75第四章 访问控制列表(ACL)

第5章访问控制列表ISSUE1.1日期：杭州华三通信技术有限公司版权所有，未经授权不得使用与传播了解访问控制列表基本概念掌握ACL的配置方法课程目标学习完本课程，您应该能够：ACL原理介绍ACL基本配置目录是什么？IP报头TCP/UDP报头数据协议号源地址目的地址源端口目的端口对于TCP/UDP来说，这5个元素组成了一个TCP/UDP相关，访问控制列表就是利用这些元素定义的规则～2999高级的访问控制列表3000～3999基于接口的访问控制列表1000～1999基于MAC的访问控制列表4000～4999来的数据包可以通过！从192.110.10.0/24来的数据包不能通过！防火墙来的,到179.100.17.10的，使用TCP协议，利用HTTP访问的数据包可以通过！~6:00PM时间段内经过g0/0接口的数据包可以通过！目的MAC为2-2-2的数据包可以通过！ACL原理介绍ACL基本配置目录访问控制列表的创建[SecPath]aclnumber2000match-orderconfig[SecPath-acl-basic-2000]?Acl-basicviewcommands:displayDisplaycurrentsysteminformationpingPingfunctionquitExitfromcurrentcommandviewreturnExittoUserViewruleSpecifyanaclruletracertTraceroutefunctionundoCancelcurrentsetting来表示一个网段？000255只比较前24位003255只比较前22位0255255255只比较前8位反掩码和IP地址结合使用，可以描述一个地址范围。基本配置ACL基本配置包括基本访问控制列表配置高级访问控制列表配置基于接口的访问控制列表配置基于MAC地址的访问控制列表配置删除访问控制列表时间段配置访问控制列表的调试与显示基本配置基本访问控制列表配置操作命令在系统视图下，创建一个基本访问控制列表aclnumberacl-number[match-order{config|auto}]在基本访问控制列表视图下，配置ACL规则rule[rule-id]{permit|deny}[sourcesour-addrsour-wildcard|any][time-rangetime-name][logging][fragment][vpn-instancevpn-instance-name]undorulerule-id[source][time-range][logging][vpn-instancevpn-instance-name][fragment]基本配置高级访问控制列表配置操作命令在系统视图下，创建一个高级访问控制列表aclnumberacl-number[match-order{config|auto}]基本配置高级访问控制列表配置(续)操作命令在高级访问控制列表视图下，配置ACL规则rule[rule-id]{permit|deny}protocol[sourcesour-addrsour-wildcard|any][destinationdest-addrdest-mask|any][source-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-typeicmp-code|icmp-message}][precedenceprecedence][dscpdscp][established][tostos][time-rangetime-name][logging][fragment][vpn-instancevpn-instance-name]undorulerule-id[source][destination][source-port][destination-port][icmp-type][precedence][dscp][tos][time-range][logging][fragment][vpn-instancevpn-instance-name]基本配置基于接口的访问控制列表配置操作命令在系统视图下，创建一个基于接口的访问控制列表aclnumberacl-number[match-order{config|auto}]在基于接口的访问控制列表视图下，配置ACL规则rule{permit|deny}[interfacetypenumber][time-rangetime-name][logging]undorulerule-id[time-range|logging]基本配置基于MAC的访问控制列表配置操作命令在系统视图下，创建一个基于MAC地址的访问控制列表aclnumberacl-number在基于MAC地址的访问控制列表视图下，配置ACL规则rule[rule-id]{deny|permit}[typetype-codetype-wildcard|lsaplsap-codelsap-wildcard][source-macsour-addrsour-wildcard][dest-macdest-addrdest-mask]undorulerule-id基本配置删除访问控制列表操作命令删除访问控制列表undoacl{numberacl-number|all}基本配置时间段配置操作命令创建一个时间段time-rangetime-name[start-timetoend-time][days][fromtime1date1][totime2date2]删除一个时间段undotime-rangetime-name[start-timetoend-time][days][fromtime1date1][totime2date2]基本配置访问控制列表的显示与调试操作命令显示配置的访问控制列表规则displayacl{all|acl-number}显示时间段displaytime-range{all|time-name}清除访问规则计数器resetaclcounter{all|acl-number}介绍了访问控制列表的基本原理命令行方式下实现访问控制列表的配置本章小结杭州华三通信技术有限公司