ACL简介:
acl是流量匹配工具,将符合匹配条件的流量与普通的流量进行区分开。
ACL流程:
流量的匹配条件、动作(permit 允许;deny 拒绝)。
ACL分类:
2000~2999 基本IPV4 ACL编号;(匹配条件较少,只能通过源IP地址和时间段来进行流量匹配,在一些只需要进行简单匹配的功能可以使用)
3000~3999 高级IPV4 ACL编号;(匹配条件较为全面,通过源IP地址、目的IP地址、ToS、时间段、协议类型、优先级、ICMP报文类型和ICMP报文码等多个维度来对进行流量匹配,在大部分功能中都可使用高级ACL来进行精确流量匹配。)
4000~4999 二层IPV4 ACL 编号;
5000~5999 用户自定义IPV4 ACL;
ACL匹配顺序:
-
同一ACL规则组,规则号小的规则被优先匹配。
-
不同ACL规则组,按照用户配置ACL规则的先后顺序进行匹配
备注:数据进来后,一旦与一条规则匹配成功后,将不会再与后续的规则进行匹配动作。
ACL步长:
定义:自动分配规则的ID时,规则ID逐步递增使用的增量值。
方法: step step-number (默认缺省时,步长为5)
ACL 指令:
acl [ number ] acl-number [ vpn-instance vpn-instance-name ] (acl-number的取值决定了ACL的类型)
acl视图下执行的命令:
description 描述 (添加对acl规则的描述)
step no. (设置步长)
rule [ rule-id ] { deny | permit } [ logging | source { source-ip-address { 0 | source-wildcard } | address-set address-set-name | any } | time-range time-name ] * [ description description ] (配置基本acl规则 -- rule 规则的配置。 source-wildcard:目标子网掩码的反码)
rule [ rule-id ] { permit | deny } protocol [ source { source-ip-address { 0 | source-wildcard } | address-set address-set-name | any } | destination { destination-ip-address { 0 | destination-wildcard } | address-set address-set-name | any } | source-port operator port [ port2 ] | destination-port operator port [ port2 ] | icmp-type { icmp-type-name | icmp-type-number icmp-code } | precedence precedence | tos tos | time-range time-name | logging | dscp dscp-value ] * [ description description ],配置指定协议信息的高级ACL规则。以上参数会根据protocol有所变化。仅当选择TCP/UDP协议时才可选择source-port和destination-port,仅当选择ICMP协议时才可选择icmp-type。
rule [ rule-id ] { permit | deny } service-set service-set-name [ source { source-ip-address { 0 | source-wildcard } | address-set address-set-name | any } | destination { destination-ip-address { 0 | destination-wildcard } | address-set address-set-name | any } | precedence precedence | tos tos | time-range time-name | logging | dscp dscp-value ] * [ description description ],配置指定服务集信息的高级ACL规则。
ACL状态检查:
display acl { acl-number | all }
ACL统计信息清除:
reset acl counter [ acl-number | all ]
备注:参考华为防火墙配置。