华为交换机ACL基础配置
ACL基础详解:
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
访问控制列表具有许多作用,如限制网络流量、提高网络性能;通信流量的控制,例如ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量;提供网络安全访问的基本手段;在路由器端口处决定哪种类型的通信流量被转发或被阻塞,例如,用户可以允许E-mail通信流量被路由,拒绝所有的 Telnet通信流量等。
ACL处理过程及规则:
当ACL处理数据包时,一旦数据包与某条ACL语句匹配,则会跳过列表中剩余的其他语句,根据该条匹配的语句内容决定允许或者拒绝该数据包。如果数据包内容与ACL语句不匹配,那么将依次使用ACL列表中的下一条语句测试数据包。该匹配过程会一直继续,直到抵达列表末尾。最后一条隐含的语句适用于不满足之前任何条件的所有数据包。这条最后的测试条件与这些数据包匹配,通常会隐含拒绝一切数据包的指令。此时路由器不会让这些数据进入或送出接口,而是直接丢弃。最后这条语句通常称为隐式的“deny any”语句。由于该语句的存在,所以在ACL中应该至少包含一条permit语句,否则,默认情况下,ACL将阻止所有流量。
访问控制列表的使用:
ACL的使用分为两步:
-
创建访问控制列表ACL,根据实际需要设置对应的条件项;
-
将ACL应用到路由器指定接口的指定方向(in/out)上。
在ACL的配置与使用中需要注意以下事项:
-
ACL是自顶向下顺序进行处理,一旦匹配成功,就会进行处理,且不再比对以后的语句,所以ACL中语句的顺序很重要。应当将最严格的语句放在最上面,最不严格的语句放在底部。
-
当所有语句没有匹配成功时,会丢弃分组。这也称为ACL隐性拒绝。
-
每个接口在每个方向上,只能应用一个ACL。
-
标准ACL应该部署在距离分组的目的网络近的位置,扩展ACL应该部署在距离分组发送者近的位置
华为交换机ACL配置命令:
在全局视图下输入“ACL”
[HuaWei-SWitch] acl ?
INTEGER<2000-2999> Basic access-list —— 基本访问列表
INTEGER<3000-3999> Advanced access-list —— 高级访问列表
INTEGER<4000-4999> L2 access-list —— 二层访问列表
INTEGER<5000-5999> User defined access-list —— 用户定议访问列表
INTEGER<6000-9999> UCL group access-list —— UCL组访问列表
[HuaWei-SWitch]acl 2000 —— 进入基本访问列表
[HuaWei-SWitch-acl-basic-2000] rule 5 deny source 192.168.1.0 0.0.0.255
—— 定义行号为 5 的规则,拒绝来源IP为 192.168.1.0至192.168.1.255地址访问
注:如果不定义行号,交换机第一行规则默认是从 5 开始,依次步长为5往后递增。
此条命令中的子网掩码叫做通配符,将IP地址与通配符进行与计算。
ACL中的通配符:
通配符掩码:路由器使用通配符掩码与原地址或者是目标地址一起来分辨匹配的地址范围,在访问控制列表中,将通配符掩码中设置为1 的表示本位可以忽略ip地址中的对应位,设置成0 的表示必须精确的匹配ip地址中的对应位。
通配符掩码中,可以用255.255.255.255表示所有IP地址,因为全为1说明32位中所有位都不需检查,此时可用any替代
通配符中 0 代表匹配,1 代表不用管
例:[HuaWei-SWitch-acl-basic-2000] rule 1 deny source 192.168.1.0 1.1.1.1
——设置行号为1的规则,拒绝来源IP的所有地址 ,通配符全为1表示所有位数都不用考虑,直接拒绝。那么所有来源的IP将被直接拒绝。
当在同一个行号中,再次输入的规则与上次输入的规则匹配相同时,再次输入的规则不会替换之前的规则
例:[HuaWei-SWitch-acl-basic-2000]rule 1 deny source 10.5.18.0 0.0.255.255
[HuaWei-SWitch-acl-basic-2000]rule 1 deny source 10.5.10.0 0.0.255.255
这两条规则,将执行第一条,因为第一条的匹配规则已经包括了第二条的匹配范围。
ACL基本配置:
[HuaWei-SWitch-acl-basic-2000] rule 2 permit source 10.5.86.0 0.0.0.255
——设置行号为2的规则,允许来源IP为10.5.86.0至10.5.86.255地址这个网段访问的流量
[HuaWei-SWitch] interface GigabitEthernet 1/0/1
——进入需要设置ACL规则的端口
[HuaWei-SWitch-GigabitEthernet1/0/1]traffic-filter inbound acl 2000
——设置在此端口的进方向遵循ACL 2000列表规则。
[HuaWei-SWitch-GigabitEthernet1/0/1]traffic-filter outbound acl 2001
——设置在此端口的出方向遵循ACL 2001列表规则。
查看:display acl all ——查看交换机的所有ACL配置列表
例:[HuaWei-SWitch-GigabitEthernet1/0/1]dis acl all
Total nonempty ACL number is 2
Basic ACL 2000, 2 rules
Acl's step is 5
rule 1 deny source 0.0.10.0 255.255.0.0
rule 2 permit source 10.5.86.0 0.0.0.255
Basic ACL 2001, 1 rule
Acl's step is 5
rule 1 permit source 10.5.88.0 0.0.0.255
注意
ACL 调用在最靠近目标的端口上
华为交换机acl调用命令:
创建ACL列表:
[S5700-2-acl-basic-2000] rule 5 permit source 192.168.10.100 0.0.0.0 —— 设置允许此IP的主机流量通过
[S5700-2-acl-basic-2000] rule 10 deny source 192.168.10.0 0.0.0.255 ——设置拒绝此IP网段的主机流量通过
[S5700-2-acl-basic-2000] rule 20 permit source 192.168.20.100 0.0.0.0 —— 设置允许此IP的主机流量通过
[S5700-2-acl-basic-2000] rule 30 deny source 192.168.20.0 0.0.0.255 ——设置拒绝此IP网段的主机流量通过
[S5700-2-acl-basic-2000] rule 40 permit source any ——设置末尾隐藏规则,放行其他来源的流量
在靠近目标的接口下调用ACL,要确定接口方向,是流量进入时执行,还是转发数据出去时的方向
[S5700-2] interface GigabitEthernet 1/0/1
[S5700-2-GigabitEthernet1/0/1] traffic-filter inbound acl 2000 ——在此接口的入方向调用ACL2000列表规则
[S5700-2-GigabitEthernet1/0/1]traffic-filter outbound acl 2000 —— 在此接口的出方向调用ACL 2000列表规则