ACL简介
介绍ACL的定义和作用。
定义
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
配置ACL后,还需将ACL在业务模块中应用,ACL才能生效。
ACL可以应用于诸多业务模块,其中最基本的ACL应用,就是在简化流策略/流策略中应用ACL,使设备能够基于全局、VLAN或接口下发ACL,实现对转发报文的过滤。此外,ACL还可以应用在Telnet、FTP、路由等模块。业务模块之间的ACL默认处理动作和处理机制有所不同,具体请参见ACL应用模块的ACL默认动作和处理机制。
目的
随着网络的飞速发展,网络安全和网络服务质量QoS(Quality of Service)问题日益突出。
企业重要服务器资源被随意访问,企业机密信息容易泄露,造成安全隐患。
Internet病毒肆意侵略企业内网,内网环境的安全性堪忧。
网络带宽被各类业务随意挤占,服务质量要求最高的语音、视频业务的带宽得不到保障,造成用户体验差。
以上种种问题,都对正常的网络通信造成了很大的影响。因此,提高网络安全性服务质量迫在眉睫。ACL就在这种情况下应运而生了。
通过ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
某企业为保证财务数据安全,禁止研发部门访问财务服务器,但总裁办公室不受限制。实现方式:
在Interface 1的入方向上部署ACL,禁止研发部门访问财务服务器的报文通过。Interface 2上无需部署ACL,总裁办公室访问财务服务器的报文默认允许通过。
保护企业内网环境安全,防止Internet病毒入侵。实现方式:
在Interface 3的入方向上部署ACL,将病毒经常使用的端口予以封堵。
ACL由一系列规则组成,通过将报文与ACL规则进行匹配,设备可以过滤出特定的报文。 ACL的组成一条ACL的结构组成,如图4-2所示。 图4-2 ACL的结构组成
ACL编号:用于标识ACL,表明该ACL是数字型ACL。 根据ACL规则功能的不同,ACL被划分为基本ACL、高级ACL、二层ACL和用户ACL这几种类型,每类ACL编号的取值范围不同。关于每类ACL编号的详细介绍,请参见ACL的分类。 除了可以通过ACL编号标识ACL,设备还支持通过名称来标识ACL,就像用域名代替IP地址一样,更加方便记忆。这种ACL,称为命名型ACL。 命名型ACL实际上是“名字+数字”的形式,可以在定义命名型ACL时同时指定ACL编号。如果不指定编号,则由系统自动分配。例如,下面就是一个既有名字“deny-telnet-login”又有编号“3998”的ACL。 # acl name deny-telnet-login 3998 rule 0 deny tcp source 10.152.0.0 0.0.63.255 destination 10.64.0.97 0 destination-port eq telnet rule 5 deny tcp source 10.242.128.0 0.0.127.255 destination 10.64.0.97 0 destination-port eq telnet # 规则:即描述报文匹配条件的判断语句。 规则编号:用于标识ACL规则。可以自行配置规则编号,也可以由系统自动分配。 ACL规则的编号范围是0~4294967294,所有规则均按照规则编号从小到大进行排序。所以,图4-2中的rule 5排在首位,而规则编号最大的rule 4294967294排在末位。系统按照规则编号从小到大的顺序,将规则依次与报文匹配,一旦匹配上一条规则即停止匹配。 动作:包括permit/deny两种动作,表示允许/拒绝。 匹配项:ACL定义了极其丰富的匹配项。除了图4-2中的源地址和生效时间段,ACL还支持很多其他规则匹配项。例如,二层以太网帧头信息(如源MAC、目的MAC、以太帧协议类型)、三层报文信息(如目的地址、协议类型)以及四层报文信息(如TCP/UDP端口号)等。关于每种匹配项的详细介绍,请参见ACL的常用匹配项。
如果设备启动使用的配置文件中配置了超规格的ACL规则,当设备启动加载该配置文件时,能生成ACL配置,但有部分配置不生效。
ACL的匹配机制设备将报文与ACL规则进行匹配时,遵循“一旦命中即停止匹配”的机制,如图4-3所示。 图4-3 ACL的匹配机制
首先系统会查找设备上是否配置了ACL。
从整个ACL匹配流程可以看出,报文与ACL规则匹配后,会产生两种匹配结果:“匹配”和“不匹配”。匹配(命中规则):指存在ACL,且在ACL中查找到了符合匹配条件的规则。 不论匹配的动作是“permit”还是“deny”,都称为“匹配”,而不是只是匹配上permit规则才算“匹配”。 不匹配(未命中规则):指不存在ACL,或ACL中无规则,再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。 以上三种情况,都叫做“不匹配”。
使用高级ACL限制不同网段的用户互访示例
组网需求如图4-17所示,某公司通过Router实现各部门之间的互连。为方便管理网络,管理员为公司的研发部和市场部规划了两个网段的IP地址。同时为了隔离广播域,又将两个部门划分在不同VLAN之中。现要求Router能够限制两个网段之间互访,防止公司机密泄露。 图4-17 使用高级ACL限制不同网段的用户互访示例
配置思路采用如下的思路在Router上进行配置: - 配置高级ACL和基于ACL的流分类,使设备可以对研发部与市场部互访的报文进行过滤。
- 配置流行为,拒绝匹配上ACL规则的报文通过。
- 配置并应用流策略,使ACL和流行为生效。
操作步骤
配置接口所属的VLAN以及接口的IP地址
# 创建VLAN10和VLAN20。
<Huawei> system-view
[Huawei] sysname Router
[Router] vlan batch 10 20
# 配置Router的接口GE1/0/1和GE1/0/2为trunk类型接口,并分别加入VLAN10和VLAN20。
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] port link-type trunk
[Router-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
[Router-GigabitEthernet1/0/1] quit
[Router] interface gigabitethernet 1/0/2
[Router-GigabitEthernet1/0/2] port link-type trunk
[Router-GigabitEthernet1/0/2] port trunk allow-pass vlan 20
[Router-GigabitEthernet1/0/2] quit
# 创建VLANIF10和VLANIF20,并配置各VLANIF接口的IP地址。
[Router] interface vlanif 10
[Router-Vlanif10] ip address 10.1.1.1 24
[Router-Vlanif10] quit
[Router] interface vlanif 20
[Router-Vlanif20] ip address 10.1.2.1 24
[Router-Vlanif20] quit
配置ACL
# 创建高级ACL 3001并配置ACL规则,拒绝研发部访问市场部的报文通过。
[Router] acl 3001
[Router-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[Router-acl-adv-3001] quit
# 创建高级ACL 3002并配置ACL规则,拒绝市场部访问研发部的报文通过。
[Router] acl 3002
[Router-acl-adv-3002] rule deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
[Router-acl-adv-3002] quit
配置基于高级ACL的流分类
# 配置流分类tc1,对匹配ACL 3001和ACL 3002的报文进行分类。
[Router] traffic classifier tc1
[Router-classifier-tc1] if-match acl 3001
[Router-classifier-tc1] if-match acl 3002
[Router-classifier-tc1] quit
配置流行为
# 配置流行为tb1,动作为拒绝报文通过。
[Router] traffic behavior tb1
[Router-behavior-tb1] deny
[Router-behavior-tb1] quit
配置流策略
# 定义流策略,将流分类与流行为关联。
[Router] traffic policy tp1
[Router-trafficpolicy-tp1] classifier tc1 behavior tb1
[Router-trafficpolicy-tp1] quit
在接口下应用流策略
# 由于研发部和市场部互访的流量分别从接口GE1/0/1和GE1/0/2进入Router,所以在接口GE1/0/1和GE1/0/2的入方向应用流策略。
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] traffic-policy tp1 inbound
[Router-GigabitEthernet1/0/1] quit
[Router] interface gigabitethernet 1/0/2
[Router-GigabitEthernet1/0/2] traffic-policy tp1 inbound
[Router-GigabitEthernet1/0/2] quit
验证配置结果
# 查看ACL规则的配置信息。
[Router] display acl 3001
Advanced ACL 3001, 1 rule
Acl's step is 5
rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[Router] display acl 3002
Advanced ACL 3002, 1 rule
Acl's step is 5
rule 5 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
# 查看流分类的配置信息。
[Router] display traffic classifier user-defined
User Defined Classifier Information:
Classifier: class1
Operator: OR
Rule(s) : -none-
Classifier: tc1
Operator: OR
Rule(s) :
if-match acl 3001
if-match acl 3002
# 查看流策略的配置信息。
[Router] display traffic policy user-defined tp1
User Defined Traffic Policy Information:
Policy: tp1
Classifier: tc1
Operator: OR
Behavior: tb1
Deny
# 研发部和市场部所在的两个网段之间不能互访。
配置文件
Router的配置文件
#
sysname Router
#
vlan batch 10 20
#
acl number 3001
rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
acl number 3002
rule 5 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
traffic classifier tc1 operator or
if-match acl 3001
if-match acl 3002
#
traffic behavior tb1
deny
#
traffic policy tp1
classifier tc1 behavior tb1
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif20
ip address 10.1.2.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10
traffic-policy tp1 inbound
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 20
traffic-policy tp1 inbound
#
return
| 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
成长值: 63385
发表于 2022-5-6 13:48:11
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2022-5-6 14:48:05
