ACL讲课解析.ppt

1.2 IPv4 ACL简介 1.2.1 IPv4 ACL分类 IPv4 ACL根据ACL序号来区分不同的ACL可以分为三种类型 IPV4 ACL类型 ACL序号范围 区分报文的依据 基本IPV4 ACL 2000-2999 只根据报文的源IP地址信息制定匹配规则 高级IPV4 ACL 3000-3999 根据报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性等三、四层信息制定匹配规则 二层ACL 4000-4999 根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则 1.2.2 IPv4 ACL命名 用户在创建IPv4 ACL时，可以为ACL指定一个名称。每个IPv4 ACL最多只能有一个名称。命名的ACL使用户可以通过名称唯一地确定一个IPv4 ACL，并对其进行相应的操作。 在创建ACL时，用户可以选择是否配置名称。ACL创建后，不允许用户修改或者删除ACL名称，也不允许为未命名的ACL添加名称。 1.2.3 IPv4 ACL匹配顺序 IPv4 ACL支持两种匹配顺序 配置顺序按照用户配置规则的先后顺序进行规则匹配。 自动排序按照“深度优先”的顺序进行规则匹配。 1. 基本IPv4 ACL的“深度优先”顺序判断原则如下 (1) 先比较源IP地址范围，源IP地址范围小（反掩码中“0”位的数量多）的规则优先 (2) 如果源IP地址范围也相同，则先配置的规则优先。 2. 高级IPv4 ACL的“深度优先”顺序判断原则如下 (1) 先比较协议范围，指定了IP协议承载的协议类型的规则优先。 (2) 如果协议范围相同，则比较源IP地址范围，源IP地址范围小（反掩码中“0”位的数量多）的规则优先。 (3) 如果协议范围、源IP地址范围相同，则比较目的IP地址范围，目的IP地址范围小（反掩码中“0”位的数量多）的规则优先。 (4) 如果协议范围、源IP地址范围、目的IP地址范围相同，则比较四层端口号、TCP/UDP端口号、范围、四层端口号范围小的规则优先。 (5) 如果上述范围都相同，则先配置的规则优先。 1.2.4 IPv4 ACL步长 1. 步长的含义 步长的含义是：交换机自动为ACL规则分配编号的时候，每个相邻规则编号之间的差值。例如，如果将步长设定为5，规则编号分配是按照0、5、10、15…这样的规律分配的。缺省情况下，步长为5。 当步长改变后,ACL中的规则编号会自动重新排列。例如,原来规则编号为0、5、10、15…当通过命令把步长改为2后,则规则编号变成0、2、4、6。 当使用命令将步长恢复为缺省值后,交换机将立刻按照缺省步长调整ACL规则的编号。例如ACL 3001,步长为2,下面有4个规则,编号为0、2、4、6。如果此时使用命令将步长恢复为缺省值，则ACL规则编号变成0、5、10、15,步长为5。 2. 步长的作用 用户可以使用步长方便地在规则之间插入新的规则。例如配置好了4个规则,规则编号为0、5、10、15。此时如果用户希望能在第一条规则之后插入一条规则,则可以使用命令在0和5之间插入一条编号为1的规则。 另外,在定义一条ACL规则的时候,用户可以不指定规则编号,这时,系统会从0开始,按照步长自动为规则分配一个大于现有最大编号的最小编号。 1.2.5 IPv4 ACL生效时间段 时间段用于描述一个特殊的时间范围。用户可能有这样的需求,一些ACL规则需要在某个或某些特定时间内生效,而在其他时间段则不利用它们进行报文过滤,即通常所说的按时间段过滤。这时用户就可以先配置一个或多个时间段,然后在相应的规则下通过时间段名称引用该时间段,这条规则只在该指定的时间段内生效,从而实现基于时间段的ACL过滤。 如果规则引用的时间段未配置,则系统给出提示信息,并允许这样的规则创建成功,但是规则不能立即生效,直到用户配置了引用的时间段,并且系统时间在指定时间段范围内ACL规则才能生效。 ACL简介 IPV4 ACL配置 配置高级ACL实例 2.1 配置时间段 对时间段的配置有如下两种情况 配置周期时间段采用每个星期固定时间段的形式，例如从星期一至星期五的8:00至18:00。  配置绝对时间段采用从某年某月某日某时某分起至某年某月某日某时某分结束的形式，例如从2000年1月28日15:00起至2004年1月28日15:00结束。 2.1.1 配置时间段 操作 命令 说明 进入系统视图 system-view - 创建一个时间段 time-range time-ange-name { start-time to end-time days [ from time1 date1 ]