22-ACL命令

合集下载

ACL命令——H3C交换机（基本ACL）

ACL命令——H3C交换机（基本ACL）展开全文ACL命令——H3C交换机（基本ACL）1、acl命令用于创建一条ACL，并进入相应的ACL视图。

undo acl命令用于删除指定的ACL，或者删除全部ACL。

ACL支持两种匹配顺序，如下所示：1、配置顺序：根据配置顺序匹配ACL规则。

2、自动排序：根据“深度优先”规则匹配ACL规则。

“深度优先”规则说明如下：1、基本ACL的深度优先以源IP地址掩码长度排序，掩码越长的规则位置越靠前。

排序时比较源IP地址掩码长度，若源IP地址掩码长度相等，则先配置的规则匹配位置靠前。

例如，源IP地址掩码为255.255.255.0的规则比源IP地址掩码为255.255.0.0的规则匹配位置靠前。

2、高级ACL的深度优先以源IP地址掩码和目的IP地址掩码长度排序，掩码越长的规则位置越靠前。

排序时先比较源IP地址掩码长度，若源IP地址掩码长度相等，则比较目的IP地址掩码长度；若目的IP地址掩码长度也相等，则先配置的规则匹配位置靠前。

例如，源IP 地址掩码长度相等时，目的IP地址掩码为255.255.255.0的规则比目的IP地址掩码为255.255.0.0的规则匹配位置靠前。

可以使用match-order指定匹配顺序是按照用户配置的顺序还是按照深度优先顺序（优先匹配范围小的规则），如果不指定则缺省为用户配置顺序。

用户一旦指定一条ACL的匹配顺序后，就不能再更改，除非把该ACL规则全部删除，再重新指定其匹配顺序。

ACL的匹配顺序特性只在该ACL被软件引用进行数据过滤和分类时有效。

【举例】# 定义ACL 2000的规则，并定义规则匹配顺序为深度优先顺序。

<H3C> system-viewSystem View: return to User View with Ctrl+Z.[H3C] acl number 2000 match-order auto[H3C-acl-basic-2000]2、description命令用来定义ACL的描述信息，描述该ACL的具体用途。

访问控制列表(ACL)总结配置与应用

2、删除建立的标准 ACL
Router（config）#no access-list access-list-number 注意：对于扩展 ACL 来说，不能删除单条 ACL 语法，只能删除整个 ACL，这意味着如果要改变一条或多条 ACL 语句，必须删除整个 ACL，然后输入所要的 ACL。
5
标准 ACL 配置实例
如图：要求配置标准 ACL 实现禁止主机 PC1 访问主机 PC2，而允许其他所有流量
3
1、分析哪个接口应用标准 ACL
应用在入站还是出站接口。路由器对进入的数据包先检查入访问控制列表，对允许传输的数据包才查询路由
表，而对于外出的数据包先查询路由表，确定目标后才查看出访问控制列表。因此应该尽量把访问控制列表应用入站方向，因为它比应用到出站接口效率更高：将要丢弃的数据包在路由器进行路由表查询处理之前就拒绝掉。应用在哪台路由器上。
R1#show access-lists
Extended IP access list 101 10 permit tcp host 192.168.1.2 host 192.168.4.2 eq www 20 deny ip host 192.168.1.2 host 192.168.4.2
6
R1#show running-config
由于标准 ACL 只能根据源地址过滤数据包，如果应用在路由器 R1 或 R2 的入站接口，那 PC1 不仅不能访问 PC2，而且不能访问 192.168.4.0，二应用在 R3 的入接口接可以实现。
2、配置标准 ACL 并应用到接口上
R3(config)#access-list 1 deny host 192.168.1.2 R3(config)#access-list 1 permit any R3(config)#interface fastEthernet0/0 R3(config-if)#ip access-group 1 in

H3C2,3层交换机ACL命令详解

1.1 公共配置命令1.1.1 display time-range【命令】display time-range{ time-name| all}【视图】任意视图【参数】time-name：时间段的名称，为1～32个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。

为避免混淆，时间段的名字不可以使用英文单词all。

all：所有配置的时间段。

【描述】display time-range命令用来显示时间段的配置和状态，对于当前处在激活状态的时间段将显示Active，对于非激活状态的时间段将显示Inactive。

【举例】# 显示时间段trname的配置和状态。

<Sysname> display time-range trnameCurrent time is 22:20:18 1/5/2006 ThursdayTime-range : trname ( Inactive )from 15:00 1/28/2006 to 15:00 1/28/2008表1-1 display time-range命令显示信息描述表1.1.2 time-range【命令】time-range time-name{ start-time to end-time days[ from time1 date1] [ to time2 date2 ] | from time1 date1 [ to time2 date2 ] | to time2 date2 }undo time-range time-name [ start-time to end-time days [ from time1 date1 ] [ to time2 date2 ]| from time1 date1 [ to time2 date2 ] | to time2 date2 ]【视图】系统视图【参数】time-name：时间段的名称，为1～32个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。

Linux中的Setfacl命令

Linux中的Setfacl命令setfacl命令是⽤来在命令⾏⾥设置ACL（访问控制列表）。

在命令⾏⾥，⼀系列的命令跟随以⼀系列的⽂件名。

选项-b,--remove-all：删除所有扩展的acl规则，基本的acl规则(所有者，群组，其他）将被保留。

-k,--remove-default：删除缺省的acl规则。

如果没有缺省规则，将不提⽰。

-n，--no-mask：不要重新计算有效权限。

setfacl默认会重新计算ACL mask，除⾮mask被明确的制定。

--mask：重新计算有效权限，即使ACL mask被明确指定。

-d，--default：设定默认的acl规则。

--restore=file：从⽂件恢复备份的acl规则（这些⽂件可由getfacl -R产⽣）。

通过这种机制可以恢复整个⽬录树的acl规则。

此参数不能和除--test以外的任何参数⼀同执⾏。

--test：测试模式，不会改变任何⽂件的acl规则，操作后的acl规格将被列出。

-R，--recursive：递归的对所有⽂件及⽬录进⾏操作。

-L，--logical：跟踪符号链接，默认情况下只跟踪符号链接⽂件，跳过符号链接⽬录。

-P，--physical：跳过所有符号链接，包括符号链接⽂件。

--version：输出setfacl的版本号并退出。

--help：输出帮助信息。

--：标识命令⾏参数结束，其后的所有参数都将被认为是⽂件名-：如果⽂件名是-，则setfacl将从标准输⼊读取⽂件名。

选项-m和-x后边跟以acl规则。

多条acl规则以逗号(,)隔开。

选项-M和-X⽤来从⽂件或标准输⼊读取acl规则。

选项--set和--set-file⽤来设置⽂件或⽬录的acl规则，先前的设定将被覆盖。

选项-m(--modify)和-M(--modify-file)选项修改⽂件或⽬录的acl规则。

选项-x(--remove)和-X(--remove-file)选项删除acl规则。

ACL 和 Iptabless

ACL1.访问控制列表的类型标准访问控制列表：根据数据包的源IP地址来允许或拒绝。

（标号1—99）扩展访问控制列表：根据数据包的源IP地址、目的IP地址、指定协议、端口和标志（100-199）命名访问控制列表：允许在标准和扩展访问控制列表中使用命名来代替标号定时访问控制列表：提供基于时间的附加访问控制。

2.标准的ACL配置语法：Router（config）#access-list （1—99） {permit|deny} 源ip的网段反掩码1.允许192.168.1.0/24和192.168.1.2 的流量通过Router（config）#access-list 1 permit 192.168.1.0 0.0.0.255Router（config）#access-list 1 permit 192.168.1.2 0.0.0.0.0或Router（config）#access-list 1 host 192.168.1.12.拒绝访问任何网段 Router（config）#access-list 2 deny any3.删除以建立的ACL Router（config）# no access-list 14.将ACl应用到端口 Router（config-if）#ip access-group （1——99）{in | out }3.扩展访问ACL 配置Router（config）#access-list （100-199）{permit | deny} protocol {原地址反掩码目标地址反掩码} [operator operan ]Operator:lt-小于；gt—大于；eq—等于；neq-不等于Protocol：TCP;UDP;IP;ICMP1.允许网络192.168.1.0/24访问网络192.168.2.0/24的ip流量通过。

而拒绝其他的任何流量Router（config）#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 Router（config）#access-list 100 deny ip any any2. 拒绝网络192.168.1.0/24访问FTP服务器192.168.2.2。

思科华为全系列交换机路由器常用命令

思科华为全系列交换机路由器常用命令交换机/路由器配置综合复习交换机/路由器常用命令汇总本课内容交换机常用命令2交换机常用命令交换机常用命令31.交换机常用命令·>Enable进入特权模式·#E某it返回上一级操作模式·#End返回到特权模式·#writememory或copyrunning-configtartup-config保存配置文件·#delflah:config.te某t删除配置文件(交换机及1700系列路由器)·#delflah:vlan.dat删除Vlan配置信息（交换机）·(config)#hotnamewitchA配置设备名称4为witchA1.交换机常用命令·(config)#enableecretlevel10tar配置远程登陆密码为tar·(config)#enableecretlevel150tar配置特权密码为tar·Level1为普通用户级别，可选为1~15，15为最高权限级别；0表示密码不加密·(config)#enableerviceweb-erver开启交换机WEB管理功能·Service可选以下：web-erver(WEB管理)、telnet-erver(远程登陆)等51.交换机常用命令查看信息·#howrunning-config查看当前生效的配置信息·#howinterfacefatethernet0/3查看F0/3端口信息·#howinterfaceerial1/2查看S1/2端口信息·#howinterface查看所有端口信息·#howipinterfacebrief以简洁方式汇总查看所有端口信息·#howipinterface查看所有端口信息·#howverion查看版本信息61.交换机常用命令查看信息·#howmac-addre-table查看交换机当前MAC地址表信息·#howrunning-config查看当前生效的配置信息·#howvlan查看所有VLAN信息·#howvlanid10查看某一VLAN(如VLAN10)的信息·#howinterfacefatethernet0/1witchport查看某一端口模式(如F0/1)·#howaggregateport1ummary查看聚合端7口AG1的信息1.交换机常用命令查看信息·#howpanning-tree查看生成树配置信息·#howpanning-treeinterfacefatethernet0/1查看该端口的生成树状态·#howport-ecurity查看交换机的端口安全配置信息·#howport-ecurityaddre查看地址安全绑定配置信息·#howipacce-litlitname查看名为litname的列表的配置信息8·#howacce-lit1.交换机常用命令端口的基本配置·(config)#Interfacefatethernet0/3进入F0/3的端口配置模式·(config)#interfacerangefa0/1-2,0/5,0/7-9进入F0/1、F0/2、F0/5、F0/7、F0/8、F0/9的端口配置模式·(config-if)#peed10配置端口速率为10M,可选10,100,auto91.交换机常用命令端口的基本配置·(config-if)#duple某full配置端口为全双工模式,可选full(全双工),half(半双式),auto(自适应)·(config-if)#nohutdown开启该端口·(config-if)#witchportaccevlan10将该端口划入VLAN10中,用于VLAN·(config-if)#witchportmodetrunk将该端口设为trunk模式,可选模式为acce,trunk·(config-if)#port-group1将该端口划入聚合端口AG1中,用于聚合端口101.交换机常用命令聚合端口的创建·(config)#interfaceaggregateport1创建聚合接口AG1·(config-if)#witchportmodetrunk配置并保证AG1为trunk模式·(config)#intf0/23-24·(config-if-range)#port-group1将端口（端口组）划入聚合端口AG1中111.交换机常用命令生成树·(config)#panning-tree开启生成树协议·(config)#panning-treemodetp指定生成树类型为tp可选模式tp,rtp,mtp·(config)#panning-treepriority4096设置交换机的优先级为4096,优先级值小为高。

ACL配置大全及命令

ACL的使用ACL的处理过程：1、语句排序一旦某条语句匹配，后续语句不再处理。

2、隐含拒绝如果所有语句执行完毕没有匹配条目默认丢弃数据包要点：ACL能执行两个操作：允许或拒绝。

语句自上而下执行。

一旦发现匹配，后续语句就不再进行处理---因此先后顺序很重要。

如果没有找到匹配，ACL末尾不可见的隐含拒绝语句将丢弃分组。

一个ACL应该至少有一条permit语句；否则所有流量都会丢弃，因为每个ACL末尾都有隐藏的隐含拒绝语句。

如果在语句结尾增加deny any的话可以看到拒绝记录Cisco ACL有两种类型一种是标准另一种是扩展，使用方式习惯不同也有两种方式一种是编号方式，另一种是命名方式。

示例：编号方式标准的ACL使用1 ~ 99 以及1300~1999之间的数字作为表号，扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号一、标准（标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。

）允许172.17.31.222通过，其他主机禁止Cisco-3750(config)#access-list 1（策略编号）（1-99、1300-1999）permit host 172.17.31.222禁止172.17.31.222通过,其他主机允许Cisco-3750(config)#access-list 1 deny host 172.17.31.222Cisco-3750(config)#access-list 1 permit any允许172.17.31.0/24通过,其他主机禁止Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254（反码255.255.255.255减去子网掩码，如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255）禁止172.17.31.0/24通过,其他主机允许Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254Cisco-3750(config)#access-list 1 permit any二、扩展（扩展ACL比标准ACL提供了更广泛的控制范围。

ACL应用

• 2.3、分片过滤的命令命令基础都是基于上面的标准和拓展ACL的。不过要过滤是就是用 deny操作，放行就是用permit操作。例子： access-list 100 deny ip any any fragments 意思：拒绝所有的分片。应用：
在R1的e0/0接口上使用in方向的分片过滤。
• 效果图
5、反射ACL
• 5.1 反射ACL是跟一般的ACL条目是不一样的。列表条目不是固定的，是根据内部向外部发起的通信，自动在反射启用接口下产生临时条目，用以放行反向流量。 • 5.2概念 Idle_time ：代表临时条目会产生到小时存在的限期，一般是300秒。 FIN time ：代表TCP连接断开后，条目表会在FIN time时间过去后，会自动消失临时条目。
5.4、修改idle_time 大小修改这个临时存在的值的时候有两种修改方法，一种是在标记反射条目的时候在后面修改这个时间。例如：permit ip any any reflect RACL timeout 30 另一种方法是将全部ACL的临时存在时间都修改成相同的时间。在配置模式下： ip reflexive-list timeout 10
• ③定义时间 time-rang ｛时间段名字｝接着在该时间段下有两个参数可选absolute 和periodic 两个的区别是 absolute：代表在一个时间段之内，过了的话就过了，有开始时间和结束时间。没有循环的概念。例如：2011年6月5号~6号。 periodic ：代表在一段会循环的时间内，过了的话就等下一次循环的到来再继续启用。例如：星期一。命令范例 absolute start 12:00 22 April 2012 end 12:00 22 April 2013 periodic weekdays 12:00 to 13:00

acl(用户界面视图)命令配置和使用

acl（用户界面视图）命令配置和使用命令功能acl命令用来通过引用访问控制列表，对通过用户界面的登录进行限制。

undo acl命令用来取消通过用户界面的登录进行限制。

缺省情况下，不对通过用户界面的登录进行限制。

命令格式acl [ ipv6 ] { acl-number | acl-name } { inbound | outbound }undo acl [ ipv6 ] [ acl-number | acl-name] { inbound | outbound }参数说明参数ipv6acl-numberacl-nameinboundoutbound视图用户界面视图缺省级别3：管理级使用指南应用场景若需要对通过用户界面的登录进行限制，即对源IP、目的IP、源端口、目的端口、VPN实例和协议类型为TCP的报文进行控制，控制的动作是允许访问还是拒绝访问，可通过本命令实现。

前置条件执行本命令前，需要先执行acl（系统视图）命令和rule（基本ACL视图）或rule（高级ACL视图）命令成功配置访问控制列表。

若没有配置rule规则，执行本命令后，将不对通过用户界面的登录进行限制。

注意事项配置生效后，该用户界面的所有用户均受此ACL限制。

一个用户界面只能配置一个同类的ACL，即IPv4的inbound和outbound、IPv6的inbound和outbound共4类，每类最多只能配一个。

Console口界面不支持配置该命令。

使用实例# 在VTY0用户界面上，通过访问控制列表号限制Telnet登录其他设备。

<HUAWEI> system-view[HUAWEI] acl 3001[HUAWEI-acl-adv-3001] rule deny tcp destination-port eq telnet [HUAWEI-acl-adv-3001] quit[HUAWEI] user-interface vty 0[HUAWEI-ui-vty0] acl 3001 outbound# 在VTY0用户界面上，取消对Telnet登录其他设备的限制。

交换机 ACL原理及配置详解

Cisco ACL原理及配置详解作者: 佚名, 出处:中国IT实验室,责任编辑: 白志飞,2010-04-22 09:49标准访问控制列表实例二配置任务：禁止172.16.4.13这个计算机对172.16.3.0/24网段的访问，而172.16.4.0/24中的其他计算机可以正常访问。

路由器配置命令：access-list 1 deny host 172.16.4.13 设置ACL，禁止172.16.4.13的数据包通过access-list 1 permit any 设置ACL，容许其他地址的计算机进行通讯int e 1 进入E1端口ip access-group 1 in 将ACL1宣告，同理可以进入E0端口后使用ip access-group 1 out来完成宣告。

配置完毕后除了172.16.4.13其他IP地址都可以通过路由器正常通讯，传输数据包。

总结：标准ACL占用路由器资源很少，是一种最基本最简单的访问控制列表格式。

应用比较广泛，经常在要求控制级别较低的情况下使用。

如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了，他可以满足我们到端口级的要求。

扩展访问控制列表：上面我们提到的标准访问控制列表是基于IP地址进行过滤的，是最简单的ACL。

那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。

这时候就需要使用扩展访问控制列表了。

使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW，FTP等)。

扩展访问控制列表使用的ACL号为100到199。

扩展访问控制列表的格式刚刚我们提到了标准访问控制列表，他是基于IP地址进行过滤的，是最简单的ACL。

那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。

这时候就需要使用扩展访问控制列表了。

使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW，FTP等)。

华三华为交换机-路由器配置常用命令讲解

H3C交换机配置命令大全1、system-view 进入系统视图模式2、sysname 为设备命名3、display current-configuration 当前配置情况4、language-mode Chinese|English 中英文切换5、interface Ethernet 1/0/1 进入以太网端口视图6、port link-type Access|Trunk|Hybrid 设置端口访问模式7、undo shutdown 打开以太网端口8、shutdown 关闭以太网端口9、quit 退出当前视图模式10、vlan 10 创建VLAN 10并进入VLAN 10的视图模式11、port access vlan 10 在端口模式下将当前端口加入到vlan 10中12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中13、port trunk permit vlan all 允许所有的vlan通过H3C路由器配置命令大全1、system-view 进入系统视图模式2、sysname R1 为设备命名为R13、display ip routing-table 显示当前路由表4、language-mode Chinese|English 中英文切换5、interface Ethernet 0/0 进入以太网端口视图6、ip address 192.168.1.1 255.255.255.0 配置IP地址和子网掩码7、undo shutdown 打开以太网端口8、shutdown 关闭以太网端口9、quit 退出当前视图模式10、ip route-static 192.168.2.0 255.255.255.0 192.168.12.2 description To.R2 配置静态路由11、ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 description To.R2 配置默认的路由H3C S3100 SwitchH3C S3600 SwitchH3C MSR 20-20 Router1、调整超级终端的显示字号；2、捕获超级终端操作命令行，以备日后查对；3、language-mode Chinese|English 中英文切换；4、复制命令到超级终端命令行，粘贴到主机；5、交换机清除配置:<H3C>reset save ；<H3C>reboot ；6、路由器、交换机配置时不能掉电，连通测试前一定要检查网络的连通性，不要犯最低级的错误。

防火墙命令

Ethernet1/0/7 unassigned down down Huawei Symantec,
Vlanif1 192.168.0.1 down down Huawei Symantec,
#
interface Ethernet1/0/6
#
interface Ethernet1/0/7
#
interface NULL0
#
right-manager server-group
#
acl number 2000
rule 5 permit source 192.168.1.0 0.0.0.255
add interface Vlanif3
#
firewall zone untrust
set priority 5
add interface Ethernet0/0/0
add interface Vlanif2
#
firewall zone dmz
set priority 50
acl number 2001
rule 5 permit source 192.168.99.77 0
rule 10 permit source 192.168.0.0 0.0.0.255
acl number 2500
rule 5 permit source 192.168.8.125 0
authentication-mode none
user privilege level 3
set authentication password simple cisco123
#
common

acl规则的配置命令

ACL（访问控制列表）是一种用于控制网络流量和访问权限的技术。

在配置ACL规则时，需要使用特定的命令来定义规则。

以下是一些常见的ACL配置命令：创建ACL规则：ip access-list <access-list-name>其中，<access-list-name>是ACL规则的名称，可以是数字或字母。

添加访问控制项：phppermit <source> <destination> <protocol> <port>其中，<source>表示源地址，可以是具体的IP地址或子网；<destination>表示目标地址，也可以是具体的IP地址或子网；<protocol>表示使用的协议，如TCP、UDP等；<port>表示使用的端口号。

添加拒绝访问控制项：phpdeny <source> <destination> <protocol> <port>与添加访问控制项类似，但表示拒绝访问。

退出ACL配置模式：exit应用ACL规则到接口：phpinterface <interface-name>ip access-group <access-list-name> in/out其中，<interface-name>表示要应用规则的接口名称；<access-list-name>是之前创建的ACL规则的名称；in/out表示规则应用于接口的入方向或出方向。

这些命令可以帮助您配置和管理ACL规则。

请注意，具体的命令和语法可能因不同的网络设备和操作系统而有所不同。

因此，在实际配置时，请参考相关设备和操作系统的文档。

防火墙配置与NAT配置

只使用源IP地址来控制IP包数字标识：2023 — 2999
高级旳访问控制列表（Advanced ACL）
使用源和目旳IP地址，协议号，源和目旳端标语来控制IP包数字表达：3000 — 3999
基于MAC 旳访问控制列表（MAC-based ACL）
使用MAC地址来控制网络包数字表达：4000 — 4999
配置其他协议旳扩展ACL ：
rule [ normal | special ] { permit | deny } { ip | ospf | igmp | gre } [source source-addr source-wildcard | any ] [ destination dest-addr dest-wildcard | any ]
6
访问控制列表 — 分类（AR18）
原则访问控制列表
只使用源IP地址来描述IP包数字标识：2023 — 2999
扩展访问控制列表
使用源和目旳IP地址，协议号，源和目旳端标语来描述IP包
数字表达：3000 — 3999
7
访问控制列表 — 原则ACL
[Quidway] acl acl-number [ match-order { config | auto } ]
顾客可在一种接口上对“入”和“出”两个方向旳报文分别定义不同旳ACL
在接口上应用ACL旳命令为：
[Quidway-Serial0] firewall packet-filter acl-number { inbound | outbound }
inbound：入方向 outbound：出方向
normal：该规则在全部时间段内起作用； //缺省值 special：该规则在指定时间段内起作用，使用special 时顾客需另

H3C配置命令24-acl命令

【命令】 acl order { auto | first-config-first-match | last-config-first-match }
【视图】系统视图
【参数】 auto：指定下发的 ACL 规则按深度优先原则生效。 first-config-first-match：指定下发的 ACL 规则按下发顺序生效，先下发的先生效。 last-config-first-match：指定下发的 ACL 规则按下发顺序生效，后下发的先生效。
【视图】系统视图
【参数】 number acl-number：ACL 序号，取值范围为: z 2000～2999：表示基本 ACL。 z 3000～3999：表示高级 ACL。 z 4000～4999：表示二层 ACL。 z 5000～5999：表示用户自定义 ACL。 name acl-name：ACL 名字，最多 32 个字符，必须以英文字母（即[a-z,A-Z]）开始，而且中间不能有空格和引号；不区分大小写，不允许使用关键字 all。 advanced：表示高级 ACL。 basic：表示基本 ACL。 link：表示二层 ACL。
说明：本命令只对 A 型业务板有效。
第 1 章 ACL 命令
【举例】 # 指定基于三层信息进行流分类。
<H3C>system-view System View: return to User View with Ctrl+Z. [H3C] acl mode ip-based
1.1.3 acl order
H3C S7500 系列以太网交换机命令手册 ACL
目录
目录
第 1 章 ACL命令......................................................................................................................1-1 1.1 ACL命令............................................................................................................................. 1-1 1.1.1 acl............................................................................................................................ 1-1 1.1.2 acl mode.................................................................................................................. 1-2 1.1.3 acl order .................................................................................................................. 1-3 1.1.4 display acl config ..................................................................................................... 1-4 1.1.5 display acl config statistics ...................................................................................... 1-5 1.1.6 display acl mode...................................................................................................... 1-5 1.1.7 display acl order ...................................................................................................... 1-6 1.1.8 display acl remaining entry...................................................................................... 1-6 1.1.9 display acl running-packet-filter............................................................................... 1-8 1.1.10 display time-range ................................................................................................. 1-8 1.1.11 packet-filter.......................................................................................................... 1-10 1.1.12 reset acl counter.................................................................................................. 1-12 1.1.13 rule （基本ACL） ................................................................................................ 1-13 1.1.14 rule （高级ACL） ................................................................................................ 1-15 1.1.15 rule （二层ACL） ................................................................................................ 1-20 1.1.16 rule （用户自定义ACL） ..................................................................................... 1-22 1.1.17 time-range ........................................................................................................... 1-24

H3C交换机ACL策略

ACL示例<SWA>sys[SWA]acl number 3309 name net109acl //创建一个高级acl，编号3309，命名net109acl，命名为可选[SWA-acl-adv-3309-net109acl]rule permit tcp destination 10.0.109.101 0.0.0.0 destination-port range 9080 9099//添加一条规则，允许tcp协议且目的地址为10.0.109.101、目标端口为9080~9099。

//规则未添加编号时默认为当前acl规则的最大编号加5。

可使用step命令设置编号间隔。

[SWA-acl-adv-3309-net109acl]rule permit tcp source 10.0.110.108 0.0.0.3 destination 10.0.109.160 0.0.0.7 destination-port range 9000 9019 //新建tcp规则允许源地址为10.0.110.108~10.0.110.111、目的地址为10.0.109.160~10.0.109.167、目的端口号为9000~9019[SWA-acl-adv-3309-net109acl]rule permit tcp source 10.0.108.99 0.0.0.0 destination-port eq 10050 //新建tcp规则，允许源地址为10.0.109.99，目标端口为10050[SWA-acl-adv-3309-net109acl]rule 1000 deny ip[SWA-acl-adv-3309-net109acl]rule 15 permit tcp destination-port eq 22 logging //插入一条tcp规则，编号为15，允许访问端口22，并对符合此条件的行为记录日志。

ACL基础知识点总结

ACL基础知识点总结ACL基本知识点：1.ACL（Access Control List），访问控制列表。

基本原理：配置了ACL的⽹络设备根据事先设定好的报⽂匹配规则对经过该设备的报⽂进⾏匹配，然后对匹配上的报⽂执⾏事先设定好的处理动作。

2.ACL常常与防⽕墙（Firewall）、路由策略、QoS（Quality of Service）、流量过滤（Traffic Filtering）等技术结合使⽤。

3.ACL的类型：基本ACL（2000-2999）⾼级ACL（3000-3999）⼆层ACL（4000-4999）⽤户⾃定义ACL（5000-5999）4.⼀个ACL通常由若⼲条“deny|permit”语句组成。

permit，允许；deny，拒绝。

⼀个ACL中的每⼀条规则都有相应的编号，称规则编号。

规则编号的缺省值为5，若将规则编号的步长设定为10，则规则编号将按照10、20、30...这样的规律进⾏⾃动分配。

步长⼤⼩反映相邻规则编号之间的间隔⼤⼩。

5.基本ACL：（1）只能基于IP报⽂的源IP地址、报⽂分⽚标记和时间段信息来定义规则。

（2）基本结构: rule [rule-id] {permit|deny} [source {source-address source-wildcard | any}] | fragment | logging | time-range time-name]解释：source：表⽰源IP地址信息。

source-address：表⽰具体的源IP地址source-wildcard：表⽰与source-address相对应的通配符。

any：表⽰源地址可以是任何地址。

fragment：表⽰该规则只对⾮⾸⽚分⽚报⽂有效。

logging:表⽰需要将匹配上该规则的IP报⽂进⾏⽇志报录。

time-range：表⽰该规则的⽣效时间段为time-name.（3）实例：如图所⽰，某公司⽹络包含了研发部区域，⼈⼒资源部区域和财务部区域。

网络安全之——ACL(访问控制列表)

网络安全之——ACL(访问控制列表)【实验目的】1、掌握基本ACL的原理及配置方法。

2、熟悉高级ACL的应用场合并灵活运用。

【实验环境】H3C三层交换机1台，PC 3台，标准网线3根。

【引入案例1】某公司建设了Intranet，划分为经理办公室、档案室、网络中心、财务部、研发部、市场部等多个部门，各部门之间通过三层交换机（或路由器）互联，并接入互联网。

自从网络建成后麻烦不断，一会儿有人试图偷看档案室的文件或者登录网络中心的设备捣乱，一会儿财务部抱怨研发部的人看了不该看的数据，一会儿领导抱怨员工上班时候整天偷偷泡网，等等。

有什么办法能够解决这些问题呢？【案例分析】网络应用与互联网的普及在大幅提高企业的生产经营效率的同时也带来了许多负面影响，例如，数据的安全性、员工经常利用互联网做些与工作不相干的事等等。

一方面，为了业务的发展，必须允许合法访问网络，另一方面，又必须确保企业数据和资源尽可能安全，控制非法访问，尽可能的降低网络所带来的负面影响，这就成了摆在网络管理员面前的一个重要课题。

网络安全采用的技术很多，通过ACL（Access Control List，访问控制列表）对数据包进行过滤，实现访问控制，是实现基本网络安全的手段之一。

【基本原理】ACL是依据数据特征实施通过或阻止决定的过程控制方法，是包过滤防火墙的一种重要实现方式。

ACL是在网络设备中定义的一个列表，由一系列的匹配规则（rule）组成，这些规则包含了数据包的一些特征，比如源地址、目的地址、协议类型以及端口号等信息，并预先设定了相应的策略——允许（permint）或禁止（Deny）数据包通过。

基于ACL的包过滤防火墙通常配置在路由器的端口上，并且具有方向性。

每个端口的出站方向（Outbound）和入站方向（Inbound）均可配置独立的ACL 进行包过滤。

出方向过滤基于ACL的包过滤当路由器收到一个数据包时，如果进入端口处没有启动ACL包过滤，则数据包直接提交路由器转发进程处理，如果进入端口处启动了ACL包过滤，则数据交给入站防火墙进行过滤，其工作流程如图所示。