更新时间:2024-08-29
1功能简介
1.1 应用场景
ACL(Access Control List)即访问控制列表,是一个有序的规则的集合,通过匹配报文中信息与规则中参数来对数据包进行分类,并执行规则对应的动作。
目前智能交换机的ACL可以通过源IP及目的IP、 源MAC及目的IP MAC、 VLAN ID、 ARP、 RARP、 ICMP、 TCP、UDP、IGMP、IP、OSPF等协议进行控制。
1.2 适用版本
NMC3.13.0
1.3 配置思路
- 新增有线访问控制器策略
- 在端口ACL策略调用
2 注意事项
2.1配置注意事项
- ACL 访问控制策略一般建议放到源端口上进行控制,即流量入接口方向;
- 在瘦模式下,需要注意选择的对应的安视交换机,选择错误会导致测试不成功;
- 实际需求需要按照实际情况进行配置访问控制策略;
- 安视交换机ACL规则是从上往下匹配,如果通信流量没有匹配上任何规则就是默认允许通过。
- ACL里匹配有多个参数可以选择,如果没有写,表示该参数默认匹配,比如源MAC地址为空表示匹配所有MAC地址。
2.2业务影响范围
配置策略会影响业务正常通信,建议在没有业务的时间操作。
3配置步骤
3.1配置步骤
3.1.1安视交换机瘦模式配置指导
- 点击【认证配置】→【认证授权】→【角色授权】→【有线访问控制策略】,在此页面上添加ACL访问控制策略;
- 点击【新增】,根据实际项目需求添加新的访问控制策略,控制策略可以基于源目IP、源目MAC,二、三层协议、VLAN ID等等,动作根据实际需求选择拒绝或者允许;
TIPS:
①有线访问控制策略的规则,默认是全部允许;
②规则匹配机制是从上往下,优先级依次降低;
- 在【SD-LAN】→【流量管理】→【端口ACL策略】→【端口ACL策略】中新增对应的ACL策略,即应用ACL到响应的交换机端口;
例如:配置交换机端口的流量,禁止访问192.168.2.0/255.255.255.0这个网段的地址,则写一条目的地址为该网段的拒绝规则;
- 然后将策略应用到目的端口,可以是单个接口(可自由选择多个口),也可以是聚合口、M-LAG口,即在这些端口上匹配设置的“有线访问控制策略”;
3.1.2安视交换机胖模式配置指导
- 登录胖模式交换机,在【流控与安全】→【网络安全策略】中新增对应网络安全策略,在安全策略内部新建ACL策略:
- 新增规则的方法同瘦模式交换机一致,我们以配置交换机端口的流量,禁止访问192.168.2.0/255.255.255.0这个网段的地址为例,则写一条目的地址为该网段的拒绝规则;
- 然后将策略应用到目的端口,可以是单个接口(可自由选择多个口),也可以是聚合口、M-LAG口,即在这些端口上匹配设置的“有线访问控制策略”;