返回
H3C MSR 系列路由器 Web配置手册-Release 1910P02(V1.03)-QoS设置.pdf

H3C MSR 系列路由器 Web配置手册-Release 1910P02(V1.03)-QoS设置.pdf

ID:48025353

大小:595.82 KB

页数:21页

时间:2020-01-27

H3C MSR 系列路由器 Web配置手册-Release 1910P02(V1.03)-QoS设置.pdf_第1页
H3C MSR 系列路由器 Web配置手册-Release 1910P02(V1.03)-QoS设置.pdf_第2页
H3C MSR 系列路由器 Web配置手册-Release 1910P02(V1.03)-QoS设置.pdf_第3页
H3C MSR 系列路由器 Web配置手册-Release 1910P02(V1.03)-QoS设置.pdf_第4页
H3C MSR 系列路由器 Web配置手册-Release 1910P02(V1.03)-QoS设置.pdf_第5页
资源描述:

《H3C MSR 系列路由器 Web配置手册-Release 1910P02(V1.03)-QoS设置.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、25ACL配置25.1概述随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对报文进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。ACL(AccessControlList,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。当设备的端口接收到报文后,即根据当前端口上应用的ACL规则对报文的字段进行分析,在识别出特定的报文之后,根据预先设定的策略允许或禁止该报文通过。ACL通过一系列的匹配条件对报文进行分类,这些条件可以是报文的源地址、目的地址、端口号等。由A

2、CL定义的报文匹配规则,可以被其它需要对流量进行区分的特性引用,如QoS中流分类规则的定义。25.1.1IPv4ACL简介1.IPv4ACL分类IPv4ACL根据ACL序号来区分不同的ACL,可以分为四种类型,如表25-1所示。表25-1IPv4ACL分类IPv4ACL类型ACL序号范围区分报文的依据基本IPv4ACL2000~2999只根据报文的源IP地址信息制定匹配规则根据报文的源IP地址信息、目的IP地址信息、IP承载的协高级IPv4ACL3000~3999议类型、协议的特性等三、四层信息制定匹配规则根据报文的源MAC地址、目的MAC地址、8

3、02.1p优先级、链路层ACL4000~4999链路层协议类型等二层信息制定匹配规则可以以报文的报文头、IP头等为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用用户自定义ACL5000~5999户定义的字符串进行比较,找到匹配的报文Web界面目前不支持对用户自定义ACL的配置不同型号的设备支持的IPv4ACL类型不同,请以设备的实际情况为准。2.IPv4ACL匹配顺序一个ACL中可以包含多个规则,而每个规则都指定不同的报文匹配选项,这些规则可能存在重复或矛盾的地方,在将一个报文和ACL的规则进行匹配的时候,到底采用哪些

4、规则呢?就需要确定规则的匹配顺序。IPv4ACL支持两种匹配顺序:ò配置顺序:按照用户配置规则的先后顺序进行规则匹配。25-1ò自动排序:按照“深度优先”的顺序进行规则匹配。各种IPv4ACL的“深度优先”顺序判断原则如表25-2所示。表25-2IPv4ACL的“深度优先”顺序判断原则IPv4ACL类型“深度优先”顺序判断原则(1)先比较源IP地址范围,源IP地址范围小(通配符掩码中“0”位的数量多)的规则优基本IPv4ACL先(2)如果源IP地址范围相同,则先配置的规则优先(1)先看规则中是否带VPN实例,带VPN实例的规则优先(2)再比较协议范

5、围,指定了IP协议承载的协议类型的规则优先(3)如果协议范围相同,则比较源IP地址范围,源IP地址范围小(通配符掩码中“0”位的数量多)的规则优先高级IPv4ACL(4)如果协议范围、源IP地址范围相同,则比较目的IP地址范围,目的IP地址范围小(通配符掩码中“0”位的数量多)的规则优先(5)如果协议范围、源IP地址范围、目的IP地址范围相同,则比较四层端口号(TCP/UDP端口号)范围,四层端口号范围小的规则优先(6)如果上述范围都相同,则先配置的规则优先(1)先比较MAC地址范围,源MAC地址范围小(掩码中“1”位的数量多)的规则优先(2)如果

6、源MAC地址范围相同,则比较目的MAC地址范围,目的MAC地址范围小(掩链路层ACL码中“1”位的数量多)的规则优先(3)如果源MAC地址范围、目的MAC地址范围相同,则先配置的规则优先用户自定义ACL的匹配顺序只能为配置顺序。在报文匹配规则时,会按照匹配顺序去匹配定义的规则,一旦有一条规则被匹配,报文就不再继续匹配其它规则了,设备将对该报文执行第一次匹配的规则指定的动作。3.IPv4ACL对分片报文的处理传统的报文过滤并不处理所有IP报文分片,而是只对首片(第一片)分片报文进行匹配处理,对后续分片不进行匹配处理。这样,网络攻击者可能构造后续的分片

7、报文进行流量攻击,就带来了安全隐患。目前,设备提供的对分片报文过滤的功能如下:ò对所有的分片报文进行三层(IP层)的匹配过滤。ò对于包含高级信息的ACL规则项(例如包含TCP/UDP端口号,ICMP类型),提供标准匹配和精确匹配两种匹配方式,缺省的匹配方式为标准匹配。标准匹配和精确匹配的含义如下:ò标准匹配:只匹配三层信息,而三层以外的信息将被忽略。ò精确匹配:记录每一个首片分片的三层以上的信息,当后续分片到达时,使用这些保存的信息对ACL规则的每一个匹配条件进行精确匹配。这两种匹配方式只有防火墙支持。25-225.1.2ACL步长Web界面目前不

8、支持对步长的配置。1.步长的含义步长的含义是:设备自动为ACL规则分配编号的时候,每个相邻规则编号之间的差值。例如,如果将

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。