ACL in out实施指南 锐捷网络 网络解决方案第一品牌公司.doc

文件类型: 实施类
版本号:(10/08/08)
文档作者:王雁
文档密级: 受控(和页面一致)
内审人:(邓霖、高天龙、孙宇航)
使用对象:区域工程师
ACL IN/OUT实施指南
2010-9-12
福建星网锐捷网络有限公司
版权所有侵权必究
修订记录
日期
修订说明
执行人
2008-9-12
第一次发布
王雁
目录
1 ACL 使用概述 5
什么是ACL 5
使用ACL的目的 5
目前ACL在网络中的广泛应用形式 5
2 ACL在数据处理流程中的体现 6
常见的芯片数据处理机制 6
S86数据流处理简介 6
S78数据处理流程简介 7
Cisco65某芯片处理流程简介 8
小结 9
3 我司ACL实现方式与特点分析 10
SVI和物理口使用IN方向的ACL 10
SVI接口使用OUT方向的ACL 11
物理口使用OUT方向的ACL 14
4 ACL 使用故障案例 16
XX工行ACL IN/OUT使用故障案例 16
网络概要说明 16
故障情况简介 16
故障分析 18
解决方案 18
问题延伸 19
故障总结 20
XX大学ACL OUT使用故障案例 21
网络概要说明 21
故障情况简介 21
故障分析 22
解决方案 23
5 ACL使用总结 24
在什么地方部署ACL 24
选用何种方式的ACL 25
评估ACE资源是否足够 25
6 常见问题 27
如何计算或查看过滤域模板消耗了多少个? 27
如何查看ACE消耗了多少? 28
ACL 使用概述
什么是ACL
ACL(Access Control List,访问控制列表)是用来实现流识别功能的。网络设备为了过滤报文,需要配置一系列的匹配条件对报文进行分类,这些条件可以是报文的源地址、目的地址、端口号等。当设备的端口接收到报文后,即根据当前端口上应用的ACL 规则对报文的字段进行分析,在识别出特定的报文之后,根据预先设定的策略允许或禁止该报文通过。
总结:ACL是访问控制列表。
使用ACL的目的
信息点间通信,内外网络的通信都是各网络中必不可少的业务需求,但是为了保证网络的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,控制访问的一种网络技术手段。
目前ACL在网络中的广泛应用形式
从最初的包过滤需求,到目前ACL形式多样(svi、物理口)IN/OUT的应用,ACL的用途越来约广泛
ACL在交换机MAC芯片中的体现即为FFP(Fast Filter Processor,即快速过滤器,它是一种高效的硬件过滤引擎)。其基本功能就是根据报文的特征筛选出符合一定规则的数据流,并对数据流实施一定的策略,每一个FFP表项都可以定义一个筛选规则,也可以定义对符合此规则数据流的执行策略,ACL只是针对用户界面来说的其中的一种。
其他类似的功能包括安全通道、CPP、NFPP(硬件隔离)、IP+MAC绑定、ARP-check、策略路由、QOS(流匹配)等,他们都符合“根据报文的特征筛选出符合一定规则的数据流,并对数据流实施一定的策略”的原则。
ACL在数据处理流程中的体现
常见的芯片数据处理机制
S86数据流处理简介
:PHY->Ingress->MMU->Egress
Ingress:决定报文的转发规则,把转发规则和报文送到MMU作缓冲和转发;规则决定过程:
L2(二层转发)->L3(路由逻辑)->FFP(快速过滤器)->Mirror(镜像)
MMU流程:
IBP(Ingress backpressure)
HOL、出口队列
Egress流程:
a. 从MMU获取报文;
b. 决定TAG/UNTAG;
c. 重新计算CRC;
d. 按规则发送报文
S78数据处理流程简介
输入:收帧->FFP->L2(地址表/VLAN/STP)->L3路由->输入Qos
输出:输出过滤FFP->输出QOS->发帧.
S78交换机基于端口应用的一些ACL都安装在线卡的FFP表项中,基于全局的应用在管理板的FFP表项中。由于S78支持输入过滤和输出过滤逻辑,所以S78支持ACL IN/OUT的应用,但目前软件版本尚未支持OUT方向的过滤。