ACL分类（ACL分类）

ACL分类（ACL分类）

ACL分类

1）ACL的标识可以给访问控制列表指定名称，便于维护利用数字序号标识访问控制列表

2）基本ACL基本访问控制列表只根据报文的源IP地址信息制定规则

3）高级ACL高级访问控制列表根据报文的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则

4）二层ACL二层ACL根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则

5）ACL的步长ACL 中的每条规则都有自己的编号，这个编号在该ACL中是唯一的。在创建规则时，可以手工为其指定一个编号，如未手工指定编号，则由系统为其自动分配一个编号。由于规则的编号可能影响规则匹配的顺序，因此当由系统自动分配编号时，为了方便后续在已有规则之前插入新的规则，系统通常会在相邻编号之间留下一定的空间，这个空间的大小（即相邻编号之间的差值）就称为ACL的步长。譬如，当步长为5 时，系统会将编号0、5、10、15……依次分配给新创建的规则。六、配置ACL包过滤1）ACL包过滤配置任务根据需要选择合适的ACL分类创建正确的规则设置匹配条件设置合适的动作（Permit/Deny)在路由器的接口上应用ACL，并指明过滤报文的方向（入站/出站）2）设置包过滤规则包过滤功能默认开启设置包过滤的默认过滤方式系统默认的过滤方式是permit，即允许未匹配上ACL规则的报文通过可以配置包过滤的缺省动作为deny[H3C] packet-filter default deny

3）配置基本ACL配置基本ACL，并指定ACL序号基本IPv4 ACL的序号取值范围为2000～2999[H3C] acl basic acl-number

定义规则制定要匹配的源IP地址范围指定动作是permit或deny[H3C-acl-basic-2000] rule [ rule-id ]{ deny | permit } [ counting | fragment | logging | source{ sour-addrsour-wildcard| any }|time-range time-range-name]

4）配置高级ACL配置高级IPv4 ACL，并指定ACL序号高级IPv4 ACL的序号取值范围为3000～3999[H3C] acl advanced acl-number

定义规则需要配置规则来匹配源IP地址、目的IP地址、IP承载的协议类型、协议端口号等信息指定动作是permit或deny[H3C-acl-adv-3000]rule [ rule-id ] { deny | permit } protocol [ destination { dest-addr dest-wildcard| any } | destination-port operator port1[ port2 ] established | fragment | source { sour-addr sour-wildcard | any } | source-port operator port1[ port2 ] |time-range time-range-name ]

5）配置二层ACL配置二层ACL，并指定ACL序号二层ACL的序号取值范围为4000～4999[H3C] acl mac acl-number

定义规则需要配置规则来匹配源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息指定动作是permit或拒绝deny[H3C-acl-ethernetframe-4000]rule [ rule-id ] { deny| permit } [ cos vlan-pri | dest-mac dest-addr dest-mask| lsap lsap-type lsap-type-mask | source-mac sour-addr source-mask| time-range time-range-name]

6）在接口上应用ACL将ACL应用到接口上，配置的ACL包过滤才能生效指明在接口上应用的方向是Outbound（数据离开路由器的方向）还是Inbound（数据进入路由器的方向）[H3C-Serial2/0 ] packet-filter { acl-number |name acl-name } { inbound| outbound}

7）ACL包过滤显示与调试

七、ACL包过滤的注意事项1）ACL规则的匹配顺序匹配顺序指ACL中规则的优先级ACL支持两种匹配顺序：配置顺序（config）：按照用户配置规则的先后顺序进行规则匹配

自动排序（auto）：按照“深度优先”的顺序进行规则匹配，即地址范围小的规则被优先进行匹配配置ACL的匹配顺序：[H3C] acl number acl-number[match-order {auto | config}]

2）不同匹配顺序导致结果不同

3）在网络中的正确位置配置ACL包过滤尽可能在靠近数据源的路由器接口上配置ACL，以减少不必要的流量转发高级ACL应该在靠近被过滤源的接口上应用ACL，以尽早阻止不必要的流量进入网络基本ACL过于靠近被过滤源的基本ACL可能阻止该源访问合法目的应在不影响其他合法访问的前提下，尽可能使ACL靠近被过滤的源

4）ACL部署位置示例基本ACL部署位置示例

高级ACL部署位置示例

5）ACL包过滤的局限性ACL包过滤是根据数据包头中的二、三、四层信息来进行报文过滤的，对应用层的信息无法识别无法根据用户名来决定数据是否通过无法给不同的用户授予不同的权限级别ACL包过滤防火墙是静态防火墙，无法对应用层的协议进行动态检测

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。