QACL操作5Word文件下载.docx
《QACL操作5Word文件下载.docx》由会员分享,可在线阅读,更多相关《QACL操作5Word文件下载.docx(67页珍藏版)》请在冰豆网上搜索。
1.6.3二层访问控制列表配置案例23
1.6.4用户自定义访问控制列表配置案例24
第2章QoS配置1
2.1QoS简介1
2.2S3026的QoS配置5
2.2.1设置端口的优先级5
2.2.2设置交换机信任报文的优先级6
2.2.3设置高低优先级队列的报文的轮循处理比值6
2.2.4QoS的显示和调试7
2.2.5QoS配置举例7
2.3S3026F系列以太网交换机的QoS配置8
2.3.1设置端口的优先级10
2.3.2设置交换机信任报文的优先级10
2.3.3优先级标记配置11
2.3.4队列调度配置11
2.3.5流镜像配置12
2.3.6流量统计配置13
2.3.7QoS的显示和调试13
2.4S3026E系列、S3050C-48以太网交换机的QoS配置14
2.4.1设置端口的优先级14
2.4.2设置交换机信任报文的优先级15
2.4.3流量监管15
2.4.4端口限速16
2.4.5报文重定向配置16
2.4.6优先级标记配置17
2.4.7队列调度配置18
2.4.8流镜像配置19
2.4.9端口镜像配置19
2.4.10流量统计配置20
2.4.11QoS的显示和调试21
2.5S3026F系列交换机的QoS配置实例22
2.5.1流镜像配置实例22
2.5.2优先级标记和队列调度配置实例23
2.6S3026E系列、S3050C-48的QoS配置实例24
2.6.1流量监管和端口限速配置实例24
2.6.2流镜像配置实例25
2.6.3优先级标记配置实例26
2.6.4报文重定向配置实例26
2.6.5队列调度配置实例27
2.6.6流量统计实例28
第3章配置登录用户的ACL控制30
3.1简介30
3.2配置对TELNET用户的ACL控制30
3.2.1定义访问控制列表30
3.2.2引用访问控制列表,对TELNET用户进行控制31
3.2.3配置举例31
3.3对通过SNMP访问交换机的用户的ACL控制32
3.3.1定义访问控制列表32
3.3.2引用访问控制列表,对通过SNMP访问交换机的用户进行控制32
3.3.3配置举例33
3.4对通过HTTP访问交换机的用户的ACL控制34
3.4.1定义访问控制列表34
3.4.2引用访问控制列表,对通过HTTP访问交换机的用户进行控制35
3.4.3配置举例35
第1章ACL配置
1.1访问控制列表简介
1.1.1访问控制列表概述
网络设备为了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的对象。
在识别出特定的对象之后,才能根据预先设定的策略允许或禁止相应的数据包通过。
访问控制列表(AccessControlList,ACL)就是用来实现这些功能。
ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。
ACL应用在交换机全局或端口,交换机根据ACL中指定的条件来检测数据包,从而决定是转发还是丢弃该数据包。
由ACL定义的数据包匹配规则,还可以被其它需要对流量进行区分的场合引用,如QoS中流分类规则的定义。
一条访问控制规则可以由多条子规则组成,而每一条语句指定的数据包的范围大小有别,在匹配一个访问控制规则的时候就存在匹配顺序的问题。
1.ACL直接下发到硬件中的情况
交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类。
此时一条ACL中多个子规则的匹配顺序是由交换机的硬件决定的,用户即使在定义ACL时配置了匹配顺序也不起作用。
由于芯片不同,各款交换机的子规则硬件匹配顺序不同。
具体描述见下表。
表1-1交换机ACL子规则的硬件匹配顺序
交换机
ACL子规则的硬件匹配顺序
S3026E系列、S3050C-48
同一个ACL配置了多个子规则时,硬件匹配顺序是后下发的子规则将会先匹配。
ACL直接下发到硬件的情况包括:
交换机实现QoS功能时引用ACL、通过ACL过滤转发数据等。
2.ACL被上层模块引用的情况
交换机也使用ACL来对由软件处理的报文进行过滤和流分类。
此时ACL子规则的匹配顺序有两种:
config(指定匹配该规则时按用户的配置顺序)和auto(指定匹配该规则时系统自动排序,即按“深度优先”的顺序)。
这种情况下用户可以在定义ACL的时候指定一条ACL中多个子规则的匹配顺序。
用户一旦指定某一条访问控制规则的匹配顺序,就不能再更改该顺序,除非把该规则的内容全部删除,再重新指定其匹配顺序。
ACL被上层模块引用的情况包括:
路由策略引用ACL、对登录用户进行控制时引用ACL等。
说明:
“深度优先”的原则是指:
把指定数据包范围最小的语句排在最前面。
这一点可以通过比较地址的通配符来实现,通配符越小,则指定的主机的范围就越小。
比如129.102.1.10.0.0.0指定了一台主机:
129.102.1.1,而129.102.1.10.0.255.255则指定了一个网段:
129.102.1.1~129.102.255.255。
显然前者在访问控制规则中排在前面。
具体标准为:
对于基本访问控制规则的语句,直接比较源地址通配符,通配符相同的则按配置顺序;
对于基于接口过滤的访问控制规则,配置了“any”的规则排在后面,其它按配置顺序;
对于高级访问控制规则,首先比较源地址通配符,相同的再比较目的地址通配符,仍相同的则比较端口号的范围,范围小的排在前面,如果端口号范围也相同则按配置顺序。
1.1.2以太网交换机支持的访问控制列表
在以太网交换机中,访问控制列表分为以下几类:
●基于数字标识的基本访问控制列表。
●基于名字标识的基本访问控制列表。
●基于数字标识的高级访问控制列表。
●基于名字标识的高级访问控制列表。
●基于数字标识的二层访问控制列表。
●基于名字标识的二层访问控制列表。
●基于数字标识的用户自定义型访问控制列表。
●基于名字标识的用户自定义型访问控制列表。
交换机上对各种访问控制列表的数目限制如下表所示:
表1-1访问控制列表的数量限制
项目
数字取值范围
最多可以定义的数量
基于数字标识的基本访问控制列表
1~99
99
基于数字标识的高级访问控制列表
100~199
100
基于数字标识的二层访问控制列表
200~299
基于数字标识的用户自定义型访问控制列表
300~399
基于名字标识的基本访问控制列表
-
1000
基于名字标识的高级访问控制列表
基于名字标识的二层访问控制列表
基于名字标识的用户自定义型访问控制列表
一条访问控制列表可以定义的子规则
0~127
128
交换机最多可以定义的子规则(所有访问控制列表的子规则之和)
3000
S3026只支持基本访问控制列表。
S3026的访问控制列表只可以用于被软件引用,如对telnet用户进行ACL控制等。
S3026F系列交换机包括S3026FM、S3026FS,它们支持基本、二层访问控制列表。
定义的访问控制列表可以用于硬件过滤报文,如包过滤、流量监管等,也可以用于被软件引用,如对telnet用户进行ACL控制等。
S3026E系列交换机包括S3026E、S3026EFM、S3026EFS。
S3026E系列、S3050C-48交换机支持所有的访问控制列表。
同时在S3026E上,所有的访问控制列表可以用于硬件过滤报文,如包过滤、流量监管等,也可以用于被软件引用,如对telnet用户进行ACL控制等。
1.2S3026的ACL配置
访问控制列表配置包括:
●配置时间段
●定义访问控制列表
●激活访问控制列表
以上三个步骤最好依次进行,先配置时间段,然后定义访问控制列表(在其中会引用定义好的时间段),最后激活访问控制列表,使其生效。
1.2.1时间段配置
对时间段的配置有如下内容:
配置每天的时分范围、周期范围和日期范围。
配置日期范围采用的是年、月、日、时、分的形式,配置周期范围采用的是每周的周几的形式,配置每天的时分范围采用的是每天的几点、几分的形式。
可以使用下面的命令来配置时间范围。
请在系统视图下进行下列配置。
表1-1创建时间范围
操作
命令
创建时间范围
time-rangetime-name[start-timetoend-time][days-of-the-week]
[fromstart-timestart-date][toend-timeend-date]
删除时间范围
undotime-rangetime-name[start-timetoend-time]
[days-of-the-week][fromstart-timestart-date][toend-time
end-date]
如果不配置起始时分和结束时分,时间范围就是一天内所有的时间。
如果不配置结束日期,时间范围就是从配置生效之日起到系统可以表示的最大时间为止。
1.2.2定义访问控制列表
华为系列交换机支持多种访问控制列表,下面分别介绍如何定义这些访问控制列表。
定义访问控制列表的步骤为:
(1)进入相应的访问控制列表视图
(2)定义访问控制列表的子规则
(1)如果定义ACL时不使用参数time-range,则此访问控制列表激活后将在任何时刻都生效。
(2)在定义ACL的子规则时,用户可以多次使用rule命令给同一个访问控制列表定义多条规则。
(3)如果ACL用于直接下发到硬件中对转发数据进行过滤和流分类,则用户定义的子规则匹配顺序将不起作用。
如果ACL用于对由软件处理的报文进行过滤和流分类,用户指定的匹配顺序将会有效,并且用户一旦指定某一条访问控制列表子规则的匹配顺序,就不能再更改该顺序。
(4)缺省情况下,访问控制列表中子规则的匹配顺序为按用户配置顺序(config)进行匹配。
2.定义基本访问控制列表
基本访问控制列表只根据三层源IP制定规则,对数据包进行相应的分析处理。
可以使用下面的命令来定义基本访问控制列表。
请在相应视图下进行下列配置。
表1-1定义基本访问控制列表
进入基本访问控制列表视图(系统视图)
acl{numberacl-number|nameacl-namebasic}[match-order{config|auto}]
定义子规则(基本访问控制列表视图)
rule[rule-id]{permit|deny}[sourcesource-addr
wildcard|any][fragment][time-rangename]
删除访问控制列表的一个子规则(基本访问控制列表视图)
undorulerule-id[source][fragment][time-range]
删除访问控制列表,或者删除全部访问控制列表(系统视图)
undoacl{numberacl-number|nameacl-name|all}
1.2.3访问控制列表显示和调试
在完成上述配置后,在所有视图下执行display命令都可以显示配置后访问控制列表的运行情况。
用户可以通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以将有关访问控制列表的统计信息清除。
表1-1访问控制列表的显示和调试
显示时间段状况。
displaytime-range[all|name]
显示访问控制列表的详细配置信息。
displayaclconfig{all|acl-number|acl-name}
清除访问控制列表的统计信息。
resetaclcounter{all|acl-number|acl-name}
具体的参数说明请参见命令手册。
1.3S3026F系列交换机的ACL配置
1.3.1时间段配置
1.3.2定义访问控制列表
说明:
3.定义高级访问控制列表
高级访问控制列表根据源IP、目的IP、使用的TCP或UDP端口号、报文优先级等数据包的属性信息制定分类规则,对数据包进行相应的处理。
高级访问控制列表支持对三种报文优先级的分析处理:
TOS(TypeOfService)优先级、IP优先级和DSCP优先级。
对于S3026FM、S3026FS、S3526、S3526FM、S3526FS交换机,在配置高级访问控制列表的时候有如下限制:
(1)用户在配置IP-any,any-IP,NET-any,any-NET的规则的时候,(即源地址为主机IP地址或网段地址,目的地址为任意IP地址的规则;
源地址为任意IP地址,目的地址为主机IP地址或网段地址的规则),不能配置协议类型(即rule命令中protocol参数)。
如果用户配置了协议类型,交换机会返回配置错误信息。
(2)不支持ToS优先级、DSCP优先级参数。
(3)支持rule命令中icmp-type参数,不支持后面的typecode参数。
注意:
基于数字表示的高级访问控制列表198、199号ACL是交换机预留给集群模块的。
如果交换机没有启动集群,用户可以对这两条访问控制列表进行配置和修改,但是此后如果用户在交换机上打开了集群特性,集群产生的访问控制列表将自动取代用户配置的访问控制列表。
如果交换机上已经启动了集群特性,将禁止用户进行配置和修改,但是用户可以在其它应用中引用198、199号ACL规则,也可以查看这两条规则。
可以使用下面的命令来定义高级访问控制列表。
表1-1定义高级访问控制列表
进入高级访问控制列表视图(系统视图)
acl{numberacl-number|nameacl-nameadvanced}[match-order{config|auto}]
定义子规则(高级访问控制列表视图)
rule[rule-id]{permit|deny}protocol[sourcesource-addrwildcard|any][destinationdest-addrwildcard|any][source-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-typetypecode][established][precedenceprecedence][tostos][dscpdscp][fragment][time-rangename]
删除访问控制列表的一个子规则(高级访问控制列表视图)
undorulerule-id[source][destination][source-port][destination-port][icmp-type][precedence][tos][dscp][fragment][time-range]
高级访问控制列表的数字标识取值范围为100~199。
需要注意的是,上面命令中的port1、port2参数指的是各种高层应用使用的TCP或者UDP的端口号,对于部分常见的端口号,可以用相应的助记符来代替其实际数字,如使用“bgp”来代替BGP协议使用的TCP端口号179。
4.定义二层访问控制列表
二层访问控制列表根据源MAC地址、源VLANID、二层协议类型、报文二层接收端口、报文二层转发端口、目的MAC地址等二层信息制定规则,对数据进行相应处理。
可以使用下面的命令来定义二层访问控制列表。
表1-1定义二层访问控制列表
进入二层访问控制列表视图(系统视图)
acl{numberacl-number|nameacl-namelink}
[match-order{config|auto}]
定义子规则(二层访问控制列表视图)
rule[rule-id]{permit|deny}[protocol][cosvlan-pri]
[ingress{[source-vlan-id][source-mac-addr
source-mac-wildcard][interface{interface-name|
interface-typeinterface-num}]|any}][egress
{[dest-mac-addrdest-mac-wildcard][interface
{interface-name|interface-typeinterface-num}]|any}]
[time-rangename]
删除访问控制列表的一个子规则(二层访问控制列表视图)
undorulerule-id
二层访问控制列表的数字标识取值范围为200~299。
1.3.3激活访问控制列表
将访问控制列表定义好后,必须激活之后才能使之生效。
本配置用来激活那些对交换机硬件转发的数据进行过滤或分类的访问控制列表。
可以使用下面的命令来激活定义好的访问控制列表。
表1-1激活ACL
激活访问控制列表
packet-filter{[ip-group{acl-number|acl-name}[rule