ACL 的配置
第一、ACL 的配置:
————————————————————————
|访问控制列表的分类 | 数字序号的范围 |
|———————————————————————
|基本访问控制列表 | 2000-2999 |
|———————————————————————
|扩展访问控制列表 | 3000-3999 |
|———————————————————————
|基于二层的访问控制列表 | 4000-4999 |
|———————————————————————
|用户自字义访问控制列表 | 5000-5999 |
————————————————————————
●基本ACL :是只根据报文的源IP 地址信息来制定规则的;
●高级ACL :根据报文的源IP 地址,目的IP 地址,IP 承载的协议类型,协议的特征
等三、四层信息制定规则;
●二层ACL :根据报文的源MAC 地址,目的MAC 地址,VLAN 优先级,二层协议类
型等信息制定规则;
●用户自定义ACL :可以以报文的头、IP 头等为基准,指定从第几个字节开始与掩码
进行“与”操作,将报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。
●给ACL来指定一个名字,要注意起名字时,要在创建的时候来起,创建完成后,便不能起了,名字和number一样,同样可以标识一个ACL。命令如下:
acl number 3000 name xiaoshoubu
●设定acl的描述信息:在配置acl时,可以在acl状态下用命令:description text 来给ACL添加描述信息。
●设定acl的步长,也就是在不指定规则号的情况下,采用的默认增长速度 。命令为:step step-value 默认是5
第一、ACL 的配置:
————————————————————————
|访问控制列表的分类 | 数字序号的范围 |
|———————————————————————
|基本访问控制列表 | 2000-2999 |
|———————————————————————
|扩展访问控制列表 | 3000-3999 |
|———————————————————————
|基于二层的访问控制列表 | 4000-4999 |
|———————————————————————
|用户自字义访问控制列表 | 5000-5999 |
————————————————————————
●基本ACL :是只根据报文的源IP 地址信息来制定规则的;
●高级ACL :根据报文的源IP 地址,目的IP 地址,IP 承载的协议类型,协议的特征
等三、四层信息制定规则;
●二层ACL :根据报文的源MAC 地址,目的MAC 地址,VLAN 优先级,二层协议类
型等信息制定规则;
●用户自定义ACL :可以以报文的头、IP 头等为基准,指定从第几个字节开始与掩码
进行“与”操作,将报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。
●给ACL来指定一个名字,要注意起名字时,要在创建的时候来起,创建完成后,便不能起了,名字和number一样,同样可以标识一个ACL。命令如下:
acl number 3000 name xiaoshoubu
●设定acl的描述信息:在配置acl时,可以在acl状态下用命令:description text 来给ACL添加描述信息。
●设定acl的步长,也就是在不指定规则号的情况下,采用的默认增长速度 。命令为:step step-value 默认是5
ACL 的匹配顺序有:config:按照用户的配置的顺序来匹配。
auto:按照“深度优先”即地址范围小的规则被优先进行匹配。不过系统默认是按照用户的配置顺序来进行匹配的。
——————————————————————————————————————————————————————————————————————————
在实际工作中遇到如下问题:
如果您的版本是Release 2208的可以直接在接口下packet-filter acl_number inbound/outbound,如果版本低于R2208,则需要通过QOS方式下发ACL。具体配置方法如下:
acl number 3000 //定义流量,里面的permit和deny没有实际意义,仅用来匹配流量
rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
quit
traffic classifier 1 //定义类,匹配acl 3000
if-match acl 3000
quit
traffic behavior 1 //定义流行为,动作为拒绝deny
filter deny
quit
qos policy 1 //定义QOS策略,将类和流行为绑定 (注意在这类和流行为,可以关联多个即可以出现 classifier 2 behavior 2)
classifier 1 behavior 1
quit
interface GigabitEthernet1/0/1 //下发到接口inbound方向
qos apply policy 1 inbound
——————————————————————————————————————————————————————————————————————
例如:
基本的ACL:
acl number 2000
rule 0 deny source 192.168.2.0 0.0.0.255
高级的ACL :
acl number 3000
rule 0 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0.0.0.0 destination-port eq 80
auto:按照“深度优先”即地址范围小的规则被优先进行匹配。不过系统默认是按照用户的配置顺序来进行匹配的。
——————————————————————————————————————————————————————————————————————————
在实际工作中遇到如下问题:
如果您的版本是Release 2208的可以直接在接口下packet-filter acl_number inbound/outbound,如果版本低于R2208,则需要通过QOS方式下发ACL。具体配置方法如下:
acl number 3000 //定义流量,里面的permit和deny没有实际意义,仅用来匹配流量
rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
quit
traffic classifier 1 //定义类,匹配acl 3000
if-match acl 3000
quit
traffic behavior 1 //定义流行为,动作为拒绝deny
filter deny
quit
qos policy 1 //定义QOS策略,将类和流行为绑定 (注意在这类和流行为,可以关联多个即可以出现 classifier 2 behavior 2)
classifier 1 behavior 1
quit
interface GigabitEthernet1/0/1 //下发到接口inbound方向
qos apply policy 1 inbound
——————————————————————————————————————————————————————————————————————
例如:
基本的ACL:
acl number 2000
rule 0 deny source 192.168.2.0 0.0.0.255
高级的ACL :
acl number 3000
rule 0 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0.0.0.0 destination-port eq 80
第二、包过滤防火墙功能:
[h3c] firewall enable -------开启包过滤功能,系统默认没有开启。
[h3c] firewal default permit/deny -------设置默认的规则,系统默认规则是permit
[h3c] firewall enable -------开启包过滤功能,系统默认没有开启。
[h3c] firewal default permit/deny -------设置默认的规则,系统默认规则是permit
将 ACL 应用到接口上,配置的 ACL 才会生效,也就是说在要用到接口的inbound/outbound
[h3c-Ethernet0/1] firewall packet-filter 3000 inbound/outbound
[h3c-Ethernet0/1] firewall packet-filter 3000 inbound/outbound
ACL 包过滤显示与调试
display firewall-statistics all
display firewall-statistics all
display acl all
清除IPV4 ACL 统计信息
reset acl counter (all)
reset acl counter (all)
