【接入网宝典】期-ACL原理及ESR实现ACL的方法.docVIP

前言： 本着“共同学习，共同提高”的宗旨，我们汇总整理了华为接入网设备日常维护中需要特别注意的事项和常见问题解答，发布在华为技术支持网站首页“华为资源－电子期刊－接入网宝典”栏目，希望对您的日常设备维护工作有所帮助。让我们携起手来，共同打造可运营、可管理的精品网络！??接入网宝典?? ―ACL原理及ESR实现ACL的方法 尊敬的客户： 本期主要对ACL原理及ESR实现ACL的方法作简单介绍。 ACL概念 ACL（Access Control List）的中文名称为访问控制列表. ISN8850提供强大的ACL支持，可以起到报文过滤、防攻击和NAT的作用。可以配置两种ACL规则，标准ACL规则和扩展ACL规则。 标准ACL 标准ACL规则是指规则组号为1～99的规则组，标准ACL规则配置是动作＋源地址范围，如： access-list 20 permit 55 组号 动作 源地址范围 标准ACL规则主要用于软件模块进行权限过滤，需要与特定的软件模块绑定，如NAT（老配置）、Telnet、OSPF、SNMP等； 配置ACL规则中IP地址有两种方式：配置一个网段或一个用户。 配置一个网段时，掩码使用通配比较位。通配比较位用法类似于子网掩码，是实际网络掩码的取反。 配置只允许一个用户时，掩码设置为0。 IP地址与地址通配位的关系语法上规定如下：在通配位中相应位为1的地址中的位在比较中被忽略。地址与通配位都是32位的长整型数。如通配位是55，则比较时，高8位需要比较，其他的都被忽略。如IP地址是，通配位是55，则地址与通配位合在一起表示网段。 例：设置标准ACL，只允许一台主机接入。 BRAS(config)#access-list 10 permit 0 例：设置标准ACL，禁止/24网段的主机接入。 BRAS(config)#access-list 11 deny 55 设置完成后可在特权模式下使用命令[show access-list]查看指定ACL的信息。 扩展ACL 扩展ACL规则是指规则组号为164～999的规则组，扩展ACL规则配置是动作＋IP五元组（实际上是四元组，分别为源IP地址、目的IP地址、协议号、目的端口。不包括四层源端口号），如： access-list 200 deny tcp 55 55 eq 80 组号 动作 协议 源地址范围 目的地址范围 目的端口号 扩展ACL是使用硬件（NP）实现的，实现了对数据报文的过滤。 其中规则组号为100～163为系统保留使用。 扩展ACL分类 ISN8850的扩展ACL分为安全类和NAT类，安全类ACL负责对报文的过滤以达到对报文的安全控制，NAT类ACL规则负责判断报文是否需要做NAT。 可以通过以下命令设置扩展ACL规则的类型，如： access-list 199 type normal (安全类ACL规则组) access-list 200 type nat (NAT类ACL规则组) 安全类规则组可以配置的动作有permit、deny和redirect。 NAT类规则组可以配置的动作有permit、deny和nat。 对于一类的ACL规则组中绝对不可以出现另一类ACL规则组的动作，例如在安全类规则组中不能出现带nat关键字的ACL规则。 redirect是重定向动作，它的作用是对报文不使用报文的目的地址查找路由，而是使用配置的重定向下一跳IP地址查找路由，如： access-list 500 redirect ip any any 这条ACL规则的意思是将所有报文重定向到下一跳，即查找路由时不使用报文里的目的IP地址查找，而是使用去查找路由转发报文。注意这个重定向地址不是本机接口的地址，而是本机接口的对端地址。 扩展ACL排序规则 对同一个ACL规则组，ACL规则的匹配顺序是按照ACL规则的先后顺序匹配的，找到一条匹配的ACL规则（四元组匹配）马上返回动作，不再查找后面的ACL规则。如果该ACL规则组没有匹配到则继续匹配下一个ACL规则组。 一个ACL规则组中的ACL规则的顺序是由该规则组的排序类型决定的，规则组的缺省排序类型是“config”，即根据配置的先后排列，如果使用下面的命令： access-list 300 match-order auto 将ACL规则组的排序类型改为“auto”，那么该规则组的规则按照下面的规则排序： 1、源地址范围小的插在前面，源地址范围大的插在后面，源地址范围相等则使用下面的第2条规则继续判断； 2、目的地址范围小的插在前面，目的地址范围大的插在后面，目的地址范围相等的则使用下面的第3条规则继续判断； 3、目的端口范围小的插在前面，目的端口范围大的插在后面，目的端口范