华为acl规则.docx

1、华为acl规则华为acl规则网络中经常提到的acl规则是Cisco IOS所提供的一种访问控制技术。初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。基本原理：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。功能：网络中的节点有资源节点和用户节点

2、两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。 在实施ACL的过程中，应当遵循如下两个基本原则： 1.最小特权原则：只给受控对象完成任务所必须的最小的权限。2.最靠近受控对象原则：所有的网络层访问权限控制。 3.默认丢弃原则：在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。局限性：由于ACL是使用包过滤技术来实现的，过

3、滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到end to end的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。acl规则要如何写？ 1、设置acl ：acl number 3000rule 0 permit ip source 服务器端的子网 掩码的反码 /允许哪些子网访问服务器rule 5 deny ip destination 服务器端的子网 掩码的反码 /不允许哪些子网访问服务器2、绑定到端口：interface gig 0/1 /进入服务器所在的交换机端口GigabitE

4、thernet0/1 firewall packet-filter 3000 inbound /把acl绑定到端口设置下发的ACL规则生效顺序acl match-order config | auto 命令可以acl规则下发前预先确定其在整个acl内的匹配顺序，而acl order命令用来指定规则下发到硬件后的匹配顺序。交换机支持三种下发到硬件的acl规则生效顺序：深度优先、先下发先生效、后下发先生效。用户可以指定一种。 1.3.1 配置过程 1.3.2 配置举例 # 配置下发到硬件的acl规则生效顺序为先下发先生效。 h3c system-view h3c acl order first-c

5、onfig-first-match h3c display acl order the current order is first-config-first-matchACL和RouteMap的permit和deny规则在路由重分配时的动作B 两台路由器通过E1/1接口直联，运行OSPF。A路由器配置3条静态路由：ip route 7.0.0.0 255.0.0.0 Ethernet1/1ip route 8.0.0.0 255.0.0.0 Ethernet1/1ip route 9.0.0.0 255.0.0.0 Ethernet1/1A路由器ospf的配置如下：router ospf 1

6、log-adjacency-changesredistribute static route-map testnetwork 0.0.0.0 255.255.255.255 area 11）在A路由器上，不配置任何ACL，只配置RouteMap，配置如下：route-map test permit 10match ip address 1此时ACL 1是一张空表。配置完成之后过几秒钟，在B路由器上查看OSPF的路由表，如下：Link ID ADV Router Age Seq# Checksum Tag7.0.0.0 192.168.1.1 52 0x80000001 0x0073BA 08.

7、0.0.0 192.168.1.1 1207 0x80000001 0x0066C6 09.0.0.0 192.168.1.1 1207 0x80000001 0x0059D2 0A路由器上的三条静态路由都成功的重分配进OSPF，并传给了B路由器。单步总结：当RouteMap引用的ACL是一张空表时，对应的规则是permit any。2）在A上配置ACL 1，只有一个permit规则，此时ACL和RouteMap的配置如下：access-list 1 permit 7.0.0.0 0.255.255.255!route-map test permit 10match ip address 1此

8、时，在B路由器上，就只能看到7.0.0.0这条路由，如下：Link ID ADV Router Age Seq# Checksum Tag7.0.0.0 192.168.1.1 140 0x80000001 0x0073BA 0A路由器只重分配了7.0.0.0这条路有进OSPF，另外两条就被过滤掉了。单步总结：当RouteMap引用的ACL是非空表时，ACL规则开始生效，如上例子，ACL 1允许（permit）了7.0.0.0这条路由，并且deny掉了其它的路由（每条ACL最后都有一个隐藏的deny any）。3）在A路由器上，修改ACL的配置，RouteMap配置不变，如下：access-l

9、ist 1 deny 7.0.0.0 0.255.255.255!route-map test permit 10match ip address 1上一步的ACL 1是permit 7.0.0.0这条路由，这一步仅仅是将permit修改成deny。配置完成过一会儿，查看B路由器OSPF的路由表，A路由器上的三条静态路由，B路由器一条都没有。单步总结：这一步得到的结论跟第2步的结论一样，ACL 1显示的deny掉了7.0.0.0这条路由，然后用隐藏规则deny掉了其它两条路由。4）为了充分测试，搞清楚每一个细节，我们再将ACL的配置做一点修改，RouteMap的配置暂时保持不变，A路由器的配置

10、如下：access-list 1 deny 7.0.0.0 0.255.255.255access-list 1 permit any!route-map test permit 10match ip address 1ACL 1 的配置增加了一条permit any。过一会儿查看B路由器OSPF的路由表，如下：Link ID ADV Router Age Seq# Checksum Tag8.0.0.0 192.168.1.1 12 0x80000001 0x0066C6 09.0.0.0 192.168.1.1 12 0x80000001 0x0059D2 0可以看到8.0.0.0 9.0

11、.0.0这两条路有豆成功的进行了重分配。单步总结：ACL 1由于配置了permit any，这条规则在隐藏规则之前生效，因此8.0.0.0 9.0.0.0这两条路由成功匹配并重分配。5）测试到这里，可能大家会觉得这个规则已经很清楚了，其实不然阿！到目前为止，RouteMap的配置一直没有变化，下面，我们慢慢地将RouteMap的配置进行修改，进行进一步的分析。在上一步的基础上，我们修改一下配置，A路由器的配置如下：access-list 1 permit 7.0.0.0 0.255.255.255!route-map test deny 10match ip address 1ACL 1仅仅允

12、许7.0.0.0 这条路由，不过，此时RouteMap test 10已经变成了deny。读到这里，大家可以先自己想想会是一个什么样的结果。此时B路由器上OSPF路由表为空！单步结论：虽然ACL 1允许了一条路由，但是RouteMap的deny的优先级更高（或者可以理解为RouteMap的这个deny在后面执行），因此B路由器上没有看到任何一个静态路由。6）我们继续修改RouteMap的配置，此时我们增加一条RouteMap的配置，A路由器的配置如下：access-list 1 permit 7.0.0.0 0.255.255.255!route-map test deny 10match i

13、p address 1!route-map test permit 20在上一步的基础上，增加名称为test，序列号为20的RouteMap，这条RouteMap配置下什么都没有。此时查看B路由器上OSPF的路由表，如下：Link ID ADV Router Age Seq# Checksum Tag8.0.0.0 192.168.1.1 9 0x80000001 0x0066C6 09.0.0.0 192.168.1.1 9 0x80000001 0x0059D2 0可以看出，8.0.0.0 9.0.0.0这两条路由成功进行了重分配。ACL 1只允许了7.0.0.0这条路由，由于RouteM

14、ap test 10 的deny动作，7.0.0.0 这条路由没有进行重分配。现在8.0.0.0 9.0.0.0这两条路由进行了重分配，只有一个解释，那就是ACL 1对这两条路由给出的deny（ACL 1的隐藏规则）并不是影响最终了重分配动作！ACL 1虽然deny了这两条路由，但是在RouteMap test 20里面，将match everything（RouteMap下如果没有配置任何match命令，则表示match everything）。单步结论：ACL给出的deny不会影响最终的重分配动作，RouteMap如果后续还有配置，则将ACL deny的路由继续向下传递并重新进行匹配。7）

15、再A路由器上，进一步修改配置，如下：access-list 1 deny 7.0.0.0 0.255.255.255!route-map test deny 10match ip address 1!route-map test permit 20我们把ACL 1修改为deny动作，RouteMap的配置保持跟第6步一致。配置完成之后查看B路由器的OSPF路由表，如下：Link ID ADV Router Age Seq# Checksum Tag7.0.0.0 192.168.1.1 1 0x80000001 0x0073BA 08.0.0.0 192.168.1.1 1 0x8000000

16、1 0x0066C6 09.0.0.0 192.168.1.1 1 0x80000001 0x0059D2 0A路由器上的三条路由都成功进行了重分配。第6步，我们得出一个结论，ACL给出的deny并不影响最终重分配动作，那么在这一步测试进行分析，ACL是deny，RouteMap也是deny，但是所有的静态路由都成功进行了重分配，因此，可以说明，ACL的deny就可以简单的理解为匹配失败。（将这一步的ACL配置修改成access-list 1 deny any，B路由器上的结果还是一样。有兴趣的读者可以自己进行测试。）单步结论：ACL给出的deny就是匹配失败，这时，RouteMap的动作并不

17、重要，因此RouteMap的动作只有在匹配成功的时候才生效，ACL deny之后，将进入下一条RouteMap继续进行匹配。8）最后，综合测试一下，A路由器的配置如下：access-list 1 permit 7.0.0.0 0.255.255.255access-list 2 permit 8.0.0.0 0.255.255.255access-list 3 deny 9.0.0.0 0.255.255.255!route-map test deny 10match ip address 1!route-map test permit 20match ip address 2!route-m

18、ap test permit 30match ip address 3配置完成之后，查看B路由器上的OSPF路由表，如下：Link ID ADV Router Age Seq# Checksum Tag8.0.0.0 192.168.1.1 51 0x80000001 0x0066C6 0前面7步得到的测试结论可以很好的解释这一步的测试结果。最终结论：1，当RouteMap引用的ACL是一张空表时，表示permit any；2，当RouteMap引用的ACL不是一张空表时，ACL的隐藏规则是要发挥作用的；3，ACL中的比较给出的permit表示匹配成功，然后执行相应RouteMap的动作；4，

19、ACL中的比较给出的deny表示匹配失败，不执行相应RouteMap的动作，但这并不是RouteMap的最终结果，后面还要根据RouteMap自身的规则进行。（即如果RouteMap后续还有序列号大的配置项，继续进入后面的RouteMap配置进行比较；如果后面没有任何RouteMap的配置了，则执行RouteMap的隐藏动作deny everything。）访问控制列表是为了对路由器处理的流量进行过滤而在路由器上建立的规则，它在改善网络性能和加强网络安全等方面已经发挥出越来越重要的作用。本文列举几个在CISCO路由器上设置访问控制列表的应用实例，希望对各位同仁充分掌握和恰当应用访问控制列表有所

20、帮助。单向屏蔽ICMP ECHO报文1.设置如下的访问控制列表access-list 100 permit icmp any 本地路由器广域地址 echoaccess-list 100 deny icmp any any echoaccess-list 100 permit ip any any2.在路由器相应端口上应用interface 外部网络接口 网络接口号ip access-group 100 in列表第一行，是允许外网主机可以PING通我方路由器广域口地址，便于外网进行网络测试。列表第二行，系禁止外网主机发起的任何ICMP ECHO 报文到达我方网络主机，杜绝了外网主机发起的“端口扫

21、描器Nmap ping操作”。列表第三行允许所有的IP协议数据包通过，是保证不影响其他各种应用。端口应用上设置在入方向进行应用，保证了我方网络主机可PING通外网任意主机，便于我方进行网络连通性测试。防止病毒传播和黑客攻击针对微软操作系统的漏洞，一些病毒程序和漏洞扫描软件通过UDP端口135、137、138、1434和TCP端口135、137、139、445、4444、5554、9995、9996等进行病毒传播和攻击，可如下设置访问控制列表阻止病毒传播和黑客攻击。1.设置如下的访问控制列表access-list 101 deny udp any any eq 135access-list 10

22、1 deny udp any any eq 137access-list 101 deny udp any any eq 138access-list 101 deny udp any any eq 1434access-list 101 deny tcp any any eq 135access-list 101 deny tcp any any eq 137access-list 101 deny tcp any any eq 139access-list 101 deny tcp any any eq 445access-list 101 deny tcp any any eq 4444

23、access-list 101 deny tcp any any eq 5554access-list 101 deny tcp any any eq 9995access-list 101 deny tcp any any eq 9996access-list 101 permit ip any any2.在路由器相应端口上应用interface 外部网络接口 网络接口号ip access-group 101 in说明：在同一端口上应用访问控制列表的IN语句或OUT语句只能有一条，如需将两组访问列表应用到同一端口上的同一方向，需将两组访问控制列表进行合并处理，方能应用。利用访问控制列表实现Q

24、oS针对一些重要业务和特殊应用，使用时要求保证带宽，不用时又能将带宽让出来给其他应用，可用如下设置访问控制列表和数据包染色技术来实现。1.设置如下的访问控制列表access-list 102 permit ip 网段1IP 子网掩码 host 服务器1IPaccess-list 103 permit ip 网段2IP 子网掩码 host 服务器2IPaccess-list 104 permit ip 网段3IP 子网掩码 host 服务器3IP2.数据包染色标记class-map match-all Critical-1match ip dscp 34class-map match-all C

25、ritical-2match ip dscp 26class-map match-all Critical-3match ip dscp 353.数据包染色分类class-map match-any Critical-1match access-group 102 /*匹配访问控制列表102 */class-map match-any Critical-2match access-group 103 /*匹配访问控制列表103 */class-map match-any Critical-3match access-group 104 /*匹配访问控制列表104 */4.策略定义policy-

26、map AAclass Critical-1bandwidth percent 10 /*定义保障带宽为基本带宽的10% */random-detect dscp-based /*定义路由器带宽拥塞时的数据包丢弃策略 */random-detect dscp 34 24 40 10/* 定义发生拥塞时DSCP=34数据包的最小丢包率/最大丢包率/丢弃概率分别是：24/40/10 */class Critical-2bandwidth percent 5random-detect dscp-basedrandom-detect dscp 26 24 40 10classs Critical-3b

27、andwidth percent 2random-detect dscp-basedrandom-detect dscp 35 24 40 105.在路由器相应端口上进行策略应用interface Serial0/0service-policy output AA如上设置后，即实现了在端口Serial0/0上符合访问控制列表102的业务保障带宽是基本带宽的10%，符合访问控制列表103的业务保障带宽为基本带宽的5%，符合访问控制列表104的业务保障带宽为基本带宽的2%。基于时间的访问控制列表配置实例配置实例：要想使基于时间的ACL生效需要我们配置两方面的命令：1、定义时间段及时间范围。2、AC

28、L自身的配置，即将详细的规则添加到ACL中。3、宣告ACL，将设置好的ACL添加到相应的端口中。网络环境介绍： 我们采用如图所示的网络结构。路由器连接了二个网段，分别为172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24网段中有一台服务器提供FTP服务，IP地址为172.16.4.13。配置任务：只容许172.16.3.0网段的用户在周末访问172.16.4.13上的FTP资源，工作时间不能下载该FTP资源。路由器配置命令：time-range softer定义时间段名称为softerperiodic weekend 00:00 to 23:59定义具体时间范围

29、，为每周周末（6，日）的0点到23点59分。当然可以使用periodic weekdays定义工作日或跟星期几定义具体的周几。access-list 101 deny tcp any 172.16.4.13 0.0.0.0 eq ftp time-range softer设置ACL，禁止在时间段softer范围内访问172.16.4.13的FTP服务。access-list 101 permit ip any any设置ACL，容许其他时间段和其他条件下的正常访问。int e 1进入E1端口。ip access-group 101 out宣告ACL101。基于时间的ACL比较适合于时间段的管理，通过上面的设置172.16.3.0的用户就只能在周末访问服务器提供的FTP资源了，平时无法访问。AR系列路由器两种ACL匹配规则的介绍在一条ACL中可以制定多条规则，这些规则可能产生交集,即某些报文可能同时符合一条ACL中的多条规则。例如在ACL 30