1 背景及作用
ACL可以通过定义规则来准许或拒绝流量的通过
ACL访问控制列表主要有以下两个作用:
抓取流量,进行动作
在路由表时完整可通行的情况下,对流量的放行进行限制
抓取路由,进行动作
从路由层面控制住数据的可达性
不管什么访问控制列表,只能针对经过自己的流量失效,本设备始发的流量无效。
2 基本ACL
2.1 特点
仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。
序列号范围是2000~2999
举例:
[Huawei] acl 2001
[Huawei] rule 5 permit source 192.168.32.1 0 //rule 编号(可不填) 动作 source 源地址 匹配条件
3 高级ACL
3.1 特点
即可使用IPV4报文的源IP地址、也可使用目的IP地址、IP协议地址、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。
序列号范围是3000~3999。
举例:
[Huawei] acl 3001
[Huawei-acl-adv-3001] rule permit tcp source 10.9.8.0 0.0.0.255 destination 10.38.160.0 0.0.0.255 destination-port eq 128 //rule 编号(可不填) 动作 协议名 source 源地址 匹配条件 destination 目的地址 匹配条件 destination-port eq等于/gt大于/lt小于 端口号
4 二层ACL
4.1 特点
使用报文的以太网帧头信息来定义规则, 如根据源MAC地址、目的MAC地址、二层协议类型等。
序列号范围是4000-4999
举例:
[Huawei] acl 4001
[Huawei-acl-L2-4001] rule permit source-mac 0000-0000-0002 destination-mac 0000-0000-0001 l2-protocol 0x0800 //rule 编号(可不填) 动作 source-mac 源地址(IPV6) destination-mac 目的地址(IPV6)l2-protocol 协议值
ARP,对应的协议值为0x0806
IP,对应的协议值为0x0800
MPLS,对应的协议值为0x8847
RARP,对应的协议值为0x8035
默认为0xffff
5 用户ACL
5.1 特点
既可使用IPV4报文的源IP地址,也可使用目的IP地址、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP端口/目的端口配置来定义规则。
注意:只能在NAC特性中使用,当前环境下无法运行。
序列号范围是6000-6031
[Huawei] acl 6000
[Huawei-acl-ucl-6000] rule permit ip destination passthrough-domain www.huawei.com /rule 动作 协议名或值 destination passthrough-domain(仅当动作为permit时才支持配置) 允许报文通过的域名地址)
6 命名型ACL
都用数字表示访问控制列表不够直观,增加后期维护的难度,所以推荐在工作中使用字符串来给acl命名。如果未指定ACL类型,默认为高级ACl。
举例:
[Huawei] acl name test 2001
6 注意事项
任何设备在通信的时候,默认都会使用出接口IP地址作为源IP,必须要注意
基本访问控制列表基于源IP做限制,为了精准控制,请尽量靠近目的地配置减少影响
ACL至少有一条permit才有意义
ACL必须要被接口使用才可以发挥作用
ACL应用到接口是一定要注意inbound或者outbound
7 ACL匹配顺序
按rule-id从小到大的顺序进行匹配
自动排序(auto)
使用”深度优先“的原则进行匹配
