第11章 访问控制列表(ACL)

LOGO网络互联技术与实训2第十一章访问控制列表了解基本接口访问控制列表2了解MAC地址访问控制列表3重点掌握防火墙的启动配置41理解访问控制列表的基本原理重点掌握基本和高级访问控制列表配置53概念：ACL(AccessControlList)技术是一种基于包过滤的流控制技术，它在路由器，三层交换机中被广泛采用。访问控制列表对数据包的源地址、目的地址、端口号及协议号等进行检查，并根据数据包是否匹配访问控制列表规定的条件来决定是否允许数据包通过。访问控制列表概述4H3C设备上访问控制列表按数字标识分为五种：1.接口ACL：数字标识范围1000至1999，是基于接口的访问控制列表；2.基本ACL：数字标识范围2000至2999，只根据源IP地址进行过滤；3.高级ACL：数字标识范围3000至3999，根据数据包的源和目的IP地址及端口，IP承载的协议类型，协议特性等三、四层信息进行过滤；H3C设备上访问控制列表按数字标识分类(con.1)5H3C设备上访问控制列表按数字标识分为五种：4.二层ACL：数字标识范围4000至4999，根据源和目的MAC地址，VLAN优先级，二层协议类型等二层信息进行过滤；5.用户自定义ACL：数字标识范围5000至5999，以数据包的头部为基准，指定从第几个字节开始进行“与”，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配报文来达到过滤的目的。H3C设备上访问控制列表按数字标识分类61.首先要启用防火墙；2.接着创建一个ACL（为acl指定一个number）；3.然后定义规则(即定义根据什么规则来过滤哪种数据包)；4.最后声明ACL规则应用场所(指明在哪些端口上应用，在端口的哪个方向上进行应用)ACL的配置主要包含四个步骤71.启用防火墙(系统视图下)[SYS]firewallenable//打开防火墙[SYS]firewalldefaultpermit//缺省过滤模式为允许通过2.创建一个访问控制列表并进入ACL视图(系统视图下)[SYS]aclnumber2100//创建基本ACL3.增加一条访问控制列表的规则(ACL配置视图下)[SYS-acl-2100]rule1permitsource210.1.1.10.0.0.255[SYS-acl-2100]rule2denysourceany4.在指定场所应用ACL规则(接口视图下)[SYS-Ethernet0/0]firewallpacket-filter2100inbound//在Ethernet0/0流入方向上应用acl2100ACL的配置主要包含四个步骤示例注意：一个aclnumber可以包含很多条rule(规则)；配置时可省略规则号，系统会自行按顺序进行编号。一个acl还可以同时在其他接口上应用，并不只限定于某一个接口。81.启用防火墙(系统视图下)A.[SYS]firewall{enable|disable}//打开或关闭防火墙enable：允许防火墙过滤。disable：禁止防火墙过滤B.[SYS]firewalldefault{permit|deny}//设置防火墙缺省过滤方式。permit：防火墙缺省值过滤模式为允许规则匹配的数据包通过。deny：防火墙缺省值过滤模式为禁止规则匹配的数据包通过。启用防火墙注意：读者在学习ACL配置指令时会觉得参数较多。其实学习ACL很简单，因为根本不必记住每个参数，掌握基本的几个配置就可以了，更具体的参数大家可以在配置时用指令查看。常用的ACL主要是基本的和高级的ACL。注意：以下使用的是H3CAR28路由器中的ACL指令，MSR路由器指令略有不同，部分不同体现在“rule”指令所带参数的顺序上。大家可以参看指令手册。注意：H3C默认防火墙缺省过滤方式是允许的；华为的防火墙缺省过滤模式为允许所有数据包通过，而思科的防火墙缺省过滤模式为禁止通过的。92.定义/删除一个ACL(系统视图下)[SYS]aclnumberacl-number[match-order{config|auto}][SYS]undoacl{numberacl-number|all}定义一个ACLacl-number：访问控制列表的序号，值可以从1000－5999。match-order：指定规则的匹配顺序。config：匹配规则时按规则（rule）的序号顺序进行。match-order缺省值为config。auto：匹配规则时系统自动排序（按“深度优先”的顺序），精确度相同时按用户的配置顺序进行匹配。深度优先顺序的判断原则如下：1.先比较acl规则（rule）的协议范围。IP协议的范围为1～255，承载在IP上的其他协议范围就是自己的协议号；协议范围小的优先；2.再比较源IP地址范围。源IP地址范围小(掩码长)的优先；3.然后比较目的IP地址范围。目的IP地址范围小(掩码长)的优先；4.最后比较四层端口号（TCP/UDP端口号）范围。四层端口号范围小的优先。102.1定义/删除基于接口的访问控制列表的规则（acl-number1000至1999）(ACL视图下)[SYS-acl-aclnumber]rule[rule-id]{permit|deny|commenttext}interface{interface-typeinterface-number|any}[time-rangetime-name][logging][SYS-acl-aclnumber]undorulerule-id[commenttext][logging|time-range]}定义ACL规则（基于接口）参数说明如下：rule-id：可选参数，ACL的规则编号，范围为0～65534。deny：表示拒绝符合条件的数据包通过。permit：表示允许符合条件的数据包通过。interfaceinterface-typeinterface-number：指定数据包的接口信息，但不能是二层以太网端口信息。如果不指定，表示所有的接口都匹配。any代表所有的接口。time-rangetime-name：配置这条访问控制规则生效的时间段。logging：可选参数，是否对符合条件的数据包做日志。注意：当指定了编号，如果与编号对应的规则已经存在，则会部分覆盖旧的规则，相当于重新编辑一个已经存在的规则。故建议用户在编辑一个已存在编号的规则前，先进行查看后将旧的规则删除，再创建新的规则，否则配置结果可能与预期的效果不同。如果不指定编号，表示增加一个新规则，系统自动会为这个规则分配一个编号。112.2定义/删除基本访问控制列表的规则（acl-number2000至2999）(ACL视图下)[SYS-acl-aclnumber]rule[rule-id]{permit|deny|commenttext}[source{sour-addrsour-wildcard|any}][time-rangetime-name][logging][fragment][vpn-instancevpn-instance-name][SYS-acl-aclnumber]undorulerule-id[commenttext][source][time-range][logging][fragment][vpn-instancevpn-instance-name]定义ACL规则（基本访问控制列表）参数说明如下：source：可选参数，指定ACL规则的源地址信息。如果不配置，表示报文的任何源地址都匹配。sour-addr：数据包的源地址；sour-wildcard：源地址的反子网掩码；或用“any”。fragment：指定该规则是否仅对非首片分片报文有效。vpn-instance：可选参数，指定报文是属于哪个VPN实例的。vpn-instance-name：指定具体的VPN实例的名字。源地址是否与ACL规则匹配原则：将数据包的源地址与ACL中sour-wildcard导出的子网掩码进行“与”操作，“与”的结果如果和ACL中的sour-addr和子网掩码进行“与”操作后得出的结果一致，那么该数据包与ACL规则匹配；反之不匹配。高级访问控制列表的目的地址匹配原则与这里的源地址匹配原则一致。122.3定义/删除高级访问控制列表的规则（acl-number3000至3999）(ACL视图下)[SYS-acl-aclnumber]rule[rule-id]{permit|deny|commenttext}protocol[sourcesour-addrsour-wildcard|any]destination[dest-addrwildcard|any][source-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-message|icmp-typeicmp-code}][precedenceprecedence][tostos][time-rangetime-name][logging][fragment][vpn-instancevpn-instance-name]定义ACL规则（高级访问控制列表）参数说明如下一：protocol：用协议名字或数字（协议号）表示的IP承载的协议类型。数字范围为1～255；用名字表示时，可以选取：gre、icmp、igmp、ip、ipinip、ospf、tcp、udp等。source-port：可选参数，指定UDP或者TCP报文的源端口信息，仅仅在规则指定的协议号是TCP或者UDP有效。如果不指定，表示TCP/UDP报文的任何源端口信息都匹配。destination：可选参数，指定ACL规则的目的地址信息。如果不配置，表示报文的任何目的地址都匹配。参数说明如下二：destination：可选参数，指定ACL规则的目的地址信息。如果不配置，表示报文的任何目的地址都匹配。dest-addr：数据包的目的地址dest-wildcard：目的地址的反子网掩码，点分十进制表示；或用“any”代表源地址0.0.0.0，反子网掩码255.255.255.255表示任何目的地址。高级访问控制列表的目的地址匹配原则与基本ACL中的源地址匹配原则一致。参数说明如下三：destination-port：可选参数，指定UDP或者TCP报文的目的端口信息，仅仅在规则指定的协议号是TCP或者UDP时有效。如果不指定，表示TCP/UDP报文的任何目的端口信息都匹配。operator：可选参数。比较源或者目的地址的端口号的操作符。port1、port2：可选参数。TCP或UDP的端口号，用名字或数字表示参数说明如下四：icmp-type：可选参数，指定ICMP报文的类型和消息码信息，仅仅在报文协议是ICMP的情况下有效。如果不配置，表示任何ICMP类型的报文都匹配。icmp-message：ICMP包可以依据ICMP消息类型名字或ICMP消息类型和码的名字进行过滤。icmp-type：ICMP包可以依据ICMP的消息类型进行过滤。取值为0～255的数字。icmp-code：依据ICMP的消息类型进行过滤的ICMP包也可以依据消息码进行过滤。取值为0～255的数字。参数说明如下五：precedenceprecedence：可选参数，数据包可以依据优先级字段进行过滤。取值为0～7的数字，或名字，与参数tos互斥。tostos：可选参数，数据包可以依据服务类型字段进行过滤。取值为0～15的数字，或名字，与参数precedence互斥。注意：source-port和destination-port参数仅仅在规则（rule）指定的协议号是TCP或者UDP时有效。port1、port2：可选参数。TCP或UDP的端口号，除了数字还可以用名字表示。132.4定义/删除二层访问控制列表的规则（acl