第6章 访问控制列表(ACL)

1、网络组建补充-访问控制列表,访问控制列表,了解MAC地址访问控制列表,3,重点掌握防火墙的启动配置,4,1,理解访问控制列表的基本原理,重点掌握基本和高级访问控制列表配置,5,概念：ACL(AccessControlList)技术是一种基于包过滤的流控制技术，它在路由器，三层交换机中被广泛采用。访问控制列表对数据包的源地址、目的地址、端口号及协议号等进行检查，并根据数据包是否匹配访问控制列表规定的条件来决定是否允许数据包通过。,访问控制列表概述,H3C设备上访问控制列表按数字标识分为五种：接口ACL：数字标识范围1000至1999，是基于接口的访问控制列表；基本ACL：数字标识范围2000至2

2、999，只根据源IP地址进行过滤；高级ACL：数字标识范围3000至3999，根据数据包的源和目的IP地址及端口，IP承载的协议类型，协议特性等三、四层信息进行过滤；,H3C设备上访问控制列表按数字标识分类(con.1),H3C设备上访问控制列表按数字标识分为五种：二层ACL：数字标识范围4000至4999，根据源和目的MAC地址，VLAN优先级，二层协议类型等二层信息进行过滤；用户自定义ACL：数字标识范围5000至5999，以数据包的头部为基准，指定从第几个字节开始进行“与”，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配报文来达到过滤的目的。,H3C设备上访问控制列表按数字

3、标识分类,首先要启用防火墙；接着创建一个ACL（为acl指定一个number）；然后定义规则(即定义根据什么规则来过滤哪种数据包)；最后声明ACL规则应用场所(指明在哪些端口上应用，在端口的哪个方向上进行应用),ACL的配置主要包含四个步骤,1.启用防火墙(系统视图下)SYSfirewallenable/打开防火墙SYSfirewalldefaultpermit/缺省过滤模式为允许通过2.创建一个访问控制列表并进入ACL视图(系统视图下)SYSaclnumber2100/创建基本ACL3.增加一条访问控制列表的规则(ACL配置视图下)SYS-acl-2100rule1permitsource2

4、55SYS-acl-2100rule2denysourceany4.在指定场所应用ACL规则(接口视图下)SYS-Ethernet0/0firewallpacket-filter2100inbound/在Ethernet0/0流入方向上应用acl2100,ACL的配置主要包含四个步骤示例,注意：一个aclnumber可以包含很多条rule(规则)；配置时可省略规则号，系统会自行按顺序进行编号。一个acl还可以同时在其他接口上应用，并不只限定于某一个接口。,1.启用防火墙(系统视图下)SYSfirewallenable|disable/打开或关闭防火墙enable：

5、允许防火墙过滤。disable：禁止防火墙过滤SYSfirewalldefaultpermit|deny/设置防火墙缺省过滤方式。permit：防火墙缺省值过滤模式为允许规则匹配的数据包通过。deny：防火墙缺省值过滤模式为禁止规则匹配的数据包通过。,启用防火墙,注意：读者在学习ACL配置指令时会觉得参数较多。其实学习ACL很简单，因为根本不必记住每个参数，掌握基本的几个配置就可以了，更具体的参数大家可以在配置时用指令查看。常用的ACL主要是基本的和高级的ACL。,注意：以下使用的是H3CAR28路由器中的ACL指令，MSR路由器指令略有不同，部分不同体现在“rule”指令所带参数的顺序上。大

6、家可以参看指令手册。,注意：H3C默认防火墙缺省过滤方式是允许的；华为的防火墙缺省过滤模式为允许所有数据包通过，而思科的防火墙缺省过滤模式为禁止通过的。,2.定义/删除一个ACL(系统视图下)SYSaclnumberacl-numbermatch-orderconfig|autoSYSundoaclnumberacl-number|all,定义一个ACL,acl-number：访问控制列表的序号，值可以从10005999。match-order：指定规则的匹配顺序。config：匹配规则时按规则（rule）的序号顺序进行。match-order缺省值为config。auto：匹配规则时系统自动

7、排序（按“深度优先”的顺序），精确度相同时按用户的配置顺序进行匹配。,深度优先顺序的判断原则如下：先比较acl规则（rule）的协议范围。IP协议的范围为1255，承载在IP上的其他协议范围就是自己的协议号；协议范围小的优先；再比较源IP地址范围。源IP地址范围小(掩码长)的优先；然后比较目的IP地址范围。目的IP地址范围小(掩码长)的优先；最后比较四层端口号（TCP/UDP端口号）范围。四层端口号范围小的优先。,2.1定义/删除基于接口的访问控制列表的规则（acl-number1000至1999）(ACL视图下)SYS-acl-aclnumberrulerule-idpermit|deny|

8、commenttextinterfaceinterface-typeinterface-number|anytime-rangetime-nameloggingSYS-acl-aclnumberundorulerule-idcommenttextlogging|time-range,定义ACL规则（基于接口）,参数说明如下：rule-id：可选参数，ACL的规则编号，范围为065534。deny：表示拒绝符合条件的数据包通过。permit：表示允许符合条件的数据包通过。interfaceinterface-typeinterface-number：指定数据包的接口信息，但不能是二层以太网端口信

9、息。如果不指定，表示所有的接口都匹配。any代表所有的接口。time-rangetime-name：配置这条访问控制规则生效的时间段。logging：可选参数，是否对符合条件的数据包做日志。,注意：当指定了编号，如果与编号对应的规则已经存在，则会部分覆盖旧的规则，相当于重新编辑一个已经存在的规则。故建议用户在编辑一个已存在编号的规则前，先进行查看后将旧的规则删除，再创建新的规则，否则配置结果可能与预期的效果不同。如果不指定编号，表示增加一个新规则，系统自动会为这个规则分配一个编号。,2.2定义/删除基本访问控制列表的规则（acl-number2000至2999）(ACL视图下)SYS-acl-

10、aclnumberrulerule-idpermit|deny|commenttextsourcesour-addrsour-wildcard|anytime-rangetime-nameloggingfragmentvpn-instancevpn-instance-nameSYS-acl-aclnumberundorulerule-idcommenttextsourcetime-rangeloggingfragmentvpn-instancevpn-instance-name,定义ACL规则（基本访问控制列表）,参数说明如下：source：可选参数，指定ACL规则的源地址信息。如果不配置，表

11、示报文的任何源地址都匹配。sour-addr：数据包的源地址；sour-wildcard：源地址的反子网掩码；或用“any”。fragment：指定该规则是否仅对非首片分片报文有效。vpn-instance：可选参数，指定报文是属于哪个VPN实例的。vpn-instance-name：指定具体的VPN实例的名字。,源地址是否与ACL规则匹配原则：将数据包的源地址与ACL中sour-wildcard导出的子网掩码进行“与”操作，“与”的结果如果和ACL中的sour-addr和子网掩码进行“与”操作后得出的结果一致，那么该数据包与ACL规则匹配；反之不匹配。高级访问控制列表的目的地址匹配原则与这里

12、的源地址匹配原则一致。,2.3定义/删除高级访问控制列表的规则（acl-number3000至3999）(ACL视图下)SYS-acl-aclnumberrulerule-idpermit|deny|commenttextprotocolsourcesour-addrsour-wildcard|anydestinationdest-addrwildcard|anysource-portoperatorport1port2destination-portoperatorport1port2icmp-typeicmp-message|icmp-typeicmp-codeprecedenceprec

13、edencetostostime-rangetime-nameloggingfragmentvpn-instancevpn-instance-name,定义ACL规则（高级访问控制列表）,参数说明如下一：protocol：用协议名字或数字（协议号）表示的IP承载的协议类型。数字范围为1255；用名字表示时，可以选取：gre、icmp、igmp、ip、ipinip、ospf、tcp、udp等。source-port：可选参数，指定UDP或者TCP报文的源端口信息，仅仅在规则指定的协议号是TCP或者UDP有效。如果不指定，表示TCP/UDP报文的任何源端口信息都匹配。destination：可选参

14、数，指定ACL规则的目的地址信息。如果不配置，表示报文的任何目的地址都匹配。,参数说明如下二：destination：可选参数，指定ACL规则的目的地址信息。如果不配置，表示报文的任何目的地址都匹配。dest-addr：数据包的目的地址dest-wildcard：目的地址的反子网掩码，点分十进制表示；或用“any”代表源地址，反子网掩码55表示任何目的地址。高级访问控制列表的目的地址匹配原则与基本ACL中的源地址匹配原则一致。,参数说明如下三：destination-port：可选参数，指定UDP或者TCP报文的目的端口信息，仅仅在规则指定的协议号是TC

15、P或者UDP时有效。如果不指定，表示TCP/UDP报文的任何目的端口信息都匹配。operator：可选参数。比较源或者目的地址的端口号的操作符。port1、port2：可选参数。TCP或UDP的端口号，用名字或数字表示,参数说明如下四：icmp-type：可选参数，指定ICMP报文的类型和消息码信息，仅仅在报文协议是ICMP的情况下有效。如果不配置，表示任何ICMP类型的报文都匹配。icmp-message：ICMP包可以依据ICMP消息类型名字或ICMP消息类型和码的名字进行过滤。icmp-type：ICMP包可以依据ICMP的消息类型进行过滤。取值为0255的数字。icmp-code：依据

16、ICMP的消息类型进行过滤的ICMP包也可以依据消息码进行过滤。取值为0255的数字。,参数说明如下五：precedenceprecedence：可选参数，数据包可以依据优先级字段进行过滤。取值为07的数字，或名字，与参数tos互斥。tostos：可选参数，数据包可以依据服务类型字段进行过滤。取值为015的数字，或名字，与参数precedence互斥。,注意：source-port和destination-port参数仅仅在规则（rule）指定的协议号是TCP或者UDP时有效。port1、port2：可选参数。TCP或UDP的端口号，除了数字还可以用名字表示。,2.4定义/删除二层访问控制列表

17、的规则（acl-number4000至4999）(ACL视图下)SYS-acl-aclnumberrulerule-iddeny|permit|commenttexttypetype-codetype-mask|lsaplsap-codelsap-masksource-macsour-addrsour-maskdest-macdest-addrdest-masktime-rangetime-nameSYS-acl-aclnumberundorulerule-idcommenttext,定义ACL规则（二层访问控制列表）,参数说明如下一：type-code：数据帧的类型，一个16比特的十六进制数

18、，对应Ethernet_II类型和Ethernet_SNAP类型帧中的type-code域。type-mask：类型掩码，是一个16比特的十六进制数，用于指定屏蔽位。lsap-code：数据帧的封装格式的值，是一个16比特的十六进制数。lsap-mask：lsap值的掩码，是一个16比特的十六进制数，用于指定屏蔽位。,注意：acl-number值（二层的、基本的、高级的、基于接口的）的选取主要依赖于我们要实现的控制目标。譬如要控制端口最好使用acl-number从3000至3999的高级ACL。,参数说明如下二：sour-addr：源MAC地址，用两个“-”分隔的十六进制表示，格式为xxxx-

19、xxxx-xxxx，用来匹配一个分组的目的地址。如：0011-4f01-a19e。sour-mask：源MAC地址的掩码,用两个“-”分隔的十六进制表示。如：ffff-ffff-ffff-ffff。dest-addr：目的MAC地址，用两个“-”十六进制表示，格式为xxxx-xxxx-xxxx，用来匹配一个分组的目的地址。dest-mask：目的MAC地址的掩码，用两个“-”分隔的十六进制表示。,配置时间段(系统视图下)ACL规则定义指令里有一个可选参数“time-rangetime-name”，这个参数使用前需要定义一个规则工作的时间段。SYStime-rangetime-namestart

20、-timetoend-timedays-of-the-weekfromstart-timestart-datetoend-timeend-date|fromstart-timestart-datetoend-timeend-date|toend-timeend-date,配置时间段,参数说明如下一：time-name：时间段的名字。start-time：一个时间范围的开始时间，格式为hh:mm，小时和分钟之间使用“:”分隔，hh的范围为023，mm的范围为059。end-time：一个时间范围的结束时间，格式为hh:mm，小时和分钟之间使用“:”分隔，hh的范围为023，mm的范围为059。,

21、参数说明如下二：days-of-the-week：表示配置的时间范围在每周几有效，数字（0-6）、星期日到星期六、工作日（Working-day）、休息日（Off-day、所有日子（Daily)fromstart-timestart-date：为可选项，表示从某一天某一时间开始。toend-timeend-date：为可选项，表示到某一天某一时间结束。,注意：如果一个时间段(已定义的time-name)同时定义了绝对时间段和周期时间段，则只有它们同时被满足时，这个时间段才进入激活状态。如果一个时间段内定义了多个绝对时间段，则这些绝对时间段之间是“或”的关系,即在多个绝对时间段内都处于激活状态；

22、如果一个时间段内定义了多个周期段，那么在这几个周期段内都处于激活状态。,例如：SYStime-rangetest16:30to18:00dailyfrom01:0001/01/2009to23:0012/01/2009SYStime-rangetest19:00to21:30dailyfrom23:0001/01/2009to23:0012/01/2009以上指令说明2009年1月1号到12月1号的每天16:30至18:00和19:00至21:30点时间段test激活。,在指定场所应用/删除ACL规则(接口视图下)SYS-interfacefirewallpacket-filteracl-nu

23、mberinbound|outboundSYS-interfaceundofirewallpacket-filteracl-numberinbound|outbound参数说明如下：inbound：在接口的流入方向上应用ACL。outbound：在接口的流出方向上应用ACL。,在指定场所应用ACL规则,指令结总,指令结总(con.1),指令结总(con.2),指令结总(con.3),指令结总(con.4),基本访问控制列表配置示例,要求:定义一个ACL，要求在以太网接口Ethernet0/0流入方向上只允许这个网段发送的数据包通过，而其他所有网段的数据包被禁止通过，并且在20

24、09年1月1号到12月1号的每天16:30至18:00和19:00至21:30点时间段激活。,SYSfirewallenable/打开防火墙SYSfirewalldefaultpermit/缺省过滤模式为允许通过SYStime-rangetest16:30to18:00dailyfrom01:0001/01/2009to23:0012/01/2009/定义ACL激活的时间段SYStime-rangetest19:00to21:30dailyfrom01:0001/01/2009to23:0012/01/2009/定义ACL激活的时间段SYSaclnumber2100/创建一个基本访问控制列表S

25、YS-acl-2100rule1permitsource55time-rangetest/定义规则1SYS-acl-2100rule2denysourceanytime-rangetest/定义规则2SYS-acl-2100interfaceethernet0/0SYS-Ethernet0/0firewallpacket-filter2100inbound/端口上应用,高级访问控制列表配置示例,请定义一个ACL，要求在串口Serial0/0的流出方向上应用，且这个ACL要满足以下五个要求。其详细配置指令及要求如下：SYSfirewallenable/打开防火墙S

26、YSfirewalldefaultpermit/缺省过滤模式为允许通过SYSaclnumber3100/创建一个高级访问控制列表禁止接收和发送RIP报文。SYS-acl-3100rule1denyudpdestination-porteqrip,高级访问控制列表配置示例(con.1),2.允许/16网段的主机向/24网段的主机发送WWW报文。SYS-acl-3100rule2permittcpsource55destination55destination-porteqwww3.

27、禁止从一切主机建立与IP地址为的主机的Telnet（23）的连接，并对违反此规则的事件作日志。SYS-acl-3100rule3denytcpdestination0destination-porteq23logging,高级访问控制列表配置示例(con.2),4.禁止从/24网段内的主机建立与/24网段内的主机的端口号大于128的UDP（用户数据报协议）连接。SYS-acl-3100ruledenyudpsource55destination55destination-portgt1285.禁止VPNvrf1中的源地址为的报文通过。SYS-acl-3100ruledenyipsource0vpn-instancevrf1SYS-acl-3100interfaceethernet0/0/进入接口视图SYS-Ethernet0/0firewallpacket-filter3100inbound/接口上应用,显示配置的访问控制列表的规则（任意视图）displayac