交换机acl

2023-10-11 20:29:16


创建高级规则

ACL  #范围为2000~2999  可使用IPv4报文的源IP地址、分片标记和时间段信息来定义规则
ACL  #范围为3000~3999  既可使用IPv4报文的源IP地址,也可使用目的地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则
二层ACL  #范围为4000~4999  可根据报文的以太网帧头信息来定义规则,如根据源MAC(Media Access Control)地址、目的MAC地址、以太帧协议类型等
自定义ACL  范围为5000~5999  #可根据偏移位置和偏移量从报文中提取出一段内容进行匹配

一个ACL可以由多条“deny | permit”语句组成,每一条语句描述一条规则,设备支持两种匹配顺序,即配置顺序(config)和自动排序(auto)。默认采用配置顺序进行配置,也就是按照配置rule的先后顺序进行匹配。也可以采用命令match-order { auto | config }来修改。
auto:匹配规则时系统自动排序(按“深度优先”的顺序)。
若“深度优先”的顺序相同,则匹配规则时按rule-id由小到大的顺序。深度优先的原则,可以参考产品手册的“配置”-“安全配置”-“ACL配置”-原理描述”-“ACL的匹配顺序”,手册中有比较详细的介绍。

config:匹配规则时按用户的配置顺序进行匹配。若用户指定了rule-id,则匹配规则时,按rule-id由小到大的顺序。
-------------------------------------------------------------------------------------------------------------------------
dis acl  all 查看全部规则
dis acl 3000  查看3000得规则
规则可以添加 不能修改,

acl 3000     创建规则

rule 5 deny ip source 168.168.1.0 0.0.0.255 destination 168.168.5.0 0.0.0.255   

在vlan对应的接口下挂接acl
int g0/0/1    进入接口

traffic-filter inbound acl 3000     挂载 规则

------------------------------------------------------------------------------------------------------------
方法1:通过vlan ACL 包过滤 (这个最简单)   rule 5  是以5为步长进行编号
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
                                                           源                                            目的
[Huawei-acl-adv-3000]rule 100 permit ip
[Huawei-acl-adv-3000]quit
[Huawei]traffic-filter vlan 10 inbound acl 3000      #相当于H3C在接口上启用包过滤,注意方向,我配置的是in方向。
----------------------------------------------------------------------------------------------------------------------------
规则整理
[Switch_4] acl 3000
[Switch_4-acl-adv-3000] rule 5 deny ip destination 168.168.2.0 0.0.0.255
[Switch_4-acl-adv-3000] rule 10 deny ip destination 168.168.3.0 0.0.0.255
[Switch_4-acl-adv-3000] quit

-------------------------------------------------------------------------------------------------------------
直接全部阻止
[Huawei]acl 3001
[Huawei-acl-adv-3001]rule 5 deny ip destination 0.0.0.0 255.255.255.255      阻止任何地址  等于  rule 5 deny ip
[Huawei-acl-adv-3001]quit 

优化后
 rule 5 permit ip destination 168.168.2.0 0.0.0.255   允许这个网段通过   
 rule 10 deny ip        其他得都阻止
---------------------------------------------------------------------------------------------------------------------


#创建高级acl
acl number 3001
rule 5 permit tcp source 192.168.21.11 0 destination 192.168.21.100 0 destination-port eq www
rule 10 deny icmp source 192.168.21.11 0 destination 192.168.21.100 0
 
#在接口的上应用acl
interface GigabitEthernet0/0/2
traffic-filter inbound acl 300



拒绝168.168.1.0网段 访问168.168.5.0网段
rule 5 deny ip source 168.168.5.0 0.0.0.255 destination 168.168.1.0 0.0.0.255


进入接口模式     直接应用规 对  inbound 进入得方向 进行使用规则
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]traffic-filter inbound acl 3000
[Huawei-GigabitEthernet0/0/2]quit
上一篇:【说云精选】 容器化与 Docker 专刊 第一期


下一篇:setfacl语法