acl

ACL ---------- 两者都可以以描述性名称和数字命名 使用 通配符掩码，和子网掩码不同，它的 0 表示精确匹配，非 0 则表示不用精确匹配的位，即 1 表示可 0 可 1 ， 2 表示有 00 ， 01 ， 10 ， 11 四种，配合 Ip 地址使用 -------- 有两种配置方法，一般用 access-list 1-99|100-199 源地址范围 目的地址范围 端口号 1. 标准访问控制列表（在使用时 尽量放在靠近目的地址的位置 ） 只能过滤源地址 2. 扩展访问控制列表（应该尽量靠近源地址的位置） 仅允许已建立 TCP 会话进入 ------------ permit tcp any anyestablished 仅允许 ping 应答通过 R2 。 -----------permit icmp any any echo-reply 对 192.168.30.0/24 网络中的 后一半 IP 地址 有如下限制： R3(config)# access-list 130 permit ip 192.168.30.128 0.0.0.127 192.168.11.0 0.0.0.255 当出现问号问不出来想要的端口号时，注意自己前面大的协议范围是否正确，比如 TFTP 协议属于 UDP 而不是 TCP ; 除了可以将 ACL 应用在接口上，还可以将 ACL 应用在

这是华为ACL配置中流策略的配置命令。华为设备配置ACL不像Cisco的那样可以直接在接口下配置ACL来应用。华为需要先配ACL，然后配流分类（traffic classifier tc1），将ACL和流分类绑定，再配流行为（traffic behavior tb1），接着配置流策略（traffic policy tp1），最后把策略应用到接口下，让ACL生效。 具体例子如下： 步骤1 配置ACL [Quidway] acl 3000 [Quidway-acl-user-3000] rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 步骤2 配置基于用户自定义ACL 的流分类 # 配置流分类tc1，对匹配ACL 3000 的报文进行分类。 [Quidway] traffic classifier tc1 [Quidway-classifier-tc1] if-match acl 3000 步骤3 配置流行为 # 配置流行为tb1，动作为拒绝报文通过。 [Quidway] traffic behavior tb1 [Quidway-behavior-tb1] deny 步骤4 配置流策略 # 定义流策略，将流分类与流行为关联。 [Quidway] traffic policy tp1

作者：【吴业亮】云计算开发工程师 博客： http://blog.csdn.net/wylfengyujiancheng 拓扑： 目标： 1、pc1和pc2互信通信 2、pc2和pc3互信通信 3、pc1和pc3无法通信 创建acl acl 3000 rule 1 deny ip source 172.16.10.0 0.0.0.255 destination 172.16.30.0 0.0.0.255 应用acl [Huawei]interface GigabitEthernet 0 / 0 / 3 [Huawei-GigabitEthernet0/ 0 / 3 ] undo traffic- filter outbound acl 3000 附录： 交换机配置 [Huawei]display current-configuration # sysname Huawei # vlan batch 10 20 30 # cluster enable ntdp enable ndp enable # drop illegal-mac alarm # diffserv domain default # acl number 3000 rule 1 deny ip source 172.16 .10 .0 0.0 .0 .255 destination 172.16 .30 .0 0.0

闲谈华为交换机5700 ACL配置（亲测） wqxh788关注2人评论14088人阅读2013-12-18 18:06:15 最近来了一台华为5700 SI版本交换机，也上了一台防火墙不过是百兆的，主要用于监控与视频会议，为了带宽，防火墙就基本没啥作用了，直接拆了不用，但还是要保证安全，只能在5700上做ACL安全策略，所以研究了一下ACL的配置。 一、说明： 1、华为交换机的ACL规则没变，但下发需要通过流策略traffic policy下发; 2、流策略又包括相应的流分类traffic classifier，流行为traffic behavior； 3、流分类traffic classifier用于绑定相应的ACL规则，流行为traffic behavior决定匹配的流分类是否permit或deny; 4、ACL规则里只需配置匹配的流，使用permit标识，而deny基本没啥用； 5、如果有多个ACL number，在流策略traffic policy里需要按顺序绑定（根据业务是先允午后禁止或先禁止后允许），800说可以配优先级，但我么有发现命令。 6、在接口的inbound 方向下发。 二、版本信息 Huawei Versatile Routing Platform Software VRP (R) software, Version 5.110 (S5700

官方定义： 先匹配ACL，如是deny那就直接过滤掉，不再通过qos匹配；如是acl是permit,那么接下来qos流量进行匹配。 个人总结： traffic behavior使用permit表示按照acl 的规则来进行数据放行,acl中允许那就允许,禁止那就禁止 traffic behavior但是若使用deny,则无论acl规则中的permit或者deny,一律全都丢弃不进行转发. 组合有如下四种： acl beha 最后的动作 A permit permit permit B permit deny deny C deny permit deny D deny deny deny 例子 [Quidway] acl 3003[Quidway-acl-adv-3003] rule deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime[Quidway-acl-adv-3003] quit[Quidway] traffic classifier c_rd[Quidway-classifier-c_rd] if-match acl 3... 一：这是应用于三层交换机的策略。 二：因为三层交换机划分VLAN并配置了VLANIF后，不同VLAN之间可以互访

实验内容 配置ACL禁止192.168.3.0/24网段的icmp协议数据包通向与192.168.1.0/24网段 配置ACL禁止特点的协议端口通讯： 禁止192.168.2.10访问web（禁止网段与禁止单个之间的区别） 禁止192.168.2.20访问DNS ACL（访问控制列表）介绍 应用在路由器接口的指令列表 指定哪些数据报可以接收、哪一些需要拒绝 相对网络接口来说，从网络上流入该接口的数据包，为入站数据流。对入站数据流的过滤控制称为入站访问控制。 从网络接口流出的网络数据包，称为出站数据流。出站访问控制是对出站数据流的过滤控制。 路由器配置（图形界面配置） 首先关闭路由器电源，向路由器中配置两个高速串口 WIC-2T 开启路由器电源，并连接线路 接下来配置路由器端口网段,注意Port Status 选择on，设置速率匹配 设置默认网关，即路由器与主机网段的接口，注意网关应该与主机所在网段在一个网段 主机和服务器配置 设置PC主机的IP地址，子网掩码，网关和DNS服务地址 域名服务器配置 注意在这里要开启DNS服务 服务器配置 配置RIP协议 在路由器上配置rip协议，就是将路由器相邻的网段配置到路由器里 添加rip协议的命令： router rip Network w.x.y.z 注意：如果不是C类网段，可能需要使用version 2模式，宣告路由信息时携带子网掩码

【交换机】做ACL访问控制,要求只有PC1/PC2可以远程访问Sw1. 【路由器】在R1上做ACL访问限制:所有用户都可以ping通Server， 除PC1和PC4以外 ACL：access list 访问控制表 访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。 1. 【交换机】做ACL访问控制,要求只有PC1/PC2可以远程访问Sw1. 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用访问控制列表号1到99来创建相应的ACL。 对路由器接口来说有两个方向 出：已经经路由器的处理，正离开路由器接口的数据包 入：已经到达路由器接口的数据包，将被路由器处理。 ACL默认为拒绝 SW1(config)#access-list 1 permit host 192.168.1.1 SW1(config)#access-list 1 permit host 192.168.2.1 SW1(config)#line vty 0 4 SW1(config-line)

访问控制列表 控制主机访问个数 读取第三层、第四层包头信息 根据预先定义好的规则对包进行过滤 如果匹配第一条规则，则不再往下检查，路由器将决定该数据包允许通过或拒绝通过。 如果不匹配第一条规则，则依次往下检查，直到有任何一条规则匹配。 如果最后没有任何一条规则匹配，则路由器根据默认的规则将丢弃该数据包。 访问控制列表的类型： 标准访问控制列表 基于源IP地址过滤数据包 列表号是1～99 扩展访问控制列表 基于源IP地址、目的IP地址、指定协议、端口等来过滤数据包 列表号是100～199 命名访问控制列表 命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号 标准化访问控制列表 全局：access-list 列表号 deny 192.168.1.1 0.0.0.0 反子网掩码 针对一个主机 全局：access-list 列表号 permit 192.168.1.0 0.0.0.255 反子网掩码 针对一个网段 255.255.255.255 减 对应网络子网掩码 通配符掩码：也叫做反码。用二进制数0和1表示，如果某位为1，表明这一位不需要进行匹配操作，如果为0表明需要严格匹配。 例：192.168.1.0/24子网掩码是255.255.255.0,其反码可以通过255.255.255.255减去255.255.255.0得到0.0.0.255 隐含拒绝语句：access

3.ACL访问控制 问题 沿用练习一，编写并应用ACL策略，实现以下要求： 允许网段192.168.4.0/24在周一到周五的09:30至18:00通过代理访问外网 IP地址是192.168.4.205的主机在任何时间都不可以通过代理访问外网 方案 通过acl指令定义ACL访问控制权限。 通过http_access应用ACL访问控制列表。 http_access策略及规则顺序： http_access根据访问控制列表允许或禁止某一类用户访问代理服务器； http_access规则按照它们的排列顺序进行匹配检测，一旦检测到匹配的规则，匹配检测就立即结束； 访问列表可以由多条规则组成； 如果没有任何规则与访问请求匹配，默认动作将与列表中最后一条规则相反； http_access通过allow来定义允许规则； http_access通过deny来定义拒绝规则。 步骤 实现此案例需要按照如下步骤进行。 步骤一：配置Squid访问控制列表 1）修改配置文件 [root@svr5 ~]# vim /etc/squid/squid.conf … … acl Work_Hours time MTWHF 09:30-18:00 //定义工作时间 acl LAN1 src 192.168.4.0/24 //定义网段 acl PC1 src 192.168.4.205/24 //定义主机

ACL（访问控制列表）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器，那些数据包可以接收，那些数据包需要拒绝。 基本原理为：ACL使用包过滤技术，在路由器上读取OSI七层模型的第三层及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。 ACL通过在路由器接口处控制数据包是转发还是丢弃来过滤通信流量。 路由器根据ACL中指定的条件来检测通过路由器的数据包，从而决定是转发还是丢弃数据包。 ACL有三种类型： 1、标准ACL：根据数据包的源IP地址来允许或拒绝数据包。标准ACL的访问控制列表号是1~99。 2、扩展ACL：根据数据包的源IP地址、目的IP地址、指定协议、端口和标志来允许或拒绝数据包。扩展ACL的访问控制列表号是100~199. 3、命名ACL允许在标准ACL和扩展ACL中使用名称代替表号。 ACL依靠规则对数据包执行检查，而这些规则通过检查数据包中的指定字段来允许或拒绝数据包。ACL通过五个元素来执行检查，这些元素位于IP头部和传输层头部中。他们分别是源IP地址、目标IP地址、协议、源端口及目标端口。 如果对接口应用了ACL，也就是说该接口应用了一组规则，那么路由器将对数据包应用该组规则进行检查 1、如果匹配了第一条规则，则不再往下检查，路由器将决定该数据包允许通过或拒绝通过。 2