01-ACL配置
本章节下载 (290.58 KB)
ACL(Access Control List,访问控制列表)是一或多条规则的集合,用于识别报文流。这里的规则是指描述报文匹配条件的判断语句,匹配条件可以是报文的源地址、目的地址、端口号等。网络设备依照这些规则识别出特定的报文,并根据预先设定的策略对其进行处理。
ACL可应用在诸如路由、安全、QoS等业务中,有关ACL在这些业务中的具体应用方式,请参见相关的配置指导。
ACL本身只能识别报文,而无法对识别出的报文进行处理,对这些报文的具体处理方法由引用ACL的功能模块来决定。
用户在创建ACL时必须为其指定编号,不同的编号对应不同类型的ACL,如表1-1所示;同时,为了便于记忆和识别,用户在创建ACL时还可选择是否为其设置名称。ACL一旦创建,便不允许用户再为其设置名称、修改或删除其原有名称。
当ACL创建完成后,用户就可以通过指定编号或名称的方式来指定该ACL,以便对其进行操作。
· WLAN ACL和简单ACL都不支持设置名称。
· IPv4基本ACL和IPv4高级ACL的编号和名称只在IPv4中唯一;IPv6基本ACL和IPv6高级ACL的编号和名称也只在IPv6中唯一。
根据功能以及规则制订依据的不同,可以将ACL分为六种类型,如表1-1所示。
表1-1 ACL的分类
ACL类型 |
编号范围 |
适用的IP版本 |
规则制订依据 |
WLAN ACL |
100~199 |
IPv4和IPv6 |
无线客户端的SSID(Service Set Identifier,服务集标识符) |
基本ACL |
2000~2999 |
IPv4 |
报文的源IP地址 |
IPv6 |
报文的源IPv6地址 |
||
高级ACL |
3000~3999 |
IPv4 |
报文的源IP地址、目的IP地址、报文优先级、IP承载的协议类及特性等三、四层信息 |
IPv6 |
报文的源IPv6地址、目的IPv6地址、报文优先级、IPv6承载的协议类型及特性等三、四层信息 |
||
二层ACL |
4000~4999 |
IPv4和IPv6 |
报文的源MAC地址、目的MAC地址、802.1p优先级、链路层协议类型等二层信息 |
用户自定义ACL |
5000~5999 |
IPv4和IPv6 |
以报文头为基准,指定从报文的第几个字节开始与掩码进行“与”操作,并将从提取出的字符串与用户定义的字符串进行比较,从而找出相匹配的报文 |
简单ACL |
10000~42767 |
IPv6 |
报文的源IPv6地址、目的IPv6地址、IPv6地址组合标记、报文优先级、IPv6承载的协议类型及特性等三、四层信息 |
MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:
特性 |
描述 |
|
MSR800 |
WLAN ACL |
不支持 |
MSR 900 |
支持 |
|
MSR900-E |
不支持 |
|
MSR 930 |
不支持 |
|
MSR 20-1X |
支持 |
|
MSR 20 |
支持 |
|
MSR 30 |
支持 |
|
MSR 50 |
支持(MPU-G2不支持) |
|
MSR 2600 |
支持 |
|
MSR3600-51F |
支持 |
当一个ACL中包含多条规则时,报文会按照一定的顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。ACL的规则匹配顺序有以下两种:
· 配置顺序:按照规则编号由小到大进行匹配。
· 自动排序:按照“深度优先”原则由深到浅进行匹配,各类型ACL的“深度优先”排序法则如表1-2所示。
WLAN ACL和用户自定义ACL的规则只能按照配置顺序进行匹配;简单ACL由于只能包含一条规则,因此不存在匹配顺序的问题;其它类型的ACL则可选择按照配置顺序或自动顺序进行匹配。
表1-2 各类型ACL的“深度优先”排序法则
ACL类型 |
“深度优先”排序法则 |
IPv4基本ACL |
1. 先判断规则的匹配条件中是否包含VPN实例,包含者优先 2. 如果VPN实例的包含情况相同,再比较源IPv4地址范围,较小者优先 3. 如果源IP地址范围也相同,再比较配置的先后次序,先配置者优先 |
IPv4高级ACL |
(1) 先判断规则的匹配条件中是否包含VPN实例,包含者优先 4. 如果VPN实例的包含情况相同,再比较协议范围,指定有IPv4承载的协议类型者优先 5. 如果协议范围也相同,再比较源IPv4地址范围,较小者优先 6. 如果源IPv4地址范围也相同,再比较目的IPv4地址范围,较小者优先 7. 如果目的IPv4地址范围也相同,再比较四层端口(即TCP/UDP端口)号范围,较小者优先 8. 如果四层端口号的覆盖范围无法比较,再比较配置的先后次序,先配置者优先 |
IPv6基本ACL |
(1) 先判断规则的匹配条件中是否包含VPN实例,包含者优先 9. 如果VPN实例的包含情况相同,再比较源IPv6地址范围,较小者优先 10. 如果源IPv6地址范围也相同,再比较配置的先后次序,先配置者优先 |
IPv6高级ACL |
(1) 先判断规则的匹配条件中是否包含VPN实例,包含者优先 (2) 如果VPN实例的包含情况相同,再比较协议范围,指定有IPv6承载的协议类型者优先 11. 如果协议范围相同,再比较源IPv6地址范围,较小者优先 12. 如果源IPv6地址范围也相同,再比较目的IPv6地址范围,较小者优先 13. 如果目的IPv6地址范围也相同,再比较四层端口(即TCP/UDP端口)号的覆盖范围,较小者优先 14. 如果四层端口号的覆盖范围无法比较,再比较配置的先后次序,先配置者优先 |
二层ACL |
(1) 先比较源MAC地址范围,较小者优先 15. 如果源MAC地址范围相同,再比较目的MAC地址范围,较小者优先 16. 如果目的MAC地址范围也相同,再比较配置的先后次序,先配置者优先 |
· 比较IPv4地址范围的大小,就是比较IPv4地址通配符掩码中“0”位的多少:“0”位越多,范围越小。通配符掩码(又称反向掩码)以点分十进制表示,并以二进制的“0”表示“匹配”,“1”表示“不关心”,这与子网掩码恰好相反,譬如子网掩码255.255.255.0对应的通配符掩码就是0.0.0.255。此外,通配符掩码中的“0”或“1”可以是不连续的,这样可以更加灵活地进行匹配,譬如0.255.0.255就是一个合法的通配符掩码。
· 比较IPv6地址范围的大小,就是比较IPv6地址前缀的长短:前缀越长,范围越小。
· 比较MAC地址范围的大小,就是比较MAC地址掩码中“1”位的多少:“1”位越多,范围越小。
在一个ACL中用户可以创建多条规则,为了方便标识这些规则的用途,用户可以为单条规则添加描述信息,也可以在各条规则之间插入注释信息来对前一段或后一段规则进行统一描述。
规则描述信息主要用于对单条规则进行单独标识。当需要对各条规则进行不同的标识或对某条规则进行特别标识时,适用此方式。
规则注释信息主要用于对一段规则进行统一标识。当需要对一段规则进行相同的标识时,如果采用对每条规则都添加相同描述信息的方式,需要进行大量配置,效率会非常低下。在这种情况下,可以在这段规则的前、后插入注释信息的方式来提高标识效率,即:在这段规则的首条规则之前以及末条规则之后分别插入一条注释信息,通过首、尾这两条注释信息就可以标识整段规则的用途。
ACL中的每条规则都有自己的编号,这个编号在该ACL中是唯一的。在创建规则时,可以手工为其指定一个编号,如未手工指定编号,则可以由系统为其自动分配一个编号。由于规则的编号可能影响规则匹配的顺序,因此当由系统自动分配编号时,为了方便后续在已有规则之前插入新的规则,系统通常会在相邻编号之间留下一定的空间,这个空间的大小(即相邻编号之间的差值)就称为ACL的步长。譬如,当步长为5时,系统会将编号0、5、10、15……依次分配给新创建的规则。
系统为规则自动分配编号的方式如下:系统从0开始,按照步长自动分配一个大于现有最大编号的最小编号。譬如原有编号为0、5、9、10和12的五条规则,步长为5,此时如果创建一条规则且不指定编号,那么系统将自动为其分配编号15。
如果步长发生了改变,ACL内原有全部规则的编号都将自动从0开始按新步长重新排列。譬如,某ACL内原有编号为0、5、9、10和15的五条规则,当修改步长为2之后,这些规则的编号将依次变为0、2、4、6和8。
传统的报文过滤并不处理所有的分片报文,只对分片报文的首个分片进行匹配处理,而对后续分片一律放行。这样,网络攻击者可以构造后续的分片报文进行流量攻击,从而带来了安全隐患。为提高网络安全性,ACL规则缺省会匹配所有报文(包括非分片报文和分片报文的每个分片)。同时,为了提高匹配效率,用户也可以对此匹配策略进行修改,譬如可指定规则仅对分片报文的非首个分片有效等。
表1-3 ACL配置任务简介
配置任务 |
说明 |
详细配置 |
|
配置ACL的生效时间段 |
可选 本配置任务适用于IPv4和IPv6 |
||
配置WLAN ACL |
六者至少选其一 |
本配置任务适用于IPv4和IPv6 |
|
配置基本ACL |
本配置任务适用于IPv4和IPv6 |
||
配置高级ACL |
本配置任务适用于IPv4和IPv6 |
||
配置二层ACL |
本配置任务适用于IPv4和IPv6 |
||
配置用户自定义ACL |
本配置任务适用于IPv4和IPv6 |
||
配置简单ACL |
本配置任务只适用于IPv6 |
||
复制ACL |
可选 本配置任务适用于IPv4和IPv6 |
时间段定义了一个时间范围。当一个ACL规则只需在某个特定的时间范围内生效时,可以配置好这个时间段,然后再配置该ACL规则时引用该时间段,这样该ACL规则就只能在该时间段定义的时间范围内生效。时间段可分为以下两种类型:
· 周期时间段:表示以一周为周期(如每周一的8至12点)循环生效的时间段。
· 绝对时间段:表示在指定时间范围内(如2011年1月1日8点至2011年1月3日18点)生效的时间段。
每个时间段都以一个名称来标识,用户最多可创建256个不同名称的时间段。一个时间段内可包含一或多个周期时间段(最多32个)和绝对时间段(最多12个),当包含有多个周期时间段和绝对时间段时:系统将先分别取各周期时间段的并集和各绝对时间段的并集,再取这两个并集的交集作为该时间段最终生效的时间范围。
表1-4 配置ACL的生效时间段
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建时间段 |
time-range time-range-name { start-time to end-time days [ from time1 date1 ] [ to time2 date2 ] | from time1 date1 [ to time2 date2 ] | to time2 date2 } |
必选 缺省情况下,不存在任何时间段 |
MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:
型号 |
特性 |
描述 |
MSR800 |
WLAN ACL |
不支持 |
MSR 900 |
支持 |
|
MSR900-E |
不支持 |
|
MSR 930 |
不支持 |
|
MSR 20-1X |
支持 |
|
MSR 20 |
支持 |
|
MSR 30 |
支持 |
|
MSR 50 |
支持(MPU-G2不支持) |
|
MSR 2600 |
支持 |
|
MSR3600-51F |
支持 |
WLAN ACL根据无线客户端的SSID来制定规则,对报文进行匹配。
表1-5 配置WLAN ACL
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建WLAN ACL,并进入WLAN ACL视图 |
acl number acl-number |
必选 缺省情况下,不存在任何ACL WLAN ACL的编号范围为100~199 |
配置ACL的描述信息 |
description text |
可选 缺省情况下,ACL没有任何描述信息 |
配置规则编号的步长 |
step step-value |
可选 缺省情况下,规则编号的步长为5 |
创建规则 |
rule [ rule-id ] { deny | permit } [ ssid ssid-name ] |
必选 缺省情况下,WLAN ACL内不存在任何规则 |
为指定规则配置描述信息 |
rule rule-id comment text |
可选 缺省情况下,规则没有任何描述信息 |
配置规则注释信息 |
rule [ rule-id ] remark text |
可选 缺省情况下,ACL内没有任何规则注释信息 |
IPv4基本ACL根据报文的源IP地址来制订规则,对IPv4报文进行匹配。
表1-6 配置IPv4基本ACL
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建IPv4基本ACL,并进入IPv4基本ACL视图 |
acl number acl-number [ name acl-name ] [ match-order { auto | config } ] |
必选 缺省情况下,不存在任何ACL IPv4基本ACL的编号范围为2000~2999 如果在创建IPv4基本ACL时为其指定了名称,则也可以使用acl name acl-name命令通过指定名称的方式进入其视图 |
配置ACL的描述信息 |
description text |
可选 缺省情况下,ACL没有任何描述信息 |
配置规则编号的步长 |
step step-value |
可选 缺省情况下,规则编号的步长为5 |
创建规则 |
rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { sour-addr sour-wildcard | any } | time-range time-range-name | vpn-instance vpn-instance-name ] * |
必选 缺省情况下,IPv4基本ACL内不存在任何规则 logging参数需要使用该ACL的模块支持日志记录功能才能生效 |
为指定规则配置描述信息 |
rule rule-id comment text |
可选 缺省情况下,规则没有任何描述信息 |
配置规则注释信息 |
rule [ rule-id ] remark text |
可选 缺省情况下,ACL内没有任何规则注释信息 |
IPv6基本ACL根据报文的源IPv6地址来制订规则,对IPv6报文进行匹配。
表1-7 配置IPv6基本ACL
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建IPv6基本ACL,并进入IPv6基本ACL视图 |
acl ipv6 number acl6-number [ name acl6-name ] [ match-order { auto | config } ] |
必选 缺省情况下,不存在任何ACL IPv6基本ACL的编号范围为2000~2999 如果在创建IPv6基本ACL时为其指定了名称,则也可以使用acl ipv6 name acl6-name命令通过指定名称的方式进入其视图 |
配置ACL的描述信息 |
description text |
可选 缺省情况下,ACL没有任何描述信息 |
配置规则编号的步长 |
step step-value |
可选 缺省情况下,规则编号的步长为5 |
创建规则 |
rule [ rule-id ] { deny | permit } [ counting | fragment | logging | routing [ type routing-type ] | source { ipv6-address prefix-length | ipv6-address/prefix-length | any } | time-range time-range-name | vpn-instance vpn-instance-name ] * |
必选 缺省情况下,IPv6基本ACL内不存在任何规则 logging参数需要使用该ACL的模块支持日志记录功能才能生效 |
为指定规则配置描述信息 |
rule rule-id comment text |
可选 缺省情况下,规则没有任何描述信息 |
配置规则注释信息 |
rule [ rule-id ] remark text |
可选 缺省情况下,ACL内没有任何规则注释信息 |
IPv4高级ACL可根据报文的源IP地址、目的IPv4地址、报文优先级、IP承载的协议类型及特性(如TCP/UDP的源端口和目的端口、TCP报文标识,ICMP协议的消息类型和消息码等)等信息来制定规则,对IPv4报文进行匹配。用户可利用IPv4高级ACL制订比IPv4基本ACL更准确、丰富、灵活的规则。
表1-8 配置IPv4高级ACL
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建IPv4高级ACL,并进入IPv4高级ACL视图 |
acl number acl-number [ name acl-name ] [ match-order { auto | config } ] |
必选 缺省情况下,不存在任何ACL IPv4高级ACL的编号范围为3000~3999 如果在创建IPv4高级ACL时为其指定了名称,则也可以使用acl name acl-name命令通过指定名称的方式进入其视图 |
配置ACL的描述信息 |
description text |
可选 缺省情况下,ACL没有任何描述信息 |
配置规则编号的步长 |
step step-value |
可选 缺省情况下,规则编号的步长为5 |
创建规则 |
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { dest-addr dest-wildcard | any } | destination-port operator port1 [ port2 ] | dscp dscp | fragment | icmp-type { icmp-type [ icmp-code ] | icmp-message } | logging | precedence precedence | source { sour-addr sour-wildcard | any } | source-port operator port1 [ port2 ] | time-range time-range-name | tos tos | vpn-instance vpn-instance-name ] * |
必选 缺省情况下,IPv4高级ACL内不存在任何规则 logging参数需要使用该ACL的模块支持日志记录功能才能生效 |
为指定规则配置描述信息 |
rule rule-id comment text |
可选 缺省情况下,规则没有任何描述信息 |
配置规则注释信息 |
rule [ rule-id ] remark text |
可选 缺省情况下,ACL内没有任何规则注释信息 |
IPv6高级ACL可根据报文的源IPv6地址、目的IPv6地址信息、报文优先级、IPv6承载的协议类型及特性(如TCP/UDP的源端口和目的端口、TCP报文标识、ICMPv6协议的消息类型和消息码等)等信息来制定规则,对IPv6报文进行匹配。用户可利用IPv6高级ACL制订比IPv6基本ACL更准确、丰富、灵活的规则。
表1-9 配置IPv6高级ACL
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建IPv6高级ACL,并进入IPv6高级ACL视图 |
acl ipv6 number acl6-number [ name acl6-name ] [ match-order { auto | config } ] |
必选 缺省情况下,不存在任何ACL IPv6高级ACL的编号范围3000~3999 如果在创建IPv6高级ACL时为其指定了名称,则也可以使用acl ipv6 name acl6-name命令通过指定名称的方式进入其视图 |
配置ACL的描述信息 |
description text |
可选 缺省情况下,ACL没有任何描述信息 |
配置规则编号的步长 |
step step-value |
可选 缺省情况下,规则编号的步长为5 |
创建规则 |
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { dest-address dest-prefix | dest-address/dest-prefix | any } | destination-port operator port1 [ port2 ] | dscp dscp | flow-label flow-label-value | fragment | icmp6-type { icmp6-type icmp6-code | icmp6-message } | logging | routing [ type routing-type ] | source { source-address source-prefix | source-address /source-prefix | any } | source-port operator port1 [ port2 ] | time-range time-range-name | vpn-instance vpn-instance-name ] * |
必选 缺省情况下,IPv6高级ACL内不存在任何规则 logging参数需要使用该ACL的模块支持日志记录功能才能生效 |
为指定规则配置描述信息 |
rule rule-id comment text |
可选 缺省情况下,规则没有任何描述信息 |
配置规则注释信息 |
rule [ rule-id ] remark text |
可选 缺省情况下,ACL内没有任何规则注释信息 |
二层ACL可根据报文的源MAC地址、目的MAC地址、802.1p优先级、链路层协议类型等二层信息来制订规则,对报文进行相应匹配。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建二层ACL,并进入二层ACL视图 |
acl number acl-number [ name acl-name ] [ match-order { auto | config } ] |
必选 缺省情况下,不存在任何ACL 二层ACL的编号范围为4000~4999 如果在创建二层ACL时为其指定了名称,则也可以使用acl name acl-name命令通过指定名称的方式进入其视图 |
配置ACL的描述信息 |
description text |
可选 缺省情况下,ACL没有任何描述信息 |
配置规则编号的步长 |
step step-value |
可选 缺省情况下,规则编号的步长为5 |
创建规则 |
rule [ rule-id ] { deny | permit } [ cos vlan-pri | counting | dest-mac dest-addr dest-mask | logging | { lsap lsap-type lsap-type-mask | type protocol-type protocol-type-mask } | source-mac sour-addr source-mask | time-range time-range-name ] * |
必选 缺省情况下,二层ACL内不存在任何规则 logging参数需要使用该ACL的模块支持日志记录功能才能生效 |
配置规则的描述信息 |
rule rule-id comment text |
可选 缺省情况下,规则没有任何描述信息 |
用户自定义ACL可以以报文头为基准,指定从报文的第几个字节开始与掩码进行“与”操作,并将提取出的字符串与用户定义的字符串进行比较,从而找出相匹配的报文。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建用户自定义ACL,并进入用户自定义ACL视图 |
acl number acl-number [ name acl-name ] |
必选 缺省情况下,不存在任何ACL 用户自定义ACL的编号范围为5000~5999 如果在创建用户自定义ACL时为其指定了名称,则也可以使用acl name acl-name命令通过指定名称的方式进入其视图 |
配置ACL的描述信息 |
description text |
可选 缺省情况下,ACL没有任何描述信息 |
创建规则 |
rule [ rule-id ] { deny | permit } [ { l2 rule-string rule-mask offset }&<1-8> ] [ counting | time-range time-range-name ] * |
必选 缺省情况下,用户自定义ACL内不存在任何规则 |
为指定规则配置描述信息 |
rule rule-id comment text |
可选 缺省情况下,规则没有任何描述信息 |
配置规则注释信息 |
rule [ rule-id ] remark text |
可选 缺省情况下,ACL内没有任何规则注释信息 |
简单ACL与IPv6高级ACL在规则内容方面有类似之处,包括可根据报文的源IPv6地址、目的IPv6地址、报文优先级、IPv6承载的协议类型及特性(如TCP/UDP的源端口和目的端口、TCP报文标识、ICMPv6协议的消息类型和消息码等)等信息来制定匹配规则。此外,简单ACL还可根据报文的IPv6地址组合标记来制订规则,并可在报文分片标志和TCP报文标识等方面制订更丰富的规则内容。
用户可通过复制一个已存在的ACL(即源ACL),来生成一个新的同类型ACL(即目的ACL)。除了ACL的编号和名称不同外,新生成的目的ACL的匹配顺序、规则匹配统计功能的使能情况、规则编号的步长、所包含的规则、规则的描述信息以及ACL的描述信息等都与源ACL的相同。
目的ACL要与源ACL的类型相同,且目的ACL必须不存在,否则将导致复制失败。
表1-13 复制WLAN ACL、IPv4基本ACL、IPv4高级ACL、二层ACL或用户自定义ACL
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
复制并生成新的WLAN ACL、IPv4基本ACL、IPv4高级ACL、二层ACL或用户自定义ACL |
acl copy { source-acl-number | name source-acl-name } to { dest-acl-number | name dest-acl-name } |
必选 |
表1-14 复制IPv6基本ACL或IPv6高级ACL
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
复制并生成新的IPv6基本ACL或IPv6高级ACL |
acl ipv6 copy { source-acl6-number | name source-acl6-name } to { dest-acl6-number | name dest-acl6-name } |
必选 |
在完成上述配置后,在任意视图下执行display命令可以显示ACL配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除ACL的统计信息。
表1-15 ACL显示和维护
配置 |
命令 |
显示指定或全部ACL(包括WLAN ACL、IPv4基本ACL、IPv4高级ACL、二层ACL和用户自定义ACL)的配置和运行情况 |
display acl { acl-number | all | name acl-name } [ | { begin | exclude | include } regular-expression ] |
显示指定或全部ACL(包括IPv6基本ACL、IPv6高级ACL和简单ACL)的配置和运行情况 |
display acl ipv6 { acl6-number | all | name acl6-name } [ | { begin | exclude | include } regular-expression ] |
显示时间段的配置和状态信息 |
display time-range { time-range-name | all } [ | { begin | exclude | include } regular-expression ] |
清除指定或全部ACL(包括WLAN ACL、IPv4基本ACL、IPv4高级ACL、二层ACL和用户自定义ACL)统计信息 |
reset acl counter { acl-number | all | name acl-name } |
清除指定或全部ACL(包括IPv6基本ACL和IPv6高级ACL)统计信息 |
reset acl ipv6 counter { acl6-number | all | name acl6-name } |
· 某公司内的各部门之间通过Device A实现互连,该公司的工作时间为每周工作日的8点到18点。
· 通过配置,允许总裁办在任意时间、财务部在工作时间访问财务数据库服务器;而禁止其它部门在任何时间、财务部在非工作时间访问该服务器。
图1-1 IPv4高级ACL配置组网图
# 创建名为work的时间段,其时间范围为每周工作日的8点到18点。
<DeviceA> system-view
[DeviceA] time-range work 8:0 to 18:0 working-day
# 创建IPv4高级ACL 3000,并制订如下规则:允许总裁办在任意时间、财务部在工作时间访问财务数据库服务器,禁止其它部门在任何时间、财务部在非工作时间访问该服务器。
[DeviceA] acl number 3000
[DeviceA-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.100 0
[DeviceA-acl-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.100 0 time-range work
[DeviceA-acl-adv-3000] rule deny ip source any destination 192.168.0.100 0
[DeviceA-acl-adv-3000] quit
# 使能IPv4防火墙功能,并使用IPv4 高级ACL 3000对接口Ethernet1/1出方向上的报文进行过滤。
[DeviceA] firewall enable
[DeviceA] interface ethernet 1/1
[DeviceA-Ethernet1/1] firewall packet-filter 3000 outbound
[DeviceA-Ethernet1/1] quit
配置完成后,在各部门的PC(假设均为Windows XP操作系统)上可以使用ping命令检验配置效果,在Device A上可以使用display acl命令查看ACL的配置和运行情况。例如在工作时间:
# 在财务部的PC上检查到财务数据库服务器是否可达。
C:\> ping 192.168.0.100
Pinging 192.168.0.100 with 32 bytes of data:
Reply from 192.168.0.100: bytes=32 time=1ms TTL=255
Reply from 192.168.0.100: bytes=32 time<1ms TTL=255
Reply from 192.168.0.100: bytes=32 time<1ms TTL=255
Reply from 192.168.0.100: bytes=32 time<1ms TTL=255
Ping statistics for 192.168.0.100:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 1ms, Average = 0ms
由此可见,财务部的PC能够在工作时间访问财务数据库服务器。
# 在市场部的PC上检查财务数据库服务器是否可达。
C:\> ping 192.168.0.100
Pinging 192.168.0.100 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.0.100:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
由此可见,市场部的PC不能在工作时间访问财务数据库服务器。
# 查看IPv4 高级ACL 3000的配置和运行情况。
[DeviceA] display acl 3000
Advanced ACL 3000, named -none-, 3 rules,
ACL's step is 5
rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.100 0
rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.100 0 time-range work (4 times matched) (Active)
rule 10 deny ip destination 192.168.0.100 0 (4 times matched)
由此可见,由于目前是工作时间,因此规则5是生效的;且由于之前使用了ping命令的缘故,规则5和规则10分别被匹配了4次。
· 某公司内的各部门之间通过Device A实现互连,该公司的工作时间为每周工作日的8点到18点。
· 通过配置,允许总裁办在任意时间、财务部在工作时间访问财务数据库服务器;而禁止其它部门在任何时间、财务部在非工作时间访问该服务器。
图1-2 IPv6高级ACL配置组网图
# 创建名为work的时间段,其时间范围为每周工作日的8点到18点。
<DeviceA> system-view
[DeviceA] time-range work 8:0 to 18:0 working-day
# 创建IPv6高级ACL 3000,并制订如下规则:允许总裁办在任意时间、财务部在工作时间访问财务数据库服务器;而禁止其它部门在任何时间、财务部在非工作时间访问该服务器。
[DeviceA] acl ipv6 number 3000
[DeviceA-acl6-adv-3000] rule permit ipv6 source 1001:: 16 destination 1000::100 128
[DeviceA-acl6-adv-3000] rule permit ipv6 source 1002:: 16 destination 1000::100 128 time-range work
[DeviceA-acl6-adv-3000] rule deny ipv6 source any destination 1000::100 128
[DeviceA-acl6-adv-3000] quit
# 使能IPv6防火墙功能,并使用IPv6高级ACL 3000对接口Ethernet1/1出方向上的报文进行过滤。
[DeviceA] firewall ipv6 enable
[DeviceA] interface ethernet 1/1
[DeviceA-Ethernet1/1] firewall packet-filter ipv6 3000 outbound
[DeviceA-Ethernet1/1] quit
配置完成后,在各部门的PC(假设均为Windows XP操作系统)上可以使用ping命令检验配置效果,在Device A上可以使用display acl ipv6命令查看ACL的配置和运行情况。例如在工作时间:
# 在财务部的PC上检查到财务数据库服务器是否可达。
C:\> ping 1000::100
Pinging 1000::100 with 32 bytes of data:
Reply from 1000::100: time<1ms
Reply from 1000::100: time<1ms
Reply from 1000::100: time<1ms
Reply from 1000::100: time<1ms
Ping statistics for 1000::100:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
由此可见,财务部的PC能够在工作时间访问财务数据库服务器。
# 在市场部的PC上检查财务数据库服务器是否可达。
C:\> ping 1000::100
Pinging 1000::100 with 32 bytes of data:
Destination net unreachable.
Destination net unreachable.
Destination net unreachable.
Destination net unreachable.
Ping statistics for 1000::100:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
由此可见,市场部的PC不能在工作时间访问财务数据库服务器。
# 查看IPv6高级ACL 3000的配置和运行情况。
[DeviceA] display acl ipv6 3000
Advanced IPv6 ACL 3000, named -none-, 3 rules,
ACL's step is 5
rule 0 permit ipv6 source 1001::/16 destination 1000::100/128
rule 5 permit ipv6 source 1002::/16 destination 1000::100/128 time-range work (4 times matched) (Active)
rule 10 deny ipv6 destination 1000::100/128 (4 times matched)
由此可见,由于目前是工作时间,因此规则5是生效的;且由于之前使用了ping命令的缘故,规则5和规则10分别被匹配了4次。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!