ACLCREFWord文件下载.docx
《ACLCREFWord文件下载.docx》由会员分享,可在线阅读,更多相关《ACLCREFWord文件下载.docx(44页珍藏版)》请在冰点文库上搜索。
目的IPv6地址
dscpdscp
有差服务码点,码点值,范围0-63
flow-labelflow-label
流标签,流标签值范围0-1048575
dst
报文目标地址(主机地址或网络地址)
dst-wildcard
目标地址通配符。
可以不连续,如0.255.0.32
fragment
报文分片的过滤
precedenceprecedence
报文的优先级别(0-7)
time-rangetm-rng-name
报文过滤的时间区,名称为tm-rng-name
tostos
报文的服务类型(0-15)
coscos
报文cos值(0-7)
cosinnercos
报文内部tag中的cos
icmp-type
ICMP报文的消息类型(0-255)
icmp-code
ICMP报文的消息类型代码(0-255)
icmp-message
ICMP报文的消息类型名称
operatorport[port]
Operator为操作符(lt-小于,eq-等于,gt-大于,neq-不等于,range-范围)
port端口号,二目操作需要两个端口号码,其他的操作符只要一个端口号
src-mac-addr
源主机的物理地址
dst-mac-addr
目的主机的物理地址
VIDvid
指定的vlanid
VIDinnervid
指定定内部tag中的vid
ethernet-type
以太网协议类型,可以输入0x数值
match-alltcpf
匹配tcpflag的所有位
text
注释信息
in
对进入该接口的报文进行过滤
out
对从该接口输出的报文进行过滤
{rulemaskoffset}+
rule十六进制的值域,mask十六进制的掩码域
offset为偏移量,可参考偏移量表
“+”号表示至少一组
报文域如下:
AAAAAAAAAAAABBBBBBBBBBBBCCCCDDDD
DDDDEEFFGGHHHHHHIIIIJJKKLLLLMMMM
NNNNOOPPQQQQRRRRRRRRSSSSSSSSTTTT
UUUUVVVVVVVVWWWWWWWWXYZZaaaabbbb
对应偏移量表如下
字母
偏移量
A
目的MAC
O
TTL字段
34
B
源MAC
6
P
协议号
35
C
数据帧长度字段
12
Q
IP校验和
36
D
VLANtag字段
14
R
源ip地址
38
E
DSAP(目的服务访
问点)字段
18
S
目的ip地址
42
F
SSAP(源服务访
19
T
TCP源端口
46
G
Ctrl字段
20
U
TCP目的端口
48
H
OrgCode字段
21
V
序列号
50
I
封装的数据类型
24
W
确认字段
54
J
IP版本号
26
XY
IP头长度和保留比特位
58
K
TOS字段
27
Z
保留比特位和flags比特位
59
L
IP包的长度
28
a
Windowssize字段
60
M
ID号
30
b
其他
62
N
Flags字段
32
上表中各个字段的偏移量是它们在SNAP+tag的802.3数据帧中的偏移量。
配置相关命令
全局配置模式命令
●access-list
●ipaccess-list
●macaccess-list
●expertaccess-list
●ipv6access-list
●ipaccess-listresequence
ACL配置模式命令
●deny
●permit
●list-remarktext
●nosn
接口模式命令
●ipaccess-group
●macaccess-group
●expertaccess-group
●ipv6traffic-filter
access-list
该命令创建一个访问列表规则,用于过滤数据报文。
该命令的no形式删除指定的访问列表表项。
1)IP标准访问列表(1-99,1300-1999)
access-listid{deny|permit}{sourcesource-wildcard|hostsource|
any}
2)IP扩展访问列表(100-199,2000-2699)
access-listid{deny|permit}protocol{sourcesource-wildcard|hostsource|any}{destinationdestination-wildcard|hostdestination|any}[precedenceprecedence][tostos][fragments][time-range
time-range-name]
3)MAC扩展访问列表(700-799)
access-listid{deny|permit}{any|hostsource-mac-address}{any|hostdestination-mac-address}[ethernet-type][cos[out][innerin]]
4)Expert扩展访问列表(2700-2899)
access-listid{deny|permit}[protocol|[ethernet-type][cos
[out][innerin]]][VID[out][innerin]]{sourcesource-wildcard|host
source|any}{hostsource-mac-address|any}{destination
destination-wildcard|hostdestination|any}{host
destination-mac-address|any}][precedenceprecedence][tostos]
[fragments][time-rangetime-range-name]
选择字段包含以太网类型Ethernet-type或cos字段时:
access-listid{deny|permit}{ethernet-type|cos[out][innerin]}[VID[out][innerin]]{sourcesource-wildcard|hostsource|any}{hostsource-mac-address|any}{destinationdestination-wildcard|hostdestination|any}{hostdestination-mac-address|any}[time-rangetime-range-name]
选择协议Protocol字段时:
access-listid{deny|permit}protocol[VID[out][innerin]]{source
source-wildcard|hostsource|any}{hostsource-mac-address|any}
{destinationdestination-wildcard|hostdestination|any}{host
destination-mac-address|any}[precedenceprecedence][tostos]
一些重要协议的Expert扩展访问列表:
InternetControlMessageProtocol(ICMP)
access-listid{deny|permit}icmp[VID[out][innerin]]{sourcesource-wildcard|hostsource|any}{hostsource-mac-address|any}{destinationdestination-wildcard|hostdestination|any}{host
destination-mac-address|any}[icmp-type][[icmp-type[icmp-code]]
|[icmp-message]][precedenceprecedence][tostos][fragments]
[time-rangetime-range-name]
TransmissionControlProtocol(TCP)
access-listid{deny|permit}tcp[VID[out][innerin]]{sourcesource-wildcard|hostSource|any}{hostsource-mac-address|any}[operatorport[port]]{destinationdestination-wildcard|hostdestination|any}{hostdestination-mac-address|any}[operatorport[port]][precedenceprecedence][tostos][fragments][time-rangetime-range-name][match-alltcp-flag]
UserDatagramProtocol(UDP)
access-listid{deny|permit}udp[VID[out][innerin]]{sourcesource–wildcard|hostsource|any}{hostsource-mac-address|any}[operatorport[port]]{destinationdestination-wildcard|hostdestination|any}{hostdestination-mac-address|any}[operatorport[port]][precedenceprecedence][tostos][fragments][time-rangetime-range-name]
5)列表注释
access-listlist-remarktext
【参数说明】
以下参数说明是以参数出现前后为顺序进行说明,前面已经说明过的参数,在后面配置语句中出现将不再说明。
id:
访问列表标号。
可配范围(1-99,100-199,1300-1999,2000-2699,2700–2899,700-799)。
Deny:
如果匹配,则拒绝访问。
Permit:
如果匹配,则允许访问。
Source:
source-wildcard:
protocol:
IP协议编号,可以是EIGRP、GRE、IPINIP、IGMP、NOS、OSPF、ICMP、UDP、TCP、IP中的一个,也可以是代表IP协议的0-255编号。
一些重要协议如ICMP/TCP/UDP等单独列出进行说明。
Destination:
destination-wildcard:
fragments:
报文分片的过滤
precedence:
报文的优先级别
报文的优先级别值(0-7)
time-range:
报文过滤的时间区
time-range-name:
报文过滤的时间区名称
tos:
报文的服务类型
报文的服务类型值(0-15)
icmp-type:
icmp-code:
icmp-message:
operator:
操作符(lt-小于,eq-等于,gt-大于,neq-不等于,range-范围)
port[port]:
端口号,range需要两个端口号码,其他的操作符只要一个端口号。
hostsource-mac-address:
源主机的物理地址。
hostdestination-mac-address:
目的主机的物理地址。
VIDvid:
对指定的vid进行匹配
ethernet-type:
以太网协议类型
match-all:
tcp-flag:
tcpflag标志
【缺省设置】
没有任何ACL
【命令模式】
全局配置模式
【使用指南】
为了使用访问列表对数据进行过滤,首先必须通过命令access-list定义一系列访问列表规则语句。
您可以根据具体安全需要使用不同种类的访问列表:
标准IP访问列表(1-99,1300-1999)只对源地址进行控制。
扩展IP访问列表(100-199,2000-2699),可以根据源目的地址进行复杂的控制。
MAC扩展访问列表(700-799),可以根据源和目的MAC地址以及以太网类型进行匹配Expert扩展访问列表(2700-2899),上面信息的综合,并可以对VLANID进行匹配过滤。
TCPFlag包含以下部分或全部
●urg
●ack
●psh
●rst
●syn
●fin
报文优先级别名称如下:
●critical
●flash
●flash-override
●immediate
●internet
●network
●priority
●routine
服务类型名称如下:
●max-reliability
●max-throughput
●min-delay
●min-monetary-cost
●normal
ICMP报文消息类型名称如下:
●administratively-prohibited
●dod-host-prohibited
●dod-net-prohibited
●echo
●echo-reply
●fragment-time-exceeded
●general-parameter-problem
●host-isolated
●host-precedence-unreachable
●host-redirect
●host-tos-redirect
●host-tos-unreachable
●host-unknown
●host-unreachable
●information-reply
●information-request
●mask-reply
●mask-request
●mobile-redirect
●net-redirect
●net-tos-redirect
●net-tos-unreachable
●net-unreachable
●network-unknown
●no-room-for-option
●option-missing
●packet-too-big
●parameter-problem
●port-unreachable
●precedence-unreachable
●protocol-unreachable
●redirect
●router-advertisement
●router-solicitation
●source-quench
●source-route-failed
●time-exceeded
●timestamp-reply
●timestamp-request
●ttl-exceeded
●unreachable
下面是TCP端口名称,TCP可以使用端口名称或端口号来指定具体的端口:
●bgp
●chargen
●cmd
●daytime
●discard
●domain
●echo
●exec
●finger
●ftp
●ftp-data
●gopher
●hostname
●ident
●irc
●klogin
●kshell
●ldp
●login
●nntp
●pim-auto-rp
●pop2
●pop3
●smtp
●sunrpc
●syslog
●tacacs
●talk
●telnet
●time
●uucp
●whois
●www
下面是UDP端口名称,UDP可以使用端口名称或端口号来指定具体的端口:
●biff
●bootpc
●bootps
●discard
●dnsix
●isakmp
●mobile-ip
●nameserver
●netbios-dgm
●netbios-ns
●netbios-ss
●ntp
●rip
●snmp
●snmptrap
●tftp
●who
●xdmcp
以太网协议类型Ethernet-type如下
●aarp
●appletalk
●decnet-iv
●diagnostic
●etype-6000
●etype-8042
●lat
●lavc-sca
●mop-console
●mop-dump
●mumps
●netbios
●vines-echo
●xns-idp
【举例】
1)IP标准访问列表示例
下面的IP基本访问列表允许源地址为192.168.1.64-192.168.1.127的报文通过,其他的所有报文拒绝:
Ruijie(config)#access-list1permit192.168.1.64
0.0.0.63
2)IP扩展访问列表示例
下面的IP扩展访问列表允许DNS报文和ICMP报文通过:
Ruijie(config)#access-list102permittcpanyanyeqdomain
Ruijie(config)#access-list102permitudpanyanyeqdomain
Ruijie(config)#access-list102permiticmpanyanyecho
Ruijie(config)#access-list102permiticmpanyanyecho-reply
3)MAC扩展访问列表示例
下面是使用范例,目的是拒绝MAC为00d0f8000c0c的源主机发送类型为100的以太网帧,并应用到接口1。
配置方法:
Ruijie(config)#access-list702denyhost00d0f8000c0canyaarp
Ruijie(config)#interfacegigabitethernet1/1
Ruijie(config-if)#macaccess-group702in
4)Expert扩展访问列表示例
下例显示如何创建及显示一条ExpertExtendedACL,该专家ACL拒绝源IP地址为192.168.12.3并且源MAC地址为00d0.f800.0044的所有TCP报文。
Ruijie(config)#access-list2702denytcphost
192.168.12.3mac00d0.f800.0044anyany
Ruijie(config)#access-list2702permitanyanyanyany
Ruijie(config)#showaccess-lists
expertaccess-listextended2702
10denytcphost192.168.12.3mac00d0.f800.0044anyany
10permitanyanyanyany
【相关命令】
命令
说明
showaccess-lists
查看所有的访问列表
macaccess-group
在接口上应用MAC扩展访问列表
【平台说明】
软件版本RGOS10.0以上
ipaccess-list
该命令创建标准IPACL或扩展IPACL,并进入该配置模式。
使用该命令的no
升级会员 