华三,思科ACL命令解析
基本访问控制列表定义及应用: 第一步:分析哪些源地址,也在分析访问控制需求(含拓扑图内容); 第二步:定义基本访问控制列表, a 弄清基本访问控制列表的表号 H3C: 2000--2999 cisco及其它公司:1-99 b 编写acl H3C:是在管理员用户视图下编写 cisco:全基本访问控制列表定义及应用:第一步:分析哪些源地址,也在分析访问控制需求(含拓扑图内容);
第二步:定义基本访问控制列表,
a 弄清基本访问控制列表的表号
H3C: 2000--2999
cisco及其它公司:1-99
b 编写acl
H3C:是在管理员用户视图下编写
cisco:全局模式下编写
c 命令如下:
H3C:acl number 2001
description JinGuoFirewall
rule 0 deny source 192.110.10.0 0.0.0.255
rule 1 permit source 202.110.10.0 0.0.0.255
cisco:ip access-list standard 99
deny 192.110.10.0 0.0.0.255
permit 202.110.10.0 0.0.0.255
第三步:应用(下发编写好的acl列表)
a H3C:交换机(在交换机物理接口上直接下发)
qos
packet-filter inbound ip-group 2001
路由及防火墙 acl inbound 2001
b cisco: ip access-group 99 in(可以直接下发于三层vlan接口)
注: ACL下发于三层vlan接口还是二层物理接口,起到不同的效果,如下发于三层
vlan接口则属于此vlan的物理接口都会应用于此访问控制列表;如下发于二层物
理接口,则只限此物理接口应用,另如果想下发多个连续的ACL时,可采用下发于此
些物理接口所属的芯片组上,例如,一般每8个连续的物理接口就属于同一个芯片组。
cisco路由交换机举例:int vlan 180 (进入到一个vlan接口)
ip access-group 120 in(下发一个访问控制列表,in指进入到vlan的包行使acl控制
out指从vlan中出去的包行使acl控制)
在cisco7609的交换板的物理接口可以转换为路由口使用,实际命令如下:
interface GigabitEthernet3/17
no switchport
转换为路由口后,就可以直接在此物理接口下配置IP地址,方便网络连接。相关ACL可以直接下发于此物理接口
并不影响策略使用。
为实现更多用户的连接或其它网络用途在一物理接口常需绑定更多IP,具体命令如下:
ip address 192.168.2.1 255.255.255.0 secondary
把已有的路由口还原为交换口采用如下命令:
interface GigabitEthernet3/17
switchport
第四步:诊断及测试
a H3C:dis acl running-packet-filter all
dis acl mode
dis acl config all
b cisco:show access-lists
show ip access-lists
第五步:取消或删除某条策略
a H3C:undo rule 0 (0 指策略编号)
b cisco:ip access-list standard 99
no 10 (10 指策略编号,该编号不显示,只有在特权模式下通过show ip access-lists 99才可查看)
*************************************************************************************************************
扩展访问控制列表编写:
第一步:分析哪些源地址、源端口、协议类型、目的地址、目的端口,也在分析访问控制需求(含拓扑图内容);
第二步:定义扩展访问控制列表,
a 弄清扩展访问控制列表的表号
H3C: 3000--3999
cisco及其它公司:100-199
b 编写acl
H3C:是在管理员用户视图下编写
cisco:全局模式下编写
c 命令如下:
H3C:acl number 3001
rule 0 permit tcp source 202.110.10.0 0.0.0.255 source-port eq www destination 179.100.17.10 0
rule 1 deny ip
(注解:从202.110.10.0/24来的,到179.100.17.10的,使用TCP协议,利用HTTP访问的数据包可以通过)
cisco:ip access-list extended 199
access-list 199 permit tcp 202.110.10.0 0.0.0.255 eq www host 179.100.17.10
access-list 199 deny ip any any
为方便于ACL的管理,如添加、删除ACL里的条目、并方便ACL的识别与记忆,常采用命名的ACL访问控制列表
命令如下:
ip access-list extended denynet12 (全局配置模式)
10 deny ip 10.12.0.0 0.0.0.255 any
(“10”代表ACL的条目,以及执行次序,如考滤策略执行顺序,
可采用调整此条目大小实现,小的先执行,大的数字后执行)
11 deny ip 10.13.0.0 0.0.0.255 any
20 permit ip any any
另注:ACL的条目缺省情况是以10的倍数出现,也可人为调整大小编辑。
第三步:应用(下发编写好的acl列表)
a H3C:交换机
QOS
packet-filter inbound ip-group 3001
路由及防火墙 acl inbound 3001
b cisco: ip access-group 199 in
第四步:诊断及测试
a H3C:dis acl running-packet-filter all
dis acl mode
dis acl config all
b cisco:show access-lists
show ip access-lists
第五步:取消或删除某条策略
a H3C:undo rule 0 (0 指策略编号)
b cisco:ip access-list extended 199
no 10 (10 指策略编号,该编号不显示,只有在特权模式下通过show ip access-lists 199才可查看)
********************************************************************************************************************
接口访问控制列表编写:
第一步:分析接口,以及访问策略,含拓扑图分析;
第二步:定义接口访问控制列表,
a 弄清接口访问控制列表的表号
H3C: 1000--1999
cisco及其它公司:100-199 (合二为一方式实现接口列表)
b 编写acl
H3C:是在管理员用户视图下编写
cisco:全局模式下编写
c 命令如下:
H3C:acl number 1001
rule 0 permit interface Ethernet0/0 time-range www
#
time-range www from 08:30 May/13/2007 to 12:00 Jun/30/2007
(注解:分成二部分实现,第一实现时间段,第二实现接口列表与时间段关联)
cisco:ip access-list extended 101
access-list 101 permit ip host 10.115.232.203 any time-range allow-http2
access-list 101 permit ip any any time-range allow-http1
access-list 101 deny ip any any
#
time-range allow-http1
periodic weekdays 12:00 to 14:30
(注解:分成二部分实现,第一实现时间段,第二实现扩展访问控制列表与时间段关联)
第三步:应用(下发编写好的acl列表)
a H3C:交换机 packet-filter inbound ip-group 1001
路由及防火墙 acl inbound 1001
b cisco: ip access-group 199 in
第四步:诊断及测试
a H3C:dis acl running-packet-filter all
dis acl mode
dis acl config all
debugging ip packet acl 1001 (1001 指需要诊断的ACL列表号)
b cisco:show access-lists
show ip access-lists
debug access-expression
第五步:取消或删除某条策略
a H3C:undo rule 0 (0 指策略编号)
b cisco:ip access-list extended 199
no 10 (10 指策略编号,该编号不显示,只有在特权模式下通过show ip access-lists 199才可查看)
********************************************************************************************************
基于MAC地址访问控制列表配置过程
第一步:分析MAC地址,以及访问策略,含拓扑图分析;
第二步:定义MAC地址访问控制列表,
a 弄清MAC地址访问控制列表的表号
H3C: 4000--4999
cisco:基本MAC地址列表:700-799 ;扩展MAC地址列表:1100-1199(基本列表控制是源MAC,扩展列表控制源、目等参数)
b 编写acl
H3C:是在管理员用户视图下编写
cisco:全局模式下编写
c 命令如下:
H3C:acl number 4000
rule 0 permit 802.3 ingress 0001-0001-0001 egress 0002-0002-0002
rule 1 deny ingress any egress any
#
cisco:access-list 1100 permit 1.1.1 f.f.f 2.2.2 f.f.f
或access-list 700 permit 1.1.1 f.f.f
#
第三步:应用(下发编写好的acl列表)
a H3C:交换机
qos
packet-filter inbound link-group 4000
路由及防火墙 acl inbound 4000
b cisco: ip access-group 700 in
或ip access-group 1100 in
第四步:诊断及测试
a H3C:dis acl running-packet-filter all
dis acl mode
dis acl config all
debugging ip packet acl 4000 (4000 指需要诊断的ACL列表号)
b cisco:show access-lists
show ip access-lists
debug access-expression
第五步:取消或删除某条策略
a H3C:undo rule 0 (0 指策略编号)
b cisco: no access-list 1100
(直接删除整条策略,如需要,则需重重新编写,然后下发。
页:
[1]