访问控制列表-细说ACL那些事儿(ACL应用篇)

文档名称文档密级2019-12-16华为保密信息,未经授权禁止扩散第1页,共13页访问控制列表-细说ACL那些事儿（ACL应用篇）铛铛铛铛铛，小伙伴们，小编又跟大家见面了！今天小编继续给大家说说ACL那些事儿，但不再是说ACL的基本概念，也不再说抽象的ACL理论。这一期，小编将给大家呈现丰富多彩的ACL应用，为大家讲解各个业务模块应用ACL时的处理机制差异、应用方式差异，并且带领大家一起动手配置真实的ACL应用案例。1ACL应用范围通过前两期的ACL理论学习，大家知道ACL并不能单独完成控制网络访问行为或者限制网络流量的效果，而是需要应用到具体的业务模块才能实现上述功能。那么ACL到底可以应用在哪些业务中呢？小编总结了一下，ACL应用的业务模块非常多，但主要分为以下四类：业务分类应用场景涉及业务模块登录控制对交换机的登录权限进行控制，允许合法用户登录，拒绝非法用户登录，从而有效防止未经授权用户的非法接入，保证网络安全性。例如，一般情况下交换机只允许管理员登录，非管理员用户不允许随意登录。这时就可以在Telnet中应用ACL，并在ACL中定义哪些主机可以登录，哪些主机不能。Telnet、SNMP、FTP、TFTP、SFTP、HTTP对转发的报文进行过滤对转发的报文进行过滤，从而使交换机能够进一步对过滤出的报文进行丢弃、修改优先级、重定向、IPSEC保护等处理。例如，可以利用ACL，降低P2P下载、网络视频等消耗大量带宽的数据流的服务等级，在网络拥塞时优先丢弃这类流量，减少它们对其他重要流量的影响。QoS流策略、NAT、IPSEC对上送CPU处理的报文进行过滤对上送CPU的报文进行必要的限制，可以避免CPU处理过多的协议报文造成占用率过高、性能下降。黑名单、白名单、用户自定义流文档名称文档密级2019-12-16华为保密信息,未经授权禁止扩散第2页,共13页例如，发现某用户向交换机发送大量的ARP攻击报文，造成交换机CPU繁忙，引发系统中断。这时就可以在本机防攻击策略的黑名单中应用ACL，将该用户加入黑名单，使CPU丢弃该用户发送的报文。路由过滤ACL可以应用在各种动态路由协议中，对路由协议发布和接收的路由信息进行过滤。例如，可以将ACL和路由策略配合使用，禁止交换机将某网段路由发给邻居路由器。BGP、IS-IS、OSPF、OSPFv3、RIP、RIPng、组播协议2ACL业务模块的处理机制各类ACL应用的业务模块对命中/未命中ACL的处理机制是各不相同的。例如，在流策略中应用ACL时，如果ACL中存在规则但报文未匹配上，该报文仍可以正常通过；但在Telnet中应用ACL，这种情况下，该报文就无法正常通过了。再如，在黑名单中应用ACL时，无论ACL规则配置成permit还是deny，只要报文命中了规则，该报文都会被系统丢弃，其他模块却不存在这种情况。所以，大家在配置ACL规则并应用到业务模块中时，一定要格外小心。为了方便大家查阅，小编特地将常用ACL业务模块的处理机制进行了整理。业务模块匹配上了permit规则匹配上了deny规则ACL中配置了规则，但未匹配上任何规则ACL中没有配置规则ACL未创建Telnetpermit（允许登录）deny（拒绝登录）deny（拒绝登录）permit（允许登录）permit（允许登录）HTTPpermit（允许登录）deny（拒绝登录）deny（拒绝登录）permit（允许登录）permit（允许登录）SNMPpermit（允许登录）deny（拒绝登录）deny（拒绝登录）permit（允许登录）permit（允许登录）FTPpermit（允许登录）deny（拒绝登录）deny（拒绝登录）permit（允许登录）permit（允许登录）TFTPpermit（允许登录）deny（拒绝登录）deny（拒绝登录）permit（允许登录）permit（允许登录）SFTPpermit（允许deny（拒绝deny（拒绝登录）permit（允许登录）permit（允许登文档名称文档密级2019-12-16华为保密信息,未经授权禁止扩散第3页,共13页登录）登录）录）流策略流行为是permit时:permit（允许通过）流行为是deny时：deny（丢弃报文）deny(丢弃报文)permit（功能不生效，按照原转发方式进行转发）permit（功能不生效，按照原转发方式进行转发）permit（功能不生效，按照原转发方式进行转发）NATpermit(进行NAT转换)permit（功能不生效，按照原转发方式进行转发）permit（功能不生效，按照原转发方式进行转发）permit（功能不生效，按照原转发方式进行转发）permit（功能不生效，按照原转发方式进行转发）IPSECpermit(数据流经过IPSec处理后再转发)不允许出现此情况permit（功能不生效，按照原转发方式进行转发）不允许出现此情况不允许出现此情况本机防攻击策略白名单permit(CPU优先处理)deny(丢弃报文)permit（功能不生效，正常上送报文）permit（功能不生效，正常上送报文）permit（功能不生效，正常上送报文）黑名单deny(丢弃报文)deny(丢弃报文)permit（功能不生效，正常上送报文）permit（功能不生效，正常上送报文）permit（功能不生效，正常上送报文）用户自定义流用户自定义流的处理动作是deny时：deny(丢弃报文)动作是car时：permit(进行CAR限速)deny(丢弃报文)permit（功能不生效，按照原转发方式进行转发）permit（功能不生效，正常上送报文）permit（功能不生效，正常上送报文）路由RoutePolicy匹配模式是permit时：permit(允许执行路由策略)匹配模式是deny时：deny(不允许执行路由策略)deny（功能不生效，不允许执行路由策略）deny（功能不生效，不允许执行路由策略）permit（对经过的所有路由生效）deny（功能不生效，不允许执行路由策略）FilterPolicypermit（允许发布或接收deny（不允许发布或接deny（不允许发布或接收该路由）deny（不允许发布或接收路由）permit（允许发布或接收路由）文档名称文档密级2019-12-16华为保密信息,未经授权禁止扩散第4页,共13页该路由）收该路由）组播igmp-snoopingssm-policypermit(允许加入SSM组播组范围)deny(禁止加入SSM组地址范围)deny(禁止加入SSM组地址范围)deny（禁止加入SSM组地址范围，所有组都不在SSM组地址范围内）deny(禁止加入SSM组地址范围，只有临时组地址范围232.0.0.0～232.255.255.255在SSM组地址范围内)igmp-snoopinggroup-policy配置了default-permit时：permit(允许加入组播组)未配置default-permit：permit(允许加入组播组)配置了default-permit时：deny(禁止加入组播组)未配置default-permit：deny(禁止加入组播组)配置了default-permit时：permit（允许加入组播组）未配置default-permit：deny（禁止加入组播组）配置了default-permit时：permit（允许加入组播组）未配置default-permit：deny（禁止加入组播组）配置了default-permit时：permit（允许加入组播组）未配置default-permit：deny（禁止加入组播组）3ACL应用方式每个业务模块的ACL应用方式，风格也是各不相同。为此，小编同样进行了一番整理，供大家参考查阅。业务模块ACL应用方式可使用的ACL编号范围Telnet方式一：系统视图下执行命令telnet[ipv6]serveraclacl-number方式二：a、执行命令user-interfacevtyfirst-ui-number[last-ui-number]，进入VTY用户界面视图b、执行命令acl[ipv6]acl-number{inbound|outbound}2000～3999HTTP系统视图下执行命令httpaclacl-number2000～3999SNMPSNMPv1和SNMPv2c：2000～2999文档名称文档密级2019-12-16华为保密信息,未经授权禁止扩散第5页,共13页系统视图下执行命令snmp-agentaclacl-number或snmp-agentcommunity{read|write}{community-name|ciphercommunity-name}[mib-viewview-name|aclacl-number]*SNMPv3：系统视图下执行命令snmp-agentaclacl-number、snmp-agentgroupv3group-name{authentication|privacy|noauthentication}[read-viewread-view|write-viewwrite-view|notify-viewnotify-view]*[aclacl-number]或snmp-agentusm-userv3user-name[groupgroup-name|aclacl-number]*FTP系统视图下执行命令ftp[ipv6]aclacl-number2000～3999TFTP系统视图下执行命令tftp-server[ipv6]aclacl-number2000～3999SFTP方式一：系统视图下执行命令ssh[ipv6]serveraclacl-number方式二：a、执行命令user-interfacevtyfirst-ui-number[last-ui-number]，进入VTY用户界面视图b、执行命令acl[ipv6]acl-number{inbound|outbound}2000～3999流策略a、系统视图下执行命令trafficclassifierclassifier-name[operator{and|or}][precedenceprecedence-value]，进入流分类视图。b、执行命令if-matchacl{acl-number|acl-name}，配置ACL应用于流分类。c、系统视图下执行命令trafficbehaviorbehavior–name，定义流行为并进入流行为视图。d、配置流动作。报文过滤有两种流动作：deny或permit。e、系统视图下执行命令trafficpolicypolicy-name[match-order{auto|config}]，ACL：2000～5999ACL6：2000～3999文档名称文档密级2019-12-16华为保密信息,未经授权禁止扩散第6页,共13页定义流策略并进入流策略视图。f、执行命令classifierclassifier-namebehaviorbehavior-name，在流策略中为指定的流分类配置所需流行为，即绑定流分类和流行为。在系统视图、接口视图或VLAN视图下，执行命令traffic-policypolicy-name{inbound|outbound}，应用流策略。NAT方式一：a、系统视图下执行命令nataddress-groupgroup-indexstart-addressend-address，配置公网地址池。b、执行命令interfaceinterface-typeinterface-number.subnumber，进入子接口视图。c、执行命令natoutboundacl-numberaddress-groupgroup-index[no-pat]，，配置带地址池的NATOutbound。方式二：a、系统视图下执行命令interfaceinterface-typeinterface-number.subnu