当前位置:文档之家 › 华为设备 访问控制列表 ACL的原理与配置

华为设备 访问控制列表 ACL的原理与配置

  • 格式:ppt
  • 大小:798.50 KB
  • 文档页数:21

下载文档原格式

  / 21

合集下载

标准ACL的工作原理及应用

标准ACL的工作原理及应用

标准ACL的工作原理及应用1. 什么是标准ACL标准访问控制列表(Access Control List,简称ACL)是网络设备(如路由器、交换机)中一个用于控制网络流量的功能。

它通过匹配数据包的源地址来决定是否允许数据包通过设备。

标准ACL是一种基本的ACL类型,它只能根据源IP地址来控制流量,而不能根据目标IP地址、协议类型、端口号等进行控制。

2. 标准ACL的工作原理标准ACL通过配置设备的规则来实现对数据包的控制。

设备会按照这些规则逐一匹配数据包,并根据匹配结果来决定是否通过。

下面是标准ACL的工作原理的简要步骤:•当数据包进入设备时,设备会检查它的源IP地址。

•设备会按照事先配置好的规则进行逐一匹配。

每个规则通常包含一个IP地址(或地址段)和一个操作(如允许或拒绝)。

•如果数据包的源IP地址与某个规则匹配,则设备会根据规则的操作决定如何处理数据包。

•如果数据包的源IP地址没有与任何规则匹配,则设备会使用默认的行为决定如何处理数据包。

3. 标准ACL的应用场景标准ACL通常用于限制特定源IP地址的访问权限,常见的应用场景包括:3.1 限制内部设备的访问可以使用标准ACL来限制内部网络中某些设备对外部网络的访问权限。

例如,可以阻止某个局域网中的设备访问特定的互联网地址。

3.2 限制外部网络对内部设备的访问标准ACL还可用于限制外部网络对内部设备的访问。

通过配置标准ACL,可以阻止特定的外部IP地址访问内部网络中的设备。

3.3 过滤出某特定流量标准ACL还可以用于过滤出某特定的流量。

例如,通过配置标准ACL,可以只允许某个特定的IP地址通过设备,并拒绝其他所有IP地址的访问。

3.4 限制特定协议流量虽然标准ACL主要根据源IP地址进行控制,但也可以结合其他条件来限制特定协议的流量。

例如,可以通过使用扩展ACL和标准ACL的组合来实现根据协议类型限制流量的功能。

4. 配置标准ACL的步骤配置标准ACL大致包括以下几个步骤:1.进入设备的配置模式。

ACL访问控制列表的配置-高级ACL的配置示例-华为

ACL访问控制列表的配置-高级ACL的配置示例-华为

//拒绝PC1所在网段访问PC2
高级ACL的配置-在R1的接口上运用高级ACL
要求配置高级ACL,实现PC1所在网段不能访问PC2,但是PC1所在网段能够访问Server的www服务器,但不能访问f来自p服务。R1 G0/0/0
OSPF
G0/0/0 R2
12.1.1.1/24
12.1.1.2/24
G0/0/1 10.10.1.254/24
G0/0/1 10.10.2.254/24
G0/0/2 10.10.3.254/24
PC1 10.10.1.1/24
PC2 10.10.2.1/24
Server 10.10.3.1/24
[R1]interface G0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 //在接口的in方向应用ACL
G0/0/1 10.10.2.254/24
G0/0/2 10.10.3.254/24
PC1 10.10.1.1/24
PC2 10.10.2.1/24
Server 10.10.3.1/24
[R2-acl-adv-3000]rule 10 deny tcp source 10.10.1.0 0.0.0.255
Server 10.10.3.1/24
[R2]acl 3000
//定义一个高级acl3000
[R2-acl-adv-3000] rule 5 permit tcp source 10.10.1.0 0.0.0.255
destination 10.10.3.1 0 destination-port eq www //允许PC1所在网段访问server的www服务器

华为ACL详解2精编版

华为ACL详解2精编版

华为ACL详解2精编版访问控制列表-细说ACL那些事⼉(ACL匹配篇)在上⼀期中,⼩编围绕⼀张ACL结构图展开介绍,让⼤家了解了ACL的概念、作⽤和分类,并且知道了ACL是通过规则匹配来实现报⽂过滤的。

但ACL到底是如何进⾏规则匹配的,相信⼤家还是⼀头雾⽔。

本期,说⼀说关于“ACL匹配”的那些事⼉。

1ACL匹配机制⾸先,为⼤家介绍ACL匹配机制。

上⼀期提到,ACL在匹配报⽂时遵循“⼀旦命中即停⽌匹配”的原则。

其实,这句话就是对ACL匹配机制的⼀个⾼度的概括。

当然,ACL匹配过程中,还存在很多细节。

⽐如,ACL不存在系统会怎么处理?ACL存在但规则不存在系统会怎么处理?为了对整个ACL匹配过程展开详细的介绍,画了⼀张ACL匹配流程图,相信对⼤家理解ACL匹配机制能有所帮助。

从整个ACL匹配流程可以看出,报⽂与ACL规则匹配后,会产⽣两种匹配结果:“匹配”和“不匹配”。

●匹配(命中规则):指存在ACL,且在ACL中查找到了符合匹配条件的规则rule。

不论匹配的动作是“permit”还是“deny”,都称为“匹配”,⽽不是只是匹配上permit规则才算“匹配”。

●不匹配(未命中规则):指不存在ACL(⽆ACL),或ACL中⽆规则(没有rule),再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。

切记以上三种情况,都叫做“不匹配”。

提醒⼤家,⽆论报⽂匹配ACL的结果是“不匹配”、“允许”还是“拒绝”,该报⽂最终是被允许通过还是拒绝通过,实际是由应⽤ACL的各个业务模块来决定的。

不同的业务模块,对命中和未命中规则报⽂的处理⽅式也各不相同。

例如,在Telnet模块中应⽤ACL,只要报⽂命中了permit规则,就允许通过;⽽在流策略中应⽤ACL,如果报⽂命中了permit规则,但流⾏为动作配置的是deny,该报⽂会被拒绝通过。

在后续连载的《访问控制列表-细说ACL那些事⼉(应⽤篇)》中,将结合各类ACL应⽤,为⼤家细说各个业务模块的区别。

访问控制列表(ACL)总结配置与应用

访问控制列表(ACL)总结配置与应用
………… interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip access-group 101 in duplex auto speed auto
三、 命名访问控制列表
命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号。 1、 命名访问控制列表的配置 Router(config)#ip access-list {standard | extended} access-list-name
扩展 ACL 配置实例
如图:配置允许主机 PC 访问 WEB 服务的 WWW 服务,而禁止主机 PC 访问 WEB 的其他 服务。
1、 分析哪个接口应用标准 ACL
应用在入站还是出站接口。 与标准 ACL 一样,应该尽量把 ACl 应用到入站方向
应用在哪台路由器上。 由于扩展 ACL 可以根据源 IP 地址。目的 IP 地址、指定协议、端口等过滤数据包,
3、 将 ACL 应用于接口
创建 ACL 后,只有将 ACL 应用于接口,ACL 才会生效。 Router(config)#ip access-group access-list-number {in | out }
参数 in|out 用来指示该 ACL 是应用到入站接口(in),还是初战接口(out)。 在接口上取消 ACL 的应用 Router(config)#no ip access-group acess-list-number (in | out)
access-llist-number:访问控制列表表号,对于扩展 ACL 来书是 100-199; permit | deny:如果满足条件,则允许|拒绝该流量; protocol:用于指定协议类型,如 IP、TCP、UDP、ICMP 等; source、destination:源和目的,分别用来表示源地址和目的地址; source-wildcard、destination-wildcard:反码。源地址和目标地址的反码; operator operan:lt(小于)、gt(大于)、eq(等于)、neq(不等于)和一个 端口。

华为设备访问控制列表ACL的原理与配置

华为设备访问控制列表ACL的原理与配置
只比较前8位
如何使用反掩码
扩展访问控制列表
从202.110.10.0/24来的,到179.100.17.10的, 使用TCP协议, 利用HTTP访问的 数据包可以通过!
路由器
扩展访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒绝。
配置TCP/UDP协议的扩展访问列表: rule { normal | special }{ permit | deny } { tcp | udp } [source source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ] [destination-port operator port1 [ port2 ] ] [logging] 配置ICMP协议的扩展访问列表: rule { normal | special }{ permit | deny } icmp [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [icmp-type icmp-type icmp-code] [logging] 配置其它协议的扩展访问列表: rule { normal | special }{ permit | deny } { ip | ospf | igmp | gre } [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [logging]

华为ACL配置教程

华为ACL配置教程

华为ACL配置教程华为ACL配置教程一、ACL基本配置1、ACL规则生效时间段配置(需要先配置设备的时间,建议用ntp同步时间)某些引用ACL的业务或功能需要限制在一定的时间范围内生效,比如,在流量高峰期时启动设备的QoS功能。

用户可以为ACL创建生效时间段,通过在规则中引用时间段信息限制ACL生效的时间范围,从而达到该业务或功能在一定的时间范围内生效的目的。

[Huawei]time-range test ?Starting timefrom The beginning point of the time range[Huawei]time-range test 8:00 ?to The ending point of periodic time-range[Huawei]time-range test 8:00 t[Huawei]time-range test 8:00 to ?Ending Time[Huawei]time-range test 8:00 to 18:05 ?<0-6> Day of the week(0 is Sunday)Fri Friday #星期五Mon Monday #星期一Sat Saturday #星期六Sun Sunday #星期天Thu Thursday # 星期四Tue Tuesday # 星期二Wed Wednesday #星期三daily Every day of the week # 每天off-day Saturday and Sunday # 星期六和星期日working-day Monday to Friday #工作日每一天[Huawei]time-range test from 8:00 2016/1/17 to 18:00 2016/11/17使用同一time-name可以配置多条不同的时间段,以达到这样的效果:各周期时间段之间以及各绝对时间段之间分别取并集之后,再取二者的交集作为最终生效的时间范围。

华为ACL详解1

访问控制列表-细说ACL那些事儿(初步认识ACL)传闻江湖乱世之时,出现了一门奇招妙计名曰“ACL”。

其变化多端、高深莫测,部署在江湖各处的交换机轻松使上这一招,便能平定乱世江湖。

所以,这ACL也被江湖人士一时传为佳话。

ACL到底是何方秘籍?它拥有什么样的魔力能够平定江湖?ACL,是Access Control List的简称,中文名称叫“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。

这些条件,可以是报文的源地址、目的地址、端口号等。

这样解释ACL,大家是不是觉得太抽象了!好,现在小编换一种解释方式。

打个比方,ACL其实是一种报文过滤器,ACL规则就是过滤器的滤芯。

安装什么样的滤芯(即根据报文特征配置相应的ACL规则),ACL就能过滤出什么样的报文了。

基于过滤出的报文,我们能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet 登录/FTP文件下载进行控制等等,从而提高网络环境的安全性和网络传输的可靠性。

说到这,大家一定迫不及待的想看看ACL长啥模样。

话不多说,先上图!围绕这张ACL结构图,介绍ACL的基本概念。

1 ACL分类首先,图中是一个数字型ACL,ACL编号为2000。

这类似于人类的身份证号,用于唯一标识自己的身份。

当然,人类的身份证上不仅有身份证编号,还有每个人自己的名字。

ACL也同样如此,除了数字型ACL,还有一种叫做命名型的ACL,它就能拥有自己的ACL名称。

通过名称代替编号来定义ACL,就像用域名代替IP地址一样,可以方便记忆,也让大家更容易识别此ACL的使用目的。

另外,告诉大家,命名型ACL实际上是“名字+数字”的形式,可以在定义命名型ACL时同时指定ACL编号。

如果不指定编号,则由系统自动分配。

上图就是一个既有名字“deny-telnet-login”又有编号“3998”的ACL。

细心的你,一定会注意到,ACL结构图中的ACL编号是“2000”,而这个例子中的ACL编号是“3998”,两者有什么区别吗?实际上,按照ACL规则功能的不同,ACL被划分为基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL这五种类型。

ACL访问控制列表的配置-标准ACL的配置示例-华为


OSPF
G0/0/0 R2 12.1.1.2/24
G0/0/1 10.10.1.254/24
G0/0/1 10.10.2.254/24
G0/0/2 10.10.3.254/24
PC1 10.10.1.1/24
PC2 10.10.2.1/24
Server 10.10.3.1/24
[R1]ospf 1 router-id 1.1.1.1 [R1-ospf-1]area 0 [R1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255 [R1-ospf-1-area-0.0.0.0]network 10.10.1.0 0.0.0.255
[R2]interface G0/0/1
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 //在接口的out方向应用ACL

R1 G0/0/0 12.1.1.1/24
OSPF
G0/0/0 R2 12.1.1.2/24
G0/0/1 10.10.1.254/24
G0/0/1 10.10.2.254/24
G0/0/2 10.10.3.254/24
PC1 10.10.1.1/24
PC2 10.10.2.1/24
Server 10.10.3.1/24
//拒绝源为10.10.1.0/24网段的所有流量
[R2-acl-basic-2000]rule 10 permit source any //允许所有的其他流量通过
标准ACL的配置-在R2的接口上运用标准ACL
要求配置标准ACL,实现PC1所在网段不能访问PC2,但是PC1所在网段能够访问Server。

访问控制列表(ACL)的配置

访问控制列表(ACL)的配置
目录
• ACL的基本概念 • ACL的配置步骤 • ACL的常见应用场景 • ACL配置的注意事项 • ACL的发展趋势与未来展望 • 案例分析
01 ACL的基本概念
定义与作用
定义
访问控制列表(ACL)是一种安全机制 ,用于对网络设备的数据包进行过滤 ,以控制对网络资源的访问。
网络设备访问控制
路由器访问控制
通过ACL配置,可以限制对路由器特定端口的访问,保护路 由器免受非法访问和恶意攻击。
交换机端口访问控制
在交换机上配置ACL,可以限制特定MAC地址或IP地址的计算 机访问特定的端口,防止未经授权的设备接入网络。
服务器资源保护
文件服务器保护
通过ACL配置,可以限制用户对服务器上特定文件夹或文件的访问,确保敏感数据不被非法获取或篡 改。
规则的冗余与冲突
要点一
总结词
避免规则的冗余和冲突是ACL配置的重要考虑因素。
要点二
详细描述
在配置ACL时,需要避免规则的冗余和冲突。冗余的规则 会增加配置的复杂性和维护成本,而冲突的规则会导致数 据包的处理结果不确定。为了避免冗余和冲突,需要对每 一条规则进行仔细的审查和测试,确保其作用明确且不会 与其他规则产生冲突。同时,可以采用一些工具和技术来 检测和解决规则的冗余和冲突问题。
05 ACL的发展趋势与未来展 望
ACL技术的演进
传统ACL
基于端口和IP地址的访问控制,适用于简单的网络环 境。
扩展ACL
增加了协议和端口的匹配,能够实现更精细的访问控 制。
基于上下文的ACL
结合网络流量的上下文信息,实现更智能的访问控制。
ACL在云计算中的应用
01

华为基本acl的编号范围

华为基本acl的编号范围【最新版】目录1.华为基本 ACL 的简介2.华为基本 ACL 的编号范围3.华为基本 ACL 的应用场景4.华为基本 ACL 的配置方法正文【华为基本 ACL 的简介】华为基本 ACL(Access Control List,访问控制列表)是一种用于网络设备上实现流量控制的技术。

通过配置 ACL,可以对网络中的报文进行过滤和识别,从而实现对特定流量的允许或阻止。

在华为网络设备中,ACL 分为基本 ACL 和高级 ACL 两种,其中基本 ACL 具有较低的配置复杂度,适用于简单的流量控制需求。

【华为基本 ACL 的编号范围】华为基本 ACL 的编号范围是 1-99,其中 1-98 为标准 ACL,99 为私有 ACL。

标准 ACL 的编号是连续的,而私有 ACL 的编号不连续,它们之间有一些空闲的编号。

私有 ACL 通常用于特定场景,如 VPN 等。

【华为基本 ACL 的应用场景】华为基本 ACL 主要应用于以下场景:1.接口的入方向:对接口接收到的报文进行过滤,根据配置的规则允许或阻止报文通过。

2.接口的出方向:对接口发送的报文进行过滤,根据配置的规则允许或阻止报文通过。

3.VLAN:对特定 VLAN 的报文进行过滤,根据配置的规则允许或阻止报文通过。

【华为基本 ACL 的配置方法】配置华为基本 ACL 的步骤如下:1.登录华为网络设备,进入系统视图或接口视图。

2.创建一个基本 ACL,使用命令“ip access-list extended {ACL_编号}”。

3.配置 ACL 规则,使用命令“rule {规则编号} {动作} {条件}”。

其中,动作为“permit”或“deny”,条件包括源 IP 地址、目标 IP 地址、协议类型、端口号等。

4.将 ACL 应用于相应的接口或 VLAN,使用命令“interface {接口名称}”或“interface vlan {VLAN 编号}”进入相应视图,然后使用命令“ip access-group {ACL_编号} in”或“ip access-group {ACL_编号} out”将 ACL 应用于接口的入方向或出方向。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

日志功能是允许在特定的主机上记录下来防火墙的操作
开启日志系统
info-center enable

配置日志主机地址等相关属性
info-center loghost loghost-number ip-address port …

显示日志配置信息。 display debugging
在华为Quidway路由器上提供了非常丰富的日志功能, 详细内容请参考配置手册

配置其它协议的扩展访问列表:

rule { normal | special }{ permit | deny } { ip | ospf | igmp |
gre
}
[source
source-addr
source-wildcard
|
any
]
[ destination dest-addr dest- wildcard | any ] [logging]
扩展访问控制列表
扩展访问控制列表使用除源地址外更多的信息描述数据包,表 明是允许还是拒绝。

从202.110.10.0/24来的, 到179.100.17.10的, 使用TCP协议, 利用HTTP访问的 数据包可以通过!
路由器
扩展访问控制列表的配置命令

配置TCP/UDP协议的扩展访问列表:

rule { normal | special }{ permit | deny } { tcp | udp } [source source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ] [destination-port operator port1 [ port2 ] ] [logging]
range portnumber1 portnumber2
不等于端口号portnumber
介于端口号portnumber1 和portnumber2之 间
扩展访问控制列表举例

rule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type host-redirect ICMP主机重定向报文 10.1.0.0/16
公司总部网络
将访问控制列表应用到接 口上

防火墙配置常见步骤:

启用防火墙 定义访问控制列表 将访问控制列表应用到接口上
防火墙的属性配置命令
打开或者关闭防火墙


firewall { enable | disable }

设置防火墙的缺省过滤模式

firewall default { permit|deny }
访问控制列表的组合

一条访问列表可以由多条规则组成,对于这些规则,有两种匹配 顺序:auto和config。

规则冲突时,若匹配顺序为auto(深度优先),描述的地址范 围越小的规则,将会优先考虑。

深度的判断要依靠通配比较位和IP地址结合比较
rule deny 202.38.0.0 0.0.255.255
R
内部网络
Internet
办事处
公司总部
未授权用户
访问控制列表的作用
访问控制列表可以用于防火墙; 访问控制列表可以用于Qos(Quality of Service),对数据流 量进行控制;


在DCC中,访问控制列表还可用来规定触发拨号的条件; 访问控制列表还可以用于地址转换; 在配置路由策略时,可以利用访问控制列表来作路由信息的过 滤。
怎样利用 IP 地址 和 反掩码wildcard-mask 来表示 一个网段?
如何使用反掩码

反掩码和子网掩码相似,但写法不同:

0表示需要比较 1表示忽略比较

反掩码和IP地址结合使用,可以描述一个地址范围。
0 0 0
0 0 255
0 3 255
255 255 255
只比较前24位
只比较前22位 只比较前8位
问题: 下面这条访问控制列表表示什么意思? rule deny udp source 129.9.8.0 0.0.0.255 destination 202.38.160.0 0.0.0.255 destination-port greater-than 128
如何使用访问控制列表
启用防火墙
Internet

rule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port equal www logging TCP报文
WWW 端口
202.38.160.0/24
129.9.0.0/16

显示防火墙的状态信息

display firewall
在接口上应用访问控制列表

将访问控制列表应用到接口上
指明在接口上是OUT还是IN方向
在接口视图下配置:
firewall packet-filter acl-number [inbound | outbound]
访问控制列表101 作用在Ethernet0接口 在out方向有效 Ethernet0 Serial0
扩展访问控制列表操作符的含义
操作符及语法
意义
equal portnumber
greater-than portnumber less-than portnumber
等于端口号 portnumber
大于端口号portnumber 小于端口号portnumber
not-equal portnumber

配置ICMP协议的扩展访问列表:

rule { normal | special }{ permit | deny } icmp [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [icmp-type icmp-type icmp-code] [logging]
如何标识访问控制列表?
利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类

列表的种类
IP standard list IP extended list
数字标识的范围
1-99 100-199
标准访问控制列表
标准访问控制列表只使用源地址描述数据,表明是允许还是拒 绝。

从 202.110.10.0/24 来的数据包可以 通过!
访问控制列表
网络设备及高级应用技术课程组制作
学习目标
学习完本课程,您应该能够:

理解访问控制列表的基本原理
掌握标准和扩展访问控制列表的配 置方法


掌握地址转换的基本原理和配置方 法
课程内容
访问控制列表 访问控制列表实例
IP包过滤技术介绍

对路由器需要转发的数据包,先获取包头信息,然后和设定的 规则进行比较,根据比较的结果对数据包进行转发或者丢弃。 而实现包过滤的核心技术是访问控制列表。

settr 命令

settr begin-time end-time [ begin-time end-time ...... ]

undo settr

显示 isintr 命令

display isintr

显示 timerange 命令

display timerange
日志功能的配置命令
Hale Waihona Puke rule permit 202.38.160.0 0.0.0.255
两条规则结合则表示禁止一个大网段 (202.38.0.0)上的主机但允许其 中的一小部分主 机(202.38.160.0)的访问。

规则冲突时,若匹配顺序为config,先配置的规则会被优先考 虑。
访问控制列表3 作用在Serial0接口 上 在in方向上有效
基于时间段的包过滤

“特殊时间段内应用特殊的规则”
Internet
上班时间 (上午8:00 - 下午5:00) 只能访问特定的站点;其余 时间可以访问其他站点
时间段的配置命令

time range 命令

timerange { enable | disable }
访问控制列表是什么?
一 个 IP 数 据 包 如 下 图 所 示 ( 图 中 IP 所 承 载 的 上 层 协 议 为
TCP/UDP):
IP报头
TCP/UDP报头
数据
协议号
源地址 目的地址
源端口 目的端口
对于TCP/UDP来说,这5个元 素组成了一个TCP/UDP相关, 访问控制列表就是利用这些 元素定义的规则
从192.110.10.0/24 来的数据包不能 通过!
路由器
标准访问控制列表的配置
配置标准访问列表的命令格式如下:


acl acl-number [ match-order auto | config ] rule { normal | special }{ permit | deny } [source source-addr source-wildcard | any ]