1、最新H3C访问控制列表H3C访问控制列表华为3COM访问控制列表华为3COM标准访问控制列表初识华为3COM设备中访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL。 一,标准访问控制列表的格式: 标准访问控制列表是最简单的ACL。他的具体格式如下: acl ACL号 /进入ACL设置界面 rule permit|deny source IP地址 反向子网掩码 例如:rule deny source 192.168.1.1 0.0.0.0这句命令是将所有来自192.
2、168.1.1地址的数据包丢弃。当然我们也可以用网段来表示,对某个网段进行过滤。命令如下: rule deny source 192.168.1.0 0.0.0.255 /将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为华为设备和CISCO一样规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。 二,配置实例: 要想使标准ACL生效需要我们配置两方面的命令: 1,ACL自身的配置,即将详细的规则添加到ACL中。 2,宣告ACL,将设置好的ACL添加到相应的端
3、口中。 网络环境介绍: 我们采用如下图所示的网络结构。路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24网段中有一台服务器提供WWW服务,IP地址为172.16.4.13。 实例1:禁止172.16.4.0/24网段中除172.16.4.13这台计算机访问172.16.3.0/24的计算机。172.16.4.13可以正常访问172.16.3.0/24。 路由器配置命令: acl 1 /设置ACL 1,并进入ACL设置模式 rule deny source any /设置ACL,阻止其他一切IP地址进行通讯传输。 int e1 /进入
4、E1端口。 firewall packet-filter 1 inbound /将ACL 1宣告。 经过设置后E1端口就只容许来自172.16.4.13这个IP地址的数据包传输出去了。来自其他IP地址的数据包都无法通过E1传输。 小提示: 由于华为3COM的设备是默认添加了permit ANY的语句在每个ACL中,所以上面的rule deny source any这句命令可以必须添加的,否则设置的ACL将无法生效,所有数据包都会因为结尾的permit语句而正常转发出去。另外在路由器连接网络不多的情况下也可以在E0端口使用firewall packet-filter 1 outbound命令来宣
5、告,宣告结果和上面最后两句命令效果一样。 实例2:禁止172.16.4.13这个计算机对172.16.3.0/24网段的访问,而172.16.4.0/24中的其他计算机可以正常访问。 路由器配置命令: access-list 1 /设置ACL,进入ACL1设置界面。 rule deny source 172.16.4.13 0.0.0.0 /阻止172.16.4.13这台计算机访问。 rule permit source any(如下图) /设置ACL,容许其他地址的计算机进行通讯 int e1 /进入E1端口 firewall packet-filter 1 inbound /将ACL1宣告
6、,同理可以进入E0端口后使用firewall packet-filter 1 outbound来完成宣告。 配置完毕后除了172.16.4.13其他IP地址都可以通过路由器正常通讯,传输数据包。需要提醒一点的是默认情况下华为设备在ACL结尾添加了rule permit source any的语句,所以本例中可以不输入该语句,效果是一样的。 总结: 标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式。应用比较广泛,经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求。华为3COM扩展访问控制列表介绍上篇文章
7、我们提到了标准访问控制列表,他是基于IP地址进行过滤的,是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务(例如WWW,FTP等)。扩展访问控制列表使用的ACL号为100到199。 一,扩展访问控制列表的格式: 扩展访问控制列表是一种高级的ACL,他的具体格式如下: acl ACL号 rule permit|deny 协议 定义过滤源主机范围 定义过滤源端口 定义过滤目的主机访问 定义过滤目的端口 例如: (1)access-list
8、101 (2)rule deny tcp source any destination 192.168.1.1 0.0.0.0 destination-port equal www这句命令是将所有主机访问192.168.1.1这个地址网页服务(WWW)TCP连接的数据包丢弃。(如图1)图1(点击看大图) 小提示: 同样在扩展访问控制列表中也可以定义过滤某个网段,当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。 二,配置实例: 要想使扩展ACL生效需要我们配置两方面的命令: 1,ACL自身的配置,即将详细的规则添加到ACL中。 2,宣告ACL,将设置好的ACL添加到相应的
9、端口中。 网络环境介绍: 我们采用如图2所示的网络结构。路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24网段中有一台服务器提供WWW服务,IP地址为172.16.4.13。 图2(点击看大图) 实例:禁止172.16.3.0的计算机访问172.16.4.0的计算机,包括那台服务器,不过惟独可以访问172.16.4.13上的WWW服务,而其他服务不能访问。 路由器配置命令: acl 101 /设置ACL 101,并进入访问控制列表设置模式。 rule permit tcp source any destination 172.16.
10、4.13 0.0.0.0 destination-port equal www /设置容许源地址为任意IP,目的地址为172.16.4.13主机的80端口即WWW服务。 rule deny tcp source any destination any /设置阻止其他服务和数据包进行传输。 int e1 /进入E1端口 firewall packet-filter 1 outbound /将ACL101宣告出去 设置完毕后172.16.3.0的计算机就无法访问172.16.4.0的计算机了,就算是服务器172.16.4.13开启了FTP服务也无法访问,惟独可以访问的就是172.16.4.13的W
11、WW服务了。而172.16.4.0的计算机访问172.16.3.0的计算机没有任何问题。 扩展ACL有一个最大的好处就是可以保护服务器,例如很多服务器为了更好的提供服务都是暴露在公网上的,这时为了保证服务正常提供所有端口都对外界开放,很容易招来黑客和病毒的攻击,通过扩展ACL可以将除了服务端口以外的其他端口都封锁掉,降低了被攻击的机率。如本例就是仅仅将80端口对外界开放。 总结: 扩展ACL功能很强大,他可以控制源IP,目的IP,源端口,目的端口等,能实现相当精细的控制,扩展ACL不仅读取IP包头的源地址/目的地址,还要读取第四层包头中的源端口和目的端口的IP。不过他存在一个缺点,那就是在没有硬件ACL加速的情况下,扩展ACL会消耗大量的路由器CPU资源。所以当使用中低档路由器时应尽量减少扩展ACL的条目数,将其简化为标准ACL或将多条扩展ACL合一是最有效的方法。
