1 、ACL匹配机制
上一期提到,ACL在匹配报文时遵循“一旦命中即停止匹配”的原则。其实,这句话就是对ACL匹配机制的一个高度的概括。当然,ACL匹配过程中,还存在很多细节。比如,ACL不存在系统会怎么处理?ACL存在但规则不存在系统会怎么处理?为了对整个ACL匹配过程展开详细的介绍,小编画了一张ACL匹配流程图,相信对大家理解ACL匹配机制能有所帮助。
从整个ACL匹配流程可以看出,报文与ACL规则匹配后,会产生两种匹配结果:“匹配”和“不匹配”。
- 匹配(命中规则):指存在ACL,且在ACL中查找到了符合匹配条件的规则。不论匹配的动作是“permit”还是“deny”,都称为“匹配”,而不是只是匹配上permit规则才算“匹配”。
- 不匹配(未命中规则):指不存在ACL,或ACL中无规则,再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。切记以上三种情况,都叫做“不匹配”。
提示:无论报文匹配ACL的结果是“不匹配”、“允许”还是“拒绝”,该报文最终是被允许通过还是拒绝通过,实际是由应用ACL的各个业务模块来决定的。不同的业务模块,对命中和未命中规则报文的处理方式也各不相同。例如,在Telnet模块中应用ACL,只要报文命中了permit规则,就允许通过;而在流策略中应用ACL,如果报文命中了permit规则,但流行为动作配置的是deny,该报文会被拒绝通过
2、 ACL规则匹配顺序
从上面的ACL匹配报文流程图中,可以看到,只要报文未命中规则且仍剩余规则,系统会一直从剩余规则中选择下一条与报文进行匹配。
系统是根据什么样的顺序来选择规则进行报文匹配的呢?
回答这个问题之前,先来看个例子。假设我们先后执行了以下两条命令进行配置:
rule deny ip destination 1.1.0.0 0.0.255.255 //表示拒绝目的IP地址为1.1.0.0网段的报文通过rule permit ip destination 1.1.1.0 0.0.0.255 //表示允许目的IP地址为1.1.1.0网段的报文通过,该网段地址范围小于1.1.0.0网段范围这条permit规则与deny规则是相互矛盾的。对于目的IP=1.1.1.1的报文,如果系统先将deny规则与其匹配,则该报文会被禁止通过。相反,如果系统先将permit规则与其匹配,则该报文会得到允许通过。
因此,对于规则之间存在重复或矛盾的情形,报文的匹配结果与ACL规则匹配顺序是息息相关的。下面,小编就为大家介绍ACL定义的两种规则匹配顺序:配置顺序(config)和自动排序(auto)。
配置顺序:即系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。后插入的规则,如果你指定的规则编号更小,那么这条规则可能会被先匹配上。
自动排序,是指系统使用“深度优先”的原则,将规则按照精确度从高到底进行排序,系统按照精确度从高到低的顺序进行报文匹配。规则中定义的匹配项限制越严格,规则的精确度就越高,即优先级越高,那么该规则的编号就越小,系统越先匹配。例如,有一条规则的目的IP地址匹配项是一台主机地址2.2.2.2/32,而另一条规则的目的IP地址匹配项是一个网段2.2.2.0/24,前一条规则指定的地址范围更小,所以其精确度更高,系统会优先将报文与前一条规则进行匹配。
在自动排序的ACL中配置规则,不允许自行指定规则编号。系统能自动识别出该规则在这条ACL中对应的优先级,并为其分配一个适当的规则编号。
例如,在auto模式的acl 3001中,存在以下两条规则
如果在acl 3001中插入rule deny ip destination 1.1.1.1 0(目的IP地址是主机地址,优先级高于上图中的两条规则),系统将按照规则的优先级关系,重新为各规则分配编号。插入新规则后,新的排序如下。
可以看到,rule deny ip destination 1.1.1.1 0的优先级最高,排列最靠前。
3、 ACL规则匹配项
最后,我们来说说ACL规则最核心的部分——规则匹配项。
基本ACL可以使用报文的源IP地址作为匹配选项;高级ACL则更高一筹,不仅可以使用源IP地址,还能使用目的IP地址、协议类型、端口号等等。
今天为大家讲解几个最常用的匹配选项——协议类型、目的地址和生效时间段。
协议类型
格式为:protocol-number | icmp | tcp | udp | gre | igmp | ip | ipinip | ospf
高级ACL支持过滤的报文类型很多,常用的协议类型包括: ICMP(协议号1)、TCP(协议号6)、UDP(协议号17)、GRE(协议号47)、IGMP(协议号2)、IP(指任何IP层协议)、IPinIP(协议号4)、OSPF(协议号89)。protocol-number取值可以是1~255。
什么情况下可以使用协议类型作为匹配项?
例如,交换机某个接口下的用户存在大量的攻击者,你希望能够禁止这个接口下的所有用户接入网络。这时,通过指定协议类型为IP来屏蔽这些用户的IP流量,就可以达到目的。配置如下:
rule deny ip //表示拒绝IP报文通过
再如,交换机上打开透明防火墙功能后,在缺省情况下,透明防火墙会在域间丢弃所有入域间的报文,包括业务报文和协议报文。如果你希望像OSPF这样的动态路由协议报文能正常通过防火墙,保证路由互通,这时,通过指定协议类型为OSPF即可解决问题。配置如下:
rule permit ospf //表示允许OSPF报文通过
目的地址
格式为:destination { destination-address destination-wildcard | any }
- destination-address:指定报文的目的地址。
- destination-wildcard:指定通配符掩码。可以为0,相当于0.0.0.0,表示目的地址为主机地址。
- any:表示对任意目的地址都匹配。
什么情况下可以使用目的地址作为匹配项?
例如,某公司有一台非常重要的服务器,其IP地址为1.1.1.1,现希望对该服务器的访问权限进行限制。这时,你可以通过指定目的地址为匹配选项来解决该问题。配置如下:
rule deny ip destination 1.1.1.1 0 //表示拒绝目的地址是1.1.1.1的报文通过
在将目的地址定义为ACL规则匹配项时,还需要同时指定通配符掩码,用来与目的地址字段共同确定一个地址范围。
通配符掩码的格式与IP地址相同,也是一个32比特位的数字字符串,用于指示目的IP地址中的哪些位将被检查。各比特位中,0表示“检查相应的位”,1表示“不检查相应的位”,
概括为一句话就是“检查0,忽略1”。 如图所示,以8比特为例,通配符的低8位如果为全0,就表示对目的IP地址的低8位全部进行检查;全1就表示全部忽略。有多少位为0,就表示检查多少位;有多少位为1,就表示忽略多少位。
生效时间段 time-range
第一种模式——相对时间段: 以星期为参数来定义时间范围
格式为:time-range time-name start-time to end-time { days } &<1-7>
- time-name:时间段名称,以英文字母开头的字符串。
- start-time to end-time:开始时间和结束时间。格式为[小时:分钟] to [小时:分钟]。
- days:有多种表达方式:
- Mon、Tue、Wed、Thu、Fri、Sat、Sun中的一个或者几个的组合,也可以用数字表达,0表示星期日,1表示星期一,……6表示星期六。
- working-day:从星期一到星期五,五天。
- daily:包括一周七天。
- off-day:包括星期六和星期日,两天。
第二种模式——绝对时间段: 从某年某月某日的某一时间开始,到某年某月某日的某一时间结束。
格式为:time-range time-name from time1 date1 [ to time2 date2 ]
- time:格式为 [小时:分钟]。
- date:格式为[YYYY/MM/DD],表示年/月/日。
什么情况下可以使用生效时间段作为匹配项?
例如,每天20:00~22:00为网络流量的高峰期,大量P2P、下载类业务的使用影响了其他数据业务的正常使用,此时通过设置在这个时间段内降低P2P、下载类业务的带宽,可以防止网络拥塞。配置如下:
time-range time1 20:00 to 22:00 daily
再举一例,某公司对外开放服务器的访问权限,但开放时间限制为:从2014年1月1日零点开始生效,到2014年12月31日晚上23:59截止。此时通过设置在这个时间段内访问服务器的报文才允许通过,就可以达到基于时间的访问权限控制的效果。配置如下:
time-range time2 from 00:00 2014/1/1 to 23:59 2014/12/31
最后,提醒大家,配置完时间段,千万别忘记要将时间段与ACL规则关联起来,这样才是一条基于时间的ACL的完整配置过程。配置如下:
acl acl-number
rule [ rule-id ] { deny | permit } other-options time-range time-name
1644
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
