H3C配置ACL

最新推荐文章于 2025-03-03 10:42:48 发布

J.T.L

最新推荐文章于 2025-03-03 10:42:48 发布

阅读量1.8w

点赞数 6

分类专栏：计算机网络文章标签：网络网络协议拓扑学

本文链接：https://blog.csdn.net/qq_47200222/article/details/123284671

版权

计算机网络专栏收录该内容

5 篇文章

订阅专栏

H3C配置ACL

1. ACL简介

随着网络规模的扩大和流量的增加，对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对数据包进行过滤，可以有效防止非法用户对网络的访问，同时也可以控制流量，节约网络资源。ACL（Access Control List，访问控制列表）即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。

当交换机的端口接收到报文后，即根据当前端口上应用的 ACL 规则对报文的字段进行分析，在识别出特定的报文之后，根据预先设定的策略允许或禁止相应的数据包通过。

由 ACL 定义的数据包匹配规则，也可以被其它需要对流量进行区分的功能引用，如 QoS 中流分类规则的定义。

ACL 通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。根据应用目的，可将 ACL 分为以下几种：

基本ACL：只根据数据包的源IP地址指定规则
高级ACL：根据数据包的源IP、目的IP、IP承载的协议类型、协议特性等三、四层信息制定规则。
二层ACL：根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。
用户自定义ACL：以数据包的头部为基准，制定从第几个字节开始与掩码进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。

2. ACL配置

2.1 配置时间段

配置步骤	命令	说明
进入系统视图	system-view	-
创建一个时间段	time-range time-name { start-time to end-time days-of-the-week [ from start-time start-date ] [ to end-time end-date ] from start-time start-date \| [ to end-time end-date ]	`必选`

举例

# 配置周期时间段，时间范围为周一到周五每天 8:00 到 18:00。

<Sysname> system-view
[Sysname] time-range test 8:00 to 18:00 working-day
[Sysname] display time-range test
Current time is 13:27:32 Apr/16/2005 Saturday

2.2 定义基本 ACL

基本 ACL 只根据源 IP 地址制定规则，对数据包进行相应的分析处理。

基本 ACL 的序号取值范围为 2000～2999。

配置步骤	命令	说明
进入系统视图	system-view	-
创建一个时间段	acl number acl-number [ match-order { auto \| config } ]	`必选` 缺省情况下，匹配顺序为 config
定义 ACL 规则	rule [ rule-id ] { deny \| permit } [ rule-string ]	`必选` rule-string 的具体内容请参见命令手册
定义 ACL 的描述信息	description text	`可选` 缺省情况下，ACL 没有描述信息

举例

# 配置基本 ACL 2000，禁止源 IP 地址为 192.168.0.1 的报文通过。

<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule deny source 192.168.0.1 0

# 显示基本 ACL 2000 的配置信息。

[Sysname-acl-basic-2000] display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 1
 rule 0 deny source 192.168.0.1 0

2.2 定义高级ACL

高级 ACL 可以使用数据包的源 IP 地址、目的 IP 地址、IP 承载的协议类型、针对协议的特性（例如 TCP 或 UDP 的源端口、目的端口，ICMP 协议的消息类型、消息码等）内容定义规则。高级 ACL 序号取值范围 3000～3999（3998 与 3999 是系统为集群管理预留的编号，用户无法配置）。

高级 ACL 支持对三种报文优先级的分析处理：ToS（Type of Service，服务类型）优先级、IP 优先级和 DSC（Differentiated Services CodePoint，差分服务编码点）优先级。用户可以利用高级 ACL 定义比基本 ACL 更准确、更丰富、更灵活的规则。

配置步骤	命令	说明
进入系统视图	system-view	-
创建并进入高级ACL视图	acl number acl-number [ match-order { auto \| config } ]	`必选` 缺省情况下，匹配顺序为 config
定义 ACL 规则	rule [ rule-id ] { deny \| permit } protocol [ rule-string ]	`必选` protocol 和rule-string 的具体内容请参见命令手册
定义 ACL 规则的注释信息	rule rule-id comment text	`可选` 缺省情况下，ACL 规则没有注释信息
定义ACL的描述信息	description text	`可选` 缺省情况下，ACL 没有描述信息

举例

# 配置高级 ACL 3000，允许从 129.9.0.0/16 网段的主机向 202.38.160.0/24 网段的主机发送的端口号为 80 的 TCP 报文通过。

<Sysname> system-view
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination
202.38.160.0 0.0.0.255 destination-port eq 80

# 显示高级 ACL 3000 的配置信息。

[Sysname-acl-adv-3000] display acl 3000
Advanced ACL 3000, 1 rule
Acl's step is 1
 rule 0 permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255
destination-port eq www

2.3 定义二层ACL

二层 ACL 根据源 MAC 地址、目的 MAC 地址、802.1p 优先级、二层协议类型等二层信息制定规则，对数据进行相应处理。

二层 ACL 的序号取值范围为 4000～4999。

配置步骤	命令	说明
进入系统视图	system-view	-
创建并进入二层ACL视图	acl number acl-number	`必选`
定义 ACL 规则	rule [ rule-id ] { deny \| permit } [ rule-string ]	`必选` rule-string 的具体内容请参见命令手册
定义 ACL 规则的注释信息	rule rule-id comment text	`可选` 缺省情况下，ACL 规则没有注释信息
定义ACL的描述信息	description text	`可选` 缺省情况下，ACL 没有描述信息

举例

配置二层 ACL 4000，禁止从 MAC 地址 000d-88f5-97ed 发送到 MAC 地址 0011-4301-991e 且 802.1p 优先级为 3 的报文通过。

<Sysname> system-view
[Sysname] acl number 4000
[Sysname-acl-ethernetframe-4000] rule deny cos 3 source 000d-88f5-97ed ffff-ffff-ffff 
dest 0011-4301-991e ffff-ffff-ffff

# 显示二层 ACL 4000 的配置信息。

[Sysname-acl-ethernetframe-4000] display acl 4000
Ethernet frame ACL 4000, 1 rule
Acl's step is 1
 rule 0 deny cos excellent-effort source 000d-88f5-97ed ffff-ffff-ffff dest
0011-4301-991e ffff-ffff-ffff