13ACL配置 MyPower S4330 V10 系列交换机配置手册.docx
- 文档编号:15431102
- 上传时间:2023-07-04
- 格式:DOCX
- 页数:14
- 大小:22.11KB
13ACL配置 MyPower S4330 V10 系列交换机配置手册.docx
《13ACL配置 MyPower S4330 V10 系列交换机配置手册.docx》由会员分享,可在线阅读,更多相关《13ACL配置 MyPower S4330 V10 系列交换机配置手册.docx(14页珍藏版)》请在冰点文库上搜索。
13ACL配置MyPowerS4330V10系列交换机配置手册
ACL配置
本手册著作权属迈普通信技术有限公司所有,未经著作权人书面许可,任何单位或个人不得以任何方式摘录、复制或翻译。
XX。
策划:
研究院资料服务处
***
迈普通信技术有限公司
地址:
成都市高新区九兴大道16号迈普大厦
技术支持热线:
400-886-8669
传真:
(+8628)85148948
E-mail:
******************.com
网址:
邮编:
610041
版本:
2011年8月v1.0版
第1章
ACL配置
1.1ACL简介
ACL(AccessControlList,访问控制列表)主要用来实现流识别功能。
网络设备为了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的对象。
在识别出特定的对象之后,才能根据预先设定的策略允许或禁止相应的数据包通过。
ACL根据一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。
交换机根据ACL中指定的条件来检测数据包,从而决定是转发还是丢弃该数据包。
由ACL定义的数据包匹配规则,还可以被其它需要对流进行区分的场合引用,如QoS中流分类规则的定义。
根据应用目的,可将ACL分为下面几种:
●基本ACL:
只根据源IP地址制定规则。
●扩展ACL:
根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。
●二层ACL:
根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则。
1.1.1ACL的匹配顺序
由于同一条ACL可以配置多个子项,所以就出现了匹配顺序的问题。
ACL支持两种匹配顺序:
●配置顺序:
根据配置顺序匹配ACL规则。
●自动排序:
根据“深度优先”规则匹配ACL规则。
深度优先指的是最长的子项先匹配。
比如,现在配置同一条ACL的两个子项,配置步骤如下:
Switch(config)#access-list1denyany
ConfigACLsubitemsuccessfully.
Switch(config)#access-list1permit1.1.1.10
ConfigACLsubitemsuccessfully.
如果选择的匹配顺序是配置顺序,那么,按照配置的步骤,先配置的命令就为子项0。
通过查看配置可以看到:
Switch(config)#showaccess-listconfig1
StandardIPAccessList1,match-orderisconfig,2rule:
0denyany
1permit1.1.1.10.0.0.0
如果选择的匹配顺序是自动顺序,那么,最长的ACL匹配规则将为子项0。
通过查看配置可以看到:
Switch(config)#showaccess-listconfig1
StandardIPAccessList1,match-orderisauto,2rule:
0permit1.1.1.10.0.0.0
1denyany
还需要注意的是,针对需要激活才能生效的ACL。
S2600系列交换机遵守着“先激活先生效”的匹配规则。
激活的配置可以参考1.6激活ACL。
1.1.2支持的ACL
交换机支持的ACL如下:
●基本ACL
●扩展ACL
●二层ACL
1.2配置时间段
对时间段的配置有如下内容:
配置周期时间段和绝对时间段。
配置周期时间段采用的是每周的周几的形式,配置绝对时间段采用从起始时间到结束时间的形式。
1.2.1配置过程
表1-1配置时间段
操作
命令
备注
进入全局配置模式
configureterminal
-
创建时间段并进入时间段配置模式
time-rangename
-
配置绝对时间段
absolutestartHH:
MM:
SSYYYY/MM/DD[endHH:
MM:
SSYYYY/MM/DD]
必选
配置相对时间段
periodicdays-of-the-weekhh:
mm:
ssto[day-of-the-week]hh:
mm:
ss
配置时间段需要注意:
如果一个时间段只定义了周期时间段,则只有系统时钟在该周期时间段内,该时间段才进入激活状态。
如果一个时间段下定义了多个周期时间段,则这些周期时间段之间是“或”的关系。
如果一个时间段只定义了绝对时间段,则只有系统时钟在该绝对时间段内,该时间段才进入激活状态。
如果一个时间段下定义了多个绝对时间段,则这些绝对时间段之间是“或”的关系。
如果一个时间段同时定义了绝对时间段和周期时间段,则只有同时满足绝对时间段和周期时间段的定义时,该时间段才进入激活状态。
例如,一个时间段定义了绝对时间段:
从2009年1月1日0点0分到2009年12月31日23点59分,同时定义了周期时间段:
每周三的12:
00到14:
00。
该时间段只有在2009年内每周三的12:
00到14:
00才进入激活状态。
配置绝对时间段时,如果不配置开始日期,时间段就是从系统支持的最早时间起到配置的结束日期为止。
如果不配置结束日期,时间段就是从配置的开始日期起到2100/12/3123:
59为止。
1.2.2配置举例
1.配置绝对时间段,取值为2009年1月3日16:
00起至2009年1月5日16:
00结束。
Switch#configureterminal
Switch(config)#time-rangeb
Configtimerangesuccessfully.
Switch(config-timerange-b)#absolutestart16:
00:
002009/1/3end16:
00:
002009/1/5
Configabsoluterangesuccessfully.
Switch(config-timerange-b)#showtime-rangenameb
Currenttimeis:
02:
46:
432009/01/31Saturday
time-range:
b(Inactive)
absolute:
start16:
00:
002009/01/03end16:
00:
002009/01/05
2.配置周期时间段,取值为周一到周五每天8:
00到18:
00
Switch#configureterminal
Switch(config)#time-rangeb
Configtimerangesuccessfully.
Switch(config-timerange-b)#periodicweekdays8:
00:
00to18:
00:
00
Configperiodicrangesuccessfully.
Switch(config-timerange-b)#showtime-rangenameb
Currenttimeis:
02:
47:
562009/01/31Saturday
time-range:
b(Inactive)
periodic:
weekdays08:
00to18:
00
1.3定义基本ACL
基本ACL只根据三层源IP制定规则,对数据包进行相应的分析处理。
如果基本ACL以数字标识,那么序号取值范围为1-99,最多可创建99条以数字为标识的基本ACL;如果基本ACL以名字标识,那么最多可以定义1000条。
同时交换机可以为每条ACL最多定义128条子规则。
1.3.1配置过程
如果要配置带有时间段参数的规则,则需要先定义相应的时间段。
定义时间段的配置请参见1.2配置时间段。
表1-2定义以数字为标识的基本ACL
操作
命令
备注
进入全局配置模式
configureterminal
-
定义子项的匹配规则
access-listnummatch-order{config|auto}
可选
默认的规则是config匹配规则
定义基本ACL
access-listnum{permit|deny}{source-IPv4/v6source-wildcard|any|ipv6any}[fragments][time-rangename]
必选
表1-3定义以名字为标识的基本ACL
操作
命令
备注
进入全局配置模式
configureterminal
-
定义子项的匹配规则
access-liststandardnamematch-order{config|auto}
可选
默认的规则是config匹配规则
定义基本ACL且进入ACL配置模式
access-liststandardname
必选
配置ACL规则
{permit|deny}{source-IPv4/v6source-wildcard|any|ipv6any}[fragments][time-rangename]
必选
1.3.2配置举例
!
定义一条以数字为标识的基本ACL,禁止源IP地址为10.0.0.1的报文通过
Switch#configureterminal
Switch(config)#access-list1deny10.0.0.10
!
定义一条以名字为标识的基本ACL,禁止源IP地址为10.0.0.2的报文通过
Switch#configureterminal
Switch(config)#access-liststandardstdacl
Switch(config-std-nacl-stdacl)#deny10.0.0.20
1.4定义扩展ACL
扩展ACL可以根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。
如果扩展ACL以数字标识,那么序号取值范围为100-199,最多可创建100条以数字为标识的扩展ACL;如果扩展ACL以名字标识,那么最多可以定义1000条。
同时交换机可以为每条ACL最多定义128条子规则。
1.4.1配置过程
如果要配置带有时间段参数的规则,则需要先定义相应的时间段。
定义时间段的配置请参见1.2配置时间段。
表1-4定义以数字为标识的扩展ACL
操作
命令
备注
进入全局配置模式
configureterminal
-
定义子项的匹配规则
access-listnummatch-order{config|auto}
可选
默认的规则是config匹配规则
定义扩展ACL
access-listnum{permit|deny}[protocol|gre|icmp|icmpv6|igmp|ipinip|ospf|udp|tcp[established]]{source-ipv4/v6source-wildcard|any|ipv6any}{dest-ipv4/v6dest-wildcard|any|ipv6any}[port|gre|icmp|icmpv6|igmp|ipinip|ospf|udp|tcp][fragments]{[precedenceprecedence][tostos]|[dscpdscp]}
必选
表1-5定义以名字为标识的扩展ACL
操作
命令
备注
进入全局配置模式
configureterminal
-
定义子项的匹配规则
access-listextendednamematch-order{config|auto}
可选
默认的规则是config匹配规则
定义扩展ACL且进入ACL配置模式
access-listextendedname
必选
配置ACL规则
{permit|deny}[protocol|gre|icmp|icmpv6|igmp|ipinip|ospf|udp|tcp[established]]{source-ipv4/v6source-wildcard|any|ipv6any}{dest-ipv4/v6dest-wildcard|any|ipv6any}[port|gre|icmp|icmpv6|igmp|ipinip|ospf|udp|tcp][fragments]{[precedenceprecedence][tostos]|[dscpdscp]}
必选
扩展ACL里的具体参数说明如表1-6所示。
表1-6扩展ACL规则参数说明
参数
作用
说明
protocol
IP承载的协议类型
用数字表示时取值范围为1~255
用名字表示时,可以选取GRE、ICMP、IGMP、IPinIP、OSPF、TCP、UDP、ICMPv6
{source-IPv4/v6
sour-wildcard|any|ipv6any}
指定ACL规则的源地址信息
sour-addresssour-wildcard用来确定数据包的源IP地址(IPv4/v6)。
IPv4地址用点分十进制表示;IPv6地址用十六进制表示;
sour-wildcard为0时表示主机地址
any代表任意源地址
{dest-IPv4/v6
dest-wildcard|any|ipv6any}
指定ACL规则的目的址信息
dest-addrdest-wildcard用来确定数据包的目的IP地址(IPv4/v6),IPv4地址用点分十进制表示;IPv6地址用十六进制表示;
dest-wildcard为0时,表示主机地址
any代表任意目的地址
port
TCP/UDP端口号
也可以使用列举出来的各个端口的名称标识
precedenceprecedence
precedence报文优先级
IP优先级取值范围0~7
tostos
tos报文优先级
ToS优先级取值范围0~15
dscpdscp
DSCP优先
级取值范围0~63
fragment分片信息
定义规则仅对非首片分片报文有效
time-rangename
指定规则生效的时间段
——
fragments
检查分片
检查是否分片
1.4.2配置举例
!
定义一条以数字为标识的扩展ACL,禁止源IP地址为10.0.0.1的FTP报文。
Switch#configureterminal
Switch(config)#access-list100denytcp10.0.0.10ftpany
!
定义一条以名字为标识的扩展ACL,禁止源IP地址为10.0.0.2的FTP报文。
Switch#configureterminal
Switch(config)#access-listextendedextacl
Switch(config-ext-nacl-extacl)#denytcp10.0.0.20ftpany
1.5定义二层ACL
二层ACL可根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则。
如果扩展ACL以数字标识,那么序号取值范围为200-299,最多可创建100条以数字为标识的二层ACL;如果扩展ACL以名字标识,那么最多可以定义1000条。
同时交换机可以为每条ACL最多定义128条子规则。
1.5.1配置二层ACL
如果要配置带有时间段参数的规则,则需要先定义相应的时间段。
定义时间段的配置请参见1.2配置时间段。
表1-7定义以数字为标识的二层ACL
操作
命令
备注
进入全局配置模式
configureterminal
-
定义子项的匹配规则
access-listnummatch-order{config|auto}
可选
默认的规则是config匹配规则
定义二层ACL
access-listnum{permit|deny}[protocol|arp|ip|rarp][cosvlan-pri]ingress{{[source-vlan-id][source-mac-addrsource-mac-wildcard][interfaceinterface-num]}|any}egress{{[dest-mac-addrdest-mac-wildcard][interfaceinterface-num|cpu]}|any}[time-rangename]
必选
表1-8定义以名字为标识的二层ACL
操作
命令
备注
进入全局配置模式
configureterminal
-
定义子项的匹配规则
access-listlinknamematch-order{config|auto}
可选
默认的规则是config匹配规则
定义二层ACL且进入ACL配置模式
access-listlinkname
必选
配置ACL规则
{permit|deny}[protocol|arp|ip|rarp][cosvlan-pri]ingress{{[source-vlan-id][source-mac-addrsource-mac-wildcard][interfaceinterface-num]}|any}egress{{[dest-mac-addrdest-mac-wildcard][interfaceinterface-num|cpu]}|any}[time-rangename]
必选
1.5.2配置举例
!
定义一条以数字为标识的二层ACL,禁止源MAC为00:
00:
00:
00:
00:
01的ARP报文。
Switch#configureterminal
Switch(config)#access-list200denyarpingress00:
00:
00:
00:
00:
010egressany
!
定义一条以名字为标识的二层ACL,禁止源MAC为00:
00:
00:
00:
00:
02的ARP报文。
Switch#configureterminal
Switch(config)#access-listlinklnkacl
Switch(config-link-nacl-lnkacl)#denyarpingress00:
00:
00:
00:
00:
020egressany
1.6激活ACL
1.6.1激活ACL
除了需要被上层软件引用的ACL(比如说路由过滤、组播过滤等),其他ACL都需要激活后才生效。
S2600系列路由交换机遵守“先激活先生效”的规则。
表1-9激活ACL
操作
命令
备注
进入全局配置模式
configureterminal
-
激活ACL规则
access-group[ip-groupname|num][link-groupname|num][subitemnum]
必选
1.6.2配置举例
1.沿用1.1.1章节里提到的两个例子,激活之后实现相同的结果,即交换机只允许源IP地址为1.1.1.1的报文通过。
!
配置前
Switch(config)#showaccess-listconfig1
StandardIPAccessList1,match-orderisconfig,2rule:
0denyany
1permit1.1.1.10.0.0.0
!
配置步骤
Switch(config)#access-groupip-group1subitem1
ActivateACLsuccessfully.
Switch(config)#access-groupip-group1subitem0
ActivateACLsuccessfully.
!
配置前
Switch(config)#showaccess-listconfig1
StandardIPAccessList1,match-orderisauto,2rule:
0permit1.1.1.10.0.0.0
1denyany
!
配置步骤
Switch(config)#access-groupip-group1subitem1
ActivateACLsuccessfully.
Switch(config)#access-groupip-group1subitem0
ActivateACLsuccessfully.
2.多条ACL绑定激活
通过多条ACL绑定激活来实现IP+MAC+端口的绑定。
!
配置要求:
MAC为00:
00:
00:
00:
00:
01,IP地址为1.1.1.1的用户只能从e0/0/1口进入。
!
配置步骤
Switch(config)#access-list1permit1.1.1.10
Switch(config)#access-list200permitingress00:
00:
00:
00:
00:
010interfaceethernet0/0/1egressany
Switch(config)#access-groupip-group1link-group200
1.7ACL的显示和调试
在完成上面的配置后,可以通过下面的命令来查看配置。
表1-10ACL的显示和调试
操作
命令
备注
显示ACL统计
showaccess-listconfigstatistic
所有模式下都可执行
显示ACL的配置
showaccess-listconfig{all|num|namename}
显示被激活的ACL
showaccess-listruntime{all|num|namename}
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 13ACL配置 MyPower S4330 V10 系列交换机配置手册 13 ACL 配置 系列 交换机 手册