H3C设备ACL基本配置 www.hx95.com 时间: 2012-02-16 阅读: 144次 整理: 华夏联盟网 ACL 的配置 第一、ACL 的配置： ——

H3C设备ACL基本配置

www.hx95.com    时间: 2012-02-16    阅读: 144次     整理: 华夏联盟网

ACL 的配置
 第一、ACL 的配置：
      ————————————————————————
      |访问控制列表的分类         |  数字序号的范围  |
      |———————————————————————
      |基本访问控制列表            |       2000-2999     |
      |———————————————————————
      |扩展访问控制列表            |       3000-3999     |
      |———————————————————————
      |基于二层的访问控制列表  |       4000-4999     |
      |———————————————————————
      |用户自字义访问控制列表  |       5000-5999     |
      ————————————————————————
  ●基本ACL ：是只根据报文的源IP 地址信息来制定规则的；
  ●高级ACL ：根据报文的源IP 地址，目的IP 地址，IP 承载的协议类型，协议的特征
 等三、四层信息制定规则；
  ●二层ACL ：根据报文的源MAC 地址，目的MAC 地址，VLAN 优先级，二层协议类
 型等信息制定规则；
  ●用户自定义ACL ：可以以报文的头、IP 头等为基准，指定从第几个字节开始与掩码
 进行“与”操作，将报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。
  ●给ACL来指定一个名字，要注意起名字时，要在创建的时候来起，创建完成后，便不能起了，名字和number一样，同样可以标识一个ACL。命令如下：
  acl number 3000 name xiaoshoubu
  ●设定acl的描述信息：在配置acl时，可以在acl状态下用命令：description text  来给ACL添加描述信息。
  ●设定acl的步长，也就是在不指定规则号的情况下，采用的默认增长速度 。命令为：step step-value 默认是5
      ACL 的匹配顺序有：config:按照用户的配置的顺序来匹配。                       
            auto:按照“深度优先”即地址范围小的规则被优先进行匹配。不过系统默认是按照用户的配置顺序来进行匹配的。
 ——————————————————————————————————————————————————————————————————————————
 在实际工作中遇到如下问题：
  如果您的版本是Release 2208的可以直接在接口下packet-filter acl_number inbound/outbound，如果版本低于R2208，则需要通过QOS方式下发ACL。具体配置方法如下：
     acl number 3000 //定义流量，里面的permit和deny没有实际意义，仅用来匹配流量
      rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
      quit
     traffic classifier 1 //定义类，匹配acl 3000
      if-match acl 3000
      quit
     traffic behavior 1 //定义流行为，动作为拒绝deny
      filter deny
      quit
     qos policy 1 //定义QOS策略，将类和流行为绑定 （注意在这类和流行为，可以关联多个即可以出现classifier 2 behavior 2）
      classifier 1  behavior 1
      quit
     interface GigabitEthernet1/0/1 //下发到接口inbound方向
      qos apply policy 1 inbound
 ——————————————————————————————————————————————————————————————————————
     例如：
     基本的ACL:
         acl number 2000
             rule 0 deny source 192.168.2.0 0.0.0.255
     高级的ACL ：
         acl number 3000
             rule  0  permit  tcp  source  192.168.1.0  0.0.0.255   destination   192.168.3.1  0.0.0.0 destination-port eq 80
 第二、包过滤防火墙功能：
         [h3c] firewall enable -------开启包过滤功能，系统默认没有开启。
         [h3c] firewal default permit/deny -------设置默认的规则，系统默认规则是permit
       将ACL   应用到接口上，配置的ACL 才会生效，也就是说在要用到接口的inbound/outbound
    [h3c-Ethernet0/1] firewall packet-filter 3000 inbound/outbound
      ACL 包过滤显示与调试
      display firewall-statistics all
      display acl all
     清除IPV4 ACL 统计信息
      reset acl counter (all)