本文主要介绍华为系列设备在配置ACL的时候可能遇到的问题,由于是基于华为eNSP进行的实验,因此可能会与实际装备有所差异,但是特别适合使用eNSP模拟软件在配置ACL时遇到问题的同学,在阅读本文前,希望您能够对华为系列设备ACL配置和应用有着基本的了解。
ACL,access list,即访问控制列表,从字面上看,可以起到控制访问流量的作用。但是,ACL所做的只不过是按照规则进行流量的匹配,要想真正实现ACL的配置,还需要配合其他的工具,比如traffic filter等等。经过本人实践,发现在ACL配置和应用过程中存在如下问题,发出来和大家分享一下。
一、ACL应用简介
ACL既可以用来抓取路由,也以用来抓取数据包,但是二者都需要配合其他的工具使用。
ACL按照命名方式,可以分为数字型ACL和命名型ACL。按照ACL功能,可以分为基本ACL,高级ACL,二层ACL,有时某些型号的设备还会有用户ACL和接口ACL。
ACL总是试图将抓取到的数据包或者路由按照自身规则进行匹配,并且总是按照rule号码从小到大进行匹配,当ACL匹配到某一条规则时,就会执行该规则所规定的动作,从而不会向下匹配。
注意:
高级ACL不能用于过滤路由,只能用于过滤数据包。
二、使用Serial线配置ACL
我们在做实验的时候,很多时候都是将ACL配置在普通的接口上,但是如果出现特殊的实验需求,需要将ACL配置在Serial线上,此时ACL可能出现问题,并不会按照理论上对数据包进行过滤,此前我的一篇文章已经对这种现象进行了描述,可以参考,在这里就不过多叙述了。华为eNSP BUG——Serial线配置ACL问题
三、ACL默认匹配规则
ACL默认规则的设置,在华为设备中会根据不同情况有不同的规则。在华为官方文档中,是这样介绍的:
当然,上面的文档过于复杂,其实总结来看,基本上ACL默认规则是这样的:
如果配置在接口上,则默认规则为允许,如果配置在其他地方,则默认规则为拒绝。
四、将ACL配置在接口出方向上
华为系列设备存在如下规则:
如果将ACL配置在接口入方向上:
那么ACL能够匹配抓取进入本接口的流量。
如果将ACL配置在接口出方向上:
那么ACL只检查穿过本接口的流量,而不检查本地路由器(或交换机)自身产生的流量。
五、ACL两种应用方法
如果配置了一个ACL,那么必须将它在接口上应用才会真正生效。关于如何在接口上配置ACL,有下面两种方法:
1、使用traffic-filter
使用traffic-filter配置代码如下:
traffic-filter inbound acl 3000
上述命令在接口模式下配置,表示将ACL 3000绑定到该接口的如方向上。将inbount改为outbount也可以修改为出方向上。
这种配置比较简单,也比较常见。
2、使用traffic-policy
除了上述配置方式之外,在这里再给大家介绍使用traffic-policy配置的方式,这种配置方式比较复杂,也不常用,在这里只是给大家简单提及,希望大家在看到类似命令的时候能够明白其配置含义。
使用traffic-policy配置命令如下:
traffic classifier ICMP_CLASS operator or
if-match acl 3000
traffic behavior ICMP_BEHAVE
deny
traffic policy ICMP
classifier ICMP_CLASS behavior ICMP_BEHAVE
这种配置方式是定义了分类、行为和策略,并且将分类和行为应用在策略上,上述配置完成后,在接口上配置如下命令:
traffic-policy ICMP inbound
类似的,上述命令中的inbound也可以根据实际情况更改为outbount。
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/118436068
619
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
