ACL访问控制列表 |
您所在的位置:网站首页 › ensp traffic-filter › ACL访问控制列表 |
ACL访问控制列表
|
目录 思科 标准ACL(1-99) 扩展ACL(100-199) 自反ACL H3C 基本ACL 高级ACL 二层ACL 自反ACL HUAWEI 基本ACL 高级ACL 二层ACL 自反ACL 基本ACL、高级ACL、二层ACL(华为、H3C)、命名ACL H3C在ACL中匹配源目后双向管控,CISCO是单向管控 访问控制列表的原理 对路由器接口来说有两个方向 出:已经经路由器的处理,正离开路由器接口的数据包 入:已经到达路由器接口的数据包,将被路由器处理。 匹配顺序为:“自上而下,依次匹配”。默认为拒绝 访问控制列表的类型 标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上 扩展访问控制列表:配置在离源端最近的路由上,一般应用在入站in方向 命名访问控制列表:允许在标准和扩展访问列表中使用名称代替表号 访问控制列表使用原则 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。 思科
单臂路由必须配置在路由器子接口上 acl默认deny any 标准ACL(1-99)标准访问列表,一般来说配置尽量靠近目的端。 禁止192.168.60网段 访问 192.168.61网段 路由配置 Router>en Router#conf t Router(config)#access-list 10 deny 192.168.60.0 0.0.0.255 Router(config)#access-list 10 permit any Router(config)#int f0/0.3 Router(config-subif)#ip access-group 10 out 三层交换机配置 Switch>en Switch#conf t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#access-list 10 deny 192.168.60.0 0.0.0.255 Switch(config)#access-list 10 permit any Switch(config)#int vlan61 Switch(config-if)#ip access-group 10 out 扩展ACL(100-199) 格式 access-list [100-199] [deny/permit] Protocol Source-address Destination-address 路由器 Router(config)#access-list 120 deny icmp 192.168.60.0 0.0.0.255 192.168.61.0 0.0.0.255 Router(config)#access-list 120 permit icmp any any Router(config)#int f0/0.3 Router(config-subif)#ip access-group 120 out 交换机 Switch(config)#access-list 120 deny icmp 192.168.60.0 0.0.0.255 192.168.61.0 0.0.0.255 Switch(config)#access-list 120 permit icmp any any Switch(config)#int vlan61 Switch(config-subif)#ip access-group 120 out
允许最近出站数据包的目的地发出的应答流量回到该出站数据包的源地址(单向ping通)
H3C
基本ACL
只根据数据包的源IP地址制定规则,序号为2000~2999,定义时间段也属于基本ACL 交换机 [H3C]acl basic 2000 [H3C-acl-ipv4-basic-2000]rule 99 deny source 192.168.61.0 0.0.0.255 [H3C-acl-ipv4-basic-2000]int g1/0/4 [H3C-GigabitEthernet1/0/1]packet-filter 2000 inbound ####靠近源IP用inbound 路由器 [H3C]acl basic 2000 [H3C-acl-ipv4-basic-2000]rule 1 deny source 192.168.61.0 0.0.0.255 [H3C]interface GigabitEthernet0/0.1 [H3C-GigabitEthernet0/0.1]packet-filter 2000 outbound ####靠近目标IP用outbound 高级ACL可以使用数据包的源IP地址、目的IP地址、IP承载的协议类型、针对协议,高级ACL序号取值范围3000~3997 交换机 [H3C]acl advanced 3000 [H3C-acl-ipv4-adv-3000]rule 99 deny icmp source 192.168.61.0 0.0.0.255 [H3C-acl-ipv4-adv-3000]int g1/0/4 [H3C-GigabitEthernet1/0/4]undo packet-filter 3000 inbound 路由器 [H3C]acl advanced 3000 [H3C-acl-ipv4-adv-3000]rule 99 deny icmp source 192.168.61.0 0.0.0.255 [H3C-acl-ipv4-adv-3000]int g0/0.1 [H3C-GigabitEthernet0/0.1]packet-filter 3000 outbound 二层ACL根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则,序号取值范围为4000~4999 [H3C]acl mac 4000 [H3C-acl-mac-4000]rule 99 deny source-mac 2eb5-7d12-d408 ffff-ffff-ffff 自反ACL [H3C-acl-ipv4-adv-3000]rule 99 deny icmp source 192.168.61.0 0.0.0.255 icmp-type echo-reply
与H3C基本一致,个别命令不一样
与H3C一样 自反ACL [Huawei-acl-adv-3000]rule 111 deny icmp source 192.168.61.0 0.0.0.255 icmp-type ec |
【本文地址】