华为交换机ACL如何使用及原则

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

华为交换机ACL如何使⽤及原则
华为交换机ACL如何使⽤及原则
ACL(访问控制列表)的应⽤原则:
标准ACL,尽量⽤在靠近⽬的点
扩展ACL,尽量⽤在靠近源的地⽅(可以保护带宽和其他资源)
⽅向:在应⽤时,⼀定要注意⽅向
ACL分类
基本ACL #范围为2000~2999 可使⽤IPv4报⽂的源IP地址、分⽚标记和时间段信息来定义规则
⾼级ACL #范围为3000~3999 既可使⽤IPv4报⽂的源IP地址,也可使⽤⽬的地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型、TCP源端⼝/⽬的端⼝、UDP源端⼝/⽬的端⼝号等来定义规则⼆层ACL #范围为4000~4999 可根据报⽂的以太⽹帧头信息来定义规则,如根据源MAC(Media Access Control)地址、⽬的MAC地址、以太帧协议类型等
⾃定义ACL 范围为5000~5999 #可根据偏移位置和偏移量从报⽂中提取出⼀段内容进⾏匹配
场景⼀:(机房交换机不允许⾮管理⽹络ssh登录)
#创建基于命名的基本acl
acl name ssh-kongzhi 2001
rule 5 permit source 192.168.1.0 0.0.0.255
rule 10 deny
#在vty接⼝应⽤acl 2001
user-interface vty 0 4
acl 2001 inbound
authentication-mode aaa
protocol inbound all
场景⼆:(如下图,主机⼀不能ping通http服务器,但是可以访问)
#创建⾼级acl
acl number 3001
rule 5 permit tcp source 192.168.21.11 0 destination 192.168.21.100 0 destination-port eq www
rule 10 deny icmp source 192.168.21.11 0 destination 192.168.21.100 0
#在接⼝的上应⽤acl
interface GigabitEthernet0/0/2
traffic-filter inbound acl 300
场景三:(⾃反acl的应⽤,类是于防⽕墙)
#⽬标(1):在icmp协议上,实现外部⽹络中,只有smokeping主机能ping通内⽹,其余外部主机不能ping内⽹地址,并且要求内⽹可以ping外⽹
#⽬标(2):不让外部⽹络通过tcp协议连接内部,但是内部可以⽤tcp连接外部(实际意义不⼤,但是很形象,凡是设计tcp的应⽤协议都受控)
#分析(1):先允许smokeping的主机ping内⽹,ping包分(去包:echo,回包:echo-raly),在公⽹出⼝的⼊⽅向拒绝所有ping的去包类型echo,作⽤与所有主机
#分析(2):tcp协议,需要建⽴三次握⼿,只有第⼀次中不带ack标志,其余都带有ack,(这表⽰发起tcp连接的⼀⽅第⼀个包不带ack,根据这个在公⽹出⼝⼊⽅向进⾏设置)
#创建acl
acl name kongzhi 3001
rule 5 permit icmp source 6.6.6.6 0
rule 10 deny icmp icmp-type echo
rule 15 permit tcp tcp-flag ack
rule 20 deny tcp
#应⽤到公⽹出⼝上
interface GigabitEthernet0/0/1
ip address 4.4.4.4 255.255.255.0
traffic-filter inbound acl name kongzhi
场景四:(基于时间的acl应⽤)
#⽬标:教师每天6点到23点,可以上⽹;学⽣周⼀到周五8点半到22点可以上⽹,周六周⽇两天任何时刻都上⽹
分析:要实现基于时间的,就需要进⾏划分流量,然后阻断,所以,时间可以看成
教师(jiaoshi)室每天早上0点到6点半不能,以及晚上23点到23点59不能上⽹
学⽣(xuesheng)周⼀到周五的早上0点到8点半,以及晚上22点到23点59不能上⽹
#第⼀:配置时间段(由于不⽀持"23:0 to 6:30",所以写成下⾯这种形式)
time-range jiaoshi-deny 00:00 to 6:30 daily
time-range jiaoshi-deny 23:00 to 23:59 daily
time-range xuesheng-deny 00:00 to 8:30 working-day
time-range xuesheng-deny 22:00 to 0:0 working-day
#第⼆:创建配置⾼级acl
acl number 3001
rule deny ip source 192.168.21.0 0.0.0.255 time-range jiaoshi-deny
acl number 3002
rule deny ip source 192.168.22.0 0.0.0.255 time-range xuesheng-deny
#第三:配置流分类(对匹配ACL 3001和3002的报⽂进⾏分类)
traffic classifier d_jiaoshi
if-match acl 3001
traffic classifier d_xuesheng
if-match acl 3002
#第四:配置流⾏为(动作为拒绝报⽂通过)
traffic behavior d_jiaoshi
deny
traffic behavior d_xuesheng
deny
#第五:配置流策略(将流分类d_jiaoshi与流⾏为d_jiaoshi关联,组成流策略,这⾥为了⽅便直接将后⾯应⽤到⼀个接⼝上,将上⾯两个对应关系进⾏了合计)traffic policy all_deny
classifier d_jiaoshi behavior d_jiaoshi
classifier d_xuesheng behavior d_xuesheng
#第六:在接⼝上应⽤流策略
interface gigabitethernet 0/0/2
ip address 114.114.114.1 255.255.255.0
traffic-policy all_deny outbound
声明:原创作者为辣条①号,原⽂章链接:。

相关文档
最新文档