ACL简介
定义
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
ACL配置完成后,必须应用在业务模块中才能生效,其中最基本的ACL应用,就是在简化流策略/流策略中应用ACL,使设备能够基于全局、VLAN或接口下发ACL,实现对转发报文的过滤。此外,ACL还可以应用在Telnet、FTP、路由等模块。业务模块之间的ACL默认处理动作和处理机制有所不同,具体请参见ACL应用模块的ACL默认动作和处理机制。
目的
ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
图1是一个典型的ACL应用组网场景。
某企业为保证财务数据安全,禁止研发部门访问财务服务器,但总裁办公室不受限制。实现方式:在Interface 1的入方向上部署ACL,禁止研发部门访问财务服务器的报文通过。Interface 2上无需部署ACL,总裁办公室访问财务服务器的报文默认允许通过。
保护企业内网环境安全,防止Internet病毒入侵。实现方式:在Interface 3的入方向上部署ACL,防止病毒通过该接口入侵。
在OSPF中使用基本ACL过滤路由信息示例
组网需求
如图1所示,运行OSPF协议的网络中,SwitchA从Internet网络接收路由,并为OSPF网络提供了Internet路由。用户希望OSPF网络中只能访问172.16.17.0/24、172.16.18.0/24和172.16.19.0/24三个网段的网络,其中SwitchC连接的网络只能访问172.16.18.0/24网段的网络。
配置思路
采用如下的思路配置对路由进行过滤:
- 在SwitchA上配置ACL,在路由发布时应用ACL,使SwitchA仅提供路由172.16.17.0/24、172.16.18.0/24、172.16.19.0/24给SwitchB,实现OSPF网络中只能访问172.16.17.0/24、172.16.18.0/24、172.16.19.0/24三个网段的网络。
- 在SwitchC上配置ACL,在路由引入时应用ACL,使SwitchC仅接收路由172.16.18.0/24,实现SwitchC连接的网络只能访问172.16.18.0/24网段的网络
拓扑图
S1基本配置
配置各接口所属的VLAN
# 配置SwitchA。SwitchB和SwitchC的配置与SwitchA类似。
<HUAWEI> system-view
[HUAWEI] sysname S1
[S1] vlan batch 10
[S1] interface gigabitethernet 0/0/1
[S1-GigabitEthernet0/0/1] port link-type trunk
[S1-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[S1-GigabitEthernet0/0/1] quit
配置各VLANIF接口的IP地址
# 配置SwitchA。SwitchB和SwitchC的配置与SwitchA类似。
[S1] interface vlanif 10
[S1-Vlanif10] ip address 192.168.1.1 24
[S1-Vlanif10] quit
配置OSPF基本功能
# SwitchA的配置。
[S1] ospf
[S1-ospf-1] area 0
[S1-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[S1-ospf-1-area-0.0.0.0] quit
[S1-ospf-1] quit
在SwitchA配置5条静态路由,并在将这些静态路由引入到OSPF协议中
[S1] ip route-static 172.16.16.0 24 NULL 0
[S1] ip route-static 172.16.17.0 24 NULL 0
[S1] ip route-static 172.16.18.0 24 NULL 0
[S1] ip route-static 172.16.19.0 24 NULL 0
[S1] ip route-static 172.16.20.0 24 NULL 0
[S1] ospf
[S1-ospf-1] import-route static
[S1-ospf-1] quit
配置路由发布策略
# 在SwitchA配置ACL 2002,允许172.16.17.0/24、172.16.18.0/24和172.16.19.0/24通过。
[S1] acl number 2002
[S1-acl-basic-2002] rule permit source 172.16.17.0 0.0.0.255
[S1-acl-basic-2002] rule permit source 172.16.18.0 0.0.0.255
[S1-acl-basic-2002] rule permit source 172.16.19.0 0.0.0.255
[S1-acl-basic-2002] quit
# 在SwitchA配置发布策略,引用ACL 2002进行过滤。
[S1] ospf
[S1-ospf-1] filter-policy 2002 export static
[S1-ospf-1] quitS2基本配置
<Huawei>system-view
[Huawei]sysname S2
[S2]interface GigabitEthernet 0/0/1
[S2-GigabitEthernet0/0/1]port link-type trunk
[S2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10
[S2-GigabitEthernet0/0/1]q
[S2]interface Vlanif 10
[S2-Vlanif10]ip address 192.168.1.2 24
[S2-Vlanif10]q
[S2]vlan 20
[S2-vlan20]q
[S2]interface GigabitEthernet 0/0/2
[S2-GigabitEthernet0/0/2]port link-type trunk
[S2-GigabitEthernet0/0/2]port trunk allow-pass vlan 20
[S2-GigabitEthernet0/0/2]q
[S2]interface Vlanif 20
[S2-Vlanif20]ip address 192.168.2.1 24
[S2-Vlanif20]q
配置ospf
[S2] ospf
[S2-ospf-1] area 0
[S2-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[S2-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255
[S2-ospf-1-area-0.0.0.0] quit
[S2-ospf-1] quitS3基本配置
<Huawei>system-view
[Huawei]sysname S3
[S3]vlan 20
[S3-vlan20]q
[S3]interface GigabitEthernet 0/0/1
[S3-GigabitEthernet0/0/1]port link-type trunk
[S3-GigabitEthernet0/0/1]port trunk allow-pass vlan 20
[S3-GigabitEthernet0/0/1]q
[S3]interface Vlanif 20
[S3-Vlanif20]ip address 192.168.2.2 24
[S3-Vlanif20]q
配置OSPF
[S3] ospf
[S3-ospf-1] area 0
[S3-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255
[S3-ospf-1-area-0.0.0.0] quit
[S3-ospf-1] quit
配置路由接收策略
# 在SwitchC配置ACL 2003,允许172.16.18.0/24通过。
[S3] acl number 2003
[S3-acl-basic-2003] rule permit source 172.16.18.0 0.0.0.255
[S3-acl-basic-2003] quit
# 在SwitchC配置接收策略,引用ACL 2003进行过滤。
[S3] ospf
[S3-ospf-1] filter-policy 2003 import
[S3-ospf-1] quitS1路由表
S2路由表
S3路由表
