您的位置:360文档中心› 华为设备 访问控制列表 ACL的原理与配置

华为设备 访问控制列表 ACL的原理与配置

合集下载

标准ACL的工作原理及应用

标准ACL的工作原理及应用

标准ACL的工作原理及应用1. 什么是标准ACL标准访问控制列表(Access Control List,简称ACL)是网络设备(如路由器、交换机)中一个用于控制网络流量的功能。

它通过匹配数据包的源地址来决定是否允许数据包通过设备。

标准ACL是一种基本的ACL类型,它只能根据源IP地址来控制流量,而不能根据目标IP地址、协议类型、端口号等进行控制。

2. 标准ACL的工作原理标准ACL通过配置设备的规则来实现对数据包的控制。

设备会按照这些规则逐一匹配数据包,并根据匹配结果来决定是否通过。

下面是标准ACL的工作原理的简要步骤:•当数据包进入设备时,设备会检查它的源IP地址。

•设备会按照事先配置好的规则进行逐一匹配。

每个规则通常包含一个IP地址(或地址段)和一个操作(如允许或拒绝)。

•如果数据包的源IP地址与某个规则匹配,则设备会根据规则的操作决定如何处理数据包。

•如果数据包的源IP地址没有与任何规则匹配,则设备会使用默认的行为决定如何处理数据包。

3. 标准ACL的应用场景标准ACL通常用于限制特定源IP地址的访问权限,常见的应用场景包括:3.1 限制内部设备的访问可以使用标准ACL来限制内部网络中某些设备对外部网络的访问权限。

例如,可以阻止某个局域网中的设备访问特定的互联网地址。

3.2 限制外部网络对内部设备的访问标准ACL还可用于限制外部网络对内部设备的访问。

通过配置标准ACL,可以阻止特定的外部IP地址访问内部网络中的设备。

3.3 过滤出某特定流量标准ACL还可以用于过滤出某特定的流量。

例如,通过配置标准ACL,可以只允许某个特定的IP地址通过设备,并拒绝其他所有IP地址的访问。

3.4 限制特定协议流量虽然标准ACL主要根据源IP地址进行控制,但也可以结合其他条件来限制特定协议的流量。

例如,可以通过使用扩展ACL和标准ACL的组合来实现根据协议类型限制流量的功能。

4. 配置标准ACL的步骤配置标准ACL大致包括以下几个步骤:1.进入设备的配置模式。

ACL访问控制列表的配置-高级ACL的配置示例-华为

ACL访问控制列表的配置-高级ACL的配置示例-华为

//拒绝PC1所在网段访问PC2
高级ACL的配置-在R1的接口上运用高级ACL
要求配置高级ACL,实现PC1所在网段不能访问PC2,但是PC1所在网段能够访问Server的www服务器,但不能访问f来自p服务。R1 G0/0/0
OSPF
G0/0/0 R2
12.1.1.1/24
12.1.1.2/24
G0/0/1 10.10.1.254/24
G0/0/1 10.10.2.254/24
G0/0/2 10.10.3.254/24
PC1 10.10.1.1/24
PC2 10.10.2.1/24
Server 10.10.3.1/24
[R1]interface G0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 //在接口的in方向应用ACL
G0/0/1 10.10.2.254/24
G0/0/2 10.10.3.254/24
PC1 10.10.1.1/24
PC2 10.10.2.1/24
Server 10.10.3.1/24
[R2-acl-adv-3000]rule 10 deny tcp source 10.10.1.0 0.0.0.255
Server 10.10.3.1/24
[R2]acl 3000
//定义一个高级acl3000
[R2-acl-adv-3000] rule 5 permit tcp source 10.10.1.0 0.0.0.255
destination 10.10.3.1 0 destination-port eq www //允许PC1所在网段访问server的www服务器

华为ACL详解2精编版

华为ACL详解2精编版

华为ACL详解2精编版访问控制列表-细说ACL那些事⼉(ACL匹配篇)在上⼀期中,⼩编围绕⼀张ACL结构图展开介绍,让⼤家了解了ACL的概念、作⽤和分类,并且知道了ACL是通过规则匹配来实现报⽂过滤的。

但ACL到底是如何进⾏规则匹配的,相信⼤家还是⼀头雾⽔。

本期,说⼀说关于“ACL匹配”的那些事⼉。

1ACL匹配机制⾸先,为⼤家介绍ACL匹配机制。

上⼀期提到,ACL在匹配报⽂时遵循“⼀旦命中即停⽌匹配”的原则。

其实,这句话就是对ACL匹配机制的⼀个⾼度的概括。

当然,ACL匹配过程中,还存在很多细节。

⽐如,ACL不存在系统会怎么处理?ACL存在但规则不存在系统会怎么处理?为了对整个ACL匹配过程展开详细的介绍,画了⼀张ACL匹配流程图,相信对⼤家理解ACL匹配机制能有所帮助。

从整个ACL匹配流程可以看出,报⽂与ACL规则匹配后,会产⽣两种匹配结果:“匹配”和“不匹配”。

●匹配(命中规则):指存在ACL,且在ACL中查找到了符合匹配条件的规则rule。

不论匹配的动作是“permit”还是“deny”,都称为“匹配”,⽽不是只是匹配上permit规则才算“匹配”。

●不匹配(未命中规则):指不存在ACL(⽆ACL),或ACL中⽆规则(没有rule),再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。

切记以上三种情况,都叫做“不匹配”。

提醒⼤家,⽆论报⽂匹配ACL的结果是“不匹配”、“允许”还是“拒绝”,该报⽂最终是被允许通过还是拒绝通过,实际是由应⽤ACL的各个业务模块来决定的。

不同的业务模块,对命中和未命中规则报⽂的处理⽅式也各不相同。

例如,在Telnet模块中应⽤ACL,只要报⽂命中了permit规则,就允许通过;⽽在流策略中应⽤ACL,如果报⽂命中了permit规则,但流⾏为动作配置的是deny,该报⽂会被拒绝通过。

在后续连载的《访问控制列表-细说ACL那些事⼉(应⽤篇)》中,将结合各类ACL应⽤,为⼤家细说各个业务模块的区别。

访问控制列表(ACL)总结配置与应用

访问控制列表(ACL)总结配置与应用
………… interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip access-group 101 in duplex auto speed auto
三、 命名访问控制列表
命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号。 1、 命名访问控制列表的配置 Router(config)#ip access-list {standard | extended} access-list-name
扩展 ACL 配置实例
如图:配置允许主机 PC 访问 WEB 服务的 WWW 服务,而禁止主机 PC 访问 WEB 的其他 服务。
1、 分析哪个接口应用标准 ACL
应用在入站还是出站接口。 与标准 ACL 一样,应该尽量把 ACl 应用到入站方向
应用在哪台路由器上。 由于扩展 ACL 可以根据源 IP 地址。目的 IP 地址、指定协议、端口等过滤数据包,
3、 将 ACL 应用于接口
创建 ACL 后,只有将 ACL 应用于接口,ACL 才会生效。 Router(config)#ip access-group access-list-number {in | out }
参数 in|out 用来指示该 ACL 是应用到入站接口(in),还是初战接口(out)。 在接口上取消 ACL 的应用 Router(config)#no ip access-group acess-list-number (in | out)
access-llist-number:访问控制列表表号,对于扩展 ACL 来书是 100-199; permit | deny:如果满足条件,则允许|拒绝该流量; protocol:用于指定协议类型,如 IP、TCP、UDP、ICMP 等; source、destination:源和目的,分别用来表示源地址和目的地址; source-wildcard、destination-wildcard:反码。源地址和目标地址的反码; operator operan:lt(小于)、gt(大于)、eq(等于)、neq(不等于)和一个 端口。

华为设备访问控制列表ACL的原理与配置

华为设备访问控制列表ACL的原理与配置
只比较前8位
如何使用反掩码
扩展访问控制列表
从202.110.10.0/24来的,到179.100.17.10的, 使用TCP协议, 利用HTTP访问的 数据包可以通过!
路由器
扩展访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒绝。
配置TCP/UDP协议的扩展访问列表: rule { normal | special }{ permit | deny } { tcp | udp } [source source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ] [destination-port operator port1 [ port2 ] ] [logging] 配置ICMP协议的扩展访问列表: rule { normal | special }{ permit | deny } icmp [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [icmp-type icmp-type icmp-code] [logging] 配置其它协议的扩展访问列表: rule { normal | special }{ permit | deny } { ip | ospf | igmp | gre } [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [logging]

华为ACL配置教程

华为ACL配置教程

华为ACL配置教程华为ACL配置教程一、ACL基本配置1、ACL规则生效时间段配置(需要先配置设备的时间,建议用ntp同步时间)某些引用ACL的业务或功能需要限制在一定的时间范围内生效,比如,在流量高峰期时启动设备的QoS功能。

用户可以为ACL创建生效时间段,通过在规则中引用时间段信息限制ACL生效的时间范围,从而达到该业务或功能在一定的时间范围内生效的目的。

[Huawei]time-range test ?Starting timefrom The beginning point of the time range[Huawei]time-range test 8:00 ?to The ending point of periodic time-range[Huawei]time-range test 8:00 t[Huawei]time-range test 8:00 to ?Ending Time[Huawei]time-range test 8:00 to 18:05 ?<0-6> Day of the week(0 is Sunday)Fri Friday #星期五Mon Monday #星期一Sat Saturday #星期六Sun Sunday #星期天Thu Thursday # 星期四Tue Tuesday # 星期二Wed Wednesday #星期三daily Every day of the week # 每天off-day Saturday and Sunday # 星期六和星期日working-day Monday to Friday #工作日每一天[Huawei]time-range test from 8:00 2016/1/17 to 18:00 2016/11/17使用同一time-name可以配置多条不同的时间段,以达到这样的效果:各周期时间段之间以及各绝对时间段之间分别取并集之后,再取二者的交集作为最终生效的时间范围。

华为ACL详解1

华为ACL详解1

访问控制列表-细说ACL那些事儿(初步认识ACL)传闻江湖乱世之时,出现了一门奇招妙计名曰“ACL”。

其变化多端、高深莫测,部署在江湖各处的交换机轻松使上这一招,便能平定乱世江湖。

所以,这ACL也被江湖人士一时传为佳话。

ACL到底是何方秘籍?它拥有什么样的魔力能够平定江湖?ACL,是Access Control List的简称,中文名称叫“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。

这些条件,可以是报文的源地址、目的地址、端口号等。

这样解释ACL,大家是不是觉得太抽象了!好,现在小编换一种解释方式。

打个比方,ACL其实是一种报文过滤器,ACL规则就是过滤器的滤芯。

安装什么样的滤芯(即根据报文特征配置相应的ACL规则),ACL就能过滤出什么样的报文了。

基于过滤出的报文,我们能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet 登录/FTP文件下载进行控制等等,从而提高网络环境的安全性和网络传输的可靠性。

说到这,大家一定迫不及待的想看看ACL长啥模样。

话不多说,先上图!围绕这张ACL结构图,介绍ACL的基本概念。

1 ACL分类首先,图中是一个数字型ACL,ACL编号为2000。

这类似于人类的身份证号,用于唯一标识自己的身份。

当然,人类的身份证上不仅有身份证编号,还有每个人自己的名字。

ACL也同样如此,除了数字型ACL,还有一种叫做命名型的ACL,它就能拥有自己的ACL名称。

通过名称代替编号来定义ACL,就像用域名代替IP地址一样,可以方便记忆,也让大家更容易识别此ACL的使用目的。

另外,告诉大家,命名型ACL实际上是“名字+数字”的形式,可以在定义命名型ACL时同时指定ACL编号。

如果不指定编号,则由系统自动分配。

上图就是一个既有名字“deny-telnet-login”又有编号“3998”的ACL。

细心的你,一定会注意到,ACL结构图中的ACL编号是“2000”,而这个例子中的ACL编号是“3998”,两者有什么区别吗?实际上,按照ACL规则功能的不同,ACL被划分为基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL这五种类型。

ACL访问控制列表的配置-标准ACL的配置示例-华为

ACL访问控制列表的配置-标准ACL的配置示例-华为

OSPF
G0/0/0 R2 12.1.1.2/24
G0/0/1 10.10.1.254/24
G0/0/1 10.10.2.254/24
G0/0/2 10.10.3.254/24
PC1 10.10.1.1/24
PC2 10.10.2.1/24
Server 10.10.3.1/24
[R1]ospf 1 router-id 1.1.1.1 [R1-ospf-1]area 0 [R1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255 [R1-ospf-1-area-0.0.0.0]network 10.10.1.0 0.0.0.255
[R2]interface G0/0/1
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 //在接口的out方向应用ACL

R1 G0/0/0 12.1.1.1/24
OSPF
G0/0/0 R2 12.1.1.2/24
G0/0/1 10.10.1.254/24
G0/0/1 10.10.2.254/24
G0/0/2 10.10.3.254/24
PC1 10.10.1.1/24
PC2 10.10.2.1/24
Server 10.10.3.1/24
//拒绝源为10.10.1.0/24网段的所有流量
[R2-acl-basic-2000]rule 10 permit source any //允许所有的其他流量通过
标准ACL的配置-在R2的接口上运用标准ACL
要求配置标准ACL,实现PC1所在网段不能访问PC2,但是PC1所在网段能够访问Server。

访问控制列表(ACL)的配置

访问控制列表(ACL)的配置
访问控制列表(ACL)的配置
目录
• ACL的基本概念 • ACL的配置步骤 • ACL的常见应用场景 • ACL配置的注意事项 • ACL的发展趋势与未来展望 • 案例分析
01 ACL的基本概念
定义与作用
定义
访问控制列表(ACL)是一种安全机制 ,用于对网络设备的数据包进行过滤 ,以控制对网络资源的访问。
网络设备访问控制
路由器访问控制
通过ACL配置,可以限制对路由器特定端口的访问,保护路 由器免受非法访问和恶意攻击。
交换机端口访问控制
在交换机上配置ACL,可以限制特定MAC地址或IP地址的计算 机访问特定的端口,防止未经授权的设备接入网络。
服务器资源保护
文件服务器保护
通过ACL配置,可以限制用户对服务器上特定文件夹或文件的访问,确保敏感数据不被非法获取或篡 改。
规则的冗余与冲突
要点一
总结词
避免规则的冗余和冲突是ACL配置的重要考虑因素。
要点二
详细描述
在配置ACL时,需要避免规则的冗余和冲突。冗余的规则 会增加配置的复杂性和维护成本,而冲突的规则会导致数 据包的处理结果不确定。为了避免冗余和冲突,需要对每 一条规则进行仔细的审查和测试,确保其作用明确且不会 与其他规则产生冲突。同时,可以采用一些工具和技术来 检测和解决规则的冗余和冲突问题。
05 ACL的发展趋势与未来展 望
ACL技术的演进
传统ACL
基于端口和IP地址的访问控制,适用于简单的网络环 境。
扩展ACL
增加了协议和端口的匹配,能够实现更精细的访问控 制。
基于上下文的ACL
结合网络流量的上下文信息,实现更智能的访问控制。
ACL在云计算中的应用
01

华为基本acl的编号范围

华为基本acl的编号范围

华为基本acl的编号范围【最新版】目录1.华为基本 ACL 的简介2.华为基本 ACL 的编号范围3.华为基本 ACL 的应用场景4.华为基本 ACL 的配置方法正文【华为基本 ACL 的简介】华为基本 ACL(Access Control List,访问控制列表)是一种用于网络设备上实现流量控制的技术。

通过配置 ACL,可以对网络中的报文进行过滤和识别,从而实现对特定流量的允许或阻止。

在华为网络设备中,ACL 分为基本 ACL 和高级 ACL 两种,其中基本 ACL 具有较低的配置复杂度,适用于简单的流量控制需求。

【华为基本 ACL 的编号范围】华为基本 ACL 的编号范围是 1-99,其中 1-98 为标准 ACL,99 为私有 ACL。

标准 ACL 的编号是连续的,而私有 ACL 的编号不连续,它们之间有一些空闲的编号。

私有 ACL 通常用于特定场景,如 VPN 等。

【华为基本 ACL 的应用场景】华为基本 ACL 主要应用于以下场景:1.接口的入方向:对接口接收到的报文进行过滤,根据配置的规则允许或阻止报文通过。

2.接口的出方向:对接口发送的报文进行过滤,根据配置的规则允许或阻止报文通过。

3.VLAN:对特定 VLAN 的报文进行过滤,根据配置的规则允许或阻止报文通过。

【华为基本 ACL 的配置方法】配置华为基本 ACL 的步骤如下:1.登录华为网络设备,进入系统视图或接口视图。

2.创建一个基本 ACL,使用命令“ip access-list extended {ACL_编号}”。

3.配置 ACL 规则,使用命令“rule {规则编号} {动作} {条件}”。

其中,动作为“permit”或“deny”,条件包括源 IP 地址、目标 IP 地址、协议类型、端口号等。

4.将 ACL 应用于相应的接口或 VLAN,使用命令“interface {接口名称}”或“interface vlan {VLAN 编号}”进入相应视图,然后使用命令“ip access-group {ACL_编号} in”或“ip access-group {ACL_编号} out”将 ACL 应用于接口的入方向或出方向。

华为ACL配置

华为ACL配置

使用高级ACL限制不同网段的用户互访示例图1 使用高级ACL限制不同网段的用户互访示例组网需求如图1所示,某公司通过Switch实现各部门之间的互连。

为方便管理网络,管理员为公司的研发部和市场部规划了两个网段的IP地址。

同时为了隔离广播域,又将两个部门划分在不同VLAN之中。

现要求Switch能够限制两个网段之间互访,防止公司机密泄露。

配置思路采用如下的思路在Switch上进行配置:1.配置高级ACL和基于ACL的流分类,使设备可以对研发部与市场部互访的报文进行过滤。

2.配置流行为,拒绝匹配上ACL的报文通过。

3.配置并应用流策略,使ACL和流行为生效。

操作步骤1.配置接口所属的VLAN以及接口的IP地址# 创建VLAN10和VLAN20。

<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] vlan batch 10 20# 配置Switch的接口GE0/0/1和GE0/0/2为trunk类型接口,并分别加入VLAN10和VLAN20。

[Switch] interface gigabitethernet 0/0/1[Switch-GigabitEthernet0/0/1] port link-type trunk[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10[Switch-GigabitEthernet0/0/1] quit[Switch] interface gigabitethernet 0/0/2[Switch-GigabitEthernet0/0/2] port link-type trunk[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20[Switch-GigabitEthernet0/0/2] quit# 创建VLANIF10和VLANIF20,并配置各VLANIF接口的IP地址。

ACL原理及配置实例

ACL原理及配置实例

ACL原理及配置实例ACL是Access Control List的缩写,即访问控制列表,是网络设备上用来限制网络流量的一种功能。

ACL可以根据不同的条件对网络流量进行过滤和控制,以实现网络安全策略的目的。

ACL工作原理:ACL通过一个规则列表来决定对流量的处理方式,这个规则列表包含了匹配条件和动作两部分。

ACL会逐条匹配流量,并根据匹配结果执行相应的动作,通常包括允许、拒绝或者重定向到特定的目标地址。

ACL的规则列表按照优先级从高到低依次进行匹配,一旦匹配成功则不再进行后续的匹配。

因此,规则列表的顺序非常重要,应该将最常匹配的规则放在前面,这样可以提高ACL的效率。

ACL的配置实例:下面以思科路由器为例,演示ACL的配置过程。

1.创建一个ACL:首先,需要创建一个ACL用于定义规则列表。

ACL可以基于源地址、目标地址、源端口、目标端口、协议等条件进行过滤。

```Router(config)# ip access-list extended ACL_NAME```ACL_NAME是ACL的名称,可以自定义。

2.添加规则到ACL:在ACL中添加规则,来定义对网络流量的过滤行为。

每个规则都可以包含多个条件和一个动作。

```Router(config-ext-nacl)# permit/deny protocol source-address source-wildcarddestination-address destination-wildcard [operator [port]]```其中,protocol表示协议类型,可以是tcp、udp、icmp等;source-address和destination-address表示源地址和目标地址;source-wildcard和destination-wildcard表示源地址和目标地址的通配符掩码;operator表示具体的操作符,可以是eq、gt、lt、range等;port表示端口号或范围。

华为acl规则

华为acl规则

华为acl规则网络中经常提到的acl规则是Cisco IOS所提供的一种访问控制技术。

初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。

只不过支持的特性不是那么完善而已。

在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。

本文所有的配置实例均基于Cisco IOS的ACL进行编写。

基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。

功能:网络中的节点有资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。

ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。

在实施ACL的过程中,应当遵循如下两个基本原则:1.最小特权原则:只给受控对象完成任务所必须的最小的权限。

2.最靠近受控对象原则:所有的网络层访问权限控制。

3.默认丢弃原则:在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。

这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。

局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。

因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。

acl规则要如何写?1、设置acl :acl number 3000rule 0 permit ip source 服务器端的子网掩码的反码//允许哪些子网访问服务器rule 5 deny ip destination 服务器端的子网掩码的反码//不允许哪些子网访问服务器2、绑定到端口:interface gig 0/1 //进入服务器所在的交换机端口[GigabitEthernet0/1] firewall packet-filter 3000 inbound //把acl绑定到端口设置下发的ACL规则生效顺序acl match-order { config | auto }命令可以acl规则下发前预先确定其在整个acl内的匹配顺序,而acl order命令用来指定规则下发到硬件后的匹配顺序。

华为acl访问控制列表实例

华为acl访问控制列表实例

华为acl访问控制列表实例ACL是路由器和交换机接口的指令列表,用来控制端口进出的数据包,告诉路由器哪些数据包可以接收、哪些数据包需要拒绝,保证网络资源不被非法使用和访问。

下面是店铺给大家整理的一些有关华为acl访问控制列表配置,希望对大家有帮助!华为acl访问控制列表配置访问控制列表:ACL:(accesscontrollist)适用所有的路由协议:IP,IPX,AppleTalk控制列表分为两种类型:1.标准访问控制列表:检查被路由数据包的源地址、1~99代表号2.扩展访问控制列表:对数据包的源地址与目标地址进行检查。

访问控制列表最常见的用途是作为数据包的过滤器。

其他用途;可指定某种类型的数据包的优先级,以对某些数据包优先处理识别触发按需拨号路由(DDR)的相关通信量路由映射的基本组成部分ACL能够用来:提供网络访问的基本安全手段访问控制列表可用于Qos(QualityofService,服务质量)对数据流量进行控制。

可指定某种类型的数据包的优先级,以对某些数据包优先处理起到了限制网络流量,减少网络拥塞的作用提供对通信流量的控制手段访问控制列表对本身产生的的数据包不起作用,如一些路由更新消息路由器对访问控制列表的处理过程:(1)如果接口上没有ACL,就对这个数据包继续进行常规处理(2)如果对接口应用了访问控制列表,与该接口相关的一系列访问控制列表语句组合将会检测它:*若第一条不匹配,则依次往下进行判断,直到有一条语句匹配,则不再继续判断。

路由器将决定该数据包允许通过或拒绝通过*若最后没有任一语句匹配,则路由器根据默认处理方式丢弃该数据包。

*基于ACL的测试条件,数据包要么被允许,要么被拒绝。

(3)访问控制列表的出与入,使用命令ipaccess-group,可以把访问控制列表应用到某一个接口上。

in或out指明访问控制列表是对近来的,还是对出去的数据包进行控制【在接口的一个方向上,只能应用1个access-list】路由器对进入的数据包先检查入访问控制列表,对允许传输的数据包才查询路由表而对于外出的数据包先检查路由表,确定目标接口后才检查看出访问控制列表====================================== ================================应该尽量把放问控制列表应用到入站接口,因为它比应用到出站接口的效率更高:将要丢弃的数据包在路由器惊醒了路由表查询处理之前就拒绝它(4)访问控制列表中的deny和permit全局access-list命令的通用形式:Router(config)#access-listaccess-list-number{permit|deny}{testconditions}这里的语句通过访问列表表号来识别访问控制列表。

华为ACL配置全解教程

华为ACL配置全解教程

目录1 ACL简介............................................................................................................................................1-11.1 ACL概述............................................................................................................................................1-11.1.1 ACL概述.................................................................................................................................1-11.1.2 ACL在交换机上的应用方式....................................................................................................1-11.2 IPv4 ACL简介....................................................................................................................................1-21.2.1 IPv4 ACL分类.........................................................................................................................1-21.2.2 IPv4 ACL命名.........................................................................................................................1-21.2.3 IPv4 ACL匹配顺序..................................................................................................................1-21.2.4 IPv4 ACL步长.........................................................................................................................1-31.2.5 IPv4 ACL生效时间段..............................................................................................................1-31.2.6 IPv4 ACL对分片报文的处理...................................................................................................1-41.3 IPv6 ACL简介....................................................................................................................................1-41.3.1 IPv6 ACL分类.........................................................................................................................1-41.3.2 IPv6 ACL命名.........................................................................................................................1-41.3.3 IPv6 ACL匹配顺序..................................................................................................................1-41.3.4 IPv6 ACL步长.........................................................................................................................1-51.3.5 IPv6 ACL生效时间段..............................................................................................................1-52 IPv4 ACL配置....................................................................................................................................2-12.1 配置时间段........................................................................................................................................2-12.1.1 配置时间段..............................................................................................................................2-12.1.2 时间段配置举例......................................................................................................................2-12.2 配置基本IPv4 ACL.............................................................................................................................2-22.2.1 配置准备.................................................................................................................................2-22.2.2 配置基本IPv4 ACL..................................................................................................................2-22.2.3 基本IPv4 ACL配置举例...........................................................................................................2-32.3 配置高级IPv4 ACL.............................................................................................................................2-32.3.1 配置准备.................................................................................................................................2-32.3.2 配置高级IPv4 ACL..................................................................................................................2-42.3.3 高级IPv4 ACL配置举例...........................................................................................................2-52.4 配置二层ACL.....................................................................................................................................2-52.4.1 配置准备.................................................................................................................................2-52.4.2 配置二层ACL..........................................................................................................................2-52.4.3 二层ACL配置举例...................................................................................................................2-62.5 拷贝IPv4 ACL....................................................................................................................................2-62.5.1 配置准备.................................................................................................................................2-62.5.2 拷贝IPv4 ACL.........................................................................................................................2-62.6 IPv4 ACL显示和维护.........................................................................................................................2-72.7 IPv4 ACL典型配置举例.....................................................................................................................2-72.7.1 组网需求.................................................................................................................................2-72.7.2 组网图.....................................................................................................................................2-72.7.3 配置步骤.................................................................................................................................2-83 IPv6 ACL配置....................................................................................................................................3-13.1 配置时间段........................................................................................................................................3-13.2 配置基本IPv6 ACL.............................................................................................................................3-13.2.1 配置准备.................................................................................................................................3-13.2.2 配置基本IPv6 ACL..................................................................................................................3-13.2.3 基本IPv6 ACL配置举例...........................................................................................................3-23.3 配置高级IPv6 ACL.............................................................................................................................3-23.3.1 配置准备.................................................................................................................................3-23.3.2 配置高级IPv6 ACL..................................................................................................................3-33.3.3 高级IPv6 ACL配置举例...........................................................................................................3-43.4 配置二层ACL.....................................................................................................................................3-43.5 拷贝IPv6 ACL....................................................................................................................................3-43.5.1 配置准备.................................................................................................................................3-43.5.2 拷贝IPv6 ACL.........................................................................................................................3-43.6 IPv6 ACL显示和维护.........................................................................................................................3-43.7 IPv6 ACL典型配置举例.....................................................................................................................3-53.7.1 组网需求.................................................................................................................................3-53.7.2 组网图.....................................................................................................................................3-53.7.3 配置步骤.................................................................................................................................3-54 应用ACL进行报文过滤.......................................................................................................................4-14.1 配置对IPv4报文进行过滤..................................................................................................................4-14.2 配置对IPv6报文进行过滤..................................................................................................................4-24.3 应用ACL进行报文过滤典型配置举例.................................................................................................4-24.3.1 以太网端口报文过滤典型配置举例.........................................................................................4-24.3.2 VLAN接口报文过滤典型配置举例...........................................................................................4-31 ACL简介本章所介绍的ACL包括IPv4 ACL和IPv6 ACL。

2018软考网络工程师《华为基础实验》二十二 配置访问控制列表ACL

2018软考网络工程师《华为基础实验》二十二 配置访问控制列表ACL

2018软考网络工程师《华为基础实验》二十二配置访问控制列表ACL一、ACL 基础概念1、访问控制列表根据源地址、目标地址、源端口或目标端口等协议信息对数据包进行过滤,从而达到访问控制的目的。

可以在路由器、三层交换机等设备上使用,目前部分新二层交换机也支持ACL。

2、ACL 由编号或名字标识,ACL 包含一组语句(规则)。

3、ACL 包括permit/deny 两种动作,表示允许/拒绝,匹配(命中规则)是指存在ACL,且在ACL 中查找到了符合条件的规则。

4、ACL 在系统视图模式下配置,生成的ACL 命令需要被应用才能起效。

5、ACL 的分类可当一个分组经过时,路由器按照一定的步骤找出与分组信息匹配的ACL 语句对其进行处理。

n 按配置顺序的匹配规则(config模式),ACL的默认匹配规则为config模式,以对ACL 语句的处理规则总结出以下要点。

(1)一旦发现匹配的语句,就不再处理列表中的其他语句。

(2)语句的排列顺序很重要。

(3)如果整个列表中没有匹配的语句,则分组被丢弃。

例如下面两条语句组成的一个基本ACLrule deny source 172.16.0.0 0.0.255.255rule permit source 172.16.1.0 0.0.0.255第二条语句就被忽略了。

要达到预想的结果—允许来自除主机172.16.1.1之外的、属于子网172.16.1.0/24的所有通信,则两条语句的顺序必须互换。

n 按照自动排序规则(auto模式)自动排序指系统使用“深度优先”的原则,将规则按照精确度从高到低进行排序,并按照精确度从高到低进行报文匹配。

规则中定义的匹配项限制越严格,规则的精确度就越高,即优先级越高,系统越优先匹配。

例如在auto 模式下的ACL 3001,如下:rule deny ip destination 172.16.0.0 0.0.255.255rule permit ip destination 172.16.10.0 0.0.0.255配置完上述两条规则后,ACL3001 的规则排序如下。

华为acl规则

华为acl规则

华为acl规则网络中经常提到的acl规则是Cisco IOS所提供的一种访问控制技术。

初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。

只不过支持的特性不是那么完善而已。

在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。

本文所有的配置实例均基于Cisco IOS的ACL进行编写。

基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。

功能:网络中的节点有资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。

ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。

在实施ACL的过程中,应当遵循如下两个基本原则:1.最小特权原则:只给受控对象完成任务所必须的最小的权限。

2.最靠近受控对象原则:所有的网络层访问权限控制。

3.默认丢弃原则:在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。

这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。

局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。

因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。

acl规则要如何写?1、设置acl :acl number 3000rule 0 permit ip source 服务器端的子网掩码的反码//允许哪些子网访问服务器rule 5 deny ip destination 服务器端的子网掩码的反码//不允许哪些子网访问服务器2、绑定到端口:interface gig 0/1 //进入服务器所在的交换机端口[GigabitEthernet0/1] firewall packet-filter 3000 inbound //把acl绑定到端口设置下发的ACL规则生效顺序acl match-order { config | auto }命令可以acl规则下发前预先确定其在整个acl内的匹配顺序,而acl order命令用来指定规则下发到硬件后的匹配顺序。

acl基本原理

acl基本原理

acl基本原理
ACL(Access Control List,访问控制列表)是一种用于控制系统访问权限的机制。

其基本原理如下:
1. 定义访问规则:ACL通过定义访问规则来控制用户或进程
对资源的访问。

访问规则包括允许或禁止某个用户或进程进行特定操作或访问特定资源。

2. 定义权限:ACL需要明确指定用户或进程在资源上具有的
权限,例如读、写、执行等。

3. 授权访问:ACL根据访问规则和权限,决定是否允许用户
或进程访问资源。

如果满足访问规则,用户或进程将被授予相应的权限。

4. 默认拒绝:ACL的默认策略是拒绝访问,即除非明确允许,否则一切访问都被拒绝。

5. 精细控制:ACL可以实现细粒度的访问控制,可以根据用户、用户组、IP地址、时间等条件进行控制。

6. 权限继承:ACL支持权限继承,即允许用户或进程继承其
他用户或进程的权限,减少权限管理的工作量。

7. 动态调整:ACL的访问规则和权限可以动态调整,随时适
应不同场景和需求。

总之,ACL基本原理是通过定义访问规则和权限,根据规则判断是否允许访问,并精细控制资源的访问权限。

华为交换机ACL控制列表设置

华为交换机ACL控制列表设置

交换机配置(三)ACL基本配置1,二层ACL. 组网需求:通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。

该主机从GigabitEthernet0/1接入。

.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL# 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。

[Quidway] acl name traffic-of-link link#定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。

[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei(3)激活ACL。

# 将traffic-of-link的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link2 三层ACLa)基本访问控制列表配置案例. 组网需求:通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。

该主机从GigabitEthernet0/1接入。

.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily(2)定义源IP为10.1.1.1的ACL# 进入基于名字的基本访问控制列表视图,命名为traffic-of-host。

华为交换机ACL控制列表设置

华为交换机ACL控制列表设置

交换机配置〔三〕ACL基本配置1,二层ACL. 组网需求:通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤.该主机从GigabitEthernet0/1接入..配置步骤:<1>定义时间段# 定义8:00至18:00的周期时间段.[Quidway] time-range huawei 8:00 to 18:00 daily<2>定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL# 进入基于名字的二层访问控制列表视图,命名为traffic-of-link.[Quidway] acl name traffic-of-link link#定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则. [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress00e0-fc01-0303 0-0-0 time-range huawei<3>激活ACL.# 将traffic-of-link的ACL激活.[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link2三层ACL a>基本访问控制列表配置案例. 组网需求:通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤.该主机从GigabitEthernet0/1接入..配置步骤:<1>定义时间段# 定义8:00至18:00的周期时间段.[Quidway] time-range huawei 8:00 to 18:00 daily<2>定义源IP为10.1.1.1的ACL# 进入基于名字的基本访问控制列表视图,命名为traffic-of-host.[Quidway] acl name traffic-of-host basic# 定义源IP为10.1.1.1的访问规则.[Quidway-acl-basic-traffic-of-host] rule 1 deny ip source 10.1.1.1 0 time-range huawei<3>激活ACL.# 将traffic-of-host的ACL激活.[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-hostb>高级访问控制列表配置案例.组网需求:公司企业网通过Switch的端口实现各部门之间的互连.研发部门的由GigabitEthernet0/1端口接入,工资查询服务器的地址为129.110.1.2.要求正确配置ACL,限制研发部门在上班时间8:00至18:00访问工资服务器..配置步骤:<1>定义时间段# 定义8:00至18:00的周期时间段.定义时间-ACL规则创建-设定规则-激活规则[Quidway] time-range huawei 8:00 to 18:00 working-day<2>定义到工资服务器的ACL# 进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver.[Quidway] acl name traffic-of-payserver advanced# 定义研发部门到工资服务器的访问规则.[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei<3>激活ACL.# 将traffic-of-payserver的ACL激活.[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver3,常见病毒的ACL创建aclacl number 100禁pingrule deny icmp source any destination any用于控制Blaster蠕虫的传播rule deny udp source any destination any destination-port eq 69rule deny tcp source any destination any destination-port eq 4444用于控制冲击波病毒的扫描和攻击rule deny tcp source any destination any destination-port eq 135rule deny udp source any destination any destination-port eq 135rule deny udp source any destination any destination-port eq netbios-nsrule deny udp source any destination any destination-port eq netbios-dgmrule deny tcp source any destination any destination-port eq 139rule deny udp source any destination any destination-port eq 139rule deny tcp source any destination any destination-port eq 445rule deny udp source any destination any destination-port eq 445rule deny udp source any destination any destination-port eq 593rule deny tcp source any destination any destination-port eq 593用于控制振荡波的扫描和攻击rule deny tcp source any destination any destination-port eq 445rule deny tcp source any destination any destination-port eq 5554rule deny tcp source any destination any destination-port eq 9995rule deny tcp source any destination any destination-port eq 9996用于控制Worm_MSBlast.A 蠕虫的传播rule deny udp source any destination any destination-port eq 1434下面的不出名的病毒端口号〔可以不作〕rule deny tcp source any destination any destination-port eq 1068rule deny tcp source any destination any destination-port eq 5800rule deny tcp source any destination any destination-port eq 5900rule deny tcp source any destination any destination-port eq 10080rule deny tcp source any destination any destination-port eq 455rule deny udp source any destination any destination-port eq 455rule deny tcp source any destination any destination-port eq 3208rule deny tcp source any destination any destination-port eq 1871rule deny tcp source any destination any destination-port eq 4510rule deny udp source any destination any destination-port eq 4334rule deny tcp source any destination any destination-port eq 4331rule deny tcp source any destination any destination-port eq 4557然后下发配置packet-filter ip-group 100目的:针对目前网上出现的问题,对目的是端口号为1434的UDP报文进行过滤的配置方法,详细和复杂的配置请看配置手册.NE80的配置:NE80<config>#rule-map r1 udp any any eq 1434//r1为role-map的名字,udp 为关键字,any any 所有源、目的IP,eq为等于,1434为udp端口号NE80<config>#acl a1 r1 deny//a1为acl的名字,r1为要绑定的rule-map的名字,NE80<config-if-Ethernet1/0/0>#access-group acl a1//在1/0/0接口上绑定acl,acl为关键字,a1为acl的名字NE16的配置:NE16-4<config>#firewall enable all//首先启动防火墙NE16-4<config>#access-list 101 deny udp any any eq 1434//deny为禁止的关键字,针对udp报文,any any 为所有源、目的IP,eq为等于, 1434为udp 端口号NE16-4<config-if-Ethernet2/2/0>#ip access-group 101 in//在接口上启用access-list,in表示进来的报文,也可以用out表示出去的报文中低端路由器的配置[Router]firewall enable[Router]acl 101[Router-acl-101]rule deny udp source any destion any destination-port eq 1434[Router-Ethernet0]firewall packet-filter 101 inbound6506产品的配置:旧命令行配置如下:6506<config>#acl extended aaa deny protocol udp any any eq 14346506<config-if-Ethernet5/0/1>#access-group aaa国际化新命令行配置如下:[Quidway]acl number 100[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway-acl-adv-100]quit[Quidway]interface ethernet 5/0/1[Quidway-Ethernet5/0/1]packet-filter inbound ip-group 100 not-care-for-interface5516产品的配置:旧命令行配置如下:5516<config>#rule-map l3 aaa protocol-type udp ingress any egress any eq 14345516<config>#flow-action fff deny5516<config>#acl bbb aaa fff5516<config>#access-group bbb国际化新命令行配置如下:[Quidway]acl num 100[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway]packet-filter ip-group 1003526产品的配置:旧命令行配置如下:rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434flow-action f1 denyacl acl1 r1 f1access-group acl1国际化新命令配置如下:acl number 100rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0packet-filter ip-group 101 rule 0注:3526产品只能配置外网对内网的过滤规则,其中1.1.0.0 255.255.0.0是内网的地址段. 8016产品的配置:旧命令行配置如下:8016<config>#rule-map intervlan aaa udp any any eq 14348016<config>#acl bbb aaa deny8016<config>#access-group acl bbb vlan 10 port all国际化新命令行配置如下:8016<config>#rule-map intervlan aaa udp any any eq 14348016<config>#eacl bbb aaa deny8016<config>#access-group eacl bbb vlan 10 port all防止同网段ARP欺骗的ACL一、组网需求:1. 二层交换机阻止网络用户仿冒网关IP的ARP攻击二、组网图:图1二层交换机防ARP攻击组网S3552P是三层设备,其中IP:100.1.1.1是所有PC的网关,S3552P上的网关MAC地址为000f-e200-3999.PC-B上装有ARP攻击软件.现在需要对S3026C_A进行一些特殊配置,目的是过滤掉仿冒网关IP的ARP报文.三、配置步骤对于二层交换机如S3026C等支持用户自定义ACL〔number为5000到5999〕的交换机,可以配置ACL来进行ARP报文过滤.全局配置ACL禁止所有源IP是网关的ARP报文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉,其中斜体部分64010101是网关IP地址100.1.1.1的16进制表示形式.Rule1允许通过网关发送的ARP报文,斜体部分为网关的mac地址000f-e200-3999.注意:配置Rule时的配置顺序,上述配置为先下发后生效的情况.在S3026C-A系统视图下发acl规则:[S3026C-A] packet-filter user-group 5000这样只有S3026C_A上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的arp响应报文.三层交换机实现仿冒网关的ARP防攻击一、组网需求:1. 三层交换机实现防止同网段的用户仿冒网关IP的ARP攻击二、组网图图2三层交换机防ARP攻击组网三、配置步骤1.对于三层设备,需要配置过滤源IP是网关的ARP报文的ACL规则,配置如下ACL规则:acl number 5000rule 0 deny 0806 ffff 24 64010105 ffffffff 40rule0禁止S3526E的所有端口接收冒充网关的ARP报文,其中斜体部分64010105是网关IP地址的16进制表示形式.2.下发ACL到全局[S3526E] packet-filter user-group 5000仿冒他人IP的ARP防攻击一、组网需求:作为网关的设备有可能会出现错误ARP的表项,因此在网关设备上还需对用户仿冒他人IP的ARP攻击报文进行过滤.二、组网图:参见图1和图2三、配置步骤:1.如图1所示,当PC-B发送源IP地址为PC-D的arp reply攻击报文,源mac是PC-B 的mac <000d-88f8-09fa>,源ip是PC-D的ip<100.1.1.3>,目的ip和mac是网关〔3552P〕的,这样3552上就会学习到错误的arp,如下所示:--------------------- 错误arp表项--------------------------------IP Address MAC Address VLAN ID Port Name Aging Type100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic从网络连接可以知道PC-D的arp表项应该学习到端口E0/8上,而不应该学习到E0/2端口上.但实际上交换机上学习到该ARP表项在E0/2.上述现象可以在S3552上配置静态ARP实现防攻击:arp static 100.1.1.3 000f-3d81-45b4 1 e0/82.在图2 S3526C上也可以配置静态ARP来防止设备学习到错误的ARP表项.3.对于二层设备〔S3050C和S3026E系列〕,除了可以配置静态ARP外,还可以配置IP+MAC+port绑定,比如在S3026C端口E0/4上做如下操作:am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4端口绑定则IP为并且MAC为000d-88f8-09fa的ARP报文可以通过E0/4端口,仿冒其它设备的ARP报文则无法通过,从而不会出现错误ARP表项.四、配置关键点:此处仅仅列举了部分Quidway S系列以太网交换机的应用.在实际的网络应用中,请根据配置手册确认该产品是否支持用户自定义ACL和地址绑定.仅仅具有上述功能的交换机才能防止ARP欺骗.5,关于ACL规则匹配的说明a> ACL直接下发到硬件中的情况交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类.此时一条ACL中多个子规则的匹配顺序是由交换机的硬件决定的,用户即使在定义ACL时配置了匹配顺序也不起作用.ACL直接下发到硬件的情况包括:交换机实现QoS功能时引用ACL、硬件转发时通过ACL过滤转发数据等.b> ACL被上层模块引用的情况交换机也使用ACL来对由软件处理的报文进行过滤和流分类.此时ACL子规则的匹配顺序有两种:config〔指定匹配该规则时按用户的配置顺序〕和auto〔指定匹配该规则时系统自动排序,即按"深度优先"的顺序〕.这种情况下用户可以在定义ACL的时候指定一条ACL中多个子规则的匹配顺序.用户一旦指定某一条访问控制列表的匹配顺序,就不能再更改该顺序.只有把该列表中所有的规则全部删除后,才能重新指定其匹配顺序.ACL被软件引用的情况包括:路由策略引用ACL、对登录用户进行控制时引用ACL等.。

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

日志功能是允许在特定的主机上记录下来防火墙的操作
开启日志系统
info-center enable

配置日志主机地址等相关属性
info-center loghost loghost-number ip-address port …

显示日志配置信息。 display debugging
在华为Quidway路由器上提供了非常丰富的日志功能, 详细内容请参考配置手册

配置其它协议的扩展访问列表:

rule { normal | special }{ permit | deny } { ip | ospf | igmp |
gre
}
[source
source-addr
source-wildcard
|
any
]
[ destination dest-addr dest- wildcard | any ] [logging]
扩展访问控制列表
扩展访问控制列表使用除源地址外更多的信息描述数据包,表 明是允许还是拒绝。

从202.110.10.0/24来的, 到179.100.17.10的, 使用TCP协议, 利用HTTP访问的 数据包可以通过!
路由器
扩展访问控制列表的配置命令

配置TCP/UDP协议的扩展访问列表:

rule { normal | special }{ permit | deny } { tcp | udp } [source source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ] [destination-port operator port1 [ port2 ] ] [logging]
range portnumber1 portnumber2
不等于端口号portnumber
介于端口号portnumber1 和portnumber2之 间
扩展访问控制列表举例

rule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type host-redirect ICMP主机重定向报文 10.1.0.0/16
公司总部网络
将访问控制列表应用到接 口上

防火墙配置常见步骤:

启用防火墙 定义访问控制列表 将访问控制列表应用到接口上
防火墙的属性配置命令
打开或者关闭防火墙


firewall { enable | disable }

设置防火墙的缺省过滤模式

firewall default { permit|deny }
访问控制列表的组合

一条访问列表可以由多条规则组成,对于这些规则,有两种匹配 顺序:auto和config。

规则冲突时,若匹配顺序为auto(深度优先),描述的地址范 围越小的规则,将会优先考虑。

深度的判断要依靠通配比较位和IP地址结合比较
rule deny 202.38.0.0 0.0.255.255
R
内部网络
Internet
办事处
公司总部
未授权用户
访问控制列表的作用
访问控制列表可以用于防火墙; 访问控制列表可以用于Qos(Quality of Service),对数据流 量进行控制;


在DCC中,访问控制列表还可用来规定触发拨号的条件; 访问控制列表还可以用于地址转换; 在配置路由策略时,可以利用访问控制列表来作路由信息的过 滤。
怎样利用 IP 地址 和 反掩码wildcard-mask 来表示 一个网段?
如何使用反掩码

反掩码和子网掩码相似,但写法不同:

0表示需要比较 1表示忽略比较

反掩码和IP地址结合使用,可以描述一个地址范围。
0 0 0
0 0 255
0 3 255
255 255 255
只比较前24位
只比较前22位 只比较前8位
问题: 下面这条访问控制列表表示什么意思? rule deny udp source 129.9.8.0 0.0.0.255 destination 202.38.160.0 0.0.0.255 destination-port greater-than 128
如何使用访问控制列表
启用防火墙
Internet

rule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port equal www logging TCP报文
WWW 端口
202.38.160.0/24
129.9.0.0/16

显示防火墙的状态信息

display firewall
在接口上应用访问控制列表

将访问控制列表应用到接口上
指明在接口上是OUT还是IN方向
在接口视图下配置:
firewall packet-filter acl-number [inbound | outbound]
访问控制列表101 作用在Ethernet0接口 在out方向有效 Ethernet0 Serial0
扩展访问控制列表操作符的含义
操作符及语法
意义
equal portnumber
greater-than portnumber less-than portnumber
等于端口号 portnumber
大于端口号portnumber 小于端口号portnumber
not-equal portnumber

配置ICMP协议的扩展访问列表:

rule { normal | special }{ permit | deny } icmp [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [icmp-type icmp-type icmp-code] [logging]
如何标识访问控制列表?
利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类

列表的种类
IP standard list IP extended list
数字标识的范围
1-99 100-199
标准访问控制列表
标准访问控制列表只使用源地址描述数据,表明是允许还是拒 绝。

从 202.110.10.0/24 来的数据包可以 通过!
访问控制列表
网络设备及高级应用技术课程组制作
学习目标
学习完本课程,您应该能够:

理解访问控制列表的基本原理
掌握标准和扩展访问控制列表的配 置方法


掌握地址转换的基本原理和配置方 法
课程内容
访问控制列表 访问控制列表实例
IP包过滤技术介绍

对路由器需要转发的数据包,先获取包头信息,然后和设定的 规则进行比较,根据比较的结果对数据包进行转发或者丢弃。 而实现包过滤的核心技术是访问控制列表。

settr 命令

settr begin-time end-time [ begin-time end-time ...... ]

undo settr

显示 isintr 命令

display isintr

显示 timerange 命令

display timerange
日志功能的配置命令
Hale Waihona Puke rule permit 202.38.160.0 0.0.0.255
两条规则结合则表示禁止一个大网段 (202.38.0.0)上的主机但允许其 中的一小部分主 机(202.38.160.0)的访问。

规则冲突时,若匹配顺序为config,先配置的规则会被优先考 虑。
访问控制列表3 作用在Serial0接口 上 在in方向上有效
基于时间段的包过滤

“特殊时间段内应用特殊的规则”
Internet
上班时间 (上午8:00 - 下午5:00) 只能访问特定的站点;其余 时间可以访问其他站点
时间段的配置命令

time range 命令

timerange { enable | disable }
访问控制列表是什么?
一 个 IP 数 据 包 如 下 图 所 示 ( 图 中 IP 所 承 载 的 上 层 协 议 为
TCP/UDP):
IP报头
TCP/UDP报头
数据
协议号
源地址 目的地址
源端口 目的端口
对于TCP/UDP来说,这5个元 素组成了一个TCP/UDP相关, 访问控制列表就是利用这些 元素定义的规则
从192.110.10.0/24 来的数据包不能 通过!
路由器
标准访问控制列表的配置
配置标准访问列表的命令格式如下:


acl acl-number [ match-order auto | config ] rule { normal | special }{ permit | deny } [source source-addr source-wildcard | any ]
相关文档
最新文档