华为3COM标准访问控制列表初识

上一篇 / 下一篇  2007-10-18 03:00:56

查看( 124 ) / 评论( 1 ) 华为3COM设备中访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，他是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL。
(diP t$a;P3g+F0
5TFW']i0 一，标准访问控制列表的格式：
gG2| E1w8R4_7I;i}0
(L6l:B)W){j'_r0 标准访问控制列表是最简单的ACL。他的具体格式如下：IXPUB技术博客,y'i!v u s

8E:b:|.V9V0 acl ACL号IXPUB技术博客q'UE3c9K s.hS

g4S6t+v!|iS'cQ0 //进入ACL设置界面
SR+RHu kAX/i#Sh0 IXPUB技术博客dg,E/L7JJU
rule permit|deny source IP地址 反向子网掩码
`Beih6@0j[z t0 IXPUB技术博客#F4U }Uy
例如：rule deny source 192.168.1.1 0.0.0.0这句命令是将所有来自192.168.1.1地址的数据包丢弃。当然我们也可以用网段来表示，对某个网段进行过滤。命令如下：
L3kCO(u[T7hP0 IXPUB技术博客Kx9z5e1Kxu s{W ~
rule deny source 192.168.1.0 0.0.0.255IXPUB技术博客u'd"ZD6~$O;Y#x0g&P%p
IXPUB技术博客5QE\/sl
V
// 将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢？这是因为华为设备和CISCO 一样规定在ACL中用反向掩玛表示子网掩码，反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。
!gE4u_{'DYD*G[vG0 IXPUB技术博客;VF{*f3^P
|-QA
二，配置实例：IXPUB技术博客4K+E_2F"Q#\N#V
IXPUB技术博客 X mB|]#l7^a5@
要想使标准ACL生效需要我们配置两方面的命令：
$LiL+ZM0
]P"[I/cns2S0 1，ACL自身的配置，即将详细的规则添加到ACL中。IXPUB技术博客+u-G@D&|X,\]

C[&Tw
v.^}!G0 2，宣告ACL，将设置好的ACL添加到相应的端口中。
'p/c7K$} H
O(x'S8@.M7?0
\ ^Zm:| tR0 网络环境介绍：IXPUB技术博客"wr ` Dg)hi

'{ R:de C LRB,`0 我们采用如下图所示的网络结构。路由器连接了二个网段，分别为172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24网段中有一台服务器提供WWW服务，IP地址为172.16.4.13。
)U|!d~S+eC0
A4Z1B Qb5p#|S0 IXPUB技术博客tQ"F_ g(d(j:G s2P!d
IXPUB技术博客{)^!\*C`3n
　
d{
?Enn"V0 IXPUB技术博客*k*i9AU5l6k
实例1：禁止172.16.4.0/24网段中除172.16.4.13这台计算机访问172.16.3.0/24的计算机。172.16.4.13可以正常访问172.16.3.0/24。
t0k4Wmml:N0 IXPUB技术博客4myZE] RT+Q)l8[
路由器配置命令：IXPUB技术博客 Vhmgj

&S_ ]!O8b;@0 acl 1
WGy8[k5O1o0 IXPUB技术博客:Ml&Zq4LY3M^ t U
//设置ACL 1，并进入ACL设置模式IXPUB技术博客s/~0{Pl
H_Wzo

;YQ]Z`8O
mG"G0 rule deny source anyIXPUB技术博客 Dc'Z(D
c5TU L7C }
IXPUB技术博客| lW'}?Y"x
//设置ACL，阻止其他一切IP地址进行通讯传输。IXPUB技术博客$b7K+{|#e8B

i-k3w\y0^&b VY0 int e1IXPUB技术博客-S(nw$G4Z/C4_
IXPUB技术博客,k|3LH@q
//进入E1端口。
\U&i IK(_ ?2E0
d,|!l qI1n0 firewall packet-filter 1 inboundIXPUB技术博客^y)g+M#oiw
IXPUB技术博客i J!^Q*H3_)F#z`
//将ACL 1宣告。
&\cJ1dgx*N*F]0 IXPUB技术博客5X)]OAb6v0L E9g
经过设置后E1端口就只容许来自172.16.4.13这个IP地址的数据包传输出去了。来自其他IP地址的数据包都无法通过E1传输。IXPUB技术博客d ^x#L*B+V~

/q:OVE t zC T"s0 小提示：IXPUB技术博客(RI]slH3oQB

a-fx`"Wv(Pu~k0 由于华为3COM的设备是默认添加了permit ANY的语句在每个ACL中，所以上面的rule deny source any这句命令可以必须添加的，否则设置的ACL将无法生效，所有数据包都会因为结尾的permit语句而正常转发出去。另外在路由器连接网络不多的情况下也可以在E0端口使用firewall packet-filter 1 outbound命令来宣告，宣告结果和上面最后两句命令效果一样。
[:gc5_M(p2eH0 IXPUB技术博客%oy_4D-g/vXF$?H)u
实例2：禁止172.16.4.13这个计算机对172.16.3.0/24网段的访问，而172.16.4.0/24中的其他计算机可以正常访问。
X,}4^ Qr yj$^^0 IXPUB技术博客k;EoYl
d8Fp
路由器配置命令：
0\E#vS i7pt;Q$Q1V v0
hnQfS3rJc]4Q8q0 access-list 1
#ZIcC9r Y%D0 IXPUB技术博客K]3ZL#}T2N'c8_
C X
//设置ACL，进入ACL1设置界面。IXPUB技术博客nx a7k AF
IXPUB技术博客2ER$K1av]8n
rule deny source 172.16.4.13 0.0.0.0
zWl [e2E;gRQ1[:r0
_:M@N.tsq0 //阻止172.16.4.13这台计算机访问。
%m VZ"px[0
DPf U!p(@*FT$a0 rule permit source any（如下图）
-a-f9yt` o0
0d,C|a{ p0 //设置ACL，容许其他地址的计算机进行通讯
&MG8leY&}g0 IXPUB技术博客8sK3J%P9T(l9~7Watnj
int e1IXPUB技术博客'Ak8Ox#p o8dj
IXPUB技术博客 N2oR*ra/dm/f-R{
//进入E1端口
KE$wp`]Z5n0 IXPUB技术博客$_3q4Tn+~.]
firewall packet-filter 1 inboundIXPUB技术博客-iwb#OX |ru
IXPUB技术博客#``N;D
ndPI1@
//将ACL1宣告，同理可以进入E0端口后使用firewall packet-filter 1 outbound来完成宣告。IXPUB技术博客gZD7ciIpe

.}3a^B8HX!O4mv"HJ0 IXPUB技术博客E-~p1p.g@(p

;_QE/gV/A:g n![0
+N
y(K} `P+w U'L0 配置完毕后除了172.16.4.13其他IP地址都可以通过路由器正常通讯，传输数据包。需要提醒一点的是默认情况下华为设备在ACL结尾添加了rule permit source any的语句，所以本例中可以不输入该语句，效果是一样的。IXPUB技术博客 f HC-Rj7UQ3f"S

^L#L@ pq2PnP7E y0 总结：IXPUB技术博客bc:cJi8k7X
IXPUB技术博客2?rG!Z/S
^P0k s
标准ACL占用路由器资源很少，是一种最基本最简单的访问控制列表格式。应用比较广泛，经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了，他可以满足我们到端口级的要求。