收藏
下载资源

H3C交换机ACL策略

上传人:m**** 文档编号:466332596 上传时间:2023-12-26 格式:DOCX 页数:10 大小:26.97KB
返回 下载 相关 举报
H3C交换机ACL策略_第1页
第1页 / 共10页
H3C交换机ACL策略_第2页
第2页 / 共10页
H3C交换机ACL策略_第3页
第3页 / 共10页
H3C交换机ACL策略_第4页
第4页 / 共10页
H3C交换机ACL策略_第5页
第5页 / 共10页
点击查看更多>>
资源描述

《H3C交换机ACL策略》由会员分享,可在线阅读,更多相关《H3C交换机ACL策略(10页珍藏版)》请在金锄头文库上搜索。

1、ACL示例sysSWAacl number 3309 name netl09acl /创建一个髙级 acl,编号 3309,命名 netl09acl, 命名为可选SWA-acl-adv-3309-netl09aclrule permit tcp destination l0.0.l09.l0l 0.0.0.0 destination-port range 9080 9099 /添加一条规则,允许 tcp 协议且目的地址为 10.0.109.101、目标端口为 90809099。/规则未添加编号时默认为当前acl规则的最大编号加5。可使用step命令设置编号间隔。 SWA-acl-adv-330

2、9-net109aclrule permit tcp source 10.0.110.108 0.0.0.3 destination 10.0.109.160 0.0.0.7 destination-port range 9000 9019 /新建 tcp 规 则允许源地址为10.0.110.10810.0.110.111、目的地址为10.0.109.16010.0.109.167、 目的端口号为90009019SWA-acl-adv-3309-net109aclrule permit tcp source 10.0.108.99 0.0.0.0 destination-port eq 100

3、50 /新建tcp规则,允许源地址为10.0.109.99,目标端口为 10050SWA-acl-adv-3309-net109aclrule 1000 deny ipSWA-acl-adv-3309-net109aclrule 15 permit tcp destination-port eq 22 logging /插入一条tcp规则,编号为15,允许访问端口 22,并对符合此条件的行为记录日志。SWA-acl-adv-3309-net109aclrule 66 deny icmp icmp-type 8 destination 10.0.109.100 0.0.0.0 /插入一条规则,编

4、号 66,禁止 ping 10.0.109.100SWA-acl-adv-3309-net109aclquitSWAdisplay acl 3309 /查看 acl 3309 的策略Advanced ACL 3309, named net109acl, 5 rules,ACLs step is 5rule 0 permit tcp destination 10.0.109.101 0 destination-port range 9080 9099 rule 5 permit tcp source 10.0.110.104 0.0.0.4 destination 10.0.109.160 0.

5、0.0.8 destination-port range 9000 9019rule 10 permit tcp source 10.0.108.99 0 destination-port eq 10050rule 15 permit tcp destination-port eq 22 loggingrule 66 deny icmp destination 10.0.109.100 0 icmp-type 8rule 1000 deny ipSWAinterface Vlan-interface209SWA-Vlan-in te face209packe t-fil ter 3309 ou

6、t bound /将 acl 3309 应用到虚拟端口 vlan209 的 out bound 方向ACL命令【命令】acl number acl-number name acl-name mat ch-order auto | config undo acl all | name acl-name | number acl-number 【视图】系统视图【缺省级别】2:系统级【参数】number acl-number:指定ACL的编号。acl-number表示ACL的编号,取值围 及其代表的acl类型如下:20002999:表示 IPv4 基本 ACL;30003999:表示 IPv4 高级

7、 ACL;40004999:表示二层 ACL;name acl-name:指定ACL的名称。acl-name表示ACL的名称,为132个字 符的字符串,不区分大小写,必须以英文字母az或AZ开头。为避免混 淆,ACL的名称不允许使用英文单词all。match-order auto | config :指定规则的匹配顺序。auto表示按照自动 排序(即“深度优先”原则)的顺序进行规则匹配,config表示按照配置顺序 进行规则匹配。缺省情况下,规则的匹配顺序为配置顺序。all:指定所有的IPv4 ACL及二层ACL。【描述】acl命令用来创建一个IPv4 ACL或二层ACL,并进入相应的ACL视

8、图。undo acl命令用来删除IPv4 ACL或二层ACL。缺省情况下,不存在任何ACL。需要注意的是:使用acl命令时,如果指定编号的ACL不存在,则创建该 ACL并进入其视图,否则直接进入其视图。用户只能在创建ACL时为其指定名称,ACL 旦创建,便不 允许对其名称进行修改或删除。当ACL不存在任何规则时,用户可以使用本命令对该ACL的 规则匹配顺序进行修改,否则不允许进行修改。高级ACL策略中的rule命令【命令】rule rule-id deny | permit proto col ack ack-value | fin fin-value | psh psh-value | rs

9、t rst-value | syn syn-value | urg urg- value * | established | counting | destination dest-addr dest- wildcard | any | des tinatio n-por t opera tor por tl por t2 | dscp dscp | fragment | icmp-type icmp-type icmp-code | icmp-message | logging | precedence precedence | reflective | source sour-addr s

10、our-wildcard | any | source-po rt opera tor por tl por t2 | ti me- range time-range-name | tos tos | vpn-instance vpn-instance-name *undo rule rule-id ack | fin | psh | rst | syn | urg * | established | counting | destination | destination-port | dscp | fragment | icmp-type | logging | precedence |

11、reflective | source | source-port | time-range | tos | vpn-instance *【视图】IPv4高级ACL视图【缺省级别】2:系统级【参数】rule-id:指定IPv4高级ACL规则的编号,取值围为065534。若未指定本参 数,系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。 譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。deny:表示拒绝符合条件的报文。permi t:表示允许符合条件的报文。protocol:表示IPv4承载的协议类型,可输入的形式如下:数字:取值围为0255;名称(括号为对

12、应的数字):可选取gre (47)、icmp(1)、igmp (2)、ip、ipinip (4)、ospf (89)、tcp (6)或 udp (17)。protocol之后可配置如表1-6所示的规则信息参数。表1-6规则信息参数参数类别作用说明source sour- addr sour- wildcard |any 源地址信息指定ACL规则 的源地址信息sour-addr sour-wildcard 源 IP 地址及其通配符掩码(为0表示主 机地址)any:任意源IP地址destination dest-addrdest-wildcard |any 目的地址 信息指定ACL规则 的目的地址

13、信 息des t-addr des-wildcard 目的 IP地址及其通配符掩码(为0表 示主机地址)any:任意目的IP地址counting统计对规则匹配情 况进行统计该参数用于统计基于硬件应用的ACL中某条规则的匹配次数precedenceprecedence报文优先 级IP优先级precedence 用数字表示时,取值 围为07;用名称表示时,为 routine、 priority、 immediate、 flash、 flash-override、 critical、 internet 或 network, 分别对应于数字07tos tos报文优先 级ToS优先级tos:用数字表示时

14、,取值围为 015;用名称表示时,可选取 max-reliability (2)、 maxthroughput (4)、 min-delay(8)、 min-monetary-cost (1) 或 normal (0)参数类别作用说明dscp dscp报文优先 级DSCP优先级dscp:用数字表示时,取值围为 063;用名称表示时,可选取af11 (10)、 af12 (12)、 af13(14)、 af21 (18)、 af22(20)、 af23 (22)、 af31(26)、 af32 (28)、 af33(30)、 af41 (34)、 af42(36)、 af43 (38)、 cs1

15、 (8)、cs2 (16)、 cs3 (24)、 cs4(32)、 cs5 (40)、 cs6 (48)、cs7 (56)、 default (0)或 ef(46)logging日志操作对符合条件的 报文可记录日 志信息reflective自反标志设置规则具有自反属性目前不支持该参数vpn-instancevpn-instancenameVPN实例对指定VPN实 例中的报文有 效vpn-instancename VPN 实例的 名称,为131个字符的字符串, 区分大小写若未指定本参数,则表示该规则仅 对非VPN报文有效fragment分片信息在SA和EA单 板上应用的 fragment 参 数匹配非尾片 分片报文,在 SC、EB 和 SD 单板上应用的 fragment 参 数匹配非首片 分片报文若未指定本参数,则表示该规则对 非分片报文和分片报文均有效time-rangetime-ran

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 建筑资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号