網(wǎng)件XCM8800系列ACL基礎(chǔ)知識

時間：2016-03-24 14:12:18 權(quán)威724由分享

　　網(wǎng)件netgear公司一直致力于網(wǎng)絡(luò)技術(shù)創(chuàng)新，專注于產(chǎn)品的可靠性以及易用性提升，他生產(chǎn)的路由器設(shè)備功能強大，那么你了解網(wǎng)件XCM8800系列ACL基礎(chǔ)知識嗎?下面是學習啦小編整理的一些關(guān)于網(wǎng)件XCM8800系列ACL基礎(chǔ)知識的相關(guān)資料，供你參考。

　　網(wǎng)件XCM8800系列ACL基礎(chǔ)知識：

　　一、基于Policy的ACL：

　　建立一個ACL的策略并將ACL的策略應用到一個端口集中列表，一個VLAN或者所有的端口。

　　步驟1：

ACL 策略建立
#edit policy <policyname>	創(chuàng)建一個策略并給策略起一個名字，系統(tǒng)將創(chuàng)建一個 policyname.pol的文件，“<>”指整體可更改字段。
~	進入到類似于LINUX 的VI編輯器，進行編寫程序模式。輸入“I”可以開始編寫
Entry <ACLNAME> {	給ACL起一個名字，“｛”對應最后一行條目的“｝”。“｛｝” 為一種書寫格式，“｛”和“｝”必須為一對使用，在“｛｝” 中表明設(shè)備需要的各種屬性項。
if｛<match-conditions>; <match-conditions>; --- __｝	match-conditions里面填寫你需要匹配的屬性項。以下會有部分說明,切記“；”需要跟在屬性項后。 match-conditions可以有多個，相互間是與關(guān)系。
then {<action>; <action-modifiers>; --- ----}	action 里面填寫匹配后的動作屬性項，action-modifiers 里面填寫將動作修改后的屬性項。 action-modifiers可以有多個，相互間是順序執(zhí)行關(guān)系。
｝	對應ACL名字后面的“｛”。
ESC	退出編輯模式。
:wq/:q!	保存文檔并退出/不保存文檔直接退出,退回到“#”模式。

Match-conditionsnt屬性項（部分）：
Ethernet-type <number>	Number指 IP:0x0800 8021Q:0x8100 IPv6:0x86DD
ethernet-source-address <mac-address> <mask>	以太網(wǎng)源地址，其中mac-address和mask格式為XX:XX:XX:XX:XX:XX/YY:YY:YY:YY:YY:YY 或XX:XX:XX:XX:XX:XX mask YY:YY:YY:YY:YY:YY，mask為可選項，默認mask 為FF:FF:FF:FF:FF:FF
Ethernet-destination-address <mac-address><mask>	以太網(wǎng)目的地址，其中mac-address和mask格式為XX:XX:XX:XX:XX:XX/YY:YY:YY:YY:YY:YY 或XX:XX:XX:XX:XX:XX mask YY:YY:YY:YY:YY:YY，mask為可選項，默認mask 為FF:FF:FF:FF:FF:FF
Protocol <number>	Number指tcp :6,udp:17,igmp:2,icmp:1 ip：4等等
Source-address<prefix>	IP源地址與掩碼格式：X.X.X.X/X
Destination-address <prefix>	IP目的地址與掩碼格式：X.X.X.X/X
Source-port <number>or <number range>	源端口 number格式：X 范圍：1~65535 number range格式：X-X范圍：1~65535
destination-port <number>or <number range>	目的端口 number格式：X范圍：1~65535 number range格式：X-X范圍：1~65535

Actions
Permit	Action中的允許動作，是默認行為。
Deny	Action 中的丟棄動作。
Action Modifiers
Count <countname>	遞增次數(shù)（匹配ACL的次數(shù)）countname 給一個名字以方便顯示匹配數(shù)使用。查看次數(shù)的命令為： Show access-list couter [<countername>][any\|ports<portlist>\|vlan <vlanname>][ingress\|egress]
Log/log-raw	記錄包頭部/以十六進制格式記錄包頭部
Meter <metername>	依據(jù)流量的速率產(chǎn)生動作。
Mirror	發(fā)送一份包的副本（拷貝）到監(jiān)控（鏡像）端口（只在入站方向）
Mirror-cpu	發(fā)送一份包的副本（拷貝）到CPU,用于產(chǎn)生LOG。
Qosprofile<qosprofilename>	轉(zhuǎn)發(fā)包到具體指定的QoS 文檔
Traffic-queue<traffic-queue>	放置流量到具體指定的流量隊列
Redirect <ipv4 address>	轉(zhuǎn)發(fā)包到具體的IPv4地址（用于策略路由）。
Replace-dscp	從已關(guān)聯(lián)的QoS文檔中替換掉DSCP的值。
Replace-dot1p	從已關(guān)聯(lián)的QoS文檔中替換掉QoS的值
Replace-ethernet-destinaton -address<mac-address>	替換包的目的MAC地址，此應用只用于2層轉(zhuǎn)發(fā)流量
Redirect-port<port>	重寫轉(zhuǎn)發(fā)決定且改變已使用的出站端口。

　　步驟2：

　　查看策略是否已寫成功命令：# check policy <policyname>

　　當編寫完policy時，需要檢查policy語法是否已寫正確,當屏幕回顯： “Policy file check successful.” 說明策略的語法已通過測試.

　　要注意的是：上面回顯只代表書寫語法正確，不代表在策略含義上已寫對并能匹配到正確的流量。

　　步驟3：

　　將ACL的Policy應用到端口、VLAN、所有接口：

　　#configure access-list <policyname> {any | ports <portlist> | vlan <vlanname>｝

　　{ingress|egress｝

　　從端口上移除 ACL的Policy：

　　#unconfigure access-list <policyname> {any | ports <portlist> | vlan <vlanname>｝{ingress | egress｝

　　注意：應用到VLAN的ACL情況等同于應用到所有的接口，而不是只應用到VLAN所包括的端口。

　　具體例子：

　　要求：

　　在XCM8800系列的交換機上建立一個ACL拒絕流量從源為10.203.134.0/24，端口是:190, 到目的主機：140.158.18.16/32,端口為：1200到1250的UDP流量。

　　放行其它流量。

　　在1：10端口入站方向(ingress)應用。

編輯policy時常用的命令
i	在初始光標位置前插入內(nèi)容
a	在初始光標位置后插入內(nèi)容
dd	刪除當前行
yy	復制當前的行
p	粘貼行的復制
:w	保存文檔
:q	沒有改變Policy時退出
:q!	強制退出不管Policy有沒有變化
:wq	保存Policy并退出
注：以上命令通過按ESC進行切換

　　#edit policy udpacl

　　entry comeonA {

　　If {

　　source-address 10.203.134.0/24;

　　destination-address 140.158.18.16/32;

　　protocol udp;

　　source-port 190;

　　destination-port 1200 – 1250;

　　}

　　then {

　　deny;

　　}

　　entry comeonB{

　　if {｝

　　then{permit;｝

　　編寫要點：

　　policy 和entry名字可以不一樣，entry間的名字要求不一樣。

　　上面的示例中使用到的“{｝”只要成對出現(xiàn)即可，不需要考慮前后是否存在空格。

　　由于默認是禁止所有流量通行，需要在comeonB中放行其它流量。

　　將ACL應用在入站方向(ingress)上,要match所有流量只需要使用“if {｝”即可，

　　如果應用在出站方向(egress)上，match 所有流量需要使用“if {source-address 0.0.0.0/0｝”

　　上面的例子comeonB只應用到ingress 方向，所以采用“if {｝”

　　在最后的“｝”的下一行開始，每一行必須要帶有“~”符號開始，將不需要的空行、空格或文字刪除，這時才能在check policy udpacl中檢查policy成功。

　　在全局模式下(“#”)對policy需要使用到的檢查、查看、更名、刪除policy的命令

　　#check policy <policyname> //policyname后面不需要加后綴名

　　例如： #check policy udpacl

　　查看所有或單個文件，包括policy：

　　#ls 或#ls <policyname. suffix> //后面需要加入后綴名(suffix)

　　例如：#ls udpacl.pol

　　更名一個文件或一個policy:

　　#mv <policyname. suffix> <policyname. suffix> //將前一個文件名改為后一個文件名 ,且要加后綴名。

　　例如：#mv udpacl.pol www.pol

　　刪除一個文件或一個policy:

　　#rm <policyname. suffix> //刪除www的policy,且要加后綴名。此處只作命令說明，對上面所舉例子不作實際刪除

　　例如：#rm www.pol

　　應用ACL到接口

　　#configure access-list udpacl ports 1:10 ingress

　　最后不要忘記保存所有配置，包括ACL列表的應用

　　#save

　　二、動態(tài)ACL：

　　動態(tài)ACL的建立直接使用CLI界面，它的使用相似于policy的ACL的表達方式，能完成相同的動作，簡單且直觀。多條的動態(tài)ACL可以被應用到一個接口上，條目應用的優(yōu)先級別也可以被配置。動態(tài)ACL比policy 的ACL應用到接口有更高的優(yōu)先級別，在理解XCM8800系列的交換機的ACL配置語法的情況下，一般更多會使用動態(tài)ACL。

　　表達方式：

　　#create access-list <dynamic-rule> <conditions> <actions> [non-permanent]

　　<dynamic-rule> //表示ACL的名字，在動態(tài)ACL中必須是唯一的，但它可以和policy的ACL重名。

　　<conditions> //表示的條件，等同于policy中的if{……}，使用“;”分隔條件。

　　<action> //表示的動作，等同于policy中的then{……}，使用“;”分隔條件。

　　[non-permanent] //可選項，默認為永久保留。使用此命令后，save 保存配置后，動態(tài)ACL不被保留

　　應用動態(tài)ACL到接口：

　　configure access-list add [ [[first | last] {priority } {zone } ] | [[before | after] ] | [ priority {zone } ]] [ any | vlan | ports ] {ingress | egress}

　　first //在寫入多條 ACL 時，作為第一條需要匹配的 ACL 列表在最前

　　last //在寫入多條ACL時，作為最后一條需要匹配的ACL列表在最后

　　before //指定該ACL放置在某一條ACL之前，后面參數(shù)需要寫入一條ACL的名字

　　after //指定該ACL放置在另一條ACL之后，后面的參數(shù)需要寫入一條ACL的名字

　　從接口中移除動態(tài)ACL

　　configure access-list delete [ any | vlan | ports | all] {ingress | egress}

　　具體例子：

　　要求：對于ICMP協(xié)議的流量進行匹配，并統(tǒng)計數(shù)包數(shù)量并在管理端口上禁止PING入:

　　#create access-list icmp-echo “protocol icmp;icmp-type echo-request””deny;count echo”

　　以上條目解釋：

　　icmp-echo //給動態(tài)ACL起名字，表明本ACL針對icmp的echo包。

　　“protocol icmp; //條件中的一個選項，表明需要匹配到的協(xié)議是ICMP，條件最前面用雙引號,條件間用冒號分隔。