最新H3C官方基本配置及网络维护培训ppt课件
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 在高级访问控制列表视图下,删除一条子规则
– undo rule rule-id [ source ] [ destination ] [ soureport ] [ destination-port ] [ precedence ] [ tos ] | [ dscp ] [ fragment ] [ time-range ]
配置ACL进行包过滤的步骤
• 综上所述,在System交换机上配置ACL进行包过滤的 步骤如下:
– 配置时间段(可选) – 定义访问控制列表(四种类型:基本、高
级、基于接口、基于二层和用户自定义) – 激活访问控制列表
访问控制列表配置举例一
要求配置高级ACL,禁止员工在工作日8:00~18:00的时间段内访问新浪 网站( 61.172.201.194 )
Intranet
访问控制列表ACL
对到达端口的数据包进行分类,并打上不同的动作标记
访问列表作用于交换机的所有端口 访问列表的主要用途:
包过滤 镜像 流量限制 流量统计 分配队列优先级
流分类 通常选择数据包的包头信息作为流分类项
2层流分类项
以太网帧承载的数据类型 源/目的MAC地址 以太网封装格式
访问控制列表配置举例二
配置防病毒ACL 1. 定义高级ACL 3000 [System] acl number 3000 [System -acl-adv-3000] rule 1 deny udp destination-port eq 335 [System -acl-adv-3000] rule 3 deny tcp source-port eq 3365 [System -acl-adv-3000] rule 4 deny udp source 61.22.3.0 0.0.0.255
• 5000~5999:表示用户自定义ACL。以数据包的头部为基 准,指定从第几个字节开始与掩码进行“与”操作,将从 报文提取出来的字符串和用户定义的字符串进行比较,找 到匹配的报文。
定义访问控制列表
• 在系统视图下,定义ACL并进入访问控制列表视图:
– acl { number acl-number | name acl-name basic | advanced | interface | link} [ matchorder { config | auto } ]
H3C官方基本配置及网络维护 培训
目录
第一章 VLAN原理及基本配置 第二章 ACL原理及基本配置 第三章 常用维护方法和命令 第四章 案例分析
数据帧在网络通信中的变化
VLAN2
带有VLAN3标签的以太网帧
带有VLAN2标签的以太网帧
VLAN3
不带VLAN标签的 以太网帧
VLAN3
VLAN2
端口操作符及语法
•TCP/UDP协议支持的端口操作符及语法
操作符及语法
eq portnumber
gt portnumber
lt portnumber
neq portnumber range portnumber1
portnumber2
含义
等于portnumber
大于portnumber
小于portnumber
• 在基本访问控制列表视图下,删除一条子规则
– undo rule rule-id [ source ] [ fragment ] [ time-range ]
高级访问控制列表的规则配置
• 在高级访问控制列表视图下,配置相应的规则
– rule [ rule-id ] { permit | deny } protocol [ source source-addr source-wildcard | any ] [ destination dest-addr dest-mask | any ] [ soure-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type icmp-type icmp-code ] [ established ] [ precedence precedence ] [ tos tos ] | [ dscp dscp ] [ fragment ] [ time-range time-rangename ]
ACL通过一系列的匹配条件对数据包进行分类,这些条件可 以是数据包的源地址、目的地址、端口号等。ACL可应用在 交换机全局或端口上,交换机根据ACL中指定的条件来检测 数据包,从而决定是转发还是丢弃该数据包。
以太网访问列表
•主要作用:在整个网络中分布实施接入安全性
服务器
Internet
部门 B
部门 A
目录
第一章 VLAN原理及基本配置 第二章 ACL原理及基本配置 第三章 常用维护方法和命令 第四章 案例分析
ACL访问控制列表
为了过滤通过网络设备的数据包,需要配置一系列的匹 配规则,以识别需要过滤的对象。在识别出特定的对象之后 ,网络设备才能根据预先设定的策略允许或禁止相应的数据 包通过。 访问控制列表(Access Control List,ACL)就是用来实现 这些功能。
• 在系统视图下,取消激活ACL:
– undo packet-filter { user-group { aclnumber | acl-name } [ rule rule ] | { [ ipgroup { acl-number | acl-name } [ rule rule ] ] [ link-group { acl-number | aclname } [ rule rule ] ] } }
1. 定义时间段 [System] time-range test 8:00 to 18:00 working-day 2.定义高级ACL 3000,配置目的IP地址为新浪网站的访问规则。 [System] acl number 3000 [System -acl-adv-3000] rule 1 deny ip destination 61.172.201.194 0 timerange test 3.在端口Ethernet1/0/15上应用ACL 3000。 [System] interface Ethernet 1/0/15 [System-Ethernet1/0/15] packet-filter inbound ip-group 3000
Vlan ID 入/出端口
3/4层流分类项
协议类型 源/目的IP地址 源/目的端口号 DSCP
IP 数据包过滤
TCP/IP包过滤元素
源/目的IP地址 源/目的端口号
应用程序和数据
IP header TCP header Application-level header
Data
L3/CL:
– undo acl { number acl-number | name aclname | all }
基本访问控制列表的规则配置
• 在基本访问控制列表视图下,配置相应的规则
– rule [ rule-id ] { permit | deny } [ source source-addr source-wildcard | any ] [ fragment ] [ time-range time-range-name ]
• 在接口访问控制列表视图下,删除一条子规则
– undo rule rule-id
二层访问控制列表的规则配置
• 在二层访问控制列表视图下,配置相应的规则
– rule [ rule-id ] { permit | deny } [ protocol ] [ cos vlan-pri ] ingress { { [ source-vlan-id ] [ source-mac-addr source-mac-wildcard ] [ interface { interface-name | interface-type interface-num } ] } | any } egress { { [ destmac-addr dest-mac-wildcard ] [ interface { interface-name | interface-type interfacenum } ] } | any } [ time-range time-rangename ]
假设da管te理] 员[ t需o 要en在d-从da2t0e02]年12月1日上午8点到2003
年1月1日下午18点的时间段内实施安全策略,可以 定义时间段名为denytime,具体配置如下: [System]time-range denytime from 8:00 12-01-
2002 to 18:00 01-01-2003
• 在自定义访问控制列表视图下,删除一条子规则
– undo rule rule-id
• 用户自定义访问控制列表的数字标识 取值范围为5000~5999
规则匹配原则
• 一条访问控制列表往往会由多条规则组成,这样在匹 配一条访问控制列表的时候就存在匹配顺序的问题。 在华为系列交换机产品上,支持下列两种匹配顺序:
– time-range time-name [ start-time to endtime ] [ days-of-the-week ] [ from startdate] [ to end-date ]
• 在系统视图下,删除时间段:
– undo time-range time-name [ start-time to end-time ] [ days-of-the-week ] [ from start-
访问控制列表的类型
• 2000~2999:表示基本ACL。只根据数据包的源IP地址制 定规则。
• 3000~3999:表示高级ACL(3998与3999是系统为集群管 理预留的编号,用户无法配置)。根据数据包的源IP地址、 目的IP地址、IP承载的协议类型、协议特性等三、四层信 息制定规则。
• 4000~4999:表示二层ACL。根据数据包的源MAC地址、 目的MAC地址、802.1p优先级、二层协议类型等二层信息 制定规则。
• 在二层访问控制列表视图下,删除一条子规则
– undo rule rule-id
自定义访问控制列表的规则配置
• 在自定义访问控制列表视图下,配置相应的规则
– rule [ rule-id ] { permit | deny } { rule-string rule-mask offset }&<1-20> [ time-range time-range-name ]
访问控制列表的构成
• Rule(访问控制列表的子规则)
• Time-range(时间段机制)
访问控制列表
• ACL=rules [+ time-range]
(访问控制列表由一系列规则组成,有必要策策时略略::AACCLL21
会和时间段结合)
策略:ACL3
...
策略:ACLN
时间段的相关配置
• 在系统视图下,配置时间段:
– Config:指定匹配该规则时按用户的配置顺 序(后下发先生效)
– Auto:指定匹配该规则时系统自动排序(按 “深度优先”的顺序)
激活访问控制列表
• 在系统视图下,激活ACL:
– packet-filter { user-group { acl-number | acl-name } [ rule rule ] | { [ ip-group { aclnumber | acl-name } [ rule rule ] ] [ linkgroup { acl-number | acl-name } [ rule rule ] ] } }
不等于portnumber 介于端口号portnumber1和
portnumber2之间
接口访问控制列表的规则配置
• 在接口访问控制列表视图下,配置相应的规则
– rule [ rule-id ] { permit | deny } [ interface { interface-name | interface-type interfacenum | any } ] [ time-range time-rangename ]
– undo rule rule-id [ source ] [ destination ] [ soureport ] [ destination-port ] [ precedence ] [ tos ] | [ dscp ] [ fragment ] [ time-range ]
配置ACL进行包过滤的步骤
• 综上所述,在System交换机上配置ACL进行包过滤的 步骤如下:
– 配置时间段(可选) – 定义访问控制列表(四种类型:基本、高
级、基于接口、基于二层和用户自定义) – 激活访问控制列表
访问控制列表配置举例一
要求配置高级ACL,禁止员工在工作日8:00~18:00的时间段内访问新浪 网站( 61.172.201.194 )
Intranet
访问控制列表ACL
对到达端口的数据包进行分类,并打上不同的动作标记
访问列表作用于交换机的所有端口 访问列表的主要用途:
包过滤 镜像 流量限制 流量统计 分配队列优先级
流分类 通常选择数据包的包头信息作为流分类项
2层流分类项
以太网帧承载的数据类型 源/目的MAC地址 以太网封装格式
访问控制列表配置举例二
配置防病毒ACL 1. 定义高级ACL 3000 [System] acl number 3000 [System -acl-adv-3000] rule 1 deny udp destination-port eq 335 [System -acl-adv-3000] rule 3 deny tcp source-port eq 3365 [System -acl-adv-3000] rule 4 deny udp source 61.22.3.0 0.0.0.255
• 5000~5999:表示用户自定义ACL。以数据包的头部为基 准,指定从第几个字节开始与掩码进行“与”操作,将从 报文提取出来的字符串和用户定义的字符串进行比较,找 到匹配的报文。
定义访问控制列表
• 在系统视图下,定义ACL并进入访问控制列表视图:
– acl { number acl-number | name acl-name basic | advanced | interface | link} [ matchorder { config | auto } ]
H3C官方基本配置及网络维护 培训
目录
第一章 VLAN原理及基本配置 第二章 ACL原理及基本配置 第三章 常用维护方法和命令 第四章 案例分析
数据帧在网络通信中的变化
VLAN2
带有VLAN3标签的以太网帧
带有VLAN2标签的以太网帧
VLAN3
不带VLAN标签的 以太网帧
VLAN3
VLAN2
端口操作符及语法
•TCP/UDP协议支持的端口操作符及语法
操作符及语法
eq portnumber
gt portnumber
lt portnumber
neq portnumber range portnumber1
portnumber2
含义
等于portnumber
大于portnumber
小于portnumber
• 在基本访问控制列表视图下,删除一条子规则
– undo rule rule-id [ source ] [ fragment ] [ time-range ]
高级访问控制列表的规则配置
• 在高级访问控制列表视图下,配置相应的规则
– rule [ rule-id ] { permit | deny } protocol [ source source-addr source-wildcard | any ] [ destination dest-addr dest-mask | any ] [ soure-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type icmp-type icmp-code ] [ established ] [ precedence precedence ] [ tos tos ] | [ dscp dscp ] [ fragment ] [ time-range time-rangename ]
ACL通过一系列的匹配条件对数据包进行分类,这些条件可 以是数据包的源地址、目的地址、端口号等。ACL可应用在 交换机全局或端口上,交换机根据ACL中指定的条件来检测 数据包,从而决定是转发还是丢弃该数据包。
以太网访问列表
•主要作用:在整个网络中分布实施接入安全性
服务器
Internet
部门 B
部门 A
目录
第一章 VLAN原理及基本配置 第二章 ACL原理及基本配置 第三章 常用维护方法和命令 第四章 案例分析
ACL访问控制列表
为了过滤通过网络设备的数据包,需要配置一系列的匹 配规则,以识别需要过滤的对象。在识别出特定的对象之后 ,网络设备才能根据预先设定的策略允许或禁止相应的数据 包通过。 访问控制列表(Access Control List,ACL)就是用来实现 这些功能。
• 在系统视图下,取消激活ACL:
– undo packet-filter { user-group { aclnumber | acl-name } [ rule rule ] | { [ ipgroup { acl-number | acl-name } [ rule rule ] ] [ link-group { acl-number | aclname } [ rule rule ] ] } }
1. 定义时间段 [System] time-range test 8:00 to 18:00 working-day 2.定义高级ACL 3000,配置目的IP地址为新浪网站的访问规则。 [System] acl number 3000 [System -acl-adv-3000] rule 1 deny ip destination 61.172.201.194 0 timerange test 3.在端口Ethernet1/0/15上应用ACL 3000。 [System] interface Ethernet 1/0/15 [System-Ethernet1/0/15] packet-filter inbound ip-group 3000
Vlan ID 入/出端口
3/4层流分类项
协议类型 源/目的IP地址 源/目的端口号 DSCP
IP 数据包过滤
TCP/IP包过滤元素
源/目的IP地址 源/目的端口号
应用程序和数据
IP header TCP header Application-level header
Data
L3/CL:
– undo acl { number acl-number | name aclname | all }
基本访问控制列表的规则配置
• 在基本访问控制列表视图下,配置相应的规则
– rule [ rule-id ] { permit | deny } [ source source-addr source-wildcard | any ] [ fragment ] [ time-range time-range-name ]
• 在接口访问控制列表视图下,删除一条子规则
– undo rule rule-id
二层访问控制列表的规则配置
• 在二层访问控制列表视图下,配置相应的规则
– rule [ rule-id ] { permit | deny } [ protocol ] [ cos vlan-pri ] ingress { { [ source-vlan-id ] [ source-mac-addr source-mac-wildcard ] [ interface { interface-name | interface-type interface-num } ] } | any } egress { { [ destmac-addr dest-mac-wildcard ] [ interface { interface-name | interface-type interfacenum } ] } | any } [ time-range time-rangename ]
假设da管te理] 员[ t需o 要en在d-从da2t0e02]年12月1日上午8点到2003
年1月1日下午18点的时间段内实施安全策略,可以 定义时间段名为denytime,具体配置如下: [System]time-range denytime from 8:00 12-01-
2002 to 18:00 01-01-2003
• 在自定义访问控制列表视图下,删除一条子规则
– undo rule rule-id
• 用户自定义访问控制列表的数字标识 取值范围为5000~5999
规则匹配原则
• 一条访问控制列表往往会由多条规则组成,这样在匹 配一条访问控制列表的时候就存在匹配顺序的问题。 在华为系列交换机产品上,支持下列两种匹配顺序:
– time-range time-name [ start-time to endtime ] [ days-of-the-week ] [ from startdate] [ to end-date ]
• 在系统视图下,删除时间段:
– undo time-range time-name [ start-time to end-time ] [ days-of-the-week ] [ from start-
访问控制列表的类型
• 2000~2999:表示基本ACL。只根据数据包的源IP地址制 定规则。
• 3000~3999:表示高级ACL(3998与3999是系统为集群管 理预留的编号,用户无法配置)。根据数据包的源IP地址、 目的IP地址、IP承载的协议类型、协议特性等三、四层信 息制定规则。
• 4000~4999:表示二层ACL。根据数据包的源MAC地址、 目的MAC地址、802.1p优先级、二层协议类型等二层信息 制定规则。
• 在二层访问控制列表视图下,删除一条子规则
– undo rule rule-id
自定义访问控制列表的规则配置
• 在自定义访问控制列表视图下,配置相应的规则
– rule [ rule-id ] { permit | deny } { rule-string rule-mask offset }&<1-20> [ time-range time-range-name ]
访问控制列表的构成
• Rule(访问控制列表的子规则)
• Time-range(时间段机制)
访问控制列表
• ACL=rules [+ time-range]
(访问控制列表由一系列规则组成,有必要策策时略略::AACCLL21
会和时间段结合)
策略:ACL3
...
策略:ACLN
时间段的相关配置
• 在系统视图下,配置时间段:
– Config:指定匹配该规则时按用户的配置顺 序(后下发先生效)
– Auto:指定匹配该规则时系统自动排序(按 “深度优先”的顺序)
激活访问控制列表
• 在系统视图下,激活ACL:
– packet-filter { user-group { acl-number | acl-name } [ rule rule ] | { [ ip-group { aclnumber | acl-name } [ rule rule ] ] [ linkgroup { acl-number | acl-name } [ rule rule ] ] } }
不等于portnumber 介于端口号portnumber1和
portnumber2之间
接口访问控制列表的规则配置
• 在接口访问控制列表视图下,配置相应的规则
– rule [ rule-id ] { permit | deny } [ interface { interface-name | interface-type interfacenum | any } ] [ time-range time-rangename ]