華為交換機ACL如何使用及原則
ACL(訪問控制列表)的應用原則:
標准ACL,盡量用在靠近目的點
擴展ACL,盡量用在靠近源的地方(可以保護帶寬和其他資源)
方向:在應用時,一定要注意方向
ACL分類
基本ACL #范圍為2000~2999 可使用IPv4報文的源IP地址、分片標記和時間段信息來定義規則 高級ACL #范圍為3000~3999 既可使用IPv4報文的源IP地址,也可使用目的地址、IP優先級、ToS、DSCP、IP協議類型、ICMP類型、TCP源端口/目的端口、UDP源端口/目的端口號等來定義規則 二層ACL #范圍為4000~4999 可根據報文的以太網幀頭信息來定義規則,如根據源MAC(Media Access Control)地址、目的MAC地址、以太幀協議類型等 自定義ACL 范圍為5000~5999 #可根據偏移位置和偏移量從報文中提取出一段內容進行匹配
場景一:(機房交換機不允許非管理網絡ssh登錄)
#創建基於命名的基本acl acl name ssh-kongzhi 2001 rule 5 permit source 192.168.1.0 0.0.0.255 rule 10 deny #在vty接口應用acl 2001 user-interface vty 0 4 acl 2001 inbound authentication-mode aaa protocol inbound all
場景二:(如下圖,主機一不能ping通http服務器,但是可以訪問)
#創建高級acl acl number 3001 rule 5 permit tcp source 192.168.21.11 0 destination 192.168.21.100 0 destination-port eq www rule 10 deny icmp source 192.168.21.11 0 destination 192.168.21.100 0 #在接口的上應用acl interface GigabitEthernet0/0/2 traffic-filter inbound acl 300
場景三:(自反acl的應用,類是於防火牆)
#目標(1):在icmp協議上,實現外部網絡中,只有smokeping主機能ping通內網,其余外部主機不能ping內網地址,並且要求內網可以ping外網 #目標(2):不讓外部網絡通過tcp協議連接內部,但是內部可以用tcp連接外部(實際意義不大,但是很形象,凡是設計tcp的應用協議都受控) #分析(1):先允許smokeping的主機ping內網,ping包分(去包:echo,回包:echo-raly),在公網出口的入方向拒絕所有ping的去包類型echo,作用與所有主機 #分析(2):tcp協議,需要建立三次握手,只有第一次中不帶ack標志,其余都帶有ack,(這表示發起tcp連接的一方第一個包不帶ack,根據這個在公網出口入方向進行設置) #創建acl acl name kongzhi 3001 rule 5 permit icmp source 6.6.6.6 0 rule 10 deny icmp icmp-type echo rule 15 permit tcp tcp-flag ack rule 20 deny tcp #應用到公網出口上 interface GigabitEthernet0/0/1 ip address 4.4.4.4 255.255.255.0 traffic-filter inbound acl name kongzhi
場景四:(基於時間的acl應用)
#目標:教師每天6點到23點,可以上網;學生周一到周五8點半到22點可以上網,周六周日兩天任何時刻都上網 分析:要實現基於時間的,就需要進行划分流量,然后阻斷,所以,時間可以看成 教師(jiaoshi)室每天早上0點到6點半不能,以及晚上23點到23點59不能上網 學生(xuesheng)周一到周五的早上0點到8點半,以及晚上22點到23點59不能上網 #第一:配置時間段(由於不支持"23:0 to 6:30",所以寫成下面這種形式) time-range jiaoshi-deny 00:00 to 6:30 daily time-range jiaoshi-deny 23:00 to 23:59 daily time-range xuesheng-deny 00:00 to 8:30 working-day time-range xuesheng-deny 22:00 to 0:0 working-day #第二:創建配置高級acl acl number 3001 rule deny ip source 192.168.21.0 0.0.0.255 time-range jiaoshi-deny acl number 3002 rule deny ip source 192.168.22.0 0.0.0.255 time-range xuesheng-deny #第三:配置流分類(對匹配ACL 3001和3002的報文進行分類) traffic classifier d_jiaoshi if-match acl 3001 traffic classifier d_xuesheng if-match acl 3002 #第四:配置流行為(動作為拒絕報文通過) traffic behavior d_jiaoshi deny traffic behavior d_xuesheng deny #第五:配置流策略(將流分類d_jiaoshi與流行為d_jiaoshi關聯,組成流策略,這里為了方便直接將后面應用到一個接口上,將上面兩個對應關系進行了合計) traffic policy all_deny classifier d_jiaoshi behavior d_jiaoshi classifier d_xuesheng behavior d_xuesheng #第六:在接口上應用流策略 interface gigabitethernet 0/0/2 ip address 114.114.114.1 255.255.255.0 traffic-policy all_deny outbound