计算机网络讲义(0601 联通控制篇 ACL).ppt

计算机网络讲义控制联通篇(ACL) 西安电力高等专科学校 计算机工程系 课程介绍 课程目的： 掌握ACL的理论知识和组网实操技能。 1.1 ACL 简介 ACL（Access Control List，访问控制列表）主要用来实现流识别功能。 网络设备为了过滤数据包，需要配置一系列的匹配规则，以识别需要过滤的报文。在识别出特定的报文之后，才能根据预先设定的策略允许或禁止相应的数据包通过。 ACL通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。 1.1 ACL 简介 根据应用目的，可将ACL分为下面几种： 基本ACL：只根据三层源IP地址制定规则。 高级ACL：根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。 二层ACL：根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则。 用户自定义ACL：以数据包的头部为基准，指定从第几个字节开始进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。 1.1.1 ACL在交换机上的应用方式 1. ACL直接下发到硬件中的情况 交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中报文的过滤和流分类。此时一条ACL中多个规则的匹配顺序是由交换机的硬件决定的，用户即使在定义ACL时配置了匹配顺序，该匹配顺序也不起作用。 2. ACL 被上层模块引用的情况 交换机也使用ACL来对由软件处理的报文进行过滤和流分类。此时ACL规则的匹配顺序有两种：config（指定匹配该规则时按用户的配置顺序）和auto（指定匹配该规则时系统自动排序，即按“深度优先”的顺序）。 1.1.2 ACL 匹配顺序 ACL可能会包含多个规则，而每个规则都指定不同的报文范围。这样，在匹配报文时就会出现匹配顺序的问题。 ACL支持两种匹配顺序： 配置顺序：根据配置顺序匹配ACL规则。 自动排序：根据“深度优先”规则匹配ACL规则。 1.1.2 ACL 匹配顺序 “深度优先”顺序的判断原则如下： (1) 先比较规则的协议范围。IP协议的范围为1～255，其他协议的范围就是自己的协议号；协议范围小的优先； (2) 再比较源IP地址范围。源IP地址范围小(掩码长)的优先； (3) 然后比较目的IP地址范围。目的IP地址范围小(掩码长)的优先； (4) 最后比较四层端口号（TCP/UDP 端口号）范围。四层端口号范围小的优先； 1.1.2 ACL 匹配顺序 如果规则A与规则B按照原有匹配顺序进行配置时，协议范围、源IP地址范围、目的IP地址范围、四层端口号范围完全相同，并且其它的元素个数相同，将按照加权规则进行排序。加权规则如下： 设备为每个元素设定一个固定的权值，最终的匹配顺序由各个元素的权值和元素取值来决定。各个元素自身的权值从大到小排列：DSCP、ToS、ICMP、established、precedence、fragment。 设备以一个固定权值依次减去规则各个元素自身的权值，剩余权值越小的规则越优先。 如果各个规则中元素个数、元素种类完全相同，则这些元素取值的累加和越小越优先。 1.1.3 基于时间段的ACL 基于时间段的ACL使用户可以区分时间段对报文进行ACL控制。 ACL中的每条规则都可选择一个时间段。如果规则引用的时间段未配置，则系统给出提示信息，并允许这样的规则创建成功。但是规则不能立即生效，直到用户配置了引用的时间段，并且系统时间在指定时间段范围内才能生效。如果用户手工删除ACL规则引用的时间段，则在ACL规则定时器刷新后，该规则将失效。 1.1.4 以太网交换机支持的ACL H3C S3600 系列以太网交换机支持的ACL如下： 基本ACL 高级ACL 二层ACL 用户自定义ACL 1.2 配置时间段 对时间段的配置有如下内容：配置周期时间段和绝对时间段。配置周期时间段采用的是每周的周几的形式，配置绝对时间段采用从起始时间到结束时间的形式。 说明： H3C S3600 系列以太网交换机支持的绝对时间段范围从1970/1/1 00:00 起至2100/12/31 24:00 结束。 1.2.1 配置过程 需要注意的是： 如果一个时间段只定义了周期时间段，则只有系统时钟在该周期时间段内，该时间段才进入激活状态。 如果一个时间段下定义了多个周期时间段，则这些周期时间段之间是“或”的关系。 1.2.1 配置过程 如果一个时间段只定义了绝对时间段，则只有系统时钟在该绝对时间段内，该时间段才进入激活状态。 如果一个时间段下定义了多个绝对时间段，则这些绝对时间段之间是“或”的关系。 如果一个时间段同时定义了绝对时间段和周期时间段，则只有同时满足绝对时间段和周期