发布时间 : 星期三 文章ACL更新完毕开始阅读3fdbf3a325c52cc58ad6be74
01-07 ACL配置
protocol-unreachable reassembly-timeout source-quench source-route-failed timestamp-reply timestamp-request ttl-exceeded
Type=3, Code=2 Type=11,Code=1 Type=4, Code=0 Type=3, Code=5 Type=14,Code=0 Type=13,Code=0 Type=11,Code=0
Page 13 of 18
相关命令请参考《Quidway NetEngine20/20E 系列路由器 命令参考》。
这样,用户通过配置防火墙,添加适当的访问规则,就可以利用包过滤来对通过路由器 的IP包进行检查,从而过滤掉用户不希望通过路由器的包,起到保护网络安全的作用。
7.1.7 ACL对分片报文的支持
传统的包过滤并不处理所有IP报文分片,而是只对第一个(首片)分片报文进行匹配处 理,后续分片一律放行。这样,网络攻击者可能构造后续的分片报文进行流量攻击,就 带来了安全隐患。
产品的包过滤提供了对分片报文过滤的功能,包括:对所有的分片报文进行三层(IP 层)的匹配过滤;同时,对于包含扩展信息的ACL规则项(例如包含TCP/UDP端口号, ICMP类型),提供标准匹配和精确匹配两种匹配方式。标准匹配即三层信息的匹配,匹 配将忽略三层以外的信息;精确匹配则对所有的ACL项条件进行匹配,这就要求防火墙 必须记录首片分片报文的状态以获得完整的后续分片的匹配信息。缺省的功能方式为标 准匹配方式。
在ACL的规则配置项中,通过关键字fragment来标识该ACL规则仅对非首片分片报文有 效,而对非分片报文和首片分片报文则忽略此规则。而不包含此关键字的配置规则项对 所有报文均有效。 例如:
[Quidway-acl-basic-2001] rule deny source 202.101.1.0 0.0.0.255 fragment [Quidway-acl-basic-2001] rule permit source 202.101.2.0 0.0.0.255
[Quidway-acl-adv-3101] rule permit ip destination 171.16.23.1 0 fragment [Quidway-acl-adv-3101] rule deny ip destination 171.16.23.2 0
上述规则项中,所有项对非首片分片报文均有效;第一、三项对非分片和首片分片报文 是被忽略的,仅仅对非首片分片报文有效。
7.1.8 ACL生效时间段
时间段用于描述一个特殊的时间范围。用户可能有这样的需求:一些ACL规则需要在某 个或某些特定时间内生效,而在其他时间段则不利用它们进行包过滤,即通常所说的按 时间段过滤。这时,用户就可以先配置一个或多个时间段,然后在相应的rule规则下通过 时间段名称引用该时间段,从而实现基于时间段的ACL过滤。 实施基于时间段的ACL规则具体有两个步骤: 1.
创建一个时间段
time-range time-name { start-time to end-time days | from time1 date1 [ to time2 date2 ] } 2.
在ACL的rule命令中引用这个时间段的名称
在rule命令中使用参数time-range time-name引用该时间段。这样,该条ACL规则将只能 在指定时间段内有效,其他时间段则不生效。
7.1.9 ACL统计
NE20/20E路由器上的ACL提供统计功能。当创建的ACL用于防火墙、QoS、NAT和策略
01-07 ACL配置
Page 14 of 18
路由等特性中时,NE20/20E使能ACL统计功能后,路由器就能够基于ACL的编号进行统 计,并且提供命令可以查询ACL匹配成功次数和报文字节数。
7.2 配置访问控制列表
7.2.1 建立配置访问控制列表的任务
应用环境
访问控制列表可以用于很多的业务中,比如路由策略、包过滤等等,主要是为了区分不 同类别的报文,从而进行不同的处理。
前置任务
访问控制列表的配置都是用于某个业务中。在配置访问控制列表前没有要事先配置的任 务。
数据准备
在配置访问控制列表之前,需准备以下数据。 序号 1 2 3
数据
ACL起作用的时间段名,以及起始时间和结束时间
ACL的编号
ACL下的规则编号,以及确定报文类型的规则,具体包括协议、源地址和 源端口、目的地址和目的端口、ICMP类型和编码、IP优先级、tos值、是 否分片。 ACL的注释内容 ACL的步长
4
5
配置过程
要完成建立配置访问控制列表的任务,需要执行如下的配置过程。 序号 1 2 3 4 5 6 7
过程
创建ACL生效时间段 配置ACL描述信息 配置基本访问控制列表 配置高级访问控制列表 配置ACL的步长 使能ACL统计 检查配置结果
7.2.2 创建ACL生效时间段
请在路由器上进行以下配置。
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令time-range time-name { start-time to end-time days | from time1 date1 [ to time2
01-07 ACL配置
date2 ] },创建一个时间段。
----结束
Page 15 of 18
此配置任务用来创建一个时间段,可以创建多条名字相同的时间段。
7.2.3 配置ACL描述信息
请在路由器上进行以下配置。
步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令acl acl-number,进入ACL视图。 步骤 3 执行命令description text,创建ACL描述。
----结束
ACL的描述信息表示该ACL规则的用途,长度不能超过127字符。
7.2.4 配置基本访问控制列表
请在路由器上进行以下配置。
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令acl [ number ] acl-number [ match-order { auto | config } ],创建一个基本访问
控制列表。 步骤 3 执行命令rule [ rule-id ] { deny | permit } [ source { source-ip-address soucer-wildcard |
any } | time-range time-name | vpn-instance vpn-instance-name ] *,配置ACL规则。 ----结束
7.2.5 配置高级访问控制列表
请在路由器上进行以下配置。
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令acl [ number ] acl-number [ match-order { auto | config } ],创建一个高级访问
控制列表。 步骤 3 请根据不同情况进行以下配置。
· 当参数
·
·
protocol为TCP、UDP时,创建ACL规则 rule [ rule-id ] { deny | permit }
protocol [ destination { destination-ip-address destination-wildcard | any } | destination- port operator port-number | dscp dscp | fragment | logging | precedence precedence | source { source-ip-address source-wildcard | any } | source-port operator port-number | time-range time-name | tos tos | vpn-instance vpn-instance-name ]*。
当参数protocol为ICMP时,创建ACL规则 rule [ rule-id ] { deny | permit } protocol [ destination { destination-ip-address destination-wildcard | any } | dscp dscp | fragment | logging | icmp-type { icmp-name | icmp-type icmp-code } | precedence precedence | source { source-ip-address source-wildcard | any } | time-range time-name | tos tos | vpn- instance vpn-instance-name ]*
当参数protocol为除TCP、UDP或ICMP之外的协议时,创建ACL规则 rule [ rule-{ deny | permit } protocol [ destination { destination-ip-address destination-wildcard | any } | dscp dscp | fragment | precedence precedence | source { source-ip-address source-wildcard | any } | time-range time-name | tos tos | vpn-instance vpn-instance- name ]*
id ]
根据IP承载的不同协议类型,在路由器上配置不同的高级访问控制列表。对于不同的协
01-07 ACL配置 Page 16 of 18
议类型,有不同的参数组合,TCP和UDP有 [ source-port operator port-number ] [ destination-port operator port-number ] 可选项,其它协议类型没有。 ----结束
7.2.6 配置ACL的步长
请在路由器上进行以下配置。
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令acl [ number ] acl-number [ match-order { auto | config } ],进入ACL视图。 步骤 3 执行命令step step,配置ACL步长。
----结束
调整ACL的配置时,请注意以下情况。
· ·
undo step命令把步长改为默认设定,同时对规则编号进行重新排列。 ACL规则步长(step-value)的默认值为5。
7.2.7 使能ACL统计
请在路由器上进行以下配置。
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令acl statistic enable,使能ACL统计功能。
----结束
7.2.8 检查配置结果
在完成上述配置后,在任一视图下执行下面的display命令,查看ACL的运行信息,检查 配置的效果。运行信息的详细解释请参考《Quidway NetEngine20/20E 系列路由器 命令 参考》。 操作
显示配置的访问控制列表规则 显示时间段 显示ACL统计计数
显
示信息。
命令
display acl { acl-number | all } display time-range { time-name | all } display acl statistic [ acl- number ]
只有当创建的ACL使用在防火墙、QoS、NAT和策略路由等特性中时,display acl statistic命令才会有
在配置成功时,执行上面的命令,应能得到如下的结果。
· · ·
能够查看到ACL的编号、规则数量、步长和规则的具体内容 能够查看当前时间段的配置和状态
ACL匹配成功的报文字节数
7.3 维护访问控制列表