关于ACL配置(华为)

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了关于ACL配置(华为)相关的知识,希望对你有一定的参考价值。

acl number 2003
rule deny tcp source 192.168.0.2 0.0.0.0 destination 192.168.2.1 0.0.0.255 destination-port eq ftp
rule permit ip source 192.168.0.2 0.0.0.0 destination 192.168.2.0 0.0.0.255

另外里面的eq和destination-port什么意思
eq的解释还是有点不懂,还有请把上面的语句的意思也说下啊

ACL匹配:

缺省情况下,系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。

报文与ACL规则匹配后,会产生两种匹配结果:“匹配”和“不匹配”。

匹配(命中规则):指存在ACL,且在ACL中查找到了符合匹配条件的规则。不论匹配的动作是“permit”还是“deny”,都称为“匹配”,而不是只是匹配上permit规则才算“匹配”。

匹配上permit:允许

匹配上deny:拒绝

无论报文匹配ACL的结果是“不匹配”、“允许”还是“拒绝”,该报文最终是被允许通过还是拒绝通过,实际是由应用ACL的各个业务模块来决定的。不同的业务模块,对命中和未命中规则报文的处理方式也各不相同。

不匹配(未命中规则):指不存在ACL,或ACL中无规则,再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。切记以上三种情况,都叫做“不匹配”。

扩展资料:

ACL基本原理:

ACL,是Access Control List的简称,中文名称叫“访问控制列表”。

ACL由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件,可以是报文的源地址、目的地址、端口号等。

打个比方,ACL其实是一种报文过滤器,ACL规则就是过滤器的滤芯。安装什么样的滤芯(即根据报文特征配置相应的ACL规则),ACL就能过滤出什么样的报文。

基于过滤出的报文,我们能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet登录/FTP文件下载进行控制等等,从而提高网络环境的安全性和网络传输的可靠性。

参考技术A acl number 2003 acl规则2003
rule deny tcp source 192.168.0.2 0.0.0.0 destination 192.168.2.1 0.0.0.255 destination-port eq ftp
规则 拒绝 tcp协议 源地址为192.168.0.2这个主机到目的地址为192.168.2.1/255.255.255.0这个网段的目的端口等于ftp协议的
rule permit ip source 192.168.0.2 0.0.0.0 destination 192.168.2.0 0.0.0.255
规则 允许 ip协议 源地址为192.168.0.2这个主机到目的地址为192.168.2.0/255.255.255.0这个网段。
以上两条规则可以这样理解。
允许192.168.0.2这个PC访问192.168.2.0/24这个网段,但是拒绝到所有到192.168.2.0/24这个网段PC机FTP服务。
也就是说,禁止使用ftp服务,其他服务照样好使。
另外里面的eq和destination-port什么意思?
eq是等于这个端口。eq后一定会跟个数字(1-65535)。这个就是端口号。
destination-port是目的端口,也就是标明后面的端口是目的地址的端口。本回答被提问者采纳
参考技术B 前提:在R1路由器上需要提前配置好正确的时间。
r1(config)#time-range TELNET
r1(config-time-range)#periodic weekdays 9:00 to 15:00
说明:定义的时间范围为每周一到周五的9:00 to 15:00
说明:配置R1在上面的时间范围内拒绝R2到R4的telnet,其它流量全部通过。
r1(config)#access-list 150 deny tcp host 10.1.1.2 any eq 23 time-range TELNET
r1(config)#access-list 150 permit ip any any
r1(config)#int f0/1
r1(config-if)#ip access-group 150 out
(1)查看当前R1的时间
r1#sh clock
14:34:33.002 GMT Thu Oct 1 2009
r1#
说明:当前时间为周四14:34,即在所配置的时间范围内。
(2)测试R2向R4发起telnet会话
r2#telnet 14.1.1.4
Trying 14.1.1.4 ...
% Destination unreachable; gateway or host down
r2#
说明:可以看到,在规定的时间范围内,R2向R4发起telnet会话是被拒绝的。
(3)测试除telnet外的其它流量
r2#ping 14.1.1.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 14.1.1.4, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
r2#
说明:可以看到,在规定的时间范围内,除了telnet之外,其它流量不受限制。
(4)测试除R2之外的设备telnet情况
r3#telnet 14.1.1.4
Trying 14.1.1.4 ... Open
r4>
说明:可以看到,除R2之外,其它设备telnet并不受限制。
(1)查看当前R1的时间
r1#sh clock
15:01:15.206 GMT Thu Oct 1 2009
r1#
说明:当前时间为周四15:01,即在所配置的时间范围之外。
(2)测试R2向R4发起telnet会话
r2#telnet 14.1.1.4
Trying 14.1.1.4 ... Open
r4>
说明:在时间范围之外,所限制的流量被放开。
参考技术C destination-port 是目标端口
eq是比较操作
参考技术D acl
number
3111
创建acl
高级访问控制列表3111
rule
1
permit
ip
source
172.16.1.0
0.0.0.255
定义小规则1
允许
源ip为172.16.1.0/24(255.255.255.0)的网段访问目标地址为any(所有的ip)地址
acl
number
3112
创建acl高级访问控制列表3112
rule
0
permit
ip
source
172.16.1.200
0
同上
定义小规则0允许源172.16.1.200/32(255.255.255.255)这一个主机访问目标为any的地址
acl
number
3113
定义3113规则
rule
0
permit
ip
小规则0允许源ip地址为any(所有)到目标地址为any地址。
#
acl
name
lan
创建acl为名字的规则,规则名为lan
rule
0
permit
小规则0允许源ip地址为any(所有)到目标地址为any地址。
#
intterface
aux0
异步端口、为系统默认。一般无用。
async
mobe
flow
2000-2999
的acl规则为标准acl
只能定义源ip地址
3000-3999
的acl规则为高级acl
能够定义源ip地址和目的ip地址。
只定义acl
而不引用是无效的。你这几条acl肯定在某一端口下引用了。

华为配置ACL——小型公司案例实验

今天主要说一下关于ACL的知识,初次接触,如有不足,请各位大神提出宝贵意见,谢谢。
**ACL:Access Control List 访问控制列表
-定义:是用来实现流量识别功能的。
-作用:网络设备为了对特定的报文进行操作,需要配置一系列的匹配规则,以识别 出特定的报文,然后根据预先设定的策略对该报文进行操作。(可以简单的 理解为匹配感兴趣的流量)
-实现:
1.制定规则
2.规定动作(允许/拒绝)

  1. 事件(例如:在某个端口下实施acl的配置内容)
    -类型:
    --标准ACL/基本ACL
    --扩展ACL/高级ACL
    配置思路:
    1.确保现有网络的连通性
    2.查看现有的ACL
    3.创建ACL
    4.调用ACL
    5.验证、测试、保存

下面为大家带来一个小小的拓扑实际性的操作一下

实验目的:PC1与PC3不通,但PC1和PC3都和PC2、PC4互通

实验拓扑:

技术分享图片

地址规划:

设备 IP地址及子网 网关
PC1 192.168.10.1/24 192.168.10.254
PC2 192.168.20.2/24 192.168.20.254
PC3 192.168.30.3/24 192.168.30.254
PC4 192.168.40.4/24 192.168.40.254

实验步骤:

1.配置设备IP地址

技术分享图片
技术分享图片
技术分享图片
技术分享图片

2.配置网关

R1:
<Huawei>system\进入系统视图
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R1\修改名字
[R1]vlan batch 10 20 30 40 50\创建vlan
Info: This operation may take a few seconds. Please wait for a moment...done.
[R1]interface Vlanif 10\进入虚拟端口
[R1-Vlanif10]undo shutdown \开启虚拟端口
Info: Interface Vlanif10 is not shutdown
[R1-Vlanif10]ip address 192.168.10.254 255.255.255.0\创建虚拟网关
[R1-Vlanif10]q\退出
[R1]interface Vlanif 20\进入虚拟端口
[R1-Vlanif20]undo shutdown \虚拟端口
Info: Interface Vlanif20 is not shutdown.
[R1-Vlanif20]ip address 192.168.20.254 255.255.255.0\创建虚拟网关
[R1-Vlanif20]q\退出
[R1]interface Vlanif 50\进入虚拟端口
[R1-Vlanif50]undo shutdown \开启端口
Info: Interface Vlanif50 is not shutdown.
[R1-Vlanif50]ip address 192.168.50.1 255.255.255.0\创建虚拟IP
[R1-Vlanif50]q\退出
[R1]interface GigabitEthernet 0/0/1\进入端口
[R1-GigabitEthernet0/0/1]port link-type trunk \配置链路模式trunk
[R1-GigabitEthernet0/0/1]port trunk allow-pass vlan all\允许所有vlan通过
[R1-GigabitEthernet0/0/1]q\退出
[R1]interface GigabitEthernet 0/0/2\进入端口
[R1-GigabitEthernet0/0/2]port link-type trunk \配置链路模式trunk
[R1-GigabitEthernet0/0/2]port trunk allow-pass vlan all\允许所有vlan通过
[R1-GigabitEthernet0/0/2]q\退出
R2:
<Huawei>system-view \进入到系统视图
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R2\修改名字
[R2]vlan batch 10 20 30 40 50\创建vlan
Info: This operation may take a few seconds. Please wait for a moment...done.
[R2]interface Vlanif 30\进入虚拟端口
[R2-Vlanif30]undo shutdown \开启虚拟端口
Info: Interface Vlanif30 is not shutdown.
[R2-Vlanif30]ip address 192.168.30.254 255.255.255.0\创建虚拟网关
[R2-Vlanif30]q\退出
[R2]interface Vlanif 40\进入虚拟端口
[R2-Vlanif40]undo shutdown \开启虚拟端口
Info: Interface Vlanif40 is not shutdown.
[R2-Vlanif40]ip address 192.168.40.254 255.255.255.0\创建虚拟网关
[R2-Vlanif40]q\退出
[R2]interface Vlanif 50\进入虚拟端口
[R2-Vlanif50]undo shutdown \开启虚拟端口
Info: Interface Vlanif50 is not shutdown.
[R2-Vlanif50]ip address 192.168.50.2 255.255.255.0\创建虚拟IP
[R2-Vlanif50]q\退出
[R2]interface GigabitEthernet 0/0/2\进入端口
[R2-GigabitEthernet0/0/2]port link-type trunk \配置链路方式trunk
[R2-GigabitEthernet0/0/2]port trunk allow-pass vlan all\允许所有vlan通过
[R2-GigabitEthernet0/0/2]q\退出
[R2]interface GigabitEthernet 0/0/1\进入端口
[R2-GigabitEthernet0/0/1]port link-type trunk \配置链路方式trunk
[R2-GigabitEthernet0/0/1]port trunk allow-pass vlan all\允许所有vlan通过
[R2-GigabitEthernet0/0/1]q\退出

3.配置交换机,创建vlan配置链路方式并将端口加入到vlan

sw1:
<Huawei>system-view\进入系统视图
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname sw1\修改名字
[ sw1]vlan batch 10 20 30 40 50\创建vlan
Info: This operation may take a few seconds. Please wait for a moment...done.
[ sw1]interface GigabitEthernet 0/0/1进入端口
[ sw1-GigabitEthernet0/0/1]port link-type access \配置链路模式access
[ sw1-GigabitEthernet0/0/1]port default vlan 10\将端口加入VLAN
[ sw1-GigabitEthernet0/0/1]q\退出
[ sw1]interface GigabitEthernet 0/0/2 \进入端口
[ sw1-GigabitEthernet0/0/2]port link-type access \配置链路模式access
[ sw1-GigabitEthernet0/0/2]port default vlan 20\将端口加入VLAN
[ sw1-GigabitEthernet0/0/2]q\退出
[ sw1]interface GigabitEthernet 0/0/3 \进入端口
[ sw1-GigabitEthernet0/0/3]port link-type trunk \配置链路模式trunk
[ sw1-GigabitEthernet0/0/3]port trunk allow-pass vlan all\允许所有vlan通过
[ sw1-GigabitEthernet0/0/3]q\退出
[ sw1]
sw2:

<Huawei>system-view \进入系统视图
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname sw2\修改名字
[sw2]vlan batch 10 20 30 40 50\创建vlan
Info: This operation may take a few seconds. Please wait for a moment...done.
[sw2]interface GigabitEthernet 0/0/1\进入端口
[sw2-GigabitEthernet0/0/1]port link-type trunk \配置链路模式trunk
[sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan all\允许所有vlan通过
[sw2-GigabitEthernet0/0/1]q\退出
[sw2]interface GigabitEthernet 0/0/2 \进入端口
[sw2-GigabitEthernet0/0/2]port link-type access \配置链路模式access
[sw2-GigabitEthernet0/0/2]port default vlan 30\将端口加入vlan
[sw2-GigabitEthernet0/0/2]q\退出
[sw2]interface GigabitEthernet 0/0/3\进入端口
[sw2-GigabitEthernet0/0/3]port link-type access \配置链路模式access
[sw2-GigabitEthernet0/0/3]port default vlan 40\将端口加入vlan
[sw2-GigabitEthernet0/0/3]q\退出
[sw2]

4.配置rip保证全网互通

R1:
[R1]rip\配置rip协议
[R1-rip-1]version 2\选择版本2
[R1-rip-1]network 192.168.10.0\宣告网络范围
[R1-rip-1]network 192.168.20.0\宣告网络范围
[R1-rip-1]q\退出
[R1]
R2:
[R2]rip \配置rip协议
[R2-rip-1]version 2\选择版本2
[R2-rip-1]network 192.168.30.0\宣告网络范围
[R2-rip-1]network 192.168.40.0\宣告网络范围
[R2-rip-1]q\退出
此时,验证一下是否全网互通,以PC1为例:
技术分享图片
技术分享图片
技术分享图片

5.创建ACL

创建acl可以在任何一个接口,在本次试验中是让PC1和PC3不通,其他网络互通,所以我选择在sw1创建ACL,如下:
[R2]acl name denypc1-3 \创建acl并命名
[R2-acl-adv-denypc1-3]rule deny ip source 192.168.10.1 0.0.0.0 destination 192.1
68.30.3 0.0.0.0\规定动作确定源和目标
[R2-acl-adv-denypc1-3]q\退出

6.调用ACL

[R2]interface GigabitEthernet 0/0/2\进入端口
[R2-GigabitEthernet0/0/2]traffic-filter outbound acl name denypc1-3\调用Acl
[R2-GigabitEthernet0/0/2]q\退出

7.验证、测试、保存

验证:
技术分享图片
测试:
PC1:
测试与PC2连通性:
技术分享图片
测试与PC4连通性:
技术分享图片
测试与PC3连通性:
技术分享图片
PC3:
测试与PC2连通性:
技术分享图片
测试与PC4连通性:
技术分享图片
测试与PC1连通性:
技术分享图片
实验完成,完成实验目的。

注意:

ACL对设备本身发起的流量,是不起作用的。

ACL对设备的穿越流量,是起作用的。

操作比较简单,我尽可能把每一步的步骤操作介绍清楚,希望大家可以理解。

以上是关于关于ACL配置(华为)的主要内容,如果未能解决你的问题,请参考以下文章

华为acl应用到vlan配置

华为交换机ACL配置

华为ACL高级应用与配置

华为交换机ACL配置

华为交换机配置ACL详细步骤

华为---ACL配置