搜档网
当前位置:搜档网 › 华为交换机ACL策略

华为交换机ACL策略

华为交换机ACL策略
华为交换机ACL策略

华为交换机ACL策略

1.1 时间段配置命令

1.1.1 display time-range

【命令】

display time-range{all | time-name }

【视图】

任意视图

【参数】

time-name:时间段的名称,为1~32个字符的字符串,不区分大小写,必须

以英文字母a~z或A~Z开头。为避免混淆,时间段的名字不可以使用英文单

词all。

all:所有配置的时间段。

【描述】

display time-range命令用来显示当前时间段的配置信息和状态,对于当前处

在激活状态的时间段将显示Active,对于非激活状态的时间段将显示Inactive。【举例】

# 显示时间段trname的配置信息和状态。

display time-range trname

●Current time is 10:45:15 4/14/2005 Thursday

●Time-range : trname ( Inactive )

● from 08:00 12/1/2005 to 24:00 12/31/2100

表1-1display time-range命令显示信息描述表

1.1.2 time-range

【命令】

time-range time-name { start-time to end-time days [ from time1 date1 ] [ to

time2 date2 ] | from time1 date1 [ to time2 date2 ] | to time2 date2 }

undo time-range time-name [ start-time to end-time days [ from time1 date1 ]

[ to time2 date2 ]| from time1 date1 [ to time2 date2 ] | to time2 date2 ]

【视图】

系统视图

【参数】

time-name:时间段的名称,为1~32个字符的字符串,不区分大小写,必须

以英文字母a~z或A~Z开头。为避免混淆,时间段的名字不可以使用英文单

词all。

start-time:一个周期时间段的开始时间,格式为hh:mm,小时和分钟之间使用

“:”分隔,取值范围为00:00~23:59。

end-time:一个周期时间段的结束时间,格式为hh:mm,小时和分钟之间使用

“:”分隔,取值范围为00:00~24:00。结束时间必须大于开始时间。

days:表示配置的时间范围在每周几有效,用来定义周期时间段。可以输入多

个参数,但是这些参数所代表的时间范围不能重叠,可以输入的参数如下:

●数字(0~6,分别代表一周中的其中一天,0代表星期日);

●星期一到星期日(Mon,Tue,Wed,Thu,Fri,Sat,Sun);

●工作日(working-day),从星期一到星期五;

●休息日(off-day),包括星期六和星期日;

●每日(daily),包括一周七天。

from time1 date1:表示从某一天某一时间开始,与to time2 date2结合使用,

用来定义绝对时间段。time1的输入格式为hh:mm,取值范围为00:00~23:59。

date1的输入格式为MM/DD/YYYY或YYYY/MM/DD。DD代表日,可以输入1~

31之间的数字;MM代表月,可以输入1~12之间的数字;YYYY代表年,可

以输入1970~2100之间的数字。如果不配置起始时间,则开始时间为系统可

表示的最早时间。

to time2 date2:表示到某一天某一时间结束。time2的输入格式为hh:mm,取

值范围为00:00~24:00。date2的输入格式与date1相同。结束时间必须大于

起始时间。如果不配置结束时间,则结束时间为系统可表示的最大时间。

【描述】

time-range命令用来定义一个时间段,描述一个时间范围。undo time-range

命令用来删除一个时间段。

对时间段的配置有如下两种情况:

●配置周期时间段:采用每个星期固定时间段的形式;

●配置绝对时间段:采用从某年某月某日某时起至某年某月某日某时结束的

形式。

需要注意的是:

●如果用户通过命令time-range time-name start-time to end-time days定

义了一个周期时间段,则只有系统时钟在该周期时间段范围内,该时间段

才进入激活状态。

●如果用户通过命令time-range time-name { from time1 date1 [ to time2

date2 ] | to time2 date2 }定义了一个绝对时间段,则只有系统时钟在该绝

对时间段范围内,该时间段才进入激活状态。

●如果用户通过命令time-range time-name start-time to end-time days

{ from time1 date1 [ to time2 date2 ] | to time2 date2 }同时定义了绝对时

间段和周期时间段,则只有系统时钟同时满足绝对时间段和周期时间段的

定义时,该时间段才进入激活状态。例如,一个时间段定义了绝对时间段:

从2004年1月1日0点0分到2004年12月31日23点59分,同时定

义了周期时间段:每周三的12:00到14:00。该时间段只有在2004年内

每周三的12:00到14:00才进入激活状态。

●在同一个名字下可以配置多个时间范围,来共同描述一个特殊时间段,通

过名字来引用这个时间段。在同一个名字下配置的多个周期时间段之间是

“或”的关系,多个绝对时间段之间是“或”的关系,而周期时间段和绝

对时间段之间是“与”的关系。

●最多可以定义256个时间段。

【举例】

# 配置绝对时间段test,在2003年1月1日0:0生效,并在系统支持的最大时

间内有效。

system-view

●[Sysname] time-range test from 0:0 2003/1/1

# 配置周期时间段test,在星期一到星期五每天8:00到18:00生效。

system-view

●[Sysname] time-range test 8:00 to 18:00 working-day

# 配置周期时间段test,在休息日下午14:00到18:00生效。

system-view

●[Sysname] time-range test 14:00 to 18:00 off-day

1.2 IPv4 ACL命令

1.2.1 acl

【命令】

acl number acl-number [ match-order { config | auto } ]

undo acl { number acl-number | all }

【视图】

系统视图

【参数】

acl-number:IPv4 ACL的序号,取值范围为2000~5999。

●2000~2999:基本IPv4 ACL

●3000~3999:高级IPv4 ACL

●4000~4999:二层IPv4 ACL

●5000~5999:用户自定义IPv4 ACL

match-order:指定规则的匹配顺序。

●config:按照用户配置规则的先后顺序进行规则匹配;

●auto:按照“深度优先”的顺序进行规则匹配。

all:所有的IPv4 ACL。

【描述】

acl命令用来创建IPv4 ACL并进入相应视图。undo acl命令用来删除指定的

IPv4 ACL。

缺省情况下,IPv4 ACL的匹配顺序为config。

用户也可以通过本命令修改一个已经存在的IPv4 ACL的匹配顺序,但必须在

该IPv4 ACL中没有规则的时候修改,对已经有规则的IPv4 ACL是无法修改其

匹配顺序的。

需要注意的是,创建用户自定义IPv4 ACL的命令不带match-order参数,其

匹配顺序只能为配置顺序。

【举例】

# 创建IPv4 ACL 2000。

system-view

●[Sysname] acl number 2000

●[Sysname-acl-basic-2000]

1.2.2 description (for IPv4)

【命令】

description text

undo description

【视图】

基本IPv4 ACL视图/高级IPv4 ACL视图/二层IPv4 ACL视图/用户自定义IPv4

ACL视图

【参数】

text:IPv4 ACL的描述信息,为1~127个字符的字符串,区分大小写。

【描述】

description命令用来定义IPv4 ACL的描述信息,描述该IPv4 ACL的具体用

途。undo description命令用来删除IPv4 ACL的描述信息。

缺省情况下,IPv4 ACL没有描述信息。

【举例】

# 定义IPv4 ACL 2000的描述信息为“This acl is used in eth 0”。

system-view

●[Sysname] acl number 2000

●[Sysname-acl-basic-2000] description This acl is used in eth 0

# 定义IPv4 ACL 3000的描述信息为“This acl is used in eth 0”。

system-view

●[Sysname] acl number 3000

●[Sysname-acl-adv-3000] description This acl is used in eth 0

# 定义IPv4 ACL 4000的描述信息为“This acl is used in eth 0”。

system-view

●[Sysname] acl number 4000

●[Sysname-acl-ethernetframe-4000] description This acl is used in eth 0

# 定义IPv4 ACL 5000的描述信息为“This acl is used in eth 0”。

system-view

●[Sysname] acl number 5000

●[Sysname-acl-user-5000] description This acl is used in eth 0

1.2.3 display acl

【命令】

display acl { all | acl-number }

【视图】

任意视图

【参数】

acl-number:IPv4 ACL的序号,取值范围2000~5999。

●2000~2999:基本IPv4 ACL

●3000~3999:高级IPv4 ACL

●4000~4999:二层IPv4 ACL

●5000~5999:用户自定义IPv4 ACL

all:所有的IPv4 ACL。

【描述】

display acl命令用来显示配置的IPv4 ACL的信息。

本命令会按照匹配顺序显示IPv4 ACL的规则。

【举例】

# 显示IPv4 ACL 2001的信息。

display acl 2001

●Basic ACL 2001, 1 rule,

●ACL's step is 5

● rule 5 permit source 1.1.1.1 0 (0 times matched)

● rule 5 comment This rule is used in eth 1

表1-2display acl命令显示信息描述表

1.2.4 reset acl counter

【命令】

reset acl counter { all | acl-number }

【视图】

用户视图

【参数】

acl-number:IPv4 ACL的序号,取值范围2000~4999。

●2000~2999:基本IPv4 ACL;

●3000~3999:高级IPv4 ACL;

●4000~4999:二层IPv4 ACL。

all:所有的IPv4 ACL。

【描述】

reset acl counter命令用来清除IPv4 ACL的统计信息。

【举例】

# 清除IPv4 ACL 2001的统计信息。

reset acl counter 2001

1.2.5 rule (basic ACL)

【命令】

rule [ rule-id ] { permit | deny } [ rule-string ]

undo rule rule-id [ fragment | logging | source | time-range ]* 【视图】

基本IPv4 ACL视图

【参数】

1. rule命令的参数说明

rule-id:IPv4 ACL规则编号,取值范围为0~65534。

deny:表示丢弃符合条件的报文。

permit:表示允许符合条件的报文通过。

rule-string:规则信息,可以由表1-3中的参数组合而成。

表1-3规则信息

说明:

sour-wildcard为目标子网掩码的反码,采用点分十进制表示。例如,如果用户想指定子网掩码255.255.0.0,则需要输入0.0.255.255。

2. undo rule命令的参数说明

rule-id:IPv4 ACL规则编号,必须是一个已经存在的IPv4 ACL规则编号。如

果不指定其他参数,设备将这个IPv4 ACL规则完全删除。否则设备只删除该

IPv4 ACL规则相应的信息。

fragment:删除编号对应的规则的对非尾片分片报文有效的设置。

logging:删除编号对应的规则的日志设置。

source:删除编号对应的规则的源地址部分的信息设置。

time-range:删除编号对应的规则的时间段设置。

说明:

S3610&S5510系列以太网交换机目前不支持配置logging参数。

【描述】

rule命令用来定义一个IPv4 ACL规则。undo rule命令用来删除一个IPv4 ACL

规则或者规则的某些属性信息。

在删除一条规则时,需要指定该规则的编号。如果用户不知道规则的编号,可

以使用display acl命令来查看。如果undo rule rule-id命令后不指定参数,

将删除整个IPv4 ACL规则,否则,将只删除指定IPv4 ACL规则中相应的属性

信息。

需要注意的是:

●当匹配顺序为config时,如果指定编号对应的规则已经存在,系统将编

辑该规则,没有编辑的部分仍旧保持原来的状态;当匹配顺序为auto时,

用户不能编辑任何一个已经存在的规则,否则系统会提示错误信息。

●在定义规则的时候,用户可以不指定规则编号,这时系统会从0开始,按

照指定的步长,自动为规则分配一个大于现有最大编号的最小编号。假设

现有规则的最大编号是28,编号步长是5,那么系统分配给新定义的规则

的编号将是30。

●新创建或用户编辑后的规则不能和已经存在的规则相同,否则创建或编辑

不成功,系统提示该规则已经存在。

●当匹配顺序为auto时,新创建的规则将按照“深度优先”的原则插入到

已有的规则中,但是所有规则对应的编号不会改变。

【举例】

# 定义一个基本IPv4 ACL规则,禁止源地址为1.1.1.1的报文通过。

system-view

●[Sysname] acl number 2000

●[Sysname-acl-basic-2000] rule deny source 1.1.1.1 0

1.2.6 rule (advanced ACL)

【命令】

rule [ rule-id ] { permit | deny } protocol [ rule-string ]

undo rule rule-id[ destination |destination-port |dscp |fragment |

icmp-type |logging|precedence |reflective |source | source-port|

time-range | tos ]*

【视图】

高级IPv4 ACL视图

【参数】

1. rule命令的参数说明

rule-id:IPv4 ACL规则编号,取值范围为0~65534。

deny:表示丢弃符合条件的报文。

permit:表示允许符合条件的报文通过。

protocol:IP承载的协议类型。用数字表示时,取值范围为0~255;用名字表

示时,可以选取gre、icmp、igmp、ip、ipinip、ospf、tcp、udp。

rule-string:规则信息,可以由表1-4中的参数组合而成。

表1-4IPv4 ACL规则信息

说明:

sour-wildcard与dest-wildcard为目标子网掩码的反码,采用点分十进制表示。例如,如果用户想指定子网掩码255.255.0.0,则需要输入0.0.255.255。

当协议类型选择为TCP或者UDP时,用户还可以定义如表1-5所示信息。

表1-5TCP/UDP特有的IPv4 ACL规则信息

当TCP或UDP的端口号用文字表示时,用户还可以定义如下信息。

表1-6TCP或UDP端口取值信息

当协议类型选择为ICMP时,用户还可以定义如表1-7所示的信息。表1-7ICMP特有的IPv4 ACL规则信息

几种常见的ICMP消息如下表所示。

表1-8ICMP消息

2. undo rule命令的参数说明

rule-id:IPv4 ACL规则编号,必须是一个已经存在的IPv4 ACL规则编号。如

果不指定其他参数,设备将这个IPv4 ACL规则完全删除。否则设备只删除该

IPv4 ACL规则相应的信息。

destination:删除编号对应的规则的目的地址的信息设置。

destination-port:删除编号对应的规则的目的端口部分的信息设置,本参数仅

在规则定义的协议是TCP或者UDP的情况下有效。

dscp:删除编号对应的规则的DSCP的相关设置。

fragment:删除编号对应的规则的对非尾片分片报文有效的设置。

icmp-type:删除编号对应的规则的ICMP消息类型和消息码部分的信息设置,

本参数仅在规则定义的协议是ICMP的情况下有效。

logging:删除编号对应的规则的日志设置。

precedence:删除编号对应的规则的precedence的相关设置。

source:删除编号对应的规则的源地址部分的信息设置。

reflective:删除编号对应的规则的自反属性。

source-port:删除编号对应的规则的源端口部分的信息设置,本参数仅在规则

定义的协议是TCP或者UDP的情况下有效。

time-range:删除编号对应的规则的时间段设置。

tos:删除编号对应的规则的ToS的相关设置。

说明:

S3610&S5510系列以太网交换机目前不支持配置logging参数、reflective参数和established参数。

【描述】

rule命令用来定义一个IPv4 ACL规则。undo rule命令用来删除一个IPv4 ACL

规则或者规则的某些属性信息。

在删除一条规则时,需要指定该规则的编号。如果用户不知道规则的编号,可

以使用display acl命令来查看。如果undo rule rule-id命令后不指定参数,

将删除整个IPv4 ACL规则,否则,将只删除指定IPv4 ACL规则中相应的属性

信息。

需要注意的是:

●当匹配顺序为config时,如果指定编号对应的规则已经存在,系统将编

辑该规则,没有编辑的部分仍旧保持原来的状态;当匹配顺序为auto时,

用户不能编辑任何一个已经存在的规则,否则系统会提示错误信息。

●在定义规则的时候,用户可以不指定规则编号,这时系统会从0开始,按

照指定的步长,自动为规则分配一个大于现有最大编号的最小编号。假设

现有规则的最大编号是28,编号步长是5,那么系统分配给新定义的规则

的编号将是30。

●新创建或用户编辑后的规则不能和已经存在的规则相同,否则创建或编辑

不成功,系统提示该规则已经存在。

●当匹配顺序为auto时,新创建的规则将按照“深度优先”的原则插入到

已有的规则中,但是所有规则对应的编号不会改变。

【举例】

# 定义一条规则,允许从129.9.0.0网段的主机向202.38.160.0网段的主机发

送的端口号为80的TCP报文通过。

system-view

●[Sysname] acl number 3101

●[Sysname-acl-adv-3101] rule permit tcp source 129.9.0.0 0.0.255.255

destination 202.38.160.0 0.0.0.255 destination-port eq 80

1.2.7 rule (Ethernet frame header ACL)

【命令】

rule [ rule-id ] { permit | deny } [ rule-string ]

undo rule rule-id

【视图】

二层IPv4 ACL视图

【参数】

1. rule命令的参数说明

rule-id:IPv4 ACL的规则编号,取值范围为0~65534。

deny:表示丢弃符合条件的报文。

permit:表示允许符合条件的报文通过。

rule-string:规则信息,可以由下表中的参数组合而成,具体参数说明如下表所

示。

表1-9IPv4 ACL规则信息

说明:

第2章S3610&S5510系列以太网交换机目前不支持配置lsap参数。

第3章当一条规则中配置type参数时,如果用户定义的协议类型和掩码相与之后,所得结果与8100和掩码相与之后的结果相同,则带tag的报

文会匹配这条规则。

1. undo rule命令的参数说明

rule-id:IPv4 ACL规则编号,必须是一个已经存在的IPv4 ACL规则编号。

【描述】

rule命令用来定义一个IPv4 ACL规则。undo rule命令用来删除一个IPv4 ACL

规则。

在删除一条规则时,需要指定该规则的编号。如果用户不知道规则的编号,可

以使用display acl命令来查看。

需要注意的是:

●当匹配顺序为config时,如果指定编号对应的规则已经存在,系统将编

辑该规则,没有编辑的部分仍旧保持原来的状态;当匹配顺序为auto时,

用户不能编辑任何一个已经存在的规则,否则系统会提示错误信息。

●在定义规则的时候,用户可以不指定规则编号,这时系统会从0开始,按

照指定的步长,自动为规则分配一个大于现有最大编号的最小编号。假设

现有规则的最大编号是28,编号步长是5,那么系统分配给新定义的规则

的编号将是30。

●新创建或用户编辑后的规则不能和已经存在的规则相同,否则创建或编辑

不成功,系统提示该规则已经存在。

●当匹配顺序为auto时,新创建的规则将按照“深度优先”的原则插入到

已有的规则中,但是所有规则对应的编号不会改变。

【举例】

# 定义一个规则,禁止802.1p优先级为3的报文通过。

system-view

●[Sysname] acl number 4000

●[Sysname-acl-ethernetframe-4000] rule deny cos 3

3.1.2 rule (user-defined ACL)

【命令】

rule [ rule-id ]{ permit | deny } [ [ start | ipv4 | ipv6 | l2 | l4 ] { rule-string

rule-mask offset }&<1-8> ] [ time-range time-name ]

undo rule rule-id

【视图】

用户自定义IPv4 ACL视图

【参数】

1. rule命令的参数说明

rule-id:IPv4 ACL的规则编号,取值范围为0~65534。

deny:表示丢弃符合条件的报文。

permit:表示允许符合条件的报文通过。

start:从报文头开始偏移。

ipv4:从IPv4报文头开始偏移。

ipv6:从IPv6报文头开始偏移。

l2:从L2帧头开始偏移。

l4:从L4报文头开始偏移。

rule-string:用户自定义的规则字符串,必须是16进制数组成,字符长度必须

是偶数。

rule-mask:规则字符串的掩码,用于和报文作“与”操作,必须是16进制数

组成,字符长度必须是偶数。

offset:偏移量,指定从第几个字节开始进行“与”操作。

&<1-8>:表示一次最多可以定义8个这样的规则。

time-range:可选参数,指定IPv4 ACL的生效时间。

2. undo rule命令的参数说明

rule-id:IPv4 ACL规则编号,必须是一个已经存在的IPv4 ACL规则编号。【描述】

rule命令用来定义一个IPv4 ACL规则。undo rule命令用来删除一个IPv4 ACL

规则。

在删除一条规则时,需要指定该规则的编号。如果用户不知道规则的编号,可

以使用display acl命令来查看。

当不选择偏移类型时,缺省值是start,即从报文头开始偏移。

需要注意的是:

●如果指定编号对应的规则已经存在,系统将编辑该规则,但规则的描述信

息保持不变。

●新创建的规则不能和已经存在的规则相同,否则会导致创建不成功。

●在定义规则的时候,用户可以不指定规则编号,这时,系统会从0开始,

按照一定的编号步长,自动为规则分配一个大于现有最大编号的最小编

号。假设现有规则的最大编号是28,编号步长是5,那么系统分配给新定

义的规则的编号将是30。

●用户自定义IPv4 ACL的匹配顺序为配置顺序。

【举例】

# 定义一个用户自定义IPv4 ACL规则,匹配ARP报文。

system-view

●[Sysname] acl number 5005

●[Sysname-acl-user-5005] rule permit l2 0806 ffff 12

3.1.3 rule comment (for IPv4)

【命令】

rule rule-id comment text

undo rule rule-id comment

【视图】

基本IPv4 ACL视图/高级IPv4 ACL视图/二层IPv4 ACL视图/用户自定义IPv4

ACL视图

【参数】

rule-id:IPv4 ACL规则编号,取值范围为0~65534。

text:IPv4 ACL规则的描述信息,为1~127个字符的字符串,区分大小写。【描述】

rule comment命令用来定义IPv4 ACL规则的描述信息,描述该规则的用途、

属性等提示信息。undo rule comment命令用来删除IPv4 ACL规则的描述信

息。

缺省情况下,规则没有描述信息。

需要注意的是:

●在使用rule comment命令为规则定义描述信息时,该规则必须存在。

●在使用rule comment命令时,如果指定规则没有描述信息,则为其添加

描述信息;如果指定规则已经存在描述信息,则修改其为新的描述信息。【举例】

# 创建一条规则,并为其定义一个描述信息“This rule is used in eth 1”。

system-view

●[Sysname] acl number 3101

●[Sysname-acl-adv-3101] rule 0 permit source 1.1.1.1 0

●[Sysname-acl-adv-3101] rule 0 comment This rule is used in eth 1

访问控制列表原理及配置技巧(acl)

1、访问控制列表的作用。 作用就是过滤实现安全性具网络可有管理性 一、过滤,经过路由器的数据包 二、控制增长的网络IP数据 2、访问控制列表的分类及其特性。 一、标准列表 只基于ip协议来工作,只能针对数据包种的源地址来做审核,由于无法确定具体的目的,所以在使用的过程中,应靠近目的地址,接口应为距目的地址最近的接口,方向为out。 访问控制别表具有方向性,是以路由器做参照物,来定义out或者in out:是在路由器处理完以后,才匹配的条目 in:一进入路由器就匹配,匹配后在路由。 编号范围为:1-99 二、扩展列表 可以很据数据包中的源ip地址和目的ip地址及相应的应用协议来工作,在工作的过程中常用在距源或组源最近的路由器上, 接口为距源最近的接口,方向为in,可以审核三层和四层的信息。 编号范围:100-199 如何判断应使用哪种类型的访问控制列表 标准:针对目的,允许或拒绝特定的源时,使用标准的(当目的唯一,具有多个源访问时。) 扩展:针对源地址,允许或拒绝源去往特定的目的。或者在涉及四层信息的审核时通常都会采用扩展列表。(当源确定下来,具有单个源可有多个目的地址时。) 编号的作用: a,标识表的类型 b,列表的名字 1.访问列表最后一条都隐含拒绝所有,使用拒绝列表时,必须有条允许语句。 2.访问列表按顺序自上而下逐条匹配,当匹配后立即执行,不会继续匹配。

3.具有严格限制的条目应该放在列表前。 4.删除列表不能有选择删除,若no access-list X 的一个条目,则这个列表被删除。 5.当别表没有被应用时,则是个无效的别表,不会影响到数据的审核. 6.在书写列表的过程中,应先编辑列表,再应用到相应的接口或者策略上. 7.当列表过滤掉一个数据包时,会返回给源一个不可达的icmp包,然后丢掉或过滤掉包 8.访问列表在应用中,标准的应靠近目的,而扩展则靠近源或组源。 9.当路由器调用了一个没有条目的列表,则执行列表隐含条目,deny any (拒绝所有) 10.在某个接口,某个方向上只能调用一个列表。 11.访问控制列表不能过滤自身产生的数据。 书写列表的步骤: 1.选择要应用的列表类型 2.选择要书写的路由器并书写列表 3.选择路由器的接口来调用列表实现过滤 4.选择应用列表的方向 标准访问控制列表的配置 1.回顾标准列表的特性 2.标准列表的配置语法(通配符) 配置的过程中,熟记配置规则 1.标准列表:只基于ip协议工作,控制数据包的源地址 应用过程中:距目的地址近的路由器和接口 2.配置列表的步骤 1)选择列表的类型 2)选择路由器(是要在哪个上路由器上配置列表) 3.)选择要应用的接口(在哪个接口上调用) 4)判断列表的方向性(in和out:相对路由器) 3.标准列表的配置语法 1)在全局模式下,书写规则 access-list 列表编号permit/deny 源网络地址源地址的通配符 列表的编号:1-99 和1300 - 1999 通配符:零所对应的位即为精确匹配位。通常所讲的反子掩码 255.255.255.0 == 通配符=0.0.0.255 255.255.255.255 - 正掩码 ——————————— 反子网掩码 2)调用列表

ACL详解

A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网,并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司内部使用了VLAN技术,按照功能的不同分为了6个VLAN。分别是网络设备与网管(VLAN1,10.1.1.0/24)、内部服务器(VLAN2)、Internet 连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司内部网,通过s0/0连接到Internet。每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。该网络的拓朴如下图所示: 自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管,搞得他头都大了。那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术――访问控制列表(下文简称ACL)。 那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢? ACL的基本原理、功能与局限性 网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。 基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。 配置ACL的基本原则:在实施ACL的过程中,应当遵循如下两个基本原则: 最小特权原则:只给受控对象完成任务所必须的最小的权限 最靠近受控对象原则:所有的网络层访问权限控制 局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应

ACL配置实验

ACL配置实验 一、实验目的: 深入理解包过滤防火墙的工作原理 二、实验内容: 练习使用Packet Tracer模拟软件配置ACL 三、实验要求 A.拓扑结构如下图所示,1,2,3是主机,4是服务器 1、配置主机,服务器与路由器的IP地址,使网络联通; 2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL; 3、配置扩展ACL,使得主机1可以访问主机4的www服务,主机2不能访问主机4的www服务,4个主机间相互能够ping通。使该配置生效,然后再删除该条ACL; B.拓扑结构如下图所示(要求:跟拓扑上的ip地址配置不同)

1、配置ACL 限制远程登录(telnet)到路由器的主机。 路由器R0只允许192.168.2.2 远程登录(telnet)。 2、配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。 3、配置ACL 禁止特点的协议端口通讯。 禁止192.168.2.2 使用www (80)端口访问192.168.1.0 禁止192.168.2.3 使用dns (53)端口访问192.168.1.0 3、验证ACL 规则,检验并查看ACL。 四、实验步骤 1、配置主机,服务器与路由器的IP地址,使网络联通;

PC0 ping PC2

PC1 ping 服务器 服务器ping PC0

2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL;

交换机 ACL原理及配置详解

Cisco ACL原理及配置详解 作者: 佚名, 出处:中国IT实验室,责任编辑: 白志飞, 2010-04-22 09:49 标准访问控制列表实例二 配置任务:禁止172.16.4.13这个计算机对172.16.3.0/24网段的访问,而 172.16.4.0/24中的其他计算机可以正常访问。 路由器配置命令: access-list 1 deny host 172.16.4.13 设置ACL,禁止172.16.4.13的数据包通过 access-list 1 permit any 设置ACL,容许其他地址的计算机进行通讯 int e 1 进入E1端口 ip access-group 1 in 将ACL1宣告,同理可以进入E0端口后使用ip access-group 1 out来完成宣告。 配置完毕后除了172.16.4.13其他IP地址都可以通过路由器正常通讯,传输数据包。 总结:标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式。应用比较广泛,经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求。

扩展访问控制列表: 上面我们提到的标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。扩展访问控制列表使用的ACL号为100到199。 扩展访问控制列表的格式 刚刚我们提到了标准访问控制列表,他是基于IP地址进行过滤的,是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。扩展访问控制列表使用的ACL 号为100到199。 扩展访问控制列表的格式: 扩展访问控制列表是一种高级的ACL,配置命令的具体格式如下: access-list ACL号[permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口] 例如:access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址网页服务(WWW)TCP连接的数据包丢弃。 小提示:同样在扩展访问控制列表中也可以定义过滤某个网段,当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。 扩展访问控制列表实例

cisco ACL配置详解

cisco ACL配置详解 ACL(Access Control List,访问控制列表) 技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。 A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网,并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司内部使用了VLAN技术,按照功能的不同分为了6个VLAN。分别是网络设备与网管(VLAN1,10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司内部网,通过s0/0连接到Internet。每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。该网络的拓朴如下图所示: 自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管,搞得他头都大了。那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术――访问控制列表(下文简称ACL)。 那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢? ACL的基本原理、功能与局限性 网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。 基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。 配置ACL的基本原则:在实施ACL的过程中,应当遵循如下两个基本原则:

三层交换机配置ACL(访问控制列表)

三层交换机配置ACL(访问控制列表) 说明:书本上讲述的ACL主要是应用在路由器上,但现在三层交换机在大中型企业中的应用越来越广泛,三层交换机因拥有路由器的功能而逐渐代替路由器。ACL 访问控制列表是构建安全规范的网络不可缺少的,但在三层交换机上配置ACL 却不为一些刚进企业的初级网络管理维护人员所知。在这里我介绍一下在三层交换机上配置ACL的试验过程。 试验拓扑介绍: 三层交换机上配置本地Vlan 实现下层接入层交换机不同Vlan互通。 PC1 VLAN PC2 VLAN PC3 VLAN PC4 VLAN F0/1 (开启路由功能) 路由器上配置 F0/0 PC5 F0/1 试验步骤: 1、在二层交换机上把相应的PC加入VLAN 查看交换机Switch0 Switch0(config)#show run !

interface FastEthernet0/1 switchport access vlan 2 ! interface FastEthernet0/2 switchport access vlan 3 ! 查看交换机Switch1 Switch1#show run ! interface FastEthernet0/3 switchport access vlan 4 ! interface FastEthernet0/4 switchport access vlan 5 ! 2、在三层交换机上配置相应的本地VALN Switch(config)#inter vl 2 Switch(config-if)#ip add Switch(config-if)#no shut Switch(config)#inter vl 3 Switch(config-if)#ip add Switch(config-if)#no shut Switch(config)#inter vl 4 Switch(config-if)#ip add Switch(config-if)#no shut Switch(config)#inter vl 5 Switch(config-if)#ip add Switch(config-if)#no shut Switch(config-if)#exi 在接口itnerface f0/1上开启路由接口 Switch(config)#inter f0/1 Switch(config-if)#no switchport 3、在二层交换机和三层交换机之间开启中继链路 4、在路由器和三层交换机上配置动态路由协议RIP Router(config)#router rip Router(config)#network Router(config)# network 三层交换机上配置 Switch(config)#router rip Switch(config-router)#ne Switch(config-router)#network Switch(config-router)#network Switch(config-router)#network Switch(config-router)#network

防火墙基本原理及ACL基本知识

防火墙功能: 内外网络隔离: a. 截取IP包,根据安全策略控制其进/出 b. 双向网络地址转换(NAT) c. 基于一次性口令对移动访问进行身份识别和控制 d. IP MAC捆绑,防止IP地址的滥用 安全记录: a. 通信事件记录 b. 操作事件记录 c. 违规事件记录 d. 异常情况告警 安全公理/定理/推理: 公理:所有的程序都有缺陷(墨菲定理) 大程序定理:大程序的缺陷甚至比它包含的内容还多 推理:一个安全相关程序有安全性缺陷 定理:只要不运行这个程序,那么这个程序有缺陷,也无关紧要 推理:只要不运行这个程序,那么这个程序有安全性漏洞,也无关紧要 定理:对外暴露的计算机,应尽可能少地运行程序,且运行的程序也尽可能的小推论:防火墙基本法则:防火墙必须配置尽可能的小,才能降低风险。 ACL访问控制列表: 应用在路由器接口的指令列表;指定哪些数据包可以接受,哪些需要拒绝 ACL用途: a. 限制网路流量,提高网络性能 b. 提供对通信流量的控制手段 c. 提供网络访问的基本安全手段 d. 在路由器(交换机)接口处,决定哪种类型的通信浏览被转发,哪种被阻塞ACL分类: 标准IP ACL根据报文的源地址测试

扩展IP ACL可以测试IP报文的源,目的地址,协议,端口号 标准ACL: ACL配置: Router(config)# access-list access-list-number {permit | deny} {test conditions} Router(config)# {protocol } access-group access-list-number {in | out } 建议设置ACL的位置: 在靠近源地址的网络接口上设置扩展ACL 在靠近目的地址的安络接口上设置标准ACL 防火墙的分类: 1. 包过滤防火墙 基本思想 对于每个进来的包,适用一组规则,然后决定转发或者丢弃该包 一般配置成双向的 如何过滤 过滤的规则以IP和传输层的头中的域(字段)为基础,包括源和目标IP地址,IP协议域,源和目标端口号 过滤器一般建立一组规则,根据IP包是否匹配规则中指定的条件来作出决定系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。 优点: a. 实现简单 b. 对用户透明 c. 效率高 缺点: a. 正确制定规则并不容易 b. 不可能引入认证机制 一般Router实现包过滤防火墙。 路由器的访问控制列表是网络安全保障的第一关卡。

Cisco ACL原理及配置详解+图例详解

Cisco ACL原理及配置详解 什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 标准访问控制列表的格式 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL。标准访问控制列表是最简单的ACL。 它的具体格式如下:access-list ACL号 permit|deny host ip地址

相关主题