1、，安全與VPN-ACL技術介紹技術介紹 安全和 VPN目 錄i目 錄 HYPERLINK l _bookmark0 ACL HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 IPv4 ACL簡介 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 IPv4 ACL分類 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 IPv4 ACL命名 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark1 IPv4 ACL匹配順序

2、HYPERLINK l _bookmark1 2 HYPERLINK l _bookmark2 IPv4 ACL步長 HYPERLINK l _bookmark2 3 HYPERLINK l _bookmark2 IPv4 ACL生效時間段 HYPERLINK l _bookmark2 3 HYPERLINK l _bookmark3 IPv4 ACL對分片報文的處理 HYPERLINK l _bookmark3 4 HYPERLINK l _bookmark3 IPv6 ACL簡介 HYPERLINK l _bookmark3 4 HYPERLINK l _bookmark3 IPv6 AC

3、L分類 HYPERLINK l _bookmark3 4 HYPERLINK l _bookmark3 IPv6 ACL命名 HYPERLINK l _bookmark3 4 HYPERLINK l _bookmark4 IPv6 ACL匹配順序 HYPERLINK l _bookmark4 5 HYPERLINK l _bookmark5 IPv6 ACL步長 HYPERLINK l _bookmark5 6 HYPERLINK l _bookmark5 IPv6 ACL生效時間段 HYPERLINK l _bookmark5 6 HYPERLINK l _bookmark5 流模板簡介 H

4、YPERLINK l _bookmark5 6技術介紹 安全和 VPNACL PAGE 6ACLACL（Access Control List，訪問控制列表）是用來實現(xiàn)流識別功能的。網(wǎng)絡設備為了過濾報文，需要配置一系列的匹配條件對報文進行分類，這些條件可以是報文的源地址、目的地址、端口號等。當設備的端口接收到報文后，即根據(jù)當前端口上應用的 ACL 規(guī)則對報文的字段進行分析，在識別出特定的報文之后，根據(jù)預先設定的策略允許或禁止該報文通過。由 ACL 定義的報文匹配規(guī)則，可以被其它需要對流量進行區(qū)分的場合引用，如包過濾、QoS 中流分類規(guī)則的定義等。IPv4 ACL 簡介IPv4 ACL 分類IP

5、v4 ACL根據(jù)ACL序號來區(qū)分不同的ACL，可以分為四種類型，如 HYPERLINK l _bookmark0 表 1所示。表1 IPv4 ACL 分類IPv4 ACL 類型ACL 序號范圍區(qū)分報文的依據(jù)基本IPv4 ACL20002999只根據(jù)報文的源IP 地址信息制定匹配規(guī)則高級IPv4 ACL30003999根據(jù)報文的源IP 地址信息、目的IP 地址信息、IP 承載的協(xié)議類型、協(xié)議的特性等三、四層信息制定匹配規(guī)則二層 ACL40004999根據(jù)報文的源 MAC 地址、目的 MAC 地址、802.1p 優(yōu)先級、二層協(xié)議類型等二層信息制定匹配規(guī)則用戶自定義 ACL50005999可以以報文

6、的報文頭、IP 頭等為基準，指定從第幾個字節(jié)開始與掩碼進行“與”操作，將從報文提取出來的字符串和用戶定義的字符串進行比較，找到匹配的報文IPv4 ACL 命名用戶在創(chuàng)建 IPv4 ACL 時，可以為 ACL 指定一個名稱。每個 IPv4 ACL 最多只能有一個名稱。命名的 ACL 使用戶可以通過名稱唯一地確定一個 IPv4 ACL，并對其進行相應的操作。在創(chuàng)建 ACL 時，用戶可以選擇是否配置名稱。ACL 創(chuàng)建后，不允許用戶修改或者刪除 ACL 名稱，也不允許為未命名的 ACL 添加名稱。 說明：IPv4 ACL 的名稱對于 IPv4 ACL 全局唯一，但允許與 IPv6 ACL 使用相同的名

7、稱。IPv4 ACL 匹配順序一個 ACL 中可以包含多個規(guī)則，而每個規(guī)則都指定不同的報文匹配選項，這些規(guī)則可能存在重復或矛盾的地方，在將一個報文和 ACL 的規(guī)則進行匹配的時候，到底采用哪些規(guī)則呢？就需要確定規(guī)則的匹配順序。IPv4 ACL 支持兩種匹配順序：配置順序：按照用戶配置規(guī)則的先后順序進行規(guī)則匹配。自動排序：按照“深度優(yōu)先”的順序進行規(guī)則匹配?；?IPv4 ACL 的“深度優(yōu)先”順序判斷原則如下先看規(guī)則中是否帶 VPN 實例，帶 VPN 實例的規(guī)則優(yōu)先；再比較源 IP 地址范圍，源 IP 地址范圍?。ǚ囱诖a中“0”位的數(shù)量多）的規(guī)則優(yōu)先；如果源 IP 地址范圍相同，則先配置的規(guī)則

8、優(yōu)先。高級 IPv4 ACL 的“深度優(yōu)先”順序判斷原則如下先看規(guī)則中是否帶 VPN 實例，帶 VPN 實例的規(guī)則優(yōu)先；再比較協(xié)議范圍，指定了 IP 協(xié)議承載的協(xié)議類型的規(guī)則優(yōu)先；如果協(xié)議范圍相同，則比較源 IP 地址范圍，源 IP 地址范圍?。ǚ囱诖a中“0” 位的數(shù)量多）的規(guī)則優(yōu)先；如果協(xié)議范圍、源 IP 地址范圍相同，則比較目的 IP 地址范圍，目的 IP 地址范圍?。ǚ囱诖a中“0”位的數(shù)量多）的規(guī)則優(yōu)先；如果協(xié)議范圍、源 IP 地址范圍、目的 IP 地址范圍相同，則比較四層端口號（TCP/UDP 端口號）范圍，四層端口號范圍小的規(guī)則優(yōu)先；如果上述范圍都相同，則先配置的規(guī)則優(yōu)先。二層 AC

9、L 的“深度優(yōu)先”順序判斷原則如下先比較源 MAC 地址范圍，源 MAC 地址范圍?。ㄑ诖a中“1”位的數(shù)量多）的規(guī)則優(yōu)先；如果源 MAC 地址范圍相同，則比較目的 MAC 地址范圍，目的 MAC 地址范圍?。ㄑ诖a中“1”位的數(shù)量多）的規(guī)則優(yōu)先；如果源 MAC 地址范圍、目的 MAC 地址范圍相同，則先配置的規(guī)則優(yōu)先。 說明：用戶自定義 ACL 的匹配順序只能為配置順序。在報文匹配規(guī)則時，會按照匹配順序去匹配定義的規(guī)則，一旦有一條規(guī)則被匹配， 報文就不再繼續(xù)匹配其它規(guī)則了，設備將對該報文執(zhí)行第一次匹配的規(guī)則指定的動作。IPv4 ACL 步長步長的含義步長的含義是：設備自動為 ACL 規(guī)則分配編號

10、的時候，每個相鄰規(guī)則編號之間的差值。例如，如果將步長設定為 5，規(guī)則編號分配是按照 0、5、10、15這樣的規(guī)律分配的。缺省情況下，步長為 5。當步長改變后，ACL 中的規(guī)則編號會自動從 0 開始重新排列。例如，原來規(guī)則編號為 5、10、15、20，當通過命令把步長改為 2 后，則規(guī)則編號變成 0、2、4、6。當使用命令將步長恢復為缺省值后，設備將立刻按照缺省步長調整 ACL 規(guī)則的編號。例如：ACL 3001，步長為 2，下面有 4 個規(guī)則，編號為 0、2、4、6。如果此時使用命令將步長恢復為缺省值，則 ACL 規(guī)則編號變成 0、5、10、15，步長為 5。步長的作用使用步長設定的好處是用戶

11、可以方便地在規(guī)則之間插入新的規(guī)則。例如配置好了 4 個規(guī)則，規(guī)則編號為：0、5、10、15。此時如果用戶希望能在第一條規(guī)則之后插入一條規(guī)則，則可以使用命令在 0 和 5 之間插入一條編號為 1 的規(guī)則。另外，在定義一條 ACL 規(guī)則的時候，用戶可以不指定規(guī)則編號，這時，系統(tǒng)會從 0 開始，按照步長，自動為規(guī)則分配一個大于現(xiàn)有最大編號的最小編號。假設現(xiàn)有規(guī)則的最大編號是 28，步長是 5，那么系統(tǒng)分配給新定義的規(guī)則的編號將是 30。IPv4 ACL 生效時間段時間段用于描述一個特殊的時間范圍。用戶可能有這樣的需求：一些 ACL 規(guī)則需要在某個或某些特定時間內生效，而在其他時間段則不利用它們進行報

12、文過濾，即通常所說的按時間段過濾。這時，用戶就可以先配置一個或多個時間段，然后在相應的規(guī)則下通過時間段名稱引用該時間段，這條規(guī)則只在該指定的時間段內生效，從而實現(xiàn)基于時間段的 ACL 過濾。如果規(guī)則引用的時間段未配置，則系統(tǒng)給出提示信息，并允許這樣的規(guī)則創(chuàng)建成功， 但是規(guī)則不能立即生效，直到用戶配置了引用的時間段，并且系統(tǒng)時間在指定時間段范圍內 ACL 規(guī)則才能生效。IPv4 ACL 對分片報文的處理傳統(tǒng)的報文過濾并不處理所有 IP 報文分片，而是只對首片（第一片）分片報文進行匹配處理，對后續(xù)分片不進行匹配處理。這樣，網(wǎng)絡攻擊者可能構造后續(xù)的分片報文進行流量攻擊，就帶來了安全隱患。目前，設備提

13、供的對分片報文過濾的功能如下：對所有的分片報文進行三層（IP 層）的匹配過濾。對于包含高級信息的 ACL 規(guī)則項（例如包含 TCP/UDP 端口號，ICMP 類型）， 提供標準匹配和精確匹配兩種匹配方式，缺省的匹配方式為標準匹配。 說明：標準匹配和精確匹配的含義如下：標準匹配：只匹配三層信息，而三層以外的信息將被忽略。精確匹配：對 ACL 定義的所有的規(guī)則項進行匹配。IPv6 ACL 簡介IPv6 ACL 分類IPv6 ACL根據(jù)ACL序號來區(qū)分不同的ACL，可以分為三種類型，如 HYPERLINK l _bookmark3 表 2所示。表2 IPv6 ACL 分類IPv6 ACL 類型ACL

14、 序號范圍區(qū)分報文的依據(jù)基本IPv6 ACL20002999只根據(jù)源IPv6 地址信息制定匹配規(guī)則高級IPv6 ACL30003999根據(jù)報文的源IPv6 地址信息、目的IPv6 地址信息、IPv6 承載的協(xié)議類型、協(xié)議的特性等三層、四層信息來制定匹配規(guī)則簡單 IPv6 ACL1000042767根據(jù)報文的源IPv6 地址信息、目的IPv6 地址信息、IPv6 地址組合標記、IPv6 承載的協(xié)議類型、協(xié)議的特性等三層、四層信息來制定匹配規(guī)則簡單 IPv6 ACL 在TCP 標記、分片報文標記上有更豐富的內容IPv6 ACL 命名用戶在創(chuàng)建 IPv6 ACL 時，可以為 ACL 指定一個名稱。每

15、個 IPv6 ACL 最多只能有一個名稱。命名的 ACL 使用戶可以通過名稱唯一地確定一個 IPv6 ACL，并對其進行相應的操作。在創(chuàng)建 ACL 時，用戶可以選擇是否配置名稱。ACL 創(chuàng)建后，不允許用戶修改或者刪除 ACL 名稱，也不允許為未命名的 ACL 添加名稱。 說明：IPv6 ACL 的名稱對于 IPv6 ACL 全局唯一，但允許與 IPv4 ACL 使用相同的名稱。簡單 IPv6 ACL 不支持命名。IPv6 ACL 匹配順序一個 ACL 中可以包含多個規(guī)則，而每個規(guī)則都指定不同的報文匹配選項，這些規(guī)則可能存在重復或矛盾的地方，在將一個報文和 ACL 的規(guī)則進行匹配的時候，到底采用

16、哪些規(guī)則呢？就需要確定規(guī)則的匹配順序。IPv6 ACL 支持兩種匹配順序：配置順序：按照用戶配置規(guī)則的先后順序進行規(guī)則匹配。自動排序：按照“深度優(yōu)先”的順序進行規(guī)則匹配。基本 IPv6 ACL 的“深度優(yōu)先”順序判斷原則如下先比較源 IPv6 地址范圍，源 IPv6 地址范圍?。ㄇ熬Y長）的規(guī)則優(yōu)先；如果源 IPv6 地址范圍相同，則先配置的規(guī)則優(yōu)先。高級 IPv6 ACL 的“深度優(yōu)先”順序判斷原則如下先比較協(xié)議范圍，指定了 IPv6 協(xié)議承載的協(xié)議類型的規(guī)則優(yōu)先；如果協(xié)議范圍相同，則比較源 IPv6 地址范圍，源 IPv6 地址范圍?。ㄇ熬Y長） 的規(guī)則優(yōu)先；如果協(xié)議范圍、源 IPv6 地址范

17、圍相同，則比較目的 IPv6 地址范圍，目的 IPv6地址范圍?。ㄇ熬Y長）的規(guī)則優(yōu)先；如果協(xié)議范圍、源 IPv6 地址范圍、目的 IPv6 地址范圍相同，則比較四層端口號（TCP/UDP 端口號）范圍，四層端口號范圍小的規(guī)則優(yōu)先；如果上述范圍都相同，則先配置的規(guī)則優(yōu)先。 說明：簡單 IPv6 ACL 只能定義一條規(guī)則，不涉及匹配順序。在報文匹配規(guī)則時，會按照匹配順序去匹配定義的規(guī)則，一旦有一條規(guī)則被匹配， 報文就不再繼續(xù)匹配其它規(guī)則了，設備將對該報文執(zhí)行第一次匹配的規(guī)則指定的動作。IPv6 ACL 步長關于步長的介紹請參見“ HYPERLINK l _bookmark2 IPv4 ACL步長”。IPv6 ACL 生效時間段關于生效時間段的介紹請參見“ HYPERLINK l _bookmark2 IPv4 ACL生效時間段”。流模板簡介流模板的主要功能是對硬件下發(fā)的 ACL 規(guī)則中所能包含的信息進行限制。在接口下發(fā)的 ACL 規(guī)則中包含的信息必須是該