ACL配置与管理——3

ACL配置示例

基本ACL、高级ACL、二层ACL和用户自定义ACL的配置方法。

一、基本ACL配置示例

如上图拓扑，Switch作为FTP服务器（172.16.104.110/24），已知Switch与各个子网之间路由可达。现在要通过基本ACL过滤用户访问FTP服务器时报文中源IP地址，限制用户访问交换机上FTP服务器的权限，具体要求如下：

（1）子网1（172.16.105.0/24）的所有用户在任意时间都可以访问FTP服务器。

（2）子网2（172.16.107.0/24）的所有用户只能在某一时间范围内访问FTP服务器。

（3）其他用户不可以访问FTP服务器。

在华为S系列交换机的许多登录（如Telnet、STelnet、HTTP、HTTPS、FTP和FTPS等）、访问中都可以通过ACL进行用户权限限制。

1、基本配置思路分析

（1）在Switch上创建基本ACL，并通过三条基本ACL规则中分别对3个子网用户发送的报文中的源IP地址进行过滤（其实就是一种访问授权）；然后为允许子网2中的用户访问FTP服务器配置一个基本ACL生效时间段。

（2）在Switch上启用FTP功能。

（3）在Switch的FTP服务器上调用上面创建的基本ACL，对网络中不同用户的FTP服务器访问进行控制。

2、具体配置步骤

（1）配置用于允许子网2用户访问FTP服务器的ACL生效时间段。假设为从2017年1月1日开始到2017年12月31日，每个双休日的下午2点到下午6点生效。

<Huawei>system-view

[Huawei]syaname Switch

[Switch]time-range ftp-access from 0:02017/1/1 to 23:59 2017/12/31

[Switch]time-range ftp-access 14:00 to18:00 off-day

（2）配置基本ACL。

[Switch]acl number 2001

[Switch-acl-basic-2001]rule permit source172.16.105.0 0.0.0.255

[Switch-acl-basic-2001]rule permit source172.16.107.0 0.0.0.255 time-range ftp-access

[Switch-acl-basic-2001]rule deny source any

[Switch-acl-basic-2001]quit

（3）启动FTP服务器功能

[Switch]ftp server enable

    （4）在FTP服务器的访问中调用前面的基本ACL。

[Switch]ftp acl 2001

 

二、高级ACL配置示例

如上图拓扑，Switch为S5700系列堆叠系统，是一个高级ACL应用。要求禁止研发部门和市场部门在上班时间（8:00至17:30）访问工资查询服务器（IP地址为10.164.9.9），而总裁办公室不受限制，可以随时访问。

1、基本配置思路分析

要求控制指定IP地址的用户访问指定目的IP地址的主机，所以必须配置高级ACL。可以采取两种配置方法：一是通过基于ACL的简化流策略，在连接工资查询服务器的交换机GE2/0/1端口或者两部门各自所连接的GE1/0/2和GE1/0/3端口入方向上应用所配置的高级ACL；二是通过QoS流策略。

当采用基于ACL的简化流策略配置方法时，基本配置思路如下：

（1）配置ACL生效时间段

（2）配置所需的两条高级ACL（包括ACL规则）

（3）在交换机GE1/0/2和GE1/0/3端口入方向上分别应用所配置的对应高级ACL。

如果采用QoS流策略配置方法，则基本的配置思路如下：

（1）配置ACL生效时间段。

（2）配置所需的两条高级ACL（包括ACL规则）

（3）配置根据上述高级ACL进行的流分类。

（4）配置对上述流分类采取拒绝的流行为。

（5）配置并在研发部门和市场部门连接的交换机端口上应用QoS流策略。

QoS策略的配置包括定义流分类、定义流行为、创建QoS流策略和应用QoS流策略这四项主要任务。

2、具体配置步骤

（1）基于ACL的简化流策略的配置方法

①配置ACL生效时间段

[Huawei]time-range satime 8:00 to 17:30working-day

②配置两条ACL及其规则。

[Huawei]acl 3002

[Huawei-acl-adv-3002]rule deny ip source10.164.2.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime

[Huawei-acl-adv-3002]quit

[Huawei]acl 3003

[Huawei-acl-adv-3003]rule deny ip source10.164.3.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime

[Huawei-acl-adv-3003]quit

    ③在端口上应用ACL

    如果采用第一种方法，需分别在交换机GE1/0/2和GE1/0/3端口入方向上应用所配置的高级ACL。可选择使用traffic-filter或者traffic-secure命令对三层报文进行过滤。

[Huawei]interface GigabitEthernet1/0/2

[Huawei-GigabitEthernet1/0/2]traffic-filterinbound acl 3002

[Huawei-GigabitEthernet1/0/2]quit

[Huawei]interface GigabitEthernet1/0/3

[Huawei-GigabitEthernet1/0/3]traffic-filterinbound acl 3003

[Huawei-GigabitEthernet1/0/3]quit

（2）基于QoS流策略的配置方法

首先按前面的第①②步配置好ACL生效时间段和两条高级ACL，然后还需要按照以下步骤配置好流分类、流行为和流策略，最后在两部门连接的交换机端口入方向上应用对应的流策略。

①定义基于ACL的流分类

#---配置流分类c_market，对匹配ACL3002的报文进行分类

[Huawei]traffic classifier c_market

[Huawei-classifier-c_market]if-match acl3002

[Huawei-classifier-c_market]quit

#---配置流分类c_rd，对匹配ACL3003的报文进行分类

[Huawei]traffic classifier c_rd

[Huawei-classifier-c_rd]if-match acl 3003

[Huawei-classifier-c_rd]quit

②定义流行为

#--定义流行为b_market，动作为拒绝报文通过

[Huawei]traffic behavior b_market

[Huawei-behavior-b_market]deny

[Huawei-behavior-b_market]quit

#--定义流行为b_rd，动作为拒绝报文通过

[Huawei]traffic behavior b_rd

[Huawei-behavior-b_rd]deny

[Huawei-behavior-b_rd]quit

    ③创建流策略，对以上流分类和流行为进行关联

#---配置流策略p_market，将流分类c_market与流行为b_market关联

[Huawei]traffic policy p_market

[Huawei-trafficpolicy-p_market]classifierc_market behavior b_market

[Huawei-trafficpolicy-p_market]quit

#---配置流策略p_rd，将流分类c_rd与流行为b_rd关联

[Huawei]traffic policy p_rd

[Huawei-trafficpolicy-p_rd]classifier c_ rdbehavior b_ rd

[Huawei-trafficpolicy-p_ rd]quit

    ④在对应端口上应用流策略

#---将流策略p_market应用到GE1/0/2接口

[Huawei]interface GigabitEthernet1/0/2

[Huawei-GigabitEthernet1/0/2]traffic-policyp_market inbound

[Huawei-GigabitEthernet1/0/2]quit

#---将流策略p_rd应用到GE1/0/3接口

[Huawei]interface GigabitEthernet1/0/3

[Huawei-GigabitEthernet1/0/3]traffic-policyp_rd inbound

[Huawei-GigabitEthernet1/0/3]quit

三、二层ACL配置示例

Switch作为网关设备，下挂用户PC。现要求配置ACL，禁止源MAC地址为00e0-f201-0101、目的MAC地址为0260-e207-0002的报文通过。

1、基本配置思路

同样有两种配置方法，即基于ACL的简化流策略和QoS流策略法。

采用基于ACL的简化策略配置方法，基本配置思路如下：

（1）配置所需的二层ACL（包括ACL规则）。

（2）在交换机GE2/0/1接口上应用上面所配置的二层ACL。

如果采用的是QoS流策略配置方法，基本配置思路如下：

（1）配置所需的二层ACL（包括ACL规则）

（2）同样是QoS流策略的四大配置任务：定义基于以上二层ACL的流分类，定义一个所需的流行为，创建一个QoS流策略，将前面定义的流分类和流行为关联起来，在交换机接口上应用所创建的QoS流策略。

2、具体配置步骤

（1）基于ACL的简化策略的配置方法、

①配置符合要求的二层ACL。因为要匹配的仅是一个MAC地址，所以源MAC地址和MAC地址的掩码均为0xffff-ffff-ffff。

[Huawei]acl 4000

[Huawei-acl-L2-4000]rule deny source-mac00e0-f201-0101 ffff-ffff-ffff destination-mac 0260-e207-0002 ffff-ffff-ffff

[Huawei-acl-L2-4000]quit

    ②在GE2/0/1端口上应用以上配置的二层ACL4000.同样，可随便选择使用traffic-filter或者traffic-secure命令对二层报文进行过滤。

[Huawei]interface GigabitEthernet2/0/1

[Huawei-GigabitEthernet2/0/1]traffic-secureinbound acl 4000

[Huawei-GigabitEthernet2/0/1]quit

（2）基于QoS流策略的配置方法

首先按照上面介绍的配置好二层ACL及其规则。然后进行以下配置

①配置流分类tc1，对匹配ACL4000的报文进行分类

[Huawei]traffic classifier tc1

[Huawei-classifier-tc1]if-match acl 4000

[Huawei-classifier-tc1]quit

     ②定义流行为tb1，动作为拒绝报文通过

[Huawei]traffic behavior tb1

[Huawei-behavior-tb1]deny

[Huawei-behavior-tb1]quit

    ③创建流策略，将流分类tc1与流行为tb1关联

[Huawei]traffic policy tp1

[Huawei-trafficpolicy-tp1]classifier tc1behavior tb1

[Huawei-trafficpolicy-tp1]quit

④将流策略tp1应用到GE2/0/1接口

[Huawei]interface GigabitEthernet2/0/1

[Huawei-GigabitEthernet2/0/1]traffic-policytp1 inbound

[Huawei-GigabitEthernet2/0/1]quit

四、用户自定义ACL配置示例

如上拓扑，Switch的GE1/0/1接口连接用户，GE2/0/1接口连接上层路由器。要求在接口GE1/0/1下绑定用户自定义ACL，从二层报文头偏移14个字节开始匹配，拒绝匹配成功的报文通过，匹配的字符串内容为0x0180C200（共4个字节）。

同样以基于ACL的简化策略和基于QoS策略两种配置方法为例。

1、基于ACL的简化策略的配置步骤

（1）配置符合要求的用户自定义ACL。

[Huawei]acl 5000

[Huawei-acl-user-5000]rule deny l2-head0x0180C200 0xffffffff 14

[Huawei-acl-user-5000]quit

    （2）在Switch的GE1/0/1端口上应用上面创建的用户自定义ACL。

[Huawei]interface gigabitethernet1/0/1

[Huawei-GigabitEthernet1/0/1]traffic-secureinbound acl 5000

[Huawei-GigabitEthernet1/0/1]quit

2、基于QoS流策略的配置

首先按照上面介绍的配置好用户自定义ACL及其规则。然后

（1）配置流分类tc1，对匹配ACL5000的报文进行分类

[Huawei]traffic classifier tc1

[Huawei-classifier-tc1]if-match acl 5000

[Huawei-classifier-tc1]quit

     （2）定义流行为tb1，动作为拒绝报文通过

[Huawei]traffic behavior tb1

[Huawei-behavior-tb1]deny

[Huawei-behavior-tb1]quit

    （3）创建流策略，将流分类tc1与流行为tb1关联

[Huawei]traffic policy tp1

[Huawei-trafficpolicy-tp1]classifier tc1behavior tb1

[Huawei-trafficpolicy-tp1]quit

（4）将流策略tp1应用到GE2/0/1接口

[Huawei]interface GigabitEthernet1/0/1

[Huawei-GigabitEthernet1/0/1]traffic-policytp1 inbound

[Huawei-GigabitEthernet1/0/1]quit

自反ACL

自反ACL（ReflectiveACL）是动态ACL技术的一种应用。它根据IP报文的上层会话信息生成，只有当私网用户先访问了公网后才允许对应的公网用户访问本地私网。利用自反ACL可以很好的保护企业内部网络免受外部非法用户的攻击。只能针对高级ACL或者高级ACL6进行自反ACL，并且只能根据TCP、UDP和ICMP协议类型的报文自动生成ACL规则。

一、自反ACL的基本工作原理

自反ACL有以下两个显著的特点

（1）由内网始发的流量到达配置了自反ACL功能的设备后，设备根据此流量的第三层和第四层信息自动生成一个临时性的反向ACL，并保持一段时间。此临时性ACL规则中的协议类型不变，源IP地址和目的IP地址，以及源端口与目的端口与始发ACL规则对调。

（2）当对端设备发出的响应报文到达配置了自反ACL功能的设备时，会自动根据这个临时性的ACL允许响应通信通过。设备如何确定该响应通信是始发ACL通信的响应通信？依据响应报文中的第三、四层信息与先前始发ACL通信报文中的第三、四层信息是否严格匹配来判定。

根据不同的匹配规则，自反ACL的实现原理如下：

（1）当配置自反ACL功能的接口通过TCP或UDP协议类型的报文时，接口将下发一条报文源IP地址和目的IP地址、源端口和目的端口互换的ACL规则。

（2）当配置自反ACL功能的接口通过ICMP协议类型的报文时，自反ACL功能阻止目的端发送的ICMP-Echo-Request报文通过，允许接收目的端发送的ICMP-Echo-Reply报文。

（3）自反ACL匹配的协议类型与触发接口自动生成自反ACL的报文协议类型相同。

如上图，在交换机上配置自反ACL功能后，外网无法主动访问内网。这时，一个源IP IPa，源端口Porta，目的IP IPb，目的端口Portb的报文发往外网，设备会自动生成一条自反ACL的规则，允许源IP IPb，端口Portb，目的IP IPa，目的端口Porta的报文通过。

二、配置自反ACL

自反ACL可以很好的保护企业内部网络，免受外部非法用户的攻击。在整个自反ACL的配置中可配置的任务包括3个方面：

（1）配置需要用于启用自反ACL功能的高级ACL。

（2）在对应交换机端口上启用对应高级ACL的自反ACL功能，并可选择配置该自反ACL的老化时间。

（3）（可选）在交换机上全局配置自发ACL的老化时间。

配置好后可以使用displaytraffic-reflect { inbound | outbound } [ interface interface-typeinterface-number ] [ acl { adv-acl-name | adv-acl-number } ]查看配置自反ACL的信息。

示例：在GE1/0/0端口出方向上配置自反ACL功能，对所有TCP报文进行自反。

[Huawei]acl 3000

[Huawei-acl-adv-3000]rule permit tcp

[Huawei-acl-adv-3000]quit

[Huawei]interface gigabitethernet 1/0/0

[Huawei-GigabitEthernet1/0/0]traffic-reflectoutbound acl 3000

    示例：查看ACL3001在出方向上的自反ACL信息

三、自反ACL配置示例

如上拓扑，Switch的GE1/0/1端口连接了内网的用户，GE2/0/1端口连接到Internet。在GE2/0/1端口的出方向上配置基于UDP协议的自反ACL功能，当内网的主机先访问Internet中的服务器之后才允许Internet的服务器访问内网的主机。同时，在全局和GE2/0/1端口下配置自反ACL的老化时间，对自反ACL进行自动老化。

（1）配置高级ACL，允许UDP报文通过。

<Huawei>system-view

[Huawei]acl 3000

[Huawei-acl-adv-3000]rule permit udp

[Huawei-acl-adv-3000]quit

（2）在GE2/0/1端口出方向上自反ACL功能和老化时间（假设为600s），对UDP报文进行自反。

[Huawei]interface gigabitethernet 2/0/1

[Huawei-GigabitEthernet2/0/1]traffic-reflectoutbound acl 3000 timeout 600

[Huawei-GigabitEthernet2/0/1]quit

（3）配置全局自反ACL老化时间。但此时在GE2/0/1端口出方向上的自反ACL的老化时间仍是在该端口上配置的老化时间——600s。

[Huawei]traffic-reflect timeout 900

配置完后通过命令查看配置结果