业资料。华为路由...华为路由器NAT命令详解 6页 1下载券 华为路由器配置OSPF的NS... 暂无评价 8...
附:思科和华为路由器 OSPF 相关的调试命令比较: 思科路由器 OSPF 调试的命令...思科路由器配置命令详解... 45页 免费 思科网络学院教程——OS... 52页 免费...
华为路由器 配置OSPF 42页 2财富值 华为OSPF配置命令详解 13页 免费 华为路由...配置 第六章在华为路由器上 主讲动态路由 OSPF 在华为路由器上配置 动态路由 ...
华为常用命令_计算机硬件及网络_IT/计算机_专业资料。1.执行命令 system-view,...图1 OSPF 基本配置组网图 S-A S9300-A S9300-B S9300-B S...
华为OSPF总结_计算机硬件及网络_IT/计算机_专业资料。华为 ospf 总结华为...华为OSPF配置命令详解 13页 免费 华为培训教程DTL110019 ... 28页 免费 ...
华为OSPF 区域路由聚合的配置案例来源:www.56cto.com 作者: 发布时间:2009-07...华为OSPF配置命令详解 13页 免费
华为路由器 配置OSPF 42页 1下载券介绍配置ACL的注意事项。
设备支持的ACL主要包括:基本ACL、高级ACL、二层ACL、用户自定义ACL、用户ACL、基本ACL6和高级ACL6。
介绍ACL缺省配置,实际应用的配置可以基于缺省配置进行修改。
介绍ACL的相关FAQ。
介绍ACL的参考标准和协议。
定义访问控制列表ACL(Access
Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
说明: 配置ACL后,还需将ACL在业务模块中应用,ACL才能生效。
ACL可以应用于诸多业务模块,其中最基本的ACL应用,就是在简化流策略/流策略中应用ACL,使设备能够基于全局、VLAN或接口下发ACL,实现对转发报文的过滤。此外,ACL还可以应用在Telnet、FTP、路由等模块。业务模块之间的ACL默认处理动作和处理机制有所不同,具体请参见。
目的随着网络的飞速发展,网络安全和网络服务质量QoS(Quality
of Service)问题日益突出。
企业重要服务器资源被随意访问,企业机密信息容易泄露,造成安全隐患。
Internet病毒肆意侵略企业内网,内网环境的安全性堪忧。
网络带宽被各类业务随意挤占,服务质量要求最高的语音、视频业务的带宽得不到保障,造成用户体验差。
以上种种问题,都对正常的网络通信造成了很大的影响。因此,提高网络安全性服务质量迫在眉睫。ACL就在这种情况下应运而生了。
通过ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
是一个典型的ACL应用组网场景。
图1-1 &ACL典型应用场景
某企业为保证财务数据安全,禁止研发部门访问财务服务器,但总裁办公室不受限制。实现方式:
在Interface
1的入方向上部署ACL,禁止研发部门访问财务服务器的报文通过。Interface 2上无需部署ACL,总裁办公室访问财务服务器的报文默认允许通过。
保护企业内网环境安全,防止Internet病毒入侵。实现方式:
在Interface 3的入方向上部署ACL,将病毒经常使用的端口予以封堵。
相关信息技术论坛
&ACL的基本原理
ACL由一系列规则组成,通过将报文与ACL规则进行匹配,设备可以过滤出特定的报文。设备支持的ACL,有软件和硬件两种实现方式,两者在过滤的报文类型、报文过滤方式和对不匹配ACL的报文的处理动作这三个方面有所差异。
ACL的组成一条ACL的结构组成,如所示。
图1-2 &ACL的结构组成
ACL编号:用于标识ACL,表明该ACL是数字型ACL。
根据ACL规则功能的不同,ACL被划分为基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL这几种类型,每类ACL编号的取值范围不同。关于每类ACL编号的详细介绍,请参见。
除了可以通过ACL编号标识ACL,设备还支持通过名称来标识ACL,就像用域名代替IP地址一样,更加方便记忆。这种ACL,称为命名型ACL。
命名型ACL实际上是“名字+数字”的形式,可以在定义命名型ACL时同时指定ACL编号。如果不指定编号,则由系统自动分配。例如,下面就是一个既有名字“deny-telnet-login”又有编号“3998”的ACL。
acl name deny-telnet-login 3998
rule 0 deny tcp source 10.152.0.0 0.0.63.255 destination 10.64.0.97 0 destination-port eq telnet
rule 5 deny tcp source 10.242.128.0 0.0.127.255 destination 10.64.0.97 0 destination-port eq telnet
规则:即描述报文匹配条件的判断语句。
规则编号:用于标识ACL规则。可以自行配置规则编号,也可以由系统自动分配。
ACL规则的编号范围是0~,所有规则均按照规则编号从小到大进行排序。所以,中的rule 5排在首位,而规则编号最大的rule 排在末位。系统按照规则编号从小到大的顺序,将规则依次与报文匹配,一旦匹配上一条规则即停止匹配。
动作:包括permit/deny两种动作,表示允许/拒绝。
匹配项:ACL定义了极其丰富的匹配项。除了中的源地址和生效时间段,ACL还支持很多其他规则匹配项。例如,二层以太网帧头信息(如源MAC、目的MAC、以太帧协议类型),三层报文信息(如目的地址、协议类型),以及四层报文信息(如TCP/UDP端口号)等。关于每种匹配项的详细介绍,请参见。
ACL的匹配机制设备将报文与ACL规则进行匹配时,遵循“一旦命中即停止匹配”的机制,如所示。
图1-3 &ACL的匹配机制
首先系统会查找设备上是否配置了ACL。
如果ACL不存在,则返回ACL匹配结果为:不匹配。
如果ACL存在,则查找设备是否配置了ACL规则。
如果规则不存在,则返回ACL匹配结果为:不匹配。
如果规则存在,则系统会从ACL中编号最小的规则开始查找。
如果匹配上了permit规则,则停止查找规则,并返回ACL匹配结果为:匹配(允许)。
如果匹配上了deny规则,则停止查找规则,并返回ACL匹配结果为:匹配(拒绝)。
如果未匹配上规则,则继续查找下一条规则,以此循环。如果一直查到最后一条规则,报文仍未匹配上,则返回ACL匹配结果为:不匹配。
从整个ACL匹配流程可以看出,报文与ACL规则匹配后,会产生两种匹配结果:“匹配”和“不匹配”。
匹配(命中规则):指存在ACL,且在ACL中查找到了符合匹配条件的规则。
不论匹配的动作是“permit”还是“deny”,都称为“匹配”,而不是只是匹配上permit规则才算“匹配”。
不匹配(未命中规则):指不存在ACL,或ACL中无规则,再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。
以上三种情况,都叫做“不匹配”。
说明: 无论报文匹配ACL的结果是“不匹配”、“允许”还是“拒绝”,该报文最终是被允许通过还是拒绝通过,实际是由应用ACL的各个业务模块来决定。不同的业务模块,对命中和未命中规则报文的处理方式也各不相同。例如,在Telnet模块中应用ACL,只要报文命中了permit规则,就允许通过;而在流策略中应用ACL,如果报文命中了permit规则,但流行为动作配置的是deny,该报文仍会被拒绝通过。关于各个业务模块ACL处理机制的详细介绍,请参见。
ACL的实现方式目前设备支持的ACL,有以下两种实现方式。
软件ACL:针对与本机交互的报文(必须上送CPU处理的报文),由软件实现来过滤报文的ACL,比如FTP、TFTP、Telnet、SNMP、HTTP、路由协议、组播协议中引用的ACL。
硬件ACL:针对所有报文(一般是针对转发的数据报文),通过下发ACL资源到硬件来过滤报文的ACL,比如流策略、基于ACL的简化流策略、自反ACL、用户组以及为接口收到的报文添加外层Tag功能中引用的ACL。
两者主要区别在于:
过滤的报文类型不同:软件ACL用来过滤与本机交互的报文(必须上送CPU处理的报文),硬件ACL可以用来过滤所有报文(一般是针对转发的数据报文)。
报文过滤方式不同:软件ACL是被上层软件引用来实现报文的过滤,硬件ACL是被下发到硬件来实现报文的过滤。通过软件ACL过滤报文时,会消耗CPU资源,通过硬件ACL过滤报文时,则会占用硬件资源。通过硬件ACL过滤报文的速度更快。
对不匹配ACL的报文的处理动作不同:当使用软件ACL时,如果报文未匹配上ACL中的规则,设备对该报文采取的动作为deny,即拒绝报文通过;当使用硬件ACL时,如果报文未匹配上ACL中的规则,设备对该报文采取的动作为permit,即允许报文通过。
&ACL的分类
基于ACL标识方法的划分划分如下:
数字型ACL:传统的ACL标识方法。创建ACL时,指定一个唯一的数字标识该ACL。
命名型ACL:通过名称代替编号来标识ACL。
用户在创建ACL时可以为其指定编号,不同的编号对应不同类型的ACL,如所示。同时,为了便于记忆和识别,用户还可以创建命名型ACL,即在创建ACL时为其设置名称。命名型ACL,也可以是“名称
数字”的形式,即在定义命名型ACL时,同时指定ACL编号。如果不指定编号,系统则会自动为其分配一个数字型ACL的编号。
说明: 命名型ACL一旦创建成功,便不允许用户再修改其名称。如果删除ACL名称,则表示删除整个ACL。
仅基本ACL与基本ACL6,以及高级ACL与高级ACL6,可以使用相同的ACL名称;其他类型ACL之间,不能使用相同的ACL名称。
基于对IPv4和IPv6支持情况的划分划分如下:
ACL4:通常直接叫做“ACL”,特指仅支持过滤IPv4报文的ACL。
ACL6:又叫做“IPv6 ACL”,特指仅支持过滤IPv6报文的ACL。
以上两种ACL,以及既支持过滤IPv4报文又支持过滤IPv6报文的ACL,统一称做“ACL”。各类型ACL对IPv4和IPv6的支持情况,如所示。
基于ACL规则定义方式的划分所示,基于ACL规则定义方式的划分如下。
表1-1 &基于ACL规则定义方式的ACL分类
适用的IP版本
规则定义描述
&ACL的步长设定
步长的含义步长,是指系统自动为ACL规则分配编号时,每个相邻规则编号之间的差值。
系统为ACL中首条未手工指定编号的规则分配编号时,使用步长值作为该规则的起始编号;为后续规则分配编号时,则使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号。例如ACL中包含规则rule
5和rule 12,ACL(特指基本ACL、高级ACL、二层ACL、用户自定义ACL、用户ACL)的缺省步长为5,大于12且是5的倍数的最小整数是15,所以系统分配给新配置的规则的编号为15。
说明: 基本ACL6和高级ACL6不支持步长设定,缺省步长为1。
[HUAWEI-acl-basic-2001] display this
acl number 2001
[HUAWEI-acl-basic-2001] rule deny source 10.1.1.0 0.0.0.255 //配置首条不指定规则编号的规则
[HUAWEI-acl-basic-2001] display this
acl number 2001
rule 5 deny source 10.1.1.0 0.0.0.255
[HUAWEI-acl-basic-2001] rule 12 deny source 10.2.2.0 0.0.0.255 //配置一条规则编号为12的规则
[HUAWEI-acl-basic-2001] display this
acl number 2001
rule 5 deny source 10.1.1.0 0.0.0.255
rule 12 deny source 10.2.2.0 0.0.0.255
[HUAWEI-acl-basic-2001] rule deny source 10.3.3.0 0.0.0.255 //再次配置一条不指定规则编号的规则
[HUAWEI-acl-basic-2001] display this
acl number 2001
rule 5 deny source 10.1.1.0 0.0.0.255
rule 12 deny source 10.2.2.0 0.0.0.255
rule 15 deny source 10.3.3.0 0.0.0.255
如果重新调整了步长值(例如调整为2),系统则会自动从当前步长值开始重新排列规则编号,规则编号变成2、4、6…。恢复步长值为缺省值后,系统则会立刻按照缺省步长重新调整规则编号,规则编号变成5、10、15…。
[HUAWEI-acl-basic-2001] display acl 2001
Basic ACL 2001, 3 rules
Acl's step is 5
rule 5 deny source 10.1.1.0 0.0.0.255
rule 12 deny source 10.2.2.0 0.0.0.255
rule 15 deny source 10.3.3.0 0.0.0.255
[HUAWEI-acl-basic-2001] step 2
//配置步长值为2
[HUAWEI-acl-basic-2001] display acl 2001
Basic ACL 2001, 3 rules
Acl's step is 2
rule 2 deny source 10.1.1.0 0.0.0.255
rule 4 deny source 10.2.2.0 0.0.0.255
rule 6 deny source 10.3.3.0 0.0.0.255
[HUAWEI-acl-basic-2001] undo step
//恢复步长值为缺省值
[HUAWEI-acl-basic-2001] display acl 2001
Basic ACL 2001, 3 rules
Acl's step is 5
rule 5 deny source 10.1.1.0 0.0.0.255
rule 10 deny source 10.2.2.0 0.0.0.255
rule 15 deny source 10.3.3.0 0.0.0.255
步长的作用设置步长的作用,在于方便后续在旧规则之间插入新的规则。
假设,一条ACL中,已包含了三条规则rule 5、rule 10、rule 15。如果希望源IP地址为10.1.1.3的报文也被拒绝通过,该如何处理?
rule 5 deny source 10.1.1.1 0
//表示拒绝源IP地址为10.1.1.1的报文通过
rule 10 deny source 10.1.1.2 0 //表示拒绝源IP地址为10.1.1.2的报文通过
rule 15 permit source 10.1.1.0 0.0.0.255 //表示允许源IP地址为10.1.1.0/24网段地址的报文通过
由于ACL匹配报文时遵循“一旦命中即停止匹配”的原则,所以源IP地址为10.1.1.1和10.1.1.2的报文,会在匹配上编号较小的rule
5和rule 10后停止匹配,从而被系统拒绝通过;而源IP地址为10.1.1.3的报文,则只会命中rule 15,从而得到系统允许通过。若想让源IP地址为10.1.1.3的报文也被拒绝通过,则必须为该报文配置一条新的deny规则。可以在rule
15之前插入一条新规则rule 11,这样源IP地址为10.1.1.3的报文,就会因先命中rule 11而被系统拒绝通过。插入rule
11后,该ACL的旧规则编号不受影响,且新的规则排序为rule 5、rule 10、rule 11、rule 15。
rule 5 deny source 10.1.1.1 0
//表示禁止源IP地址为10.1.1.1的报文通过
rule 10 deny source 10.1.1.2 0 //表示禁止源IP地址为10.1.1.2的报文通过
rule 11 deny source 10.1.1.3 0 //表示拒绝源IP地址为10.1.1.3的报文通过
rule 15 permit source 10.1.1.0 0.0.0.255 //表示允许源IP地址为10.1.1.0网段地址的报文通过
试想一下,如果这条ACL的规则间隔不是5,而是1(rule 1、rule 2、rule 3…),这时再想插入新的规则,就只能先删除已有的规则,然后再配置新规则,最后将之前删除的规则重新配置还原。
因此,为了避免上述操作造成的麻烦,ACL引入了步长的概念。通过设置ACL步长,使规则之间留有一定的空间,就可以轻松的在旧规则中插入新规则了。
&ACL的匹配顺序
一条ACL可以由多条“deny | permit”语句组成,每一条语句描述一条规则,这些规则可能存在重复或矛盾的地方。例如,在一条ACL中先后配置以下两条规则:
rule deny ip destination 10.1.0.0 0.0.255.255
//表示拒绝目的IP地址为10.1.0.0/16网段地址的报文通过
rule permit ip destination 10.1.1.0 0.0.0.255
//表示允许目的IP地址为10.1.1.0/24网段地址的报文通过,该网段地址范围小于10.1.0.0/16网段范围
其中,permit规则与deny规则是相互矛盾的。对于目的IP=10.1.1.1的报文,如果系统先将deny规则与其匹配,则该报文会被拒绝通过。相反,如果系统先将permit规则与其匹配,则该报文会得到允许通过。
因此,对于规则之间存在重复或矛盾的情形,报文的匹配结果与ACL的匹配顺序是息息相关的。
设备支持两种ACL匹配顺序:配置顺序(config模式)和自动排序(auto模式)。缺省的ACL匹配顺序是config模式。
配置顺序配置顺序,即系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。
如果配置规则时指定了规则编号,则规则编号越小,规则插入位置越靠前,该规则越先被匹配。
如果配置规则时未指定规则编号,则由系统自动为其分配一个编号。该编号是一个大于当前ACL内最大规则编号且是步长整数倍的最小整数,因此该规则会被最后匹配。
自动排序自动排序,是指系统使用“深度优先”的原则,将规则按照精确度从高到低进行排序,并按照精确度从高到低的顺序进行报文匹配。规则中定义的匹配项限制越严格,规则的精确度就越高,即优先级越高,系统越先匹配。各类ACL的“深度优先”顺序匹配原则如所示。
关于中提到的IP地址通配符掩码、IP协议承载的协议类型、TCP/UDP端口号、二层协议类型通配符掩码、MAC地址通配符掩码等ACL匹配项的详细介绍,请参见。
表1-2 &“深度优先”匹配原则
在自动排序的ACL中配置规则时,不允许自行指定规则编号。系统能自动识别出该规则在这条ACL中对应的优先级,并为其分配一个适当的规则编号。
例如,在auto模式的高级ACL 3001中,先后配置以下两条规则:
rule deny ip destination 10.1.0.0 0.0.255.255
//表示拒绝目的IP地址为10.1.0.0/16网段地址的报文通过
rule permit ip destination 10.1.1.0 0.0.0.255
//表示允许目的IP地址为10.1.1.0/24网段地址的报文通过,该网段地址范围小于10.1.0.0/16网段范围
两条规则均没有带VPN实例,且协议范围、源IP地址范围相同,所以根据中高级ACL的深度优先匹配原则,接下来需要进一步比较规则的目的IP地址范围。由于permit规则指定的目的地址范围小于deny规则,所以permit规则的精确度更高,系统为其分配的规则编号更小。配置完上述两条规则后,ACL
3001的规则排序如下:
acl number 3001 match-order auto
rule 5 permit ip destination 10.1.1.0 0.0.0.255
rule 10 deny ip destination 10.1.0.0 0.0.255.255
此时,如果再插入一条新的规则rule deny ip destination 10.1.1.1 0(目的IP地址范围是主机地址,优先级高于以上两条规则),则系统将按照规则的优先级关系,重新为各规则分配编号。插入新规则后,ACL
3001新的规则排序如下:
acl number 3001 match-order auto
rule 5 deny ip destination 10.1.1.1 0
rule 10 permit ip destination 10.1.1.0 0.0.0.255
rule 15 deny ip destination 10.1.0.0 0.0.255.255
相比config模式的ACL,auto模式ACL的规则匹配顺序更为复杂,但是auto模式ACL有其独特的应用场景。例如,在网络部署初始阶段,为了保证网络安全性,管理员定义了较大的ACL匹配范围,用于丢弃不可信网段范围的所有IP报文。随着时间的推移,实际应用中需要允许这个大范围中某些特征的报文通过。此时,如果管理员采用的是auto模式,则只需要定义新的ACL规则,无需再考虑如何对这些规则进行排序避免报文被误丢弃。
&ACL的常用匹配项
设备支持的ACL匹配项种类非常丰富,其中最常用的匹配项包括以下几种。
生效时间段格式:time-range time-name
所有ACL均支持根据生效时间段过滤报文。关于生效时间段的详细介绍,请参见。
IP承载的协议类型格式:protocol-number | icmp | tcp | udp | gre | igmp | ip | ipinip | ospf
高级ACL支持基于协议类型过滤报文。常用的协议类型包括:ICMP(协议号1)、TCP(协议号6)、UDP(协议号17)、GRE(协议号47)、IGMP(协议号2)、IP(指任何IP层协议)、IPinIP(协议号4)、OSPF(协议号89)。协议号的取值可以是1~255。
例如,当设备某个接口下的用户存在大量的攻击者时,如果希望能够禁止这个接口下的所有用户接入网络,则可以通过指定协议类型为IP来屏蔽这些用户的IP流量来达到目的。配置如下:rule deny ip //表示拒绝IP报文通过
再如,设备上打开透明防火墙功能后,在缺省情况下,透明防火墙会在域间丢弃所有入域间的报文,包括业务报文和协议报文。如果希望像OSPF这样的动态路由协议报文能正常通过防火墙,保证路由互通,这时,通过指定协议类型为OSPF即可解决问题。rule permit ospf
//表示允许OSPF报文通过
源/目的IP地址及其通配符掩码源IP地址及其通配符掩码格式:source { source-address source-wildcard | any }
目的IP地址及其通配符掩码格式:destination { destination-address destination-wildcard | any }
基本ACL支持根据源IP地址过滤报文,高级ACL不仅支持源IP地址,还支持根据目的IP地址过滤报文。
将源/目的IP地址定义为规则匹配项时,需要在源/目的IP地址字段后面同时指定通配符掩码,用来与源/目的IP地址字段共同确定一个地址范围。
IP地址通配符掩码与IP地址的反向子网掩码类似,也是一个32比特位的数字字符串,用于指示IP地址中的哪些位将被检查。各比特位中,“0”表示“检查相应的位”,“1”表示“不检查相应的位”,概括为一句话就是“检查0,忽略1”。但与IP地址子网掩码不同的是,子网掩码中的“0”和“1”要求必须连续,而通配符掩码中的“0”和“1”可以不连续。
通配符掩码可以为0,相当于0.0.0.0,表示源/目的地址为主机地址;也可以为255.255.255.255,表示任意IP地址,相当于指定any参数。
举一个IP地址通配符掩码的示例,当希望来自192.168.1.0/24网段的所有IP报文都能够通过,可以配置如下规则:
rule 5 permit ip source 192.168.1.0 0.0.0.255
规则中的通配符掩码为0.0.0.255,表示只需检查IP地址的前三组二进制八位数对应的比特位。因此,如果报文源IP地址的前24个比特位与参照地址的前24个比特位(192.168.1)相同,即报文的源IP地址是192.168.1.0/24网段的地址,则允许该报文通过。展示了该例的地址范围计算过程。
表1-3 &通配符掩码示例
十进制等价值
二进制等价值
更多的IP地址与通配符掩码共同确定的地址范围示例,详见。
表1-4 &IP地址与通配符掩码共同确定的地址范围
IP地址通配符掩码
确定的地址范围
源/目的MAC地址及其通配符掩码源MAC地址及其通配符掩码格式:source-mac source-mac-address [ source-mac-mask ]
目的地址及其通配符掩码格式:destination-mac dest-mac-address [ dest-mac-mask ]
仅二层ACL支持基于源/目的MAC地址过滤报文。
将源/目的MAC地址定义为规则匹配项时,可以在源/目的MAC地址字段后面同时指定通配符掩码,用来与源/目的MAC地址字段共同确定一个地址范围。
MAC地址通配符掩码的格式与MAC地址相同,采用十六进制数表示,共六个字节(48位),用于指示MAC地址中的哪些位将被检查。与IP地址通配符掩码不同的是,MAC地址通配符掩码各比特位中,1表示“检查相应的位”,0表示“不检查相应的位”。如果不指定通配符掩码,则默认掩码为ffff-ffff-ffff,表示检查MAC地址的每一位。
MAC地址与通配符掩码共同确定的地址范围示例,如所示。
表1-5 &MAC地址与通配符掩码共同确定的地址范围
MAC地址通配符掩码
确定的地址范围
VLAN编号及其掩码外层VLAN及其掩码格式:vlan-id vlan-id [ vlan-id-mask ]
内层VLAN及其掩码格式:cvlan-id cvlan-id [ cvlan-id-mask ]
二层ACL支持基于外层VLAN或内层VLAN编号过滤报文。
将VLAN编号定义为规则匹配项时,可以在VLAN编号字段后面同时指定VLAN掩码,用来与VLAN编号字段共同确定一个VLAN范围。
VLAN掩码的格式是十六进制形式,取值范围是0x0~0xFFF。如果不指定VLAN掩码,则默认掩码为0xFFF,表示检查VLAN编号的每一位。
VLAN编号与掩码共同确定的VLAN范围示例,如所示。
表1-6 &VLAN编号及其掩码共同确定的VLAN范围
确定的VLAN范围
TCP/UDP端口号源端口号格式:source-port { eq port | gt port | lt port | range port-start port-end }
目的端口号格式:destination-port { eq port | gt port | lt port | range port-start port-end }
在高级ACL中,当协议类型指定为TCP或UDP时,设备支持基于TCP/UDP的源/目的端口号过滤报文。
其中,TCP/UDP端口号的比较符含义如下:
eq port:指定等于源/目的端口。
gt port:指定大于源/目的端口。
lt port:指定小于源/目的端口。
range port-start port-end:指定源/目的端口的范围。port-start是端口范围的起始,port-end是端口范围的结束。
TCP/UDP端口号可以使用数字表示,也可以用字符串(助记符)表示。例如,rule deny tcp
destination-port eq 80,可以用rule deny tcp destination-port eq
www替代。常见TCP端口号及对应的字符串如所示,常见UDP端口号及对应的字符串如所示。
表1-7 &常见TCP端口号及对应的字符串
表1-8 &常见UDP端口号及对应的字符串
TCP标志信息格式:tcp-flag { ack | established | fin | psh | rst | syn | urg }*
在高级ACL中,当协议类型指定为TCP时,设备支持基于TCP标志信息过滤报文。
TCP报文头有6个标志位:
URG(100000):标识紧急指针有效
ACK(010000):标识确认序号有效
PSH(001000):标识接收方应该尽快将这个报文段上交给应用层
RST(000100):标识重建连接
SYN(000010):同步序号,用来发起一个连接
FIN(000001):标识发送方完成发送任务
TCP标志信息中的established,表示标志位为ACK(010000)或RST(000100)。
指定tcp-flag的ACL规则可以用来实现单向访问控制。假设,要求192.168.1.0/24网段用户可以主动访问192.168.2.0/24网段用户,但反过来192.168.2.0/24网段用户不能主动访问192.168.1.0/24。可通过在设备上连接192.168.2.0/24网段的接口入方向上,应用ACL规则来实现该需求。
由TCP建立连接和关闭连接的过程可知,只有在TCP中间连接过程的报文才会ACK=1或者RST=1。根据这个特点,配置如下两种ACL规则,允许TCP中间连接过程的报文通过,拒绝其他TCP报文通过,就可以限制192.168.2.0/24网段主动发起的TCP连接。
类型一:配置指定ack和rst参数的ACL规则
rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack
//允许ACK=1的TCP报文通过
rule 10 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag rst
//允许RST=1的TCP报文通过
rule 15 deny tcp source 192.168.2.0 0.0.0.255
//拒绝其他TCP报文通过
类型二:配置指定established参数的ACL规则
rule permit tcp source 192.168.2.0 0.0.0.255 tcp-flag established
// established表示ACK=1或者RST=1,表示允许TCP中间连接过程的报文通过
rule deny tcp source 192.168.2.0 0.0.0.255
//拒绝其他TCP报文通过
IP分片信息格式:fragment
基本ACL和高级ACL支持基于IP分片信息过滤报文。
IP分片除了首片报文外,还有后续分片报文,又叫做非首片分片报文。仅首片分片报文携带四层信息(如TCP/UDP端口号等),后续分片报文均不携带。网络设备收到分片报文后,会判断其是否是最后一个分片报文。如果不是,则为其分配内存空间,以便于最后一个分片报文到达后完成重组。黑客可以利用这一点,向接收方设备发起分片报文攻击,始终不向接收方发送最后一个分片报文,使得接收方的内存得不到及时释放(接收方会启动一个分片重组的定时器,在定时器超时前如果无法完成重组,将向发送方发送ICMP重组超时差错报文;如果定时器超时后仍未完成重组,则丢弃已存储的分片报文)。在分片报文发送数量很多并且发送速度很快的情况下,接收方的内存很容易被占满,从而导致接收方没有足够的内存资源处理其他正常的业务。
为了解决这个问题,可以配置指定fragment匹配项的ACL规则来阻塞非首片分片报文,从而达到防范分片报文攻击的目的。
针对非分片报文、首片分片报文、非首片分片报文这三类报文,ACL的处理方式如所示。
表1-9 &ACL对IP分片报文的处理方式
规则包含的匹配项
非分片报文
首片分片报文
非首片分片报文
例如,ACL 3012中存在以下规则:
acl number 3012
rule 5 deny tcp destination 192.168.2.2 0 fragment
rule 10 permit tcp destination 192.168.2.2 0 destination-port eq www
rule 15 deny ip
对于目的IP地址是192.168.2.2的TCP报文:
该报文是非分片报文或首片分片报文时:如果该报文的目的端口号是80(www对应的端口号是80),则报文与rule 10匹配,报文被允许通过;如果该报文的目的端口号不是80,则报文与rule
15匹配,报文被拒绝通过。
该报文是非首片分片报文时:该报文与rule 5匹配,报文被拒绝通过。
&ACL的生效时间段
产生背景ACL定义了丰富的匹配项,可以满足大部分的报文过滤需求。但需求是不断变化发展的,新的需求总是不断涌现。例如,某公司要求,在上班时间只允许员工浏览与工作相关的几个网站,下班或周末时间才可以访问其他互联网网站;再如,在每天20:00~22:00的网络流量的高峰期,为防止P2P、下载类业务占用大量带宽对其他数据业务的正常使用造成影响,需要对P2P、下载类业务的带宽进行限制。
基于时间的ACL过滤就是用来解决上述问题的。管理员可以根据网络访问行为的要求和网络的拥塞情况,配置一个或多个ACL生效时间段,然后在ACL规则中引用该时间段,从而实现在不同的时间段设置不同的策略,达到网络优化的目的。
生效时间段模式在ACL规则中引用的生效时间段存在两种模式:
第一种模式——周期时间段:以星期为参数来定义时间范围,表示规则以一周为周期(如每周一的8至12点)循环生效。
格式:time-range time-name start-time to end-time { days } &&1-7&
time-name:时间段名称,以英文字母开头的字符串。
start-time to end-time:开始时间和结束时间。格式为[小时:分钟]
to [小时:分钟]。
days:有多种表达方式。
Mon、Tue、Wed、Thu、Fri、Sat、Sun中的一个或者几个的组合,也可以用数字表达,0表示星期日,1表示星期一,……6表示星期六。
working-day:从星期一到星期五,五天。
daily:包括一周七天。
off-day:包括星期六和星期日,两天。
第二种模式——绝对时间段:从某年某月某日的某一时间开始,到某年某月某日的某一时间结束,表示规则在这段时间范围内生效。
格式:time-range time-name from time1 date1 [ to time2 date2 ]
time-name:时间段名称,以英文字母开头的字符串。
time1/time2:格式为[小时:分钟]。
date1/date2:格式为[YYYY/MM/DD],表示年/月/日。
可以使用同一名称(time-name)配置内容不同的多条时间段,配置的各周期时间段之间以及各绝对时间段之间的交集将成为最终生效的时间范围。
例如,在ACL 2001中引用了时间段“test”,“test”包含了三个生效时间段:#
time-range test 8:00 to 18:00 working-day
time-range test 14:00 to 18:00 off-day
time-range test from 00:00
acl number 2001
rule 5 permit time-range test
第一个时间段,表示在周一到周五每天8:00到18:00生效,这是一个周期时间段。
第二个时间段,表示在周六、周日下午14:00到18:00生效,这是一个周期时间段。
第三个时间段,表示从日00:00起到日23:59生效,这是一个绝对时间段。
时间段“test”最终描述的时间范围为:2014年的周一到周五每天8:00到18:00以及周六和周日下午14:00到18:00。
&ACL应用模块的ACL默认动作和处理机制
ACL的应用模块配置完ACL后,必须在具体的业务模块中应用ACL,才能使ACL正常下发和生效。
最基本的ACL应用方式,是在简化流策略或流策略中应用ACL,使设备能够基于全局、VLAN或接口下发ACL,实现对转发报文的过滤。此外,ACL还可以应用在Telnet、FTP、路由等模块。
如所示,ACL应用的业务模块,主要分为以下几类。
表1-10 &ACL应用的业务模块
涉及业务模块
应用模块的ACL默认动作和处理机制在各类业务模块中应用ACL时,ACL的默认动作各有不同,所以各业务模块对命中/未命中ACL规则报文的处理机制也各不相同。
例如,流策略中的ACL默认动作是permit,在流策略中应用ACL时,如果ACL中存在规则但报文未匹配上,该报文仍可以正常通过。而Telnet中的ACL默认动作是deny,在Telnet中应用ACL时,如果遇到此种情况,该报文会被拒绝通过。
此外,黑名单模块中的ACL处理机制与其他模块有所不同。在黑名单中应用ACL时,无论ACL规则配置成permit还是deny,只要报文命中了规则,该报文都会被系统丢弃。
各类业务模块中的ACL默认动作及ACL处理机制,如所示。
表1-11 &各业务模块的ACL默认动作及ACL处理机制
ACL默认动作
ACL处理机制
命中permit规则
命中deny规则
ACL中配置了规则,但未命中任何规则
ACL中未配置规则
&ACL的常用配置原则
配置ACL规则时,可以遵循以下原则:
如果配置的ACL规则存在包含关系,应注意严格条件的规则编号需要排序靠前,宽松条件的规则编号需要排序靠后,避免报文因命中宽松条件的规则而停止往下继续匹配,从而使其无法命中严格条件的规则。
根据各业务模块ACL默认动作(请参见)的不同,ACL的配置原则也不同。例如,在默认动作为permit的业务模块中,如果只希望deny部分IP地址的报文,只需配置具体IP地址的deny规则,结尾无需添加任意IP地址的permit规则;而默认动作为deny的业务模块恰与其相反。详细的ACL常用配置原则,如所示。
说明: 以下rule的表达方式仅是示意形式,实际配置方法请参考各类ACL规则的命令行格式。
rule permit xxx/rule permit xxxx:表示允许指定的报文通过,xxx/xxxx表示指定报文的标识,可以是源IP地址、源MAC地址、生效时间段等。xxxx表示的范围与xxx表示的范围是包含关系,例如xxx是某一个IP地址,xxxx可以是该IP地址所在的网段地址或any(表示任意IP地址);再如xxx是周六的某一个时段,xxxx可以是双休日全天时间或一周七天全部时间。
rule deny xxx/rule deny xxxx:表示拒绝指定的报文通过。
rule permit:表示允许所有报文通过。
rule deny:表示拒绝所有报文通过。
表1-12 &ACL的常用配置原则
业务模块的ACL默认动作
permit所有报文
deny所有报文
permit少部分报文,deny大部分报文
deny少部分报文,permit大部分报文
例1:在流策略中应用ACL,使设备对192.168.1.0/24网段的报文进行过滤,拒绝192.168.1.2和192.168.1.3主机地址的报文通过,允许192.168.1.0/24网段的其他地址的报文通过。
流策略的ACL默认动作为permit,该例属于“deny少部分报文,permit大部分报文”的情况,所以只需配置rule deny xxx。
acl number 2000
rule 5 deny source 192.168.1.2 0
rule 10 deny source 192.168.1.3 0
例2:在流策略中应用ACL,使设备对192.168.1.0/24网段的报文进行过滤,允许192.168.1.2和192.168.1.3主机地址的报文通过,拒绝192.168.1.0/24网段的其他地址的报文通过。
流策略的ACL默认动作为permit,该例属于“permit少部分报文,deny大部分报文”的情况,所以需先配置rule permit xxx,再配置rule deny xxxx。
acl number 2000
rule 5 permit source 192.168.1.2 0
rule 10 permit source 192.168.1.3 0
rule 15 deny source 192.168.1.0 0.0.0.255
例3:在Telnet中应用ACL,仅允许管理员主机(IP地址为172.16.105.2)能够Telnet登录设备,其他用户不允许Telnet登录。
Telnet的ACL默认动作为deny,该例属于“permit少部分报文,deny大部分报文”的情况,所以只需配置rule permit xxx。
acl number 2000
rule 5 permit source 172.16.105.2 0
例4:在Telnet中应用ACL,不允许某两台主机(IP地址为172.16.105.3和172.16.105.4)Telnet登录设备,其他用户均允许Telnet登录。
Telnet的ACL默认动作为deny,该例属于“deny少部分报文,permit大部分报文”的情况,所以需先配置rule deny xxx,再配置rule permit。
acl number 2000
rule 5 deny source 172.16.105.3 0
rule 10 deny source 172.16.105.4 0
rule 15 permit
例5:在FTP中应用ACL,不允许用户在周六的00:00~8:00期间访问FTP服务器,允许用户在其他任意时间访问FTP服务器。
FTP的ACL默认动作为deny,该例属于“deny少部分报文,permit大部分报文”的情况,所以需先配置rule deny xxx,再配置rule permit xxxx。
time-range t1 00:00 to 08:00 Sat
time-range t2 00:00 to 23:59 daily
acl number 2000
rule 5 deny time-range t1
rule 10 permit time-range t2
&使用ACL限制Telnet登录权限
ACL应用在Telnet模块中,可以使设备作为Telnet服务器时,对哪些Telnet客户端以Telnet方式登录到本设备能加以控制,从而有效防止未经授权用户的非法接入。
如所示,为简单而方便的配置和管理远程设备(Telnet Server),管理员在服务器端进行了配置,使Telnet用户必须使用AAA验证方式才能登录。同时,管理员配置了基于ACL的登录限制策略,保证只有管理员使用的PC才能登录该设备。
图1-4 &使用ACL限制Telnet登录权限
&SNMP中应用ACL过滤非法网管
ACL应用在SNMP模块中,可以使网管对设备的管理权限得到控制,从而有效防止非法网管操作设备。
如所示,为简单而方便的配置和管理远程设备(Switch),管理员在Switch上配置了SNMP Agent服务,Agent及时地向网管报告设备的当前状态信息,使网管可以远端控制设备。同时,管理员配置了基于ACL的网管访问权限限制,保证只有可信任的网管(NMS2)才能管理该设备。
图1-5 &SNMP中应用ACL过滤非法网管
&使用ACL限制不同网段用户的互访
ACL应用在QoS的流策略/简化流策略中,可以实现不同网段用户之间访问权限的限制,从而避免用户之间随意访问形成安全隐患。
如所示,某公司为财务部和市场部规划了两个网段的IP地址。为了避免两个部门之间相互访问造成公司机密的泄露,管理员在两个部门连接Switch的接口(Interface1和Interface2)的入方向上应用绑定了ACL的流策略/简化流策略,禁止两个部门的互访。
图1-6 &使用ACL限制不同网段用户的互访
&使用ACL禁止特定用户主机在特定时间内上网
ACL应用在QoS的流策略/简化流策略中,可以实现特定用户主机在特定时间范围内上网权限的限制。
如所示,某公司通过switch连接到Internet。部分员工经常在上班时间访问与工作无关的网站,工作效率低下。所以,管理员配置了基于时间的ACL,并在这些用户连接switch的接口(Interface 1)的入方向上应用绑定了ACL的流策略/简化流策略,禁止这些用户在工作时间内上网,其余时间均可以上网。
图1-7 &使用ACL禁止特定用户在特定时间内上网
&在QoS中使用ACL实施流量监管
ACL应用在QoS的流策略/简化流策略中,可以实现对不同流量进入网络的速率的监督,对超出部分的流量进行“惩罚”,使进入的流量被限制在一个合理的范围之内,从而保护网络资源和用户的利益。
如所示,某公司的数据业务、视频业务、语音业务分别属于VLAN 100、VLAN 110、VLAN120。由于语音业务对服务质量的要求最高,视频业务次之,数据业务要求最低,所以管理员配置了基于ACL的流量监管功能,使设备可以对该公司不同的业务流按照VLAN
ID进行分类,并对匹配ACL规则的报文进行限速,从而将不同业务的流量限制在一个合理的范围之内,保证各业务的带宽需求。
图1-8 &在QoS中使用ACL实施流量监管
&在OSPF中使用ACL过滤路由信息
ACL可以应用在各种动态路由协议中,对路由协议发布和接收的路由信息进行过滤。
如所示,在运行OSPF(Open Shortest Path First)协议的网络中,SwitchA从Internet网络接收路由,并为OSPF网络提供了Internet路由。现要求OSPF网络中只能访问172.16.17.0/24、172.16.18.0/24和172.16.19.0/24三个网段的网络,其中SwitchC连接的网络只能访问172.16.18.0/24网段的网络。
管理员可以在SwitchA上配置ACL和路由策略,使其在路由发布时运用路由策略,仅提供路由172.16.17.0/24、172.16.18.0/24、172.16.19.0/24给SwitchB,实现OSPF网络中只能访问172.16.17.0/24、172.16.18.0/24和172.16.19.0/24三个网段的网络;并且在SwitchC上配置ACL和路由策略,使其在路由引入时运用路由策略,仅接收路由172.16.18.0/24,实现SwitchC连接的网络只能访问172.16.18.0/24网段的网络。
图1-9 &在OSPF中使用ACL过滤路由信息
&配置注意事项
介绍配置ACL的注意事项。
涉及网元无需其他网元配合。
License支持ACL特性是交换机的基本特性,无需获得License许可即可应用此功能。
表1-13 &产品形态和最低软件版本支持情况
最低支持版本
特性依赖和限制
创建ACL规则时,如果该规则已存在,则系统不会创建新的规则。
仅基本ACL与基本ACL6,以及高级ACL与高级ACL6,可以使用相同的ACL名称;其他类型ACL之间,不能使用相同的ACL名称。
不同的ACL匹配顺序,可能会造成不同的报文匹配结果,所以配置ACL时需注意ACL匹配顺序。创建ACL时,如果未指定match-order参数,则该ACL默认的规则匹配顺序为config。
在ACL中配置首条规则时,如果未指定参数rule-id,系统使用步长值作为规则的起始编号。后续配置规则如仍未指定参数rule-id,系统则使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号,并将该规则排在ACL的最末位置。例如ACL中包含规则rule
5和rule 12,ACL的缺省步长为5,大于12且是5的倍数的最小整数是15,所以系统分配给新配置的规则的编号为15。
在ACL6中配置规则时,如果未指定参数rule-id,系统为规则自动分配规则编号。分配的规则编号从0开始依次加1递增,如与已存在的规则编号重复,则往后顺延。例如ACL6中包含规则rule
0、rule 1、rule 3,则系统分配给新配置的未指定rule-id的规则的编号为2。
当在规则中指定参数time-range引入生效时间段时,需保证设备的系统时间与网络上其他设备的时间一致,否则可能造成ACL不生效。
当在规则中指定source source-address source-wildcard或destination destination-address destination-wildcard参数时,IP地址通配符掩码(source-wildcard和destination-wildcard)不是正向掩码,而是与IP地址反向子网掩码类似的一种掩码。
配置ACL规则时,如果不指定参数vpn-instance vpn-instance-name,设备会对公网和私网的报文均进行匹配。
在接口上应用ACL时,需注意ACL的应用方向。如果在接口的入方向上应用ACL,设备会对从该接口进入设备的报文进行ACL匹配处理;如果在接口的出方向上应用ACL,设备会对从该接口出去的报文进行ACL匹配处理。
如果指定的rule-id已存在,且新规则与原规则存在冲突,则冲突的部分新规则代替原规则,相当于编辑一个已经存在的ACL的规则。
使用命令undo rule删除规则的时候,rule-id必须是一个已经存在的ACL规则编号,如果不知道规则的编号,可以使用命令display acl来查看。
规则即使被引用(简化流策略中引用ACL指定rule的情况除外),使用undo rule命令行也可以删除该规则,请谨慎操作,评估删除的风险。
当在设备上部署WLAN业务时,设备仅支持将以下两种ACL规则下发到AP。
ACL编号范围为且rule编号范围为0~127的高级ACL规则
ACL编号范围为且rule编号范围为0~127的用户ACL规则
对于X1E系列单板,使用命令assign
acl-mode可以配置接口板ACL规格的资源分配模式。
表1-14 &资源分配模式所获得的ACL规格
资源分配模式
IPV4 ACL规格数目
IPV6 ACL规格数目
L2 ACL规格数目
&配置任务概览
设备支持的ACL主要包括:基本ACL、高级ACL、二层ACL、用户自定义ACL、用户ACL、基本ACL6和高级ACL6。
ACL的配置任务如所示。各配置任务之间,是并列关系,至少要选择其中的一种ACL进行配置。
表1-15 &ACL配置任务概览
介绍ACL缺省配置,实际应用的配置可以基于缺省配置进行修改。
ACL的缺省配置如所示。
表1-16 &ACL缺省配置
&配置并应用基本ACL
&(可选)配置ACL的生效时间段
缺省情况下,ACL一旦被应用到业务模块后是一直生效的。通过定义生效时间段,并将时间段与ACL规则关联,可以使ACL规则在某段时间范围内生效,从而达到使用基于时间的ACL来控制业务的目的。例如,在上班时间禁止员工访问互联网网站,避免影响工作;在网络流量高峰期,限制P2P/下载类业务的带宽,避免网络拥塞等。
在ACL规则中引用的生效时间段存在两种模式:
第一种模式——周期时间段:以星期为参数来定义时间范围,表示规则以一周为周期(如每周一的8至12点)循环生效。
第二种模式——绝对时间段:从某年某月某日的某一时间开始,到某年某月某日的某一时间结束,表示规则在这段时间范围内生效。
说明: 为避免设备的系统时间与网络不同步造成ACL不生效,建议配置NTP(Network Time Protocol),实现系统时钟的自动同步,保证设备与网络中所有设备时钟的一致性。NTP的配置,请参见《S12700 系列敏捷交换机 配置指南-设备管理》中的“配置NTP基本功能”。
执行命令system-view,进入系统视图。
执行命令time-range time-name { start-time to end-time { days } &&1-7& | from time1 date1 [ to time2 date2 ] },创建一个时间段。
缺省情况下,设备没有配置时间段。
可以使用同一名称(time-name)配置内容不同的多条时间段,配置的各周期时间段之间以及各绝对时间段之间的交集将成为最终生效的时间范围。
如果要删除时间段,可参见。
后续处理创建生效时间段后,还需创建ACL并配置与生效时间段关联的ACL规则。基本ACL的配置,请参见。
配置小窍门删除生效时间段删除生效时间段前,需要先删除关联生效时间段的ACL规则或者整个ACL。
例如,在ACL 2001中配置了rule 5,该规则关联了时间段time1。#
time-range time1 from 00:00
acl number 2001
rule 5 permit time-range time1
如果需要删除时间段time1,则需先删除rule 5或者先删除ACL 2001:
先删除rule 5,再删除time1。
&HUAWEI& system-view
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] undo rule 5
[HUAWEI-acl-basic-2001] quit
[HUAWEI] undo time-range time1
先删除ACL 2001,再删除time1。
&HUAWEI& system-view
[HUAWEI] undo acl 2001
[HUAWEI] undo time-range time1
&配置基本ACL
如果配置基于时间的ACL,则需创建生效时间段,并将其与ACL规则关联起来。具体操作请参见。
基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。
如果只需要根据源IP地址对报文进行过滤,可以配置基本ACL。
执行命令system-view,进入系统视图。
创建基本ACL。可使用编号或者名称两种方式创建。
执行命令acl [ number ] acl-number [ match-order { auto | config } ],使用编号()创建一个数字型的基本ACL,并进入基本ACL视图。
执行命令acl name acl-name { basic | acl-number } [ match-order { auto | config } ],使用名称创建一个命名型的基本ACL,并进入基本ACL视图。
缺省情况下,未创建ACL。
关于数字型ACL和命名型ACL的详细介绍,请参见。
如果创建ACL时未指定match-order参数,则该ACL默认的规则匹配顺序为config。关于ACL匹配顺序的详细介绍,请参见。
创建ACL后,ACL的缺省步长为5。如果该值不能满足管理员部署ACL规则的需求,则可以对ACL步长值进行调整。关于步长的详细介绍,请参见;关于步长调整的具体操作,请参见。
如果要删除已生效的ACL,可参见。
(可选)执行命令description text,配置ACL的描述信息。
缺省情况下,未配置ACL的描述信息。
配置ACL时,为ACL添加描述信息可以方便理解和记忆该ACL的功能或具体用途。
执行命令rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | fragment | logging | time-range time-name | vpn-instance vpn-instance-name ] *,配置基本ACL的规则。
以上步骤仅是一条permit/deny规则的配置步骤。实际配置ACL规则时,需根据具体的业务需求,决定配置多少条规则以及规则的先后匹配顺序。
关于生效时间段、源IP地址及其通配符掩码和IP分片信息的详细介绍,请参见。详细的规则配置示例,请参见。
(可选)执行命令rule rule-id description description,配置ACL规则的描述信息。
缺省情况下,各规则没有描述信息。
配置ACL规则时,为ACL规则添加描述信息,可以方便理解和记忆该ACL规则的功能或具体用途。
设备仅允许为已存在的规则添加描述信息,不允许先配置规则的描述信息再配置具体的规则内容。
配置小窍门删除ACL系统视图下执行命令undo acl { [ number ] acl-number | all }或undo acl name acl-name,可以直接删除ACL,不受引用ACL的业务模块影响(简化流策略中引用ACL指定rule的情况除外),即无需先删除引用ACL的业务配置。
配置基本ACL规则
配置基于源IP地址(主机地址)过滤报文的规则
在ACL 2001中配置规则,允许源IP地址是192.168.1.3主机地址的报文通过。&HUAWEI& system-view
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] rule permit source 192.168.1.3 0
配置基于源IP地址(网段地址)过滤报文的规则
在ACL 2001中配置规则,仅允许源IP地址是192.168.1.3主机地址的报文通过,拒绝源IP地址是192.168.1.0/24网段其他地址的报文通过,并配置ACL描述信息为Permit
only 192.168.1.3 through。&HUAWEI& system-view
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] rule permit source 192.168.1.3 0
[HUAWEI-acl-basic-2001] rule deny source 192.168.1.0 0.0.0.255
[HUAWEI-acl-basic-2001] description Permit only 192.168.1.3 through
配置基于时间的ACL规则
创建时间段working-time(周一到周五每天8:00到18:00),并在名称为work-acl的ACL中配置规则,在working-time限定的时间范围内,拒绝源IP地址是192.168.1.0/24网段地址的报文通过。&HUAWEI& system-view
[HUAWEI] time-range working-time 8:00 to 18:00 working-day
[HUAWEI] acl name work-acl basic
[HUAWEI-acl-basic-work-acl] rule deny source 192.168.1.0 0.0.0.255 time-range working-time
配置基于IP分片信息、源IP地址(网段地址)过滤报文的规则
在ACL 2001中配置规则,拒绝源IP地址是192.168.1.0/24网段地址的非首片分片报文通过。&HUAWEI& system-view
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] rule deny source 192.168.1.0 0.0.0.255 fragment
&应用基本ACL
配置完ACL后,必须在具体的业务模块中应用ACL,才能使ACL正常下发和生效。
最基本的ACL应用方式,是在简化流策略或流策略中应用ACL,使设备能够基于全局、VLAN或接口下发ACL,实现对转发报文的过滤。此外,ACL还可以应用在Telnet、FTP、路由等模块。
应用基本ACL。
基本ACL的常见应用方式,如所示。
表1-17 &应用基本ACL
各业务模块的ACL应用方式
&检查配置结果
执行命令display acl { acl-number | name acl-name | all },查看ACL的配置信息。
执行命令display time-range { all | time-name },查看时间段信息。
&配置并应用高级ACL
&(可选)配置ACL的生效时间段
请参见“配置并应用基本ACL”中的。
&配置高级ACL
如果配置基于时间的ACL,则需创建生效时间段,并将其与ACL规则关联起来。具体操作请参见。
高级ACL根据源IP地址、目的IP地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。
高级ACL比基本ACL提供了更准确、丰富、灵活的规则定义方法。例如,当希望同时根据源IP地址和目的IP地址对报文进行过滤时,则需要配置高级ACL。
执行命令system-view,进入系统视图。
创建高级ACL。可使用编号或者名称两种方式创建。
执行命令acl [ number ] acl-number [ match-order { auto | config } ],使用编号()创建一个数字型的高级ACL,并进入高级ACL视图。
执行命令acl name acl-name { advance | acl-number } [ match-order { auto | config } ],使用名称创建一个命名型的高级ACL,进入高级ACL视图。
缺省情况下,未创建ACL。
关于数字型ACL和命名型ACL的详细介绍,请参见。
如果创建ACL时未指定match-order参数,则该ACL默认的规则匹配顺序为config。关于ACL匹配顺序的详细介绍,请参见。
创建ACL后,ACL的缺省步长为5。如果该值不能满足管理员部署ACL规则的需求,则可以对ACL步长值进行调整。关于步长的详细介绍,请参见;关于步长调整的具体操作,请参见。
如果要删除已生效的ACL,可参见“配置基本ACL”中的,此处不再赘述。
(可选)执行命令description text,配置ACL的描述信息。
缺省情况下,未配置ACL的描述信息。
配置ACL时,为ACL添加描述信息可以方便理解和记忆该ACL的功能或具体用途。
配置高级ACL规则。
根据IP承载的协议类型不同,在设备上配置不同的高级ACL规则。对于不同的协议类型,有不同的参数组合。
当参数protocol为ICMP时,高级ACL的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | icmp } [ destination { destination-address destination-wildcard | any } | { { precedence precedence | tos tos } * | dscp dscp } | fragment | logging | icmp-type { icmp-name | icmp-type [ icmp-code ] } | source { source-address
source-wildcard | any } | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *
当参数protocol为TCP时,高级ACL的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | tcp } [ destination { destination-address destination-wildcard | any }
| destination-port { eq port | gt port | lt port | range port-start port-end } | { { precedence precedence | tos tos } * | dscp dscp } | fragment | logging | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | tcp-flag { ack | established | fin | psh | rst | syn | urg } *
| time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *
当参数protocol为UDP时,高级ACL的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | udp } [ destination { destination-address destination-wildcard | any }
| destination-port { eq port | gt port | lt port | range port-start port-end } | { { precedence precedence | tos tos } * | dscp dscp } | fragment | logging | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *
当参数protocol为GRE、IGMP、IP、IPINIP、OSPF时,高级ACL的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | gre | igmp | ip | ipinip | ospf }
[ destination { destination-address destination-wildcard | any } | { { precedence precedence | tos tos } * | dscp dscp } | fragment | logging | source { source-address source-wildcard | any } | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *
说明: X1E系列单板不支持ttl-expired参数。
以上步骤仅是一条permit/deny规则的配置步骤。实际配置ACL规则时,需根据具体的业务需求,决定配置多少条规则以及规则的先后匹配顺序。
关于生效时间段、IP承载的协议类型、源/目的IP地址及其通配符掩码、TCP/UDP端口号、TCP标志信息和IP分片信息的详细介绍,请参见。详细的规则配置示例,请参见。
(可选)执行命令rule rule-id description description,配置ACL规则的描述信息。
缺省情况下,各规则没有描述信息。
配置ACL规则时,为ACL规则添加描述信息,可以方便理解和记忆该ACL规则的功能或具体用途。
设备仅允许为已存在的规则添加描述信息,不允许先配置规则的描述信息再配置具体的规则内容。
配置小窍门配置高级ACL规则
配置基于ICMP协议类型、源IP地址(主机地址)和目的IP地址(网段地址)过滤报文的规则
在ACL 3001中配置规则,允许源IP地址是192.168.1.3主机地址且目的IP地址是192.168.2.0/24网段地址的ICMP报文通过。&HUAWEI& system-view
[HUAWEI] acl 3001
[HUAWEI-acl-adv-3001] rule permit icmp source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255
配置基于TCP协议类型、TCP目的端口号、源IP地址(主机地址)和目的IP地址(网段地址)过滤报文的规则
在名称为deny-telnet的高级ACL中配置规则,拒绝IP地址是192.168.1.3的主机与192.168.2.0/24网段的主机建立Telnet连接。&HUAWEI& system-view
[HUAWEI] acl name deny-telnet
[HUAWEI-acl-adv-deny-telnet] rule deny tcp destination-port eq telnet source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255
在名称为no-web的高级ACL中配置规则,禁止192.168.1.3和192.168.1.4两台主机访问Web网页(HTTP协议用于网页浏览,对应TCP端口号是80),并配置ACL描述信息为Web
access restrictions。&HUAWEI& system-view
[HUAWEI] acl name no-web
[HUAWEI-acl-adv-no-web] description Web access restrictions
[HUAWEI-acl-adv-no-web] rule deny tcp destination-port eq 80 source 192.168.1.3 0
[HUAWEI-acl-adv-no-web] rule deny tcp destination-port eq 80 source 192.168.1.4 0
配置基于TCP协议类型、源IP地址(网段地址)和TCP标志信息过滤报文的规则
在ACL 3002中配置规则,拒绝192.168.2.0/24网段的主机主动发起的TCP握手报文通过,允许该网段主机被动响应TCP握手的报文通过,实现192.168.2.0/24网段地址的单向访问控制。同时,配置ACL规则描述信息分别为Allow
the ACK TCP packets through、Allow the RST TCP packets through和Do not
Allow the other TCP packet through。
完成以上配置,必须先配置两条permit规则,允许192.168.2.0/24网段的ACK=1或RST=1的报文通过,再配置一条deny规则,拒绝该网段的其他TCP报文通过。&HUAWEI& system-view
[HUAWEI] acl 3002
[HUAWEI-acl-adv-3002] rule permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack
[HUAWEI-acl-adv-3002] display this
//如果配置规则时未指定规则编号,则可以通过此步骤查看到系统为该规则分配的编号,然后根据该编号,为该规则配置描述信息。
acl number 3002
rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack
//系统分配的规则编号是5
[HUAWEI-acl-adv-3002] rule 5 description Allow the ACK TCP packets through
[HUAWEI-acl-adv-3002] rule permit tcp source 192.168.2.0 0.0.0.255 tcp-flag rst
[HUAWEI-acl-adv-3002] display this
acl number 3002
rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack
rule 5 description Allow the ACK TCP packets through
rule 10 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag rst
//系统分配的规则编号是10
[HUAWEI-acl-adv-3002] rule 10 description Allow the RST TCP packets through
[HUAWEI-acl-adv-3002] rule deny tcp source 192.168.2.0 0.0.0.255
[HUAWEI-acl-adv-3002] display this
acl number 3002
rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack
rule 5 description Allow the ACK TCP packets through
rule 10 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag rst
rule 10 description Allow the RST TCP packets through
rule 15 deny tcp source 192.168.2.0 0.0.0.255
//系统分配的规则编号是15
[HUAWEI-acl-adv-3002] rule 15 description Do not Allow the other TCP packet through
也可以通过配置established参数,允许192.168.2.0/24网段的ACK=1或RST=1的报文通过,再配置一条deny规则,拒绝该网段的其他TCP报文通过。&HUAWEI& system-view
[HUAWEI] acl 3002
[HUAWEI-acl-adv-3002] rule permit tcp source 192.168.2.0 0.0.0.255 tcp-flag established
[HUAWEI-acl-adv-3002] rule 5 description Allow the Established TCP packets through
[HUAWEI-acl-adv-3002] rule deny tcp source 192.168.2.0 0.0.0.255
[HUAWEI-acl-adv-3002] rule 10 description Do not Allow the other TCP packet through
[HUAWEI-acl-adv-3002] display this
acl number 3002
rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag established
rule 5 description Allow the Established TCP packets through
rule 10 deny tcp source 192.168.2.0 0.0.0.255
rule 10 description Do not Allow the other TCP packet through
请参见“配置基本ACL”中的,不再赘述。
配置基于IP分片信息、源IP地址(网段地址)过滤报文的规则
请参见“配置基本ACL”中的,不再赘述。
&应用高级ACL
配置完ACL后,必须在具体的业务模块中应用ACL,才能使ACL正常下发和生效。
最基本的ACL应用方式,是在简化流策略或流策略中应用ACL,使设备能够基于全局、VLAN或接口下发ACL,实现对转发报文的过滤。此外,ACL还可以应用在FTP、组播等模块。
应用高级ACL。
高级ACL的常见应用方式,如所示。
表1-18 &应用高级ACL
各业务模块的ACL应用方式
&检查配置结果
执行命令display acl { acl-number | name acl-name | all },查看ACL的配置信息。
执行命令display time-range { all | time-name },查看时间段信息。
&配置并应用二层ACL
&(可选)配置ACL的生效时间段
请参见“配置并应用基本ACL”中的。
&配置二层ACL
如果配置基于时间的ACL,则需创建生效时间段,并将其与ACL规则关联起来。具体操作请参见。
二层ACL根据以太网帧头信息来定义规则,如源MAC(Media Access
Control)地址、目的MAC地址、VLAN、二层协议类型等,对IPv4和IPv6报文进行过滤。
如果只需要根据二层信息过滤报文,可以配置二层ACL。
执行命令system-view,进入系统视图。
创建二层ACL。可使用编号或者名称两种方式创建。
执行命令acl [ number ] acl-number [ match-order { auto | config } ],使用编号()创建一个数字型的二层ACL,并进入二层ACL视图。
执行命令acl name acl-name { link | acl-number } [ match-order { auto | config } ],使用名称创建一个命名型的二层ACL,进入二层ACL视图。
缺省情况下,未创建ACL。
关于数字型ACL和命名型ACL的详细介绍,请参见。
如果创建ACL时未指定match-order参数,则该ACL默认的规则匹配顺序为config。关于ACL匹配顺序的详细介绍,请参见。
创建ACL后,ACL的缺省步长为5。如果该值不能满足管理员部署ACL规则的需求,则可以对ACL步长值进行调整。关于步长的详细介绍,请参见;关于步长调整的具体操作,请参见。
如果要删除已生效的ACL,可参见“配置基本ACL”中的,此处不再赘述。
(可选)执行命令description text,配置ACL的描述信息。
缺省情况下,未配置ACL的描述信息。
配置ACL时,为ACL添加描述信息可以方便理解和记忆该ACL的功能或具体用途。
执行命令rule [ rule-id ] { permit | deny } [ [ ether-ii | 802.3 | snap ] | l2-protocol type-value [ type-mask ] | destination-mac dest-mac-address [ dest-mac-mask ] | source-mac source-mac-address [ source-mac-mask ] | vlan-id vlan-id [ vlan-id-mask ] | 8021p 802.1p-value | cvlan-id cvlan-id [ cvlan-id-mask ] | cvlan-8021p 802.1p-value | double-tag | time-range time-name ] *,配置二层ACL的规则。
以上步骤仅是一条permit/deny规则的配置步骤。实际配置ACL规则时,需根据具体的业务需求,决定配置多少条规则以及规则的先后匹配顺序。
关于生效时间段、源/目的MAC地址及其通配符掩码、VLAN编号及其掩码的详细介绍,请参见。详细的规则配置示例,请参见。
(可选)执行命令rule rule-id description description,配置ACL规则的描述信息。
缺省情况下,各规则没有描述信息。
配置ACL规则时,为ACL规则添加描述信息,可以方便理解和记忆该ACL规则的功能或具体用途。
设备仅允许为已存在的规则添加描述信息,不允许先配置规则的描述信息再配置具体的规则内容。
配置小窍门配置二层ACL规则
配置基于源MAC地址(单个MAC地址)、目的MAC地址(单个MAC地址)和二层协议类型过滤报文的规则
在ACL 4001中配置规则,允许目的MAC地址是01、源MAC地址是02的ARP报文(二层协议类型值为0x0806)通过。&HUAWEI& system-view
[HUAWEI] acl 4001
[HUAWEI-acl-L2-4001] rule permit destination-mac 01 source-mac 02 l2-protocol 0x0806
在ACL 4001中配置规则,拒绝PPPoE报文(二层协议类型值为0x8863)通过。&HUAWEI& system-view
[HUAWEI] acl 4001
[HUAWEI-acl-L2-4001] rule deny l2-protocol 0x8863
配置基于源MAC地址(MAC地址段)和内层VLAN过滤报文的规则
在名称为deny-vlan10-mac的二层ACL中配置规则,拒绝来自VLAN10且源MAC地址在00e0-fc01--fc01-ffff范围内的报文通过。&HUAWEI& system-view
[HUAWEI] acl name deny-vlan10-mac link
[HUAWEI-acl-L2-deny-vlan10-mac] rule deny vlan-id 10 source-mac 00e0-fc01-0000 ffff-ffff-0000
配置基于时间的ACL规则
请参见“配置基本ACL”中的,不再赘述。
&应用二层ACL
配置完ACL后,必须在具体的业务模块中应用ACL,才能使ACL正常下发和生效。
最基本的ACL应用方式,是在简化流策略/流策略中应用ACL,使设备能够基于全局、VLAN或接口下发ACL,实现对转发报文的过滤。此外,ACL还可以应用在本机防攻击等模块。
应用二层ACL。
二层ACL的常见应用方式,如所示。
表1-19 &应用二层ACL
各业务模块的ACL应用方式
&检查配置结果
执行命令display acl { acl-number | name acl-name | all },查看ACL的配置信息。
执行命令display time-range { all | time-name },查看时间段信息。
&配置并应用用户自定义ACL
说明: X1E系列单板不支持用户自定义ACL。
&(可选)配置ACL的生效时间段
请参见“配置并应用基本ACL”中的。
&配置用户自定义ACL
如果配置基于时间的ACL,则需创建生效时间段,并将其与ACL规则关联起来。具体操作请参见。
用户自定义ACL根据报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则,即以报文头为基准,指定从报文的第几个字节开始与字符串掩码进行“与”操作,并将提取出的字符串与用户自定义的字符串进行比较,对IPv4和IPv6报文进行过滤。
用户自定义ACL比基本ACL、高级ACL和二层ACL提供了更准确、丰富、灵活的规则定义方法。例如,当希望同时根据源IP地址、ARP报文类型对ARP报文进行过滤时,则可以配置用户自定义ACL。
执行命令system-view,进入系统视图。
创建用户自定义ACL。可使用编号或者名称两种方式创建。
执行命令acl [ number ] acl-number [ match-order { auto | config } ],使用编号()创建一个数字型的用户自定义ACL,并进入用户自定义ACL视图。
执行命令acl name acl-name { user | acl-number } [ match-order { auto | config } ],使用名称创建一个命名型的用户自定义ACL,进入用户自定义ACL视图。
缺省情况下,未创建ACL。
关于数字型ACL和命名型ACL的详细介绍,请参见。
如果创建ACL时未指定match-order参数,则该ACL默认的规则匹配顺序为config。关于ACL匹配顺序的详细介绍,请参见。
创建ACL后,ACL的缺省步长为5。如果该值不能满足管理员部署ACL规则的需求,则可以对ACL步长值进行调整。关于步长的详细介绍,请参见;关于步长调整的具体操作,请参见。
如果要删除已生效的ACL,可参见“配置基本ACL”中的,此处不再赘述。
(可选)执行命令description text,配置ACL的描述信息。
缺省情况下,未配置ACL的描述信息。
配置ACL时,为ACL添加描述信息可以方便理解和记忆该ACL的功能或具体用途。
执行命令rule [ rule-id ] { deny | permit } [ [ l2-head | ipv4-head | ipv6-head | l4-head ] { rule-string
rule-mask offset } &&1-8& | time-range time-name ] *,配置用户自定义ACL规则。
以上步骤仅是一条permit/deny规则的配置步骤。实际配置ACL规则时,需根据具体的业务需求,决定配置多少条规则以及规则的先后匹配顺序。
详细的规则配置示例,请参见。
(可选)执行命令rule rule-id description description,配置ACL规则的描述信息。
缺省情况下,各规则没有描述信息。
配置ACL规则时,为ACL规则添加描述信息,可以方便理解和记忆该ACL规则的功能或具体用途。
设备仅允许为已存在的规则添加描述信息,不允许先配置规则的描述信息再配置具体的规则内容。
配置小窍门配置用户自定义ACL规则
配置基于报文的二层头、偏移位置、字符串掩码和用户自定义字符串过滤报文的规则
在ACL 5001中配置规则,拒绝源IP地址为192.168.0.2的ARP报文通过。
以下规则中的0x是ARP帧类型,0x0000ffff是字符串掩码,10是设备内部处理不含VLAN信息的ARP报文中的协议类型字段的偏移量,c0a88.0.2的十六进制形式,26和30分别是设备内部处理不含VLAN信息的ARP报文中源IP地址字段高两个字节和低两个字节的偏移量(ARP报文的源IP地址字段从二层头第28个字节开始占4个字节,受到用户自定义ACL规定二层头偏移位置只能是“4n+2”(n是整数)的限制,因此针对源IP地址,需要拆分成两段进行匹配,即偏移量为4×6+2=26的位置开始往后匹配4个字节的低两个字节以及偏移量为4×7+2=30的位置开始往后匹配4个字节的高两个字节)。如果要对携带VLAN信息的ARP报文进行过滤,则要将以下规则中的三个偏移量值再分别加上4。图1-10 &ARP报文源IP地址字段在二层头中的偏移量示意图
&HUAWEI& system-view
[HUAWEI] acl 5001
[HUAWEI-acl-user-5001] rule deny l2-head 0xx0000ffff 10 0x 0x0000ffff 26 0xxffff0000 30
在名称为deny-tcp的用户自定义ACL中配置规则,拒绝所有TCP报文通过。
以下规则中的0x是TCP协议号,8是设备内部处理IP报文中协议字段的偏移量(由于IP报文中的协议字段从IPv4头第10个字节开始占1个字节,并且受到用户自定义ACL规定IPv4头偏移位置只能是“4n”(n是整数)的限制,因此针对协议字段,需要从IPv4头偏移量为8的位置开始往后匹配4个字节的第二个高位字节)。&HUAWEI& system-view
[HUAWEI] acl name deny-tcp user
[HUAWEI-acl-user-deny-tcp] rule 5 deny ipv4-head 0xx00ff0000 8
图1-11 &TCP协议字段在IPv4头中的偏移量示意图
配置基于时间的ACL规则
请参见“配置基本ACL”中的,不再赘述。
&应用用户自定义ACL
配置完ACL后,必须在具体的业务模块中应用ACL,才能使ACL正常下发和生效。
目前用户自定义ACL仅支持在简化流策略/流策略中应用,使设备能够基于全局、VLAN或接口下发ACL,实现对转发报文的过滤。
应用用户自定义ACL。
用户自定义ACL的常见应用方式,如所示。
表1-20 &应用用户自定义ACL
各业务模块的ACL应用方式
&检查配置结果
执行命令display acl { acl-number | name acl-name | all },查看ACL的配置信息。
执行命令display time-range { all | time-name },查看时间段信息。
&配置并应用用户ACL
&(可选)配置ACL的生效时间段
请参见“配置并应用基本ACL”中的。
&配置用户ACL
通过命令authentication unified-mode将NAC配置模式切换成统一模式,并重启设备使该模式功能生效。
通过命令ucl-group创建标记用户类别的UCL组。
如果配置基于时间的ACL,则需创建生效时间段,并将其与ACL规则关联起来。具体操作请参见。
用户ACL根据IPv4报文的源IP地址或源UCL(User Control
List)组、目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号、生效时间段等来定义规则,对IPv4报文进行过滤。
如果需要根据UCL组对报文进行过滤,可以配置用户ACL。
说明: S系列中的SA系列单板不支持用户ACL。
执行命令system-view,进入系统视图。
创建用户ACL。可使用编号或者名称两种方式创建。
执行命令acl [ number ] acl-number [ match-order { auto | config } ],使用编号(6000~9999)创建一个数字型的用户ACL,并进入用户ACL视图。
执行命令acl name acl-name { ucl | acl-number } [ match-order { auto | config } ],使用名称创建一个命名型的用户ACL,并进入用户ACL视图。
缺省情况下,未创建ACL。
关于数字型ACL和命名型ACL的详细介绍,请参见。
如果创建ACL时未指定match-order参数,则该ACL默认的规则匹配顺序为config。关于ACL匹配顺序的详细介绍,请参见。
创建ACL后,ACL的缺省步长为5。如果该值不能满足管理员部署ACL规则的需求,则可以对ACL步长值进行调整。关于步长的详细介绍,请参见;关于步长调整的具体操作,请参见。
如果要删除已生效的ACL,可参见“配置基本ACL”中的,此处不再赘述。
(可选)执行命令description text,配置ACL的描述信息。
缺省情况下,未配置ACL的描述信息。
配置ACL时,为ACL添加描述信息可以方便理解和记忆该ACL的功能或具体用途。
配置用户ACL规则。
根据IP承载的协议类型不同,在设备上配置不同的用户ACL规则。对于不同的协议类型,有不同的参数组合。
当参数protocol为ICMP时,用户ACL的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | icmp } [ source { source-address source-wildcard | any | ucl-group { source-ucl-group-index | name source-ucl-group-name } } | destination { destination-address destination-wildcard | any | ucl-group { destination-ucl-group-index | name destination-ucl-group-name } | fqdn fqdn-name } | icmp-type { icmp-name | icmp-type [ icmp-code ] } | time-range time-name | vpn-instance vpn-instance-name ] *
当参数protocol为TCP时,用户ACL的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | tcp } [ source { source-address source-wildcard | any | ucl-group { source-ucl-group-index | name source-ucl-group-name } } | destination { destination-address destination-wildcard | any | ucl-group { destination-ucl-group-index | name destination-ucl-group-name } | fqdn fqdn-name } | source-port { eq port | gt port | lt port | range port-start port-end } | destination-port { eq port | gt port | lt port | range port-start port-end } | time-range time-name | vpn-instance vpn-instance-name ] *
当参数protocol为UDP时,用户ACL的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | udp } [ source { source-address source-wildcard | any | ucl-group { source-ucl-group-index | name source-ucl-group-name } } | destination { destination-address destination-wildcard | any | ucl-group { destination-ucl-group-index | name destination-ucl-group-name } | fqdn fqdn-name } | source-port { eq port | gt port | lt port | range port-start port-end } | destination-port { eq port | gt port | lt port | range port-start port-end } | time-range time-name | vpn-instance vpn-instance-name ] *
当参数protocol为GRE、IGMP、IP、IPINIP、OSPF时,用户ACL的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | gre | igmp | ip | ipinip | ospf } [ source { source-address source-wildcard | any | ucl-group { source-ucl-group-index | name source-ucl-group-name } } | destination { destination-address destination-wildcard | any | ucl-group { destination-ucl-group-index | name destination-ucl-group-name }
| fqdn fqdn-name } | time-range time-name | vpn-instance vpn-instance-name ] *
以上步骤仅是一条permit/deny规则的配置步骤。实际配置ACL规则时,需根据具体的业务需求,决定配置多少条规则以及规则的先后匹配顺序。
详细的规则配置示例,请参见。
(可选)执行命令rule rule-id description description,配置ACL规则的描述信息。
缺省情况下,各规则没有描述信息。
配置ACL规则时,为ACL规则添加描述信息,可以方便理解和记忆该ACL规则的功能或具体用途。
设备仅允许为已存在的规则添加描述信息,不允许先配置规则的描述信息再配置具体的规则内容。
配置小窍门配置用户ACL规则
配置基于源UCL组、目的IP地址过滤报文的规则
在ACL 6000中配置规则,拒绝从源UCL组group1的主机向192.168.1.0/24网段的主机发送的所有IP报文通过。&HUAWEI& system-view
[HUAWEI] ucl-group 1 name group1
[HUAWEI] acl 6000
[HUAWEI-acl-ucl-6000] rule deny ip source ucl-group name group1 destination 192.168.1.0 0.0.0.255
配置基于时间的ACL规则
请参见“配置基本ACL”中的,不再赘述。
&应用用户ACL
配置完ACL后,必须在具体的业务模块中应用ACL,才能使ACL正常下发和生效。
目前用户ACL仅支持在NAC特性的UCL组中应用。通过配置UCL组,并配置用户ACL规则关联UCL组使一组用户复用ACL规则,再配置基于用户ACL对报文进行过滤使ACL生效,最后在AAA的业务方案中应用UCL组,可以实现对用户的网络访问权限进行分组控制。
应用用户ACL。
用户ACL的应用方式,如所示。
表1-21 &应用用户ACL
各业务模块的ACL应用方式
&检查配置结果
执行命令display acl { acl-number | name acl-name | all },查看ACL的配置信息。
执行命令display time-range { all | time-name },查看时间段信息。
&配置并应用基本ACL6
&(可选)配置ACL6的生效时间段
ACL6与ACL关联的生效时间段相同,配置方法请参见“配置并应用基本ACL”中的。
&配置基本ACL6
如果配置基于时间的ACL6,则需创建生效时间段,并将其与ACL6规则关联起来。具体操作请参见。
基本ACL6根据源IPv6地址、分片信息和生效时间段等信息来定义规则,对IPv6报文进行过滤。
如果只需要根据源IPv6地址对报文进行过滤,可以配置基本ACL6。
执行命令system-view,进入系统视图。
创建基本ACL6。可使用编号或者名称两种方式创建。
执行命令acl ipv6 [ number ] acl6-number [ match-order { auto | config } ],使用编号()创建一个数字型的基本ACL6,并进入基本ACL6视图。
执行命令acl ipv6 name acl6-name { basic | acl6-number } [ match-order { auto | config } ],使用名称创建一个命名型的基本ACL6,并进入基本ACL6视图。
缺省情况下,未创建ACL6。
数字型ACL6和命名型ACL6的原理同数字型ACL和命名型ACL,详细介绍请参见。
如果创建ACL6时未指定match-order参数,则该ACL6默认的规则匹配顺序为config。ACL6的规则匹配顺序同ACL匹配顺序,详细介绍请参见。
如果要删除已生效的ACL6,可参见。
执行命令rule [ rule-id ] { deny | permit } [ fragment | logging | source {
source-ipv6-address prefix-length | source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | time-range time-name | vpn-instance vpn-instance-name ] *,配置基本ACL6规则。
以上步骤仅是一条permit/deny规则的配置步骤。实际配置ACL规则时,需根据具体的业务需求,决定配置多少条规则以及规则的先后匹配顺序。
详细的规则配置示例,请参见。
(可选)执行命令rule rule-id description description,配置ACL规则的描述信息。
缺省情况下,各规则没有描述信息。
配置ACL规则时,为ACL规则添加描述信息,可以方便理解和记忆该ACL规则的功能或具体用途。
设备仅允许为已存在的规则添加描述信息,不允许先配置规则的描述信息再配置具体的规则内容。
配置小窍门删除ACL6系统视图下执行命令undo acl ipv6 { all | [ number ] acl6-number }或undo acl ipv6 name acl6-name,可以直接删除ACL6,不受引用ACL6的业务模块影响(简化流策略中引用ACL6指定rule的情况除外),即无需先删除引用ACL6的业务配置。
配置基本ACL6规则
配置基于源IPv6地址(主机地址)过滤报文的规则
在ACL6 2001中配置规则,允许源IPv6地址是fc00:1::1/128主机地址的报文通过。&HUAWEI& system-view
[HUAWEI] acl ipv6 2001
[HUAWEI-acl6-basic-2001] rule permit source fc00:1::1 128
配置基于源IPv6地址(网段地址)过滤报文的规则
在ACL6 2001中配置规则,仅允许源IPv6地址是fc00:1::1/128主机地址的报文通过,拒绝源IPv6地址是fc00:1::/64网段其他地址的报文通过。&HUAWEI& system-view
[HUAWEI] acl ipv6 2001
[HUAWEI-acl6-basic-2001] rule permit source fc00:1::1 128
[HUAWEI-acl6-basic-2001] rule deny source fc00:1:: 64
请参见“配置基本ACL”中的,不再赘述。
配置基于IP分片信息、源IP地址(网段地址)过滤报文的规则
请参见“配置基本ACL”中的,不再赘述。
&应用基本ACL6
配置完ACL6后,必须在具体的业务模块中应用ACL6,才能使ACL6正常下发和生效。
最基本的ACL6应用方式,是在简化流策略/流策略中应用ACL6,使设备能够基于全局、VLAN或接口下发ACL6,实现对转发报文的过滤。此外,ACL6还可以应用在Telnet、FTP、路由等模块。
应用基本ACL6。
基本ACL的常见应用方式,如所示。
表1-22 &应用基本ACL6
各业务模块的ACL应用方式
&检查配置结果
执行命令display acl ipv6 { acl6-number | name acl6-name | all },查看ACL6的配置信息。
执行命令display time-range { all | time-name },查看时间段信息。
&配置并应用高级ACL6
&(可选)配置ACL6的生效时间段
ACL6与ACL关联的生效时间段相同,配置方法请参见“配置并应用基本ACL”中的。
&配置高级ACL6
如果配置基于时间的ACL6,则需创建生效时间段,并将其与ACL6规则关联起来。具体操作请参见。
高级ACL6根据源IPv6地址、目的IPv6地址、IPv6协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv6报文进行过滤。
高级ACL6比基本ACL6提供了更准确、丰富、灵活的规则定义方法。例如,当希望同时根据源IPv6地址和目的IPv6地址对报文进行过滤时,则需要配置高级ACL6。
执行命令system-view,进入系统视图。
创建高级ACL。可使用编号或者名称两种方式创建。
执行命令acl ipv6 [ number ] acl6-number [ match-order { auto | config } ],使用编号()创建一个数字型的高级ACL6,并进入高级ACL6视图。
执行命令acl ipv6 name acl6-name { advance | acl6-number } [ match-order { auto | config } ],使用名称创建一个命名型的高级ACL6,进入高级ACL6视图。
缺省情况下,未创建ACL。
数字型ACL6和命名型ACL6}
我要回帖
更多关于 动态路由ospf配置命令 的文章
更多推荐
- ·wps公式颜色怎么设置引用带格式字体颜色?
- ·P40Pro手机里微信接收到微信发的pdf文件怎么编辑存储路径在哪里?
- ·P6项目管理软件里自动生成进度计划的软件开始时间计算会为什么被延后?
- ·消费者在国内商城购买个人如何做跨境电商商品和国内商品时,需要分别下单,体验不太好怎么办?
- ·做进口电商,有没有一种方式可以简化个人如何做跨境电商支付流程,降低操作成本?
- ·亲们谁知道什么是四星五星巴西四星怎么玩.大神帮忙,谢谢
- ·关于爱叶如星怎么免费获得优酷会员
- ·大家觉得这四星腾讯分分彩波动值计算.有知道的人吗?
- ·求荒野行动pc安装包国际服的安装包
- ·哪里有刺激战场模拟器自瞄的透视自瞄卖?
- ·请问现在哪里可以看 思青春期游戏百度3 游戏青春
- ·逆战猎场10掉落的金块是什么?
- ·游戏战地叛逆连队31和2叛逆联队有什么区别吗
- ·传世怎么切换老版界面西方界.杯2030是哪个国家是不是很有用?。
- ·.unity3d的网页小游戏文件如何用谷歌浏览器unity3d打开
- ·这个在游侠网怎么下载游戏下的游戏怎么安装?
- ·技嘉HD 4250 512mb 换什么hd4250显卡 2560 1440好
- ·换了显卡之后,玩大型游戏显卡过热会自动关机吗
- ·请问在哪里可以找到和数码绘画培训/板绘的相关兼职?快暑假了想靠自己的能力找一份工作
- ·lol玩游戏发出滋滋声死机的时候卡顿并伴有滋滋滋声
- ·ospf协议配置命令令rip ospf acl
- ·固态硬盘最大容量少了容量
- ·1000块以下买哪款买手机哪款好好?
- ·刚在一起男朋友男朋友送我很多热水壶水杯耳机单元吸在一起等生活用品好不好?
- ·怎么多申请一个微信号号y152836902
- ·玩天刀,为什么吃鸡显卡占用率低不到99%反而cpu占用率100%?
- ·康佳电视太卡怎么设置智能电视怎样
- ·华为手机下载路径错误?
- ·赢了赢了庄闲8年的注码法法;支持哪几种网络制式?
- ·小区里的移动宽带覆盖小区查询驻地线坏了是该谁来维修
- ·tlssot1853100219女一式手表多少钱一只
- ·上网卡 平板外出用 哪个亿点全球上网卡好用吗呢?
- ·大佬求看一下配置,有没有16g内存条16g和两条8g推荐,显卡选七彩虹还是索泰好?其他配置有没有性价比更好的?
- ·大佬求看一下配置,有没有金士顿16g内存条条推荐,显卡选七彩虹还是索泰好?其他配置有没有性价比更好的?
- ·谁知道Hp 14 d-101tx有没有配备蓝牙驱动功能😭😭😭
- ·苹果机GPS老是手机显示gps信号弱信号弱
