ACL配置
更新时间:2024-06-25 05:03:01 阅读量: 综合文库 文档下载
第21章 ACL配置
ACL 的全称为访问控制表(Access Control List),简称为访问表(Access List)。ACL是一个有序的规则集,其中包含的规则称为访问控制表项(Access Control Entry:ACE)。
迈普系列交换机中的ACL以及与其相关的对象、动作组、计量器按如下图所示的逻辑关系进行组织,以实现报文过滤、报文分类、流量控制应用。
Global对象ACLACE1(permit ...)ACE2(deny ...)VLAN对象...ACEn(permit ...)deny anyPort对象Action Group 2Action1Action2...Action Group 1Action1Action2...Traffic Meter 2Traffic Meter 1Action Group 3Action1Action2... 迈普系列交换机中可应用ACL的对象有四类:全局对象(Global Object)、VLAN对象(VLAN Object)、端口对象(Interface Object)、三层接口对象(Interface VLAN Object)。全局对象是指本交换机,应用在其上的ACL作用范围是进入本交换机的所有报文。VLAN对象是指本交换机上配置的某个VLAN,应用在其上的ACL作用范围是进入此VLAN的所有报文。而端口对象是指交换机上的端口或汇聚口,应用在其上的ACL作用范围是进入此端口的所有报文。三层接口对象指本交换机上配置的某个Interface VLAN接口,应用在其上的ACL作用范围是进入此Interface VLAN接口的所有上CPU处理的报文和经
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
??
过Interface VLAN接口转发的报文。
迈普系列交换机可以把ACL作用于入方向、出方向以及用来实现灵活QINQ,在入方向对进入交换机的报文起作用,在出方向对从交换机上出去的报文起作用,对灵活QINQ的实现,在报文进入交换机时添加VLAN TAG的阶段生效。
由于应用在三种对象(三个对象为端口,VLAN和全局)上的ACL作用范围存在重叠。因此,会产生ACL动作冲突的问题(如:在端口上匹配到一条动作为permit的ACE,而在此端口所属的VLAN上匹配到一条动作为deny的ACE)。对这种冲突配置采用相当于串联的方式来实现,如一个报文既匹配了端口上的那条permit规则,又匹配了VLAN上的那条deny规则,最终的结果就是deny。这种方式能实现对一条流只有所有的对象上都允许通过了才能通过。
为了支持报文分类,一条ACL或ACL中的一条动作为permit的ACE,允许绑定一个动作组(Action Group)。ACL上绑定的动作组指明此ACL的默认动作,对其中所有配置为permit的ACE,会默认使用这个动作组配置。对于每一个动作组,允许绑定一个计量器(Traffic Meter)用于报文着色和限速。
对ACL上绑定动作组和ACE上绑定动作组有一点区别,这个区别就是在ACL上绑定的动作组中如果配置有限速功能,那么对该ACL中没有绑定动作组且为permit的ACE会共同进行限速。而在ACE上绑定的动作组只会对本条流进行限速。如:一条ACL中三条permit的ACE,分别为ACE1,ACE2,ACE3 如果在ACE1上绑定的动作组进行限速的大小为10M,在ACL上绑定的动作组进行限速10M。这时对限速的效果就是匹配ACE1的流被限制成10M,能匹配ACE2和ACE3两条流总共被限制成10M。
迈普系列交换机ACL在应用中,ACL中ACE的语义有一些差别。对于报文过滤应用,ACE中的permit表示允许,deny表示拒绝。对于报文分类和流量控制应用,deny的语义和报文过滤相同,但permit的语义变成了“在某类报文上应用某个动作”。因此,用在这两类应用的ACL或ACL的ACE中,应配置action-group(动作组)参数,以指明对于匹配的报文应该采取什么样的动作。在此需要说明的是,对于流量控制也抽象为一种动作,在动作组的配置参数中按名引用计量器。
ACL动作组分成三类,分别为l2动作组,l3动作组和egr动作组,l2动作组用于MAC ACL作用于 入方向,对进入交换机的报文就进行相应的动作。L3动作组用于IP ACL和IPV6 ACL作用于入方向。
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
??
Egr动作组用于对出方向的报文进行ACL时需要做的动作,可以关联所有类型的ACL(除Hybrid访问表)。
迈普系列交换机中与ACL功能相关的配置有动作组(Action Group)配置、计量器(Traffic Meter)配置、时间域(Time Range)配置。将在本章的余下的小节中一一进行描述。
本章主要内容有: ? ACL概述
? 配置IP标准访问表 ? 配置IP扩展访问表 ? 配置MAC标准访问表 ? 配置MAC扩展访问表 ? 配置HYBRID访问表 ? 配置IPV6访问表 ? 配置MPLS 标准访问表 ? 配置条目限制
? 配置时间域(Time Range) ? 配置动作组
? 配置计量器(Traffic Meter) ? 应用ACL到对象 ? 应用ACL到三层接口上 ? OUT方向ACL匹配方式配置 ? 监控和调试 ? 应用实例
21.1 ACL概述
本节介绍ACL的一些基本常识和概念,包含两小节:
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
??
? ACL基本概念 ? ACL分类
21.1.1 ACL基本概念
一条ACL由一系列的规则组成,每条规则的动作可为permit或deny,声明相应的匹配条件及行为。ACL的规则是根据报文的某些字段来识别报文的,在常用的IP访问表中,这些字段可以包括:
? IP协议号:指定TCP报文、UDP报文,还是所有IP报文,也可以在0~255的范围内选择一
个数值来指定IP协议号。
? 源IP地址:可以指定全部32位源IP地址,也可以指定一个源子网。 ? 目的IP地址:可以指定全部32位目的IP地址,也可以指定一个目的子网。 ? TCP/UDP源端口号:可以指定知名端口的名字,也可以指定端口的数字。 ? TCP/UDP目的端口号:可以指定知名端口的名字,也可以指定端口的数字。 在常用的IPV6访问表中,这些字段可以包括:
? IPV6协议号:指定TCP报文、UDP报文,还是所有IPV6报文,也可以在0~255的范围内选
择一个数值来指定IPV6协议号。
? 源IPV6地址:可以指定全部128位源IPV6地址,也可以指定一个源子网。 ? 目的IPV6地址:可以指定全部128位目的IP地址,也可以指定一个目的子网。 ? TCP/UDP源端口号:可以指定知名端口的名字,也可以指定端口的数字。
规则的序号(Sequence)指的是该规则在整条ACL中的顺序编号。一条ACL可以由多条规则组成,每一条规则指定的数据包的范围都不完全相同,它们可能存在重叠或矛盾的地方,为了避免产生歧义,ACL对数据包进行匹配时,严格按照从小序号到大序号的顺序进行,序号小的规则首先生效。当所有的规则都不匹配时,执行默认的丢弃动作,也就是说,一切没有被允许通过的报文都会被拒绝。
在配置规则的时候,可以指定规则的序号,也可以不指定规则的序号。当指定规则的序号时,新增的规则会按其序号的大小被插入到访问表的适当位置;当不指定规则的序号时,新增的规则总是被添加到访问表的末尾,并且系统会自动为它分配一个序号,一般以10为一个步长。
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
??
ACL的作用域指的是ACL用于IN方向或OUT方向,以及作用于灵活QINQ。 在本文档中IN方向和入方向是一个意思,OUT方向和出方向,EGR是一个概念。 VFP和灵活QINQ是一个意思。
21.1.2 ACL分类
按照访问表的用途,可以分为七种类型: ? IP标准访问表 ? IP扩展访问表 ? IPV6访问表 ? MAC标准访问表 ? MAC扩展访问表 ? HYBRID访问表 ? MPLS 标准访问表
访问表可以用名字来命名,也可以用数字来命名。
如果用名字来命名,这五种访问表共享同一个名字空间,也就是说,如果IP标准访问表使用了某个名字,那么其他的访问表都不能再使用这个名字。
如果用数字来命名,这五种访问表都有固定的数字取值范围。
访问表类型
IP标准访问表 IP扩展访问表 MAC标准访问表 MAC扩展访问表 HYBRID访问表 MPLS 标准访问表 IPV6访问列表
数字取值范围 1~1000 1001~2000 2001~3000 3001~4000 5001~6000 6001~7000 7001~8000
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
??
21.2 配置IP标准访问表
IP标准访问表只根据源IP地址制定规则,对数据包进行相应的分析处理。
21.2.1 基本指令描述
命令
access-list access-list-number { permit | deny } {any | source source-wildcard | host source} [time-range time-range-name] l3-action-group-name]
[egr-action-group egr-action-group-name] [vfp-action-group vfp-action-group-name] access-list access-list-number remark comment ip
access-list
standard
{
access-list-number
access-list-name }
[sequence] { permit | deny } { any | source * 配置一条规则。 source-wildcard time-range-name]
[{l3_action-group|egr_action_group|vfp_action_group } action-group-name] [sequence] remark comment
? access-list
定义一条以数字命名的IP标准访问表的规则。
access-list access-list-number { permit | deny } {any | source source-wildcard | host source} [time-range time-range-name] [l3-action-group action-group-name] [egr-action-group action-group-name]
[vfp-action-group action-group-name] access-list access-list-number remark comment
* 配置一条访问表注释
config-std-nacl
|
host
source
}
[time-range
config-std-nacl
配置一条访问表注释 | * 配置标准访问表
config config
[l3-action-group
* 配置访问表
描述
配置模式 config
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
??
语法
access-list access-list-number permit deny any
source | source-wildcard host source
time-range time-range-name l3-action-group action-group-name egr-action-group action-group-name vfp-action-group action-group-name remark comment
配置一条访问表规则。
IP标准访问表的编号,范围<1-1000>。 如果条件匹配,就允许访问。 如果条件匹配,就拒绝访问。 任意源地址。 源IP地址及通配符。 一个源主机地址。 指定规则生效的时间域。
指定规则匹配后采取的动作,作用于IN方向 指定规则匹配后采取的动作,作用于OUT方 向 指定规则匹配后采取的动作,用于灵活QINQ的动作 配置一条注释。注释规则,不会参与规则的匹配,仅仅起到规则的注释和分隔作用。
【配置模式】全局配置模式
【缺省情况】没有配置任何访问表和规则。
no格式是删掉一条以数字命名的访问表,包含它里面的所有规则。 no access-list access-list-number ? ip access-list standard
创建一个IP标准访问表,可以用数字命名,也可以是用户自定义名称,该命令将进入IP标准访问表配置模式。
ip access-list standard { access-list-number | access-list-name }
语法
access-list-number access-list-name
【配置模式】全局配置模式
【缺省情况】没有配置任何访问表和规则。
no格式是删掉某个IP标准访问表,包含它里面的所有规则。
描述
标准访问表的编号,范围<1-1000>。 访问表的名称,1~31个字符,区分大小写。
描述
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
??
no ip access-list standard { access-list-number | access-list-name } ? permit | deny
配置一条permit或deny的IP标准访问表规则。
[sequence] { permit | deny } { any | source source-wildcard | host source } [time-range time-range-name] [vfp-action-group action-group-name]
语法
sequence permit deny any
source source-wildcard host source
time-range time-range-name l3-action-group action-group-name egr-action-group action-group-name vfp-action-group action-group-name 【配置模式】IP标准访问表配置模式 【缺省情况】没有配置任何访问表和规则。
no格式是删除指定的规则,可以仅指定规则序号,也可以带上规则的内容。 no sequence
no [sequence] { permit | deny } { any | source source-wildcard | host source } time-range time-range-name]
[vfp-action-group
action-group-name]
[egr-action-group
action-group-name]
规则序号
如果条件匹配,就允许访问。 如果条件匹配,就拒绝访问。 任意源地址 源IP地址及通配符 一个源主机地址 指定规则生效的时间域
指定规则匹配后采取的动作。作用于IN方向 指定规则匹配后采取的动作。作用于OUT方向 指定规则匹配后采取的动作。作用于灵活QINQ方向
描述
action-group-name]
[egr-action-group
action-group-name]
[l3-action-group
[l3-action-group action-group-name]
[sequence] remark comment
语法
sequence
规则序号
描述
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
??
remark comment
配置一条注释。注释规则,不会参与规则的匹配,仅仅起到规则的注释和分隔作用。
【配置模式】IP标准访问表配置模式 【缺省情况】没有配置任何访问表和规则。 no格式是删掉一条注释。 no sequence
no [sequence] remark comment
21.2.2 应用实例
建立标准访问表2,定义了三条规则,它允许子网92.49.0.0上的主机IP地址为92.49.0.3发来的包通过,允许子网92.48.0.0上所有机器发来的包,拒绝接收其它的包。
命令
switch(config)# access-list 2 permit host 92.49.0.3 switch(config)# 0.0.255.255
switch(config)# access-list 2 deny any 以下定义可以起到同样效果:
命令
switch (config)# ip access-list standard 2
switch (config-std-nacl)# 10 permit host 92.49.0.3 switch(config-std-nacl)# 0.0.255.255
switch (config-std-nacl)# 30 deny any switch (config-std-nacl)# exit
当要删除其中的一条规则时应如下操作:
命令
描述
描述
允许主机IP地址为92.49.0.3发来的包通过
access-list 2 permit 92.48.0.0 允许子网92.48.0.0上所有机器发来的包
拒绝接收其它的包
描述
创建标准IP访问表2
允许主机IP地址为92.49.0.3发来的包通过
20 permit 92.48.0.0 允许子网92.48.0.0上所有机器发来的包
拒绝接收其它的包
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
??
switch (config)# ip access-list standard 2 switch (config-std-nacl)# no 20 switch (config-std-nacl)# exit
删除序号为20的规则
21.3 配置IP扩展访问表
IP扩展控制表可以根据IP协议号、源IP地址、目的IP地址、源TCP/UDP端口号、目的TCP/UDP端口号、报文优先级、TCP标志等属性制定分类规则,对数据包进行相应的处理。IP扩展访问表比IP标准访问表所定义的内容更丰富,更准确,也更灵活。
21.3.1 基本指令描述
命令
access-list ip access-list extend sequence permit deny remark
show ip access-list ? access-list
定义一条以数字命名的IP扩展访问表的规则。
access-list access-list-number { permit | deny } protocol { any | source source-wildcard | host source } [operator source-port [source-port-wildcard]] { any | destination destination-wildcard | host destination } [operator destination-port [destination-port-wildcard]] [ack / fin / psh / rst / syn / urg] [precedence precedence] [tos tos] [dscp dscp] [time-range time-range-name] [vfp-action-group action-group-name] [egr-action-group action-group-name] [l3-action-group action-group-name]
access-list access-list-number remark comment
描述
* 配置访问表 * 配置IP扩展访问表
* 配置规则的序号,范围<1-2147483647>。 * 配置一条允许通过的规则 * 配置一条拒绝通过的规则 * 配置一条访问表注释 * 显示IP访问表的配置情况
配置模式 config config config-ext-nacl config-ext-nacl config-ext-nacl config-ext-nacl 特权模式
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
语法
access-list-number permit deny protocol
描述
IP扩展访问表的编号,范围<1001-2000>。 如果条件匹配,就允许访问。 如果条件匹配,就拒绝访问。 匹配的协议。可以配置以下值之一: <0-255> 指定协议号的数值
icmp 指定Internet差错与控制报文协议(ICMP) igmp 指定Internet群组管理协议(IGMP) ip 指定所有的Internet协议 tcp 指定传输控制协议(TCP) udp 指定用户数据报协议(UDP) ospf 指定OSPF路由协议 irmp 指定IRMP路由协议 pim 指定PIM多播路由协议 vrrp 指定虚拟路由冗余协议
any
source source-wildcard host source
destination destination-wildcard host destination precedence precedence
任意IP地址 源IP地址及通配符。 源主机IP地址。 目的IP地址及通配符。 目的主机IP地址
报文的IP优先级。可以配置以下值之一: <0-7> IP优先级的数值 critical (5) flash (3) flash-override (4) immediate (2) internet (6) network (7) priority (1) routine (0)
tos tos
服务类型。可以配置以下值之一: <0-15> 服务类型的数值 max-reliability 最高可靠性(2)
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
max-throughput 最大吞吐量(4) min-delay 最小时延(8) min-monetary-cost 最小费用(1) normal 一般服务
dscp dscp
区分服务代码点。可以配置以下值之一: <0-63> 区分服务代码点的数值 af11 (10) af12 (12) af13 (14) af21 (18) af22 (20) af23 (22) af31 (26) af32 (28) af33 (30) af41 (34) af42 (36) af43 (38) cs1 (8) cs2 (16) cs3 (24) cs4 (32) cs5 (40) cs6 (48) cs7 (56) ef (46) default (0)
operator
端口比较。可以选择以下之一: eq 匹配某个端口的报文 wildcard 通配符匹配
source-port [source-port-wildcard]
指定源端口。可以是一个具体的数值,也可以是一个常用端口别名字符串。当使用端口通配符匹配时,只能输入数值。
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
destination-port [destination-port-wildcard]
指定目的端口号。可以是一个具体的数值,也可以是一个常用端口别名字符串。当使用端口通配符匹配时,只能输入数值。
ack / fin / psh / rst / syn / urg
用于匹配TCP的标志位。它们分别是:确认标志、结束标志、立即发送标志、复位标志、同步标志、紧急标志。
time-range time-range-name l3-action-group action-group-name egr-action-group action-group-name vfp-action-group action-group-name remark comment
指定规则生效的时间域
指定规则匹配后采取的动作,作用于IN方向 指定规则匹配后采取的动作,作用于OUT方向 指定规则匹配后采取的动作,用于灵活QINQ的动作 配置一条注释。注释规则,不会参与规则的匹配,仅仅起到规则的注释和分隔作用。
【配置模式】全局配置模式
【缺省情况】没有配置任何访问表和规则。
no格式是删掉某个访问表,包含它里面的所有规则。 no access-list access-list-number
ACL中支持的TCP/UDP知名端口见下表。
协议 TCP
bgp chargen daytime discard domain echo exec finger ftp ftp-data gopher hostname ident
端口名称
意义及实际值
Border Gateway Protocol (179) Character generator (19) Daytime (13) Discard (9)
Domain Name Service (53) Echo (7) Exec (rsh, 512) Finger (79)
File Transfer Protocol (21) FTP data connections (20) Gopher (70)
NIC hostname server (101) Ident Protocol (113)
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
irc klogin kshell login lpd nntp pim-auto-rp pop2 pop3 smtp sunrpc syslog tacacs talk telnet time uucp whois www
UDP
bootpc bootps discard dnsix domain echo isakmp mobile-ip nameserver netbios-dgm netbios-ns netbios-ss
Internet Relay Chat (194) Kerberos login (543) Kerberos shell (544) Login (rlogin, 513) Printer service (515)
Network News Transport Protocol (119) PIM Auto-RP (496) Post Office Protocol v2 (109) Post Office Protocol v3 (110) Simple Mail Transport Protocol (25) Sun Remote Procedure Call (111) Syslog (514)
TAC Access Control System (49) Talk (517) Telnet (23) Time (37)
Unix-to-Unix Copy Program (540) Nicname (43)
World Wide Web (HTTP, 80)
Bootstrap Protocol (BOOTP) client (68) Bootstrap Protocol (BOOTP) server (67) Discard (9)
DNSIX security protocol auditing (195) Domain Name Service (DNS, 53) Echo (7)
Internet Security Association and Key Management Protocol (500)
Mobile IP registration (434) IEN116 name service (obsolete, 42) NetBios datagram service (138) NetBios name service (137) NetBios session service (139)
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
non500-isakmp ntp pim-auto-rp rip snmp snmptrap sunrpc syslog tacacs talk tftp time xdmcp
? ip access-list extended
定义一个IP扩展访问表,可以用数字命名,也可以是用户自定义名称,该命令将进入IP扩展访问表配置模式。
ip access-list extended { access-list-number | access-list-name }
语法
access-list-number access-list-name
【配置模式】全局配置模式
【缺省情况】没有配置任何访问表和规则。
no格式是删掉某个访问表,包含它里面的所有规则。 no ip access-list extended { access-list-number | access-list-name } ? permit | deny
配置一条permit或deny的IP扩展访问表规则。
描述
IP扩展访问表的编号,范围<1001-2000>。
IP扩展访问表的名称,1~31个字符,区分大小写。 Internet Security Association and Key Management Protocol (4500)
Network Time Protocol (123) PIM Auto-RP (496)
Routing Information Protocol (router, in.routed, 520) Simple Network Management Protocol (161) SNMP Traps (162)
Sun Remote Procedure Call (111) System Logger (514)
TAC Access Control System (49) Talk (517)
Trivial File Transfer Protocol (69) Time (37)
X Display Manager Control Protocol (177)
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
[sequence] { permit | deny } protocol { any | source source-wildcard | host source } [operator source-port [source-port-wildcard]] { any | destination destination-wildcard | host destination } [operator destination-port [destination-port-wildcard]] [ack / fin / psh / rst / syn / urg] [precedence precedence] [tos tos] [dscp dscp] [time-range time-range-name] [vfp-action-group action-group-name] [egr-action-group action-group-name] [l3-action-group action-group-name]
语法
sequence permit deny protocol
规则序号
如果条件匹配,就允许访问。 如果条件匹配,就拒绝访问。 匹配的协议。可以配置以下值之一: <0-255> 指定协议号的数值
icmp 指定Internet差错与控制报文协议(ICMP) igmp 指定Internet群组管理协议(IGMP) ip 指定所有的Internet协议 tcp 指定传输控制协议(TCP) udp 指定用户数据报协议(UDP) ospf 指定OSPF路由协议 irmp 指定IRMP路由协议 pim 指定PIM多播路由协议 vrrp 指定 虚拟路由冗余协议
any
source source-wildcard host source
destination destination-wildcard host destination source source-wildcard destination destination-wildcard precedence precedence
任意IP地址 源IP地址及通配符。 源主机IP地址。 目的IP地址及通配符。 目的主机IP地址
报文来自的网络或主机,也即报文的源地址。它有三种表示方法,见前面IP地址表示方法的介绍。 报文的目的网络或主机,也即报文的目的地址。它有三种表示方法,见前面IP地址表示方法的介绍。 报文的IP优先级。可以配置以下值之一: <0-7> IP优先级的数值
描述
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
critical (5) flash (3) flash-override (4) immediate (2) internet (6) network (7) priority (1) routine (0)
tos tos
服务类型。可以配置以下值之一: <0-15> 服务类型的数值 max-reliability 最高可靠性(2) max-throughput 最大吞吐量(4) min-delay 最小时延(8) min-monetary-cost 最小费用(1) normal 一般服务
dscp dscp
区分服务代码点。可以配置以下值之一: <0-63> 区分服务代码点的数值 af11 (10) af12 (12) af13 (14) af21 (18) af22 (20) af23 (22) af31 (26) af32 (28) af33 (30) af41 (34) af42 (36) af43 (38) cs1 (8) cs2 (16) cs3 (24) cs4 (32)
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
cs5 (40) cs6 (48) cs7 (56) ef (46) default (0)
operator
端口比较。可以选择以下之一: eq 匹配某个端口的报文 wildcard 通配符匹配
source-port [source-port-wildcard] destination-port [destination-port-wildcard] ack / fin / psh / rst / syn / urg
指定源端口。可以是一个具体的数值,也可以是一个常用端口别名字符串。
指定目的端口号。可以是一个具体的数值,也可以是一个常用端口别名字符串。
用于匹配TCP的标志位。它们分别是:确认标志、结束标志、立即发送标志、复位标志、同步标志、紧急标志。
time-range time-range-name l3-action-group action-group-name egr-action-group action-group-name vfp-action-group action-group-name 【配置模式】IP扩展访问表配置模式 【缺省情况】没有配置任何访问表和规则。
no格式是删除指定的规则,可以仅指定规则序号,也可以带上规则的内容。 no sequence
no [sequence] { permit | deny } protocol { any | source source-wildcard | host source } [operator source-port [source-port-wildcard]] { any | destination destination-wildcard | host destination } [operator destination-port [destination-port-wildcard]] [ack / fin / psh / rst / syn / urg] [precedence precedence] [tos tos] [dscp dscp] time-range time-range-name] [vfp-action-group action-group-name] [egr-action-group action-group-name] [l3-action-group action-group-name]
指定规则生效的时间域。
指定规则匹配后采取的动作, 作用于IN方向 指定规则匹配后采取的动作,作用于OUT方向 指定规则匹配后采取的动作,用于灵活QINQ的动作
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
? remark
配置一条注释,给访问表规则增加注释。 [sequence] remark comment
语法
sequence remark comment
规则序号
配置一条注释。注释规则,不会参与规则的匹配,仅仅起到规则的注释和分隔作用。
【配置模式】IP扩展访问表配置模式 【缺省情况】没有配置任何访问表和规则。 no格式是删掉一条注释。 no sequence
no [sequence] remark comment ? show ip access-list 显示IP访问表的配置情况
show ip access-list [{ access-list-number | access-list-name }]
语法
access-list-number access-list-name 【配置模式】特权模式 ? show access-list 显示访问表的配置情况
show access-list [{ access-list-number | access-list-name }]
语法
access-list-number
描述
访问表的编号,范围<1-8000>,其中范围<1-2000>表示IP访问列表。
描述
IP访问表的编号,范围<1-2000>。
IP访问表的名称,1~31个字符,区分大小写。
描述
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
access-list-name 【配置模式】特权模式
访问表的名称,1~31个字符,区分大小写。
21.4 配置MAC标准访问表
MAC标准访问表只根据以太报文的源MAC地址制定规则,对数据包进行相应的分析处理。
21.4.1 基本指令描述
命令
access-list
mac access-list standard sequence permit deny remark ? access-list
定义一条以数字命名的MAC标准访问表的规则。
access-list access-list-number { permit | deny } {any | mac-source mac-source-wildcard | host mac-source} [time-range time-range-name] [l2-action-group action-group-name] [egr-action-group action-group-name]
[vfp-action-group action-group-name] access-list access-list-number remark comment
语法
access-list access-list-number permit deny
配置一条访问表规则
MAC标准访问表的编号,范围<2001-3000>。 如果条件匹配,就允许访问。 如果条件匹配,就拒绝访问。
描述
* 配置访问表
* 配置MAC标准访问表
* 配置规则的序号,范围<1-2147483647>。 * 配置一条允许通过的规则 * 配置一条拒绝通过的规则 * 配置一条访问表注释
配置模式 config config
config-std-mac-nacl config-std-mac-nacl config-std-mac-nacl config-std-mac-nacl
描述
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
any
mac-source mac-source-wildcard host mac-source
time-range time-range-name l2-action-group action-group-name egr-action-group action-group-name vfp-action-group action-group-name remark comment
任意源地址
源MAC地址及通配符 一个源MAC主机地址 指定规则生效的时间域。
指定规则匹配后采取的动作,作用于IN方向 指定规则匹配后采取的动作,作用于OUT方向 指定规则匹配后采取的动作,用于灵活QINQ的动作 配置一条注释。注释规则,不会参与规则的匹配,仅仅起到规则的注释和分隔作用。
【配置模式】全局配置模式
【缺省情况】没有配置任何访问表和规则。
no格式是删掉一条以数字命名的访问表,包含它里面的所有规则。 no access-list access-list-number ? mac access-list standard
创建一个MAC标准访问表,可以用数字命名,也可以是用户自定义名称,该命令将进入MAC标准访问表配置模式。
mac access-list standard { access-list-number | access-list-name }
语法
access-list-number access-list-name
【配置模式】全局配置模式
【缺省情况】没有配置任何访问表和规则。
no格式是删掉某个MAC标准访问表,包含它里面的所有规则。 no mac access-list standard { access-list-number | access-list-name } ? permit | deny
配置一条permit或deny的MAC标准访问表规则。
描述
MAC标准访问表的编号,范围<2001-3000>。 MAC标准访问表的名称,1~31个字符,区分大小写。
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
[sequence] { permit | deny } {any | mac-source mac-source-wildcard | host mac-source} [time-range time-range-name]
[vfp-action-group
action-group-name]
[egr-action-group
action-group-name]
[l2-action-group action-group-name]
语法
sequence permit deny any
mac-source mac-source-wildcard host mac-source
time-range time-range-name l2-action-group action-group-name egr-action-group action-group-name vfp-action-group action-group-name 【配置模式】MAC标准访问表配置模式 【缺省情况】没有配置任何访问表和规则。
no格式是删除指定的规则,可以仅指定规则序号,也可以带上规则的内容。 no sequence
no [sequence] { permit | deny } {any | mac-source mac-source-wildcard | host mac-source} [time-range time-range-name]
[vfp-action-group
action-group-name]
[egr-action-group
action-group-name]
规则序号
如果条件匹配,就允许访问。 如果条件匹配,就拒绝访问。 任意源地址
源MAC地址及通配符 一个源MAC主机地址 指定规则生效的时间域。
指定规则匹配后采取的动作, 作用于IN方向 指定规则匹配后采取的动作,作用于OUT方向 指定规则匹配后采取的动作,用于灵活QINQ的动作
描述
[l2-action-group action-group-name]
? remark
配置一条注释,给访问表规则增加注释。 [sequence] remark comment
语法
sequence remark comment
规则序号
配置一条注释。注释规则,不会参与规则的匹配,仅
描述
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
仅起到规则的注释和分隔作用。
【配置模式】MAC标准访问表配置模式 【缺省情况】没有配置任何访问表和规则。 no格式是删掉一条注释。 no sequence
no [sequence] remark comment
21.4.2 应用实例
配置MAC访问表2001,允许来至mac地址为0005.5d5e.4129的报文通过。
命令
描述
switch(config)# access-list 2001 permit host 配置一条MAC标准访问表规则,允许MAC源地0005.5d5e.4129 以上命令等价于:
命令
switch(config)# mac access-list standard 2001
描述
定义MAC访问表2001,进入MAC标准访问表配置模式
switch(config-std-mac-nacl)# 10 permit host 配置一条序号为10的MAC访问表规则,允许0005.5d5e.4129
switch(config-std-mac-nacl)# exit
MAC源地址0005.5d5e.4129的报文通过
址0005.5d5e.4129的报文通过
21.5 配置MAC扩展访问表
MAC扩展访问表可以根据以太报文的源MAC地址、目的MAC地址、802.1P优先级、VLAN ID、以太类型来制定规则,对数据包进行相应的分析处理。
21.5.1 基本指令描述
命令
描述
配置模式
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
access-list
mac access-list extended sequence permit deny remark
show mac access-list ? access-list
定义一条以数字命名的MAC扩展访问表的规则。
access-list access-list-number { permit | deny } { any | mac-source mac-source-wildcard | host mac-source } { any | mac-destination mac-destination-wildcard | host mac-destination } [ether-type ether-protocol-type] [cos priority] [vlan-id vlan-id-number] [time-range time-range-name] [vfp-action-group action-group-name] [egr-action-group action-group-name] [l2-action-group action-group-name]
access-list access-list-number remark comment
语法
access-list access-list-number permit deny any
mac-source mac-source-wildcard host mac-source mac-destination mac-destination-wildcard host mac-destination vlan-id vlan-id-number cos priority
ether-type ether-protocol-type
一个目的MAC主机地址 报文的VLAN号,范围<1-4094> 报文带的802.1p值,范围<0-7>
以太类型,取值范围为0x0000-0xFFFF。常见的有: IP类型:0x0800 配置一条访问表规则
MAC扩展访问表的编号,范围<3001-4000>。 如果条件匹配,就允许访问。 如果条件匹配,就拒绝访问。 任意地址
源MAC地址及通配符 一个源MAC主机地址 目的MAC地址及通配符
描述
* 配置访问表
* 配置MAC扩展访问表
* 配置规则的序号,范围<1-2147483647>。 * 配置一条允许通过的规则 * 配置一条拒绝通过的规则 * 配置一条访问表注释 * 显示MAC访问表的配置情况
Config Config
config-ext-mac-nacl config-ext-mac-nacl config-ext-mac-nacl config-ext-mac-nacl 特权模式
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
ARP类型 :0x0806
l2-action-group action-group-name egr-action-group action-group-name vfp-action-group action-group-name remark comment
time-range time-range-name 【配置模式】全局配置模式
【缺省情况】没有配置任何访问表和规则。
no格式是删掉一条以数字命名的访问表,包含它里面的所有规则。 no access-list access-list-number ? mac access-list extended
创建一个MAC扩展访问表,可以用数字命名,也可以是用户自定义名称,该命令将进入MAC扩展访问表配置模式。
mac access-list extended { access-list-number | access-list-name }
语法
access-list-number access-list-name
【配置模式】全局配置模式
【缺省情况】没有配置任何访问表和规则。
no格式是删掉某个MAC扩展访问表,包含它里面的所有规则。 no mac access-list extended { access-list-number | access-list-name } ? permit | deny
配置一条permit或deny的MAC扩展访问表规则。
[sequence] { permit | deny } { any | mac-source mac-source-wildcard | host mac-source } { any | mac-destination mac-destination-wildcard | host mac-destination } [ether-type ether-protocol-type] [cos
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
指定规则匹配后采取的动作,作用于IN方向 指定规则匹配后采取的动作,作用于OUT方向 指定规则匹配后采取的动作,用于灵活QINQ的动作 配置一条注释。注释规则,不会参与规则的匹配,仅仅起到规则的注释和分隔作用。 指定规则生效的时间域。
描述
MAC扩展访问表的编号,范围<3001-4000>。 访问表的名称,1~31个字符,区分大小写。
???
precedence precedence
报文的IP优先级。可以配置以下值之一: <0-7> IP优先级的数值 critical (5) flash (3) flash-override (4) immediate (2) internet (6) network (7) priority (1) routine (0)
tos tos
服务类型。可以配置以下值之一: <0-15> 服务类型的数值 max-reliability 最高可靠性(2) max-throughput 最大吞吐量(4) min-delay 最小时延(8) min-monetary-cost 最小费用(1) normal 一般服务
dscp dscp
区分服务代码点。可以配置以下值之一: <0-63> 区分服务代码点的数值 af11 (10) af12 (12) af13 (14) af21 (18) af22 (20) af23 (22) af31 (26) af32 (28) af33 (30) af41 (34) af42 (36) af43 (38) cs1 (8) cs2 (16)
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
cs3 (24) cs4 (32) cs5 (40) cs6 (48) cs7 (56) ef (46) default (0)
operator
端口比较。可以选择以下之一: eq 匹配某个端口的报文 wildcard 通配符匹配
source-port [source-port-wildcard]
指定源端口。可以是一个具体的数值,也可以是一个常用端口别名字符串。当使用端口通配符匹配时,只能输入数值。
destination-port [destination-port-wildcard]
指定目的端口号。可以是一个具体的数值,也可以是一个常用端口别名字符串。当使用端口通配符匹配时,只能输入数值。
ack / fin / psh / rst / syn / urg
time-range time-range-name l3-action-group action-group-name egr-action-group action-group-name vfp-action-group action-group-name remark comment
用于匹配TCP的标志位。它们分别是:确认标志、结束标志、立即发送标志、复位标志、同步标志、紧急标志。
指定规则生效的时间域
指定规则匹配后采取的动作,作用于IN方向 指定规则匹配后采取的动作,作用于OUT方向 指定规则匹配后采取的动作,用于灵活QINQ的动作 配置一条注释。注释规则,不会参与规则的匹配,仅仅起到规则的注释和分隔作用。
【配置模式】全局配置模式
【缺省情况】没有配置任何访问表和规则。
no格式是删掉某个访问表,包含它里面的所有规则。 no access-list access-list-number
ACL中支持的TCP/UDP知名端口见下表。
协议
端口名称
意义及实际值
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
TCP
bgp chargen daytime discard domain echo exec finger ftp ftp-data gopher hostname ident irc klogin kshell login lpd nntp pim-auto-rp pop2 pop3 smtp sunrpc syslog tacacs talk telnet time uucp whois www
UDP
bootpc
Border Gateway Protocol (179) Character generator (19) Daytime (13) Discard (9)
Domain Name Service (53) Echo (7) Exec (rsh, 512) Finger (79)
File Transfer Protocol (21) FTP data connections (20) Gopher (70)
NIC hostname server (101) Ident Protocol (113) Internet Relay Chat (194) Kerberos login (543) Kerberos shell (544) Login (rlogin, 513) Printer service (515)
Network News Transport Protocol (119) PIM Auto-RP (496) Post Office Protocol v2 (109) Post Office Protocol v3 (110) Simple Mail Transport Protocol (25) Sun Remote Procedure Call (111) Syslog (514)
TAC Access Control System (49) Talk (517) Telnet (23) Time (37)
Unix-to-Unix Copy Program (540) Nicname (43)
World Wide Web (HTTP, 80)
Bootstrap Protocol (BOOTP) client (68)
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
bootps discard dnsix domain echo isakmp mobile-ip nameserver netbios-dgm netbios-ns netbios-ss non500-isakmp ntp pim-auto-rp rip snmp snmptrap sunrpc syslog tacacs talk tftp time xdmcp
? ipv6 access-list extended
定义一个IPv6扩展访问表,可以用数字命名,也可以是用户自定义名称,该命令将进入IPv6扩展访问表配置模式。
Ipv6 access-list extended { access-list-number | access-list-name }
Bootstrap Protocol (BOOTP) server (67) Discard (9)
DNSIX security protocol auditing (195) Domain Name Service (DNS, 53) Echo (7)
Internet Security Association and Key Management Protocol (500)
Mobile IP registration (434) IEN116 name service (obsolete, 42) NetBios datagram service (138) NetBios name service (137) NetBios session service (139)
Internet Security Association and Key Management Protocol (4500)
Network Time Protocol (123) PIM Auto-RP (496)
Routing Information Protocol (router, in.routed, 520) Simple Network Management Protocol (161) SNMP Traps (162)
Sun Remote Procedure Call (111) System Logger (514)
TAC Access Control System (49) Talk (517)
Trivial File Transfer Protocol (69) Time (37)
X Display Manager Control Protocol (177)
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
语法
access-list-number access-list-name
【配置模式】全局配置模式
【缺省情况】没有配置任何访问表和规则。
no格式是删掉某个访问表,包含它里面的所有规则。
no ipv6 access-list extended { access-list-number | access-list-name } ? permit | deny
配置一条permit或deny的IPv6扩展访问表规则。
[sequence] { permit | deny } protocol { any | source source-wildcard | host source } [operator source-port [source-port-wildcard]] { any | destination destination-wildcard | host destination } [operator destination-port [destination-port-wildcard]] [precedence precedence] [tos tos] [dscp dscp] [time-range time-range-name] [egr-action-group action-group-name] [l3-action-group action-group-name]
语法
sequence permit deny protocol
规则序号
如果条件匹配,就允许访问。 如果条件匹配,就拒绝访问。 匹配的协议。可以配置以下值之一: <0-255> 指定协议号的数值 Ipv6 指定所有的IPV6协议 tcp 指定传输控制协议(TCP) udp 指定用户数据报协议(UDP) ahp 指定AHP协议 esp 指定ESP协议 pcp 指定PCP协议 Icmp 指定ICMP6协议 sctp 指定SCTP协议
any
任意IPv6地址
描述 描述
IP扩展访问表的编号,范围<7001-8000>。
IP扩展访问表的名称,1~31个字符,区分大小写。
版权所有?2013,迈普通信技术股份有限公司,保留所有权利 .
???
正在阅读:
ACL配置06-25
氧化亚铁硫杆菌05-02
文章《地震中的父与子》读后感2022年03-24
2019年最新党风廉政建设个人工作总结工作总结文档04-01
热流道模具之针阀式流道04-17
青岛版六年级科学上册期末试题及答案03-07
校园广播站春季预防疾病播音稿12-27
- 小学生造句大全
- 增压泵投资项目可行性研究报告(模板)
- 高中语文人教版粤教版必修1-5全部文言文知识点归纳
- 两学一做专题民主生活会组织生活会批评与自我批评环节个人发言提
- 管理处环境保洁工作操作标准作业指导书
- 2012六一儿童节活动议程 - 图文
- 移树申请报告
- 《贵州省市政工程计价定额》2016定额说明及计算规则
- 计算机长期没有向WSUS报告状态
- 汉语拼音教学策略研究
- 发展西部领先的航空货运枢纽
- 司法所上半年工作总结4篇
- 如何提高银行服务水平
- 发电厂各级人员岗位职责
- 丰田汽车的外部环境分析
- 2017—2018年最新冀教版四年级数学下册《混合运算》教案精品优质
- 中建八局样板策划 - 图文
- 戚安邦《项目管理学》电子书
- 2015年高级项目经理笔记
- 弯桥的设计要点
- 配置
- ACL
- 甲级单位编制球墨铸铁高强灰铸钛件项目可行性报告(立项可研+贷
- 北航2011年博士招生简章
- 2014届高三数学辅导精讲精练24
- 库存管理操作手册
- 浅析土建类女大学生的毕业选择
- 四年级上册《白鹅》教学设计
- 教研联谊及教学开放日活动简讯
- 2017年咨询工程师继续教育发电工程
- 柳州市人民政府办公室关于进一步明确征收集体土地中申请人民法院
- 2017-2023年中国组合机床市场发展策略及投资潜力可行性预测报告
- 如何推进反腐倡廉制度体系建设
- 河北版小学一年级下册全册美术教案(冀教版)教案 - 图文
- 牵引供电系统10kv贯通线施工设计
- 承台雨水管拆改方案 - 图文
- 1250000区域地质调查
- 新版党政领导干部选拔任用工作条例测试题
- 高二数学暑假作业
- 毕业论文石
- 福建师范大学关于2016年博士研究生拟录取名单的公示
- 电路习题册