华为acl规则选读.docVIP

华为acl规则 　　网络中经常提到的acl规则是Cisco IOS所提供的一种访问控制技术。 　　初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。 　　基本原理：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。 　　功能：网络中的节点有资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。 　　在实施ACL的过程中，应当遵循如下两个基本原则： 　　1.最小特权原则：只给受控对象完成任务所必须的最小的权限。 　　2.最靠近受控对象原则：所有的网络层访问权限控制。 　　3.默认丢弃原则：在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。 　　局限性：由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到end to end的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。 　　acl规则要如何写？ 　　1、设置acl ： 　　acl number 3000 　　rule 0 permit ip source 服务器端的子网 掩码的反码 //允许哪些子网访问服务器 　　rule 5 deny ip destination 服务器端的子网 掩码的反码 //不允许哪些子网访问服务器 　　2、绑定到端口： 　　interface gig 0/1 //进入服务器所在的交换机端口 [GigabitEthernet0/1] firewall packet-filter 3000 inbound //把acl绑定到端口 acl match-order { config | auto }命令可以acl规则下发前预先确定其在整个acl内的匹配顺序，而acl order命令用来指定规则下发到硬件后的匹配顺序。交换机支持三种下发到硬件的acl规则生效顺序：深度优先、先下发先生效、后下发先生效。用户可以指定一种。??? 1.3.1 配置过程??? ??? 1.3.2 配置举例??? # 配置下发到硬件的acl规则生效顺序为先下发先生效。??? [h3c] system-view??? [h3c] acl order first-config-first-match??? [h3c] display acl order??? the current order is first-config-first-match ACL和RouteMap的permit和deny规则在路由重分配时的动作 B 两台路由器通过E1/1接口直联，运行OSPF。A路由器配置3条静态路由：ip route Ethernet1/1ip route Ethernet1/1ip route Ethernet1/1A路由器ospf的配置如下：router ospf 1log-adjacency-changesredistribute static route-map testnetwork 55 area 11）在A路由器上，不配置任何ACL，只配置RouteMap，配置如下：route-map test permit 10match ip address 1此时ACL 1是一张空表。配置完成之后过几秒钟，在B路由器上查看OSPF的路由表，如下：Link ID? ?? ?? ?ADV Router? ?? ?Age? ?? ?? ?Seq#? ?? ? Checksum Tag? ?? ?? ?? ???52? ?? ?? ? 00x0073BA 0? ?? ?? ?? ???1207? ?? ???00x0066C6 0? ?? ?? ?? ???1207? ?? ???00x0059D2 0A路由器上的三条静态路由都成功的重分配进OSPF，并传给了B路由器。单步总结：当Rout