ACL基础及配置

参考文档:朱仕耿老师的《华为数通知识宝典》

ACL 属于网络安全范畴,广泛应用于华为路由器和交换机。

概念

ACL , Access control list , 访问控制列表。

由一系列permit 或deny 语句组成的,有序的规则集合,通过匹配报文的相关字段实现对报文的分类。

ACL本身本身只是一组规则,用于区分某一类报文。

如果需要使用ACL进行特定流量的过滤,就需要在适当的应用中调用已经定义好的ACL。

ACL的应用场景:

1️⃣ 被流量策略调用,用于过滤流量。

2️⃣ 在 route-policy中被调用,匹配特定的路由前缀,执行路由策略。

3️⃣ 在VPN中调用,匹配感兴趣的数据量。

4️⃣ 在防火墙中的策略部署中调用,用于匹配流量。

1662535822144

例如:

上图显示一个编号我 xxx 的ACL, 这条ACL 包含有多个规则 Rule , 每条规则都有一个编号, 编号越小,排序越靠前。

在ACL的执行过程中,设置从该ACL中拥有最小编号的规则开始匹配,如果匹配到,则执行该规则定义的所有动作,并且不会计算其他规则。

如果没有匹配到该规则,则继续匹配下一条规则。

ACL 编号可以使用一个数字命名,也可以使用字母。如 ACL 2000 ,ACL Test

分类

基本ACL

基本ACL只能针对IP报文中的源IP地址等信息进行流量匹配。

例如:使用ACL来拒绝源IP地址段为192.168.1.0/24的报文。

如果交换机上使用数字编号进行命名,数字的范围地址为:2000--2999

⚡️ 配置示例

# 在ACL 2001中配置规则,允许源IP地址是192.168.1.3主机地址的报文通过。
<HUAWEI> system-view
[HUAWEI] acl 2001
# rule-id 可以省略
[HUAWEI-acl-basic-2001] rule permit source 192.168.1.3 0

高级ACL

可以针对IP报文中的源IP地址、目的IP地址、协议类型、TCP/UDP源或目的端口等进行流量匹配。

如果交换机上使用数字编号进行命名,数字的范围地址为:3000--3999

⚡️ 配置示例

配置基于ICMP协议类型、源IP地址(主机地址)和目的IP地址(网段地址)过滤报文的规则

在ACL 3001中配置规则,允许源IP地址是192.168.1.3主机地址且目的IP地址是192.168.2.0/24网段地址的ICMP报文通过。

<HUAWEI> system-view
[HUAWEI] acl 3001
[HUAWEI-acl-adv-3001] rule permit icmp source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255

反掩码 0 等同 0.0.0.0

高级ACL支持的主要协议有:OSPF、ICMP、TCP、UDP、IP等

配置基于TCP协议类型、TCP目的端口号、源IP地址(主机地址)和目的IP地址(网段地址)过滤报文的规则

在名称为deny-telnet的高级ACL中配置规则,拒绝IP地址是192.168.1.3的主机与192.168.2.0/24网段的主机建立Telnet连接。

<HUAWEI> system-view
[HUAWEI] acl name deny-telnet
[HUAWEI-acl-adv-deny-telnet] rule deny tcp destination-port eq telnet source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255

在名称为 no-web 的高级ACL中配置规则,禁止192.168.1.3和192.168.1.4两台主机访问Web网页(HTTP协议用于网页浏览,对应TCP端口号是80),并配置ACL描述信息为Web access restrictions。

<HUAWEI> system-view
[HUAWEI] acl name no-web
[HUAWEI-acl-adv-no-web] description Web access restrictions
[HUAWEI-acl-adv-no-web] rule deny tcp destination-port eq 80 source 192.168.1.3 0
[HUAWEI-acl-adv-no-web] rule deny tcp destination-port eq 80 source 192.168.1.4 0

路由器配置

基本示例

1662539409473

配置如下:

1662539447423

traffice-filter

traffic-filter             Filter packets based on acl 
traffic-policy             Apply specific traffic policy

路由器的基本命令之一

traffic-filter inbound 命令用来在Tunnel接口的入方向上配置基于ACL对报文进行过滤。

traffic policy 命令用来创建一个流策略并进入流策略视图,或进入已存在的流策略视图。

例如:创建流策略p1,并关联流分类c1和流行为b1

<Huawei> system-view
[Huawei] traffic classifier c1 
[Huawei-classifier-c1] if-match any 
[Huawei-classifier-c1] quit 
[Huawei] traffic behavior b1 
[Huawei-behavior-b1] remark 8021p 2 
[Huawei-behavior-b1] quit 
[Huawei] traffic policy p1 
[Huawei-trafficpolicy-p1] classifier c1 behavior b1

高级示例

1662541411523

交换机配置

1662541513694

[SW] acl 3000
[SW-acl-adv-3000] rule deny icmp
[SW-acl-adv-3000] rule perimit ip
[SW] interface g0/0/1
[SW-GigabitEthernet0/0/1] traffic-filter inbound acl 3000

相关真题