华为ACL理论知识详解（二）

首页 > HuaWei > ACL 作者：浙江思唯网络 2016年1月30日 12:08 星期六字号：小中大评论：0 条

时间：2016-1-30 12:08 评论：0 条

8、ACL对分片报文的支持

华为设备支持通过ACL对分片报文进行三层（IP层）匹配的包过滤功能。

1、对于不包含参数fragment（碎片）的ACL规则：

如果规则中包含了匹配TCP/UDP端口号的参数，设备仅会匹配非分片报文和首片分片报文（首片分片报文的处理方式与非分片报文相同），对首片分片后续的分片报文不作匹配处理。

如果规则中未包含匹配TCP/UDP端口号的参数，设备不仅会匹配非分片报文和首片分片报文，也会匹配首片分片后续的分片报文。

2、对于包含参数fragment的ACL规则，设备则仅匹配非首片分片报文。

因此，针对网络攻击者构造分片报文进行流量攻击的情况，可以配置包含参数fragment的ACL规则，使设备仅过滤非首片分片报文，从而避免因过滤掉其他非分片报文而影响业务的正常运行，也可防止设备因不处理非首片分片报文而达不到防范分片报文攻击的目的。

9、ACL生效时间段

时间段用于描述一个特殊的时间范围。用户可能有这样的需求，即一些ACL规则需要在某个或某些特定时间内生效，而在其他时间段则不生效。

例如某单位严禁员工上班时间浏览非工作网站，下班后才允许浏览，则可以对ACL规则约定生效时间段。这时，用户就可以先配置一个或多个时间段，然后通过配置规则引用该时间段，从而实现基于时间段的ACL过滤。

如果规则引用的时间段未配置，规则不能立即生效，直到用户配置了引用的时间段，并且系统时间在指定时间段范围内，ACL规则才能生效。

10、Pv6 ACL

IPv6 ACL对根据配置的规则对IPv6报文进行分类，其实现原理和ACL基本相同。

IPv6 ACL简称ACL6。

ACL6的分类

按ACL6功能不同，分类有不同，具体请参见下表，

分类	对应编号范围	应用场景
基本ACL6	编号范围为2000～2999。	可以使用报文的源IPv6地址、VPN（Virtual Private Network）实例、分片标记和时间段信息来定义规则。
高级ACL6	编号范围为3000～3999。	可以使用报文的源IPv6地址、目的IPv6地址、IPv6承载的协议类型、针对协议的特性（例如TCP的源端口、目的端口和ICMPv6协议的类型、ICMPv6 Code）等内容定义规则。

ACL6和ACL命令行不同，而对应的编号可以相同，二者互不影响。

三、ACL应用

1、ACL应用分类

ACL应用的业务模块非常多，但主要分为以下四类：

业务分类	应用场景	涉及业务模块
登录控制	对交换机的登录权限进行控制，允许合法用户登录，拒绝非法用户登录，从而有效防止未经授权用户的非法接入，保证网络安全性。例如，一般情况下交换机只允许管理员登录，非管理员用户不允许随意登录。这时就可以在Telnet中应用ACL，并在ACL中定义哪些主机可以登录，哪些主机不能。	Telnet、SNMP、FTP、 TFTP、SFTP、HTTP
对转发的报文进行过滤	对转发的报文进行过滤，从而使交换机能够进一步对过滤出的报文进行丢弃、修改优先级、重定向、IPSEC保护等处理。例如，可以利用ACL，降低P2P下载、网络视频等消耗大量带宽的数据流的服务等级，在网络拥塞时优先丢弃这类流量，减少它们对其他重要流量的影响。	QoS流策略、NAT、IPSEC
对上送CPU处理的报文进行过滤	对上送CPU的报文进行必要的限制，可以避免CPU处理过多的协议报文造成占用率过高、性能下降。例如，发现某用户向交换机发送大量的ARP攻击报文，造成交换机CPU繁忙，引发系统中断。这时就可以在本机防攻击策略的黑名单中应用ACL，将该用户加入黑名单，使CPU丢弃该用户发送的报文。	黑名单、白名单、用户自定义流
路由过滤	ACL可以应用在各种动态路由协议中，对路由协议发布和接收的路由信息进行过滤。例如，可以将ACL和路由策略配合使用，禁止交换机将某网段路由发给邻居路由器。	BGP、IS-IS、OSPF、 OSPFv3、RIP、RIPng、组播协议

2、ACL应用中业务模块的处理机制

各类ACL应用的业务模块对命中/未命中ACL的处理机制是各不相同的。

例如，在流策略中应用ACL时，如果ACL中存在规则但报文未匹配上，该报文仍可以正常通过；但在Telnet中应用ACL，这种情况下，该报文就无法正常通过了。

再如，在黑名单中应用ACL时，无论ACL规则配置成permit还是deny，只要报文命中了规则，该报文都会被系统丢弃，其他模块却不存在这种情况。

所以，大家在配置ACL规则并应用到业务模块中时，一定要格外小心。

为了方便大家查阅，重庆网管博客特地将常用ACL业务模块的处理机制进行了整理（转自华为官方论坛）。

业务模块		匹配上了permit规则	匹配上了deny规则	ACL中配置了规则，但未匹配上任何规则	ACL中没有配置规则	ACL未创建
Telnet		permit（允许登录）	deny（拒绝登录）	deny（拒绝登录）	permit（允许登录）	permit（允许登录）
HTTP		permit（允许登录）	deny（拒绝登录）	deny（拒绝登录）	permit（允许登录）	permit（允许登录）
SNMP		permit（允许登录）	deny（拒绝登录）	deny（拒绝登录）	permit（允许登录）	permit（允许登录）
FTP		permit（允许登录）	deny（拒绝登录）	deny（拒绝登录）	permit（允许登录）	permit（允许登录）
TFTP		permit（允许登录）	deny（拒绝登录）	deny（拒绝登录）	permit（允许登录）	permit（允许登录）
SFTP		permit（允许登录）	deny（拒绝登录）	deny（拒绝登录）	permit（允许登录）	permit（允许登录）
流策略		流行为是permit时:permit（允许通过）流行为是deny时：deny（丢弃报文）	deny(丢弃报文)	permit（功能不生效，按照原转发方式进行转发）	permit（功能不生效，按照原转发方式进行转发）	permit（功能不生效，按照原转发方式进行转发）
NAT		permit(进行NAT转换)	permit（功能不生效，按照原转发方式进行转发）	permit（功能不生效，按照原转发方式进行转发）	permit（功能不生效，按照原转发方式进行转发）	permit（功能不生效，按照原转发方式进行转发）
IPSEC		permit(数据流经过IPSec处理后再转发)	不允许出现此情况	permit（功能不生效，按照原转发方式进行转发）	不允许出现此情况	不允许出现此情况
本机防攻击策略	白名单	permit(CPU优先处理)	deny(丢弃报文)	permit （功能不生效，正常上送报文）	permit（功能不生效，正常上送报文）	permit（功能不生效，正常上送报文）
	黑名单	deny(丢弃报文)	deny(丢弃报文)	permit （功能不生效，正常上送报文）	permit （功能不生效，正常上送报文）	permit （功能不生效，正常上送报文）
	用户自定义流	用户自定义流的处理动作是deny时：deny(丢弃报文) 动作是car时：permit(进行CAR限速)	deny(丢弃报文)	permit （功能不生效，按照原转发方式进行转发）	permit （功能不生效，正常上送报文）	permit （功能不生效，正常上送报文）
路由	Route Policy	匹配模式是permit时：permit(允许执行路由策略) 匹配模式是deny时： deny(不允许执行路由策略)	deny（功能不生效，不允许执行路由策略）	deny（功能不生效，不允许执行路由策略）	permit（对经过的所有路由生效）	deny（功能不生效，不允许执行路由策略）
路由	Filter Policy	permit（允许发布或接收该路由）	deny（不允许发布或接收该路由）	deny（不允许发布或接收该路由）	deny（不允许发布或接收路由）	permit（允许发布或接收路由）
组播	igmp-snooping ssm-policy	permit(允许加入SSM组播组范围)	deny(禁止加入SSM组地址范围)	deny(禁止加入SSM组地址范围)	deny（禁止加入SSM组地址范围，所有组都不在SSM组地址范围内）	deny(禁止加入SSM组地址范围，只有临时组地址范围232.0.0.0～232.255.255.255在SSM组地址范围内)
组播	igmp-snooping group-policy	配置了default-permit时：permit(允许加入组播组) 未配置default-permit： permit(允许加入组播组)	配置了default-permit时：deny(禁止加入组播组) 未配置default-permit：deny (禁止加入组播组)	配置了default-permit时：permit（允许加入组播组）未配置default-permit：deny（禁止加入组播组）	配置了default-permit时：permit（允许加入组播组）未配置default-permit：deny（禁止加入组播组）	配置了default-permit时：permit（允许加入组播组）未配置default-permit：deny（禁止加入组播组）