HCIA-ICT实战基础-访问控制列表ACL进阶

二层ACL技术及配置

高级ACL的扩展使用方法及使用场景

1 二层ACL技术及配置

1.1 二层ACL概念

使用报文的以太网帧头来定义规则, 根据源mac地址、目的mac地址、二层协议类型等.

在结构上和高级ACL大差不差.

1.2 MAC通配符

区别与在三层工作的ACL, 用来匹配mac地址的二层ACL的通配符在匹配规则上有变化:

由于mac地址为十六进制, 通配符在使用时需要转换成二进制;
"1"表示匹配, "0"表示随机分配(与三层ACL相反);
缺省时通配符为"ffff-ffff-ffff"

1.3 二层ACL配置命令

1.创建二层ACL

[Huawei] acl [namber] acl-number [match-order config]

使用编号(4000~4999)创建一个数字型的二层ACL, 并进入二层ACL视图.

[Huawei] acl name acl-name {link | acl-number} {match-order config}

使用名称创建一个命名型的二层ACL, 并进入二层ACL视图.

2.配置基本ACL的规则

[Huawei-acl-L2-4000] rule [rule-id] {deny|permit} {l2-protocol type-value[type-mask] | destination-mac dest-mac-address [dest-mac-mask] | source-mac source-mac-address [source-mac-mask] | vlan-id vlan-id [vlan-id-mask] | 8021p 802.1p-value | time-range time-name}

在基本acl视图下, 通过此命令来配置基本ACL的规则.

放几个例子:

1.4 二层常见协议类型

0x0800--IPv4

0x0806--ARP

0x86DD--IPv6

0x8100--802.1q(VLAN)

0x8847/8848--MPLS

2 高级ACL的扩展使用方法及使用场景

2.1 回顾一下基本ACL和高级ACL

基本ACL

高级ACL

2.2 ACL的匹配顺序及匹配结果

在华为设备上ACL的默认匹配模式为config模式, 即系统按照ACL规则的编号从小到大的顺序进行报文匹配, 规则编号越小越容易被匹配.

我们也可以通过手动修改ACL的匹配模式为auto模式, 在这种配置模式下, 匹配规则时系统会自动按照深度优先对规则进行排序, 假如深度优先的顺序相同, 则匹配规则时按rule-id从小到大排序.

上图匹配ACL规则顺序为: 2 3 4 1

注: 对深度优先的理解: 对于ACL规则来说, 其匹配的范围越小, 通配符越小, 匹配对象越精确, 那么就越优先匹配.

2.3 高级ACL根据时间过滤配置

1.根据时间配置规则

[Huawei] time-range time-name {start-time to end-time {days} & <1-7> | from time1 date1 [to time2 date2]}

time-range命令用来配置一个时间段(周期/永久/永久性周期)

2.使用实例

配置时间段test1, 从2010年1月1日00:00起到2010年12月31日23:59生效

[Huawei] time-range test1 from 0:0 2010/1/1 to 23:59 2010/12/31

配置时间段test2, 在周一到周五每天8:00到18:00生效

[Huawei] time-range test2 8:00 to 18:00 working-day

在ACL里调用时间集

[Huawei-acl-basic-2000] rule 1 deny source 10.1.1.0 0.0.0.255 time-range test1

3.查看时间集

[Huawei] display time-range

2.4 高级ACL扩展应用场景

在要求网络无法被轻易ping探测的情况下, 可以通过高级ACL直接过滤所有ICMP报文;
针对企业用户, 企业内部网络在工作日期间, 员工访问网络会受限, 配合time-range, 实现工作日期间访问受限;
针对学校客户, 通过高级ACL针对学生IP结合time-range限制网络访问;
在家庭网络中, 可以通过二层ACL, 将非法用户进行黑名单处理.
...

巴特西

HCIA-ICT实战基础07-访问控制列表ACL进阶