acl简介

ACL简介路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL（AccessControlList）定义的。访问控制列表是由permit|deny等语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类，这些规则应用到路由器或交换机接口上，它们根据这些规则判断哪些数据包可以接收，哪些数据包需要拒绝。一、Acl对已经识别出来的流分类可以执行七种操作;1.mirror-镜像：将识别出来的流量镜像一份到指定的端口，即流量的目的端口以及指定的mirror端口都能收到相同的流量。配置实例:access-liststandard5mirror2/3ethernetdmac11：22：33：22：11：22smac55：44：33：33：33：222.redirect-重定向：将识别出来的流量重定向至指定端口，即流量的目的端口不会收到，而指定的重定向端口能收到流量。配置实例：access-liststandard5redirect2/3ethernetdmac11：22：33：22：11：22smac55：44：33：33：33：223.trap-to-cpu：将识别出来的流量转发到cpu进行处理，查看时进后台先killnpd，再npd&，此时出现数据包的打印信息。配置实例：access-liststandard5trapethernetdmac11：22：33：22：11：22smac55：44：33：33：33：224.ingress-qos：配置基于acl的QOS入口初始化，基于源up，源dscp，如果这两位设置为none，则代表不关注，不修改相应的up，或者dscp。Qos-marker如果为disable时，表示入口引擎之后的其他markers无法修改qos属性配置实例：access-liststandard5ingress-qos5sub-qos-markersenablesource-upnonesource-dscp50（对入口报文的dscp修改为索引值为5的qosprofile中的dscp值，up值不做修改，且随后的其他的markers可以对Up，dscp进行修改）5.egress-qos:配置基于acl的QOS出口重新初始化，基于源up，源dscp。如果这两位设置为none，则代表不关注，不修改相应的up，或者dscp，则相应的egress-up和egress-dscp设置为任何位都不起作用。配置实例：access-liststandard5egress-qosegress-up4egress-dscp34source-upnonesource-dscp50（对于出口报文的dscp值修改为34，up不做修改）6.permit:允许识别出来的报文流量正常转发。配置实例：access-liststandard5permittcpdip10.1.1.5/32dst-port21sipanysrc-port10247.deny：拒绝识别出来的报文流量正常转发。配置实例：access-liststandard5denytcpdip10.1.1.5/32dst-port21sipanysrc-port1024二、ACLrule分为两种类型：标准以及扩展类型标准Acl能针对6种报文进行识别，分别是：1.IP报文：能对IP报文的源IP以及目的IP进行流分类。2.ICMP报文：能根据ICMP报文的源与目的IP以及type和code字段的值进行流分类。3.TCP报文：能根据TCP报文的源与目的IP以及源与目的端口号进行流分类。4.UDP报文：能根据UDP报文的源与目的IP以及源与目的端口号进行流分类。5.ARP报文：能根据ARP报文的源MAC地址，vid以及source-port进行流分类。6.Ethernet报文：能根据ethernet报文的源和目的MAC进行流分类。扩展Acl则能针对TCP和UDP报文进行更深层次的识别，它能根据TCP/UDP报文的源/目的IP，源/目的端口号，源/目的MAC，以及vid和source-port进行识别。三、ACL–group简介ACL-group，顾名思义，就是将多个rule绑定在一起成为一个acl组，Acl-group分为ingressacl-group和egressacl-group，分别应用在入接口和出接口。使用acl-rule的方法为，将access-list绑定在acl-group下，再将acl-group应用在端口或者vlan下，方可生效。Access-liststandarddenytcpdip10.1.1.5/32dst-port21sipanysrc-port1024Createingressacl-group1Configingressacl-group1Addaccess-list1ExitConfigeth1/15Ingressaccess-listenableBindingressacl-group1Exit注意：1.acl-group下可以绑定多个acl-rule，当流量匹配多个Acl-rule时，不会依次执行每个操作，会根据编号小的进行rule进行匹配并执行相应的操作。2.一个端口下只能下发一个acl-group，但是多个端口可以公用同一个acl-group。3.已经绑定在一个Acl-group中的acl-rule不能再绑定在其他的acl-group中。