ACL配置命令总结

ACL命令——H3C交换机（基本ACL）展开全文ACL命令——H3C交换机（基本ACL）1、acl命令用于创建一条ACL，并进入相应的ACL视图。

undo acl命令用于删除指定的ACL，或者删除全部ACL。

ACL支持两种匹配顺序，如下所示：1、配置顺序：根据配置顺序匹配ACL规则。

2、自动排序：根据“深度优先”规则匹配ACL规则。

“深度优先”规则说明如下：1、基本ACL的深度优先以源IP地址掩码长度排序，掩码越长的规则位置越靠前。

排序时比较源IP地址掩码长度，若源IP地址掩码长度相等，则先配置的规则匹配位置靠前。

例如，源IP地址掩码为255.255.255.0的规则比源IP地址掩码为255.255.0.0的规则匹配位置靠前。

2、高级ACL的深度优先以源IP地址掩码和目的IP地址掩码长度排序，掩码越长的规则位置越靠前。

排序时先比较源IP地址掩码长度，若源IP地址掩码长度相等，则比较目的IP地址掩码长度；若目的IP地址掩码长度也相等，则先配置的规则匹配位置靠前。

例如，源IP 地址掩码长度相等时，目的IP地址掩码为255.255.255.0的规则比目的IP地址掩码为255.255.0.0的规则匹配位置靠前。

可以使用match-order指定匹配顺序是按照用户配置的顺序还是按照深度优先顺序（优先匹配范围小的规则），如果不指定则缺省为用户配置顺序。

用户一旦指定一条ACL的匹配顺序后，就不能再更改，除非把该ACL规则全部删除，再重新指定其匹配顺序。

ACL的匹配顺序特性只在该ACL被软件引用进行数据过滤和分类时有效。

【举例】# 定义ACL 2000的规则，并定义规则匹配顺序为深度优先顺序。

<H3C> system-viewSystem View: return to User View with Ctrl+Z.[H3C] acl number 2000 match-order auto[H3C-acl-basic-2000]2、description命令用来定义ACL的描述信息，描述该ACL的具体用途。

ACL配置命令12.2.2.1 access-list(extended)命令：access-list [num] {deny | permit} icmp {{[sipaddr] [smask]} | any-source | {host-s ource [sipaddr]}} {{[dipaddr] [dmask]} | any-destination | {host-destination [dipaddr]}} [[i cmp-type] [[icmp-code]]] [precedence [prec]] [tos [tos]]access-list [num] {deny | permit} igmp {{[sipaddr] [smask]} | any-source | {host-source [sipaddr]}} {{[dipaddr] [dmask]} | any-destination | {host-destination [dipaddr]}} [[igmp-ty pe]] [precedence [prec]] [tos [tos]]access-list [num] {deny | permit} tcp {{[sipaddr] [smask]} | any-source | {host-source [sipaddr]}} [sport [sport]] {{[dipaddr] [dmask]} | any-destination | {host-destination [dipa ddr]}} [dport [dport]] [ack | fin | psh | rst | syn | urg] [precedence [prec]] [tos [tos]]access-list [num] {deny | permit} udp {{[sipaddr] [smask]} | any-source | {host-source [sipaddr]}} [sport [sport]] {{[dipaddr] [dmask]} | any-destination | {host-destination [dipa ddr]}} [dport [dport]] [precedence [prec]] [tos [tos]]access-list [num] {deny | permit} {eigrp | gre | igrp | ipinip | ip | [int]} {{[sipaddr] [smask]} | any-source | {host-source [sipaddr]}} {{[dipaddr] [dmask]} | any-destination | {host-destination [dipaddr]}} [precedence [prec]] [tos [tos]]no access-list [num]功能：创建一条匹配特定ip协议或所有ip协议的数字扩展ip访问规则；如果此编号数字扩展访问列表不存在，则创建此访问列表。

ACL学习总结ACL（访问控制列表）学习总结一、ACL概述：ACL是由permit或deny组成的一系列有序的规则，它告诉路由器端口处决定哪种类型的通信流量被转发或者被阻塞。

所有的ACL的最后一行上都有隐含的deny语句，且他的顺序不可改变。

ACL主要具有包过滤、服务质量（QoS）、按需拨号路由（DDR）、网络地址转换（NAT）、路由过滤等功能。

ACL的基本原理时使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而到达访问控制的目的。

网络中的节点分为资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。

ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

由于ACL是使用包过滤技术来实现的，过滤的仅仅是第三层和第四层包头中的部分信息，所以ACL技术不可避免的具有一定的局限性。

二、ACL的基本配置：1、配置ACL需要遵循两个基本原则：（1）最小特权原则：只给受控对象完成任务必须的最小权限；（2）最靠近受控对象原则：所有网络层访问权限控制尽可能距离受控对象最近；根据需要，提供两种基于IP的访问表：标准访问表和扩展访问表。

标准访问表只是根据源IP地址来允许或拒绝流量，而扩展访问表允许基于子协议、源地址、源端端口、目的地址，以及目的端口许可或者拒绝流量，甚至还可以过滤基于时间或者用户身份过滤流量。

2、配置ACL的两个重要参数：（1）ACL的表号和名字：ACL的表号和名字都是用来表示或引用ACL的，名字用字符串标识，表号用数据表示，不同协议、不同种类的ACL，其表号范围不同，一般地，1~99用于标准IP ACL，100~199用于扩展IP ACL。

（2）ACL的通配符：配置ACL的源地址或目的地址时，在允许或拒绝的IP地址后面，有一个参数是wildcard-mask——通配符，通配符用32位二进制数表示，表示形式与IP地址和子网掩码相同，而通配符实际上就是子网掩码的反码（如：IP地址202.112.66.1，其掩码是255.255.255.0，则其通配符就是0.0.0.255）2、配置一个标准IP ACL：在全局模式下：命令格式：access-list access-list-number {permit|deny|source wildcard-mask}例：在三层交换机上进行如下配置：access-list 1 permit host 10.1.6.6 anyaccess-list 1 deny anyint vlan 1ip access-group 1 out其中，access-list用于配置ACL的关键字，后面的1就是ACL的表号；host 10.1.6.6是匹配条件，等同于10.1.6.6 0.0.0.0，any表示匹配所有地址；int vlan 1、ip acces-group 1 out：将access-list 1应用到vlan1接口的out方向；3、配置一个扩展IP ACL：在全局配置模式下：（1）、使用access-list命令：命令格式：access-list access-list-number {permit|deny} protocol source wildcard-mask destination wildcard-mask [operator] [operand]例：在三层交换机上进行如下配置：int vlan 1no ip access-group 1 outexitno access-list 1access-list 101 permit tcp host 10.1.6.6 any eq telnetaccess-list 101 deny tcp any any eq telnetint vlan 1ip access-group 101 outint vlan 3ip access-group 101 out其中，no access-list 1是用于取消access-list 1，对于非命名的ACL，可以只需要这一句就可以全部取消（注：在取消或修改一个ACL之前，必须先将它所应用的接口上的应用给no掉，否则会导致严重后果）；tcp host 10.1.6.6 any eq telnet是匹配条件，完整格式为：协议源地址源wildcards[关系][源端口] 目的地址目的wildcards[关系][目的端口]，协议可以是IP、TCP、UDP、EIGRP 等，[]内为可选字段，关系可以是eq（等于）、neq（不等于）、lt（大于）、range（范围）等，端口一般为1-65535.4、配置命名的IP ACL：命名的IP ACL有两个优点：（1）、解决ACL号码不足的问题；（2）可以自由删除ACL中的一条语句，而不必删除整个ACL；5、验证ACL：（1）show running-config：快速显示应用的ACL并且不需要略过过多的输出条目；（2）show ip interface：此命令显示ACL应用的位置；（3）show ip access-lists：该命令具有显示匹配ACL中给定行的数据包数量的能力；三、ACL总结：在把IP ACL应用到网络中时，他的两种分类满足了全部需求。

第1章ACL简介1.1 ACL概述网络设备为了过滤数据，需要设置一系列匹配规则，以识别需要过滤的对象。

在识别出特定的对象之后，根据预先设定的策略允许或禁止相应的数据包通过。

ACL（Access Control List）可用于实现这些功能。

ACL（访问控制列表）是一种对经过网络设备的数据流进行判断、分类和过滤的方法。

通常我们使用ACL实现对数据报文的过滤、策略路由以及特殊流量的控制。

一个ACL中可以包含一条或多条针对特定类型数据包的规则，这些规则告诉网络设备，对于与规则中规定的选择标准相匹配的数据包是允许还是拒绝通过。

由ACL定义的数据包匹配规则，还可以被其它需要对流量进行区分的场合引用，如防火墙、QOS与队列技术、策略路由、数据速率限制、路由策略、NAT等。

1.2 ACL分类访问控制列表分为多种类型：1．基本ACL：只对源IP地址进行匹配。

2．扩展ACL：对源IP地址、目的IP地址、IP协议类型、TCP源端口号、TCP目的端口号、UDP源端口号、UDP目的端口号、ICMP类型、ICMP Code、DSCP（DiffServ CodePoint）、ToS、Precedence进行匹配。

3．二层ACL：对源MAC地址、目的MAC地址、源VLAN ID、二层以太网协议类型、802.1p 优先级值进行匹配。

4．混合ACL：对源MAC地址、目的MAC地址、源VLAN ID、源IP地址、目的IP地址、TCP源端口号、TCP目的端口号、UDP源端口号、UDP目的端口号进行匹配。

5．用户自定义ACL：对VLAN TAG的个数和偏移字节进行匹配。

1.3 ACL工作流程下面以路由器为例说明ACL的基本工作过程。

制定的，则图1.3-2 应用于入接口的ACL当ACL应用在入接口上时，工作流程如下：当路由器的接口接收到一个数据包时，首先会检查访问控制列表，如果执行控制列表中有拒绝和允许的操作，则被拒绝的数据包将会被丢弃，允许的数据包进入路由选择状态。

什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

访问控制列表的原理对路由器接口来说有两个方向出：已经经路由器的处理，正离开路由器接口的数据包入：已经到达路由器接口的数据包，将被路由器处理。

匹配顺序为："自上而下，依次匹配".默认为拒绝访问控制列表的类型标准访问控制列表：一般应用在out出站接口。

建议配置在离目标端最近的路由上扩展访问控制列表：配置在离源端最近的路由上，一般应用在入站in方向命名访问控制列表：允许在标准和扩展访问列表中使用名称代替表号访问控制列表使用原则1、最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则所有的网络层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。

3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

一、标准访问列表(标准ACL)访问控制列表ACL分很多种，不同场合应用不同种类的ACL.其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用访问控制列表号1到99来创建相应的ACL.它的具体格式：access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask]access-list-number 为1-99 或者1300-1999之间的数字，这个是访问列表号。

1.1 公共配置命令1.1.1 display time-range【命令】display time-range{ time-name| all}【视图】任意视图【参数】time-name：时间段的名称，为1～32个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。

为避免混淆，时间段的名字不可以使用英文单词all。

all：所有配置的时间段。

【描述】display time-range命令用来显示时间段的配置和状态，对于当前处在激活状态的时间段将显示Active，对于非激活状态的时间段将显示Inactive。

【举例】# 显示时间段trname的配置和状态。

<Sysname> display time-range trnameCurrent time is 22:20:18 1/5/2006 ThursdayTime-range : trname ( Inactive )from 15:00 1/28/2006 to 15:00 1/28/2008表1-1 display time-range命令显示信息描述表1.1.2 time-range【命令】time-range time-name{ start-time to end-time days[ from time1 date1] [ to time2 date2 ] | from time1 date1 [ to time2 date2 ] | to time2 date2 }undo time-range time-name [ start-time to end-time days [ from time1 date1 ] [ to time2 date2 ]| from time1 date1 [ to time2 date2 ] | to time2 date2 ]【视图】系统视图【参数】time-name：时间段的名称，为1～32个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。