acl基本配置
2008年01月04日 星期五 上午 02:55
基本访问控制列表定义及应用:

第一步:分析哪些源地址,也在分析访问控制需求(含拓扑图内容);

第二步:定义基本访问控制列表,
           a 弄清基本访问控制列表的表号
             H3C:             2000--2999
             cisco及其它公司:1-99
           b 编写acl
             H3C:是在管理员用户视图下编写
             cisco:全局模式下编写
           c 命令如下:
             H3C:acl number 2001
                   description JinGuoFirewall                 
                   rule 0 deny source 192.110.10.0 0.0.0.255
                   rule 1 permit source 202.110.10.0 0.0.0.255
             cisco:ip access-list standard 99
                     deny      192.110.10.0 0.0.0.255
                     permit 202.110.10.0 0.0.0.255

第三步:应用(下发编写好的acl列表)
           a H3C:交换机(在交换机物理接口上直接下发)
                qos
                packet-filter inbound ip-group 2001
                 路由及防火墙 acl inbound 2001
           b cisco: ip access-group 99 in(可以直接下发于三层vlan接口)

          注: ACL下发于三层vlan接口还是二层物理接口,起到不同的效果,如下发于三层
            vlan接口则属于此vlan的物理接口都会应用于此访问控制列表;如下发于二层物
            理接口,则只限此物理接口应用,另如果想下发多个连续的ACL时,可采用下发于此
            些物理接口所属的芯片组上,例如,一般每8个连续的物理接口就属于同一个芯片组。
               cisco路由交换机举例:int vlan 180       (进入到一个vlan接口)
                     ip access-group 120 in(下发一个访问控制列表,in指进入到vlan的包行使acl控制
                                                                 out指从vlan中出去的包行使acl控制)
            在cisco7609的交换板的物理接口可以转换为路由口使用,实际命令如下:
              interface GigabitEthernet3/17
              no switchport
             转换为路由口后,就可以直接在此物理接口下配置IP地址,方便网络连接。相关ACL可以直接下发于此物理接口
             并不影响策略使用。
           
            为实现更多用户的连接或其它网络用途在一物理接口常需绑定更多IP,具体命令如下:
              ip address 192.168.2.1 255.255.255.0 secondary

           把已有的路由口还原为交换口采用如下命令:
              interface GigabitEthernet3/17           
                switchport

第四步:诊断及测试
           a H3C:dis acl running-packet-filter all
                 dis acl mode
                 dis acl config all
           b cisco:show access-lists
                   show ip access-lists

第五步:取消或删除某条策略

           a H3C:undo rule 0 (0 指策略编号)
          
           b cisco:ip access-list standard 99
                    no 10 (10 指策略编号,该编号不显示,只有在特权模式下通过show ip access-lists 99才可查看)

*************************************************************************************************************
扩展访问控制列表编写:

第一步:分析哪些源地址、源端口、协议类型、目的地址、目的端口,也在分析访问控制需求(含拓扑图内容);

第二步:定义扩展访问控制列表,
           a 弄清扩展访问控制列表的表号
             H3C:             3000--3999
             cisco及其它公司:100-199
           b 编写acl
             H3C:是在管理员用户视图下编写
             cisco:全局模式下编写
           c 命令如下:
             H3C:acl number 3001
                  rule 0 permit tcp source 202.110.10.0 0.0.0.255 source-port eq www destination 179.100.17.10 0
                  rule 1 deny ip
               (注解:从202.110.10.0/24来的,到179.100.17.10的,使用TCP协议,利用HTTP访问的数据包可以通过)

             cisco:ip access-list extended 199
                   access-list 199 permit tcp 202.110.10.0 0.0.0.255 eq www host 179.100.17.10
                   access-list 199 deny      ip any any
            为方便于ACL的管理,如添加、删除ACL里的条目、并方便ACL的识别与记忆,常采用命名的ACL访问控制列表
            命令如下:
                         ip access-list extended denynet12     (全局配置模式)
                         10 deny ip 10.12.0.0 0.0.0.255 any
                          (“10”代表ACL的条目,以及执行次序,如考滤策略执行顺序,
                              可采用调整此条目大小实现,小的先执行,大的数字后执行)
                         11 deny ip 10.13.0.0 0.0.0.255 any
                         20 permit ip any any
              
                 另注:ACL的条目缺省情况是以10的倍数出现,也可人为调整大小编辑。

第三步:应用(下发编写好的acl列表)
           a H3C:交换机
                    QOS                      
                    packet-filter inbound ip-group 3001
                 路由及防火墙 acl inbound 3001
           b cisco: ip access-group 199 in

第四步:诊断及测试
           a H3C:dis acl running-packet-filter all
                 dis acl mode
                 dis acl config all
           b cisco:show access-lists
                   show ip access-lists

第五步:取消或删除某条策略

           a H3C:undo rule 0 (0 指策略编号)
          
           b cisco:ip access-list extended 199
                    no 10 (10 指策略编号,该编号不显示,只有在特权模式下通过show ip access-lists 199才可查看)

********************************************************************************************************************
接口访问控制列表编写:

第一步:分析接口,以及访问策略,含拓扑图分析;

第二步:定义接口访问控制列表,
           a 弄清接口访问控制列表的表号
             H3C:             1000--1999
             cisco及其它公司:100-199 (合二为一方式实现接口列表)
           b 编写acl
             H3C:是在管理员用户视图下编写
             cisco:全局模式下编写
           c 命令如下:
             H3C:acl number 1001
                  rule 0 permit interface Ethernet0/0 time-range www
                  #
                 time-range www from 08:30 May/13/2007 to 12:00 Jun/30/2007
               (注解:分成二部分实现,第一实现时间段,第二实现接口列表与时间段关联)

             cisco:ip access-list extended 101
                    access-list 101 permit ip host 10.115.232.203 any time-range allow-http2
                    access-list 101 permit ip any any time-range allow-http1
                    access-list 101 deny      ip any any
                   #
                    time-range allow-http1
                     periodic weekdays 12:00 to 14:30
                  (注解:分成二部分实现,第一实现时间段,第二实现扩展访问控制列表与时间段关联)

第三步:应用(下发编写好的acl列表)
           a H3C:交换机 packet-filter inbound ip-group 1001
                 路由及防火墙 acl inbound 1001
           b cisco: ip access-group 199 in
                   
第四步:诊断及测试
           a H3C:dis acl running-packet-filter all
                 dis acl mode
                 dis acl config all
                 debugging ip packet acl 1001 (1001 指需要诊断的ACL列表号)

           b cisco:show access-lists
                   show ip access-lists
                   debug access-expression

第五步:取消或删除某条策略

           a H3C:undo rule 0 (0 指策略编号)
          
           b cisco:ip access-list extended 199
                    no 10 (10 指策略编号,该编号不显示,只有在特权模式下通过show ip access-lists 199才可查看)
********************************************************************************************************
基于MAC地址访问控制列表配置过程

第一步:分析MAC地址,以及访问策略,含拓扑图分析;

第二步:定义MAC地址访问控制列表,
           a 弄清MAC地址访问控制列表的表号
             H3C:             4000--4999
             cisco:基本MAC地址列表:700-799 ;扩展MAC地址列表:1100-1199(基本列表控制是源MAC,扩展列表控制源、目等参数)
           b 编写acl
             H3C:是在管理员用户视图下编写
             cisco:全局模式下编写
           c 命令如下:
             H3C:acl number 4000
                  rule 0 permit 802.3 ingress 0001-0001-0001 egress 0002-0002-0002
                  rule 1 deny ingress any egress any
                  #
             cisco:access-list 1100 permit 1.1.1 f.f.f 2.2.2 f.f.f
                   或access-list 700 permit 1.1.1 f.f.f
                   #
第三步:应用(下发编写好的acl列表)
           a H3C:交换机
                  qos
                  packet-filter inbound link-group 4000
                 路由及防火墙 acl inbound 4000
           b cisco: ip access-group 700 in
                    或ip access-group 1100 in

第四步:诊断及测试
           a H3C:dis acl running-packet-filter all
                 dis acl mode
                 dis acl config all
                 debugging ip packet acl 4000 (4000 指需要诊断的ACL列表号)

           b cisco:show access-lists
                   show ip access-lists
                   debug access-expression

第五步:取消或删除某条策略

           a H3C:undo rule 0 (0 指策略编号)
          
           b cisco: no access-list 1100
                   (直接删除整条策略,如需要,则需重重新编写,然后下发。)