访问控制列表 ACL 提供了对下列帧的过滤功能, IPV4 帧(基于地址,协议,四层协议端口号和 TCP 控制码), 任意帧(基于 MAC 地址或者以太网类型)。 配置报文的过滤,首先创建访问表,然后添加规则,最后把访问表绑定在特定端口上。
配置访问控制表 -
ACL 是一个对于 IP 地址, MAC 地址,或者其他标准允许或者拒绝的序列表。交换机一个接一个尝试 ACL 中的规则, 如果报文符合 permit 规则,将会被接受,如果符合 deny 规则,将会被丢弃,如果没有符合任何规则报文被接受。
使用 安全 > ACL (配置 ACL - 显示 TCAM) 页面显示 TCAM (三态内容寻址存储器)的利用率参数,包括已用策略控制表, 空闲策略控制表, TCAM 的已用百分比。
命令用法
基于规则查找的策略控制表项 ( PCE ), 用于多个系统功能,包括访问控制表 ( ACL ),源 IP 防护过滤表,服务质量处理 (QoS), QinQ,MAC-based VLANs 和 trap 。
比如,在一个端口绑定一条 ACL ,每个 ACL 的规则都会用到两个 PCE 。在端口上设置一个源 IP 防护过滤规则,系统也会用到两条 PCE 。
命令属性
TCAM列表中显示的进程的缩写。
堆栈单元标识符。
用于指定池的内存芯片。
规则片(或呼叫组)。 每个切片具有用于指定特征的固定数量的规则。
分配给每个池的策略控制条目的最大数量。
操作系统使用的策略控制条目的数量。
可供使用的策略控制条目的数量。
分配给每个池的进程。
使用 安全 > ACL (配置 ACL - 添加) 页面创建 ACL。
ACL 名字。(最大长度: 32 字符)
支持的过滤类型如下:
基于 IPv4 源地址的 ACL 报文过滤模式。
基于 IPv4 源地址,目的地址,还有协议类型,协议端口号的 ACL 报文过滤模式。 如果选择了 TCP 协议,可以基于 TCP 的控制码过滤报文。
IPv6 ACL 模式过滤基于源IPv6 地址的报文。
IPv6 ACL 模式过滤基于目的IP 地址、以及DSCP 和下一个头类型的报文。
基于源 MAC ,目的 MAC 地址和以太网帧类型的 ACL 报文过滤模式。( RFC 1060)
ARP ACL 用于静态 IP 到 MAC 地址绑定的 ARP 探测。
使用 安全 > ACL (配置 ACL - 添加规则 - IP Standard) 页面配置标准 IPv4 ACL。
在名称表中选择 ACL 类型。
显示符合选择类型的 ACL 名称。
ACL 可以包含由允许,拒绝,重定向报文到另一个端口的各种规则的组合。
特定源 IP 地址。使用 "Any" 包含所有可能的地址, "Host" 在地址段指定特定的主机地址, "IP" 用地址和子网掩码段指定一个范围的地址。(可选项: Any, Host, IP ; 默认: Any)
IP 源地址。
子网掩码包含四个由 "." 隔开的 (0-255) 的整数。掩码使用 1 表示符合 0 表示忽略。 子网掩码和特定的 IP 源地址按位与的关系,最终和进入这条 ACL 绑定的端口报文对比。
时间范围的名称。
使用 安全 > ACL (配置 ACL - 添加规则 - IP Extended) 页面配置扩展 IPv4 ACL。
在名称表中选择 ACL 类型。
显示符合选择类型的 ACL名称。
ACL 可以包含由允许,拒绝,重定向报文到另一个端口的各种规则的组合。
特定源 IP 地址。使用 "Any" 包含所有可能的地址, "Host" 在地址段指定特定的主机地址, "IP" 用地址和子网掩码段指定一个范围的地址。(可选项: Any, Host, IP; 默认: Any)
源或者目的 IP 地址。
源/目的地址的子网掩码。
特定协议类型的源/目的 端口号。(范围: 0-65535)
以十进制表示的匹配端口号的比特数。(范围: 0-65535)
符合如 TCP , UDP 或者其他协议的类型,其他协议通过特定协议号 (0-255)表示。(可选项: TCP, UDP, 其他; 默认: Others)
以下项目在TCP下
十进制数字(表示一个位串),指定TCP报头的字节14中的标志位。 (范围:0-63)
表示要匹配的码位的十进制数字。 (范围:0-63)
控制位掩码是应用于控制代码的十进制数(用于等效二进制位掩码)。 输入一个十进制数字,其中等价的二进制位“1”; 意味着匹配一个位,“0”意味着忽略一个位。 以下位可以被指定:
1 (fin) - 完成
2 (syn) - 同步
4 (rst) - 重置
8 (psh) - 推送
16 (ack) - 确认
32 (urg) - 紧急指针
例如,使用下面的代码值和掩码捕获具有以下标志设置的数据包:
SYN标志有效,使用控制码2,控制位掩码2
SYN和ACK都有效,使用控制码18,控制位掩码18
SYN有效且ACK无效,使用控制码2,控制位掩码18
基于下列规则的报文优先级设置
IP优先级。(范围:0-7
DSCP优先级。(范围:0-63)
时间范围名称
使用 安全 > ACL (配置 ACL - 添加规则 - IPv6 Standard) 页面配置标准 IPv6 ACL。
在名称表中选择 ACL 类型。
显示符合选择类型的 ACL 名称。
ACL 可以包含由允许,拒绝,重定向报文到另一个端口的各种规则的组合。
特定源 IP 地址。使用 "Any" 包含所有可能的地址, "Host" 在地址段指定特定的主机地址, "IP" 用地址和子网掩码段指定一个范围的地址。(可选项: Any, Host, IP ; 默认: Any)
IPv6 源地址或网络类。地址必须符合 RFC 2373 "IPV6 地址结构"使用8个冒号的16位16进制进行格式化。一个双冒号可以用于在地址中指示填充未定义字段所需的合适的0的数量。
十进制值表示有多少个连续的地址位(左)包括前缀(例如,地址的网络部分)。(范围:0-128位)。
时间范围的名称。
使用 安全 > ACL (配置 ACL - 添加规则 - IPv6 Extended) 页面配置扩展 IPv6 ACL。
在名称表中选择 ACL 类型来显示。
显示符合选择类型的 ACL名称。
ACL 可以包含由允许或拒绝规则等的任何组合。
指定目的地址类型。使用 "Any" 包含所有可能的地址, "IPv6-Prefix" 用地址指定一个范围的地址。(可选项: Any, IPv6-Prefix; 默认: Any)。
一个 IPv6 地址或网络类型。地址必须符合 RFC 2373 "IPV6 地址结构"使用8个冒号的16位16进制进行格式化。一个双冒号可以用于在地址中指示填充未定义字段所需的合适的0的数量。
指示地址的多少个连续位(从左边开始)包括前缀(即,地址的网络部分)的十进制值。 (范围:源前缀0-128位;目标前缀0-8位)
DSCP 流类。(范围:0-63)
协议源端口号。 包括TCP,UDP或其他协议类型。(范围:0-65535)
表示要匹配的端口位的十进制数字。(范围:0-65535)
协议目标端口号。包括TCP,UDP或其他协议类型。(范围:0-65535)
表示要匹配的端口位的十进制数字。(范围:0-65535)
标识紧跟在IPv6报头之后的报头类型。(范围:0-255)
可选的互联网层信息被编码在分开的报头中,这些报头可能被放置在IPv6报头和分组中的上层报头之间。有一小部分这样的扩展报头,每个扩展报头由不同的下一个报头值标识。 IPv6支持在RFC 1700中为IPv4协议字段定义的值,并且包括这些常用的头文件:
0 - 逐跳选项(RFC 2460)
6 - TCP上层报头(RFC 1700)
17 - UDP上层报头(RFC 1700)
43 - 路由(RFC 2460)
44 - 片段(RFC 2460)
50 - 封装安全负载(RFC 2406)
51 - 认证(RFC 2402)
60 - 目的地选项(RFC 2460)
时间范围名称。
使用 安全 > ACL (配置 ACL - 添加规则 - MAC) 页面配置基于硬件地址、报文格式、以太网类型的 MAC ACL。
在名称表中选择 ACL 类型。
显示符合选择类型的 ACL 名称。
ACL 可以包含由允许,拒绝,重定向报文到另一个端口的各种规格的组合。
使用 "Any" 包含所有可能的地址, "Host" 在地址段指定特定的 MAC 地址, "MAC" 用地址和位掩码的段指定地址。(可选项: Any, Host, MAC; 默认: Any)
源或者目的 MAC 地址。
源或者目的 MAC 地址的16进制掩码。
这个属性包含下面的报文类型:
Any - 任意以太网报文类型。
Untagged-eth2 - Untagged Ethernet II 报文。
Untagged-802.3 - Untagged Ethernet 802.3 报文。
Tagged-eth2 - Tagged Ethernet II 报文。
Tagged-802.3 - Tagged Ethernet 802.3 报文。
VLAN ID。(范围: 1-4094)
VLAN 位掩码。(范围: 0-4095)
这个选项仅可用于过滤 Ethernet II 格式的报文。(范围: 600-ffff hex )。
详细的以太网协议类型列表在 RFC 1060 中,少数常用类型包括 0800 (IP), 0806 (ARP), 8137 (IPX)。
协议位掩码。(范围: 600-ffff hex)
CoS值。(范围:0-7,其中7是最高优先级)
CoS位掩码。(范围:0-7)
时间范围的名称。
使用 > ACL (配置 ACL - 添加规则 - ARP) 页面配置基于 ARP 消息地址的 ACL 。 ARP 探测可以使用这些 ACL 过滤可疑的 ARP 报文。
在名称表中选择 ACL 类型。
显示符合选择类型的 ACL 名称。
ACL 可以包含由允许,拒绝,重定向报文到另一个端口的各种规格的组合。
指 ARP Request, ARP Response,或者两者任意一个。(范围: Request, Response, All; 默认: All)
特定源 IP 地址。使用 "Any" 包含所有可能的地址, "Host" 在地址段指定特定的主机地址, "IP" 用地址和子网掩码段指定一个范围的地址。(可选项: Any, Host, IP; 默认: Any)
源或者目的 IP 地址。
源或者目的地址的子网掩码。(参见子网掩码描述)
使用 "Any" 包含所有可能的地址, "Host" 在地址段指定特定的 MAC 地址, "MAC" 用地址和位掩码的段指定地址。(可选项: Any, Host, MAC; 默认: Any)
源/目的 MAC 地址。
16进制的源或者目的 MAC 地址位掩码。
如果报文符合访问控制表则记录下来。
配置好 ACL后,使用 安全 > ACL (配置接口) 页面绑定需要过滤通信的端口到 ACL 上。 可以在任意端口上指定 IP 访问列表和 MAC 访问列表。
选择绑定到端口的 ACL。
固定的端口或者 SFP 模块。
入口报文的 ACL。
时间范围名称。
启用ACL统计计数。
使用安全 > ACL > 配置接口(显示硬件计数器)来显示ACL硬件计数统计。
端口标识符
选择ACL的类型。
显示入口或出口流量的统计。
ACL 绑定该端口。
显示动作是允许或拒绝指定的报文。
规则
显示ACL绑定到该端口的规则。
时间范围名称
显示匹配ACL 的报文数。
清除指定ACL规则的命中计数。