本文详细介绍了H3C与Cisco设备上基本、扩展访问控制列表(ACL)的配置方法,包括定义、编写、应用、诊断和删除策略等内容,并涉及接口访问控制列表和基于MAC地址的访问控制列表。
acl基本配置
2008年01月04日 星期五 上午 02:55
|
基本访问控制列表定义及应用: 第一步:分析哪些源地址,也在分析访问控制需求(含拓扑图内容); 第二步:定义基本访问控制列表, a 弄清基本访问控制列表的表号 H3C: 2000--2999 cisco及其它公司:1-99 b 编写acl H3C:是在管理员用户视图下编写 cisco:全局模式下编写 c 命令如下: H3C:acl number 2001 description JinGuoFirewall rule 0 deny source 192.110.10.0 0.0.0.255 rule 1 permit source 202.110.10.0 0.0.0.255 cisco:ip access-list standard 99 deny 192.110.10.0 0.0.0.255 permit 202.110.10.0 0.0.0.255 第三步:应用(下发编写好的acl列表) a H3C:交换机(在交换机物理接口上直接下发) qos packet-filter inbound ip-group 2001 路由及防火墙 acl inbound 2001 b cisco: ip access-group 99 in(可以直接下发于三层vlan接口) 注: ACL下发于三层vlan接口还是二层物理接口,起到不同的效果,如下发于三层 vlan接口则属于此vlan的物理接口都会应用于此访问控制列表;如下发于二层物 理接口,则只限此物理接口应用,另如果想下发多个连续的ACL时,可采用下发于此 些物理接口所属的芯片组上,例如,一般每8个连续的物理接口就属于同一个芯片组。 cisco路由交换机举例:int vlan 180 (进入到一个vlan接口) ip access-group 120 in(下发一个访问控制列表,in指进入到vlan的包行使acl控制 out指从vlan中出去的包行使acl控制) 在cisco7609的交换板的物理接口可以转换为路由口使用,实际命令如下: interface GigabitEthernet3/17 no switchport 转换为路由口后,就可以直接在此物理接口下配置IP地址,方便网络连接。相关ACL可以直接下发于此物理接口 并不影响策略使用。 为实现更多用户的连接或其它网络用途在一物理接口常需绑定更多IP,具体命令如下: ip address 192.168.2.1 255.255.255.0 secondary 把已有的路由口还原为交换口采用如下命令: interface GigabitEthernet3/17 switchport 第四步:诊断及测试 a H3C:dis acl running-packet-filter all dis acl mode dis acl config all b cisco:show access-lists show ip access-lists 第五步:取消或删除某条策略 a H3C:undo rule 0 (0 指策略编号) b cisco:ip access-list standard 99 no 10 (10 指策略编号,该编号不显示,只有在特权模式下通过show ip access-lists 99才可查看) ************************************************************************************************************* 扩展访问控制列表编写: 第一步:分析哪些源地址、源端口、协议类型、目的地址、目的端口,也在分析访问控制需求(含拓扑图内容); 第二步:定义扩展访问控制列表, a 弄清扩展访问控制列表的表号 H3C: 3000--3999 cisco及其它公司:100-199 b 编写acl H3C:是在管理员用户视图下编写 cisco:全局模式下编写 c 命令如下: H3C:acl number 3001 rule 0 permit tcp source 202.110.10.0 0.0.0.255 source-port eq www destination 179.100.17.10 0 rule 1 deny ip (注解:从202.110.10.0/24来的,到179.100.17.10的,使用TCP协议,利用HTTP访问的数据包可以通过) cisco:ip access-list extended 199 access-list 199 permit tcp 202.110.10.0 0.0.0.255 eq www host 179.100.17.10 access-list 199 deny ip any any 为方便于ACL的管理,如添加、删除ACL里的条目、并方便ACL的识别与记忆,常采用命名的ACL访问控制列表 命令如下: ip access-list extended denynet12 (全局配置模式) 10 deny ip 10.12.0.0 0.0.0.255 any (“10”代表ACL的条目,以及执行次序,如考滤策略执行顺序, 可采用调整此条目大小实现,小的先执行,大的数字后执行) 11 deny ip 10.13.0.0 0.0.0.255 any 20 permit ip any any 另注:ACL的条目缺省情况是以10的倍数出现,也可人为调整大小编辑。 第三步:应用(下发编写好的acl列表) a H3C:交换机 QOS packet-filter inbound ip-group 3001 路由及防火墙 acl inbound 3001 b cisco: ip access-group 199 in 第四步:诊断及测试 a H3C:dis acl running-packet-filter all dis acl mode dis acl config all b cisco:show access-lists show ip access-lists 第五步:取消或删除某条策略 a H3C:undo rule 0 (0 指策略编号) b cisco:ip access-list extended 199 no 10 (10 指策略编号,该编号不显示,只有在特权模式下通过show ip access-lists 199才可查看) ******************************************************************************************************************** 接口访问控制列表编写: 第一步:分析接口,以及访问策略,含拓扑图分析; 第二步:定义接口访问控制列表, a 弄清接口访问控制列表的表号 H3C: 1000--1999 cisco及其它公司:100-199 (合二为一方式实现接口列表) b 编写acl H3C:是在管理员用户视图下编写 cisco:全局模式下编写 c 命令如下: H3C:acl number 1001 rule 0 permit interface Ethernet0/0 time-range www # time-range www from 08:30 May/13/2007 to 12:00 Jun/30/2007 (注解:分成二部分实现,第一实现时间段,第二实现接口列表与时间段关联) cisco:ip access-list extended 101 access-list 101 permit ip host 10.115.232.203 any time-range allow-http2 access-list 101 permit ip any any time-range allow-http1 access-list 101 deny ip any any # time-range allow-http1 periodic weekdays 12:00 to 14:30 (注解:分成二部分实现,第一实现时间段,第二实现扩展访问控制列表与时间段关联) 第三步:应用(下发编写好的acl列表) a H3C:交换机 packet-filter inbound ip-group 1001 路由及防火墙 acl inbound 1001 b cisco: ip access-group 199 in 第四步:诊断及测试 a H3C:dis acl running-packet-filter all dis acl mode dis acl config all debugging ip packet acl 1001 (1001 指需要诊断的ACL列表号) b cisco:show access-lists show ip access-lists debug access-expression 第五步:取消或删除某条策略 a H3C:undo rule 0 (0 指策略编号) b cisco:ip access-list extended 199 no 10 (10 指策略编号,该编号不显示,只有在特权模式下通过show ip access-lists 199才可查看) ******************************************************************************************************** 基于MAC地址访问控制列表配置过程 第一步:分析MAC地址,以及访问策略,含拓扑图分析; 第二步:定义MAC地址访问控制列表, a 弄清MAC地址访问控制列表的表号 H3C: 4000--4999 cisco:基本MAC地址列表:700-799 ;扩展MAC地址列表:1100-1199(基本列表控制是源MAC,扩展列表控制源、目等参数) b 编写acl H3C:是在管理员用户视图下编写 cisco:全局模式下编写 c 命令如下: H3C:acl number 4000 rule 0 permit 802.3 ingress 0001-0001-0001 egress 0002-0002-0002 rule 1 deny ingress any egress any # cisco:access-list 1100 permit 1.1.1 f.f.f 2.2.2 f.f.f 或access-list 700 permit 1.1.1 f.f.f # 第三步:应用(下发编写好的acl列表) a H3C:交换机 qos packet-filter inbound link-group 4000 路由及防火墙 acl inbound 4000 b cisco: ip access-group 700 in 或ip access-group 1100 in 第四步:诊断及测试 a H3C:dis acl running-packet-filter all dis acl mode dis acl config all debugging ip packet acl 4000 (4000 指需要诊断的ACL列表号) b cisco:show access-lists show ip access-lists debug access-expression 第五步:取消或删除某条策略 a H3C:undo rule 0 (0 指策略编号) b cisco: no access-list 1100 (直接删除整条策略,如需要,则需重重新编写,然后下发。) |
转载于:https://blog.51cto.com/wyb7821/115627
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
