华为设备 访问控制列表 ACL的原理与配置 共22页

1、访问控制列表的作用。

作用就是过滤实现安全性具网络可有管理性一、过滤，经过路由器的数据包二、控制增长的网络IP数据2、访问控制列表的分类及其特性。

一、标准列表只基于ip协议来工作，只能针对数据包种的源地址来做审核，由于无法确定具体的目的，所以在使用的过程中，应靠近目的地址，接口应为距目的地址最近的接口，方向为out。

访问控制别表具有方向性，是以路由器做参照物，来定义out或者inout：是在路由器处理完以后，才匹配的条目in：一进入路由器就匹配，匹配后在路由。

编号范围为：1-99二、扩展列表可以很据数据包中的源ip地址和目的ip地址及相应的应用协议来工作，在工作的过程中常用在距源或组源最近的路由器上，接口为距源最近的接口，方向为in，可以审核三层和四层的信息。

编号范围：100-199如何判断应使用哪种类型的访问控制列表标准：针对目的，允许或拒绝特定的源时，使用标准的（当目的唯一，具有多个源访问时。

）扩展：针对源地址，允许或拒绝源去往特定的目的。

或者在涉及四层信息的审核时通常都会采用扩展列表。

（当源确定下来，具有单个源可有多个目的地址时。

）编号的作用：a,标识表的类型b,列表的名字1.访问列表最后一条都隐含拒绝所有，使用拒绝列表时，必须有条允许语句。

2.访问列表按顺序自上而下逐条匹配，当匹配后立即执行，不会继续匹配。

3.具有严格限制的条目应该放在列表前。

4.删除列表不能有选择删除，若no access-list X 的一个条目，则这个列表被删除。

5.当别表没有被应用时,则是个无效的别表,不会影响到数据的审核.6.在书写列表的过程中,应先编辑列表,再应用到相应的接口或者策略上.7.当列表过滤掉一个数据包时，会返回给源一个不可达的icmp包，然后丢掉或过滤掉包8.访问列表在应用中，标准的应靠近目的，而扩展则靠近源或组源。

9.当路由器调用了一个没有条目的列表，则执行列表隐含条目，deny any （拒绝所有）10.在某个接口，某个方向上只能调用一个列表。

acl工作原理ACL工作原理ACL，即Access Control List，中文翻译为访问控制列表，是一种用于控制系统或网络中资源访问权限的方法。

在网络中，ACL通常被应用于路由器、交换机等设备上，用于限制网络中的用户或设备访问某些资源的权限。

ACL工作原理ACL的工作原理可以简单概括为：对于每一个网络数据包，设备会根据ACL规则进行匹配，如果匹配成功，则根据ACL规则进行相应操作，比如允许或拒绝该数据包通过。

具体来说，ACL工作的过程如下：1. 定义ACL规则ACL规则是一个由多个条件组成的访问控制列表，用来描述哪些数据包可以通过，哪些数据包应该被阻止。

ACL规则可以基于源IP地址、目的IP地址、协议类型、端口号等多种条件进行定义。

2. 应用ACL规则ACL规则可以应用于多个网络设备上，比如路由器、交换机等。

当一个数据包到达设备时，设备会根据ACL规则进行匹配，以确定该数据包是应该被允许通过，还是应该被拒绝。

3. 匹配ACL规则当数据包到达设备时，设备会根据ACL规则进行匹配。

匹配规则通常是从上到下逐条匹配，直到找到匹配成功的规则为止。

如果没有匹配成功的规则，则会执行默认操作，通常是拒绝该数据包通过。

4. 执行ACL规则如果数据包匹配成功，设备会根据ACL规则进行相应操作，比如允许或拒绝该数据包通过。

允许和拒绝操作可以根据具体的需求进行配置。

ACL的优点ACL具有以下优点：1. 灵活性：ACL规则可以基于多种条件进行定义，可以灵活地适应不同的网络需求。

2. 精细化：ACL允许对不同用户或设备进行不同程度的访问限制，可以精细地控制网络资源的访问权限。

3. 安全性：ACL可以有效地防止未授权的用户或设备访问敏感资源，提高网络的安全性。

4. 可扩展性：ACL可以应用于多个网络设备上，可以方便地扩展到整个网络中。

总的来说，ACL是一种非常重要的网络安全控制技术，可以有效地保护网络资源不被未授权的用户或设备访问。

华为交换机ACL基础配置ACL基础详解：访问控制列表(ACL)是⼀种基于包过滤的，它可以根据设定的条件对接⼝上的数据包进⾏过滤，允许其通过或丢弃。

访问控制列表被⼴泛地应⽤于和，借助于访问控制列表，可以有效地控制⽤户对⽹络的访问，从⽽最⼤程度地保障。

访问控制列表（Access Control Lists，ACL）是应⽤在接⼝的指令列表。

这些指令列表⽤来告诉路由器哪些可以收、哪些数据包需要拒绝。

⾄于数据包是被接收还是拒绝，可以由类似于源地址、⽬的地址、等的特定指⽰条件来决定。

访问控制列表具有许多作⽤，如限制⽹络流量、提⾼⽹络性能；通信流量的控制，例如ACL可以限定或简化路由更新信息的长度，从⽽限制通过路由器某⼀⽹段的通信流量；提供⽹络安全访问的基本⼿段；在路由器端⼝处决定哪种类型的通信流量被转发或被阻塞，例如，⽤户可以允许E-mail通信流量被路由，拒绝所有的 Telnet通信流量等。

ACL处理过程及规则：当ACL处理数据包时，⼀旦数据包与某条ACL语句匹配，则会跳过列表中剩余的其他语句，根据该条匹配的语句内容决定允许或者拒绝该数据包。

如果数据包内容与ACL语句不匹配，那么将依次使⽤ACL列表中的下⼀条语句测试数据包。

该匹配过程会⼀直继续，直到抵达列表末尾。

最后⼀条隐含的语句适⽤于不满⾜之前任何条件的所有数据包。

这条最后的测试条件与这些数据包匹配，通常会隐含拒绝⼀切数据包的指令。

此时路由器不会让这些数据进⼊或送出接⼝，⽽是直接丢弃。

最后这条语句通常称为隐式的“deny any”语句。

由于该语句的存在，所以在ACL中应该⾄少包含⼀条permit语句，否则，默认情况下，ACL将阻⽌所有流量。

访问控制列表的使⽤：ACL的使⽤分为两步：1. 创建访问控制列表ACL，根据实际需要设置对应的条件项；2. 将ACL应⽤到路由器指定接⼝的指定⽅向(in/out)上。

在ACL的配置与使⽤中需要注意以下事项：1. ACL是⾃顶向下顺序进⾏处理，⼀旦匹配成功，就会进⾏处理，且不再⽐对以后的语句，所以ACL中语句的顺序很重要。

标准ACL的工作原理及应用1. 什么是标准ACL标准访问控制列表（Access Control List，简称ACL）是网络设备（如路由器、交换机）中一个用于控制网络流量的功能。

它通过匹配数据包的源地址来决定是否允许数据包通过设备。

标准ACL是一种基本的ACL类型，它只能根据源IP地址来控制流量，而不能根据目标IP地址、协议类型、端口号等进行控制。

2. 标准ACL的工作原理标准ACL通过配置设备的规则来实现对数据包的控制。

设备会按照这些规则逐一匹配数据包，并根据匹配结果来决定是否通过。

下面是标准ACL的工作原理的简要步骤：•当数据包进入设备时，设备会检查它的源IP地址。

•设备会按照事先配置好的规则进行逐一匹配。

每个规则通常包含一个IP地址（或地址段）和一个操作（如允许或拒绝）。

•如果数据包的源IP地址与某个规则匹配，则设备会根据规则的操作决定如何处理数据包。

•如果数据包的源IP地址没有与任何规则匹配，则设备会使用默认的行为决定如何处理数据包。

3. 标准ACL的应用场景标准ACL通常用于限制特定源IP地址的访问权限，常见的应用场景包括：3.1 限制内部设备的访问可以使用标准ACL来限制内部网络中某些设备对外部网络的访问权限。

例如，可以阻止某个局域网中的设备访问特定的互联网地址。

3.2 限制外部网络对内部设备的访问标准ACL还可用于限制外部网络对内部设备的访问。

通过配置标准ACL，可以阻止特定的外部IP地址访问内部网络中的设备。

3.3 过滤出某特定流量标准ACL还可以用于过滤出某特定的流量。

例如，通过配置标准ACL，可以只允许某个特定的IP地址通过设备，并拒绝其他所有IP地址的访问。

3.4 限制特定协议流量虽然标准ACL主要根据源IP地址进行控制，但也可以结合其他条件来限制特定协议的流量。

例如，可以通过使用扩展ACL和标准ACL的组合来实现根据协议类型限制流量的功能。

4. 配置标准ACL的步骤配置标准ACL大致包括以下几个步骤：1.进入设备的配置模式。

什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

访问控制列表的原理对路由器接口来说有两个方向出：已经经路由器的处理，正离开路由器接口的数据包入：已经到达路由器接口的数据包，将被路由器处理。

匹配顺序为："自上而下，依次匹配".默认为拒绝访问控制列表的类型标准访问控制列表：一般应用在out出站接口。

建议配置在离目标端最近的路由上扩展访问控制列表：配置在离源端最近的路由上，一般应用在入站in方向命名访问控制列表：允许在标准和扩展访问列表中使用名称代替表号访问控制列表使用原则1、最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则所有的网络层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。

3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

一、标准访问列表(标准ACL)访问控制列表ACL分很多种，不同场合应用不同种类的ACL.其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用访问控制列表号1到99来创建相应的ACL.它的具体格式：access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask]access-list-number 为1-99 或者1300-1999之间的数字，这个是访问列表号。

华为ACL详解2精编版访问控制列表-细说ACL那些事⼉（ACL匹配篇）在上⼀期中，⼩编围绕⼀张ACL结构图展开介绍，让⼤家了解了ACL的概念、作⽤和分类，并且知道了ACL是通过规则匹配来实现报⽂过滤的。

但ACL到底是如何进⾏规则匹配的，相信⼤家还是⼀头雾⽔。

本期，说⼀说关于“ACL匹配”的那些事⼉。

1ACL匹配机制⾸先，为⼤家介绍ACL匹配机制。

上⼀期提到，ACL在匹配报⽂时遵循“⼀旦命中即停⽌匹配”的原则。

其实，这句话就是对ACL匹配机制的⼀个⾼度的概括。

当然，ACL匹配过程中，还存在很多细节。

⽐如，ACL不存在系统会怎么处理？ACL存在但规则不存在系统会怎么处理？为了对整个ACL匹配过程展开详细的介绍，画了⼀张ACL匹配流程图，相信对⼤家理解ACL匹配机制能有所帮助。

从整个ACL匹配流程可以看出，报⽂与ACL规则匹配后，会产⽣两种匹配结果：“匹配”和“不匹配”。

●匹配（命中规则）：指存在ACL，且在ACL中查找到了符合匹配条件的规则rule。

不论匹配的动作是“permit”还是“deny”，都称为“匹配”，⽽不是只是匹配上permit规则才算“匹配”。

●不匹配（未命中规则）：指不存在ACL(⽆ACL)，或ACL中⽆规则(没有rule)，再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。

切记以上三种情况，都叫做“不匹配”。

提醒⼤家，⽆论报⽂匹配ACL的结果是“不匹配”、“允许”还是“拒绝”，该报⽂最终是被允许通过还是拒绝通过，实际是由应⽤ACL的各个业务模块来决定的。

不同的业务模块，对命中和未命中规则报⽂的处理⽅式也各不相同。

例如，在Telnet模块中应⽤ACL，只要报⽂命中了permit规则，就允许通过；⽽在流策略中应⽤ACL，如果报⽂命中了permit规则，但流⾏为动作配置的是deny，该报⽂会被拒绝通过。

在后续连载的《访问控制列表-细说ACL那些事⼉（应⽤篇）》中，将结合各类ACL应⽤，为⼤家细说各个业务模块的区别。

交换机配置〔三〕ACL基本配置1,二层ACL. 组网需求:通过二层访问控制列表,实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤.该主机从GigabitEthernet0/1接入..配置步骤:<1>定义时间段# 定义8:00至18:00的周期时间段.[Quidway] time-range huawei 8:00 to 18:00 daily<2>定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL# 进入基于名字的二层访问控制列表视图,命名为traffic-of-link.[Quidway] acl name traffic-of-link link#定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则. [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress00e0-fc01-0303 0-0-0 time-range huawei<3>激活ACL.# 将traffic-of-link的ACL激活.[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link2三层ACL a>基本访问控制列表配置案例. 组网需求:通过基本访问控制列表,实现在每天8:00～18:00时间段内对源IP为10.1.1.1主机发出报文的过滤.该主机从GigabitEthernet0/1接入..配置步骤:<1>定义时间段# 定义8:00至18:00的周期时间段.[Quidway] time-range huawei 8:00 to 18:00 daily<2>定义源IP为10.1.1.1的ACL# 进入基于名字的基本访问控制列表视图,命名为traffic-of-host.[Quidway] acl name traffic-of-host basic# 定义源IP为10.1.1.1的访问规则.[Quidway-acl-basic-traffic-of-host] rule 1 deny ip source 10.1.1.1 0 time-range huawei<3>激活ACL.# 将traffic-of-host的ACL激活.[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-hostb>高级访问控制列表配置案例.组网需求:公司企业网通过Switch的端口实现各部门之间的互连.研发部门的由GigabitEthernet0/1端口接入,工资查询服务器的地址为129.110.1.2.要求正确配置ACL,限制研发部门在上班时间8:00至18:00访问工资服务器..配置步骤:<1>定义时间段# 定义8:00至18:00的周期时间段.定义时间－ACL规则创建－设定规则－激活规则[Quidway] time-range huawei 8:00 to 18:00 working-day<2>定义到工资服务器的ACL# 进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver.[Quidway] acl name traffic-of-payserver advanced# 定义研发部门到工资服务器的访问规则.[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei<3>激活ACL.# 将traffic-of-payserver的ACL激活.[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver3,常见病毒的ACL创建aclacl number 100禁pingrule deny icmp source any destination any用于控制Blaster蠕虫的传播rule deny udp source any destination any destination-port eq 69rule deny tcp source any destination any destination-port eq 4444用于控制冲击波病毒的扫描和攻击rule deny tcp source any destination any destination-port eq 135rule deny udp source any destination any destination-port eq 135rule deny udp source any destination any destination-port eq netbios-nsrule deny udp source any destination any destination-port eq netbios-dgmrule deny tcp source any destination any destination-port eq 139rule deny udp source any destination any destination-port eq 139rule deny tcp source any destination any destination-port eq 445rule deny udp source any destination any destination-port eq 445rule deny udp source any destination any destination-port eq 593rule deny tcp source any destination any destination-port eq 593用于控制振荡波的扫描和攻击rule deny tcp source any destination any destination-port eq 445rule deny tcp source any destination any destination-port eq 5554rule deny tcp source any destination any destination-port eq 9995rule deny tcp source any destination any destination-port eq 9996用于控制Worm_MSBlast.A 蠕虫的传播rule deny udp source any destination any destination-port eq 1434下面的不出名的病毒端口号〔可以不作〕rule deny tcp source any destination any destination-port eq 1068rule deny tcp source any destination any destination-port eq 5800rule deny tcp source any destination any destination-port eq 5900rule deny tcp source any destination any destination-port eq 10080rule deny tcp source any destination any destination-port eq 455rule deny udp source any destination any destination-port eq 455rule deny tcp source any destination any destination-port eq 3208rule deny tcp source any destination any destination-port eq 1871rule deny tcp source any destination any destination-port eq 4510rule deny udp source any destination any destination-port eq 4334rule deny tcp source any destination any destination-port eq 4331rule deny tcp source any destination any destination-port eq 4557然后下发配置packet-filter ip-group 100目的：针对目前网上出现的问题,对目的是端口号为1434的UDP报文进行过滤的配置方法,详细和复杂的配置请看配置手册.NE80的配置：NE80<config>#rule-map r1 udp any any eq 1434//r1为role-map的名字,udp 为关键字,any any 所有源、目的IP,eq为等于,1434为udp端口号NE80<config>#acl a1 r1 deny//a1为acl的名字,r1为要绑定的rule-map的名字,NE80<config-if-Ethernet1/0/0>#access-group acl a1//在1/0/0接口上绑定acl,acl为关键字,a1为acl的名字NE16的配置：NE16-4<config>#firewall enable all//首先启动防火墙NE16-4<config>#access-list 101 deny udp any any eq 1434//deny为禁止的关键字,针对udp报文,any any 为所有源、目的IP,eq为等于, 1434为udp 端口号NE16-4<config-if-Ethernet2/2/0>#ip access-group 101 in//在接口上启用access-list,in表示进来的报文,也可以用out表示出去的报文中低端路由器的配置[Router]firewall enable[Router]acl 101[Router-acl-101]rule deny udp source any destion any destination-port eq 1434[Router-Ethernet0]firewall packet-filter 101 inbound6506产品的配置：旧命令行配置如下：6506<config>#acl extended aaa deny protocol udp any any eq 14346506<config-if-Ethernet5/0/1>#access-group aaa国际化新命令行配置如下：[Quidway]acl number 100[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway-acl-adv-100]quit[Quidway]interface ethernet 5/0/1[Quidway-Ethernet5/0/1]packet-filter inbound ip-group 100 not-care-for-interface5516产品的配置：旧命令行配置如下：5516<config>#rule-map l3 aaa protocol-type udp ingress any egress any eq 14345516<config>#flow-action fff deny5516<config>#acl bbb aaa fff5516<config>#access-group bbb国际化新命令行配置如下：[Quidway]acl num 100[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway]packet-filter ip-group 1003526产品的配置：旧命令行配置如下：rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434flow-action f1 denyacl acl1 r1 f1access-group acl1国际化新命令配置如下：acl number 100rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0packet-filter ip-group 101 rule 0注：3526产品只能配置外网对内网的过滤规则,其中1.1.0.0 255.255.0.0是内网的地址段. 8016产品的配置：旧命令行配置如下：8016<config>#rule-map intervlan aaa udp any any eq 14348016<config>#acl bbb aaa deny8016<config>#access-group acl bbb vlan 10 port all国际化新命令行配置如下：8016<config>#rule-map intervlan aaa udp any any eq 14348016<config>#eacl bbb aaa deny8016<config>#access-group eacl bbb vlan 10 port all防止同网段ARP欺骗的ACL一、组网需求：1. 二层交换机阻止网络用户仿冒网关IP的ARP攻击二、组网图：图1二层交换机防ARP攻击组网S3552P是三层设备,其中IP：100.1.1.1是所有PC的网关,S3552P上的网关MAC地址为000f-e200-3999.PC-B上装有ARP攻击软件.现在需要对S3026C_A进行一些特殊配置,目的是过滤掉仿冒网关IP的ARP报文.三、配置步骤对于二层交换机如S3026C等支持用户自定义ACL〔number为5000到5999〕的交换机,可以配置ACL来进行ARP报文过滤.全局配置ACL禁止所有源IP是网关的ARP报文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉,其中斜体部分64010101是网关IP地址100.1.1.1的16进制表示形式.Rule1允许通过网关发送的ARP报文,斜体部分为网关的mac地址000f-e200-3999.注意：配置Rule时的配置顺序,上述配置为先下发后生效的情况.在S3026C-A系统视图下发acl规则：[S3026C-A] packet-filter user-group 5000这样只有S3026C_A上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的arp响应报文.三层交换机实现仿冒网关的ARP防攻击一、组网需求：1. 三层交换机实现防止同网段的用户仿冒网关IP的ARP攻击二、组网图图2三层交换机防ARP攻击组网三、配置步骤1.对于三层设备,需要配置过滤源IP是网关的ARP报文的ACL规则,配置如下ACL规则：acl number 5000rule 0 deny 0806 ffff 24 64010105 ffffffff 40rule0禁止S3526E的所有端口接收冒充网关的ARP报文,其中斜体部分64010105是网关IP地址的16进制表示形式.2.下发ACL到全局[S3526E] packet-filter user-group 5000仿冒他人IP的ARP防攻击一、组网需求：作为网关的设备有可能会出现错误ARP的表项,因此在网关设备上还需对用户仿冒他人IP的ARP攻击报文进行过滤.二、组网图：参见图1和图2三、配置步骤：1.如图1所示,当PC-B发送源IP地址为PC-D的arp reply攻击报文,源mac是PC-B 的mac <000d-88f8-09fa>,源ip是PC-D的ip<100.1.1.3>,目的ip和mac是网关〔3552P〕的,这样3552上就会学习到错误的arp,如下所示：--------------------- 错误arp表项--------------------------------IP Address MAC Address VLAN ID Port Name Aging Type100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic从网络连接可以知道PC-D的arp表项应该学习到端口E0/8上,而不应该学习到E0/2端口上.但实际上交换机上学习到该ARP表项在E0/2.上述现象可以在S3552上配置静态ARP实现防攻击：arp static 100.1.1.3 000f-3d81-45b4 1 e0/82.在图2 S3526C上也可以配置静态ARP来防止设备学习到错误的ARP表项.3.对于二层设备〔S3050C和S3026E系列〕,除了可以配置静态ARP外,还可以配置IP＋MAC＋port绑定,比如在S3026C端口E0/4上做如下操作：am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4端口绑定则IP为并且MAC为000d-88f8-09fa的ARP报文可以通过E0/4端口,仿冒其它设备的ARP报文则无法通过,从而不会出现错误ARP表项.四、配置关键点：此处仅仅列举了部分Quidway S系列以太网交换机的应用.在实际的网络应用中,请根据配置手册确认该产品是否支持用户自定义ACL和地址绑定.仅仅具有上述功能的交换机才能防止ARP欺骗.5,关于ACL规则匹配的说明a> ACL直接下发到硬件中的情况交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类.此时一条ACL中多个子规则的匹配顺序是由交换机的硬件决定的,用户即使在定义ACL时配置了匹配顺序也不起作用.ACL直接下发到硬件的情况包括：交换机实现QoS功能时引用ACL、硬件转发时通过ACL过滤转发数据等.b> ACL被上层模块引用的情况交换机也使用ACL来对由软件处理的报文进行过滤和流分类.此时ACL子规则的匹配顺序有两种：config〔指定匹配该规则时按用户的配置顺序〕和auto〔指定匹配该规则时系统自动排序,即按"深度优先"的顺序〕.这种情况下用户可以在定义ACL的时候指定一条ACL中多个子规则的匹配顺序.用户一旦指定某一条访问控制列表的匹配顺序,就不能再更改该顺序.只有把该列表中所有的规则全部删除后,才能重新指定其匹配顺序.ACL被软件引用的情况包括：路由策略引用ACL、对登录用户进行控制时引用ACL等.。

目录1 ACL简介............................................................................................................................................1-11.1 ACL概述............................................................................................................................................1-11.1.1 ACL概述.................................................................................................................................1-11.1.2 ACL在交换机上的应用方式....................................................................................................1-11.2 IPv4 ACL简介....................................................................................................................................1-21.2.1 IPv4 ACL分类.........................................................................................................................1-21.2.2 IPv4 ACL命名.........................................................................................................................1-21.2.3 IPv4 ACL匹配顺序..................................................................................................................1-21.2.4 IPv4 ACL步长.........................................................................................................................1-31.2.5 IPv4 ACL生效时间段..............................................................................................................1-31.2.6 IPv4 ACL对分片报文的处理...................................................................................................1-41.3 IPv6 ACL简介....................................................................................................................................1-41.3.1 IPv6 ACL分类.........................................................................................................................1-41.3.2 IPv6 ACL命名.........................................................................................................................1-41.3.3 IPv6 ACL匹配顺序..................................................................................................................1-41.3.4 IPv6 ACL步长.........................................................................................................................1-51.3.5 IPv6 ACL生效时间段..............................................................................................................1-52 IPv4 ACL配置....................................................................................................................................2-12.1 配置时间段........................................................................................................................................2-12.1.1 配置时间段..............................................................................................................................2-12.1.2 时间段配置举例......................................................................................................................2-12.2 配置基本IPv4 ACL.............................................................................................................................2-22.2.1 配置准备.................................................................................................................................2-22.2.2 配置基本IPv4 ACL..................................................................................................................2-22.2.3 基本IPv4 ACL配置举例...........................................................................................................2-32.3 配置高级IPv4 ACL.............................................................................................................................2-32.3.1 配置准备.................................................................................................................................2-32.3.2 配置高级IPv4 ACL..................................................................................................................2-42.3.3 高级IPv4 ACL配置举例...........................................................................................................2-52.4 配置二层ACL.....................................................................................................................................2-52.4.1 配置准备.................................................................................................................................2-52.4.2 配置二层ACL..........................................................................................................................2-52.4.3 二层ACL配置举例...................................................................................................................2-62.5 拷贝IPv4 ACL....................................................................................................................................2-62.5.1 配置准备.................................................................................................................................2-62.5.2 拷贝IPv4 ACL.........................................................................................................................2-62.6 IPv4 ACL显示和维护.........................................................................................................................2-72.7 IPv4 ACL典型配置举例.....................................................................................................................2-72.7.1 组网需求.................................................................................................................................2-72.7.2 组网图.....................................................................................................................................2-72.7.3 配置步骤.................................................................................................................................2-83 IPv6 ACL配置....................................................................................................................................3-13.1 配置时间段........................................................................................................................................3-13.2 配置基本IPv6 ACL.............................................................................................................................3-13.2.1 配置准备.................................................................................................................................3-13.2.2 配置基本IPv6 ACL..................................................................................................................3-13.2.3 基本IPv6 ACL配置举例...........................................................................................................3-23.3 配置高级IPv6 ACL.............................................................................................................................3-23.3.1 配置准备.................................................................................................................................3-23.3.2 配置高级IPv6 ACL..................................................................................................................3-33.3.3 高级IPv6 ACL配置举例...........................................................................................................3-43.4 配置二层ACL.....................................................................................................................................3-43.5 拷贝IPv6 ACL....................................................................................................................................3-43.5.1 配置准备.................................................................................................................................3-43.5.2 拷贝IPv6 ACL.........................................................................................................................3-43.6 IPv6 ACL显示和维护.........................................................................................................................3-43.7 IPv6 ACL典型配置举例.....................................................................................................................3-53.7.1 组网需求.................................................................................................................................3-53.7.2 组网图.....................................................................................................................................3-53.7.3 配置步骤.................................................................................................................................3-54 应用ACL进行报文过滤.......................................................................................................................4-14.1 配置对IPv4报文进行过滤..................................................................................................................4-14.2 配置对IPv6报文进行过滤..................................................................................................................4-24.3 应用ACL进行报文过滤典型配置举例.................................................................................................4-24.3.1 以太网端口报文过滤典型配置举例.........................................................................................4-24.3.2 VLAN接口报文过滤典型配置举例...........................................................................................4-31 ACL简介本章所介绍的ACL包括IPv4 ACL和IPv6 ACL。

2018软考网络工程师《华为基础实验》二十二配置访问控制列表ACL一、ACL 基础概念1、访问控制列表根据源地址、目标地址、源端口或目标端口等协议信息对数据包进行过滤，从而达到访问控制的目的。

可以在路由器、三层交换机等设备上使用，目前部分新二层交换机也支持ACL。

2、ACL 由编号或名字标识，ACL 包含一组语句（规则）。

3、ACL 包括permit/deny 两种动作，表示允许/拒绝，匹配（命中规则）是指存在ACL,且在ACL 中查找到了符合条件的规则。

4、ACL 在系统视图模式下配置，生成的ACL 命令需要被应用才能起效。

5、ACL 的分类可当一个分组经过时，路由器按照一定的步骤找出与分组信息匹配的ACL 语句对其进行处理。

n 按配置顺序的匹配规则（config模式），ACL的默认匹配规则为config模式,以对ACL 语句的处理规则总结出以下要点。

(1)一旦发现匹配的语句，就不再处理列表中的其他语句。

(2)语句的排列顺序很重要。

(3)如果整个列表中没有匹配的语句，则分组被丢弃。

例如下面两条语句组成的一个基本ACLrule deny source 172.16.0.0 0.0.255.255rule permit source 172.16.1.0 0.0.0.255第二条语句就被忽略了。

要达到预想的结果—允许来自除主机172.16.1.1之外的、属于子网172.16.1.0/24的所有通信，则两条语句的顺序必须互换。

n 按照自动排序规则（auto模式）自动排序指系统使用“深度优先”的原则，将规则按照精确度从高到低进行排序，并按照精确度从高到低进行报文匹配。

规则中定义的匹配项限制越严格，规则的精确度就越高，即优先级越高，系统越优先匹配。

例如在auto 模式下的ACL 3001，如下：rule deny ip destination 172.16.0.0 0.0.255.255rule permit ip destination 172.16.10.0 0.0.0.255配置完上述两条规则后，ACL3001 的规则排序如下。

华为路由的ACL的配置华为3COM的ACL一直一来都比较麻烦，不同版本、不同型号的设备都有些不同。

下面我以3900设备为例，说明ACL的配置和执行技巧。

总结一句话：rule排列规则和auto、config 模式有关，而匹配顺序则和ACL应用环境和下发到端口的循序有关。

规律说明：1、ACL可以分为auto模式和config模式,auto模式根据最长匹配的原则排列rule的顺序（可以通告dis aclall查看rule的循序，出现4－2－3－0－1很正常）。

config模式根据用户配置循序排列rule的循序。

也就是说auto和config只是rule的排列顺序有关，与匹配顺序无关。

2、不管是auto模式还是config模式，当ACL应用于包过虑和QOS时，匹配循序是从下往上，但是应用于VTY 用户过虑等责是从上往下匹配。

3、不管是auto模式还是config模式，ACL的匹配顺序都是根据下发到端口的规则从下往上匹配。

4、在一个ACL里同时有多条rule匹配，则按照最长匹配优先执行。

包过虑ACL举例说明：禁止10.10.10.145这台PC上网允许10.10.10.0/24网段上网允许192.168.0.0/16网段上网禁止所有IP配置方法一：配置ACL（需要严格按照配置顺序配置）acl num 3000 mach configrule den iprule permit ip sour 192.168.0.0 0.0.255.255rule permit ip sour 10.10.10.0 0.0.0.255rule deny ip sour 10.10.10.145 0下发ACL到端口int e 1/0/1pack in ip 3000配置方法二：配置ACL（配置循序随便）acl num 3001 mach autorule permit ip sour 10.10.10.0 0.0.0.255rule den iprule deny ip sour 10.10.10.145 0rule permit ip sour 192.168.0.0 0.0.255.255下发ACL到端口int e 1/0/2pack in ip 3001 rule 0（必需先应用rule 0，否则全部都是禁止）pack in ip 3001配置输出：acl number 3000（排列顺序为0－1－2－3，按配置顺序排列）rule 0 deny iprule 1 permit ip source 192.168.0.0 0.0.255.255rule 2 permit ip source 10.10.10.0 0.0.0.255rule 3 deny ip source 10.10.10.145 0acl number 3001 match-order auto（排列顺序为3－1－2－0，按掩码排列）rule 3 deny ip source 10.10.10.145 0rule 1 permit ip source 10.10.10.0 0.0.0.255rule 2 permit ip source 192.168.0.0 0.0.255.255rule 0 deny ip#vlan 1#interface Aux1/0/0#interface Ethernet1/0/1（排列顺序为0－1－2－3，和ACL顺序一样）packet-filter inbound ip-group 3000 rule 0packet-filter inbound ip-group 3000 rule 1packet-filter inbound ip-group 3000 rule 2packet-filter inbound ip-group 3000 rule 3#interface Ethernet1/0/2（排列顺序为0－3－1－2，和ACL顺序不一样）packet-filter inbound ip-group 3001 rule 0packet-filter inbound ip-group 3001 rule 3packet-filter inbound ip-group 3001 rule 1packet-filter inbound ip-group 3001 rule 2标准访问列表命令格式如下：acl <acl-number> [match-order config|auto] // 默认前者顺序匹配rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]例：[Quidway]acl 10[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255[Quidway-acl-10]rule normal deny source any扩展访问控制列表配置命令配置TCP/UDP协议的扩展访问列表：rule {normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination <ip wild>|any} [operate]配置ICMP协议的扩展访问列表：rule {normal|special}{permit|deny}icmp source {<ip wild>|any]destination {<ip wild>|any] [icmp-code] [logging]扩展访问控制列表操作符的含义equal portnumber //等于greater-than portnumber //大于less-than portnumber //小于not-equal portnumber //不等range portnumber1 portnumber2 //区间扩展访问控制列表举例[Quidway]acl 101[Quidway-acl-101]rule deny souce any destination any[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo [Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply [Quidway]acl 102[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0 [Quidway-acl-102]rule deny ip source any destination any[Quidway]acl 103[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www[Quidway]firewall enable[Quidway]firewall default permit|deny[Quidway]int e0[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound。

华为ACL配置教程一、ACL基本配置1、ACL规则生效时间段配置（需要先配置设备的时间，建议用ntp同步时间）某些引用ACL的业务或功能需要限制在一定的时间范围内生效，比如，在流量高峰期时启动设备的QoS功能。

用户可以为ACL创建生效时间段，通过在规则中引用时间段信息限制ACL生效的时间范围，从而达到该业务或功能在一定的时间范围内生效的目的。

[Huawei]time-range test ?<hh:mm> Starting timefrom The beginning point of the time range[Huawei]time-range test 8:00 ?to The ending point of periodic time-range[Huawei]time-range test 8:00 t[Huawei]time-range test 8:00 to ?<hh:mm> Ending Time[Huawei]time-range test 8:00 to 18:05 ?<0-6> Day of the week(0 is Sunday)Fri Friday #星期五Mon Monday #星期一Sat Saturday #星期六Sun Sunday #星期天Thu Thursday #星期四Tue Tuesday #星期二Wed Wednesday #星期三daily Every day of the week #每天off-day Saturday and Sunday #星期六和星期日working-day Monday to Friday #工作日每一天[Huawei]time-range test from 8:00 2016/1/17 to 18:00 2016/11/17使用同一time-name可以配置多条不同的时间段，以达到这样的效果：各周期时间段之间以及各绝对时间段之间分别取并集之后，再取二者的交集作为最终生效的时间范围。

交换机配置（三）ACL基本配置1，二层ACL. 组网需求:通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。

该主机从GigabitEthernet0/1接入。

.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL# 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。

[Quidway] acl name traffic-of-link link#定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。

[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei(3)激活ACL。

# 将traffic-of-link的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link2 三层ACLa)基本访问控制列表配置案例. 组网需求:通过基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。

该主机从GigabitEthernet0/1接入。

.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily(2)定义源IP为10.1.1.1的ACL# 进入基于名字的基本访问控制列表视图，命名为traffic-of-host。

acl的工作原理
ACL是AccessControlList（访问控制列表）的缩写，是一种用于控制网络资源访问权限的技术。

ACL的工作原理是通过对网络流量进行过滤和控制，以保护网络系统免受威胁和攻击。

ACL可以实现对网络中的不同用户、设备和应用程序进行访问控制，以确保只有授权用户才能访问网络资源。

ACL通常由一系列规则组成，这些规则定义了允许和禁止哪些类型的流量通过网络。

ACL的实现方式可以是基于IP地址、MAC地址、端口号或协议类型等。

当网络流量通过设备时，设备会根据ACL规则来判断该流量是否允许通过，如果流量被ACL禁止，则设备会阻止该流量通过，并向管理员发出警报。

总之，ACL是一种重要的网络安全措施，它可以帮助管理员保护网络系统免受未经授权的访问和攻击。

- 1 -。