可当一个分组经过时,路山器按照一定的步骤找出与分组信息匹配的ACL语旬对其进 行处理。
按配置顺序的匹配规则(config模式),ACL的默认匹配规则为config模式,以 对ACL语句的处理规则总结出以下要点。
(1) 一旦发现匹配的语旬,就不再处理列表中的其他语旬。
(2)语旬的排列顺序很重要。
(3)如果整个列表中没有匹配的语旬,则分组被丢弃。(书本此处有问题,思科默认丢弃,华为 默认允许)
例如下面两条语句组成的一个基本ACL
rule deny source 172.16.0.0 0.0.255.255
rule permit source 172.16.1.0 0.0.0.255
第二条语句就被忽略了。要达到预想的结果—允许来自除主机172.16.1.1之外的、属 于子网172.16.1.0/1.4的所有通信,则两条语句的顺序必须互换。
按照自动排序规则 (auto 模式)
自动排序指系统 使用 "深度优先"的原则,将规则按照精确度从高到低进行排序,并按 照精确度从高到低进行报文匹配。规则中定义的匹配项限制越严格,规则的精确度就越 高,即优先级越高,系统越优先匹配。
例如在 auto 模式下的 ACL 3001, 如下:
rule deny ip destination 172.16.0.0 0.0.255.255
rule permit ip destination 172.16.10.0 0.0.0.25
配置完上述两条规则后,ACL3001 的规则排序如下
#
acl number 3001 match-order auto
rule 5 permit ip destination 172.16.10.0 0.0.0.255
rule 10 deny ip destination 172.16.0.0 0.0.255.255
#
华为 ACL 的隐含规则为允许所有!!!
系统为 ACL 中首条未手工指定编号的规则分配编号时,使用步长值作为该规则的起始编 号;为后续规则分配编号时,则 使用大于当前 ACL 内最大规则编号且是步长整数倍的最 小整数作为规则编号。缺省步长为 5。设置步长的目的,是为了方便大家在 ACL 规则之 间插入新的规则。
#创建一个数字型的基本 ACL
acl [act-number] [ match-order { auto | config } ]
#创建一个命名型的基本 ACL
acl name acl-name { basic lacl-number } [ match-order { auto | config } ]
#配置基本acl的规则的操作命令
rule [ rule-id ] { deny | permit} source { source-address source-wildcard | any }
| -instance -instance-name | [fragment !no-first- fragment! | logging |time-range time-range-name ]
1)ACL语句的删除
undo acl { [number] acl-number | all } 或 undo acl name acl-name
2)调整ACL步长
在系统视图模式下执行: step step
3)查看和清除ACL信息
#确认设备ACL资源的分配情况
display acl resource [slot slot-id]
#清除ACL统计信息(用户视图下)
reset acl counter { name acl-name | acl-number | all }
4)通配符掩码
ACL 规定使用通配符掩砃来说明 子网地址, 通配符掩砃就是子网掩砃按位取反的结果。 如下两 个特殊的通配符掩码需要说明。 0.0.0.0 255.255.255.255
通配符掩码 0.0.0.0 表示 ACL语句中的 32位地址要求全部匹配,因而叫做主机掩码。例如 192.168.1.1 0.0.0.0表示主机192.168.1.1的IP地址
IP地址 |
通配符掩码 |
匹配 |
0.0.0.0 |
255.255.255.255 |
匹配任何地址(关键字any) |
172.16.1.1 |
0.0.0.0 |
匹配host 172.16.1.1 |
172.16.1.0 |
0.0.0.255 |
匹配子网172.16.1.0/24 |
172.16.2.0 |
0.0.1.255 |
匹配子网172.16.2.0/23(172.16.2.0~172.16.3.255) |
172.16.0.0 |
0.0.255.255 |
匹配子网172.16.0.0/16(172.16.0.0~172.16.255.255) |
1)在ACL 2001中配置规则,允许源IP地址是192.168.1.3主机地址的报文通过。
system-view
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] rule permit source 192.168.1.3 0
2)配置基于源IP地址(网段地址)过滤报文的规则
在ACL 2001中配置规则,仅允许源IP地址是192.168.1.3主机地址的报文通过,拒绝源IP地址是 192.168.1.0/24网段其他地址的报文通过,并配置ACL描述信息为Permitonly 192.168.1.3 through。
system-view
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] rule permit source 192.168.1.3 0
[HUAWEI-acl-basic-2001] rule deny source 192.168.1.0 0.0.0.255
[HUAWEI-acl-basic-2001] description Permit only 192.168.1.3 through
3)配置基于时间的ACL规则
创建时间 段working-time(周 一到周五每天8:00到18:00), 并在名称为work-acl的ACL中配置规则,在 working-time限定的时间范围内,拒绝源IP地址是192.168.1.0/24网段地址的报文通过。
system-view
[HUAWEI] time-range working-time 8:00 to 18:00 working-day
[HUAWEI] acl name work-acl basic
[HUAWEI-acl-basic-work-acl] rule deny source 192.168.1.0 0.0.0.255 time-range working-time
4)配置基于IP分片信息、源IP地址(网段地址)过滤报文的规则
在ACL 2001中配置规则,拒绝源IP地址是192.168.1.0/24网段地址的非首片分片报文通过。
system-view
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] rule deny source 192.168.1.0 0.0.0.255 fragment
rule [ rule-id ] { permit | deny } protocol [ source { source-addr wildcard | any } ][ destination { dest-addr wildcard | any } ] [ source-port operator port1 [ port2 ] ][ destination-port operator port1 [ port2 ] ] [ icmp-type type code ] [ established ][ [ { precedence precedence tos tos | dscp dscp }* | -instance instance ] fragment | time-range name ]
操作符 |
解释 |
lt |
小于 |
gt |
大于 |
eq |
等于 |
neq |
不等于 |
range |
指定范围 |
5)配置基于ICMP协议类型、 源IP地址(主机地址)和目的IP地址(网段地址)过滤报文的规则 在ACL 3001中配置规则,允许源IP地址是192.168.1.3主机地址且目的IP地址是192.168.2.0/24网 段地址的ICMP报文通过。
system-view
[HUAWEI] acl 3001
[HUAWEI-acl-adv-3001] rule permit icmp source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255
6)配置基于TCP协议类型、TCP目的端口号、源IP地址(上机地址)和目的IP地址(网段地址) 过滤报文的规则
在名称为deny-telnet的高级ACL 中配置规则,拒绝IP地址是172.16.10.3的主机与 172.16.20.0/24网段的主机建立Telnet连接。
system-view
[HUAWEI] acl name deny-telnet
[HUAWEI-acl-adv-deny-telnet] rule deny tcp destination-port eq telnet source
172.16.10.3 0 destination 172.16.20.0 0.0.0.255
在名称为no-web的高级ACL中配置规则,禁止172.16.10.3和172.16.10.4两台主机访 问Web网页(HTTP协议用于网页浏览, 对应TCP端口号是80),并配置ACL描述信息为 Web access restrictions。
system-view
[HUAWEI] acl name no-web
[HUAWEI-acl-adv-no-web] description Web access restrictions
[HUAWEI-acl-adv-no-web] rule deny tcp destination-port eq 80 source 172.16.10.3 0
[HUAWEI-acl-adv-no-web] rule deny tcp destination-port eq 80 source 172.16.10.4 0
在VTY (Virtual Type Terminal)上应用所配置的基本ACL
在Router上配置基本ACI过滤网络流量
在Router上配置高级ACL基千目标和服务过滤流星
这里没有登录成功,是因为没有设置登陆密码,R1路由器自身的问题换一个型号就可解决
可以看到这里又报错了,我的初步推断是,这个最基础的路由器不支持此功能,而且会对8、的实验结果有影响
由于路由器的原因,这里都可以ping通,
可以看到这里又报错了,我的初步推断是,这个最基础的路由器不支持此功能,该步骤也会对10、的结果有影响
由于路由器原因,没有配置好路由器没有该功能,此处的实验结果与标题不一样,感兴趣的小伙伴,可以换其他路由器尝试。