华为访问控制列表配置
① 求华为 acl 配置详解
acl number 3111 创建acl 高级访问控制列表3111
rule 1 permit ip source 172.16.1.0 0.0.0.255
定义小规则1 允许 源ip为172.16.1.0/24(255.255.255.0)的网段访问目标地址为any(所有的ip)地址
acl number 3112 创建acl高级访问控制列表3112
rule 0 permit ip source 172.16.1.200 0
同上
定义小规则0允许源172.16.1.200/32(255.255.255.255)这一个主机访问目标为any的地址
acl number 3113 定义3113规则
rule 0 permit ip
小规则0允许源ip地址为any(所有)到目标地址为any地址。
#
acl name lan 创建acl为名字的规则,规则名为lan
rule 0 permit
小规则0允许源ip地址为any(所有)到目标地址为any地址。
#
intterface Aux0 异步端口、为系统默认。一般无用。
async mobe flow
2000-2999 的acl规则为标准acl 只能定义源ip地址
3000-3999 的acl规则为高级acl 能够定义源ip地址和目的ip地址。
只定义acl 而不引用是无效的。你这几条acl肯定在某一端口下引用了。
② 华为 ACL访问控制列表 (高级ACL为例)
Access Control List访问控制列表–ACL
ACL是由一个或多个用于报文过滤的规则组成的规则集合,通过在不同功能上的应用 可 达到不同的应用效果。
路由器和交换机接口的指令列表,用来控制端口进出的数据包,配合各种应用(NAT、route police 前缀列表等)实现对应的效果。
匹配特定数据,实现对数据的控制(deny–拒绝,permit–放行)
实现网络访问控制,Qos留策略,路由信息过滤,策略路由等诸多方面。
(1):按照ACL过滤的报文类型和功能划分
基本acl(2000-2999):只能匹配源ip地址。
高级acl(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。
① 接口ACL(编号1000-----19999)
② 基本ACL(编号2000-----2999)
③ 高级ACL(编号3000-----3999)
④ 二层ACL(编号4000-----4999)
⑤ 自定义ACL(编号5000----5999)
(2):按照命名方式划分
① 数字型ACL(创建ACL是编号)
② 命名型ACL(给所创建的ACL赋予一个名称)
定义ACL语句--------》接口/应用挂载-------》接口收到流量匹配ACL语句----------》数据命中ACL后执行语句动作。
(1):一个ACL可以由多条“deny | permit”语句组成,每一条语句描述了一条规则
permit–放行,允许,抓取/匹配
deny----拒绝,过滤。
(2):设备收到数据流量后,会逐条匹配ACL规则,看其是否匹配。
如果不匹配,则匹配下一条。一旦找到一条匹配的规则,则执行规则中定义的动作(permit或者deny)并且不再匹配后续的语句。
如果找不到匹配的规则,则设备不对报文进行任何处理(即默认执行prmit any any,放行所有)
注意: ACL中定义的这些规则可能存在重复或矛盾的地方。规则的匹配顺序决定了规则的优先级,ACL通过设置规则的优先级来处理规则之间重复或矛盾的情形
配置顺序和自动排序
(1)配置顺序:
配置顺序按ACL规则编号(rule-id)从小到大的顺序进行匹配。
设备会在创建ACL的过程中自动为每一条规则分配一个编号(rule-id),规则编号决定了规则被匹配的顺序(ARG3系列路由器默认规则编号的步长是5)。
(2)自动排序:
自动排序使用“深度优先”的原则进行匹配,即根据规则的精确度排序,匹配条件(如协议类型,源目的IP地址范围等)限制越严格越精确。
若“深度优先”的顺序相同,则匹配该规则时按照规则编号从小到大排列。
rule
(1) 一个ACL内可以有一条或者多条规则,每条规则都有自己的编号,在一个ACL每条语句的规则编号时唯一的,每条编号代表一个ACL语句和动作。
(2) ACL的规则编号(rule id)默认自动生成,也可以手动指定,一般我们通过手动插入新的rule 来调整ACL的匹配规则。
(3)默认每条规则号的从0开始,增长规则为步进5(通过step命令修改步进号)
③ 关于华为路由器基于MAC的访问控制列表
首先。确定一下。int e3/0是内网的端口么?
那个mac地址是e3/0的地址么?因为是路由器。,每个端口的mac地址都是不一样的。
查看一下e3/0的mac地址。使用4000规则。
因为是流入,使用inbound。
应该是没有问题的。
④ 华为acl配置基本和高级访问
访问控制列表ACL(Access Control List)是由一系列规则组成的集合,ACL通过这些规则对报文进行分类,从而使设备可以对不同类报文进行不同的处理。
高级ACL:
表示方式:ID,取值控制为:3000~3999
可以同时匹配数据包的源IP地址、目标IP地址、协议、源端口、目标端口;
匹配数据更加的精确
拓扑图:
步骤:
1.基本配置:
如拓扑图和配置图所示,完成各个物理设备和接口的配置,并测试连通性:
2.搭建OSPF网络:
仅以R1为例,其他同理:
[R1]ospf
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
1
2
3
4
1
2
3
4
配置完成后,查看R1的ospf路由条目:
可以看到,R1已经学习到了所有路由信息。
3.配置Telnet:
[R4]user-interface vty 0 4
[R4-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):huawei
1
2
3
1
2
3
用1.1.1.1尝试登陆R4的两个环回接口:
均登陆成功过,可以得知,只要拥有Telnet的密码均可以成功登陆到R4上。
4.配置高级ACL访问控制:
我们的目标是R1的环回接口只能通过R4的4.4.4.4接口访问Telnet,不能通过40.40.40.40访问。基本ACL只能控制源地址因此不能完成此任务,高级ACL不仅能控制源地址,还能控制目的地址,可以完成此任务:
[R4]acl 3000
[R4-acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 4.4.4.4 0
1
2
1
2
查看ACL配置信息:
接着,使用vty进行acl的调用:
[R4]user-interface vty 0 4
[R4-ui-vty0-4]acl 3000 inbound
1
2
1
2
配置完成后,再使用1.1.1.1访问40.40.40.40:
可以看到,配置已生效,1.1.1.1不能通过40.40.40.40访问Telnet。
⑤ 华为acl应用到vlan配置
1、使用system-view命令进入[]模式。
⑥ 关于ACL配置(华为)
ACL匹配:
缺省情况下,系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。
报文与ACL规则匹配后,会产生两种匹配结果:“匹配”和“不匹配”。
匹配(命中规则):指存在ACL,且在ACL中查找到了符合匹配条件的规则。不论匹配的动作是“permit”还是“deny”,都称为“匹配”,而不是只是匹配上permit规则才算“匹配”。
匹配上permit:允许
匹配上deny:拒绝
无论报文匹配ACL的结果是“不匹配”、“允许”还是“拒绝”,该报文最终是被允许通过还是拒绝通过,实际是由应用ACL的各个业务模块来决定的。不同的业务模块,对命中和未命中规则报文的处理方式也各不相同。
不匹配(未命中规则):指不存在ACL,或ACL中无规则,再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。切记以上三种情况,都叫做“不匹配”。
(6)华为访问控制列表配置扩展阅读:
ACL基本原理:
ACL,是Access Control List的简称,中文名称叫“访问控制列表”。
ACL由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件,可以是报文的源地址、目的地址、端口号等。
打个比方,ACL其实是一种报文过滤器,ACL规则就是过滤器的滤芯。安装什么样的滤芯(即根据报文特征配置相应的ACL规则),ACL就能过滤出什么样的报文。
基于过滤出的报文,我们能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet登录/FTP文件下载进行控制等等,从而提高网络环境的安全性和网络传输的可靠性。
⑦ 华为交换机配置vlan设定IP及路由做访问控制列表怎么做
首先有几个问题你没有说太明白,我只好做假设。
1,你所给的5个IP地址,是配置在S93上作为5个VLAN的网关来使用的吗?你没说明,我只能假设是。
2,还有你的VLAN是在S93上开始的吗?也就是说S93的接入口该是什么模式?你没说明,我只能假设开始于S93既交换机端口都是access模式。
3,设置静态路由则我们需要吓一跳地址和出接口,你没有给出。我只能做个假设。
好了配置开始。(接下来我写的是配置脚本,你可以直接复制使用,当然就没必要复制其中我用汉字进行说明的部分了)
首先配置VLAN
vlan 2
vlan 3
vlan 4
vlan 5
vlan 6 (一般使用VLAN不会用到VLAN1这是个莫用规则,因为VLAN1在所有设备上都存在,使用起来有诸多不便,还存在安全隐患)
vlan7(按照你的意思我猜测你的VLAN在此终结,也就是说上联口要有IP地址,而在93上IP地址是只能配在VLAN中而不能配在接口下的,所以将上联口的互联地址配置在此VLAN中,将上联口加入此VLAN即可)
interface vlanif 2
ip address 192.168.10.6 255.255.254.0(你没有给出掩码,经过我的计算只有255.255.254.0这个掩码能满足你现在过给的网段地址)
interface vlanif 3
ip address 192.168.20.6 255.255.254.0
interface vlanif 4
ip address 192.168.30.6 255.255.254.0
interface vlanif 5
ip address 192.168.40.6 255.255.254.0
interface vlanif 6
ip address 192.168.50.6 255.255.254.0
interface vlanif 7
ip address ?
interface gig 1/0/0
port link-type access (没做过S93的估计会指出这不用改,呵呵。事实上93上端口的默认状态是trunk所以没做过的 请闭嘴)
port default vlan 2
interface gig 1/0/1
port link-type access
port default vlan 3
interface gig 1/0/2
port link-type access
port default vlan 4
interface gig 1/0/3
port link-type access
port default vlan 5
interface gig 1/0/4
port link-type access
port default vlan 6
interface gig 1/0/5
port link-type access
port default vlan 7
ip route-static 10.126.80.20 0.0.0.0 gig 1/0/5 ?(因为你没指明上联口互联地址我只能写?号,这里要写上联口的对端地址。)
ip route-static 10.126.80.20 0.0.0.0 gig 1/0/5 ?
接下来是访问控制,在93中访问控制列表只是工具不能直接在端口下调用。
acl 3001(要做基于目的地址和源地址的访控必须是高级访问控制列表,从3000开始
rule 0 permit destinationg 192.168.10.6 0.0.2.255 source 10.126.80.20 0.0.0.0 (注意此处用的是反掩码)
rule 1 permit destinationg 192.168.10.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc1
if-match acl 3001
traffic behavior tb1
permit
traffic policy tp1
classifier tc1 behavior tb1
quit
acl 3002
rule 0 permit destinationg 192.168.20.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.20.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc2
if-match acl 3002
traffic behavior tb2
permit
traffic policy tp2
classifier tc2 behavior tb2
quit
acl 3003
rule 0 permit destinationg 192.168.30.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.30.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc3
if-match acl 3003
traffic behavior tb3
permit
traffic policy tp3
classifier tc3 behavior tb3
quit
acl 3002
rule 0 permit destinationg 192.168.40.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.40.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny source any
traffic classifier tc4
if-match acl 3004
traffic behavior tb4
permit
traffic policy tp4
classifier tc4 behavior tb4
quit
acl 3005
rule 0 permit destinationg 192.168.50.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.50.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc5
if-match acl 3005
traffic behavior tb5
permit
traffic policy tp5
classifier tc5 behavior tb5
quit
acl 3006
rule 0 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.10.6 0.0.2.255
rule 1 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.20.6 0.0.2.255
rule 2 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.30.6 0.0.2.255
rule 3 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.40.6 0.0.2.255
rule 4 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.50.6 0.0.2.255
rule 5 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.10.6 0.0.2.255
rule 6 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.20.6 0.0.2.255
rule 7 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.30.6 0.0.2.255
rule 8 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.40.6 0.0.2.255
rule 9 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.50.6 0.0.2.255
rule 10 deny any
traffic classifier tc6
if-match acl 3006
traffic behavior tb6
permit
traffic policy tp6
classifier tc6 behavior tb6
quit(注意访问控制列表应该是双向的不仅要控制回来还要控制出去注意绑定方向)
interface gig 1/0/0
traffic-policy tp1 outbound
interface gig 1/0/1
traffic-policy tp2 outbound
interface gig 1/0/2
traffic-policy tp3 outbound
interface gig 1/0/3
traffic-policy tp4 outbound
interface gig 1/0/4
traffic-policy tp5 outbound
interface gig 1/0/5
traffic-policy tp6 outbound
(配置完成,如果还有什么问题,可以问我。)