ACL简单介绍与典型配置
ACL 典型配置
1.1 访问控制列表简介
1.1.1 访问控制列表概述
为了过滤通过网络设备的数据包,需要配置一系列的匹配规则,以识别需要过滤的
对象。在识别出特定的对象之后,网络设备才能根据预先设定的策略允许或禁止相
应的数据包通过。访问控制列表(Access Control List,ACL)就是用来实现这些功
能。
ACL 通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、
目的地址、端口号等。ACL 可应用在交换机全局或端口上,交换机根据ACL 中指定
的条件来检测数据包,从而决定是转发还是丢弃该数据包。
由ACL 定义的数据包匹配规则,还可以在其它需要对流量进行区分的场合引用,如
定义QoS 中的流分类规则时。
一条访问控制规则可以由多条子规则组成。由于每一条子规则指定的数据包的范围
大小有别,在匹配一个访问控制规则的时候就存在匹配顺序的问题。
1.1.2 以太网交换机支持的访问控制列表
在以太网交换机中,访问控制列表分为以下几类:
基于数字标识的基本访问控制列表。
基于名字标识的基本访问控制列表。
基于数字标识的高级访问控制列表。
基于名字标识的高级访问控制列表。
基于数字标识的二层访问控制列表。
基于名字标识的二层访问控制列表。
交换机上对各种访问控制列表的数目限制如下表所示:
项目数字取值范围
基于数字标识的基本访问控制列表(ip-group) 2000~2999 (只能定义源ip地址段)
基于数字标识的高级访问控制列表(ip-group) 3000~3999 (可以定义源目的ip地址段,和源目
的端口号)
基于数字标识的二层访问控制列表(link-group) 4000~4999 (可以定义源目的mac地址,或者
vlan号)
ACL访问控制列表典型配置
1.1 组网图
图1端口ACL典型组网图
图2全局ACL典型组网图
1.2 应用要求
以上组网图中,财经部工资服务器(Server)连接在S8500的g7/1/1端口,端口ACL组网图中研发部计算机(PC1)连接在S8500的e3/1/1端口上,全局ACL组网图中研发部计算机(PC)连接在S8500的g9/1/1到g9/3/1共9个端口上。研发部属于VLAN 10,IP地址为10.10.10.0/24,财经部属于VLAN 11,IP地址为10.11.11.0/24,其中工资服务器的地址为10.11.11.11/24。要求正确配置ACL,限制研发部除10.10.10.2与10.10.10.3这2个地址之外的主机上班时间8:00到18:00访问工资服务器。
1.3 适用产品、版本
软件版本:端口ACL,S8500交换机全系列软件版本;全局ACL,S8500交换机1273及以后版本。
硬件版本:端口ACL,S8500交换机全系列硬件版本;全局ACL,B类单板无法支持该功能。
1.4 配置过程和解释
该组网需求可以通过端口ACL或者全局ACL,一般情况下建议采用端口ACL
端口ACL配置
1)在S8500上创建研发部所属VLAN 10和财经部所属VLAN 11,并配置接口地址,使研发部计算机能ping通财经部工资服务器
[Quidway]vlan 10
[Quidway-vlan10]port Ethernet 3/1/1
[Quidway]interface Vlan-interface 10
[Quidway-Vlan-interface10]ip address 10.10.10.1 255.255.255.0
[Quidway]vlan 11
[Quidway-vlan11]port GigabitEthernet 7/1/1
[Quidway]interface Vlan-interface 11
[Quidway-Vlan-interface11]ip address 10.11.11.1 255.255.255.0
2)在交换机上配置带time-range的ACL规则(用time-range命令可以定义在某段时间段内启用或者禁用某条acl规则)
[Quidway]time-range worktime 08:00 to 18:00 working-day
[Quidway]acl number 3000 (3000~3999为高级访问列表advanced)
[Quidway-acl-adv-3000]rule 0 permit ip source 10.10.10.2 0
[Quidway-acl-adv-3000]rule 1 permit ip source 10.10.10.3 0
[Quidway-acl-adv-3000]rule 2 deny ip source 10.10.10.0 0.0.0.255 destination 10.
11.11.11 0 time-range worktime
3)在相应的交换机端口上激活访问控制列表
[Quidway-Ethernet3/1/1]packet-filter inbound ip-group 3000
全局ACL配置
需要进行访问控制配置的端口占了某个单板的大部分端口时,采用全局ACL可以节省交换机资源,而且能大大减少重复配置劳动。如上的全局ACL组网图,研发部门通过g91/1~g9/3/1九个端口(该单板一共12个端口)与交换机相连,采用全局ACL实现限制研发部门除10.10.10.2和10.10.10.3之外上班时间访问工资服务器,需要进行如下配置:1)在交换机上面创建VLAN 10和VLAN 11,把端口加入到相应的VLAN且配置相应接口IP地址,使研发部计算机能ping通财经部工资服务器
[Quidway]vlan 11
[Quidway-vlan11]port GigabitEthernet 7/1/1
[Quidway]interface Vlan-interface 11
[Quidway-Vlan-interface11]ip address 10.11.11.1 255.255.255.0
[Quidway]vlan 10
[Quidway-vlan10]port GigabitEthernet 9/1/1
......
[Quidway-vlan10]port GigabitEthernet 9/3/1
[Quidway]interface Vlan-interface 10
[Quidway-Vlan-interface10]ip address 10.10.10.1 255.255.255.0
2)在交换机上配置带time-range的ACL规则
[Quidway]time-range worktime 08:00 to 18:00 working-day
[Quidway]acl number 3000
[Quidway-acl-adv-3000]rule 0 permit ip source 10.10.10.2 0
[Quidway-acl-adv-3000]rule 1 permit ip source 10.10.10.3 0
[Quidway-acl-adv-3000]rule 2 deny ip source 10.10.10.0 0.0.0.255 destination 10.
11.11.11 0 time-range worktime
3)在单板上激活访问控制列表
[Quidway]packet-filter inbound ip-group 3000 slot 9
1.5 完整配置
端口ACL配置
#
time-range worktime 08:00 to 18:00 working-day
acl number 3000
rule 0 permit ip source 10.10.10.2 0
rule 1 permit ip source 10.10.10.3 0
rule 2 deny ip source 10.10.10.0 0.0.0.255 destination 10.11.11.11 0 time-range
worktime
#
vlan 10
#
vlan 11
#
interface Vlan-interface10
ip address 10.10.10.1 255.255.255.0
#
interface Vlan-interface11
ip address 10.11.11.1 255.255.255.0
#
interface Ethernet3/1/1
port access vlan 10
packet-filter inbound ip-group 3000 rule 0 system-index 1
packet-filter inbound ip-group 3000 rule 1 system-index 2
packet-filter inbound ip-group 3000 rule 2 system-index 3
#
interface GigabitEthernet7/1/1
port access vlan 11
#
time-range worktime 08:00 to 18:00 working-day
全局ACL配置
#
acl number 3000
rule 0 permit ip source 10.10.10.2 0
rule 1 permit ip source 10.10.10.3 0
rule 2 deny ip source 10.10.10.0 0.0.0.255 destination 10.11.11.11 0 time-range
worktime
#
vlan 10
#
vlan 11
#
interface Vlan-interface10
ip address 10.10.10.1 255.255.255.0
#
interface Vlan-interface11
ip address 10.11.11.1 255.255.255.0
#
interface GigabitEthernet7/1/1
port access vlan 11
#
interface GigabitEthernet9/1/1
port access vlan 10
flow-template user-defined
#
interface GigabitEthernet9/1/2
port access vlan 10
flow-template user-defined
#
interface GigabitEthernet9/1/3
port access vlan 10
flow-template user-defined
#
interface GigabitEthernet9/1/4
port access vlan 10
flow-template user-defined
#
interface GigabitEthernet9/2/1
port access vlan 10
flow-template user-defined
#
interface GigabitEthernet9/2/2
port access vlan 10
flow-template user-defined
#
interface GigabitEthernet9/2/3
port access vlan 10
flow-template user-defined
#
interface GigabitEthernet9/2/4
port access vlan 10
flow-template user-defined
#
interface GigabitEthernet9/3/1
port access vlan 10
flow-template user-defined
二层访问控制列表配置案例
1. 组网需求
通过二层访问控制列表,实现在每天8:00 ~18:00 时间段内对源MAC 为
00e0-fc01-0101、目的MAC 为00e0-fc01-0303 的报文的过滤。(在交换机的Ethernet2/1/1 进行本项配置)
2. 配置步骤
(1) 定义时间段
# 定义8:00~18:00 时间段。
[Quidway] time-range huawei 8:00 to 18:00 daily
(2) 定义源MAC 为00e0-fc01-0101、目的MAC 为00e0-fc01-0303 的ACL
# 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。
[Quidway] acl name traffic-of-link link
# 定义源MAC 为00e0-fc01-0101 目的MAC 为00e0-fc01-0303 的流分类规则。[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei
[Quidway-acl-link-traffic-of-link] quit
(3) 在端口下应用用户自定义流模板,并激活ACL
# 在端口Ethernet2/1/1 下应用用户自定义流模板。
[Quidway] interface Ethernet2/1/1
[Quidway-Ethernet2/1/1] flow-template user-defined
用acl定义可以访问(或禁止)的端口号
下面是某病毒访问列表的acl:
acl number 3000
rule 0 deny tcp destination-port eq 1025 (禁止目的端口为1025的tcp报文)
rule 1 deny udp destination-port eq bootpc
rule 2 deny udp destination-port eq bootps
rule 3 deny tcp destination-port eq 1068
rule 4 deny tcp destination-port eq 593
rule 5 deny tcp destination-port eq 539
rule 6 deny udp destination-port eq 593
rule 7 deny udp destination-port eq 539
rule 8 deny tcp destination-port eq 3127
rule 9 deny tcp destination-port eq 3176
rule 10 deny tcp destination-port eq 31337
rule 11 deny tcp destination-port eq 135
rule 12 deny tcp destination-port eq 136
rule 13 deny tcp destination-port eq 137
rule 14 deny tcp destination-port eq 138
rule 15 deny tcp destination-port eq 139
rule 16 deny tcp destination-port eq 16660
rule 17 deny tcp destination-port eq 2222
rule 18 deny tcp destination-port eq 27665
rule 19 deny tcp destination-port eq 33270
rule 20 deny tcp destination-port eq 3332
rule 21 deny tcp destination-port eq 39168
rule 22 deny tcp destination-port eq 4444
rule 23 deny tcp destination-port eq 445
rule 24 deny tcp destination-port eq 455
rule 25 deny tcp destination-port eq 5554
rule 26 deny tcp destination-port eq 65000
rule 27 deny tcp destination-port eq 6669
rule 28 deny tcp destination-port eq 6711
rule 29 deny tcp destination-port eq 6712
rule 30 deny tcp destination-port eq 6776
rule 31 deny tcp destination-port eq 9969
rule 32 deny tcp destination-port eq 9996
rule 33 deny udp destination-port eq 135
rule 34 deny udp destination-port eq 136
rule 35 deny udp destination-port eq 1434
rule 36 deny udp destination-port eq 2427
rule 37 deny udp destination-port eq 2727
rule 38 deny udp destination-port eq 27444
rule 39 deny udp destination-port eq 31335
rule 40 deny udp destination-port eq 4444
rule 41 deny udp destination-port eq 445
rule 42 deny udp destination-port eq netbios-dgm
rule 43 deny udp destination-port eq netbios-ns
rule 44 deny udp destination-port eq netbios-ssn
rule 45 deny udp destination-port eq tftp
rule permit ip
可以将上面的病毒访问列表在8500的上行口发布
[Quidway- GigabitEthernet 0/0/1]packet-filter inbound ip-group 3000(inbound方向)
[Quidway- GigabitEthernet 0/0/1]packet-filter outbound ip-group 3000(outbound方向)扩展访问控制列表是一种高级的ACL,配置命令的具体格式如下:
access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]
访问控制列表(ACL)总结
访问控制列表(ACL)总结 一、什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 二、访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 三、标准访问列表 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL 标准访问控制列表的格式: 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99 来创建相应的ACL。 它的具体格式如下:access-list ACL号permit|deny host ip地址 例:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。 当然我们也可以用网段来表示,对某个网段进行过滤。命令如下:access-list 10 deny 192.168.1.0 0.0.0.255 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。 注:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host命令。 标准访问控制列表实例一:
ACL访问控制列表配置案例
访问控制列表练习----扩展访问控制列表 R1#configure R1(config)#intloo 1 R1(config-if)#ip add 1.1.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)# intfa 0/0 R1(config-if)#ip add 12.12.12.1 255.0.0.0 R1(config-if)#no shutdown R1(config-if)#do show ipint b R1(config-if)# R1(config)#ip route 23.0.0.0 255.0.0.0 fa0/0 R1(config)#ip route 3.3.3.0 255.255.255.0 fa0/0 R1(config)#ip route 100.100.100.0 255.255.255.0 fa0/0 R1(config)#exit R1#show ip route
R2#configure R2(config)#intfa 0/0 R2(config-if)#ip add 12.12.12.2 255.0.0.0 R2(config-if)#no shutdown R2(config-if)# intfa 0/1 R2(config-if)#ip add 23.23.23.1 255.0.0.0 R2(config-if)#no shutdown R2(config-if)#do show ipint b R2(config-if)# R2(config)#ip route 1.1.1.0 255.255.255.0 fa0/0 R2(config)#ip route 3.3.3.0 255.255.255.0 fa0/1 R2(config)#ip route 100.100.100.0 255.255.255.0 fa0/1 R2(config)#exit
访问控制列表原理及配置技巧(acl)
1、访问控制列表的作用。 作用就是过滤实现安全性具网络可有管理性 一、过滤,经过路由器的数据包 二、控制增长的网络IP数据 2、访问控制列表的分类及其特性。 一、标准列表 只基于ip协议来工作,只能针对数据包种的源地址来做审核,由于无法确定具体的目的,所以在使用的过程中,应靠近目的地址,接口应为距目的地址最近的接口,方向为out。 访问控制别表具有方向性,是以路由器做参照物,来定义out或者in out:是在路由器处理完以后,才匹配的条目 in:一进入路由器就匹配,匹配后在路由。 编号范围为:1-99 二、扩展列表 可以很据数据包中的源ip地址和目的ip地址及相应的应用协议来工作,在工作的过程中常用在距源或组源最近的路由器上, 接口为距源最近的接口,方向为in,可以审核三层和四层的信息。 编号范围:100-199 如何判断应使用哪种类型的访问控制列表 标准:针对目的,允许或拒绝特定的源时,使用标准的(当目的唯一,具有多个源访问时。) 扩展:针对源地址,允许或拒绝源去往特定的目的。或者在涉及四层信息的审核时通常都会采用扩展列表。(当源确定下来,具有单个源可有多个目的地址时。) 编号的作用: a,标识表的类型 b,列表的名字 1.访问列表最后一条都隐含拒绝所有,使用拒绝列表时,必须有条允许语句。 2.访问列表按顺序自上而下逐条匹配,当匹配后立即执行,不会继续匹配。
3.具有严格限制的条目应该放在列表前。 4.删除列表不能有选择删除,若no access-list X 的一个条目,则这个列表被删除。 5.当别表没有被应用时,则是个无效的别表,不会影响到数据的审核. 6.在书写列表的过程中,应先编辑列表,再应用到相应的接口或者策略上. 7.当列表过滤掉一个数据包时,会返回给源一个不可达的icmp包,然后丢掉或过滤掉包 8.访问列表在应用中,标准的应靠近目的,而扩展则靠近源或组源。 9.当路由器调用了一个没有条目的列表,则执行列表隐含条目,deny any (拒绝所有) 10.在某个接口,某个方向上只能调用一个列表。 11.访问控制列表不能过滤自身产生的数据。 书写列表的步骤: 1.选择要应用的列表类型 2.选择要书写的路由器并书写列表 3.选择路由器的接口来调用列表实现过滤 4.选择应用列表的方向 标准访问控制列表的配置 1.回顾标准列表的特性 2.标准列表的配置语法(通配符) 配置的过程中,熟记配置规则 1.标准列表:只基于ip协议工作,控制数据包的源地址 应用过程中:距目的地址近的路由器和接口 2.配置列表的步骤 1)选择列表的类型 2)选择路由器(是要在哪个上路由器上配置列表) 3.)选择要应用的接口(在哪个接口上调用) 4)判断列表的方向性(in和out:相对路由器) 3.标准列表的配置语法 1)在全局模式下,书写规则 access-list 列表编号permit/deny 源网络地址源地址的通配符 列表的编号:1-99 和1300 - 1999 通配符:零所对应的位即为精确匹配位。通常所讲的反子掩码 255.255.255.0 == 通配符=0.0.0.255 255.255.255.255 - 正掩码 ——————————— 反子网掩码 2)调用列表
ACL配置命令
ACL配置命令 12.2.2.1 access-list(extended) 命令:access-list [num] {deny | permit} icmp {{[sipaddr] [smask]} | any-source | {host-s ource [sipaddr]}} {{[dipaddr] [dmask]} | any-destination | {host-destination [dipaddr]}} [[i cmp-type] [[icmp-code]]] [precedence [prec]] [tos [tos]] access-list [num] {deny | permit} igmp {{[sipaddr] [smask]} | any-source | {host-source [sipaddr]}} {{[dipaddr] [dmask]} | any-destination | {host-destination [dipaddr]}} [[igmp-ty pe]] [precedence [prec]] [tos [tos]] access-list [num] {deny | permit} tcp {{[sipaddr] [smask]} | any-source | {host-source [sipaddr]}} [sport [sport]] {{[dipaddr] [dmask]} | any-destination | {host-destination [dipa ddr]}} [dport [dport]] [ack | fin | psh | rst | syn | urg] [precedence [prec]] [tos [tos]] access-list [num] {deny | permit} udp {{[sipaddr] [smask]} | any-source | {host-source [sipaddr]}} [sport [sport]] {{[dipaddr] [dmask]} | any-destination | {host-destination [dipa ddr]}} [dport [dport]] [precedence [prec]] [tos [tos]] access-list [num] {deny | permit} {eigrp | gre | igrp | ipinip | ip | [int]} {{[sipaddr] [smask]} | any-source | {host-source [sipaddr]}} {{[dipaddr] [dmask]} | any-destination | {host-destination [dipaddr]}} [precedence [prec]] [tos [tos]] no access-list [num] 功能:创建一条匹配特定ip协议或所有ip协议的数字扩展ip访问规则;如果此编号数字扩展访问列表不存在,则创建此访问列表。 参数: [num]为访问表标号,100-199;[sipaddr]为源ip地址,格式为点分十进制;[smask ]为源i p的反掩码,格式为点分十进制;[dipaddr]为目的ip地址,格式为点分十进制;[dmask]为目的ip的反掩码,格式为点分十进制,关心的位置0,忽略的位置1;[igmp-type],igmp的类型;[icmp-type],icm p的类型;[icmp-code],icmp的协议编号;[prec],ip优先级,0-7;[tos],tos值,0-15;[sport],源端口号,0-65535;[dport],目的端口号,0-65535; 命令模式:全局配置模式 缺省情况:没有配置任何的访问列表。 使用指南:当用户第一次指定特定[num]时,创建此编号的acl,之后在此acl中添加表项。 举例:创建编号为110的数字扩展访问列表。拒绝icmp报文通过,允许目的地址为192.168.0.1目的端口为32的udp包通过。
ACL配置规范
ACL配置规范: ACL分类: 第一类是:基本ACL 1.标准ACL的编号范围:1-99和1300-1999; 2.标准ACL只匹配源ip地址 3.ACL的匹配顺序为从上往下(ACE序号从小到大)匹配ACE条目,若匹配对应的ACE条目后,就执行该ACE条目的行为(允许/拒绝),不会再往下匹配其他ACE条目。 4.ACL最后隐含一体deny any的ACE条目,会拒绝所有流量。若是禁止某网段访问,其他网段均放通,则应该在拒绝流量的ACE配置完成后,再加一条permit any的ACE条目,用来放行其他流量。 第二类是:扩展ACL 1.扩展ACL的编号范围:100-199和2000-2699。 2.标准ACL只匹配源ip地址,扩展ACL可以匹配数据流的五大元素(源ip地址、目的ip地址、源端口、目的端口、协议号) 3.ACL的匹配顺序为从上往下(ACE序号从小到大)匹配ACE条目,若匹配对应的ACE条目后,就执行该ACE条目的行为(允许/拒绝),不会再往下匹配其他ACE条目。 4.ACL最后隐含一体deny any的ACE条目,会拒绝所有流量。若是禁止某网段访问,其他网段均放通,则应该在拒绝流量的ACE配置完成后,再加一条permit any的ACE条目,用来放行其他流量。 ACL规划: 标准ACL总体规划如下: ACL范围编号用户备注 2000-2099 业务设备访问控制通用ACL 2100-2199 数据存储访问控制通用ACL 2200-2299 测试用户访问控制通用ACL 2300-2399 管理用户访问控制通用ACL 2400-2500 预留
注释:通用ACL即是一类用户的接口都调用的ACL. 扩展ACL总体规划如下: ACL范围编号用户备注 2000-2099 业务设备访问控制通用ACL 2100-2199 数据存储访问控制通用ACL 2200-2299 测试用户访问控制通用ACL 2300-2399 管理用户访问控制通用ACL 2400-2500 预留 ACL规范: ACL命名规范: 为了便于ACL的管理和检索,新增ACL命名规范需要统一制定规范,命名规范如下: 公式:XXX_YY_Z 各字段含义如下: ?XXX:所属部门名称单字的首拼音大写,如委办局则为WBJ; ?YY:区分不同的部门,如果为VLAN_10使用,则XX字段为10。 ?Z:在默认情况下是数字0,如果遇到XXX_XX都一致时,X就从1往上加。 ACL描述规范: 为了便于查看ACL的用途,需要增加ACL描述,描述规范如下: 公式:XXX_YYYYY ?XXX:所属部门名称首字的首拼音大写 ?YYYYY:所实现的功能,最多20个字符 举例说明:委办局的不能访问管理平台的ACL,则描述为 WBJ_JinZhiFangWenGuanLiPingTai ACL配置规范: 为配置ACL形成统一规范,便于管理,制定规范如下: ?启用ACL时,必须按照规划的ACL,编写Number、Name和description;
ACL配置命令总结
ACL配置命令总结 A.标准ACL 1.access-list access-list-number {deny|permit} {source[source-wildcard] | any} [log] 创建ACL 2.ip access-group access-list-number in/out 在接口应用ACL 3.no access-list access-list-number 删除acl 4.no ip access-group access-list-number in/out 取消在接口应用ACL 5.[no] ip access-list standarded 名字 [no] Deny …… Permit ….. 创建/删除命名的acl Ip access-group 名字in/out 6.show access-lists 查看acl 7.no number 删除行 B.扩展ACL 1.扩展的编辑功能: 例子:ip access-list extended 100 15 permit ……. 插入编号15 2.Ip access-list resequence access-list-number start increase重新编号,有开始编号以及步长值
3.Established使用:只允许带有established的TCP包进入同理有:access-list 100 permit icmp any any echo-replay 即是单向ping有效 4.使用acl限制远程登录 Access-list 1 permit ip地址 Line vty 0 4 Access-class 1 in C.反射ACL 1.ip access-list extended out-acl Permit ip any any reflect out-ip 创建反射 Exit Ip access-list extended in-acl Evaluate out-ip 评估反射列表 Int s0/0/1 Ip access-group out-acl out 外出时叫做反射 Ip access-group in-acl in 进入时叫做评估
华为交换机ACL控制列表设置
华为交换机ACL控制列表设置
交换机配置(三)ACL基本配置 1,二层ACL . 组网需求: 通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。 .配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL # 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。 [Quidway] acl name traffic-of-link link # 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。 [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress
00e0-fc01-0303 0-0-0 time-range huawei (3)激活ACL。 # 将traffic-of-link的ACL激活。[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link 2 三层ACL a)基本访问控制列表配置案例 . 组网需求: 通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源IP为10.1.1.1的ACL # 进入基于名字的基本访问控制列表视图,命名为traffic-of-host。 [Quidway] acl name traffic-of-host basic # 定义源IP为10.1.1.1的访问规则。[Quidway-acl-basic-traffic-of-host] rule 1 deny
配置实现访问控制列表ACL
石河子大学信息科学与技术学院 网络工程实验报告 课题名称:配置实现访问控制列表ACL 学生姓名: 学号: 学院:信息科学与技术学院专业年级: 指导教师: 完成日期:2014年4月25日
一、实验目的 1、熟练掌握2种访问控制列表的配置实现技术,特别掌握扩展ACL的配置方法。 2、掌握使用show access-list,show access-lists和show ip interface [接口名]等命令对路由器ACL列表是否创建及其内容的各种查看和跟踪方法。 3、能按要求利用Cisco Packet Tracer V5.00 模拟配置工具绘制出本实验的 网络拓扑图,并能实现拓扑的物理连接 4、熟悉2种ACL的配置方法及基本操作步骤,掌握在存根网络中利用ACL将路由器配置为包过滤防火墙的方法 二、实验环境 PC机一台,并安装PACKET TRACER 5.0或以上版本 三、实验步骤 1、本实验的拓扑,如图所示:
2,PC0~PC2,server0,server1的IP配置: Step2:配置PC0的IP、子网掩码、默认网关、DNS 4项基本参数;(PC0: 1.1.1.100 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200) Step3:配置PC1的IP、子网掩码、默认网关、DNS 4项基本参数;(PC1: 1.1.1.200 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200) Step4:配置PC2的IP、子网掩码、默认网关、DNS 4项基本参数;(PC2: 2.2.2.100 255.255.255.0 GW: 2.2.2.1 DNS: 2.2.2.200) Step5:配置Server-PT Server0的IP、子网掩码、默认网关3项基本参数;(Server0: 2.2.2.200 255.255.255.0 GW: 2.2.2.1) Step6:配置Server-PT Server1的IP、子网掩码、默认网关3项基本参数;(Server0: 4.4.4.100 255.255.255.0 GW: 4.4.4.1)
acl配置实验
ACL配置实验 一、实验目的: 深入理解包过滤防火墙的工作原理 二、实验容: 练习使用Packet Tracer模拟软件配置ACL 三、实验要求 A.拓扑结构如下图所示,1,2,3是主机,4是服务器 1、配置主机,服务器与路由器的IP地址,使网络联通; 2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL; 3、配置扩展ACL,使得主机1可以访问主机4的www服务,主机2不能访问主机4的www服务,4个主机间相互能够ping通。使该配置生效,然后再删除该条ACL; B.拓扑结构如下图所示(要求:跟拓扑上的ip地址配置不同)
1、配置ACL 限制远程登录(telnet)到路由器的主机。 路由器R0只允许192.168.2.2 远程登录(telnet)。 2、配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。 3、配置ACL 禁止特点的协议端口通讯。 禁止192.168.2.2 使用www (80)端口访问192.168.1.0 禁止192.168.2.3 使用dns (53)端口访问192.168.1.0 3、验证ACL 规则,检验并查看ACL。 四、实验步骤 1、配置主机,服务器与路由器的IP地址,使网络联通;
PC0 ping PC2
PC1 ping 服务器 服务器ping PC0
2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL;
Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 1 deny 192.168.1.2 Router(config)#access-list 1 permit any Router(config)#int f 0/1 Router(config-if)#ip access-group 1 out Router(config-if)#exit Router(config)#exit pc1 ping pc2和服务器
ACL访问控制列表配置
ACL的使用 ACL的处理过程: 1.它是判断语句,只有两种结果,要么是拒绝(deny),要么是允许(permit) 2.语句顺序 按照由上而下的顺序处理列表中的语句 3. 语句排序 处理时,不匹配规则就一直向下查找,一旦某条语句匹配,后续语句不再处理。 4.隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包,在控制列表的末尾有一条默认拒绝所有的语句,是隐藏的(deny) 要点: 1.ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。 2.如果在语句结尾增加deny any的话可以看到拒绝记录 3.Cisco ACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。 示例: 编号方式 标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号,扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。) 允许172.17.31.222通过,其他主机禁止 Cisco-3750(config)#access-list 1(策略编号)(1-99、1300-1999)permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254(反码255.255.255.255减去子网掩码,如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255) 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。) 允许172.17.31.222访问任何主机80端口,其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222(源)any(目标)eq www
H3C交换机典型(ACL)访问控制列表配置实例
H3C交换机典型(ACL)访问控制列表配置实例 一、组网需求: 2.要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限制研发部门在上班时间8:00至18:00访问工资查询服务器; 三、配置步骤: H3C 3600 5600 5100系列交换机典型访问控制列表配置 共用配置 1.根据组网图,创建四个vlan,对应加入各个端口
需求1配置(基本ACL配置) 1.进入2000号的基本访问控制列表视图 [H3C-GigabitEthernet1/0/1] acl number 2000 3.在接口上应用2000号ACL 需求2 1.进入 [H3C] 2 3 4 [H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000 需求3配置(二层ACL配置) 1.进入4000号的二层访问控制列表视图 [H3C] acl number 4000 2.定义访问规则过滤源MAC为00e0-fc01-0101的报文 [H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei
ACL详解
A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网,并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司内部使用了VLAN技术,按照功能的不同分为了6个VLAN。分别是网络设备与网管(VLAN1,10.1.1.0/24)、内部服务器(VLAN2)、Internet 连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司内部网,通过s0/0连接到Internet。每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。该网络的拓朴如下图所示: 自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管,搞得他头都大了。那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术――访问控制列表(下文简称ACL)。 那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢? ACL的基本原理、功能与局限性 网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。 基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。 配置ACL的基本原则:在实施ACL的过程中,应当遵循如下两个基本原则: 最小特权原则:只给受控对象完成任务所必须的最小的权限 最靠近受控对象原则:所有的网络层访问权限控制 局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应
详解cisco访问控制列表ACL
详解cisco访问控制列表ACL 一:访问控制列表概述 〃访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以通过,哪些数据包需要拒绝。 〃工作原理:它读取第三及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等。根据预先设定好的规则对包进行过滤,从而达到访问控制的目的。 〃实际应用:阻止某个网段访问服务器。 阻止A网段访问B网段,但B网段可以访问A网段。 禁止某些端口进入网络,可达到安全性。 二:标准ACL 〃标准访问控制列表只检查被路由器路由的数据包的源地址。若使用标准访问控制列表禁用某网段,则该网段下所有主机以及所有协议都被禁止。如禁止了A网段,则A网段下所有的主机都不能访问服务器,而B网段下的主机却可以。 用1----99之间数字作为表号 一般用于局域网,所以最好把标准ACL应用在离目的地址最近的地方。 〃标准ACL的配置: router(config)#access-list表号 deny(禁止)网段/IP地址反掩码 ********禁止某各网段或某个IP router(config)#access-list表号 permit(允许) any 注:默认情况下所有的网络被设置为禁止,所以应该放行其他的网段。 router(config)#interface 接口 ******进入想要应用此ACL的接口(因为访问控制列表只能应用在接口模式下)
router(config-if)#ip access-group表号 out/in ***** 设置在此接口下为OUT或为IN 其中router(config)#access-list 10 deny 192.168.0.1 0.0.0.0 = router(config)#access-list 10 deny host 192.168.0.1 router(config)#access-list 10 deny 0.0.0.0 255.255.255.255 = router(config)#access-list 10 deny any router#show access-lists ******查看访问控制列表。 〃标准访问控制列表的工作原理。 (每当数据进入路由器的每口接口下,都会进行以下进程。) 注:当配置访问控制列表时,顺序很重要。要确保按照从具体到普遍的次序来排列条目。
ACL访问控制列表
ACL访问控制列表 Acl通常有两种,一种为标准的,一种有扩展的。 H3C标准ACL的序号为2000-2999 扩展的ACL序号为3000-3999 [RT1]firewall enable --开启防火墙功能 [RT1]acl num 2000 --写标准的ACL。(2000-2999) [RT1-acl-basic-2000]rule 0 deny source 1.1.1.0 0.0.0.255 --匹配源地址 [RT1-GigabitEthernet0/0/0]firewall packet-filter 2000 inbound --在入接口调用 [RT2]ip route-static 0.0.0.0 0.0.0.0 12.1.1.1 --加个默认路由,保证包能回来。 接下来我们更改ACL的写法,达到同样的目的! 首先将firewall默认的最后一条语句改为deny. [RT1]firewall default deny [RT1]acl num 2000 [RT1-acl-basic-2000]rule permit source 2.2.2.10 0 [RT1-acl-basic-2000]int g0/0/2 [RT1-GigabitEthernet0/0/2]firewall packet-filter 2000 outbound 因为acl的匹配原则为从上到下依次匹配,匹配到了就执行选项,deny或者是permit。在ACL,最后有一条隐含的语句。默认是permit any。可以更改!
下面写ACL,要求达到PC2可以Ping通R2。但是R2不能Ping通PC2。这个就需要运行扩展的ACL。 [RT1]acl number 3000 [RT1-acl-adv-3000]rule 0 deny icmp icmp-type echo source 12.1.1.2 0 destination 2.2.2.10 0 [RT1-acl-adv-3000]int g0/0/2 [RT1-GigabitEthernet0/0/2]firewall packet-filter 3000 inbound 验证一下实验结果; 要求,R1可以telnet到R3上,但是R1不能够Ping通R3。 R2: [RT2]firewall enable [RT2]acl num 3000 [RT2-acl-adv-3000]rule 0 permit tcp source 12.1.1.1 0 destination 23.2.2.3 0 destination-port eq 23 [RT2-acl-adv-3000]rule 5 deny icmp source 12.1.1.1 0 destination 23.2.2.3 0 [RT2-acl-adv-3000]int g0/0/1 [RT2-GigabitEthernet0/0/1]firewall packet-filter 3000 outbound 接下来在R3上开启telnet服务 [RT3]telnet server enable % Start Telnet server [RT3]user-interface vty 0 3 [RT3-ui-vty0-3]authentication-mode none [RT3-ui-vty0-3]quit
Cisco_ACL配置
1 / 9ACL的使用 ACL的处理过程: 1、语句排序 一旦某条语句匹配,后续语句不再处理。 2、隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包 要点: ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。 如果在语句结尾增加deny any的话可以看到拒绝记录 Cisco ACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。 示例: 编号方式 标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号,扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。) 允许172.17.31.222通过,其他主机禁止 Cisco-3750(config)#access-list 1(策略编号)(1-99、1300-1999)permit host 172.17.31.222禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254(反码255.255.255.255减去子网掩码,如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255) 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。) 允许172.17.31.222访问任何主机80端口,其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222(源)any(目标)eq www 允许所有主机访问172.17.31.222主机telnet(23)端口其他禁止 Cisco-3750(config)#access-list 100(100-199、2000-2699)permit tcp any host 172.17.31.222 eq 远程配置业务与方案承接 【价格实惠 帮您解决工作上的问题】 https://www.wendangku.net/doc/fb15128127.html,/UL4GXf
Cisco访问控制列表
C i s c o访问控制列表 内部编号:(YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128)
cisco路由器配置ACL详解 如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。 如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。 实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。 什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
2、最靠近受控对象原则 所有的层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。 3、默认丢弃原则 在路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 分类: 标准访问控制列表 扩展访问控制列表 基于名称的访问控制列表 反向访问控制列表 基于时间的访问控制列表 标准访问列表: 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL