ACL
更新时间:2024-05-11 07:38:01 阅读量: 综合文库 文档下载
01-07 ACL配置
Page 1 of 18
本章节
01-07 ACL配置
Page 2 of 18
目 录
7 ACL配置
7.1 访问控制列表简介 7.1.1 访问控制列表概述 7.1.2 访问控制列表的分类 7.1.3 访问控制列表的匹配顺序 7.1.4 访问控制列表的步长设定 7.1.5 基本访问控制列表 7.1.6 高级访问控制列表 7.1.7 ACL对分片报文的支持 7.1.8 ACL生效时间段 7.1.9 ACL统计 7.2 配置访问控制列表
7.2.1 建立配置访问控制列表的任务 7.2.2 创建ACL生效时间段 7.2.3 配置ACL描述信息 7.2.4 配置基本访问控制列表 7.2.5 配置高级访问控制列表 7.2.6 配置ACL的步长 7.2.7 使能ACL统计 7.2.8 检查配置结果 7.3 维护访问控制列表 7.4 ACL基本配置举例
01-07 ACL配置
Page 3 of 18
插图目录
01-07 ACL配置
Page 4 of 18
插图目录
图7-1 ACL配置案例组网图
01-07 ACL配置
Page 5 of 18
表格目录
01-07 ACL配置
Page 6 of 18
表格目录
表7-1 ACL分类
表7-2 高级访问控制列表的操作符意义 表7-3 端口号助记符 表7-4 ICMP报文类型助记符
01-07 ACL配置 Page 7 of 18
关于本章
本章描述内容如下表所示。标题
7.1 访问控制列表概述 7.2 配置访问控制列表 7.3 维护访问控制列表 7.4 ACL基本配置举例
7
ACL配置
内容
了解ACL的基本概念和相关参数。
配置基本访问控制列表、高级访问控制列表。 举例:ACL基本配置举例
清除访问控制列表和ACL统计计数器。 举例说明ACL的基本配置。
01-07 ACL配置 Page 8 of 18
7.1 访问控制列表简介
本节介绍了ACL(Access Control List)的概念、分类和相关参数等。具体包括内容如 下:
· · · · · · · · ·
访问控制列表概述 访问控制列表的分类 访问控制列表的匹配顺序
访问控制列表的步长设定 基本访问控制列表 高级访问控制列表 ACL对分片报文的支持 ACL生效时间段 ACL统计
7.1.1 访问控制列表概述
路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这 些规则就是通过访问控制列表ACL定义的。访问控制列表是由permit | deny语句组成的一 系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL 通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则 判断哪些数据包可以接收,哪些数据包需要拒绝。
ACL本身只是一组规则,无法实现过滤数据包的功能;它只能标定某一类数据包,而对这类数据包 的处理方法,需要由引入ACL的具体功能来决定。在产品实现中,ACL需要与某些功能(如策略路 由、防火墙、流分类等功能)配合使用,来实现过滤数据包等功能。
7.1.2 访问控制列表的分类
按照ACL用途,ACL可以分为以下几种类型,具体如表7-1所示。 表7-1 ACL分类 ACL类型
基本的ACL(Basic ACL)
数字范围 2000~2999 3000~3999
高级的ACL(Advanced ACL)
7.1.3 访问控制列表的匹配顺序
一个访问控制列表可以由多条“deny | permit”语句组成,每一条语句描述的规则是不相 同,这些规则可能存在重复或矛盾的地方,在将一个数据包和访问控制列表的规则进行 匹配的时候,到底采用哪些规则呢?就需要确定规则的匹配顺序。 有两种匹配顺序:
· ·
配置顺序(config) 自动排序(auto)
配置顺序
配置顺序(config),是指按照用户配置ACL的规则的先后进行匹配。缺省情况下匹配顺 序为按用户的配置排序。
01-07 ACL配置 Page 9 of 18
自动排序
自动排序(auto)使用“深度优先”的原则进行匹配。
“深度优先”规则是把指定数据包范围最小的语句排在最前面。这一点可以通过比较地 址的通配符来实现,通配符越小,则指定的主机的范围就越小。
比如129.102.1.1 0.0.0.0指定了一台主机:129.102.1.1,而129.102.1.1 0.0.0.255则指定了一 个网段:129.102.1.1~129.102.1.255,显然前者指定主机范围小,在访问控制规则中排在 前面。具体标准如下。
· 对于基本访问控制规则的语句,直接比较源地址通配符,通配符相同的则按配置顺
序;
· 对于高级访问控制规则,首先比较源地址通配符,相同的再比较目的地址通配符,
仍相同的则比较端口号的范围,范围小的排在前面,如果端口号范围也相同则按配
置顺序。
规则ID
每条规则都有一个“规则ID”,在配置规则的时候,是不需要人为指定规则ID的,系统 会自动为每一条规则生成一个“规则ID”。
规则ID之间会留下一定的空间,具体空间大小由“ACL的步长”来设定。例如步长设定 为5,ACL规则ID分配是按照5、10、15……这样来分配的。
在“配置顺序”的情况下:
· 如果配置规则的时候没有指定“规则ID”,则系统会根据“ACL步长”,按照用户 配置规则的先后顺序,自动为规则分配规则编号。例如:用户配置了3条没有指定 “规则ID”的规则,如果ACL步长为5,则系统按照这3条规则的配置顺序为它们分 别分配规则编号:5,10,15。
系统自动生成的规则ID从步长值起始。比如:步长值是5,自动生成的规则ID从5开始;步长值是
2,自动生成的规则ID从2开始。这样做是为了便于用户在第一条规则前面插入新规则。
· 如果配置规则的时候指定了“规则ID”,则会按照“规则ID”的位置决定该规则的 插入位置。例如系统现在的规则编号是:5、10、15。如果指定“规则ID”为3,创 建一条ACL规则,则规则的规则顺序就为:3、5、10、15,相当于在规则5之前插入 了一条子规则。
因此,在“配置顺序”的情况下,系统会按照用户配置规则的先后顺序进行匹配。但本 质上,系统是按照规则编号的顺序,由小到大进行匹配,后插入的规则有可能先执行。
在“自动排序”的情况下,无法为规则指定“规则ID”。系统会按照“深度优先”原则 自动为规则分配规则编号。指定数据包范围较小的规则将获得较小的规则编号。系统将 按照规则编号的顺序,由小到大进行匹配。
在“自动排序”情况下,系统会根据ACL步长自动分配规则编号,但用户无法插入规则。
使用display acl命令就可以看出是哪条规则首先生效。显示时,列在前面的规则首先生 效。
7.1.4 访问控制列表的步长设定
设置规则组的步长
通过命令step,可以为一个ACL规则组指定“步长”,步长的含义是:自动为ACL规则分 配编号的时,规则编号之间的差值。例如,如果步长设定为5,规则编号分配是按照5、 10、15…这样的规则分配的。缺省情况下,ACL规则组的步长为5。
当步长改变的时候,ACL规则组下面的规则编号会自动重新排列。例如,本来规则编号
为:5、10、15、20,如果通过命令step 2,把步长设定改为2,则规则编号变成:2、4、
01-07 ACL配置
6、8。
Page 10 of 18
如果本来规则编号不均匀分布,执行step命令后,规则会变为均匀分布。例如,如果当前 步长为5,规则编号为:1、3、10、12,通过命令step 2,把步长设定为2,则规则编号自 动变成:2、4、6、8。
如果当前步长为2,规则编号为:1、3、10、12,通过命令step 2规则编号不发生变化,仍然是: 1、3、10、12。如果需要将该规则编号变为:2、4、6、8,可以先执行undo step命令将规则编号 变成:5、10、15、20,再执行step 2命令,将规则编号变成:2、4、6、8。
恢复步长的缺省值
通过undo step命令,可以把步长恢复为缺省设定,同时对规则编号进行重新排列。undo step命令可以立刻按照缺省步长调整ACL子规则的编号。例如:ACL规则组1,下面有4条 规则:编号为1、3、5、7,步长为2。如果此时使用undo step命令,则ACL规则编号变 成:5、10、15、20,步长为5。
使用步长的作用
使用步长设定的作用是:方便在规则之间插入新的规则。例如配置好了4个规则,规则编 号为:5、10、15、20。此时希望能在第一条规则(即编号为5的规则)之前插入一条规 则,则可以使用rule 1命令在规则5之前插入一条编号为1的规则。
7.1.5 基本访问控制列表
基本访问控制列表只能使用源地址信息,做为定义访问控制列表的规则的元素。通过 “配置基本访问控制列表”中介绍的ACL的命令,可以创建一个基本的访问控制列表, 同时进入基本访问控制列表视图,在基本访问控制列表视图下,可以创建基本访问控制 列表的规则。
对已经存在的ACL规则,如果采用指定ACL规则编号的方式进行编辑,没有配置的部分 是不受影响的。例如: 先配置了一个ACL规则:
[Router-acl-basic-2001] rule 1 deny source 1.1.1.1 0
然后再对这个ACL规则进行编辑:
[Router-acl-basic-2001] rule 1 deny
这个时候,ACL的规则变成:
[Router-acl-basic-2001] rule 1 deny source 1.1.1.1 0
7.1.6 高级访问控制列表
高级访问控制列表可以使用数据包的源地址信息、目的地址信息、IP承载的协议类型、 针对协议的特性,例如TCP的源端口、目的端口,ICMP协议的类型、code等内容定义规 则。可以利用高级访问控制列表定义比基本访问控制列表更准确、更丰富、更灵活的规 则。
通过“配置高级访问控制列表”中介绍的ACL的命令,可以创建一个高级的访问控制列 表,同时进入高级访问控制列表视图,在高级访问控制列表视图下,可以创建高级访问 控制列表的规则。
对已经存在的ACL规则,如果采用指定ACL规则编号的方式进行编辑,没有配置的部分 是不受影响的。例如: 先配置了一个ACL规则:
[Router-acl-adv-3001] rule 1 deny ip source 1.1.1.1 0
然后再对这个ACL规则进行编辑:
01-07 ACL配置
Page 11 of 18
[Router-acl-adv-3001] rule 1 deny ip destination 2.2.2.1 0
这个时候,ACL的规则则变成:
[Router-acl-adv-3001] rule 1 deny ip source 1.1.1.1 0 destination 2.2.2.1 0
只有TCP和UDP协议需要指定端口范围。支持的操作符及其语法如下表。
表7-2 高级访问控制列表的操作符意义 操作符及语法 eq port-number gt port-number lt port-number
range port-number1 port-number2
意义
等于端口号port-number 大于端口号port-number 小于端口号port-number
介于端口号port-number1和port-number2之间
在指定port-number时,对于部分常见的端口号,可以用相应的助记符来代替其实际数 字,支持的助记符如下表。 表7-3 端口号助记符 协议 TCP
助记符 Bgp Chargen Cmd Daytime Discard Domain Echo Exec Finger Ftp Ftp-data Gopher Hostname Irc Klogin Kshell Login Lpd Nntp Pop2 Pop3 Smtp Sunrpc Tacacs Talk Telnet Time Uucp Whois
意义及实际值
Border Gateway Protocol (179) Character generator (19) Remote commands (rcmd, 514) Daytime (13) Discard (9)
Domain Name Service (53) Echo (7) Exec (rsh, 512) Finger (79)
File Transfer Protocol (21) FTP data connections (20) Gopher (70)
NIC hostname server (101) Internet Relay Chat (194) Kerberos login (543) Kerberos shell (544) Login (rlogin, 513) Printer service (515)
Network News Transport Protocol (119) Post Office Protocol v2 (109) Post Office Protocol v3 (110)
Simple Mail Transport Protocol (25) Sun Remote Procedure Call (111) TAC Access Control System (49) Talk (517) Telnet (23) Time (37)
Unix-to-Unix Copy Program (540) Nicname (43)
01-07 ACL配置
Page 12 of 18
Www
UDP
biff bootpc bootps discard dns dnsix echo mobilip-ag mobilip-mn nameserver netbios-dgm netbios-ns netbios-ssn ntp rip snmp snmptrap sunrpc syslog tacacs-ds talk tftp time who Xdmcp
World Wide Web (HTTP, 80)
Mail notify (512)
Bootstrap Protocol Client (68) Bootstrap Protocol Server (67) Discard (9)
Domain Name Service (53)
DNSIX Security Attribute Token Map (90) Echo (7)
MobileIP-Agent (434) MobileIP-MN (435) Host Name Server (42)
NETBIOS Datagram Service (138) NETBIOS Name Service (137) NETBIOS Session Service (139) Network Time Protocol (123) Routing Information Protocol (520) SNMP (161) SNMPTRAP (162)
SUN Remote Procedure Call (111) Syslog (514)
TACACS-Database Service (65) Talk (517)
Trivial File Transfer (69) Time (37) Who(513)
X Display Manager Control Protocol (177)
对于ICMP协议可以指定ICMP报文类型,缺省为全部ICMP报文。指定ICMP报文类型 时,可以用数字(0~255),也可以用助记符。
表7-4 ICMP报文类型助记符 助记符 echo
echo-reply
fragmentneed-DFset host-redirect host-tos-redirect host-unreachable information-reply information-request net-redirect net-tos-redirect net-unreachable parameter-problem port-unreachable
意义
Type=8, Code=0 Type=0, Code=0 Type=3, Code=4 Type=5, Code=1 Type=5, Code=3 Type=3, Code=1 Type=16,Code=0 Type=15,Code=0 Type=5, Code=0 Type=5, Code=2 Type=3, Code=0 Type=12,Code=0 Type=3, Code=3
01-07 ACL配置
protocol-unreachable reassembly-timeout source-quench source-route-failed timestamp-reply timestamp-request ttl-exceeded
Type=3, Code=2 Type=11,Code=1 Type=4, Code=0 Type=3, Code=5 Type=14,Code=0 Type=13,Code=0 Type=11,Code=0
Page 13 of 18
相关命令请参考《Quidway NetEngine20/20E 系列路由器 命令参考》。
这样,用户通过配置防火墙,添加适当的访问规则,就可以利用包过滤来对通过路由器 的IP包进行检查,从而过滤掉用户不希望通过路由器的包,起到保护网络安全的作用。
7.1.7 ACL对分片报文的支持
传统的包过滤并不处理所有IP报文分片,而是只对第一个(首片)分片报文进行匹配处 理,后续分片一律放行。这样,网络攻击者可能构造后续的分片报文进行流量攻击,就 带来了安全隐患。
产品的包过滤提供了对分片报文过滤的功能,包括:对所有的分片报文进行三层(IP 层)的匹配过滤;同时,对于包含扩展信息的ACL规则项(例如包含TCP/UDP端口号, ICMP类型),提供标准匹配和精确匹配两种匹配方式。标准匹配即三层信息的匹配,匹 配将忽略三层以外的信息;精确匹配则对所有的ACL项条件进行匹配,这就要求防火墙 必须记录首片分片报文的状态以获得完整的后续分片的匹配信息。缺省的功能方式为标 准匹配方式。
在ACL的规则配置项中,通过关键字fragment来标识该ACL规则仅对非首片分片报文有 效,而对非分片报文和首片分片报文则忽略此规则。而不包含此关键字的配置规则项对 所有报文均有效。 例如:
[Quidway-acl-basic-2001] rule deny source 202.101.1.0 0.0.0.255 fragment [Quidway-acl-basic-2001] rule permit source 202.101.2.0 0.0.0.255
[Quidway-acl-adv-3101] rule permit ip destination 171.16.23.1 0 fragment [Quidway-acl-adv-3101] rule deny ip destination 171.16.23.2 0
上述规则项中,所有项对非首片分片报文均有效;第一、三项对非分片和首片分片报文 是被忽略的,仅仅对非首片分片报文有效。
7.1.8 ACL生效时间段
时间段用于描述一个特殊的时间范围。用户可能有这样的需求:一些ACL规则需要在某 个或某些特定时间内生效,而在其他时间段则不利用它们进行包过滤,即通常所说的按 时间段过滤。这时,用户就可以先配置一个或多个时间段,然后在相应的rule规则下通过 时间段名称引用该时间段,从而实现基于时间段的ACL过滤。 实施基于时间段的ACL规则具体有两个步骤: 1.
创建一个时间段
time-range time-name { start-time to end-time days | from time1 date1 [ to time2 date2 ] } 2.
在ACL的rule命令中引用这个时间段的名称
在rule命令中使用参数time-range time-name引用该时间段。这样,该条ACL规则将只能 在指定时间段内有效,其他时间段则不生效。
7.1.9 ACL统计
NE20/20E路由器上的ACL提供统计功能。当创建的ACL用于防火墙、QoS、NAT和策略
01-07 ACL配置
Page 14 of 18
路由等特性中时,NE20/20E使能ACL统计功能后,路由器就能够基于ACL的编号进行统 计,并且提供命令可以查询ACL匹配成功次数和报文字节数。
7.2 配置访问控制列表
7.2.1 建立配置访问控制列表的任务
应用环境
访问控制列表可以用于很多的业务中,比如路由策略、包过滤等等,主要是为了区分不 同类别的报文,从而进行不同的处理。
前置任务
访问控制列表的配置都是用于某个业务中。在配置访问控制列表前没有要事先配置的任 务。
数据准备
在配置访问控制列表之前,需准备以下数据。 序号 1 2 3
数据
ACL起作用的时间段名,以及起始时间和结束时间
ACL的编号
ACL下的规则编号,以及确定报文类型的规则,具体包括协议、源地址和 源端口、目的地址和目的端口、ICMP类型和编码、IP优先级、tos值、是 否分片。 ACL的注释内容 ACL的步长
4
5
配置过程
要完成建立配置访问控制列表的任务,需要执行如下的配置过程。 序号 1 2 3 4 5 6 7
过程
创建ACL生效时间段 配置ACL描述信息 配置基本访问控制列表 配置高级访问控制列表 配置ACL的步长 使能ACL统计 检查配置结果
7.2.2 创建ACL生效时间段
请在路由器上进行以下配置。
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令time-range time-name { start-time to end-time days | from time1 date1 [ to time2
01-07 ACL配置
date2 ] },创建一个时间段。
----结束
Page 15 of 18
此配置任务用来创建一个时间段,可以创建多条名字相同的时间段。
7.2.3 配置ACL描述信息
请在路由器上进行以下配置。
步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令acl acl-number,进入ACL视图。 步骤 3 执行命令description text,创建ACL描述。
----结束
ACL的描述信息表示该ACL规则的用途,长度不能超过127字符。
7.2.4 配置基本访问控制列表
请在路由器上进行以下配置。
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令acl [ number ] acl-number [ match-order { auto | config } ],创建一个基本访问
控制列表。 步骤 3 执行命令rule [ rule-id ] { deny | permit } [ source { source-ip-address soucer-wildcard |
any } | time-range time-name | vpn-instance vpn-instance-name ] *,配置ACL规则。 ----结束
7.2.5 配置高级访问控制列表
请在路由器上进行以下配置。
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令acl [ number ] acl-number [ match-order { auto | config } ],创建一个高级访问
控制列表。 步骤 3 请根据不同情况进行以下配置。
· 当参数
·
·
protocol为TCP、UDP时,创建ACL规则 rule [ rule-id ] { deny | permit }
protocol [ destination { destination-ip-address destination-wildcard | any } | destination- port operator port-number | dscp dscp | fragment | logging | precedence precedence | source { source-ip-address source-wildcard | any } | source-port operator port-number | time-range time-name | tos tos | vpn-instance vpn-instance-name ]*。
当参数protocol为ICMP时,创建ACL规则 rule [ rule-id ] { deny | permit } protocol [ destination { destination-ip-address destination-wildcard | any } | dscp dscp | fragment | logging | icmp-type { icmp-name | icmp-type icmp-code } | precedence precedence | source { source-ip-address source-wildcard | any } | time-range time-name | tos tos | vpn- instance vpn-instance-name ]*
当参数protocol为除TCP、UDP或ICMP之外的协议时,创建ACL规则 rule [ rule-{ deny | permit } protocol [ destination { destination-ip-address destination-wildcard | any } | dscp dscp | fragment | precedence precedence | source { source-ip-address source-wildcard | any } | time-range time-name | tos tos | vpn-instance vpn-instance- name ]*
id ]
根据IP承载的不同协议类型,在路由器上配置不同的高级访问控制列表。对于不同的协
01-07 ACL配置 Page 16 of 18
议类型,有不同的参数组合,TCP和UDP有 [ source-port operator port-number ] [ destination-port operator port-number ] 可选项,其它协议类型没有。 ----结束
7.2.6 配置ACL的步长
请在路由器上进行以下配置。
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令acl [ number ] acl-number [ match-order { auto | config } ],进入ACL视图。 步骤 3 执行命令step step,配置ACL步长。
----结束
调整ACL的配置时,请注意以下情况。
· ·
undo step命令把步长改为默认设定,同时对规则编号进行重新排列。 ACL规则步长(step-value)的默认值为5。
7.2.7 使能ACL统计
请在路由器上进行以下配置。
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令acl statistic enable,使能ACL统计功能。
----结束
7.2.8 检查配置结果
在完成上述配置后,在任一视图下执行下面的display命令,查看ACL的运行信息,检查 配置的效果。运行信息的详细解释请参考《Quidway NetEngine20/20E 系列路由器 命令 参考》。 操作
显示配置的访问控制列表规则 显示时间段 显示ACL统计计数
显
示信息。
命令
display acl { acl-number | all } display time-range { time-name | all } display acl statistic [ acl- number ]
只有当创建的ACL使用在防火墙、QoS、NAT和策略路由等特性中时,display acl statistic命令才会有
在配置成功时,执行上面的命令,应能得到如下的结果。
· · ·
能够查看到ACL的编号、规则数量、步长和规则的具体内容 能够查看当前时间段的配置和状态
ACL匹配成功的报文字节数
7.3 维护访问控制列表
01-07 ACL配置 Page 17 of 18
清除统计信息后,以前的统计信息将无法恢复,务必仔细确认。
在确认需要清除ACL的运行信息后,请在用户视图下执行下面的reset命令。 操作
清除访问规则计数器
命令
reset acl counter { acl-number | all } reset acl statistic [ acl-number ]
清除ACL统计计数器
7.4 ACL基本配置举例
组网需求
如图7-1所示,某公司通过一台路由器的接口GE1/0/0访问Internet,路由器与内部网通过 以太网接口GE2/0/0连接。各设备间均有可达路由。公司内部对外提供WWW、FTP和 Telnet服务,公司内部子网为129.38.1.0,其中,内部FTP服务器地址为129.38.1.1,内部 Telnet服务器地址为129.38.1.2,内部WWW服务器地址为129.38.1.3,通过配置路由器, 希望实现以下要求。
· ·
外部网络中只有特定用户可以访问内部服务器 内部网络中只有特定主机和服务器可以访问外部网络
假定外部特定用户的IP地址为202.39.2.3。
图7-1 ACL配置案例组网图
配置思路
配置ACL的思路如下。
· ·
定义ACL编号; 定义ACL的具体规则。
数据准备
完成该举例,需要准备如下数据。
01-07 ACL配置
Page 18 of 18
· · ·
ACL编号
允许通过的源IP地址
允许特定用户访问的目的IP地址
配置步骤
步骤 1 创建编号为3001的访问控制列表。
[Router] acl number 3001
步骤 2 配置ACL规则,允许特定主机访问外部网,允许内部服务器访问外部网。
[Router-acl-adv-3001] rule permit ip source 129.38.1.4 0 [Router-acl-adv-3001] rule permit ip source 129.38.1.1 0 [Router-acl-adv-3001] rule permit ip source 129.38.1.2 0 [Router-acl-adv-3001] rule permit ip source 129.38.1.3 0
步骤 3 配置ACL规则,禁止所有IP包通过。
[Router-acl-adv-3001] rule deny ip [Router-acl-adv-3001] quit
步骤 4 创建编号为3002的访问控制列表。
[Router] acl number 3002
步骤 5 配置ACL规则,允许特定用户从外部网访问内部服务器。
[Router-acl-adv-3002] rule permit tcp source 202.39.2.3 0 destination 129.38.1.1 0 [Router-acl-adv-3002] rule permit tcp source 202.39.2.3 0 destination 129.38.1.2 0 [Router-acl-adv-3002] rule permit tcp source 202.39.2.3 0 destination 129.38.1.3 0
通过上述配置完成了ACL的创建。
----结束
配置文件
#
sysname Router #
acl number 3001
rule 5 permit ip source 129.38.1.4 0 rule 10 permit ip source 129.38.1.1 0 rule 15 permit ip source 129.38.1.2 0 rule 20 permit ip source 129.38.1.3 0 rule 25 deny ip acl number 3002
rule 5 permit tcp source 202.39.2.3 0 destination 129.38.1.1 0 rule 10 permit tcp source 202.39.2.3 0 destination 129.38.1.2 0 rule 15 permit tcp source 202.39.2.3 0 destination 129.38.1.3 0 #
return
正在阅读:
ACL05-11
正文:企业存货管理存在的问题及对策分析09-13
海尔集团美国战略浅析05-27
计量经济多选题及答案11-05
火电厂各专业查评表01-18
热控专业标准汇编目录03-04
高层建筑施工复习题03-05
- 多层物业服务方案
- (审判实务)习惯法与少数民族地区民间纠纷解决问题(孙 潋)
- 人教版新课标六年级下册语文全册教案
- 词语打卡
- photoshop实习报告
- 钢结构设计原理综合测试2
- 2014年期末练习题
- 高中数学中的逆向思维解题方法探讨
- 名师原创 全国通用2014-2015学年高二寒假作业 政治(一)Word版
- 北航《建筑结构检测鉴定与加固》在线作业三
- XX县卫生监督所工程建设项目可行性研究报告
- 小学四年级观察作文经典评语
- 浅谈110KV变电站电气一次设计-程泉焱(1)
- 安全员考试题库
- 国家电网公司变电运维管理规定(试行)
- 义务教育课程标准稿征求意见提纲
- 教学秘书面试技巧
- 钢结构工程施工组织设计
- 水利工程概论论文
- 09届九年级数学第四次模拟试卷
- 文化差异的五个维度分析
- 述职述廉报告保安大队大队长XXXdoc
- 九年级上第五单元重点词组句子背诵与默写
- 计算机教师招聘考试多选题
- 2017-2018北京市大兴区高三第一学期期末考试生物试卷(含答案)
- 宽带网络终端回收管理办法(讨论版)
- 金融学期末考试复习资料
- 上海高考数学易错题讲义
- 06--09浙江省c语言真题
- 毕业论文网上选题管理系统毕业论文
- 高中快速作文素材整合
- 行政管理规则制度导读讲义(含:行政管理-规章制度-公文管理-档
- 地下室施工技术方案
- 各种量表汇总
- 2012年二级心理咨询师考试真题(全)
- 1-1000航测数字化地形图技术设计
- 搞定2014河南选调生行测数字推理靠一拆二连三构造
- 电气专业毕业设计范文
- 家乡乡镇企业发展情况调查报告
- 小学三年级语文古诗汇总