《2022年访问控制列表典型配置案例 .pdf》由会员分享,可在线阅读,更多相关《2022年访问控制列表典型配置案例 .pdf(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、访问控制列表典型配置案例1.4.1 高级访问控制列表配置案例1.组网需求公司企业网通过switch 的百兆端口实现各部门之间的互连。研发部门由ethernet2/1/1端口接入,财经部门的工资查询服务器地址为129.110.1.2。要求正确配置acl,限制研发部门在上班时间 8:00 至 18:00 访问工资服务器。2.组网图3.配置步骤以下的配置,只列出了与acl 配置相关的命令。(1)定义上班时间段#定义 8:00 至 18:00 的周期时间段。h3c time-range huawei-3com 8:00 to 18:00 working-day(2)定义到工资服务器的acl#进入基于名
2、字的高级访问控制列表视图,命名为traffic-of-payserver。h3c acl name traffic-of-payserver advanced#定义到工资服务器的访问规则。h3c-acl-adv-traffic-of-payserver rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei-3com(3)激活 acl#将 traffic-of-payserver 的 acl 在研发部门接入的端口上激活。h3c-ethernet2/1/1 packet-filter inbound
3、ip-group traffic-of-payserver 1.4.2 基本访问控制列表配置案例1.组网需求通过基本访问控制列表,实现在每天8:0018:00 时间段内对源ip 为 10.1.1.1 主机发出报文的过滤(该主机从交换机的ethernet2/1/1接入)。2.组网图3.配置步骤以下的配置,只列出了与acl 配置相关的命令。(1)定义时间段#定义 8:00 18:00 时间段。h3c time-range huawei-3com 8:00 to 18:00 daily(2)定义源 ip 为 10.1.1.1 的 acl#进入基于名字的基本访问控制列表视图,命名为traffic-of
4、-host。h3c acl name traffic-of-host basic#定义源 ip 为 10.1.1.1 的访问规则。h3c-acl-basic-traffic-of-host rule 1 deny ip source 10.1.1.1 0 time-range huawei-3com(3)激活 acl#将 traffic-of-host 的 acl 激活。h3c-ethernet2/1/1 packet-filter inbound ip-group traffic-of-host 1.4.3 二层访问控制列表配置案例名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共
5、 4 页 -1.组网需求通过二层访问控制列表,实现在每天8:0018:00 时间段内对源mac 为 00e0-fc01-0101、目的 mac 为 00e0-fc01-0303 的报文的过滤。(在交换机的ethernet2/1/1进行本项配置)2.组网图3.配置步骤以下的配置,只列出了与acl 配置相关的命令。(1)定义时间段#定义 8:00 18:00 时间段。h3c time-range huawei-3com 8:00 to 18:00 daily(2)创建用户自定义流模板h3c flow-template user-defined slot 2 ethernet-protocol sm
6、ac 0-0-0 dmac 0-0-0(3)定义源 mac 为 00e0-fc01-0101、目的 mac 为 00e0-fc01-0303 的 acl#进入基于名字的二层访问控制列表视图,命名为traffic-of-link。h3c acl name traffic-of-link link#定义源 mac 为 00e0-fc01-0101 目的 mac 为 00e0-fc01-0303 的流分类规则。h3c-acl-link-traffic-of-link rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-
7、0 time-range huawei-3com h3c-acl-link-traffic-of-link quit(4)在端口下应用用户自定义流模板,并激活acl#在端口 ethernet2/1/1下应用用户自定义流模板。h3c interface ethernet2/1/1 h3c-ethernet2/1/1 flow-template user-defined#将 traffic-of-link 的 acl 在端口下激活。h3c-ethernet2/1/1 packet-filter inbound link-group traffic-of-link 1.4.4 bt 禁流配置实例1.
8、组网需求bittorrent(比特洪流,简称bt)是一种用来进行文件下载的共享软件,其特点是:下载的人越多,速度越快。bt 下载大大降低了下载服务器的负荷,但也造成网络下载的数据量剧增,使得网络带宽被大量的bt 下载流量占据,严重影响其它网络业务,由此产生了对bt 流量进行有效控制的需求。本配置任务要求通过配置合适的acl 及其子规则,达到禁止bt 数据流通过端口ge7/1/8 的目的。lsb1xp4 系列单板不支持bt 禁流配置。后缀为 da/db/dc 的单板不支持bt 禁流配置。2.组网图3.配置步骤(1)定义用户自定义流模板h3c flow-template user-defined
9、slot 7 ip-protocol bt-flag sip 0.0.0.0 dport(2)定义高级访问控制列表子规则h3c acl number 3000 h3c-acl-adv-3000 rule 0 deny tcp bt-flag h3c-acl-adv-3000 quit 名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页,共 4 页 -(3)进入端口ge7/1/8,在端口下配置bt 禁流h3c interface gigabitethernet 7/1/8 h3c-gigabitethernet7/1/8 flow-template user-defined h3c-gig
10、abitethernet7/1/8 packet-filter inbound ip-group 3000 rule 0 H3C 设备中访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,他是通过使用IP 包中的源IP地址进行过滤,使用的访问控制列表号1到 99 来创建相应的ACL。一、标准访问控制列表的格式:标准访问控制列表是最简单的ACL。他的具体格式如下:acl ACL号/进入 ACL设置界面rule permit|deny source IP地址反向子网掩码例如:rule deny source 192.168.1.1 0.0.0.0这句命令是将
11、所有来自192.168.1.1 地址的数据包丢弃。当然我们也可以用网段来表示,对某个网段进行过滤。命令如下:rule deny source 192.168.1.0 0.0.0.255/将来自 192.168.1.0/24 的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是 0.0.0.255 呢?这是因为华为3COM 设备和 CISCO一样规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255 的代表他的子网掩码为255.255.255.0。二、配置实例:要想使标准ACL生效需要我们配置两方面的命令:1.ACL自身的配置,即将详细的规则添加到ACL中。2.宣告 ACL,
12、将设置好的ACL添加到相应的端口中。例如路由器连接了二个网段,分别为172.16.4.0/23,172.16.3.0/23。在 172.16.4.0/23 网段中有一台服务器提供WWW 服务,IP地址为 172.16.4.12。实例 1:禁止 172.16.4.0/23 网段中除172.16.4.12 这台计算机访问172.16.3.0/23 的计算机。172.16.4.12 可以正常访问172.16.3.0/23。路由器配置命令:acl 1/设置 ACL 1,并进入ACL设置模式rule deny source any/设置 ACL,阻止其他一切IP地址进行通讯传输。int e1/进入 E1
13、端口。firewall packet-filter 1 inbound/将 ACL 1宣告。经过设置后E1 端口就只容许来自172.16.4.13 这个 IP 地址的数据包传输出去了。来自其他IP地址的数据包都无法通过E1 传输。知识链接由于部分 H3C 的设备是默认添加了permit ANY 的语句在每个ACL中,所以上面的rule deny source any 这句命令可以必须添加的,否则设置的ACL将无法生效,所有数据包都会因为结尾的 permit 语句而正常转发出去。另外在路由器连接网络不多的情况下也可以在E0端口使用 firewall packet-filter 1 outboun
14、d命令来宣告,宣告结果和上面最后两句命令效果一样。实例 2:禁止 172.16.4.12 这个计算机对172.16.3.0/23 网段的访问,而172.16.4.0/23 中的其名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 4 页 -他计算机可以正常访问。路由器配置命令:access-list 1/设置 ACL,进入 ACL1设置界面。rule deny source 172.16.4.12 0.0.0.0/阻止 172.16.4.13 这台计算机访问。rule permit source any/设置 ACL,容许其他地址的计算机进行通讯int e1/进入 E1端口firew
15、all packet-filter 1 inbound/将 ACL1宣告,同理可以进入E0端口后使用firewall packet-filter 1 outbound来完成宣告。配置完毕后除了172.16.4.12 其他 IP地址都可以通过路由器正常通讯,传输数据包。需要提醒一点的是默认情况下设备在ACL结尾添加了rule permit source any 的语句,所以本例中可以不输入该语句,效果是一样的。总结标准 ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式。应用比较广泛,经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求。名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 4 页 -