ESW2-350G交换机上基于IPv4的ACL和ACE配置

目标

访问控制列表(ACL)是过滤器和操作的有序列表。每个分类规则及其操作均称为访问控制元素(ACE)。 每个ACE都有各种流量组和关联操作。ACL可能包含一个或多个ACE，这些ACE与第3层传入的数据包进行比较或匹配。允许或拒绝操作与过滤器匹配。它可以定义为与IP协议、TCP或UDP流量的源和目标端口、TCP帧的标志值、ICMP和IGMP类型和代码、源和目标IP地址（包括通配符）或DSCP/IP优先级值匹配。

本文介绍如何在ESW2-350G交换机上创建基于IPv4的ACL和ACE。

注意：端口可以使用ACL进行保护，也可以使用高级QoS策略进行配置，但不能同时使用这两种策略。每个端口只能有一个ACL，但基于IPv4的ACL和基于IPv6的ACL都可能与单个端口关联。要将多个ACL与端口关联，必须使用具有一个或多个类映射的策略。

适用设备

· ESW2-350G
· ESW2-350G-DC

软件版本

•1.3.0.62

基于IPv4的ACL配置

步骤1.登录Web配置实用程序，然后选择Access Control > IPv4-Based ACL。将打开基于IPv4的ACL页面：

 

步骤2.单击Add添加新访问列表。

 

步骤3.在ACL Name字段中输入访问列表的名称。

步骤4.单击Apply，使基于IPv4的ACL写入运行配置文件。

步骤5.（可选）要访问基于IPv4的ACE表，请单击基于IPv4的ACE表。

基于IPv4的ACE配置

要将ACE添加到ACL，需要执行以下步骤：

步骤1.使用Web配置实用程序选择Access Control > IPv4-Based ACEs。将打开基于IPv4的ACE页面： 

步骤2.从下拉列表中选择ACL，然后单击Add。系统将显示Add IPv4-based ACE窗口：

步骤3.在Priority字段中输入ACE的优先级。首先处理最高优先级值。最高优先级为1。其范围为1到2147483647。

步骤4.从以下选项中点击所需的Action单选按钮： 

·允许 — 允许符合ACE条件的数据包。

·拒绝 — 丢弃符合ACE条件的数据包。

·关闭 — 丢弃符合ACE条件的数据包并禁用接收数据包的端口。可以从端口设置页面重新激活此类端口。

第5步。（可选）选中启用复选框，在时间范围字段中为ACE启用时间范围。

注意：必须创建时间范围，才能将其应用于ACE。要配置时间范围，请参阅ESW2-350G交换机上的时间范围配置文章。

步骤6.如果在步骤5中选中启用，请从时间范围下拉列表中选择要应用于ACE的时间范围。

步骤7.单击“编辑”转到“时间范围”页以编辑时间范围。此时将出现确认对话框关闭窗口：

注：要配置时间范围，请参阅ESW2-350G交换机上的时间范围配置文章。

第8步。（可选）单击确定以继续进入时间范围页。

步骤9.为所有路由网络协议配置了ACE中使用的协议，以便在数据包通过路由器时过滤数据包。从以下选项中单击所需的协议单选按钮：

   ·任意 — 选择任何基于IPv4的ACE协议。 

·从列表中选择 — 从下拉列表中选择任何协议。

·要匹配的协议ID — 用于将协议与ID匹配。TCP(6)、UDP(17)和ICMP(58)等不同协议的默认值，或者用户可以定义其中的任何值。

 

步骤10.在Source IP Address字段中，单击其中一个可用选项作为源IP地址：

·任意 — 此选项将访问规则应用于特定网段中可用的任何IP地址。

·用户定义 — 此选项允许您输入特定IP地址。

— 源IP地址值 — 在此字段中，输入源IP地址。

— 源IP通配符掩码 — 在此字段中，输入源IP地址的通配符掩码。通配符掩码允许您指定此访问列表应用到源IP地址的主机。

步骤11.在Destination IP Address字段中，点击一个可用选项作为目标IP地址：

·任意 — 此选项将访问规则应用于特定网段中可用的任何IP地址。

·用户定义 — 此选项允许您输入要应用访问规则的特定IP地址：

— 目标IP地址值 — 在此字段中，输入目标IP地址。

— 目标IP通配符掩码 — 在此字段中，输入目标IP地址的通配符掩码。通配符掩码允许您指定此访问列表应用于的目标IP地址的主机。

步骤12.仅当您从步骤5中选择TCP或UDP时，才会启用Source Port字段。单击其中一个可用选项的单选按钮以选择源端口：

·任意 — 此选项接受任何源端口。

· Single — 此选项允许您输入单个源端口值。

·范围 — 此选项允许您输入可用源端口范围。

步骤13.仅当您从步骤5中选择TCP或UDP时，才启用Destination Port字段。单击其中一个可用选项的单选按钮以选择目标端口：

·任意 — 此选项接受任何目标端口。

· Single — 此选项允许您输入单个目标端口值。

·范围 — 此选项允许您输入可用目标端口的范围。

 

步骤14.仅当您从步骤5中选择TCP时，才启用“TCP标志”字段。单击每个标志的单选按钮之一以确定如何过滤TCP标志值。设置为1或on、取消设置为0或off或不关心x。

· Urg — 此标志用于将传入数据标识为紧急。

·确认 — 此标志用于确认数据包的成功接收。

· Psh — 此标志用于确保数据获得优先级（它应得到的优先级）并在发送端或接收端进行处理。

· Rst — 当数据段到达时，不用于当前连接时，使用此标志。

· Syn — 此标志用于TCP通信。

· Fin — 当通信或数据传输完成时使用此标志。

步骤15.单击一种服务类型，即拥塞控制流量，在出现拥塞时，主机会回退该服务类型。

·任意 — 它可以是任何类型的流量拥塞服务。

·要匹配的DSCP — 选择此选项以将差分服务代码点(DSCP)作为服务类型实施。DSCP是一种对网络流量进行分类和管理的机制。输入要应用于访问规则的DSCP值。

·要匹配的IP优先级 — 为IPv6数据包设置首选项类型。与IP首选项值关联的关键字为0（例程）、1（优先级）、2（立即）、3（闪存）、4（闪存覆盖）、5（关键）、6（互联网）、7（网络）。输入要应用于访问规则的值。

 

步骤16. ICMP字段仅在您从步骤5中选择协议ICMP时启用。它用于在服务不可用或主机或路由器无法到达时发送错误消息。它还用于中继查询消息。单击其中一个可用单选按钮以过滤ICMP消息类型：

·任意 — 它可以是任何错误消息或查询消息。

·从列表中选择 — 从下拉列表中选择任何允许的控制消息。

                 ·要匹配的ICMP类型 — 用户必须输入0到255之间的范围才能匹配ICMP控制消息。

第17步。仅当您从第5步中选择协议ICMP时，ICMP代码才启用。它用于提供具有值的控制消息的更具体信息。单击以下一个可用选项：

·任意 — 它可以是与控制消息匹配的任意值。

·用户定义 — 输入要过滤的ICMP代码。该值从0到255的范围定义，以匹配控制消息。

第18步。仅当您从第5步中选择协议IGMP时，IGMP字段才启用。它管理网段上IP组播组中的主机成员。单击其中一个可用单选按钮以过滤IGMP消息类型：

·任意 — 它可以执行任何IGMP操作。

·从列表中选择 — 从下拉列表中选择任何协议。

- DVMRP — 它使用反向路径泛洪技术，通过每个接口（数据包到达的接口除外）将收到的数据包的副本发送出去。

- Host-Query — 定期在每个连接网络上发送常规主机查询消息以获取信息

- Host-Reply — 它对查询作出回复。

- PIM — 用于本地和远程组播路由器之间，将组播流量从组播服务器定向到多个组播客户端。

— 跟踪 — 提供有关加入和离开IGMP组播组的信息。

· IGMP类型匹配 — 它将IGMP协议与源和目标IP地址和掩码以及十进制数字的IGMP类型进行匹配。

步骤 19.单击Apply，使基于IPv4的ACE写入运行配置文件。

步骤20.（可选）单击基于IPv4的ACL表以转到基于IPv4的ACL页。