华为交换机ACL业务模块的处理机制(转自华为官方社区)

原创 捌栢科  2022-07-13 16:50  阅读 34 次
阿里云免费代金券,购买阿里云产品前先领券更优惠!

ACL业务模块的处理机制

各类ACL应用的业务模块对命中/未命中ACL的处理机制是各不相同的。

目前设备支持的ACL,有以下两种实现方式。

·         软件ACL:针对与本机交互的报文(必须上送CPU处理的报文),由软件实现来过滤报文的ACL,比如FTP、TFTP、Telnet、SNMP、HTTP、路由协议、组播协议中引用的ACL。

·         硬件ACL:针对所有报文(一般是针对转发的数据报文),通过下发ACL资源到硬件来过滤报文的ACL,比如流策略、基于ACL的简化流策略、自反ACL、用户组以及为接口收到的报文添加外层Tag功能中引用的ACL。

两者主要区别在于:

·         过滤的报文类型不同:软件ACL用来过滤与本机交互的报文(必须上送CPU处理的报文),硬件ACL可以用来过滤所有报文(一般是针对转发的数据报文)。

·         报文过滤方式不同:软件ACL是被上层软件(即应用层服务)引用来实现报文的过滤;通过软件ACL过滤报文时,会消耗CPU资源。

·         硬件ACL是被下发到硬件来实现报文的过滤。通过硬件ACL过滤报文时,则会占用硬件资源。通过硬件ACL过滤报文的速度更快。

对不匹配ACL的报文的处理动作不同:

当使用软件ACL时,如果报文未匹配上ACL中的规则,设备对该报文采取的动作为deny即拒绝报文通过;

当使用硬件ACL时,如果报文未匹配上ACL中的规则,设备对该报文采取的动作为permit,即允许报文通过。

例如,在流策略中应用ACL时,如果ACL中存在规则但报文未匹配上,该报文仍可以正常通过;但在Telnet中应用ACL,这种情况下,该报文就无法正常通过了。

再如,在黑名单中应用ACL时,无论ACL规则配置成permit还是deny,只要报文命中了规则,该报文都会被系统丢弃,其他模块却不存在这种情况。

所以,大家在配置ACL规则并应用到业务模块中时,一定要格外小心。

常用ACL业务模块的处理机制整理:

为了方便大家查阅,本文转自华为官方特地整理的常用ACL业务模块的处理机制。

业务模块

匹配上了permit规则 匹配上了deny规则 ACL中配置了规则,但未匹配上任何规则 ACL中没有配置规则 ACL未创建

Telnet

permit(允许登录) deny(拒绝登录) deny(拒绝登录) permit(允许登录) permit(允许登录)

HTTP

permit(允许登录) deny(拒绝登录) deny(拒绝登录) permit(允许登录) permit(允许登录)

SNMP

permit(允许登录) deny(拒绝登录) deny(拒绝登录) permit(允许登录) permit(允许登录)

FTP

permit(允许登录) deny(拒绝登录) deny(拒绝登录) permit(允许登录) permit(允许登录)

TFTP

permit(允许登录) deny(拒绝登录) deny(拒绝登录) permit(允许登录) permit(允许登录)

SFTP

permit(允许登录) deny(拒绝登录) deny(拒绝登录) permit(允许登录) permit(允许登录)

流策略

流行为是permit时:permit(允许通过)

流行为是deny时:deny(丢弃报文)

deny(丢弃报文) permit(功能不生效,按照原转发方式进行转发) permit(功能不生效,按照原转发方式进行转发) permit(功能不生效,按照原转发方式进行转发)

NAT

permit(进行NAT转换) permit(功能不生效,按照原转发方式进行转发) permit(功能不生效,按照原转发方式进行转发) permit(功能不生效,按照原转发方式进行转发) permit(功能不生效,按照原转发方式进行转发)

IPSEC

permit(数据流经过IPSec处理后再转发) 不允许出现此情况 permit(功能不生效,按照原转发方式进行转发) 不允许出现此情况 不允许出现此情况
本机防攻击策略 白名单 permit(CPU优先处理) deny(丢弃报文) permit (功能不生效,正常上送报文) permit(功能不生效,正常上送报文) permit(功能不生效,正常上送报文)
黑名单 deny(丢弃报文) deny(丢弃报文) permit (功能不生效,正常上送报文) permit (功能不生效,正常上送报文) permit (功能不生效,正常上送报文)
用户自定义流 用户自定义流的处理动作是deny时:deny(丢弃报文)

动作是car时:permit(进行CAR限速)

deny(丢弃报文) permit (功能不生效,按照原转发方式进行转发) permit (功能不生效,正常上送报文) permit (功能不生效,正常上送报文)
路由 Route Policy 匹配模式是permit时:permit(允许执行路由策略)

匹配模式是deny时:

deny(不允许执行路由策略)

deny(功能不生效,不允许执行路由策略) deny(功能不生效,不允许执行路由策略) permit(对经过的所有路由生效) deny(功能不生效,不允许执行路由策略)
Filter Policy permit(允许发布或接收该路由) deny(不允许发布或接收该路由) deny(不允许发布或接收该路由) deny(不允许发布或接收路由) permit(允许发布或接收路由)
组播 igmp-snooping ssm-policy permit(允许加入SSM组播组范围) deny(禁止加入SSM组地址范围) deny(禁止加入SSM组地址范围) deny(禁止加入SSM组地址范围,所有组都不在SSM组地址范围内) deny(禁止加入SSM组地址范围,只有临时组地址范围232.0.0.0~232.255.255.255在SSM组地址范围内)
igmp-snooping group-policy 配置了default-permit时:permit(允许加入组播组)

未配置default-permit: permit(允许加入组播组)

配置了default-permit时:deny(禁止加入组播组)

未配置default-permit:deny (禁止加入组播组)

配置了default-permit时:permit(允许加入组播组)

未配置default-permit:deny(禁止加入组播组)

配置了default-permit时:permit(允许加入组播组)

未配置default-permit:deny(禁止加入组播组)

配置了default-permit时:permit(允许加入组播组)

未配置default-permit:deny(禁止加入组播组)

本文地址:https://8ik.cn/archives/402
关注我们:请关注一下我们的微信公众号:扫描二维码捌栢科的公众号,公众号:Hey_MrBoss
版权声明:本文为原创文章,版权归 捌栢科 所有,欢迎分享本文,转载请保留出处!
【腾讯云】买云服务器,参与礼品兑换、抽奖,最高送价值8000元IPad,还有Bose耳机、千元京东卡等您来!

发表评论


表情