PS:本篇仅挑选作者认为重要的模块,并不全面仅供复习参考,具体请自行查阅相关书籍。设有H3CNE-H3CTE学习博客专栏,敬请关注。
用访问控制列表实现包过滤
ACL:访问控制列表,用来实现数据包识别功能
NE课程中的ACL的应用:
把ACL下发到路由器的接口下,过滤接口收发的用户数据
该过滤功能是通过路由器的防火墙功能模块实现
整体叫包过滤防火墙技术
ACL分类
基本:数字序号2000~2999,只根据报文的源IP地址信息制定规则
高级:3000~3999,可匹配报文的源IP地址,目的IP地址,IP承载的协议类型、特性等
基于二层的ACL:4000~4999:根据报文的源MAC,目的MAC、802.1p优先级等二层
不同的ACL匹配的对象不同
注意:包过滤防火墙功能,V7设备默认开启,V5设备默认关闭
[ ]firewall enable
定义默认规则:
[ ]packet-filter default permit/deny. 允许所有/拒绝所有
注意:在H3C设备上,ACL如果在包过滤防火墙技术中使用,默认规则是permit,但是在其他技术中使用,默认规则是deny,思科华为全是deny
配置ACL 已经定义ACL下的具体规则
V7:acl basic 2000-2999/acl advanced 3000-3999
Rule 0
Rule 5
Rule 10
最后隐藏的默认规则
具体自己打问号看
[ ] rule number deny/permit [counting|fragment|logging] source {sou-addr wildcard|any} |time-range timerange-name
[ ]rule number deny/permit protocol destination {dest-addr wildcard|any} |destination-port
Operator port1[port2] established|fragment|source {sou-addr wildcard|any} |destination-port Operator port1[port2] |time-range timerange-name
Operator 取值位lt(小于)、gt(大于)、eq(等于)、neq(不等于)或者range
Established:TCP连接建立标识。是TCP协议特有的参数,定义规则匹配带有ack或者rst的TCP连接报文
Frament:分片信息。定义规则仅对非首片分片报文有效,而对非分片和首片报文无效
在接口上应用
[int]packet-filter {acl-number|name acl-name} {inbound|outbound}
匹配顺序:
auto:深度优先
config:顺序匹配,从小到大,最后匹配默认规则
[ ]acl basic|advanced match-order auto|config
部署原则:
1.越靠近源越好
2.尽量在连接在终端的端口下部署acl