华为acl规则Word文件下载.docx
《华为acl规则Word文件下载.docx》由会员分享,可在线阅读,更多相关《华为acl规则Word文件下载.docx(25页珍藏版)》请在冰豆网上搜索。
aclnumber3000
rule0permitipsource服务器端的子网掩码的反码//允许哪些子网访问服务器
rule5denyipdestination服务器端的子网掩码的反码//不允许哪些子网访问服务器
2、绑定到端口:
interfacegig0/1//进入服务器所在的交换机端口
[GigabitEthernet0/1]firewallpacket-filter3000inbound//把acl绑定到端口
设置下发的ACL规则生效顺序
aclmatch-order{config|auto}命令可以acl规则下发前预先确定其在整个acl内的匹配顺序,而aclorder命令用来指定规则下发到硬件后的匹配顺序。
交换机支持三种下发到硬件的acl规则生效顺序:
深度优先、先下发先生效、后下发先生效。
用户可以指定一种。
1.3.1配置过程
1.3.2配置举例
#配置下发到硬件的acl规则生效顺序为先下发先生效。
[h3c]system-view
[h3c]aclorderfirst-config-first-match
[h3c]displayaclorder
thecurrentorderisfirst-config-first-match
ACL和RouteMap的permit和deny规则在路由重分配时的动作
B两台路由器通过E1/1接口直联,运行OSPF。
A路由器配置3条静态路由:
iproute7.0.0.0255.0.0.0Ethernet1/1
iproute8.0.0.0255.0.0.0Ethernet1/1
iproute9.0.0.0255.0.0.0Ethernet1/1
A路由器ospf的配置如下:
routerospf1
log-adjacency-changes
redistributestaticroute-maptest
network0.0.0.0255.255.255.255area1
1)
在A路由器上,不配置任何ACL,只配置RouteMap,配置如下:
route-maptestpermit10
matchipaddress1
此时ACL1是一张空表。
配置完成之后过几秒钟,在B路由器上查看OSPF的路由表,如下:
LinkID
ADVRouter
Age
Seq#
ChecksumTag
7.0.0.0
192.168.1.1
52
0x800000010x0073BA0
8.0.0.0
1207
0x800000010x0066C60
9.0.0.0
0x800000010x0059D20
A路由器上的三条静态路由都成功的重分配进OSPF,并传给了B路由器。
单步总结:
当RouteMap引用的ACL是一张空表时,对应的规则是permitany。
2)
在A上配置ACL1,只有一个permit规则,此时ACL和RouteMap的配置如下:
access-list1permit7.0.0.00.255.255.255
!
此时,在B路由器上,就只能看到7.0.0.0这条路由,如下:
140
0x800000010x0073BA0
A路由器只重分配了7.0.0.0这条路有进OSPF,另外两条就被过滤掉了。
当RouteMap引用的ACL是非空表时,ACL规则开始生效,如上例子,ACL1允许(permit)了7.0.0.0这条路由,并且deny掉了其它的路由(每条ACL最后都有一个隐藏的denyany)。
3)
在A路由器上,修改ACL的配置,RouteMap配置不变,如下:
access-list1deny
7.0.0.00.255.255.255
上一步的ACL1是permit7.0.0.0这条路由,这一步仅仅是将permit修改成deny。
配置完成过一会儿,查看B路由器OSPF的路由表,A路由器上的三条静态路由,B路由器一条都没有。
这一步得到的结论跟第2步的结论一样,ACL1显示的deny掉了7.0.0.0这条路由,然后用隐藏规则deny掉了其它两条路由。
4)
为了充分测试,搞清楚每一个细节,我们再将ACL的配置做一点修改,RouteMap的配置暂时保持不变,A路由器的配置如下:
access-list1permitany
ACL1的配置增加了一条permitany。
过一会儿查看B路由器OSPF的路由表,如下:
12
0x800000010x0066C60
0x800000010x0059D20
可以看到8.0.0.09.0.0.0这两条路有豆成功的进行了重分配。
ACL1由于配置了permitany,这条规则在隐藏规则之前生效,因此8.0.0.09.0.0.0这两条路由成功匹配并重分配。
5)
测试到这里,可能大家会觉得这个规则已经很清楚了,其实不然阿!
到目前为止,RouteMap的配置一直没有变化,下面,我们慢慢地将RouteMap的配置进行修改,进行进一步的分析。
在上一步的基础上,我们修改一下配置,A路由器的配置如下:
route-maptestdeny10
ACL1仅仅允许7.0.0.0这条路由,不过,此时RouteMaptest10已经变成了deny。
读到这里,大家可以先自己想想会是一个什么样的结果。
此时B路由器上OSPF路由表为空!
单步结论:
虽然ACL1允许了一条路由,但是RouteMap的deny的优先级更高(或者可以理解为RouteMap的这个deny在后面执行),因此B路由器上没有看到任何一个静态路由。
6)
我们继续修改RouteMap的配置,此时我们增加一条RouteMap的配置,A路由器的配置如下:
route-maptestpermit20
在上一步的基础上,增加名称为test,序列号为20的RouteMap,这条RouteMap配置下什么都没有。
此时查看B路由器上OSPF的路由表,如下:
9
可以看出,8.0.0.09.0.0.0这两条路由成功进行了重分配。
ACL1只允许了7.0.0.0这条路由,由于RouteMaptest10的deny动作,7.0.0.0这条路由没有进行重分配。
现在8.0.0.09.0.0.0这两条路由进行了重分配,只有一个解释,那就是ACL1对这两条路由给出的deny(ACL1的隐藏规则)并不是影响最终了重分配动作!
ACL1虽然deny了这两条路由,但是在RouteMaptest20里面,将matcheverything(RouteMap下如果没有配置任何match命令,则表示matcheverything)。
ACL给出的deny不会影响最终的重分配动作,RouteMap如果后续还有配置,则将ACLdeny的路由继续向下传递并重新进行匹配。
7)
再A路由器上,进一步修改配置,如下:
我们把ACL1修改为deny动作,RouteMap的配置保持跟第6步一致。
配置完成之后查看B路由器的OSPF路由表,如下:
1
A路由器上的三条路由都成功进行了重分配。
第6步,我们得出一个结论,ACL给出的deny并不影响最终重分配动作,那么在这一步测试进行分析,ACL是deny,RouteMap也是deny,但是所有的静态路由都成功进行了重分配,因此,可以说明,ACL的deny就可以简单的理解为匹配失败。
(将这一步的ACL配置修改成access-list1denyany,B路由器上的结果还是一样。
有兴趣的读者可以自己进行测试。
)
ACL给出的deny就是匹配失败,这时,RouteMap的动作并不重要,因此RouteMap的动作只有在匹配成功的时候才生效,ACLdeny之后,将进入下一条RouteMap继续进行匹配。
8)
最后,综合测试一下,A路由器的配置如下:
access-list2permit8.0.0.00.255.255.255
access-list3deny
9.0.0.00.255.255.255
matchipaddress2
route-maptestpermit30
matchipaddress3
配置完成之后,查看B路由器上的OSPF路由表,如下:
51
前面7步得到的测试结论可以很好的解释这一步的测试结果。
最终结论:
1,当RouteMap引用的ACL是一张空表时,表示permitany;
2,当RouteMap引用的ACL不是一张空表时,ACL的隐藏规则是要发挥作用的;
3,ACL中的比较给出的permit表示匹配成功,然后执行相应RouteMap的动作;
4,ACL中的比较给出的deny表示匹配失败,不执行相应RouteMap的动作,但这并不是RouteMap的最终结果,后面还要根据RouteMap自身的规则进行。
(即如果RouteMap后续还有序列号大的配置项,继续进入后面的RouteMap配置进行比较;
如果后面没有任何RouteMap的配置了,则执行RouteMap的隐藏动作denyeverything。
访问控制列表是为了对路由器处理的流量进行过滤而在路由器上建立的规则,它在改善网络性能和加强网络安全等方面已经发挥出越来越重要的作用。
本文列举几个在CISCO路由器上设置访问控制列表的应用实例,希望对各位同仁充分掌握和恰当应用访问控制列表有所帮助。
单向屏蔽ICMPECHO报文
1.设置如下的访问控制列表
access-list100permiticmpany本地路由器广域地址echo
access-list100denyicmpanyanyecho
access-list100permitipanyany
2.在路由器相应端口上应用
interface{外部网络接口}{网络接口号}
ipaccess-group100in
列表第一行,是允许外网主机可以PING通我方路由器广域口地址,便于外网进行网络测试。
列表第二行,系禁止外网主机发起的任何ICMPECHO报文到达我方网络主机,杜绝了外网主机发起的“端口扫描器Nmapping操作”。
列表第三行允许所有的IP协议数据包通过,是保证不影响其他各种应用。
端口应用上设置在入方向进行应用,保证了我方网络主机可PING通外网任意主机,便于我方进行网络连通性测试。
防止病毒传播和黑客攻击
针对微软操作系统的漏洞,一些病毒程序和漏洞扫描软件通过UDP端口135、137、138、1434和TCP端口135、137、139、445、4444、5554、9995、9996等进行病毒传播和攻击,可如下设置访问控制列表阻止病毒传播和黑客攻击。
access-list101denyudpanyanyeq135
access-list101denyudpanyanyeq137
access-list101denyudpanyanyeq138
access-list101denyudpanyanyeq1434
access-list101denytcpanyanyeq135
access-list101denytcpanyanyeq137
access-list101denytcpanyanyeq139
access-list101denytcpanyanyeq445
access-list101denytcpanyanyeq4444
access-list101denytcpanyanyeq5554
access-list101denytcpanyanyeq9995
access-list101denytcpanyanyeq9996
access-list101permitipanyany
ipaccess-group101in
说明:
在同一端口上应用访问控制列表的IN语句或OUT语句只能有一条,如需将两组访问列表应用到同一端口上的同一方向,需将两组访问控制列表进行合并处理,方能应用。
利用访问控制列表实现QoS
针对一些重要业务和特殊应用,使用时要求保证带宽,不用时又能将带宽让出来给其他应用,可用如下设置访问控制列表和数据包染色技术来实现。
access-list102permitip网段1IP子网掩码host服务器1IP
access-list103permitip网段2IP子网掩码host服务器2IP
access-list104permitip网段3IP子网掩码host服务器3IP
2.数据包染色标记
class-mapmatch-allCritical-1
matchipdscp34
class-mapmatch-allCritical-2
matchipdscp26
class-mapmatch-allCritical-3
matchipdscp35
3.数据包染色分类
class-mapmatch-anyCritical-1
matchaccess-group102/*匹配访问控制列表102*/
class-mapmatch-anyCritical-2
matchaccess-group103/*匹配访问控制列表103*/
class-mapmatch-anyCritical-3
matchaccess-group104/*匹配访问控制列表104*/
4.策略定义
policy-mapAA
classCritical-1
bandwidthpercent10/*定义保障带宽为基本带宽的10%*/
random-detectdscp-based/*定义路由器带宽拥塞时的数据包丢弃策略*/
random-detectdscp34244010
/*定义发生拥塞时DSCP=34数据包的最小丢包率/最大丢包率/丢弃概率分别是:
24/40/10*/
classCritical-2
bandwidthpercent5
random-detectdscp-based
random-detectdscp26244010
classsCritical-3
bandwidthpercent2
random-detectdscp35244010
5.在路由器相应端口上进行策略应用
interfaceSerial0/0
service-policyoutputAA
如上设置后,即实现了在端口Serial0/0上符合访问控制列表102的业务保障带宽是基本带宽的10%,符合访问控制列表103的业务保障带宽为基本带宽的5%,符合访问控制列表104的业务保障带宽为基本带宽的2%。
基于时间的访问控制列表配置实例
配置实例:
要想使基于时间的ACL生效需要我们配置两方面的命令:
1、定义时间段及时间范围。
2、ACL自身的配置,即将详细的规则添加到ACL中。
3、宣告ACL,将设置好的ACL添加到相应的端口中。
网络环境介绍:
我们采用如图所示的网络结构。
路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24。
在172.16.4.0/24网段中有一台服务器提供FTP服务,IP地址为172.16.4.13。
配置任务:
只容许172.16.3.0网段的用户在周末访问172.16.4.13上的FTP资源,工作时间不能下载该FTP资源。
路由器配置命令:
time-rangesofter 定义时间段名称为softer
periodicweekend00:
00to23:
59 定义具体时间范围,为每周周末(6,日)的0点到23点59分。
当然可以使用periodicweekdays定义工作日或跟星期几定义具体的周几。
access-list101denytcpany172.16.4.130.0.0.0eqftptime-rangesofter 设置ACL,禁止在时间段softer范围内访问172.16.4.13的FTP服务。
access-list101permitipanyany 设置ACL,容许其他时间段和其他条件下的正常访问。
inte1 进入E1端口。
ipaccess-group101out 宣告ACL101。
基于时间的ACL比较适合于时间段的管理,通过上面的设置172.16.3.0的用户就只能在周末访问服务器提供的FTP资源了,平时无法访问。
AR系列路由器两种ACL匹配规则的介绍
在一条ACL中可以制定多条规则,这些规则可能产生交集,即某些报文可能同时符合一条ACL中的多条规则。
例如在ACL30