H3CNE-用访问控制列表实现包过滤(ACL)

PS:本篇仅挑选作者认为重要的模块,并不全面仅供复习参考,具体请自行查阅相关书籍。设有H3CNE-H3CTE学习博客专栏,敬请关注。



用访问控制列表实现包过滤

ACL:访问控制列表,用来实现数据包识别功能

       NE课程中的ACL的应用:

            ACL下发到路由器的接口下,过滤接口收发的用户数据

             该过滤功能是通过路由器的防火墙功能模块实现

整体叫包过滤防火墙技术


ACL分类

基本:数字序号20002999,只根据报文的源IP地址信息制定规则

高级:30003999,可匹配报文的源IP地址,目的IP地址,IP承载的协议类型、特性等

基于二层的ACL40004999:根据报文的源MAC,目的MAC802.1p优先级等二层

不同的ACL匹配的对象不同




注意:包过滤防火墙功能,V7设备默认开启,V5设备默认关闭

[ ]firewall enable


定义默认规则:

[ ]packet-filter default permit/deny. 允许所有/拒绝所有

注意:在H3C设备上,ACL如果在包过滤防火墙技术中使用,默认规则是permit,但是在其他技术中使用,默认规则是deny,思科华为全是deny




配置ACL 已经定义ACL下的具体规则

V7:acl basic 2000-2999/acl advanced 3000-3999

      Rule 0

      Rule 5

      Rule 10

      最后隐藏的默认规则

具体自己打问号看

[ ] rule number deny/permit [counting|fragment|logging] source {sou-addr wildcard|any} |time-range timerange-name

[ ]rule number deny/permit protocol destination  {dest-addr wildcard|any} |destination-port 

Operator port1[port2] established|fragment|source  {sou-addr wildcard|any} |destination-port Operator port1[port2] |time-range timerange-name


Operator 取值位lt(小于)、gt(大于)、eq(等于)、neq(不等于)或者range 

EstablishedTCP连接建立标识。是TCP协议特有的参数,定义规则匹配带有ack或者rstTCP连接报文

Frament:分片信息。定义规则仅对非首片分片报文有效,而对非分片和首片报文无效

在接口上应用

[int]packet-filter {acl-number|name acl-name} {inbound|outbound}


匹配顺序:

auto:深度优先

config:顺序匹配,从小到大,最后匹配默认规则

[ ]acl basic|advanced match-order auto|config


部署原则:

1.越靠近源越好

2.尽量在连接在终端的端口下部署acl


你可能感兴趣的:(H3CNE,H3CNE-H3CTE学习历程)