2、高级ACL规则配置
高级ACL编号acl-number的范围是3000~3999。
高级acl主要对源/目的IP地址、端口号、优先级、时间段等报文进行过滤。
[Huawei-acl-adv-3000]rule 1 permit ?
<1-255> Protocol number
gre GRE tunneling(47)
icmp Internet Control Message Protocol(1)
igmp Internet Group Management Protocol(2)
ip Any IP protocol
ipinip IP in IP tunneling(4)
ospf OSPF routing protocol(89)
tcp Transmission Control Protocol (6)
udp User Datagram Protocol (17)
[Huawei-acl-adv-3000]rule 1 permit udp ?
destination Specify destination address
destination-port Specify destination port
dscp Specify dscp
fragment-type Specify the fragment type of packet
precedence Specify precedence
source Specify source address
source-port Specify source port
time-range Specify a special time
tos Specify tos
vpn-instance Specify a VPN-Instance
<cr>
[Huawei-acl-adv-3000]rule 1 permit udp source ?
X.X.X.X Address of source
any Any source
[Huawei-acl-adv-3000]rule 1 permit udp source any ?
destination Specify destination address
destination-port Specify destination port
dscp Specify dscp
fragment-type Specify the fragment type of packet
precedence Specify precedence
source-port Specify source port
time-range Specify a special time
tos Specify tos
vpn-instance Specify a VPN-Instance
<cr>
[Huawei-acl-adv-3000]rule 1 permit udp source any des
[Huawei-acl-adv-3000]rule 1 permit udp source any destination ?
X.X.X.X Specify destination address
any Any destination IP address
[Huawei-acl-adv-3000]rule 1 permit udp source any destination 192.168.1.1 ?
0 Wildcard bits : 0.0.0.0 ( a host )
X.X.X.X Wildcard of destination
[Huawei-acl-adv-3000]rule 1 permit udp source any destination 192.168.1.1 0 ?
destination-port Specify destination port
dscp Specify dscp
fragment-type Specify the fragment type of packet
precedence Specify precedence
source-port Specify source port
time-range Specify a special time
tos Specify tos
vpn-instance Specify a VPN-Instance
<cr>
[Huawei-acl-adv-3000]rule 1 permit udp source any destination 192.168.1.1 0 destination-port ?
eq Equal to given port number
gt Greater than given port number
lt Less than given port number
neq Not equal to given port number # 不等于指定端口
range Between two port numbers
[Huawei-acl-adv-3000]rule 1 permit udp source any destination 192.168.1.1 0 destination-port eq ?
<0-65535> Protocol number
biff Mail notify (512)
bootpc Bootstrap Protocol Client (68)
bootps Bootstrap Protocol Server (67)
discard Discard (9)
dns Domain Name Service (53)
dnsix DNSIX Security Attribute Token Map (90)
echo Echo (7)
mobilip-ag MobileIP-Agent (434)
mobilip-mn MobilIP-MN (435)
nameserver Host Name Server (42)
netbios-dgm NETBIOS Datagram Service (138)
netbios-ns NETBIOS Name Service (137)
netbios-ssn NETBIOS Session Service (139)
ntp Network Time Protocol (123)
rip Routing Information Protocol (520)
snmp SNMP (161)
snmptrap SNMPTRAP (162)
sunrpc SUN Remote Procedure Call (111)
syslog Syslog (514)
tacacs-ds TACACS-Database Service (65)
talk Talk (517)
tftp Trivial File Transfer (69)
time Time (37)
who Who(513)
xdmcp X Display Manager Control Protocol (177)
[Huawei-acl-adv-3000]rule 1 permit udp source any destination 192.168.1.1 0 destination-port eq 21 ?
dscp Specify dscp
fragment-type Specify the fragment type of packet
precedence Specify precedence
source-port Specify source port
time-range Specify a special time
tos Specify tos
vpn-instance Specify a VPN-Instance
<cr>
高级acl可以匹配的功能有:
2.1、高级acl常用协议数值对照表
|
协议类型 |
数值 |
|
ICMP |
1 |
|
IGMP |
2 |
|
IPinIP |
4 |
|
TCP |
6 |
|
UDP |
17 |
|
GRE |
47 |
|
IP |
|
|
OSPF |
89 |
2.2、高级acl常用功能说明
|
参数 |
说明 |
|
deny |
拒绝符合条件的报文 |
|
permit |
允许符合条件的报文 |
|
source{sour-addr sour-wildcard|any} |
sour-addr sour-wildcard:源ip地址 源通配符掩码 |
|
any:任意源IP地址 |
|
|
destination{dest-addr dest-wildcaard|any |
dest-addr dest-wildcaard:目的IP地址及通配符掩码 |
|
any:任意目的IP地址 |
|
|
icmp-type{icmp-name|icmp-type icmp-code} |
指定acl规则匹配报文的icmp报文的类型和消息码信息,仅在报文协议是ICMP的情况下有效 |
|
precedence |
指定acl匹配报文时依据优先级字段进行过滤。与tos 参数一起共同构成DSCP组成的二选一参数。 |
|
tos |
指定acl匹配报文时依据服务类型字段进行过滤。与precedence参数一起共同构成DSCP组成的二选一参数。 |
|
dscp |
指定acl匹配报文时区分服务代码点,依据IP包中的DSCP优先级字段进行过滤。 |
|
tcp-flag |
指定acl规则匹配TCP报文中的SYN标志的类型 |
|
time-range |
指定acl规则生效时间段 |
|
destination-port{eq prot|gt port|lt port|rage port-start port end} |
指定acl规则匹配报文的UDP或TCP的目的端口,仅在报文协议是UDP或TCP时生效。端口号可用名称或数字表示 |
|
eq port :指定等于目的端口 |
|
|
gt port:指定大于目的端口 |
|
|
lt port :指定小于目的端口 |
|
|
range port-start port-end:指定目的端口范围 start 为起始端口 end为结束端口 |
|
|
soure-port{eq prot|gt port|lt port|rage port-start port end} |
指定acl规则匹配报文的UDP或TCP的源端口,仅在报文协议是UDP或TCP时生效。 |
|
loging |
指定acl匹配的报文信息进行日志记录 |
|
fragmen |
指定acl规则是否仅对非首片分片报文有效,当包含此参数时仅对非首片分片报文有效。但此参数不能同时与source-port、destination-port、icmp-type、tcp-flag参数同时配置。 |
|
ttl-expired |
指定acl是否依据数据报文中的ttl值是否为1进行过滤。启用此命令表示过滤。5700SI及以下版本不支持。 |
举例:拒绝192.168.1.0网段与主机61.128.128.68进行UDP 9090通信
[Huawei-acl-adv-3002]rule deny udp source 192.168.1.0 0.0.0.255 destination 61.128.128.68 0. destination-port eq 9090
您阅读这篇文章共花了: 
相关文章本文地址:http://www.023wg.com/ACL/161.html
版权声明:若无注明,本文皆为“Swiers思唯网络博客”原创,转载请保留文章出处。
-
enomothem 说:
是的,证书需要于你的实力匹配 -
墨殃 说:
谢谢楼主分享很详细 祝您工作愉快 -
冰尘 说:
我当年上学的时候也这么考虑过,不过没有你... -
你好 说:
在交换机B上ping 172.16.2网... -
随梦而追 说:
博主大人您好,我是2017年毕业的小伙子... -
燃灯大师 说:
我刚好参加此次比赛 -
曲别针 说:
多谢分享,赞! -
agony 说:
谢谢,受益匪浅 -
陈Huid 说:
谢谢分享 -
美股指数 说:
谢谢您的分享!
