华为H3C ACL配置
一、ACL功能简介
随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对数据包进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。ACL(Access Control List,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。
二、ACL种类
1. 基本ACL:只根据数据包的源IP地址制定规则,序号为2000~2999,定义时间段也属于基本ACL。
2. 高级ACL:高级ACL可以使用数据包的源IP地址、目的IP地址、IP承载的协议类型、针对协议的特性(例如TCP或UDP的源端口、目的端口,ICMP协议的消息类型、消息码等)内容定义规则。高级ACL序号取值范围3000~3999(3998与3999是系统为集群管理预留的编号,用户无法配置)。高级ACL支持对三种报文优先级的分析处理:ToS(Type of Service,服务类型)优先级、IP优先级和DSCP(Differentiated Services CodePoint,差分服务编码点)优先级。
3. 二层ACL:根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。用户可以利用高级ACL定义比基本ACL更准确、更丰富、更灵活的规则。二层ACL的序号取值范围为4000~4999。
4. 用户自定义ACL:以数据包的头部为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。
三、ACL匹配顺序
一条ACL可以包含多个规则,因此会出现规则匹配顺序,其支持两种匹配顺序:一种是配置顺序(根据用户配置规则的先后顺序进行规则匹配,一种是自动排序(根据深度优先的顺序进行规则匹配)
1. 基本ACL的“深度优先”顺序判断原则
(1) 先比较源IP地址范围,源IP地址范围小(反掩码中“0”位的数量多)的规则优先;
(2) 如果源IP地址范围相同,则比较是否带有fragment参数,带有fragment参数的规则优先;
(3) 如果源IP地址范围、是否带有fragment参数这两个判断条件也相同,则先配置的规则优先。
2. 高级ACL的“深度优先”顺序判断原则
(1) 首先比较协议范围,指定了IP协议承载的协议类型的规则优先;
(2) 如果协议范围相同,则比较源IP地址范围,源IP地址范围小(反掩码中“0”位的数量多)的规则优先;
(3)如果协议范围、源IP地址范围相同,则比较目的IP地址范围,目的IP地址范围小(反掩码中“0”位的数量多)的规则优先;
(4) 如果协议范围、源IP地址范围、目的IP地址范围相同,则比较四层端口号(TCP/UDP端口号)范围,四层端口号范围小的规则优先;
(5)如果协议范围、源IP地址范围、目的IP地址范围、四层端口号范围相同,则比较规则中参数的个数,参数个数多的规则优先。
如果规则A与规则B的协议范围、源IP地址范围、目的IP地址范围、四层端口号范围完全相同,并且其它的参数个数也相同,将按照加权规则进行排序。设备为每个参数设定一个固定的权值,最终的匹配顺序由各个参数的权值和参数的取值来决定。各个参数自身的权值从大到小排列为icmp-type、established、dscp、tos、precedence、fragment。比较规则如下: z 设备以一个固定权值依次减去规则中所配置的各个参数自身的权值,所得结果小的规则优先; z 如果各个规则中参数种类完全相同,则这些参数取值的累加和小的规则优先。
五、ACL在交换机(路由器)上的应用方式
1. ACL直接下发到硬件的情况
ACL可以直接下发到交换机(路由器)的硬件,用于数据转发过程中的报文过滤和流分类。此时一条ACL中多个规则的匹配顺序是由交换机的硬件决定的,对于S3100系列以太网交换机,匹配顺序为先下发的规则先匹配。 ACL直接下发到硬件的情况包括:通过ACL过滤转发数据、配置QoS功能时引用ACL等。
2. ACL被上层软件引用的情况
ACL也可以用来对由软件处理的报文进行过滤和流分类。此时ACL规则的匹配顺序有两种:1)config:按用户配置的先后顺序;2)auto:按“深度优先”的顺序。
用户可以在定义ACL的时候指定一条ACL中多个规则的匹配顺序。用户一旦指定某一条ACL的匹配顺序,就不能再更改该顺序。只有把该ACL中所有的规则全部删除后,才能重新指定其匹配顺序。 ACL被上层软件引用的情况包括:路由策略引用ACL、对Telnet、SNMP和WEB登录用户进行控制时引用ACL等。
六、ACL配置
1. 配置时间段
ACL时间段配置属于基本ACL,其配置步骤如表
| 配置步骤 | 命令 | 说明 |
| 进入系统视图 | system-view | |
| 创建一个时间段 |
time-range time-name { start-time to end-time days-of-the-week from start-time start-date ] [ to end-time end-date ] | from start-time start-date [ to end-time end-date ] | to end-time end-date } |
[]中为可选项,可不填 |
举例
(1)配置周期时间段,时间为周一到周五每天8:00到18:00
<Sysname> system-view
[Sysname] time-range test 8:00 to 18:00 working-day
(2)配置绝对时间段,时间为2017年1月28日15:00到2018年1月28日15:00
<Sysname> system-view
[Sysname] time-range test from 15:001/28/2017 to 15:00 1/28/2018
(3)查看配置情况
[Sysname] display time-range test
2. 配置基本ACL
(1)配置步骤
| 配置步骤 | 命令 | 说明 |
| 进入系统视图 | system-view | |
| 创建并进入基本ACL视图 | acl number acl-number [match-order] {auto |config} | 缺省为config |
| 定义基本ACL规则 | rule [rule-id] {deny | permit} [rule-string] | |
| 定义ACL的描述信息 | description text |
(2)配置举例
配置ACL2000,禁止源192.168.0.1的报文通过
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule deny source 192.168.0.1 0
显示配置
[sysname] display acl 2000
3. 配置高级ACL
| 配置步骤 | 命令 | 说明 |
| 进入系统视图 | system-view | |
| 创建并进入高级ACL视图 | acl number acl-number [match-order {auto |config}] | |
| 定义高级ACL规则 | rule [rule-id] {permit |deny} protocol [rule-string] | |
| 定义高级ACL规则的注释信息 | rule rule-id comment text | 可选,缺省情况没有注释 |
| 定义ACL描述信息 | description text |
举例
<Sysname> system-view
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80
3. 配置二层ACL
配置步骤同高级ACL配置,但要首先确定源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等参数
举例:
<Sysname> system-view
[Sysname] acl number 4000
[Sysname-acl-ethernetframe-4000] rule deny cos 3 source 000d-88f5-97ed ffff-ffff-ffff dest 0011-4301-991e ffff-ffff-ffff
需要注意的是:1)当高级ACL的匹配顺序为config时,用户可以修改该ACL中的任何一条已经存在的规则,在修改ACL中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当高级ACL的匹配顺序为auto时,用户不能修改该ACL中的任何一条已经存在的规则,否则系统会提示错误信息。 2)在创建一条ACL规则的时候,用户可以不指定规则的编号,设备将自动为这个规则分配一个编号:如果此ACL中没有规则,编号为0;如果此ACL中已有规则,编号为现有规则的最大编号+1;如果此ACL中现有规则的最大编号为65534,则系统会提示错误信息,此时用户必须指定规则的编号才能创建成功。3) 新创建或修改后的规则不能和已经存在的规则相同,否则会导致创建或修改不成功,系统会提示该规则已经存在。 4) 当高级ACL的匹配顺序为auto时,新创建的规则将按照“深度优先”的原则插入到已有的规则中,但是所有规则对应的编号不会改变。
七、ACL下发
ACL规则生效需要对规则进行下发,硬件下发方式有四种方式。
1)全局下发ACL:对所有端口接收的报文应用ACL规则进行过滤。
2)VLAN下发ACL:对所有端口接收的属于指定VLAN的报文应用ACL规则进行过滤。
3)端口组下发ACL:对端口组内所有端口接收的报文应用ACL规则进行过滤。
4)端口下发ACL:对端口接收的报文应用ACL规则进行过滤。
1. 全局下发ACL
| 配置步骤 | 命令 | 说明 |
| 进入系统视图 | system-view | |
| 全局下发ACL | packet-filter inbound acl-rule |
举例:
在全局下发ACL,对所有端口接受的报文应用基本ACL2000进行过滤
<Sysname>system-view
[Sysname] packet-filter inbound ip-group 2000
2. VLAN下发ACL
| 配置步骤 | 命令 | 说明 |
| 进入系统视图 | system-view | |
| 全局下发ACL | packet-filter vlan vlan-id inbound acl-rule |
举例:
在全局下发ACL,对所有端口接受的报文应用基本ACL2000进行过滤
<Sysname>system-view
[Sysname] packet-filter vlan 10 inbound ip-group 2000
3. 端口组下发ACL
| 配置步骤 | 命令 | 说明 |
| 进入系统视图 | system-view | |
| 进入端口组视图 | port-group group-id | |
| 端口组下发ACL | packet-filter inbound acl-rule |
举例:
在全局下发ACL,对所有端口接受的报文应用基本ACL2000进行过滤
<Sysname>system-view
[Sysname]port-group 1
[Sysname-port-group-1] packet-filter inbound ip-group 2000
4. 端口下发ACL
| 配置步骤 | 命令 | 说明 |
| 进入系统视图 | system-view | |
| 进入端口组视图 | interface interface-type interface-number | |
| 端口组下发ACL | packet-filter inbound acl-rule |
举例:
在全局下发ACL,对所有端口接受的报文应用基本ACL2000进行过滤
<Sysname>system-view
[Sysname] interface e 0/0/1
[Sysname-Ethernet0/0/1] packet-filter inbound ip-group 2000
5. ACL被上层软件引用
(1)Telnet登录用户控制
在VTY用户界面引用基本ACL 2000,对Telnet登录用户进行控制。
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] acl 2000 inbound
(2)通过源IP对WEB登录控制
通过源IP地址对WEB登录用户进行控制,仅允许IP地址为10.110.100.46的WEB用户通过HTTP方式访问交换机。EB登录用户进行控制配置
<Sysname> system-view
[Sysname] acl number 2001 match-order config
[Sysname-acl-basic-2001] rule 1 permit source 10.110.100.46 0
[Sysname-acl-basic-2001] quit
[Sysname] ip http acl 2000
高级ACL:根据数据包的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则。
| 配置步骤 | 命令 | 说明 |
| 进入系统视图 | system-view | |
| 进入端口组视图 | port-group group-id | |
| 端口组下发ACL | packet-filter inbound acl-rule |
华为H3C ACL配置相关推荐
- 华为H3C ACL配置实例
一.ACL功能简介 随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容.通过对数据包进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源.AC ...
- 华为交换机ACL配置
华为交换机ACL配置 一.网络环境 1.网络拓扑 2.网络互通链接 二.ACL要求 三.ACL实施 1.部门A禁止访问部门B 2.服务器区域ACL配置 3.部门D不能访问部门C 一.网络环境 1.网络 ...
- 华为acl怎么生效_华为交换机ACL配置的一些东西
这是华为ACL配置中流策略的配置命令.华为设备配置ACL不像Cisco的那样可以直接在接口下配置ACL来应用.华为需要先配ACL,然后配流分类(traffic classifier tc1),将ACL ...
- 华为[ENSP]ACL配置实例(访问控制列表配置实例)
ACL配置实验一(高级ACL)(简单)的拓扑图如下: 一.配置PC1.PC2和Server 二.配置Router(运用高级ACL配置) 相关命令解析: [Router]acl 3000(进入高级A ...
- H3C acl配置举例
1 简介 本文档介绍了ACL(Access Control List,访问控制列表)的配置举例. 2 配置前提 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的 ...
- 网工小记录(5):华为交换机acl配置、vpn-instance调用问题
背景:印象中华为路由交换设备acl的默认动作为deny ,若acl空配是否为deny any any呢? 项目中配置了acl,但acl下为空,在vty下调用了该acl,却发现所有ip都能ssh进设备, ...
- 华为交换机配置syslog发送_华为/H3C Syslog配置
H3C交换机的设置举例 1. 组网需求 将系统的日志信息发送到 linux 日志主机: 日志主机的IP 地址为1.2.0.1/16: 信息级别高于等于 informational 的日志信息将会发送到 ...
- 华为设备ACL配置命令
[Huawei]time-range t1 8:00 to 17:00 daily //创建一个时间段 [Huawei]acl 2000 //使用编号(2000-2999)创建一个数字型的基本ACL, ...
- h3c 3600 acl 配置 滤源IP是网关的ARP报文的ACL规则
h3c 3600 acl 配置 滤源IP是网关的ARP报文的ACL规则 悬赏分:100 - 解决时间:2009-3-8 14:30 星号之间是我在网上查到的华为交换机的配置方法: ********** ...
最新文章
- Java文件的状态_java中文件的状态
- 以太坊智能合约函数参数ABI编码,动态类型string编码,函数参数的ABI编码, 含c++代码
- 研究你为啥看着淘宝想剁手,阿里达摩院论文登上NeurIPS 2019
- filebeat启动多个_【翻译】Filebeat相关(一)
- yspider爬取数据导入mysql_爬虫实战四、PyCharm+Scrapy爬取数据并存入MySQL
- ReactiveCocoa个人记录
- 自动利用webshell执行系统命令py脚本
- onmouseover-onmouseout
- java sax解析xml_在Java中使用DOM,SAX和StAX解析器解析XML
- 那些中国式家庭的小烦恼,我看用AI来解决就“都挺好” | 技术头条
- 斯坦福《机器学习》Lesson4感想--1、Logistic回归中的牛顿方法
- BZOJ4133 : Answer的排队
- MySQL技术内幕 InnoDB存储引擎【二】后台线程
- 敬请注册4月14日边缘计算Meetup(上海站)
- chattr 命令锁住一个文件任何人不能删除
- android水波纹动画制作,flash动画制作实例:横向水波纹效果
- LimeSurvey 安装
- TwinCAT3实现OPCUA通讯问题总结
- 深度学习在视频动作识别应用
- TopCoder 规则入门