1、目的IPv6地址dscp dscp有差服务码点, 码点值, 范围0-63flow-label flow-label流标签,流标签值范围0-1048575dst报文目标地址(主机地址或网络地址)dst-wildcard目标地址通配符。可以不连续,如0.255.0.32fragment报文分片的过滤precedence precedence报文的优先级别(0-7)time-range tm-rng-name报文过滤的时间区,名称为tm-rng-nametos tos报文的服务类型(0-15)cos cos报文cos值(0-7)cos inner cos报文内部tag中的cosicmp-typeIC
2、MP报文的消息类型(0-255)icmp-codeICMP报文的消息类型代码(0-255)icmp-messageICMP报文的消息类型名称operator portportOperator为操作符(lt-小于,eq-等于,gt-大于,neq-不等于,range-范围)port端口号,二目操作需要两个端口号码,其他的操作符只要一个端口号src-mac-addr源主机的物理地址dst-mac-addr目的主机的物理地址VID vid指定的vlan idVID inner vid指定定内部tag中的videthernet-type以太网协议类型,可以输入0x数值match-all tcpf匹配tc
3、p flag的所有位text注释信息in对进入该接口的报文进行过滤out 对从该接口输出的报文进行过滤rule mask offset+rule十六进制的值域,mask十六进制的掩码域offset为偏移量,可参考偏移量表“+”号表示至少一组报文域如下:AA AA AA AA AA AA BB BB BB BB BB BB CC CC DD DDDD DD EE FF GG HH HH HH II II JJ KK LL LL MM MMNN NN OO PP QQ QQ RR RR RR RR SS SS SS SS TT TTUU UU VV VV VV VV WW WW WW WW XY
4、ZZ aa aa bb bb对应偏移量表如下字母偏移量A目的MACOTTL字段34B源MAC6P协议号35C数据帧长度字段12QIP校验和36DVLAN tag字段14R源ip地址38EDSAP(目的服务访问点)字段18S目的ip地址42FSSAP(源服务访19TTCP源端口46GCtrl字段20UTCP目的端口48HOrg Code字段21V序列号50I封装的数据类型24W确认字段54JIP版本号26XYIP头长度和保留比特位58KTOS字段27Z保留比特位和flags比特位59LIP包的长度28aWindows size字段60MID号30b其他62NFlags字段32上表中各个字段的偏移
5、量是它们在SNAPtag 的802.3 数据帧中的偏移量。配置相关命令全局配置模式命令 access-list ip access-list mac access-list expert access-list ipv6 access-list ip access-list resequence ACL配置模式命令 deny permit list-remark text no sn接口模式命令 ip access-group mac access-group expert access-group ipv6 traffic-filteraccess-list该命令创建一个访问列表规则,用于过
6、滤数据报文。该命令的no形式删除指定的访问列表表项。1) IP标准访问列表(1 - 99,1300 - 1999)access-list id deny | permit source source-wildcard | host source | any2) IP扩展访问列表(100 - 199,2000 - 2699)access-list id deny | permit protocol source source-wildcard | host source | any destination destination-wildcard | host destination | any
7、 precedence precedence tos tos fragments time-range time-range-name3) MAC扩展访问列表(700 - 799)access-list id deny | permit any | host source-mac-address any | host destination-mac-address ethernet-typecos out inner in4) Expert扩展访问列表(2700 - 2899)access-list id deny | permit protocol | ethernet-type cos o
8、ut inner in VID outinner in source source-wildcard | host source | any host source-mac-address | any destination destination-wildcard | host destination | any host destination-mac-address | any precedence precedence tos tos fragments time-range time-range-name选择字段包含以太网类型Ethernet-type或cos字段时:access-l
9、ist id deny | permit ethernet-type| cos out inner in VID outinner in source source-wildcard | host source | any host source-mac-address | any destination destination-wildcard | host destination | any host destination-mac-address | any time-range time-range-name选择协议Protocol字段时:access-list id deny | p
10、ermit protocol VID outinner in source source-wildcard | host source | any host source-mac-address | any destination destination-wildcard | host destination | any host destination-mac-address | any precedence precedence tos tos 一些重要协议的Expert扩展访问列表:Internet Control Message Protocol (ICMP)access-list i
11、d deny | permit icmp VID outinner in source source-wildcard | host source | any host source-mac-address | any destination destination-wildcard | host destination | any host destination-mac-address | any icmp-type icmp-type icmp-code | icmp-message precedence precedence tos tos fragments time-range t
12、ime-range-nameTransmission Control Protocol (TCP)access-list id deny | permit tcp VID outinner insource source-wildcard | host Source | any host source-mac-address | any operator port port destination destination-wildcard | host destination | any host destination-mac-address | any operator port port
13、 precedence precedence tos tos fragments time-range time-range-name match-all tcp-flagUser Datagram Protocol (UDP)access-list id deny | permit udpVID outinner in source source wildcard | host source | any host source-mac-address | any operator port port destination destination-wildcard | host destin
14、ation | anyhost destination-mac-address | any operator port port precedence precedence tos tos fragments time-range time-range-name5) 列表注释access-list list-remark text【参数说明】以下参数说明是以参数出现前后为顺序进行说明,前面已经说明过的参数,在后面配置语句中出现将不再说明。id :访问列表标号。可配范围(1-99,100-199,1300-1999, 2000-2699, 2700 2899,700 - 799)。Deny :如
15、果匹配,则拒绝访问。Permit :如果匹配,则允许访问。Source :source-wildcard :protocol :IP协议编号,可以是EIGRP、GRE、IPINIP、IGMP、NOS、OSPF、ICMP、UDP、TCP、IP中的一个,也可以是代表IP协议的0-255编号。一些重要协议如ICMP/TCP/UDP等单独列出进行说明。Destination :destination-wildcard:fragments :报文分片的过滤 precedence :报文的优先级别报文的优先级别值(0-7)time-range :报文过滤的时间区time-range-name :报文过滤的
16、时间区名称tos :报文的服务类型报文的服务类型值(0-15)icmp-type :icmp-code :icmp-message :operator :操作符(lt-小于,eq-等于,gt-大于,neq-不等于,range-范围)port port :端口号,range需要两个端口号码,其他的操作符只要一个端口号。host source-mac-address :源主机的物理地址。host destination-mac-address :目的主机的物理地址。VID vid :对指定的vid进行匹配ethernet-type :以太网协议类型match-all :tcp-flag :tcp
17、flag标志【缺省设置】没有任何ACL【命令模式】全局配置模式【使用指南】为了使用访问列表对数据进行过滤,首先必须通过命令access-list定义一系列访问列表规则语句。您可以根据具体安全需要使用不同种类的访问列表:标准IP访问列表 (1-99,1300-1999)只对源地址进行控制。扩展IP访问列表(100-199,2000-2699),可以根据源目的地址进行复杂的控制。MAC扩展访问列表(700-799),可以根据源和目的MAC地址以及以太网类型进行匹配Expert扩展访问列表(2700-2899),上面信息的综合,并可以对VLAN ID进行匹配过滤。TCP Flag包含以下部分或全部
18、urg ack psh rst syn fin报文优先级别名称如下: critical flash flash-override immediate internet network priority routine服务类型名称如下: max-reliability max-throughput min-delay min-monetary-cost normalICMP报文消息类型名称如下: administratively-prohibited dod-host-prohibited dod-net-prohibited echo echo-reply fragment-time-exce
19、eded general-parameter-problem host-isolated host-precedence-unreachable host-redirect host-tos-redirect host-tos-unreachable host-unknown host-unreachable information-reply information-request mask-reply mask-request mobile-redirect net-redirect net-tos-redirect net-tos-unreachable net-unreachable
20、network-unknown no-room-for-option option-missing packet-too-big parameter-problem port-unreachable precedence-unreachable protocol-unreachable redirect router-advertisement router-solicitation source-quench source-route-failed time-exceeded timestamp-reply timestamp-request ttl-exceeded unreachable
21、下面是TCP端口名称,TCP可以使用端口名称或端口号来指定具体的端口: bgp chargen cmd daytime discard domain echo exec finger ftp ftp-data gopher hostname ident irc klogin kshell ldp login nntp pim-auto-rp pop2 pop3 smtp sunrpc syslog tacacs talk telnet time uucp whois www下面是UDP端口名称,UDP可以使用端口名称或端口号来指定具体的端口: biff bootpc bootps discar
22、d dnsix isakmp mobile-ip nameserver netbios-dgm netbios-ns netbios-ss ntp rip snmp snmptrap tftp who xdmcp以太网协议类型Ethernet-type如下 aarp appletalk decnet-iv diagnostic etype-6000 etype-8042 lat lavc-sca mop-console mop-dump mumps netbios vines-echo xns-idp【举例】1) IP标准访问列表示例下面的IP基本访问列表允许源地址为192.168.1.64
23、- 192.168.1.127的报文通过,其他的所有报文拒绝:Ruijie(config)# access-list 1 permit 192.168.1.640.0.0.632) IP扩展访问列表示例下面的IP扩展访问列表允许DNS报文和ICMP报文通过:Ruijie(config)# access-list 102 permit tcp any any eq domainRuijie(config)# access-list 102 permit udp any any eq domainRuijie(config)# access-list 102 permit icmp any any
24、 echoRuijie(config)# access-list 102 permit icmp any any echo-reply3) MAC扩展访问列表示例下面是使用范例,目的是拒绝MAC为00d0f8000c0c的源主机发送类型为100的以太网帧,并应用到接口1。配置方法:Ruijie(config)# access-list 702 deny host 00d0f8000c0c any aarpRuijie(config)# interface gigabitethernet 1/1Ruijie(config-if)# mac access-group 702 in4) Expert
25、扩展访问列表示例下例显示如何创建及显示一条 Expert Extended ACL,该专家ACL拒绝源IP地址为192.168.12.3并且源MAC地址为00d0.f800.0044的所有TCP报文。Ruijie(config)# access-list 2702 deny tcp host192.168.12.3 mac 00d0.f800.0044 any anyRuijie(config)# access-list 2702 permit any any any anyRuijie(config)# show access-listsexpert access-list extended 270210 deny tcp host 192.168.12.3 mac 00d0.f800.0044 any any10 permit any any any any【相关命令】命令说明show access-lists查看所有的访问列表mac access-group在接口上应用MAC扩展访问列表【平台说明】软件版本RGOS10.0以上ip access-list该命令创建标准IP ACL或扩展IP ACL,并进入该配置模式。使用该命令的no
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2
升级会员 