生效时间段管理
ACL的生效时间段用于规定ACL规则在何时生效,从而在不同的时间段设置不同的策略。存在两种模式来定义生效时间段:周期时间段和绝对时间段。
周期时间段是以星期为参数来定义时间范围,表示规则以一周为周期循环生效。例如,可以设置为每周一的8至12点。
绝对时间段则是从特定的年、月、日、时的某一时间开始,到某一时间结束,规则在这段时间范围内生效。
当存在多个时间段配置时,选择生效的时间范围遵循以下规则:多个周期时间段之间是或的关系,多个绝对时间段之间也是或的关系。但周期时间段和绝对时间段之间是且的关系,如果它们有冲突,则配置的时间段不生效。
例如,在ACL 2001中引用了一个时间段“test”,它包含了三个生效时间段。如果第三个时间配置与第一、第二个时间配置存在冲突,那么“test”时间段将不会生效。
源/目的IP地址及其通配符掩码
在定义ACL规则时,源/目的IP地址及其通配符掩码是用来确定地址范围的重要元素。源IP地址及其通配符掩码格式如“source { source-address source-wildcard| any }”。目的IP地址及其通配符掩码格式如“destination { destination-address destination-wildcard | any }”。
通配符掩码是一个32比特位的数字字符串,用于指示IP地址中的哪些位将被检查。在规则中,同时指定源/目的IP地址和通配符掩码,共同确定一个地址范围。
MAC地址及其通配符掩码
除了IP地址,源/目的MAC地址及其通配符掩码也被用于确定地址范围。格式如“source-mac source-mac-address [ source-mac-mask ]”和“destination-mac dest-mac-address [ dest-mac-mask ]”。如果不配置通配符掩码,则范围为配置MAC本身。
MAC地址通配符掩码的格式与MAC地址相同,采用十六进制数表示,共六个字节(48位)。各比特位中,1表示“检查相应的位”,0表示“不检查相应的位”。
VLAN编号及其掩码
在ACL中还可以针对VLAN编号进行匹配,格式如“vlan-id vlan-id [ vlan-id-mask ]”。如果不指定VLAN掩码,则为配置VLAN编号本身。VLAN掩码的格式是十六进制形式,取值范围是0x0~0xFFF。
高级ACL支持基于协议类型过滤报文,常用的协议类型包括ICMP、TCP、UDP、GRE、IGMP、IPinIP和OSPF等。还可以基于TCP/UDP端口号、TCP标志信息和IP分片信息进行匹配和过滤。
针对非分片报文、首片分片报文、非首片分片报文这三类报文,ACL有特定的处理方式。例如,可以配置包含“fragment”匹配项的ACL规则来阻塞非首片分片报文,从而防范分片报文攻击。
例如,在ACL 3012中存在一条规则:“rule 5 deny tcp destination 192.168.2.2 0 fragment”。这条规则表示对于目的IP地址为192.168.2.2的TCP报文,如果是非首片分片报文,将被拒绝通过。其他类型的报文则根据规则进行匹配和处理。
