华三,思科ACL命令解析

最新推荐文章于 2024-05-25 17:14:39 发布
最新推荐文章于 2024-05-25 17:14:39 发布
阅读量9k 收藏 2
点赞数

基本访问控制列表定义及应用: 第一步:分析哪些源地址,也在分析访问控制需求(含拓扑图内容); 第二步:定义基本访问控制列表, a 弄清基本访问控制列表的表号 H3C: 2000--2999 cisco及其它公司:1-99 b 编写acl H3C:是在管理员用户视图下编写 cisco:全

基本访问控制列表定义及应用:

第一步:分析哪些源地址,也在分析访问控制需求(含拓扑图内容);

第二步:定义基本访问控制列表,
           a 弄清基本访问控制列表的表号
             H3C:             2000--2999
             cisco及其它公司:1-99
           b 编写acl
             H3C:是在管理员用户视图下编写
             cisco:全局模式下编写
           c 命令如下:
             H3C:acl number 2001
                   description JinGuoFirewall                  
                   rule 0 deny source 192.110.10.0 0.0.0.255
                   rule 1 permit source 202.110.10.0 0.0.0.255
             cisco:ip access-list standard 99
                     deny      192.110.10.0 0.0.0.255
                     permit 202.110.10.0 0.0.0.255

第三步:应用(下发编写好的acl列表)
           a H3C:交换机(在交换机物理接口上直接下发) 
                qos 
                packet-filter inbound ip-group 2001
                 路由及防火墙 acl inbound 2001
           b cisco: ip access-group 99 in(可以直接下发于三层vlan接口)

          注: ACL下发于三层vlan接口还是二层物理接口,起到不同的效果,如下发于三层
            vlan接口则属于此vlan的物理接口都会应用于此访问控制列表;如下发于二层物
            理接口,则只限此物理接口应用,另如果想下发多个连续的ACL时,可采用下发于此
            些物理接口所属的芯片组上,例如,一般每8个连续的物理接口就属于同一个芯片组。
               cisco路由交换机举例:int vlan 180       (进入到一个vlan接口)
                     ip access-group 120 in(下发一个访问控制列表,in指进入到vlan的包行使acl控制
                                                                 out指从vlan中出去的包行使acl控制)
            在cisco7609的交换板的物理接口可以转换为路由口使用,实际命令如下:
              interface GigabitEthernet3/17
              no switchport
             转换为路由口后,就可以直接在此物理接口下配置IP地址,方便网络连接。相关ACL可以直接下发于此物理接口
             并不影响策略使用。
            
            为实现更多用户的连接或其它网络用途在一物理接口常需绑定更多IP,具体命令如下:
              ip address 192.168.2.1 255.255.255.0 secondary

           把已有的路由口还原为交换口采用如下命令:
              interface GigabitEthernet3/17            
                switchport

第四步:诊断及测试
           a H3C:dis acl running-packet-filter all 
                 dis acl mode
                 dis acl config all
           b cisco:show access-lists 
                   show ip access-lists

第五步:取消或删除某条策略

           a H3C:undo rule 0 (0 指策略编号)
           
           b cisco:ip access-list standard 99 
                    no 10 (10 指策略编号,该编号不显示,只有在特权模式下通过show ip access-lists 99才可查看) 

*************************************************************************************************************
扩展访问控制列表编写:

第一步:分析哪些源地址、源端口、协议类型、目的地址、目的端口,也在分析访问控制需求(含拓扑图内容);

第二步:定义扩展访问控制列表,
           a 弄清扩展访问控制列表的表号
             H3C:             3000--3999
             cisco及其它公司:100-199
           b 编写acl
             H3C:是在管理员用户视图下编写
             cisco:全局模式下编写
           c 命令如下:
             H3C:acl number 3001 
                  rule 0 permit tcp source 202.110.10.0 0.0.0.255 source-port eq www destination 179.100.17.10 0 
                  rule 1 deny ip 
               (注解:从202.110.10.0/24来的,到179.100.17.10的,使用TCP协议,利用HTTP访问的数据包可以通过)

             cisco:ip access-list extended 199
                   access-list 199 permit tcp 202.110.10.0 0.0.0.255 eq www host 179.100.17.10
                   access-list 199 deny      ip any any
            为方便于ACL的管理,如添加、删除ACL里的条目、并方便ACL的识别与记忆,常采用命名的ACL访问控制列表
            命令如下:
                         ip access-list extended denynet12     (全局配置模式)
                         10 deny ip 10.12.0.0 0.0.0.255 any 
                          (“10”代表ACL的条目,以及执行次序,如考滤策略执行顺序,
                              可采用调整此条目大小实现,小的先执行,大的数字后执行)
                         11 deny ip 10.13.0.0 0.0.0.255 any
                         20 permit ip any any
               
                 另注:ACL的条目缺省情况是以10的倍数出现,也可人为调整大小编辑。

第三步:应用(下发编写好的acl列表)
           a H3C:交换机 
                    QOS                       
                    packet-filter inbound ip-group 3001
                 路由及防火墙 acl inbound 3001
           b cisco: ip access-group 199 in

第四步:诊断及测试
           a H3C:dis acl running-packet-filter all 
                 dis acl mode
                 dis acl config all
           b cisco:show access-lists 
                   show ip access-lists

第五步:取消或删除某条策略

           a H3C:undo rule 0 (0 指策略编号)
           
           b cisco:ip access-list extended 199
                    no 10 (10 指策略编号,该编号不显示,只有在特权模式下通过show ip access-lists 199才可查看)

********************************************************************************************************************
接口访问控制列表编写:

第一步:分析接口,以及访问策略,含拓扑图分析;

第二步:定义接口访问控制列表,
           a 弄清接口访问控制列表的表号
             H3C:             1000--1999
             cisco及其它公司:100-199 (合二为一方式实现接口列表)
           b 编写acl
             H3C:是在管理员用户视图下编写
             cisco:全局模式下编写
           c 命令如下:
             H3C:acl number 1001
                  rule 0 permit interface Ethernet0/0 time-range www
                  #
                 time-range www from 08:30 May/13/2007 to 12:00 Jun/30/2007
               (注解:分成二部分实现,第一实现时间段,第二实现接口列表与时间段关联)

             cisco:ip access-list extended 101 
                    access-list 101 permit ip host 10.115.232.203 any time-range allow-http2
                    access-list 101 permit ip any any time-range allow-http1
                    access-list 101 deny      ip any any
                   #
                    time-range allow-http1
                     periodic weekdays 12:00 to 14:30
                  (注解:分成二部分实现,第一实现时间段,第二实现扩展访问控制列表与时间段关联)

第三步:应用(下发编写好的acl列表)
           a H3C:交换机 packet-filter inbound ip-group 1001
                 路由及防火墙 acl inbound 1001
           b cisco: ip access-group 199 in
                    
第四步:诊断及测试
           a H3C:dis acl running-packet-filter all 
                 dis acl mode
                 dis acl config all
                 debugging ip packet acl 1001 (1001 指需要诊断的ACL列表号)

           b cisco:show access-lists 
                   show ip access-lists
                   debug access-expression

第五步:取消或删除某条策略

           a H3C:undo rule 0 (0 指策略编号)
           
           b cisco:ip access-list extended 199
                    no 10 (10 指策略编号,该编号不显示,只有在特权模式下通过show ip access-lists 199才可查看)
********************************************************************************************************
基于MAC地址访问控制列表配置过程

第一步:分析MAC地址,以及访问策略,含拓扑图分析;

第二步:定义MAC地址访问控制列表,
           a 弄清MAC地址访问控制列表的表号
             H3C:             4000--4999
             cisco:基本MAC地址列表:700-799 ;扩展MAC地址列表:1100-1199(基本列表控制是源MAC,扩展列表控制源、目等参数)
           b 编写acl
             H3C:是在管理员用户视图下编写
             cisco:全局模式下编写
           c 命令如下:
             H3C:acl number 4000
                  rule 0 permit 802.3 ingress 0001-0001-0001 egress 0002-0002-0002
                  rule 1 deny ingress any egress any
                  #
             cisco:access-list 1100 permit 1.1.1 f.f.f 2.2.2 f.f.f
                   或access-list 700 permit 1.1.1 f.f.f 
                   #
第三步:应用(下发编写好的acl列表)
           a H3C:交换机 
                  qos
                  packet-filter inbound link-group 4000
                 路由及防火墙 acl inbound 4000
           b cisco: ip access-group 700 in
                    或ip access-group 1100 in

第四步:诊断及测试
           a H3C:dis acl running-packet-filter all 
                 dis acl mode
                 dis acl config all
                 debugging ip packet acl 4000 (4000 指需要诊断的ACL列表号)

           b cisco:show access-lists 
                   show ip access-lists
                   debug access-expression

第五步:取消或删除某条策略

           a H3C:undo rule 0 (0 指策略编号)
           
           b cisco: no access-list 1100 
                   (直接删除整条策略,如需要,则需重重新编写,然后下发。

和乐赢
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
华三ACL命令大全华三ACL命令大全_华三交换机查看型号命令
01-08
华三ACL命令大全
H3C设备ACL基本配置
weixin_33947521的博客
02-14 1553
ACL 的配置 第一、ACL 的配置: ———————————————————————— |访问控制列表的分类 | 数字序号的范围 | |——————————————————————— |基本访问控制列表 | 2000-2999 | |——————...
思科ACL访问控制列表配置命令教程
最新发布
2301_76845656的博客
05-25 2519
访问控制列表ACL概念访问控制列表简称为ACL,访问控制列表使用包过滤技术,在上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的 支持了。入:已经到达路由器接口的数据包,但是还没有被路由器处理。出:已经 经过路由器的处理,正要离开路由器接口的数据包标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上。
H3C交换机单向访问控制
zdl244的博客
12-03 6126
H3C交换机单向访问控制 交换机vlan10:172.16.1.254,vlan1:192.168.1.225 PC1:192.168.1.224 网关192.168.1.225 PC2:172.16.1.10 网关 172.16.1.254 ICMP单向访问控制: 192.168.1.224可以ping172.16.1.10,反过来拒绝 抓包分析: 上图是192.168.1.224去ping...
ACL详解
weixin_60917414的博客
03-22 2790
ACL详解,很详细
H3C acl配置举例
qq_20127559的博客
10-16 4489
ACL配置举例
网络入门-访问控制列表ACL
不定期分享一些自己的学习笔记
10-20 1198
网络入门-访问控制列表ACL
ACL应用及其配置 (访问控制列表
Kiro君的博客
12-09 1万+
ASL及其配置什么是ASL? 什么是ASL?
h3c acl配置一列
weixin_30538029的博客
03-02 459
acl number 3004 rule 0 permit ip source 10.2.1.4 0 rule 1 deny ip source 192.168.1.91 0 rule 2 deny ip source 192.168.9.6 0 rule 3 deny ip source 192.168.1.94 0 rule 4 deny ip source 10.1....
ACL 访问控制列表
weixin_46540009的博客
03-21 531
ACL 访问控制列表 1、访问控制 在路由器流量进出接口上匹配流量 之后对其进行限制 2、定义感兴趣的流量 ACL限制手段 拒绝 允许 匹配规则 自上而下 匹配到则停止 cisco默认最后隐含拒绝所有 华为默认最后允许所有 ACL分类: 1、标准ACL 仅匹配流量中的源IP地址 2、扩展ACL 匹配流量中的源目ip地址,目标端口号或协议号 ACL写法: 1、编号 标准2000-2999,扩展3000-3999 2、命名 类似描述 编号写法: [r2]acl 2000 [r2-acl-basic-20
数通核心技术----访问控制列表ACL
weixin_43727063的博客
01-07 684
ACL 应用场景 一般用于路由器和防火墙上,但是在路由器上称为ACL、防火墙上一般称为策略,策略是升级版的ACL,可以基于IP、端口、协议、应用层数据来进行各种过滤 ACL分类 标准ACL 表号:1-99 特点:只能基于源IP地址对包进行过滤 扩展ACL 表号:100-199 特点:可以基于源IP地址、目标IP地址、目标端口号、协议等对包进行过滤 ACL原理 1、ACL表配置完成后,必须应用到接口的in或者out方向上才能生效 2、一个接口的一个方向上只能应用一张表 3、在所有ACL表最后都
访问控制列表 ACL
centos的博客
10-17 5984
访问控制列表(Access Control ListACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。其目的是为了对某种访问进行控制。 作用        ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。 ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一
ACL配置与管理——3
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
09-28 4656
ACL配置示例 基本ACL、高级ACL、二层ACL和用户自定义ACL的配置方法。 一、基本ACL配置示例 如上图拓扑,Switch作为FTP服务器(172.16.104.110/24),已知Switch与各个子网之间路由可达。现在要通过基本ACL过滤用户访问FTP服务器时报文中源IP地址,限制用户访问交换机上FTP服务器的权限,具体要求如下: (1)子网1(172.16.105
八、常用网络协议与应用——ACL
积累
04-02 1581
ACLaccess control list 访问控制列表,用于数据包的访问控制。
H3C设备运行状态查询常用命令
热门推荐
wangyuxiang946的博客
11-12 1万+
1️⃣查看版本及SN、MAC等信息 display version 1 2️⃣查看物理端口信息 display interface brief 1 3️⃣查看用户信息 display users 1 4️⃣查看CPU、内存、风扇、电源使用情况 disp...
【网络】新华三H3C交换机 抓包|H3C交换机文档
bandaoyu的note
04-21 1万+
摘自:https://cshihong.github.io/2020/11/20/%E5%A6%82%E4%BD%95%E5%9C%A8%E4%BA%A4%E6%8D%A2%E6%9C%BA%E4%B8%8A%E6%8A%93%E5%8C%85/ H3C交换机抓包: 在华三交换机上可使用:packet-capture 命令,在用户视图下执行。 具体操作可查看这:https://www.h3c.com/cn/d_202009/1327093_30005_0.htm 复制 1 2 3 4 5
华为设备的ACL
网络设备配置-华为
04-20 4890
** 实验题目和需求 ACLAccess Control List)就是为了控制访问权限,是应用在路由器接口的指令列表。 直接给个图吧,题目写在了图中。图中的各个设备都已经配置好。(静态路由别忘了) ACL是需要根据需求来规划,先来分析一波题目的需求和做一些说明。 1.用路由器来作为网管设备,因为华为PC机没有远程这个功能。 2.R1只许网管设备远程,所以他的ACL应该除了网管设备其他都应该屏...
[精华] 思科、华为、H3C命令对照表【网络技术联盟站】
网络技术联盟站
03-29 2324
最近又太多的朋友想要思科、华为、h3c命令了,本文是三大厂商命令的对照表。 各个厂商的详细命令可以点击以下链接: 下面将列出思科、华为、h3c命令的对照表,命令顺序也是思科、华为、h3c哦!!!!! 取消/关闭 当前设置 思科:no 华为:undo h3c:undo 查看、显示 思科:show 华为:display h3c:display 退回上级 思科:exit 华为:quit h3c:quit 设置主机名 思科:hostname 华
Access Control List 访问控制列表
weixin_34411563的博客
08-23 832
AccessControl ListACL可以应用于很多场合,最为常见的是以下情形:1.过滤邻居设备间传递的路由信息;2.控制交互访问,以此阻止非法访问设备的行为-如对console接口,telnetssh访问实施控制;3.控制穿越设备的流量和网络访问;4.通过限制对路由器上某些服务的访问来保护路由器,如HTTP,SNMP及NTP;5....
华三防火墙全部命令解析
05-22
华三防火墙命令集主要包括以下几个方面: 1. 用户管理命令 - 添加用户:add user username password - 删除用户:delete user username - 修改用户密码:modify user username password - 显示用户列表:display user 2. 防火墙基本配置命令 - 配置管理口IP地址:system-view -> interface mng -> ip address x.x.x.x y.y.y.y - 配置SNMP:snmp-agent community read public - 配置SSH:ssh server enable 3. ACL命令 - 添加ACLacl number 3000 rule 0 permit icmp source 10.0.0.0 0.255.255.255 - 显示ACL列表:display acl 3000 4. 路由命令 - 添加静态路由:ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 - 显示路由表:display ip routing-table 5. NAT命令 - 添加NAT规则:nat address-group 1 10.0.0.0 0.255.255.255 -> interface GigabitEthernet 0/0/1 - 显示NAT规则:display nat address-group 1 6. VPN命令 - 配置VPN:vpdn-group 1 request-dialin - 显示VPN信息:display vpdn-group 1 以上是华三防火墙的一些基本命令,不同型号的华三防火墙可能会有所不同。需要注意的是,在操作防火墙时,一定要仔细核对命令,避免因误操作而造成不必要的损失。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值