第二步:定义扩展访问控制列表, a 弄清扩展访问控制列表的表号 H3C: 3000--3999 cisco及其它公司:100-199 b 编写acl H3C:是在管理员用户视图下编写 cisco:全局模式下编写 c 命令如下: H3C:acl number 3001 rule 0 permit tcp source 202.110.10.0 0.0.0.255 source-port eq www destination 179.100.17.10 0 rule 1 deny ip (注解:从202.110.10.0/24来的,到179.100.17.10的,使用TCP协议,利用HTTP访问的数据包可以通过)
cisco:ip access-list extended 199 access-list 199 permit tcp 202.110.10.0 0.0.0.255 eq www host 179.100.17.10 access-list 199 deny ip any any 为方便于ACL的管理,如添加、删除ACL里的条目、并方便ACL的识别与记忆,常采用命名的ACL访问控制列表 命令如下: ip access-list extended denynet12 (全局配置模式) 10 deny ip 10.12.0.0 0.0.0.255 any (“10”代表ACL的条目,以及执行次序,如考滤策略执行顺序, 可采用调整此条目大小实现,小的先执行,大的数字后执行) 11 deny ip 10.13.0.0 0.0.0.255 any 20 permit ip any any 另注:ACL的条目缺省情况是以10的倍数出现,也可人为调整大小编辑。
第三步:应用(下发编写好的acl列表) a H3C:交换机 QOS packet-filter inbound ip-group 3001 路由及防火墙 acl inbound 3001 b cisco: ip access-group 199 in
第四步:诊断及测试 a H3C:dis acl running-packet-filter all dis acl mode dis acl config all b cisco:show access-lists show ip access-lists
第五步:取消或删除某条策略
a H3C:undo rule 0 (0 指策略编号) b cisco:ip access-list extended 199 no 10 (10 指策略编号,该编号不显示,只有在特权模式下通过show ip access-lists 199才可查看)
第二步:定义接口访问控制列表, a 弄清接口访问控制列表的表号 H3C: 1000--1999 cisco及其它公司:100-199 (合二为一方式实现接口列表) b 编写acl H3C:是在管理员用户视图下编写 cisco:全局模式下编写 c 命令如下: H3C:acl number 1001 rule 0 permit interface Ethernet0/0 time-range www # time-range www from 08:30 May/13/2007 to 12:00 Jun/30/2007 (注解:分成二部分实现,第一实现时间段,第二实现接口列表与时间段关联)
cisco:ip access-list extended 101 access-list 101 permit ip host 10.115.232.203 any time-range allow-http2 access-list 101 permit ip any any time-range allow-http1 access-list 101 deny ip any any # time-range allow-http1 periodic weekdays 12:00 to 14:30 (注解:分成二部分实现,第一实现时间段,第二实现扩展访问控制列表与时间段关联)
第三步:应用(下发编写好的acl列表) a H3C:交换机 packet-filter inbound ip-group 1001 路由及防火墙 acl inbound 1001 b cisco: ip access-group 199 in 第四步:诊断及测试 a H3C:dis acl running-packet-filter all dis acl mode dis acl config all debugging ip packet acl 1001 (1001 指需要诊断的ACL列表号)
b cisco:show access-lists show ip access-lists debug access-expression
第五步:取消或删除某条策略
a H3C:undo rule 0 (0 指策略编号) b cisco:ip access-list extended 199 no 10 (10 指策略编号,该编号不显示,只有在特权模式下通过show ip access-lists 199才可查看) ******************************************************************************************************** 基于MAC地址访问控制列表配置过程
第一步:分析MAC地址,以及访问策略,含拓扑图分析;
第二步:定义MAC地址访问控制列表, a 弄清MAC地址访问控制列表的表号 H3C: 4000--4999 cisco:基本MAC地址列表:700-799 ;扩展MAC地址列表:1100-1199(基本列表控制是源MAC,扩展列表控制源、目等参数) b 编写acl H3C:是在管理员用户视图下编写 cisco:全局模式下编写 c 命令如下: H3C:acl number 4000 rule 0 permit 802.3 ingress 0001-0001-0001 egress 0002-0002-0002 rule 1 deny ingress any egress any # cisco:access-list 1100 permit 1.1.1 f.f.f 2.2.2 f.f.f 或access-list 700 permit 1.1.1 f.f.f # 第三步:应用(下发编写好的acl列表) a H3C:交换机 qos packet-filter inbound link-group 4000 路由及防火墙 acl inbound 4000 b cisco: ip access-group 700 in 或ip access-group 1100 in
第四步:诊断及测试 a H3C:dis acl running-packet-filter all dis acl mode dis acl config all debugging ip packet acl 4000 (4000 指需要诊断的ACL列表号)
b cisco:show access-lists show ip access-lists debug access-expression
第五步:取消或删除某条策略
a H3C:undo rule 0 (0 指策略编号) b cisco: no access-list 1100 (直接删除整条策略,如需要,则需重重新编写,然后下发。