访问控制列表(ACL)是过滤器和操作的有序列表。每个分类规则及其操作均称为访问控制元素(ACE)。 每个ACE都有各种流量组和关联操作。ACL可能包含一个或多个ACE,这些ACE与第3层传入的数据包进行比较或匹配。允许或拒绝操作与过滤器匹配。它可以定义为与IP协议、TCP或UDP流量的源和目标端口、TCP帧的标志值、ICMP和IGMP类型和代码、源和目标IP地址(包括通配符)或DSCP/IP优先级值匹配。
本文介绍如何在ESW2-350G交换机上创建基于IPv4的ACL和ACE。
注意:端口可以使用ACL进行保护,也可以使用高级QoS策略进行配置,但不能同时使用这两种策略。每个端口只能有一个ACL,但基于IPv4的ACL和基于IPv6的ACL都可能与单个端口关联。要将多个ACL与端口关联,必须使用具有一个或多个类映射的策略。
· ESW2-350G
· ESW2-350G-DC
•1.3.0.62
步骤1.登录Web配置实用程序,然后选择Access Control > IPv4-Based ACL。将打开基于IPv4的ACL页面:
步骤2.单击Add添加新访问列表。
步骤3.在ACL Name字段中输入访问列表的名称。
步骤4.单击Apply,使基于IPv4的ACL写入运行配置文件。
步骤5.(可选)要访问基于IPv4的ACE表,请单击基于IPv4的ACE表。
要将ACE添加到ACL,需要执行以下步骤:
步骤1.使用Web配置实用程序选择Access Control > IPv4-Based ACEs。将打开基于IPv4的ACE页面:
步骤2.从下拉列表中选择ACL,然后单击Add。系统将显示Add IPv4-based ACE窗口:
步骤3.在Priority字段中输入ACE的优先级。首先处理最高优先级值。最高优先级为1。其范围为1到2147483647。
步骤4.从以下选项中点击所需的Action单选按钮:
·允许 — 允许符合ACE条件的数据包。
·拒绝 — 丢弃符合ACE条件的数据包。
·关闭 — 丢弃符合ACE条件的数据包并禁用接收数据包的端口。可以从端口设置页面重新激活此类端口。
第5步。(可选)选中启用复选框,在时间范围字段中为ACE启用时间范围。
注意:必须创建时间范围,才能将其应用于ACE。要配置时间范围,请参阅ESW2-350G交换机上的时间范围配置文章。
步骤6.如果在步骤5中选中启用,请从时间范围下拉列表中选择要应用于ACE的时间范围。
步骤7.单击“编辑”转到“时间范围”页以编辑时间范围。此时将出现确认对话框关闭窗口:
注:要配置时间范围,请参阅ESW2-350G交换机上的时间范围配置文章。
第8步。(可选)单击确定以继续进入时间范围页。
步骤9.为所有路由网络协议配置了ACE中使用的协议,以便在数据包通过路由器时过滤数据包。从以下选项中单击所需的协议单选按钮:
·任意 — 选择任何基于IPv4的ACE协议。
·从列表中选择 — 从下拉列表中选择任何协议。
·要匹配的协议ID — 用于将协议与ID匹配。TCP(6)、UDP(17)和ICMP(58)等不同协议的默认值,或者用户可以定义其中的任何值。
步骤10.在Source IP Address字段中,单击其中一个可用选项作为源IP地址:
·任意 — 此选项将访问规则应用于特定网段中可用的任何IP地址。
·用户定义 — 此选项允许您输入特定IP地址。
— 源IP地址值 — 在此字段中,输入源IP地址。
— 源IP通配符掩码 — 在此字段中,输入源IP地址的通配符掩码。通配符掩码允许您指定此访问列表应用到源IP地址的主机。
步骤11.在Destination IP Address字段中,点击一个可用选项作为目标IP地址:
·任意 — 此选项将访问规则应用于特定网段中可用的任何IP地址。
·用户定义 — 此选项允许您输入要应用访问规则的特定IP地址:
— 目标IP地址值 — 在此字段中,输入目标IP地址。
— 目标IP通配符掩码 — 在此字段中,输入目标IP地址的通配符掩码。通配符掩码允许您指定此访问列表应用于的目标IP地址的主机。
步骤12.仅当您从步骤5中选择TCP或UDP时,才会启用Source Port字段。单击其中一个可用选项的单选按钮以选择源端口:
·任意 — 此选项接受任何源端口。
· Single — 此选项允许您输入单个源端口值。
·范围 — 此选项允许您输入可用源端口范围。
步骤13.仅当您从步骤5中选择TCP或UDP时,才启用Destination Port字段。单击其中一个可用选项的单选按钮以选择目标端口:
·任意 — 此选项接受任何目标端口。
· Single — 此选项允许您输入单个目标端口值。
·范围 — 此选项允许您输入可用目标端口的范围。
步骤14.仅当您从步骤5中选择TCP时,才启用“TCP标志”字段。单击每个标志的单选按钮之一以确定如何过滤TCP标志值。设置为1或on、取消设置为0或off或不关心x。
· Urg — 此标志用于将传入数据标识为紧急。
·确认 — 此标志用于确认数据包的成功接收。
· Psh — 此标志用于确保数据获得优先级(它应得到的优先级)并在发送端或接收端进行处理。
· Rst — 当数据段到达时,不用于当前连接时,使用此标志。
· Syn — 此标志用于TCP通信。
· Fin — 当通信或数据传输完成时使用此标志。
步骤15.单击一种服务类型,即拥塞控制流量,在出现拥塞时,主机会回退该服务类型。
·任意 — 它可以是任何类型的流量拥塞服务。
·要匹配的DSCP — 选择此选项以将差分服务代码点(DSCP)作为服务类型实施。DSCP是一种对网络流量进行分类和管理的机制。输入要应用于访问规则的DSCP值。
·要匹配的IP优先级 — 为IPv6数据包设置首选项类型。与IP首选项值关联的关键字为0(例程)、1(优先级)、2(立即)、3(闪存)、4(闪存覆盖)、5(关键)、6(互联网)、7(网络)。输入要应用于访问规则的值。
步骤16. ICMP字段仅在您从步骤5中选择协议ICMP时启用。它用于在服务不可用或主机或路由器无法到达时发送错误消息。它还用于中继查询消息。单击其中一个可用单选按钮以过滤ICMP消息类型:
·任意 — 它可以是任何错误消息或查询消息。
·从列表中选择 — 从下拉列表中选择任何允许的控制消息。
·要匹配的ICMP类型 — 用户必须输入0到255之间的范围才能匹配ICMP控制消息。
第17步。仅当您从第5步中选择协议ICMP时,ICMP代码才启用。它用于提供具有值的控制消息的更具体信息。单击以下一个可用选项:
·任意 — 它可以是与控制消息匹配的任意值。
·用户定义 — 输入要过滤的ICMP代码。该值从0到255的范围定义,以匹配控制消息。
第18步。仅当您从第5步中选择协议IGMP时,IGMP字段才启用。它管理网段上IP组播组中的主机成员。单击其中一个可用单选按钮以过滤IGMP消息类型:
·任意 — 它可以执行任何IGMP操作。
·从列表中选择 — 从下拉列表中选择任何协议。
- DVMRP — 它使用反向路径泛洪技术,通过每个接口(数据包到达的接口除外)将收到的数据包的副本发送出去。
- Host-Query — 定期在每个连接网络上发送常规主机查询消息以获取信息
- Host-Reply — 它对查询作出回复。
- PIM — 用于本地和远程组播路由器之间,将组播流量从组播服务器定向到多个组播客户端。
— 跟踪 — 提供有关加入和离开IGMP组播组的信息。
· IGMP类型匹配 — 它将IGMP协议与源和目标IP地址和掩码以及十进制数字的IGMP类型进行匹配。
步骤 19.单击Apply,使基于IPv4的ACE写入运行配置文件。
步骤20.(可选)单击基于IPv4的ACL表以转到基于IPv4的ACL页。