32 svi接口使用out方向的acl.docVIP

文件类型： 实施类 版本号：V1.1（10/08/08） 文档作者：王雁 文档密级： 受控（和页面一致） 内审人：(邓霖、高天龙、孙宇航) 使用对象：区域工程师 ACL IN/OUT实施指南 2010-9-12 福建星网锐捷网络有限公司2008-9-12 第一次发布 王雁 目录 1 ACL 使用概述 5 1.1 什么是ACL 5 1.2 使用ACL的目的 5 1.3 目前ACL在网络中的广泛应用形式 5 2 ACL在数据处理流程中的体现 6 2.1 常见的芯片数据处理机制 6 2.1.1 S86数据流处理简介 6 2.1.2 S78数据处理流程简介 7 2.1.3 Cisco65某芯片处理流程简介 8 2.2 小结 9 3 我司ACL实现方式与特点分析 10 3.1 SVI和物理口使用IN方向的ACL 10 3.2 SVI接口使用OUT方向的ACL 11 3.3 物理口使用OUT方向的ACL 14 4 ACL 使用故障案例 16 4.1 XX工行ACL IN/OUT使用故障案例 16 4.1.1 网络概要说明 16 4.1.2 故障情况简介 16 4.1.3 故障分析 18 4.1.4 解决方案 18 4.1.5 问题延伸 19 4.1.6 故障总结 20 4.2 XX大学ACL OUT使用故障案例 21 4.2.1 网络概要说明 21 4.2.2 故障情况简介 21 4.2.3 故障分析 22 4.2.4 解决方案 23 5 ACL使用总结 24 5.1 在什么地方部署ACL 24 5.2 选用何种方式的ACL 25 5.3 评估ACE资源是否足够 25 6 常见问题 27 6.1 如何计算或查看过滤域模板消耗了多少个? 27 6.2 如何查看ACE消耗了多少？ 28 ACL 使用概述 什么是ACL ACL（Access Control List，访问控制列表）是用来实现流识别功能的。网络设备为了过滤报文，需要配置一系列的匹配条件对报文进行分类，这些条件可以是报文的源地址、目的地址、端口号等。当设备的端口接收到报文后，即根据当前端口上应用的ACL 规则对报文的字段进行分析，在识别出特定的报文之后，根据预先设定的策略允许或禁止该报文通过。 总结：ACL是访问控制列表。 使用ACL的目的 信息点间通信，内外网络的通信都是网络中必不可少的业务需求，但是为了保证的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，控制访问的一种网络技术手段。Fast Filter Processor，即快速过滤器，它是一种高效的硬件过滤引擎）。其基本功能就是根据报文的特征筛选出符合一定规则的数据流，并对数据流实施一定的策略，每一个FFP表项都可以定义一个筛选规则，也可以定义对符合此规则数据流的执行策略，ACL只是针对用户界面来说的其中的一种。 其他类似的功能包括安全通道、CPP、NFPP（硬件隔离）、IP+MAC绑定、ARP-check、策略路由、QOS(流匹配)等，他们都符合“根据报文的特征筛选出符合一定规则的数据流，并对数据流实施一定的策略”的原则。 ACL在数据处理流程中的体现 常见的芯片数据处理机制 S86数据流处理简介 V1.0芯片数据具体处理流程：PHY-Ingress-MMU-Egress Ingress：决定报文的转发规则，把转发规则和报文送到MMU作缓冲和转发；规则决定过程： L2（二层转发）-L3（路由逻辑）-FFP(快速过滤器)-Mirror（镜像） MMU流程： IBP（Ingress backpressure） HOL、出口队列 Egress流程： a. 从MMU获取报文； b. 决定TAG/UNTAG; c. 重新计算CRC； d. 按规则发送报文 S78数据处理流程简介 输入：收帧-FFP-L2(地址表/VLAN/STP)-L3路由-输入Qos 输出：输出过滤FFP-输出QOS-发帧. S78交换机基于端口应用的一些ACL都安装在线卡的FFP表项中，基于全局的应用在管理板的FFP表项中。由于S78支持输入过滤和输出过滤逻辑，所以S78支持ACL IN/OUT的应用，但目前软件版本尚未支持OUT方向的过滤。 Cisco65某芯片处理流程简介 注意此报文处理流程中input ACL及output ACL处理逻辑。 某些芯片甚至包括PortASIC，用来进行一些基本FFP功能的处理。 小结 根据各型号产品定义的数据处理流程，FFP在数据处理流程中的顺序不太一样，而且有时候由于芯片硬件的特性决定，对ACL的支持也不尽相同。例如S86 1.0硬件