QACL操作5.doc

上传人:sk****8 文档编号:3520496 上传时间:2019-06-01 格式:DOC 页数:44 大小:663KB
下载 相关 举报
QACL操作5.doc_第1页
第1页 / 共44页
QACL操作5.doc_第2页
第2页 / 共44页
QACL操作5.doc_第3页
第3页 / 共44页
QACL操作5.doc_第4页
第4页 / 共44页
QACL操作5.doc_第5页
第5页 / 共44页
点击查看更多>>
资源描述

1、1目 录目 录 .1第 1 章 ACL 配置 .31.1 访问控制列表简介 .31.1.1 访问控制列表概述 .31.1.2 以太网交换机支持的访问控制列表 .41.2 S3026 的 ACL 配置 .51.2.1 时间段配置 .51.2.2 定义访问控制列表 .61.2.3 访问控制列表显示和调试 .71.3 S3026 F 系列交换机的 ACL 配置 .71.3.1 时间段配置 .71.3.2 定义访问控制列表 .81.3.3 激活访问控制列表 .101.3.4 访问控制列表显示和调试 .121.4 S3026E 系列、S3050C-48 的 ACL 配置 .131.4.1 时间段配置 .

2、131.4.2 定义访问控制列表 .141.4.3 激活访问控制列表 .181.4.4 访问控制列表显示和调试 .181.5 S3026F 系列交换机访问控制列表典型配置案例 .191.5.1 基本访问控制列表配置案例 .191.5.2 二层访问控制列表配置案例 .201.6 S3026E 系列、S3050C-48 的访问控制列表典型配置案例 .211.6.1 高级访问控制列表配置案例 .211.6.2 基本访问控制列表配置案例 .221.6.3 二层访问控制列表配置案例 .231.6.4 用户自定义访问控制列表配置案例 .24第 2 章 QoS 配置 .12.1 QoS 简介 .12.2 S

3、3026 的 QoS 配置 .52.2.1 设置端口的优先级 .52.2.2 设置交换机信任报文的优先级 .62.2.3 设置高低优先级队列的报文的轮循处理比值 .62.2.4 QoS 的显示和调试 .72.2.5 QoS 配置举例 .72.3 S3026 F 系列以太网交换机的 QoS 配置 .82.3.1 设置端口的优先级 .1022.3.2 设置交换机信任报文的优先级 .102.3.3 优先级标记配置 .112.3.4 队列调度配置 .112.3.5 流镜像配置 .122.3.6 流量统计配置 .132.3.7 QoS 的显示和调试 .132.4 S3026E 系列、S3050C-48

4、以太网交换机的 QoS 配置 .142.4.1 设置端口的优先级 .142.4.2 设置交换机信任报文的优先级 .152.4.3 流量监管 .152.4.4 端口限速 .162.4.5 报文重定向配置 .162.4.6 优先级标记配置 .172.4.7 队列调度配置 .182.4.8 流镜像配置 .192.4.9 端口镜像配置 .192.4.10 流量统计配置 .202.4.11 QoS 的显示和调试 .212.5 S3026 F 系列交换机的 QoS 配置实例 .222.5.1 流镜像配置实例 .222.5.2 优先级标记和队列调度配置实例 .232.6 S3026E 系列、S3050C-4

5、8 的 QoS 配置实例 .242.6.1 流量监管和端口限速配置实例 .242.6.2 流镜像配置实例 .252.6.3 优先级标记配置实例 .262.6.4 报文重定向配置实例 .262.6.5 队列调度配置实例 .272.6.6 流量统计实例 .28第 3 章 配置登录用户的 ACL 控制 .303.1 简介 .303.2 配置对 TELNET 用户的 ACL 控制 .303.2.1 定义访问控制列表 .303.2.2 引用访问控制列表,对 TELNET 用户进行控制 .313.2.3 配置举例 .313.3 对通过 SNMP 访问交换机的用户的 ACL 控制 .323.3.1 定义访问

6、控制列表 .323.3.2 引用访问控制列表,对通过 SNMP 访问交换机的用户进行控制 .323.3.3 配置举例 .333.4 对通过 HTTP 访问交换机的用户的 ACL 控制 .343.4.1 定义访问控制列表 .343.4.2 引用访问控制列表,对通过 HTTP 访问交换机的用户进行控制 .353.4.3 配置举例 .353第 1 章 ACL 配置1.1 访问控制列表简介1.1.1 访问控制列表概述网络设备为了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的对象。在识别出特定的对象之后,才能根据预先设定的策略允许或禁止相应的数据包通过。访问控制列表(Access Control

7、 List,ACL)就是用来实现这些功能。ACL 通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。ACL 应用在交换机全局或端口,交换机根据 ACL 中指定的条件来检测数据包,从而决定是转发还是丢弃该数据包。由 ACL 定义的数据包匹配规则,还可以被其它需要对流量进行区分的场合引用,如 QoS 中流分类规则的定义。一条访问控制规则可以由多条子规则组成,而每一条语句指定的数据包的范围大小有别,在匹配一个访问控制规则的时候就存在匹配顺序的问题。1. ACL 直接下发到硬件中的情况交换机中 ACL 可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类。

8、此时一条 ACL 中多个子规则的匹配顺序是由交换机的硬件决定的,用户即使在定义 ACL 时配置了匹配顺序也不起作用。由于芯片不同,各款交换机的子规则硬件匹配顺序不同。具体描述见下表。表 1-1 交换机 ACL 子规则的硬件匹配顺序交换机 ACL 子规则的硬件匹配顺序S3026E 系列、S3050C-48同一个 ACL 配置了多个子规则时,硬件匹配顺序是后下发的子规则将会先匹配。ACL 直接下发到硬件的情况包括:交换机实现 QoS 功能时引用 ACL、通过 ACL 过滤转发数据等。2. ACL 被上层模块引用的情况交换机也使用 ACL 来对由软件处理的报文进行过滤和流分类。此时ACL 子规则的匹

9、配顺序有两种:config (指定匹配该规则时按用户的配置顺序)和 auto(指定匹配该规则时系统自动排序,即按“深度优先”的顺序)。这种情况下用户可以在定义 ACL 的时候指定一条 ACL 中多个子规则的匹配顺序。用户一旦指定某一条访问控制规则的匹配顺序,就不能再更改该顺序,除非把该规则的内容全部删除,再重新指定其匹配顺序。ACL 被上层模块引用的情况包括:路由策略引用 ACL、对登录用户进行控制时引用 ACL 等。 说明:“深度优先”的原则是指:把指定数据包范围最小的语句排在最前面。这一点可以通过比较地址的通配符来实现,通配符越小,则指定的主机的范围就越小。比如 129.102.1.1 0

10、.0.0.0 指定了一台主机:129.102.1.1,而 129.102.1.1 0.0.255.255 则指定了一个网段:129.102.1.1129.102.255.255。 显然前者在访问控制规则 中排在前面。具体标准为:对于基本访问控制规则的语句,直接比 较源地址通配符,通配符相同的则按配置顺序;对于基于接口过滤的访问控制规则,配置了 “any”的规则排在后面,其它按配置顺序;对于高级访问控制规则,首先比较源地址通配符,相同的再比较目的地址通配符,仍相同的则比较端口号的范围,范围小的排在前面,如果端口号范 围也相同则按配置 顺序。41.1.2 以太网交换机支持的访问控制列表在以太网交换

11、机中,访问控制列表分为以下几类: 基于数字标识的基本访问控制列表。 基于名字标识的基本访问控制列表。 基于数字标识的高级访问控制列表。 基于名字标识的高级访问控制列表。 基于数字标识的二层访问控制列表。 基于名字标识的二层访问控制列表。 基于数字标识的用户自定义型访问控制列表。 基于名字标识的用户自定义型访问控制列表。交换机上对各种访问控制列表的数目限制如下表所示:表 1-2 访问控制列表的数量限制项目 数字取值范围 最多可以定义的数量基于数字标识的基本访问控制列表 199 99基于数字标识的高级访问控制列表 100 199 100基于数字标识的二层访问控制列表 200 299 100基于数字

12、标识的用户自定义型访问控制列表 300 399 100基于名字标识的基本访问控制列表 1000基于名字标识的高级访问控制列表 1000基于名字标识的二层访问控制列表 1000基于名字标识的用户自定义型访问控制列表 1000一条访问控制列表可以定义的子规则 0127 128交换机最多可以定义的子规则(所有访问控制列表的子规则之和) 3000 说明:S3026 只支持基本访问控制列表。 S3026 的访问控制列表只可以用于被 软件引用,如 对telnet 用户进行 ACL 控制等。S3026 F 系列交换机包括 S3026 FM、S3026 FS,它们支持基本、二层访问控制列表。定 义的访问控制列

13、表可以用于硬件过滤报文,如包 过滤、流量 监 管等,也可以用于被软件引用,如对 telnet 用户进 行 ACL 控制等。S3026E 系列交 换机包括 S3026E、S3026E FM、S3026E FS。S3026E 系列、S3050C-48交换机支持所有的访问控制列表。同 时在 S3026E 上,所有的访问控制列表可以用于硬件过滤报文,如包过滤、流量监管等,也可以用于被软件引用,如对 telnet 用户进行 ACL 控制等。1.2 S3026 的 ACL 配置访问控制列表配置包括: 配置时间段 定义访问控制列表 激活访问控制列表以上三个步骤最好依次进行,先配置时间段,然后定义访问控制列表

14、(在其中会引用定义好的时间段),最后激活访问控制列表,使其生效。1.2.1 时间段配置对时间段的配置有如下内容:配置每天的时分范围、周期范围和日期范围。配置日期范围采用的是年、月、日、时、分的形式,配置周期范围5采用的是每周的周几的形式,配置每天的时分范围采用的是每天的几点、几分的形式。可以使用下面的命令来配置时间范围。请在系统视图下进行下列配置。表 1-3 创建时间范围操作 命令创建时间范围time-range time-name start-time to end-time days-of-the-week from start-time start-date to end-time en

15、d-date 删除时间范围undo time-range time-name start-time to end-time days-of-the-week from start-time start-date to end-time end-date 如果不配置起始时分和结束时分,时间范围就是一天内所有的时间。如果不配置结束日期,时间范围就是从配置生效之日起到系统可以表示的最大时间为止。1.2.2 定义访问控制列表华为系列交换机支持多种访问控制列表,下面分别介绍如何定义这些访问控制列表。定义访问控制列表的步骤为:(1) 进入相应的访问控制列表视图(2) 定义访问控制列表的子规则 说明:(1)

16、 如果定义 ACL 时不使用参数 time-range,则此访问控制列表激活后将在任何时刻都生效。(2) 在定 义 ACL 的子规则时,用户可以多次使用 rule 命令给同一个访问控制列表定义多条规则。(3) 如果 ACL 用于直接下发到硬件中对转发数据进行过滤和流分类,则用户定义的子规则匹配顺序将不起作用。如果 ACL 用于对由软件处理的报文进行过滤和流分类,用 户指定的匹配顺序将会有效,并且用户 一旦指定某一条访问控制列表子 规则的匹配顺序,就不能再更改该顺序。(4) 缺省情况下,访问控制列表中子规则的匹配顺序为按用户配置顺序(config)进行匹配。2. 定义基本访问控制列表基本访问控制

17、列表只根据三层源 IP 制定规则,对数据包进行相应的分析处理。可以使用下面的命令来定义基本访问控制列表。请在相应视图下进行下列配置。表 1-4 定义基本访问控制列表操作 命令进入基本访问控制列表视图(系统视图)acl number acl-number | name acl-name basic match-order config | auto 定义子规则(基本访问控制列表视图)rule rule-id permit | deny source source-addr wildcard | any fragment time-range name 删除访问控制列表的一个子规则(基本访问控制列

18、表视图)undo rule rule-id source fragment time-range 删除访问控制列表,或者删除全部访问控制列表(系统视图)undo acl number acl-number | name acl-name | all 61.2.3 访问控制列表显示和调试在完成上述配置后,在所有视图下执行 display 命令都可以显示配置后访问控制列表的运行情况。用户可以通过查看显示信息验证配置的效果。在用户视图下执行 reset 命令可以将有关访问控制列表的统计信息清除。表 1-5 访问控制列表的显示和调试操作 命令显示时间段状况。 display time-range al

19、l | name 显示访问控制列表的详细配置信息。display acl config all | acl-number | acl-name 清除访问控制列表的统计信息。 reset acl counter all | acl-number | acl-name 具体的参数说明请参见命令手册。1.3 S3026 F 系列交换机的 ACL 配置访问控制列表配置包括: 配置时间段 定义访问控制列表 激活访问控制列表以上三个步骤最好依次进行,先配置时间段,然后定义访问控制列表(在其中会引用定义好的时间段),最后激活访问控制列表,使其生效。1.3.1 时间段配置对时间段的配置有如下内容:配置每天的时

20、分范围、周期范围和日期范围。配置日期范围采用的是年、月、日、时、分的形式,配置周期范围采用的是每周的周几的形式,配置每天的时分范围采用的是每天的几点、几分的形式。可以使用下面的命令来配置时间范围。请在系统视图下进行下列配置。表 1-6 创建时间范围操作 命令创建时间范围time-range time-name start-time to end-time days-of-the-week from start-time start-date to end-time end-date 删除时间范围undo time-range time-name start-time to end-time d

21、ays-of-the-week from start-time start-date to end-time end-date 如果不配置起始时分和结束时分,时间范围就是一天内所有的时间。如果不配置结束日期,时间范围就是从配置生效之日起到系统可以表示的最大时间为止。1.3.2 定义访问控制列表华为系列交换机支持多种访问控制列表,下面分别介绍如何定义这些访问控制列表。定义访问控制列表的步骤为:(1) 进入相应的访问控制列表视图(2) 定义访问控制列表的子规则 说明:(1) 如果定义 ACL 时不使用参数 time-range,则此访问控制列表激活后将在任何时刻都生效。7(2) 在定 义 ACL

22、的子规则时,用户可以多次使用 rule 命令给同一个访问控制列表定义多条规则。(3) 如果 ACL 用于直接下发到硬件中对转发数据进行过滤和流分类,则用户定义的子规则匹配顺序将不起作用。如果 ACL 用于对由软件处理的报文进行过滤和流分类,用 户指定的匹配顺序将会有效,并且用户 一旦指定某一条访问控制列表子 规则的匹配顺序,就不能再更改该顺序。(4) 缺省情况下,访问控制列表中子规则的匹配顺序为按用户配置顺序(config)进行匹配。1. 定义基本访问控制列表基本访问控制列表只根据三层源 IP 制定规则,对数据包进行相应的分析处理。可以使用下面的命令来定义基本访问控制列表。请在相应视图下进行下

23、列配置。表 1-7 定义基本访问控制列表操作 命令进入基本访问控制列表视图(系统视图)acl number acl-number | name acl-name basic match-order config | auto 定义子规则(基本访问控制列表视图)rule rule-id permit | deny source source-addr wildcard | any fragment time-range name 删除访问控制列表的一个子规则(基本访问控制列表视图)undo rule rule-id source fragment time-range 删除访问控制列表,或者删除

24、全部访问控制列表(系统视图)undo acl number acl-number | name acl-name | all 1. 定义高级访问控制列表高级访问控制列表根据源 IP、目的 IP、使用的 TCP 或 UDP 端口号、报文优先级等数据包的属性信息制定分类规则,对数据包进行相应的处理。高级访问控制列表支持对三种报文优先级的分析处理:TOS(Type Of Service)优先级、 IP 优先级和 DSCP 优先级。 说明:对于 S3026 FM、S3026 FS、S3526、S3526 FM、S3526 FS 交换机,在配置高 级访问控制列表的时候有如下限制:(1) 用户在配置 IP-any,any-IP,NET-any,any-NET 的规则的时候,(即源地址为主机 IP 地址或网段地址,目的地址为任意 IP 地址的规则;源地址为 任意 IP 地址,目的地址为主机 IP地址或网段地址的规则),不能配置 协议类型(即 rule 命令中 protocol 参数)。如果用 户配置了协议类型,交换机会返回配置 错误信息。(2)

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 实用文档资料库 > 策划方案

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。