2024年5月17日发(作者：vivos7手机)

维普资讯

华配　

为置　

中国工商银行福建省分行　潘朝晖　

中国工商银行福建省分行实施的一级分行网络结　条子规则组成，对于这些子规则，有Ａｕｔｏ（深度优先）和　

构优化调整项目中，根据规划采用了华为的￥６５０６Ｒ交　Ｃｏｎｆｉｇ（按配置顺序）两种匹配顺序，缺省是采用Ａｕｔｏ方　

式及后下发、先生效机制。　

换机作为内网核心交换机使用。在华为￥６５０６Ｒ上实施　

内网ＡＣＬ（访问控制列表）时，我们遇到了一些较为疑难　

的问题，后来通过华为研发人员的深入分析和自行实验　

测试，终于将问题解决。由于华为的ＡＣＬ配置较为复　

杂，而且很多人员又是初次接触华为中高端设备，因此　

在实施过程中往往考虑不周甚至出错，从而影响核心生　

Ａｕｔｏ：指定匹配该子规则时系统自动排序。当规则　

冲突时，描述的地址范围越小的规则，将会越优先考虑。　

深度的判断要依靠通配比较位和ＩＰ地址结合比较。　

Ｃｏｎｆｉｇ：指定匹配该子规则时按用户的配置顺序匹　

配。当规则冲突时，先配置的规则会被优先考虑，且　

￥６５０６Ｒ缺省采用后下发、先生效机制。　

产业务。本文对华为ＡＣＬ的配置进行了一些总结，供同　

行借鉴。　

２．华为￥６５０６Ｒ交换机ＡＣＬ的其他特点　

①ＡＣＬ直接下发到硬件芯片上。只能应用在交换机　

一

、

华为￥６５０６Ｒ交换机的ＡＣＬ特点　

物理端口且必须是在ＱｏＳ视图下，而不能如思科一样应　

用在ＶＬＡＮ上。　

１．与思科设备的ＡＣＬ比较　

（１）思科交换机／路由器的ＡＣＬ　

①思科ＡＣＬ缺省动作为：Ｄｅｎｙ　Ｍｌ（拒绝一切）；　

②规则匹配顺序：严格按照ＡＣＬ条目的配置顺序，　

采用先下发、先生效的原则。　

（２）华为￥６５０６Ｒ交换机的ＡＣＬ　

②较为复杂的特点。￥６５０６Ｒ的ＡＣＬ子规则条目数　

量有两个方面的限制：规则（Ｒｕｌｅ）与掩码（Ｍａｓｋ）表项的　

数量限制。对于ＦＥ４８Ｔ等单板的１～８个百兆口及Ｐ１２Ｔ／　

Ｔ１２Ｐ／ＧＴ４８等单板的１个千兆口，其理论上支持的数目　

为：１２８条Ｒｕｌｅ及１６条Ｍａｓｋ组合资源。但因为系统　

ＡＣＬ要占用一些资源，因此￥６５０６Ｒ实际上只能支持用　

户ＡＣＬ的资源为：１００条左右的Ｒｕｌｅｓ及１０条的Ｍａｓｋ　

组合资源。　

Ｍａｓｋ表项是匹配ＩＰ报文的前８０个字节，即不同　

中国金融电脑２００７年第４期・５９　

①￥６５０６Ｒ交换机的ＡＣＬ缺省动作为：Ｐｅｒｍｉｔ　ＭＩ　

（允许一切）；　

②关于子规则匹配次序：一个访问列表可以由多　

维普资讯

子规则是否使用相同的Ｍａｓｋ表项，除了查看“源一目的”　

Ｍａｓｋ配对类型外，还要看是三层协议（ＩＰ）还是四层协　

议（ＴｃＰ，ｕＤＰ）等。　

下（只是摘取其中使用不同Ｍａｓｋ表项资源的部分子规　

则），如表１所示。以下“标识”列中有相同标识符的子规　

则，表示使用一组相同的Ｍａｓｋ表项资源。　

以上配置是采用按照配置顺序后下发、先生效的策　

二、实际生产环境ＡＣＬ应用中遇到的问题　

对于Ｍａｓｋ表项方面的限制，因为不光要考虑源与　

目的地址的Ｍａｓｋ配对类型，还要考虑协议类型和其他　

略，放开了ＡＤ服务器与防病毒服务器的所有访问限制　

（包括１３９端口）。但在实施后第二天，很多ＯＡ工作站　

（除ＷｉｎＸＰ系统外）都反映登入ＡＤ域非常慢，要半个　

多小时后才能登录。　

硬件方面限制等因素，因此在实际ＡＣＬ应用中非常容　

易出错。以我行为例，在实施内网ＡＣＬ时，部分配置如　

经过仔细查找原因，发现内网交换机ＡＣＬ实施后，　

对ＡＤ服务器的１３９应用端口并没有开放，导致　

表１　ＡＣＬ配置表　

标识　ＡＣＬ配置　Ｍａｓｋ资源组合　

（源一目的Ｍａｓｋ组合，协议）／备注　

ａｃｌ　ｏｒｄｅｒ　ｌｓｔａ—ｃｏｎｆｉｇ－ｆｉｒｓｔ－ｍａｔｃｈ　

ａｃｌ　ｎａｍｅ　ｉｎ

ａｃｌ　ａｄｖａｎｃｅｄ　

采用按配置顺序后下发先生效的策略　

定义ＡＣＬ名称　

２５５．２５５．２４０．２５５一一ａｎｙ，ＩＰ　

ｈｏｓｔ－ｈｏｓｔ，ＩＰ　

※　

＆　

Ｒｕｌｅ　１　ｄｅｎｙ　ｉｐ　ＳＯＵｒＣｅ　０．０．１３．０　２５５．２５５．２４０．２５５　

Ｒｕｌｅ　２　ｐｅｒｍｉｔ　ｉｐ　ＳＯＵｒＣｅ　ＸＸＸ．６．４５．１　０　ｄｅｓｔｉｎａｔｉｏｎ　ＸＸＸ．０．８　１．１　０　

撑　Ｒｕｌｅ　３　ｐｅｒｍｉｔ　ｉｐ　ｄｅｓｔｉｎａｔｉｏｎ　ＸＸＸ．０．１７．７０　０　ａｎｙ—ｈｏｓｔ

ＩＰ　

，

撑　Ｒｕｌｅ　４　ｐｅｒｍｉｔ　ｉｐ　ｄｅｓｔｉｎａｔｉｏｎ　ＸＸＸ．０．３３．５　０　

Ｒｕｌｅ　５　ｐｅｒｍｉｔ　ｉｐ　ＳＯＵｒＣｅ　０．０．１３．０　２５５．２５５．２４０．２５５　

（最终配置采用将这２条子规则删除）　

△　

ｄｅｓｔｉｎａｔｉｏｎ　Ｘｘｘ．１．１ｌ５．０　０．０．０．２５５　

￥　

＠　

☆　

％　

☆　

Ｒｕｌｅ　６　ｐｅｒｍｉｔ　ｉｐ　ＳＯＵｒＣｅ　１０．１５．２５３．０　０．０．０．２５５　

Ｒｕｌｅ　７　ｐｅｒｍｉｔ　ｉｐ　ｓｏｕｒｃｅ　１０．１２８．０．０　０．０．２５５．２５５　

Ｒｕｌｅ　８　ｄｅｎｙ　ｔｃｐ　ｄｅｓｔｉｎａｔｉｏｎ—ｐｏｒｔ　ｅｑ　４　

Ｒｕｌｅ　９　ｐｅｒｍｉｔ　ｔｃｐ　ｅｓｔａｂｌｉｓｈｅｄ　ｄｅｓｔｉｎａｔｉｏｎ—ｐｏｒｔ　ｅｑ　４　

Ｒｕｌｅ　１０　ｄｅｎｙ　ｔｃｐ　ｄｅｓｔｉｎａｔｉｏｎ－ｐｏｒｔ　ｅｑ　１３９　

２５５．２５５．４０．２２５５－－０．０．０．２５５，ＩＰ　

０．０．０．２５５一ａｎｙ，ＩＰ　

０．０．２５５．２５５一ａｎｙ，ＩＰ　

ａｎｙ一一ａｎ　ｙ’ＴＣＰ　

ａｎｙ一一ａｎｙ，ＴＣＰ　ｅｓｔｂｌａｉｓｈｅｄ　

ａｎｙ一一ａｎｙ，ＴＣＰ　

☆　

￥　

Ｒｕｌｅ　１　１　ｄｅｎｙ　ｔｃｐ　ｄｅｓｔｉｎａｔｉｏｎ—ｐｏｒｔ　ｅｑ　４４５　

Ｒｕｌｅ　１２　ｐｅｒｍｉｔ　ｔｃｐ　ｓｏｕｒｃｅ　ＸＸＸ．４．１５．３３　０　

ｄｅｓｔｉｎａｔｉｏｎ　ＸＸＸ．０．６５．３　０　ｄｅｓｔｉｎａｔｉｏｎ－ｐｏｒｔ　ｅｑ　１３９　

（与Ｒｕｌｅ　８共用相同的Ｍａｓｋ组合资源）　

ｈｏｓｔ－ｈｏｓｔ，ＴＣＰ／ＵＤＰ　

Ｒｕｌｅ　１３　ｐｅｒｍｉｔ　ｔｃｐ　ｓｏｕｒｃｅ　ＸＸＸ．４．１５．４２　０　

￥　

ｄｅｓｔｉｎａｔｉｏｎ　ＸＸＸ．０．１７．６９　０　ｄｅｓｔｉｎａｔｉｏｎ—ｐｏｒｔ　ｅｑ　１３９　

撑　Ｒｕｌｅ　１４　ｐｅｒｍｉｔ　ｉｐ　ｄｅｓｔｉｎａｔｉｏｎ　ＸＸＸ．１．１　１５．３５　０　

撑　Ｒｕｌｅ　１５　ｐｅｒｍｉｔ　ｉｐ　ｄｅｓｔｉｎａｔｉｏｎ　ＸＸＸ．０．１４．２４　０　

ａｎｙ—ｈｏｓｔ，ＩＰ　

撑　Ｒ

ｕｌｅ　１６　ｐｅｒｍｉｔ　ｉｐ　ｄｅｓｔｉｎａｔｉｏｎ　ＸＸＸ．０．１４．２５　０　

Ｒｕｌｅ　１７　ｐｅｒｍｉｔ　ｉｐ　ｄｅｓｔｉｎａｔｉｏｎ　ＸＸＸ．０．１４．２６　０　

Ｒｕｌｅ　１８　ｐｅｒｍｉｔ　ｉｐ　ｄｅｓｔｉｎａｔｉｏｎ　ＸＸＸ．０．１４．２７　０　

ｆ与前面Ｒｕｌｅ　３－４共用一组相同的Ｍａｓｋ　

表项资源）　

撑　

撑　

汇总：Ｒｕｌｅ子规则数目＜１００条；Ｍａｓｋ资源组合：９条＜１０条，符合要求　

６０・中国金融电脑２００７年第４期　

维普资讯

Ｗｉｎ２０００／９８系统的ＯＡ工作站与ＡＤ服务器能ｐｉｎｇ通，　

但通过网上邻居找不到，超时后（约半小时）绕过中间的　

认证步骤（需用到１３９端口）才能登人ＡＤ域，而ＷｉｎＸＰ　

系统ＯＡ工作站不受影响，据应用人员分析原因可能是　

ＷｉｎＸＰ系统有些缓存机制并且不采用１３９端口进行登　

录ＡＤ域的认证。　

了考虑子规则Ｒｕｌｅ与Ｍａｓｋ表项条目数量不要超过限　

制外，还要尽量将使用相同Ｍａｓｋ表项的子规则放在一　

起。　

实际工作中如果不明白以上这条规则，不但达不到　

最初ＡＣＬ规划时的预期目的，而且还会造成意想不到　

的后果，给生产业务带来安全隐患。因此，针对我行情　

况，我们提出了以下两种解决办法。　

１．解决办法一　

我们用了备用的￥６５０６Ｒ搭建了实验环境来验证以　

上的ＡＣＬ配置，发现按以上配置，ＡＤ服务器及防病毒　

服务器确实无法通过网上邻居方式（使用１３９端口）访　

问ＯＡ工作站，无法实现预期目的。但与华为工程师仔　

细查找配置并对照ＡＣＬ规则没有发现错误，后经华为　

研发中心分析，得出以下分析结果。　

在配置表中，标识符为“＃”的子规则（Ｒｕｌｅ　３～４）与　

（Ｒｕｌｅ　１４～１８）共用相同的Ｍａｓｋ表项，因为￥６５０６Ｒ的　

ＡＣＬ的优先级除了有按配置顺序后下发先生效的规则　

外，还要根据Ｍａｓｋ表项来确定，使用相同Ｍａｓｋ表项的　

子规则，系统会自动将它们从不同的位置挪到一起，而　

不论是否已采用了按配置顺序。在以上配置中实际的优　

先级（Ｒｕｌｅ　３～４）与（Ｒｕｌｅ　１４～１８）是一样的，而且由于硬　

件方面的限制，（Ｒｕｌｅ　１４～１８）在执行过程中的实际位置　

会跳到子规则（Ｒｕｌｅ　４）与（Ｒｕｌｅ　５）之间，由于是后下发　

先生效，因此（Ｒｕｌｅ　１４—１８）的优先级发生跳跃，比标识　

符为“☆”的子规则（Ｒｕｌｅ　１０　ｄｅｎｙ　ｔｅｐ　ｄｅｓｔｉｎａｔｉｏｎ—ｐｏｒｔ　ｅｑ　

１３９）的优先级低了，所以会出现能够Ｐｉｎｇ通，而共享文　

件夹（使用ＴＣＰ　１３９端口）不能访问的情况，因为所有目　

的端口为１３９的地址都先被Ｒｕｌｅ　１０被禁用，使得后生　

效的（Ｒｕｌｅ　１４～１８）要放开ＡＤ服务器与防病毒服务器　

１３９端口的特例不起作用。　

三、配置ＡＣＬ时易被忽略的规则及解决办法　

经总结，华为￥６５０６Ｒ交换机配置ＡＣＬ时易忽略以　

下规则：　

若不同子规则处于不同位置，但使用相同的Ｍａｓｋ　

表项，虽然已采用了按配置顺序后下发先生效的策略，　

但系统会自动将这些使用相同Ｍａｓｋ表项的子规则挪到　

一

起，从而引起匹配顺序的调整，并且是将优先级高的　

子规则挪到优先级低的子规则位置下面，从而使这些子　

规则的优先级发生跳跃。因此，在进行ＡＣＬ规划时，除　

对（Ｒｕｌｅ　１４～１８）的ＡＣＬ重新定义，改变原来的掩　

码，这样就不会和（Ｒｕｌｅ　３－４）ＡＣＬ共用相同Ｍａｓｋ表项　

了。　

原来的定义：（使用ａＪ１ｙ—ｈｏｓｔ，ＩＰ）　

Ｒｕｌｅ　１４　ｐｅｒｍｉｔ　ｉｐ　ｄｅｓｔｉｎａｔｉｏｎ　ＸＸＸ．１．１　１５．３５　０　

Ｒｕｌｅ　１５　ｐｅｒｍｉｔ　ｉｐ　ｄｅｓｔｉｎａｔｉｏｎ　ＸＸＸ．０．１４．２４　０　

Ｒｕｌｅ　１６　ｐｅｒｍｉｔ　ｉｐ　ｄｅｓｔｉｎａｔｉｏｎ　ＸＸＸ．０．１４．２５　０　

Ｒｕｌｅ　１７　ｐｅｒｍｉｔ　ｉｐ　ｄｅｓｔｉｎａｔｉｏｎ　ＸＸＸ．０．１４．２６　０　

Ｒｕｌｅ　１８　ｐｅｒｍｉｔ　ｉｐ　ｄｅｓｔｉｎａｔｉｏｎ　ＸＸＸ．０．１４．２７　０　

修改为：（使用ａｎｖ．＿－０．０．０．１，ＩＰ）　

Ｒｕｌｅ　１４　ｐｅｒｍｉｔ　ｉｐ　ｄｅｓｔｉｎａｔｉｏｎ　ＸＸＸ．１．１　１５．３５　０．０．０．１　

Ｒｕｌｅ　１　５　ｐｅｒｍｉｔ　ｉｐ　ｄｅｓｔｉｎａｔｉｏｎ　ＸＸＸ．０．１４．２４　０．０．０．１　

（相当于原来的两条）　

Ｒｕｌｅ　１６　ｐｅｒｍｉｔ　ｉｐ　ｄｅｓｔｉｎａｔｉｏｎ　ＸＸＸ．０．１４．２６　０．０．０．１　

（相当于原来的两条）　

这样会多使用一条Ｍａｓｋ表项即达到了ｌ０条，正好　

用完所有的Ｍａｓｋ可用资源。采用这种方法测试后可以　

达到我们的要求，但因所有的Ｍａｓｋ表项都用完了，不利　

于以后的扩展，因此我们采用了第二种解决方法。　

２．解决办法二　

为了尽量减少Ｍａｓｋ表项的使用数量，与相关应用　

部门商量，将不再允许所有测试地址（ｘｘｘ．６．０．０；ＸＸＸ．　

４．１３／２９．０）对生产服务器的访问，这样就可以把（Ｒｕｌｅ　３—　

４）这几条子规则去掉，因此最后仍然只用了９条Ｍａｓｋ，　

还剩一条Ｍａｓｋ资源以备以后扩展。　

Ｒｕｌｅ　３　ｐｅｒｍｉｔ　ｉｐ　ｄｅｓｔｉｎａｔｉｏｎ　ＸＸＸ．０．１７．７０　０　

Ｒｕｌｅ　４　ｐｅｒｍｉｔ　ｉｐ　ｄｅｓｔｉｎａｔｉｏｎ　ＸＸＸ．０．３３．５　０　

这样最终的ＡＣＬ配置除了将以上这几条去掉外，　

其余都不变（具体配置见前面的表格）。按照新的ＡＣＬ　

配置下发后，ＡＤ与防病毒服务应用均能正常使用。日圆　

中国金融电脑２００７年第４期・６１