收藏
下载资源

【接入网宝典】第4期-acl原理及esr实现acl的方法费

上传人:xzh****18 文档编号:36568327 上传时间:2018-03-30 格式:DOC 页数:7 大小:223KB
返回 下载 相关 举报
【接入网宝典】第4期-acl原理及esr实现acl的方法费_第1页
第1页 / 共7页
【接入网宝典】第4期-acl原理及esr实现acl的方法费_第2页
第2页 / 共7页
【接入网宝典】第4期-acl原理及esr实现acl的方法费_第3页
第3页 / 共7页
【接入网宝典】第4期-acl原理及esr实现acl的方法费_第4页
第4页 / 共7页
【接入网宝典】第4期-acl原理及esr实现acl的方法费_第5页
第5页 / 共7页
点击查看更多>>
资源描述

《【接入网宝典】第4期-acl原理及esr实现acl的方法费》由会员分享,可在线阅读,更多相关《【接入网宝典】第4期-acl原理及esr实现acl的方法费(7页珍藏版)》请在金锄头文库上搜索。

1、前言:前言:本着“共同学习,共同提高”的宗旨,我们汇总整理了华为接入网设备日常维护中需要特别注意的事项和常见问题解答,发布在华为技术支持网站首页“华为资源电子期刊接入网宝典华为资源电子期刊接入网宝典”栏目,希望对您的日常设备维护工作有所帮助。让我们携起手来,共同打造可运营、可管理的精品网络!接入网宝典接入网宝典ACL 原理及 ESR 实现 ACL 的方法尊敬的客户:尊敬的客户:本期主要对ACL原理及ESR实现ACL的方法作简单介绍。一、一、ACL概念概念ACL(Access Control List)的中文名称为访问控制列表. ISN8850提供强大的ACL支持,可以 起到报文过滤、防攻击和N

2、AT的作用。可以配置两种ACL规则,标准ACL规则和扩展ACL规则。标准标准ACLACL标准ACL规则是指规则组号为199的规则组,标准ACL规则配置是动作源地址范围,如: access-list 20 permit 192.168.0.1 0.0.0.255 组号 动作 源地址范围 标准ACL规则主要用于软件模块进行权限过滤,需要与特定的软件模块绑定,如NAT(老配置)、 Telnet、OSPF、SNMP等; 配置ACL规则中IP地址有两种方式:配置一个网段或一个用户。 配置一个网段时,掩码使用通配比较位。通配比较位用法类似于子网掩码,是实际网络掩码的 取反。 配置只允许一个用户时,掩码设置

3、为0。 IP地址与地址通配位的关系语法上规定如下:在通配位中相应位为1的地址中的位在比较中被 忽略。地址与通配位都是32位的长整型数。如通配位是0.255.255.255,则比较时,高8位需要比较, 其他的都被忽略。如IP地址是129.100.20.1,通配位是0.0.0.255,则地址与通配位合在一起表示 129.100.20.0网段。 例:设置标准ACL,只允许10.19.20.5一台主机接入。BRAS(config)#access-list 10 permit 10.19.20.5 0例:设置标准ACL,禁止129.100.20.1/24网段的主机接入。BRAS(config)#acce

4、ss-list 11 deny 129.100.20.1 0.0.0.255 设置完成后可在特权模式下使用命令show access-list查看指定ACL的信息。扩展扩展ACLACL扩展ACL规则是指规则组号为164999的规则组,扩展ACL规则配置是动作IP五元组(实际上 是四元组,分别为源IP地址、目的IP地址、协议号、目的端口。不包括四层源端口号),如: access-list 200 deny tcp 192.168.0.1 0.0.0.255 200.0.0.1 0.255.255.255 eq 80组号 动作 协议 源地址范围 目的地址范围 目的端口号 扩展ACL是使用硬件(NP

5、)实现的,实现了对数据报文的过滤。 其中规则组号为100163为系统保留使用。扩展扩展ACLACL分类分类ISN8850的扩展ACL分为安全类和NAT类,安全类ACL负责对报文的过滤以达到对报文的安全控制, NAT类ACL规则负责判断报文是否需要做NAT。 可以通过以下命令设置扩展ACL规则的类型,如: access-list 199 type normal (安全类ACL规则组) access-list 200 type nat (NAT类ACL规则组) 安全类规则组可以配置的动作有permit、deny和redirect。 NAT类规则组可以配置的动作有permit、deny和nat。 对

6、于一类的ACL规则组中绝对不可以出现另一类ACL规则组的动作,例如在安全类规则组中不能 出现带nat关键字的ACL规则。 redirect是重定向动作,它的作用是对报文不使用报文的目的地址查找路由,而是使用配置的 重定向下一跳IP地址查找路由,如: access-list 500 redirect 10.0.0.2 ip any any 这条ACL规则的意思是将所有报文重定向到下一跳10.0.0.2,即查找路由时不使用报文里的目 的IP地址查找,而是使用10.0.0.2去查找路由转发报文。注意这个重定向地址不是本机接口的地址, 而是本机接口的对端地址。扩展扩展ACLACL排序规则排序规则对同一

7、个ACL规则组,ACL规则的匹配顺序是按照ACL规则的先后顺序匹配的,找到一条匹配的 ACL规则(四元组匹配)马上返回动作,不再查找后面的ACL规则。如果该ACL规则组没有匹配到则 继续匹配下一个ACL规则组。 一个ACL规则组中的ACL规则的顺序是由该规则组的排序类型决定的,规则组的缺省排序类型是 “config”,即根据配置的先后排列,如果使用下面的命令: access-list 300 match-order auto 将ACL规则组的排序类型改为“auto”,那么该规则组的规则按照下面的规则排序: 1、源地址范围小的插在前面,源地址范围大的插在后面,源地址范围相等则使用下面的第2条 规

8、则继续判断; 2、目的地址范围小的插在前面,目的地址范围大的插在后面,目的地址范围相等的则使用下 面的第3条规则继续判断; 3、目的端口范围小的插在前面,目的端口范围大的插在后面,目的端口范围也相等的插在后 面。 在两类ACL规则组中还有共有的动作:permit和deny,在两类规则中deny的意思都是表示丢弃 报文,但是permit在安全类ACL规则中表示的是报文可以通过,在NAT类ACL规则中表示的是可以通 过但不做NAT!二、二、ACL在在ISN8850的实现方式的实现方式ACLACL规则组的配置规则组的配置首先介绍一个概念profile,profile就是一组ACL规则组的集合。 AC

9、L规则组必须应用于profile中才能起作用,profile可以应用于接口下,也可以配置在ISP域 中,还可以由RADIUS服务器通过filter-ID下发。 一个Profile中可以配置8个安全类ACL规则组和8个NAT类规则组,它们的匹配顺序是先匹配安 全类ACL规则组,安全类ACL匹配到的动作如果不是deny则继续匹配NAT类ACL规则,否则不匹配NAT 类ACL规则组。例如:配置一个安全类规则组: access-list 201 type normal access-list 201 permit ip any 61.175.164.14 0 access-list 201 redir

10、ect 10.71.248.1 ip any 10.0.0.0 0.255.255.255 access-list 201 deny ip any any 配置一个NAT类规则组: access-list 202 type nat access-list 202 nat pool poola ip 218.72.48.0 0.0.7.255 10.0.0.0 0.255.255.255 access-list 202 nat pool poola ip 218.72.56.0 0.0.7.255 10.0.0.0 0.255.255.255 access-list 202 nat pool p

11、oola ip 218.72.64.0 0.0.15.255 10.0.0.0 0.255.255.255 再将这两个ACL规则组加入一个Profile: profile cernet ip access group 201 ip access group 202 然后将这个profile应用到接口或ISP下。假设用户A的IP地址为218.72.48.22,他去访问 10.0.0.22这台服务器,ACL规则的匹配顺序如下: 先匹配安全类规则组201,匹配到access-list 201 redirect 10.71.248.1 ip any 10.0.0.0 0.255.255.255这条规则

12、,由于这条规则的动作是redirect(非deny),所以不再匹配下面的安全 类规则(组),继续匹配NAT类规则; 匹配NAT类规则组202,匹配到access-list 202 nat pool poola ip 218.72.48.0 0.0.7.255 10.0.0.0 0.255.255.255这条规则,所以这个报文将会使用POOL池poola做NAT; 综合查找到的安全类和NAT类ACL规则的动作,这个报文将送到poola所在的NAT板进行处理,处 理完后重定向到10.71.248.1。 如果用户A去访问(IP地址211.100.15.170),那么在查找安全类ACL规则 201时匹

13、配到access-list 201 deny ip any any,由于该规则的动作是deny,所以不再查找其他的 安全类规则(组)和NAT类规则组。 如果用户B的IP地址为172.16.1.99,他也去访问10.0.0.22这台服务器,那么ACL规则的匹配顺 序如下: 先匹配安全类规则组201,匹配到access-list 201 redirect 10.71.248.1 ip any 10.0.0.0 0.255.255.255这条规则,由于这条规则的动作是redirect(非deny),所以不再匹配下面的安全 类规则(组),继续匹配NAT类规则; 匹配NAT类规则组202,匹配不到任何A

14、CL规则,由于NAT类规则组匹配不到规则缺省动作是 permit(即不做NAT),所以该报文不会做NAT; 综合安全类和NAT类规则返回的结果,该报文将直接重定向到10.71.248.1。如何在接口下应用如何在接口下应用profileprofile如果某个接口下面接三层设备,在该接口配置profile可以实现防火墙功能,同时可以实现策 略NAT。当然我们的ACL只对该接口接收的流量起作用,对该接口发出的流量不起作用。 如果某个接口下面接入PORTAL用户,那么该接口下配置的profile是用户的缺省权限,即用户 未认证通过前拥有的权限,认证通过后由RADIUS服务器下发认证后的权限,如果RAD

15、IUS服务器没有 下发,则使用ISP下配置的profile作为用户认证后的权限。 如果某个接口下面接入PPP用户,那么该接口配置的profile将不起作用,由RADIUS服务器在用 户认证通过后下发权限后使用ISP下配置的profile。 如果某个接口下接入PPPoE强制PORTAL用户,用户在PPPoE认证过后切换为PORTAL状态,这时 接口下的profile也不起作用,用户被强制PORTAL以后,将使用PPPoE认证获得的权限。 注意:注意: ESR支持扩展ACL,可以对安全、NAT和QoS进行相关的控制。V5R2B03版本对于匹配不到任何ACL 规则的报文,ESR默认的动作如下:安全类

16、为deny;NAT和QoS类为permit;而V5R5B01和B02版本中 默认动作是:安全类、NAT类和QoS类全部为permit。 V5R5版本开始,GFI单板也支持扩展ACL,为了统一不同业务、不同单板的默认动作,研发在V5R5版本开始将全部默认动作更改为permit。 由于扩展ACL的默认动作,在show run中是不显示的,产品维护和问题分析时容易疏忽。所以 对于扩展ACL的应用,建议不考虑系统的默认动作,在策略配置时就全部体现出来,根据实际情况, 在最后增加deny any any或者permit any any语句。 另外在V5R2B03升级V5R5时要重点考虑这一点,避免ACL默认动作变化导致问题。三、三、典型典型应用应用下面以一个典型的扩展ACL使用的实例进一步解释ACL的应用,加强的扩展ACL的理解。 宿舍区用户通过L2接至ISN8850,同时ISN8850与163城域网、校园网两个网络相连。用户采用 WEB

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号