第6章 访问控制列表(ACL).ppt

网络组建补充-访问控制列表 访问控制列表 访问控制列表概述 概念： ACL(Access Control List)技术是一种基于包过滤的流控制技术，它在路由器，三层交换机中被广泛采用。 访问控制列表对数据包的源地址、目的地址、端口号及协议号等进行检查，并根据数据包是否匹配访问控制列表规定的条件来决定是否允许数据包通过。 H3C设备上访问控制列表按数字标识分类(con.1) H3C设备上访问控制列表按数字标识分为五种： 接口ACL：数字标识范围1000至1999，是基于接口的访问控制列表； 基本ACL：数字标识范围2000至2999，只根据源IP地址进行过滤； 高级ACL：数字标识范围3000至3999，根据数据包的源和目的IP地址及端口，IP承载的协议类型，协议特性等三、四层信息进行过滤； H3C设备上访问控制列表按数字标识分类 H3C设备上访问控制列表按数字标识分为五种： 二层ACL：数字标识范围4000至4999，根据源和目的MAC地址，VLAN优先级，二层协议类型等二层信息进行过滤； 用户自定义ACL：数字标识范围5000至5999，以数据包的头部为基准，指定从第几个字节开始进行“与”，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配报文来达到过滤的目的。 ACL的配置主要包含四个步骤 首先要启用防火墙； 接着创建一个ACL（为acl指定一个number）； 然后定义规则(即定义根据什么规则来过滤哪种数据包)； 最后声明ACL规则应用场所(指明在哪些端口上应用，在端口的哪个方向上进行应用) ACL的配置主要包含四个步骤示例 1.启用防火墙(系统视图下) [SYS] firewall enable //打开防火墙 [SYS] firewall default permit //缺省过滤模式为允许通过 2.创建一个访问控制列表并进入ACL视图(系统视图下) [SYS] acl number 2100 　　　//创建基本ACL 3.增加一条访问控制列表的规则 (ACL配置视图下) [SYS-acl-2100] rule 1 permit source 55 [SYS-acl-2100] rule 2 deny source any 4.在指定场所应用ACL规则(接口视图下) [SYS-Ethernet0/0] firewall packet-filter 2100 inbound ?//在Ethernet0/0流入方向上应用acl 2100 启用防火墙 1.启用防火墙(系统视图下) [SYS] firewall { enable | disable } //打开或关闭防火墙 enable：允许防火墙过滤。 disable：禁止防火墙过滤 [SYS] firewall default { permit | deny} //设置防火墙缺省过滤方式。 permit：防火墙缺省值过滤模式为允许规则匹配的数据包通过。 deny：防火墙缺省值过滤模式为禁止规则匹配的数据包通过。 定义一个ACL 2.定义/删除一个ACL(系统视图下) [SYS]acl number acl-number [ match-order { config | auto } ] [SYS]undo acl{ number acl-number | all } 定义ACL规则（基于接口） 2.1 定义/删除基于接口的访问控制列表的规则（acl-number 1000至1999）(ACL视图下) [SYS-acl-aclnumber] rule [ rule-id ] { permit | deny| comment text } interface { interface-type interface-number | any } [ time-range time-name ] [ logging ] [SYS-acl-aclnumber]undo rule rule-id [ comment text ] [ logging | time-range ] } 定义ACL规则（基本访问控制列表） 2.2 定义/删除基本访问控制列表的规则（acl-number 2000至2999） (ACL视图下) [SYS-acl-aclnumber] rule [ rule-id ] { permit | deny| comment text } [source {sour-addr sour-wildcard | any} ] [ time-range time-n