01-05 ACL Configuration - En.es

Huawei
basada en CLI AR120 y AR150 y AR160 y AR200 y AR1200 y AR2200 & R

R3200 y Serie AR3600 de la empresa Routers Guía de configuración - Seguridad
Configuración 5 ACL
5 Configuración de ACL
Acerca de este capítulo
Una lista de control de acceso (ACL) es un conjunto de reglas que clasifican los paquetes en diferentes tipos. En este capítulo se explica
cómo configurar una ACL en un router para filtrar los paquetes.
Contexto
El 4GE-2S, 4ES2G-S, 4ES2GP-S, y 9ES2 bordo no soporta ACL.
5.1 Resumen
5.2 Principios
En esta sección se describe la implementación de ACL.
5.3 Aplicaciones
En esta sección se describe el escenario de aplicación de ACL.
5.4 Configuración por defecto

Esta sección describe las configuraciones de ACL por defecto.
5.5 Configuración de ACL

En esta sección se describen los procedimientos para configurar ACL.
5.6 El mantenimiento de una ACL
La sección describe cómo mantener una ACL.
5.7 Ejemplos de configuración

Esta sección proporciona varios ejemplos de ACL, incluyendo los requisitos de red, plan de trabajo de
configuración y procedimientos.
5.8 Preguntas
5.9 Referencias
Esta sección enumera las referencias de ACL.
Número 07 (06/04/2017) Huawei Propiedad intelectual y confidencial Copyright 211

© Huawei Technologies Co., Ltd.
Huawei
5.1 Resumen
Definición
Una lista de control de acceso (ACL) se compone de una lista de reglas. reglas ACL clasifican los paquetes de manera que los procesos de
dispositivos clasifican los paquetes de diferentes maneras.
Propósito
Dispositivos necesitan comunicarse entre sí en redes estables con la transmisión de datos fiable.
Ejemplo:
l Defenderse de los ataques de red diferentes, tales como el Protocolo de Internet (IP), Transmisión
Control Protocol (TCP), y los ataques de paquetes de Protocolo de mensajes de control de Internet (ICMP).
l la red de control de acceso. Por ejemplo, el control de los comportamientos de comunicación en el

red de la empresa y las redes externas, los recursos específicos de la red que pueden acceder los usuarios, y los intervalos de
tiempo en el que los usuarios pueden acceder a las redes.
l Limitar el tráfico de red y mejorar el rendimiento de la red. Por ejemplo, limitar el ancho de banda
para el tráfico de aguas arriba y aguas abajo, cobrar por el ancho de banda que los usuarios han solicitado, y hacer pleno
uso de los recursos de red de alto ancho de banda. El ACL resuelve los problemas anteriores y asegura la estabilidad y la
fiabilidad de transmisión de la red.
5.2 Principios
En esta sección se describe la implementación de ACL.
5.2.1 Principios de ACL

Una ACL maneja todas las reglas configuradas y proporciona el algoritmo de coincidencia para los paquetes.
Gestión de Reglas ACL
Una ACL puede contener varias reglas. Una regla se identifica mediante un ID de regla, que puede ser ajustado por un usuario o
automáticamente generado basado en la etapa de ACL. Todas las reglas en una ACL están dispuestas en orden de ID de regla ascendente.
Hay un paso ACL entre los ID de regla. Por ejemplo, si un paso ACL se establece en 5, las reglas están numerados 5, 10, 15, y así sucesivamente.
Si un paso de ACL se establece en 2 y los ID de regla están configurados para ser generada de forma automática, el sistema genera
automáticamente los identificadores de reglas a partir de 2. El paso hace que sea posible añadir una nueva regla entre las normas existentes.
ACL Coincidencia de la Regla
Cuando un paquete llega a un dispositivo, el dispositivo recupera la información del paquete y coincide con reglas ACL. Una vez que se
encuentra una regla de coincidencia, el dispositivo deja de juego. Si hay una regla coincide con el paquete, el dispositivo no procesa el
paquete. reglas ACL se pueden clasificar en las reglas de permisos y reglas de denegación.

Huawei
En resumen, la ACL clasifica los paquetes en los siguientes tipos:
l Paquetes que coinciden con las reglas de autorización.
l Los paquetes que concuerden negar reglas.
l Los paquetes que no coinciden con las reglas.
Diferentes características tienen diferentes maneras de procesar los tres tipos de paquetes. Para más detalles, consulte los manuales de funciones.
5.2.2 Clasificación de ACL
ACL se pueden clasificar en diferentes tipos de acuerdo con reglas diferentes.
l Las ACL se pueden clasificar en las ACL numeradas y las ACL nombradas de acuerdo a la ACL
el modo de nombrar.
- Un ACL numerada se identifica por un número.
NOTA
El número es el identificador de la ACL. Por ejemplo, el ACL con el número que va desde 2000 hasta 2999 es
una ACL básica, y la ACL con el número entre 3.000 3999 es una ACL avanzado.
- Una ACL nombrada se identifica por un nombre.
l Tabla 5-1 enumera la clasificación del LCA.
Tabla 5-1 clasificación de ACL
Categoría versión IP Función Nota
ACL IPv4 Un ACL básico coincide con paquetes sólo en Una ACL IPv4 básica
básica base a la dirección IP de origen, ejemplo VPN, también se llama una
bandera fragmento, y rango de tiempo. ACL básica. ACL básicos
están numerados
2000-2999.
ACL IPv4 Una ACL superior se corresponde con los Una ACL IPv4 avanzada
avanzado paquetes basados en la dirección IPv4 de origen, también se llama una ACL
dirección IPv4 de destino, la precedencia de IP, avanzado. ACL
tipo de servicio (ToS), DiffServ Code Point avanzadas están
(DSCP) de prioridad, tipo de protocolo IP, numeradas de 3000 a
Internet Control Message Protocol (ICMP) de
3999.
impresión, Fuente de TCP / puerto de destino, y
el puerto de origen / destino User Datagram
Protocol (UDP).
Capa 2 IPv4 e IPv6 Una capa 2 ACL coincide con los paquetes en El número de una
ACL base a la información de capa 2 en paquetes, ACL Capa 2 oscila
tales como el origen y el destino de control de 4000-4999.
acceso al medio (MAC), y el número de
protocolo de trama de Ethernet.

Huawei
Categoría versión IP Función Nota
ACL de IPv4 Un usuario de ACL coincide con los paquetes El número de una ACL
usuario basados en la dirección IPv4 de origen, dirección usuario oscila
de destino IPv4, tipo de protocolo IP, Internet 6.000-6031.
Control Message Protocol (ICMP) de impresión,
Fuente de TCP / puerto de destino, y el puerto de
origen / destino User Datagram Protocol (UDP).
básico IPv6 Un ACL6 básica coincide con los paquetes basados Un IPv6 ACL básica
ACL6 en el origen de la dirección IPv6, la bandera de la también se llama un
fragmentación, y rango de tiempo. ACL6 básica. números
básicos ACL6 van
2000-2999.
avanzada IPv6 Un ACL6 superior se corresponde con paquetes Un avanzado IPv6 ACL
ACL6 basados en la dirección IPv6 de origen y de también se denomina
destino IPv6 dirección de paquetes de datos, tipo ACL6 avanzada. números
de protocolo soportada por IPv6, características avanzada ACL6 van
del protocolo tales como el número de puerto de
desde 3000 a 3999.
origen y puerto de destino número, protocolo
ICMPv6, y el código de ICMPv6.
NOTA
Una ACL básico y un ACL6 básica puede utilizar el mismo número, y una ACL avanzado y un ACL6 avanzados pueden usar el mismo
número.
Naming 5.2.3 ACL

Puede especificar un nombre exclusivo a una ACL. Cada ACL tiene un solo nombre. Una ACL nombrada se identifica por el nombre, que puede
especificarse para hacer referencia a la ACL. Puede elegir si desea especificar un nombre cuando se crea una ACL. Una vez creado el ligamento
cruzado anterior, no se puede modificar el nombre de la ACL, o especificar nombres a las ACL no identificadas. Eliminación de un nombre de la
ACL se borrará la ACL.
Se puede configurar un número para una ACL nombrada. Si no se especifica ningún número de ACL para una ACL nombrada, el
sistema asigna un número de ACL a la ACL nombrada.
NOTA
Una ACL básico y un ACL6 básica o una ACL avanzado y un ACL6 avanzados pueden usar el mismo número.

Huawei
5.2.4 Paso de una ACL
Definición
Un paso es la diferencia entre los identificadores de reglas ACL asignados automáticamente por el sistema. Por ejemplo, si el paso se
establece en 5, los IDs de reglas son múltiplos de 5 (a partir de 5), tal como 5,
10, y 15.
l Si se cambia el valor del paso, identificadores de reglas ACL se reorganizan automáticamente. Por ejemplo,
las identificaciones originales de la regla 5, 10, 15 y 20 se convertirán en 2, 4, 6 y 8 si cambia el paso de ACL a 2.
l Cuando el paso restaura al valor predeterminado, el dispositivo reorganiza identificadores de reglas ACL utilizando la
valor de paso por defecto. Por ejemplo, ACL grupo de reglas de 3001 contiene cuatro reglas con ser identificadores
2, 4, 6, y 8, y el paso es 2. Después de la etapa ACL restaura al valor predeterminado 5, los IDs de reglas ACL se
convierten en 5, 10, 15, y 20.
Función
El valor de paso permite un espacio entre los ID de reglas ACL. Es decir, se pueden insertar nuevas reglas a reglas ACL existentes y
controlar el orden de juego de las reglas ACL. Por ejemplo, cuatro reglas son configurados en el grupo de reglas ACL: artículos 5, 10, 15
y 20. Para insertar una nueva regla detrás de la regla 5 (la primera regla), ejecute el comando para insertar el artículo 7 y entre la regla 5
Regla 10 . Además, no es necesario especificar manualmente un identificador de regla de la hora de crear una regla de ACL. El sistema
asignará la regla ACL con un ID de regla, que es la suma de la máxima identificación actual y un valor de paso. Por ejemplo, el
identificador de regla de corriente máxima es 25 y el valor de paso es 5, el sistema asigna el ID de regla 30 para la nueva regla.
5.2.5 Orden de juego de reglas ACL

Una ACL se compone de una lista de reglas. Cada regla contiene una cláusula de permitir o denegar. Estas reglas pueden solaparse o
conflicto. Una regla puede contener otra regla, pero las dos reglas debe ser diferente. El dispositivo soporta dos tipos de orden
coincidente: orden de configuración y de la orden automática. El orden de juego determina las prioridades de las reglas en un ACL.
Regla de prioridades a resolver el conflicto entre las normas que se solapan.
Orden de configuración
El orden de configuración indica que las reglas ACL se emparejan en orden ascendente de ID de reglas. La regla con el ID de regla más
pequeña se corresponde en primer lugar. El orden de configuración se usa por defecto.
Pedido automático
El orden automático sigue el primer principio de profundidad.
reglas ACL están dispuestas en secuencia basada en la precisión regla. condiciones estrictas tales como (el tipo de protocolo, intervalo de
direcciones IP de origen, o intervalo de direcciones IP de destino), el más estricto en una regla de ACL hace que la regla más precisa. Por
ejemplo, una regla de ACL se puede configurar en función de los comodines de direcciones IP. Un comodín más pequeño identifica un
segmento de red más estrecho y por lo tanto hace que una regla estricta ACL.
Si las reglas ACL tienen la misma prioridad según el primer principio de profundidad, que están emparejados con base en las ID de regla en
orden ascendente.

Huawei
NOTA
Al igual que en inversa máscara, una máscara wildcard es en notación decimal con puntos. En una máscara wildcard binario, el valor 0
indica que debe ir acompañada de la broca en la dirección IP y el valor 1 indica que el bit de la dirección IP no necesita ser igualada. El
valor 0 y 1 en una máscara comodín pueden ser discontinua. Por ejemplo, si la dirección IP es 192.168.1.169 y la máscara wildcard es
0.0.0.172, la dirección es 192.168.1.x0x0xx01. El valor de x puede ser 0 o 1.
Tabla 5-2 enumera las reglas de coincidencia de acuerdo con el primer principio de profundidad.
Tabla 5-2 Profundidad primer principio
Tipo de reglas de coincidencia
ACL
ACL básica y 1. La regla que define una instancia de VPN se empareja primero.
ACL6 básica
2. La regla que define el intervalo de direcciones IP de origen más pequeño se adapta primero. La máscara
comodín con los más 0 bits identifica el rango de direcciones IP fuente más pequeña.
3. Si los rangos de direcciones IP de origen son las mismas, la regla con el más pequeño ID se corresponde primero.
ACL 1. La regla que define una instancia de VPN se empareja primero.

avanzado y
2. La regla que define un tipo de protocolo se corresponde primero.
avanzado
3. Si los tipos de protocolo son los mismos, la regla que define el intervalo de direcciones IP de origen más
ACL6
pequeño se adapta primero. La máscara comodín con los más 0 bits identifica el rango de direcciones IP
fuente más pequeña.
4. Si los tipos de protocolo e intervalos de direcciones IP de las fuentes son los mismos, la regla que define el
intervalo de direcciones IP de destino más pequeño se adapta primero. La máscara wildcard con los más 0 bits
identifica el rango de direcciones IP de destino más pequeño.
5. Si los tipos de protocolo, intervalos de direcciones IP de origen, e intervalos de direcciones IP de destino son los
mismos, la regla que define el número de puerto más pequeño de la capa 4 (/ número de puerto UDP TCP) gama se
corresponde primero.
6. Si los rangos anteriores son todos iguales, la regla con el más pequeño ID se corresponde primero.
Capa 2 1. La regla con el mayor comodín tipo de protocolo (con la mayoría de los "1" s en la máscara wildcard) se
ACL corresponde primero.
2. La regla que define el rango de dirección más pequeña fuente MAC se corresponde primero. La máscara
comodín con los bits 1 mayoría identifica el rango de dirección más pequeña fuente MAC.
3. Si los rangos de direcciones MAC de origen son las mismas, la regla que define el intervalo de direcciones de
MAC de destino más pequeño se adapta primero. La máscara wildcard con los bits 1 la mayoría identifica el
rango de direcciones MAC de destino más pequeño.
4. Si los rangos de origen y destino de direcciones MAC son los mismos, la regla con el más pequeño de identificación
se corresponde en primer lugar.

Huawei
5.2.6 Fragmentación de paquetes Con el apoyo de las ACL
El router puede filtrar los paquetes fragmentados. Se puede coincidir con todas las de la capa 3 paquetes IP con reglas capa 3 de filtrado.
Una regla de ACL se puede configurar como válido para todos los paquetes, todos los paquetes fragmentados, o sólo paquetes fragmentados
no iniciales.
Cuando los atacantes construyen paquetes fragmentados para atacar a la red, puede configurar una regla de ACL para que coincida con
sólo los paquetes fragmentados no iniciales. Esto evita que el dispositivo de filtrado de otros paquetes no fragmentados para proteger la
transmisión de servicio normal y asegura que el dispositivo procesa paquetes fragmentados no iniciales para proteger contra ataques desde
paquetes fragmentados.
5.2.7 intervalo de tiempo de una ACL
Un intervalo de tiempo especifica un periodo de tiempo. En la práctica, se requieren algunas reglas ACL para ser válido durante un determinado
período de tiempo, y no válida fuera de ese periodo de tiempo, lo que significa que las reglas ACL se utilizan para filtrar los paquetes basados en
el rango de tiempo. Por ejemplo, si los miembros del personal están prohibidas de la navegación por sitios web de entretenimiento durante el
horario laboral, pero se les permite visitar estos sitios web de entretenimiento durante la noche, un intervalo de tiempo debe estar definido para
una ACL para ejecutar estas condiciones. Para implementar esta función, configurar uno o más rangos de tiempo, y el tiempo de referencia se
extiende el uso de comandos.
Si no se configura ningún período referenciado por la regla, la regla no entra en vigor hasta que se especifica el intervalo de tiempo de
referencia y la hora del sistema se encuentra dentro del rango de tiempo especificado.
5.2.8 IPv6 ACL

IPv6 ACL clasifica los paquetes IPv6 basado en reglas configuradas. La implementación de IPv6 ACL es la misma que la del ligamento
cruzado anterior. IPv6 ACL también se puede llamar ACL6.
Clasificación ACL6
ACL6 se pueden clasificar en los siguientes tipos:
Categoría Rango de números Escenario de uso
básico ACL6 El número oscila 2000-2999. A ACL6 básica filtra los paquetes basados sólo en la dirección
IPv6 de origen, ejemplo de red privada virtual (VPN), bandera
fragmento, y rango de tiempo.
avanzada El número oscila 3000-3999. Un ACL6 avanzada filtra los paquetes basados en la dirección
ACL6 IPv6 de origen y destino de direcciones IPv6 de paquetes de
datos, tipo de protocolo con el apoyo de IPv6, el protocolo de
características tales como el número de puerto de origen y
puerto de destino número, el protocolo ICMPv6, y el Código
ICMPv6.

Huawei
NOTA
Un ACL6 y una ACL puede utilizar el mismo número porque sus comandos son diferentes.
5.3 Aplicaciones
En esta sección se describe el escenario de aplicación de ACL.
5.3.1 La aplicación de las ACL para Filtrado de rutas
ACL se pueden aplicar a diversos protocolos de enrutamiento dinámico para filtrar rutas anunciados y recibidos.
Los usuarios empresariales pueden acceder a Internet mediante el router. Algunos usuarios como miembros del personal de I + D tienen
prohibido el acceso a Internet, y algunos servidores tales como servidores de consultas salariales rechazan el acceso externo para
garantizar la seguridad de la información. Para satisfacer los requisitos anteriores, definir reglas de ACL en el router conectado a Internet
para filtrar paquetes.
Figura 5-1 La aplicación de las ACL para el filtrado de ruta
RouterB
Department1
Internet
RouterA
10.1.17.0/24
OSPF
10.1.18.0/24
10.1.19.0/24
......
Department2
RouterC
Como se muestra en Figura 5-1 , Un router conecta la intranet corriendo Open Shortest Path First (OSPF) a Internet.
ACL se definen en el Router A y se aplicaron a OSPF para controlar ruta publicidad y de recepción.
l Un enrutador proporciona rutas 10.1.17.0/24, 10.1.18.0/24 y 10.1.19.0/24 para Router B.
l Router C sólo recibe rutas 10.1.18.0/24.

Huawei
5.3.2 Aplicación de las ACL para QoS
Como se muestra en Figura 5-2 , Reda NetworkB y se conectan a NetworkC utilizando el router, todos ellos con diferentes
requisitos para los servicios de voz, vídeo y datos. Por ejemplo, Reda tiene altos requerimientos de servicios de vídeo. Para
garantizar la calidad de los servicios de vídeo en Reda, configurar una ACL en el router y hacer referencia a la ACL en una
política de tráfico de manera que todos los paquetes enviados a Reda son procesados por el router antes de ser enviados. Los
paquetes de otras redes se reenvían sin garantía de calidad de servicio (QoS) debido a que no se corresponde ACL.
Figura 5-2 La aplicación de las ACL para QoS
Reda
Router
NetworkC
NetworkB
Los paquetes enviados a Reda
paquetes QoS garantizada
paquetes Unqos garantizado
5.3.3 Aplicación de las ACL al servidor de seguridad
El servidor de seguridad se despliega entre las redes internas y externas para evitar que la red externa de atacar a la red
interna y proteger los ordenadores centrales y los recursos clave, tales como los datos sobre las redes internas.
Figura 5-3 La aplicación de las ACL para el servidor de seguridad
red externa Red

interna
Un PC
PC B
Centro de datos
Router
Permitido el acceso el
acceso Rechazado

Huawei
Como se muestra en Figura 5-3 , Sólo se permite un PC para acceder al centro de datos en la red interna. Puede implementar
una ACL y configurar el servidor de seguridad en Router para cumplir con el requisito.
5.3.4 La aplicación de ACL a IPSec
partes comunicantes cifrar datos y autenticar la fuente de datos mediante el uso de IPSec en una red IP para garantizar la
confidencialidad, la integridad, autenticidad y anti-repetición. Un túnel IPSec se establece sobre los dos dispositivos que se conectan dos
redes, mientras que los usuarios de redes LAN tienen diferentes requisitos de seguridad. Configurar una ACL en el dispositivo de salida
LAN para filtrar los paquetes que entran en el túnel IPSec para que los paquetes de servicios permitidos por la ACL están protegidos y
paquetes de servicios rechazadas por la ACL no están protegidos.
Figura 5-4 La aplicación de las ACL para IPSec
network1 Network2
PC Un
PC C
PC B
RouterA RouterB
Los paquetes que pasan a través del túnel IPSec

Los paquetes que no superen a través de la IPSec
túnel
Como se muestra en Figura 5-4 , Router A y el Router B establecer un túnel IPSec. Configurar una ACL en Router A para permitir que
todos los paquetes de PC A para pasar a través y hacer referencia a la ACL en la política IPSec de modo que todos los paquetes de
PC A se reenvían a través del túnel IPSec. Todos los paquetes de PC B se reenvían directamente porque no ACL es igualada.
5.4 Configuración por defecto

Esta sección describe las configuraciones de ACL por defecto.
Tabla 5-3 describe las configuraciones predeterminadas de la LCA.
Tabla 5-3 configuración de ACL predeterminado
Parámetro Valor por defecto
Paso 5
para coincidente para la configuración

Huawei
5.5 Configuración de ACL
En esta sección se describen los procedimientos para configurar ACL.
5.5.1 Configuración de una ACL básico
Una ACL básica clasifica los paquetes IPv4 basado en información tal como direcciones IP de origen.
5.5.1.1 (Opcional) Configuración del rango de validez de tiempo de una regla de contexto
Algunos servicios o funciones están restringidas dentro de un período de tiempo determinado, por ejemplo, Calidad de Servicio (QoS) se
pone en marcha sólo durante las horas pico. Se puede crear un rango de tiempo y hacer referencia al intervalo de tiempo de una ACL se
aplica a estos servicios o funciones, para que la ACL sólo tiene efecto en el rango de tiempo. Los servicios o funciones que hacen
referencia a la ACL también se inicia en el rango de tiempo especificado.
DARSE CUENTA
La supresión de ACL rango de tiempo de validez puede causar invalidez de algunos ACL. Por lo tanto, utilizar este comando con
precaución.
Procedimiento
Paso 1 Correr:
sistema de vista
Se muestra la vista del sistema.
Paso 2 Correr:
intervalo de tiempo tiempo de nombres {start-tiempo a Tiempo del fin {día} & < 1-7> | de fecha1 tiempo1
[ a fecha2 tiempo2]}
Se crea un intervalo de tiempo. Por defecto, se
establece ningún período.

Huawei
NOTA
Si varios intervalos de tiempo se configuran utilizando la misma tiempo-nombre valor, el sistema toma la unión de las gamas de tiempo periódicos y la unión de los
intervalos de tiempo absolutos y, a continuación, lleva a la intersección de las dos uniones como el intervalo de tiempo final. En este ejemplo, el nombre prueba se
utiliza para configurar los siguientes intervalos de tiempo:
l Intervalo de tiempo 1: 01.01.2010 00:00 a 23:59 31.12.2010 (intervalo de tiempo absoluto)
l Intervalo de tiempo de 2: 8:00 a 18:00 de lunes a viernes (intervalo de tiempo periódico)
l Intervalo de tiempo de 3 partir de las 14:00 antes de las 18:00 los sábados y domingos (intervalo de tiempo periódico) El rango de tiempo prueba incluye 8:
00-18: 00 de lunes a viernes y de 14: 00-18: 00 el sábado y el domingo en

2010.
Se le recomienda configurar el Protocolo de tiempo de red (NTP) para asegurar que los dispositivos de la red utilizan la misma hora del sistema. Para
la configuración de NTP, consulte Funciones Configuración básica de NTP en el Huawei AR120 y AR150 y AR160 y AR200 y AR1200 y AR2200
AR3200 y AR3600 Manual de configuración y Enterprise Series Routers - administración de red.
- - - - Fin
5.5.1.2 Creación de un contexto básico
ACL
ACL básicos clasifican paquetes IPv4 basado en direcciones IP de origen, banderas fragmento, rangos de tiempo, y las instancias de VPN en
los paquetes.
Antes de configurar una ACL básica, es necesario crear una ACL básica.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
acl [número] acl-número [ partido de orden {auto | config}]
Una ACL numerada básica se crea y se visualiza la vista básica ACL. O corre:
nombre acl nombre-acl { básica | acl-number} [ partido de orden {auto | config}]
Una ACL básica llamada se crea y se muestra la vista básica ACL.
acl-número especifica el número de una ACL básica. Los rangos de los valores desde 2000 hasta 2999. De manera predeterminada, no
se crea ninguna ACL.
Paso 3 ( Opcional) Ejecutar:

paso paso
El paso de ACL está configurado.
De forma predeterminada, el paso entre los identificadores de reglas ACL es 5.
Etapa 4 ( Opcional) Ejecutar:

descripción texto
La descripción de ACL está configurado.

Huawei
Por defecto, no hay una descripción está configurado para una ACL.
- - - - Fin
5.5.1.3 Configuración de un Contexto regla básica ACL
Un ACL básicos clasifica los paquetes, haciendo coincidir la información del paquete con sus reglas. Después se crea una ACL básica,
configurar reglas en la ACL básica.
NOTA
Cuando el dispositivo recibe un paquete, que coincide con el paquete con ACL gobierna uno por uno basado en el orden correspondiente. Una vez que el
paquete coincide con una regla en un grupo de reglas ACL, el dispositivo se detiene el proceso de coincidencia y realiza la acción especificada en la regla de
correspondencia en el paquete.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
Una ACL numerada básica se crea y se visualiza la vista básica ACL. O corre:
nombre acl nombre-acl { básica | acl-number} [ partido de orden {auto | config}]
Una ACL básica llamada se crea y se muestra la vista básica ACL.
acl-número especifica el número de una ACL básica. Los rangos de los valores desde 2000 hasta 2999. De manera predeterminada, no
se crea ninguna ACL.
Paso 3 Correr:
gobernar [ regla-id] { negar | permiso} [{fuente fuente-comodín dirección de origen |

any} | vpn-instancia VPN-nombre-instancia | [ fragmento | Ninguno primer fragmento] | registro | intervalo de tiempo tiempo-name] *
Una regla básica de ACL está configurado. Para configurar varias reglas, repita este paso.
NOTA
Después de la primera regla se configura en una ACL, el dispositivo utiliza el valor del paso como el número de esta norma si el Identificación de reglas parámetro
no se especifica. Si el Identificación de reglas parámetro no se especifica para las normas posteriores, el dispositivo utiliza los múltiplos del paso siguiente de
la última ID de regla para numerar las reglas. Por ejemplo, si una ACL incluye regla 5 y regla 7 y el paso es 5, el sistema asigna 10 a una nueva regla sin Identificación
de reglas especificado. Cuando se especifica el intervalo de tiempo parámetro para hacer referencia a un rango de tiempo de validez a la ACL, si el
especificado tiempo-nombre no sale, la ACL no entra en vigor.

regla Identificación de reglas descripción descripción
La descripción de una regla básica de ACL está configurado. Por defecto, no hay una
descripción está configurado para una regla de ACL.

Huawei
No se le permite configurar la descripción de una regla que no ha sido creado.
- - - - Fin
5.5.1.4 La aplicación de la ACL con el Contexto Router
Una ACL es un conjunto de reglas que diferencian a los paquetes y determina si los paquetes son permitidas y negados.
Entonces, el dispositivo procesa los paquetes permitidas y descarta los paquetes denegados.
Procedimiento
l Aplicar la ACL.
ACL se puede aplicar a muchas características. Por ejemplo, para procesar diferentes tipos de tráfico, puede utilizar ACL
ACL básicos, avanzados, Capa 2 ACL, ACL6s básicos, o ACL6s avanzadas para llevar a cabo políticas de tráfico, limitación
de tráfico, o la clasificación de tráfico en el tráfico que coincide con las reglas ACL.
NOTA
ACL se puede aplicar a diferentes servicios, y los dispositivos que ejecutan estos servicios procesar los paquetes de anuncios de acuerdo con los
requisitos de servicio. Para obtener más detalles sobre los servicios que hacen referencia ACL, consulte la guía de configuración.
- - - - Fin
5.5.1.5 Verificación de la configuración
Procedimiento
l ejecutar el acl {display acl-Número | nombre nombre-acl | todas } comando para ver la
de configuración acerca de una ACL específica o todas las ACL.
l ejecutar el visualización de la hora de gama {todo | tiempo-nombre} comando para ver información sobre el
intervalo de tiempo.
- - - - Fin
5.5.2 Configurar una ACL avanzada

ACL avanzada clasifican los paquetes IPv4 basado en información como origen y destino de las direcciones IP, números de puerto de
origen y de destino, las prioridades de paquetes, e intervalos de tiempo.

Huawei
DARSE CUENTA
precaución.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
NOTA

2010.
- - - - Fin
5.5.2.2 Crear un Contexto ACL avanzado
ACL avanzada clasifican los paquetes IPv4 en base a la dirección IP de origen, dirección IP destino, la precedencia de IP, tipo de
servicio (ToS), DiffServ Code Point (DSCP) de prioridad, tipo de protocolo IP, Internet Control Message Protocol (ICMP) de
impresión, Fuente de TCP / número de puerto de destino y el puerto de origen / destino User Datagram Protocol (UDP). Antes de
configurar una ACL avanzado, es necesario crear una ACL avanzado.
Procedimiento
Paso 1 Correr:
sistema de vista

Huawei
Paso 2 Correr:
Una ACL numerada avanzada se crea y se muestra la vista de ACL avanzado. O corre:
nombre acl nombre-acl { avanzar | acl-number} [ partido de orden {auto | config}]
Una ACL avanzado llamado se crea y se muestra la vista de ACL avanzado.
acl-número especifica el número de una ACL avanzado. Los rangos de los valores de 3000 a 3999. De manera predeterminada, no se crea
ninguna ACL.

paso paso

descripción texto
La descripción de ACL está configurado. Por defecto, no hay una descripción está
configurado para una ACL.
- - - - Fin
5.5.2.3 Configuración de un Contexto Regla ACL avanzado
Una ACL avanzado clasifica los paquetes, haciendo coincidir la información del paquete con sus reglas. Después se crea una ACL
avanzada, configurar reglas en la ACL avanzado.
NOTA
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
Una ACL numerada avanzada se crea y se muestra la vista de ACL avanzado. O corre:
nombre acl nombre-acl { avanzar | acl-number} [ partido de orden {auto | config}]
Una ACL avanzado llamado se crea y se muestra la vista de ACL avanzado.
acl-número especifica el número de una ACL avanzado. El valor oscila 3.000 a 3.999.

Huawei
Por defecto, no se crea ningún ACL.
Paso 3 Configurar una regla ACL avanzado basado en la versión del protocolo IP o el tipo de protocolo sobre
IP.
l Configurar una regla ACL avanzado basado en la versión del protocolo IP. Cuando se utiliza IPv4,
correr:
gobernar [ regla-id] { negar | permiso de ip} [{destino -destino dirección comodín destino- | any} | fuente { fuente-comodín dirección
de origen | any} | registro | intervalo de tiempo tiempo-nombre | vpn-instancia VPN-nombre-instancia | [ DSCP DSCP | [ tos tos | precedencia
precedencia] *] | [ fragmento | ninguno-primero-fragmento]] *
l Configurar una regla ACL avanzado basado en el tipo de protocolo sobre IP.
- Cuando se utiliza el protocolo ICMP, ejecute:
gobernar [ regla-id] { negar | permiso} { protocolo número | ICMP} [destino

{ destino-dirección de destino comodín | any} | ICMP de tipo { ICMP-nombre | Tipo icmp- ICMP-code} | fuente { fuente-comodín
dirección de origen | any} | registro | intervalo de tiempo tiempo-nombre | vpn-instancia VPN-nombre-instancia | [ DSCP DSCP
| [ tos tos |
precedencia precedencia] *] | [ fragmento | ninguno-primero-fragmento]] *
- Cuando se utiliza el protocolo TCP, ejecute:
gobernar [ regla-id] { negar | permiso} { protocolo número | tcp} [destino

{ destino-dirección de destino comodín | any} | de destino, el puerto {eq puerto | gt
puerto | lt puerto | distancia puerto-puerto de comenzar-end} | fuente { fuente-dirección comodín fuente- | any} | source-port {eq puerto
| gt puerto | lt puerto | distancia augurar puerto de inicio} | tcp-bandera {ack | aletas | PSH | en primer lugar | syn | URG |
establecida} * | registro | intervalo de tiempo tiempo-nombre | vpn-instancia VPN-nombre-instancia | [ DSCP DSCP | [ tos tos |
precedencia precedencia] *] | [ fragmento | ninguno-primero-fragmento]] *
- Cuando se utiliza el protocolo UDP, ejecute:
gobernar [ regla-id] { negar | permiso} { protocolo número | UDP} [destino

{ destino-dirección de destino comodín | any} | de destino, el puerto {eq puerto | gt
puerto | lt puerto | distancia puerto-puerto de comenzar-end} | fuente { fuente-dirección comodín fuente- | any} | source-port {eq puerto
| gt puerto | lt puerto | distancia puerto en marcha final puerto-} | registro | intervalo de tiempo tiempo-nombre | vpn-instancia VPN-nombre-instancia
| [ DSCP
DSCP | [ tos tos | precedencia precedencia] *] | [ fragmento | ninguno-primero-fragmento]]

*
- Cuando, IGMP, IPinIP, o se utiliza GRE OSPF, ejecute:
gobernar [ regla-id] { negar | permiso} { protocolo número | gre | IGMP | ipinip | OSPF}
[ destino { destino-dirección de destino comodín | any} | fuente { dirección de fuente-fuente-comodín | any} |

registro | intervalo de tiempo tiempo-nombre | vpn-instancia
VPN-nombre-instancia | [ DSCP DSCP | [ tos tos | precedencia precedencia] *] |
[ fragmento | ninguno-primero-fragmento]] *
Para configurar varias reglas, repita este paso.

Huawei
NOTA
los DSCP DSCP y precedencia precedencia parámetros no se pueden ajustar simultáneamente por la misma regla. los DSCP DSCP y tos tos parámetros no se
pueden ajustar simultáneamente por la misma regla. Después de la primera regla se configura en una ACL, el dispositivo utiliza el valor del paso como el
número de esta norma si el Identificación de reglas parámetro no se especifica. Si el Identificación de reglas parámetro no se especifica para las normas
posteriores, el dispositivo utiliza los múltiplos del paso siguiente de la última ID de regla para numerar las reglas. Por ejemplo, si una ACL incluye regla 5 y
regla 7 y el paso es 5, el sistema asigna 10 a una nueva regla sin Identificación de reglas especificado. Cuando se especifica el intervalo de tiempo parámetro
para hacer referencia a un rango de tiempo de validez a la ACL, si el especificado tiempo-nombre no sale, la ACL no entra en vigor.

La descripción de una regla ACL avanzado está configurado. Por defecto, no hay una
- - - - Fin
Procedimiento
l Aplicar la ACL.
NOTA
- - - - Fin
Procedimiento
- - - - Fin

Huawei
5.5.3 Configuración de un ACL de Capa 2
Una capa de 2 ACL clasifica los paquetes de datos de acuerdo con la información de capa de enlace, incluyendo la dirección de
origen MAC, VLAN ID, Capa 2 tipo de protocolo, y dirección MAC de destino.
5.5.3.1 (Opcional) Configuración del rango de validez de tiempo de una regla
Contexto
DARSE CUENTA
precaución.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
NOTA
2010.
- - - - Fin

Huawei
5.5.3.2 Creación de una capa 2 ACL Contexto
Una capa de 2 ACL clasifica los paquetes basados en el origen de la dirección MAC, dirección MAC de destino, y la Capa 2
tipo de protocolo en el paquete.
Antes de configurar una rotura de la capa 2, es necesario crear una rotura de la capa 2.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
Una numeración de capa 2 ACL se crea y se muestra la vista ACL Capa 2. O corre:
nombre acl nombre-acl { de enlaces | acl-number} [ partido de orden {auto | config}]
Una denominada Capa 2 ACL se crea y se muestra la vista de ACL de nivel 2.
acl-número especifica el número de un ACL de Capa 2. Los rangos de los valores de 4000 a 4999. De manera predeterminada, no se crea
ninguna ACL.

paso paso

descripción texto
La descripción de ACL está configurado. Por defecto, no hay una descripción está
configurado para una ACL.
- - - - Fin
5.5.3.3 Configuración de una capa 2 ACL regla de contexto
Capa 2 ACL clasifican los paquetes, haciendo coincidir la información del paquete con sus reglas. Después se crea una ACL, configurar las
reglas de la LCA.
NOTA

Huawei
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
Una numeración de capa 2 ACL se crea y se muestra la vista ACL Capa 2. O corre:
nombre acl nombre-acl { de enlaces | acl-number} [ partido de orden {auto | config}]
Una denominada Capa 2 ACL se crea y se muestra la vista de ACL de nivel 2.
acl-número especifica el número de un ACL de Capa 2. Los rangos de los valores de 4000 a 4999. De manera predeterminada, no se crea
ninguna ACL.
Paso 3 Correr:
gobernar [ regla-id] { permitir | negar} [L2-protocolo Tipo de valor [Tipo de máscara] |

destino-mac dest-mac-address [dest-mac-máscara] | fuente-mac fuente-Mac-dirección [ fuente-mac-máscara] | id_vlan id_vlan
[VLAN-ID-máscara] | 8021p 802.1pvalue | intervalo de tiempo tiempo-name] *
Una regla ACL capa 2 está configurado. Para configurar
varias reglas, repita este paso.
NOTA
La descripción de una regla ACL capa 2 está configurado. Por defecto, no hay una
- - - - Fin
5.5.3.4 La aplicación de la ACL al router
Contexto

Huawei
Procedimiento
l Aplicar la ACL.
NOTA
- - - - Fin
Procedimiento
- - - - Fin
5.5.4 Configuración de un usuario de ACL
Un ACL usuario puede clasificar los paquetes IPv4 basado en direcciones IP de origen, dirección IP de destino, tipo de protocolo IP, de
tipo ICMP, la fuente TCP / puertos de destino, y de origen UDP / puertos de destino.
DARSE CUENTA
precaución.
Procedimiento
Paso 1 Correr:
sistema de vista

Huawei
Paso 2 Correr:
NOTA

2010.
- - - - Fin
5.5.4.2 Creación de un usuario de ACL
Contexto
Un ACL usuario puede clasificar los paquetes IPv4 basado en direcciones IP de origen, dirección IP de destino, tipo de protocolo IP, de tipo
ICMP, la fuente TCP / puertos de destino, y de origen UDP / puertos de destino. Antes de configurar una rotura de usuario, crear la ACL usuario
en primer lugar.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
Un ACL usuario numerada se crea mediante el uso de un número de ACL y la vista ACL usuario se muestra. El valor
de acl-número varía de 6,000 a 6031. Por defecto, no existe ninguna ACL en el dispositivo.
- - - - Fin

Huawei
5.5.4.3 Configuración de usuarios Reglas ACL Contexto
Un ACL usuario clasifica los paquetes, haciendo coincidir la información del paquete con sus reglas. Una vez creada una rotura de usuario,
configurar las reglas de la LCA usuario.
NOTA
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
Un ACL usuario numerada se crea mediante el uso de un número de ACL y la vista ACL usuario se muestra. El valor
de acl-número varía de 6,000 a 6031. Por defecto, no existe ninguna ACL en el dispositivo.
Paso 3 Configurar las reglas ACL de acuerdo a las situaciones reales:
Puede configurar la ACL usuario de acuerdo con el tipo de protocolo de los paquetes IP. Los parámetros varían de acuerdo con el tipo
de protocolo.
l Cuando el protocolo es ICMP, ejecute:
gobernar [ regla-id] { negar | permiso} { protocolo número | ICMP} [destino

{ destino-dirección de destino comodín | cualquier | passthrough-dominio cadena de dominio-} | ICMP de tipo { ICMP-nombre | De
tipo ICMP ICMP-code} | fuente { dirección de fuente-fuente-comodín | any} | intervalo de tiempo tiempo-nombre | [ DSCP DSCP | [ tos
tos | precedencia precedencia] *] | fragmento ] *
l Cuando el protocolo es TCP, ejecute:
gobernar [ regla-id] { negar | permiso} { protocolo número | tcp} [destino

{ destino-dirección de destino comodín | cualquier | passthrough-dominio cadena de dominio-} | de destino, el puerto {eq puerto | gt
puerto | lt puerto | distancia puerto-puerto de comenzar-end} | fuente { fuente-comodín dirección de origen | any} | Puerto de origen
{ eq puerto | gt puerto | lt puerto | distancia puerto-puerto de comenzar-end} | tcp-bandera {ack

| aletas | PSH | en primer lugar | syn | URG} * | intervalo de tiempo tiempo-nombre | [ DSCP DSCP |
[ tos tos | precedencia precedencia] *] | fragmento ] *
l Cuando el protocolo es UDP, ejecute:
gobernar [ regla-id] { negar | permiso} { protocolo número | UDP} [destino

{ destino-dirección de destino comodín | cualquier | passthrough-dominio cadena de dominio-} | de destino, el puerto {eq puerto | gt
puerto | lt puerto | distancia puerto-puerto de comenzar-end} | fuente { fuente-comodín dirección de origen | any} | Puerto de origen
{ eq puerto | gt puerto | lt puerto | distancia puerto-puerto de comenzar-end} | intervalo de tiempo timename | [ DSCP DSCP | [ tos tos | precedencia
precedencia] *] | fragmento ] *
l Cuando el protocolo es GRE, IGMP, IP, IPINIP, o OSPF, ejecute:

gobernar [ regla-id]
{ negar | permiso} { protocolo número | gre | IGMP | IP | ipinip | OSPF}

Huawei
[ destino { destino-dirección de destino comodín | cualquier | passthrough- dominio dominio de cadena} | fuente { fuente-comodín
dirección de origen | any} | intervalo de tiempo tiempo-nombre | [ DSCP DSCP | [ tos tos |
precedencia precedencia] *] | fragmento ] *
NOTA
- - - - Fin
5.5.4.4 La aplicación de una rotura de usuario
Contexto
El ACL usuario sólo clasifica los paquetes en diferentes tipos, pero no puede procesar los paquetes de acuerdo con sus tipos.
Después de la ACL está referenciado por una función, el dispositivo procesa los paquetes permitidos y descarta los paquetes
negados de acuerdo con los requisitos de la función.
Procedimiento
l Aplicar la ACL.
Actualmente, la ACL usuario sólo se puede aplicar a la función NAC.
NOTA
Para saber cómo aplicar una ACL usuario NAC, véase ( Opcional) Configuración de los parámetros de control de acceso para los
usuarios de autenticación Portal en la configuración de NAC Huawei AR120 y AR150 y AR160 y AR200 y AR1200 y AR2200 y AR3200 y
guía de configuración Enterprise Series Routers AR3600 - Seguridad.
- - - - Fin
5.5.4.5 Comprobación de la configuración
Procedimiento
- - - - Fin
5.5.5 Configuración de un ACL6 básico
ACL6s básicos clasifican los paquetes de datos en función de la dirección IPv6 de origen.

Huawei
DARSE CUENTA
precaución.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
NOTA

2010.
- - - - Fin
5.5.5.2 Creación de un contexto básico
ACL6
A ACL6s básica clasifica los paquetes IPv6 en base a fuente de direcciones IPv6, banderas de fragmentos, y el tiempo varía en los
paquetes.

Huawei
Antes de configurar un ACL6 básica, crear un ACL6 básica.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
acl ipv6 [número] acl6-número [ partido de orden {auto | config}]
Un ACL6 básica numerada se crea y se muestra la vista básica ACL6. O corre:
Nombre de ACL IPv6 acl6-nombre { básica | acl6-number} [ partido de orden {auto | config}]
Un ACL6 básica llamada se crea y se muestra la vista básica ACL6.
acl6-number especifica el número de un ACL6 básica. Los rangos de los valores desde 2000 hasta 2999. De manera predeterminada, no se
crea ninguna ACL6.

paso paso
El paso ACL6 está configurado.
Por defecto, el paso entre los ID de regla ACL6 es 5.

descripción texto
La descripción ACL6 está configurado. Por defecto, no hay una descripción está
configurado para un ACL6.
- - - - Fin
5.5.5.3 Configuración de un Contexto regla básica ACL6
A ACL6 básica clasifica los paquetes, haciendo coincidir la información del paquete con sus reglas. Después se crea un ACL6 básica,
configurar reglas en el ACL6.
NOTA
Procedimiento
Paso 1 Correr:
sistema de vista

Huawei
Paso 2 Correr:
Un ACL6 básica numerada se crea y se muestra la vista básica ACL6. O corre:
Nombre de ACL IPv6 acl6-nombre { básica | acl6-number} [ partido de orden {auto | config}]
Un ACL6 básica llamada se crea y se muestra la vista básica ACL6.
acl6-number especifica el número de un ACL6 básica. Los rangos de los valores desde 2000 hasta 2999. De manera predeterminada, no se
crea ninguna ACL6.
Paso 3 Correr:
gobernar [ regla-id]
{ negar | permiso} [[fragmento | Ninguno primer fragmento] | fuente { -dirección de origen para IPv6 prefijo de larga duración | fuente-ipv6-dirección
/ prefijo de longitud | any} | registro | intervalo de tiempo tiempo-name] *
Una regla básica ACL6 está configurado. Para configurar
varias reglas, repita este paso.
NOTA
Después de la primera regla está configurada en un ACL6, el dispositivo utiliza el valor del paso como el número de esta norma si el Identificación de reglas no
se especifica. Si el Identificación de reglas parámetro no se especifica para las normas posteriores, el dispositivo utiliza los múltiplos del paso siguiente de la
última ID de regla para numerar las reglas. Por ejemplo, si un ACL6 incluye regla 5 y regla 7, y el paso es 5, el sistema asigna 10 a una nueva regla sin Identificación
de reglas especificado. Cuando se especifica el intervalo de tiempo parámetro para hacer referencia a un intervalo de tiempo a la ACL6, si el especificado
tiempo-nombre no sale, el ACL6 no entra en vigor.

La descripción de una regla básica ACL6 está configurado. Por defecto, no hay una
- - - - Fin
Procedimiento
l Aplicar la ACL.

Huawei
NOTA
- - - - Fin
Procedimiento
l ejecutar el ipv6 pantalla acl { acl6-Número | nombre acl6-nombre | todas } comando para ver la
de configuración sobre un ACL6 específica o todas ACL6s.
l ejecutar el visualización de la hora de gama {todo | tiempo-nombre} comando para mostrar información acerca de
el intervalo de tiempo.
- - - - Fin
5.5.6 Configuración de un ACL6 avanzada
ACL6s avanzada clasificar los paquetes de datos en función de la dirección IPv6 de origen, dirección de destino IPv6, el número de
puerto de origen, número de puerto de destino y tipo de protocolo.
DARSE CUENTA
precaución.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
Se crea un intervalo de tiempo.

Huawei
Por defecto, se establece ningún período.
NOTA

2010.
- - - - Fin
5.5.6.2 Crear un Contexto avanzada ACL6
Un ACL6 avanzada puede clasificar los paquetes IPv6 en base a los siguientes atributos: IPv6 dirección de origen, dirección IPv6 de
destino, tipo de protocolo con el apoyo de IPv6, y las características específicas del protocolo, tales como los números de origen y de
destino TCP puerto, ICMPv6 tipo de protocolo, y el Código ICMPv6.
Antes de configurar un ACL6 avanzada, es necesario crear un ACL6 avanzada.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
Un ACL6 avanzada numerada se crea y se muestra la vista ACL6 avanzada. O corre:
Nombre de ACL IPv6 acl6-nombre { avanzar | acl6-number} [ partido de orden {auto | config}]
Un ACL6 avanzada llamada se crea y se muestra la vista ACL6 avanzada.
acl6-number especifica el número de un ACL6 avanzada. El valor oscila de 3000 a

3999.
Por defecto, no se crea ningún ACL6.

paso paso
El paso ACL6 está configurado.
Por defecto, el paso entre los ID de regla ACL6 es 5.

Huawei

descripción texto
La descripción ACL6 está configurado. Por defecto, no hay una descripción está
configurado para un ACL6.
- - - - Fin
5.5.6.3 Configuración de un Contexto Regla avanzada ACL6
ACL6s clasificar los paquetes, haciendo coincidir la información del paquete con sus reglas. Una vez creado un ACL6 avanzada,
configurar reglas en el ACL6 avanzada.
NOTA
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
Un ACL6 avanzada numerada se crea y se muestra la vista ACL6 avanzada. O corre:
Nombre de ACL IPv6 acl6-nombre { avanzar | acl6-number} [ partido de orden {auto | config}]
Un ACL6 avanzada llamada se crea y se muestra la vista ACL6 avanzada.
acl6-number especifica el número de un ACL6 avanzada. El valor oscila de 3000 a

3999.
Por defecto, no se crea ningún ACL6.
Paso 3 Realice los siguientes pasos según sea necesario para configurar las reglas para la ACL6 avanzada.
Se puede configurar el ACL6 avanzado en el dispositivo de acuerdo con el tipo de protocolo sobre IP. Los parámetros varían de
acuerdo con el tipo de protocolo.
l Cuando se utiliza el protocolo TCP, ejecute:
gobernar [ regla-id] { negar | permiso} { protocolo número | tcp} [{destino destino-ipv6-dirección prefijo de larga duración | destino-ipv6-dirección
/ prefijo de longitud | any} | puerto de destino-{eq puerto | gt puerto | lt puerto | distancia puerto-puerto de comenzar-end} | DSCP DSCP | precedencia
precedencia | fuente { fuente-ipv6-prefijo de dirección de longitud | fuente-ipv6-dirección / longitud de prefijos | any} | source-port {eq puerto | gt puerto
| lt puerto | distancia puerto-puerto de comenzar-end} | tcpflag {ack | aletas | PSH | en primer lugar | syn | URG | establecida} * | registro |
intervalo de tiempo tiempo-nombre |
tos tOS] *

Huawei
l Cuando se utiliza el protocolo UDP, ejecute:
gobernar [ regla-id] { negar | permiso} { protocolo número | UDP} [{destino destino-ipv6-dirección prefijo de larga duración | destino-ipv6-dirección
/ prefijo de longitud | any} | puerto de destino-{eq puerto | gt puerto | lt puerto | distancia puerto-puerto de comenzar-end} | DSCP DSCP | precedencia
precedencia | fuente { fuente-ipv6-prefijo de dirección de longitud | fuente-ipv6-dirección / longitud de prefijos | any} | source-port {eq puerto
| gt puerto | lt puerto | distancia puerto-puerto de comenzar-end} |
registro | intervalo de tiempo tiempo-nombre | tos tOS] *
l Cuando se utiliza el protocolo ICMPv6, ejecute:
gobernar [ regla-id] { negar | permiso} { protocolo número | ICMPv6} [destino

{ destino-ipv6-prefijo de dirección de longitud | destino-ipv6-dirección / prefijo de longitud | any} | DSCP DSCP | icmp6 de tipo { icmp6
nombre-tipo-| De tipo icmp6 icmp6-code} | precedencia
precedencia | fuente { fuente-ipv6-prefijo de dirección de longitud | fuente-ipv6-dirección / prefixlength | any} | registro | intervalo de
tiempo tiempo-nombre | tos tOS] *
l Cuando se utiliza el protocolo IPv6, ejecute:
gobernar [ regla-id] { negar | permiso} { protocolo número | ipv6} [{destino destino-ipv6-dirección prefijo de larga duración | destino-ipv6-dirección
/ prefijo de longitud | any} | DSCP DSCP |
[ fragmento | Ninguno primer fragmento] | precedencia precedencia | fuente { -dirección de origen para IPv6 prefijo de larga duración | fuente-ipv6-dirección
/ prefijo de longitud | any} | registro | intervalo de tiempo
tiempo-nombre | tos tOS] *
l Cuando se utilizan otros protocolos, ejecute:
gobernar [ regla-id] { negar | permiso} { protocolo número | gre | OSPF} [destino

{ destino-ipv6-prefijo de dirección de longitud | destino-ipv6-dirección / prefijo de longitud | any} | DSCP DSCP | precedencia precedencia | fuente
{ fuente-ipv6-prefijo de dirección de longitud | fuente-ipv6-dirección / prefijo de longitud | any} | registro | intervalo de tiempo tiempo-nombre
| tos tOS] *
NOTA
Para configurar tanto el precedencia precedencia y tos tos parámetros, establecidos los dos parámetros de forma consecutiva en el comando. los DSCP DSCP y
precedencia precedencia parámetros no se pueden ajustar simultáneamente por la misma regla. los DSCP DSCP y tos tos parámetros no se pueden ajustar
simultáneamente por la misma regla. Cuando el protocolo valor no es IPv6, el fragmento y ninguno-primero-fragmento los parámetros no se pueden ajustar.
Después de la primera regla está configurada en un ACL6, el dispositivo utiliza el valor del paso como el número de esta norma si el Identificación de reglas no
se especifica. Si el Identificación de reglas parámetro no se especifica para las normas posteriores, el dispositivo utiliza los múltiplos del paso siguiente de la
última ID de regla para numerar las reglas. Por ejemplo, si un ACL6 incluye regla 5 y regla 7, y el paso es 5, el sistema asigna 10 a una nueva regla sin Identificación
de reglas especificado. Cuando se especifica el intervalo de tiempo parámetro para hacer referencia a un intervalo de tiempo a la ACL6, si el especificado
tiempo-nombre no sale, el ACL6 no entra en vigor.
La descripción de una regla ACL6 avanzada está configurado. Por defecto, no hay una
- - - - Fin

Huawei
5.5.6.4 La aplicación de la ACL al router
Contexto
Procedimiento
l Aplicar la ACL.
NOTA
- - - - Fin
5.5.6.5 Comprobación de la configuración
Procedimiento
l ejecutar el ipv6 pantalla acl { acl6-Número | nombre acl6-nombre | todas } comando para ver la
de configuración sobre un ACL6 específica o todas ACL6s.
l ejecutar el visualización de la hora de gama {todo | tiempo-nombre} comando para mostrar información acerca de
el intervalo de tiempo.
- - - - Fin
5.6 El mantenimiento de una ACL
La sección describe cómo mantener una ACL.
5.6.1 Eliminación de Estadísticas de ACL
Contexto
DARSE CUENTA
Las estadísticas de ACL eliminados no se pueden recuperar. Tener precaución cuando se ejecuta el comando.

Huawei
Procedimiento
l ejecutar el contador Reset ACL {nombre nombre-acl | acl-Número | todas } mando en el usuario
ver para borrar las estadísticas de ACL.
l ejecutar el cero el contador de ACL IPv6 {nombre acl6-nombre | acl6-Número | todas } comando en el
vista del usuario para borrar las estadísticas ACL6.
- - - - Fin
5.6.2 Viendo Recursos ACL
Contexto
Si una ACL no puede ser creado, los recursos de ACL disponibles en el sistema pueden ser insuficientes. Puede ver el uso de
recursos de ACL en el sistema para comprobar si los recursos del LCA se han agotado.
Procedimiento
l ejecutar el recurso pantalla acl [ranura ranura-id] comando en cualquier fin de comprobar la información
unos recursos ACL.
- - - - Fin
5.7 Ejemplos de configuración

Esta sección proporciona varios ejemplos de ACL, incluyendo los requisitos de red, plan de trabajo de
configuración y procedimientos.
5.7.1 Ejemplo de configuración de una ACL básico para limitar el acceso al servidor FTP
Requisitos de redes
Como se muestra en Figura 5-5 , las funciones del router como un servidor FTP (172.16.104.110/24). Los requisitos son los
siguientes:
l Todos los usuarios de la subred 1 (172.16.105.0/24) están autorizados a acceder al servidor FTP
en cualquier momento.
l Todos los usuarios de la subred 2 (172.16.107.0/24) están autorizados a acceder al servidor FTP sólo a
el período de tiempo especificado.
l Otros usuarios no están autorizados a acceder al servidor FTP.
Las rutas entre el router y subredes son accesibles. Es necesario configurar el router para limitar el acceso del usuario al
servidor FTP.

Huawei
Figura 5-5 Configuración de una ACL básica para limitar el acceso del usuario al servidor FTP
Un PC
172.16.105.111/24
servidor FTP
PC B
Red
172.16.107.111/24
Router
172.16.104.110/24
PC C
10.10.10.1/24
configuración Hoja de Ruta
La hoja de ruta de configuración es como sigue:
l Crear una ACL básica del router y configurar reglas en la ACL básica.
l Configurar las funciones básicas de FTP en el router.
l Aplicar una ACL básica al router para limitar el acceso del usuario.
Procedimiento
Paso 1 Configurar un rango de tiempo.
<Huawei> sistema de vista

[Huawei] Router nombre_sist
[Router] -Rango de tiempo ftp-acceso desde 0: 0 a 23:59 01/01/2009 2011/12/31
[Router] -Rango de tiempo de acceso ftp 14:00-18:00 fuera de día
Paso 2 Configurar una ACL básica.

[Router] acl número 2001
[Router-acl-basic-2001] fuente de permiso de regla 172.16.105.0 0.0.0.255
[Router-acl-basic-2001] regla de fuente de permiso de 172.16.107.0 0.0.0.255 tiempo alcance el acceso ftp-
[Router-acl-basic-2001] regla de negar cualquier fuente

[Router-acl-basic-2001] dejar
Paso 3 Configurar las funciones básicas de FTP.
[Router] servidor ftp permiten

[Router] aaa
[Router-aaa] -Usuario local Huawei contraseña de cifrado irreversible-SetUesrPasswd @ 123
[Router-aaa] -Usuario local Huawei nivel de privilegio 15
[Router-aaa] -Usuario local Huawei-tipo de servicio FTP
[Router-aaa] -Usuario local flash de Huawei-directorio ftp:
[Router-aaa] dejar
Etapa 4 Configurar los permisos de acceso en el servidor FTP.

[Router] acl ftp 2001
Paso 5 Verificar la configuración.
# ejecutar el ftp 172.16.104.110 Un comando de PC (172.16.105.111/24) en la subred 1. Un PC puede conectarse al servidor

FTP.
# ejecutar el ftp 172.16.104.110 mando en PC B (172.16.107.111/24) en la subred 2 el lunes en 2010. PC B no puede

conectar con el servidor FTP. ejecutar el ftp 172.16.104.110 mando en PC

Huawei
B (172.16.107.111/24) en la subred 2 a las 15:00 el sábado en 2010. PC B puede conectar con el servidor FTP.
# ejecutar el ftp 172.16.104.110 mando en PC C (10.10.10.1/24). PC C no puede conectar con el servidor FTP.
- - - - Fin
Archivos de configuración
# El archivo de configuración del router
#
Router nombre_sist
#
-Rango de tiempo de acceso ftp 14:00-18:00 fuera del día rango de tiempo de acceso ftp de 00:00 a
23:59 01/01/2009 2011/12/31
#
acl número 2001
regla 5 Fuente de permiso de 172.16.105.0 0.0.0.255
regla 10 fuente de permiso de 172.16.107.0 0.0.0.255-rango de tiempo de acceso ftp regla 15 niegan
# aaa
-Usuario local Huawei contraseña de cifrado irreversible-% #% # "ZD;": ffGP> Otg3Rlz7CMj'W) y * 1 ~ (CW * =
& + F # `CU-42JFxr (.Q |, ~ G 4R6 &% #% #-usuario local Huawei nivel de privilegio 15-usuario local flash de
Huawei-directorio ftp: Huawei-usuario local de tipo servicio FTP
#
servidor ftp ftp permiten acl
2001
# regreso
5.7.2 Ejemplo de utilización de una ACL avanzada para configurar clasificadores de tráfico
Requisitos de redes
Como se muestra en Figura 5-6 , los departamentos de la empresa están conectados a través del router. Una ACL IPv4 necesita ser
configurado para evitar que el departamento y el departamento de marketing de I + D de acceder al servidor de consultas salario
8:00-17:30 y permitir la oficina del presidente para acceder al servidor de consultas sueldo en cualquier momento.

Huawei
Figura 5-6 El uso de una ACL avanzada para configurar los clasificadores de tráfico
servidor de consultas salario
10.164.9.9
0/3
Eth2 / 0/1
Eth2 / 0/0
Router
Eth2 / 0/2
Departamento de Marketing
Oficina del Presidente
10.164.2.0/24
10.164.1.0/24
Departamento de I + D
10.164.3.0/24 Eth2 /
1. Asignar direcciones IP a las interfaces.
2. Configurar el intervalo de tiempo.
3. Configurar las ACL.
4. clasificadores de tráfico configurar.
5. Configurar los comportamientos de tráfico.
6. Las políticas de tráfico configurar.
7. Aplicar las políticas de tráfico a las interfaces.
Procedimiento
Paso 1 Añadir a las interfaces VLAN y asignar direcciones IP a las interfaces VLANIF.
# Añadir Eth 2/0/0, 2/0/1 Eth y Eth 2/0/2 a la VLAN 10, la VLAN 20 y la VLAN 30, respectivamente, y añadir Eth 2/0/3
a VLAN 100. La primera dirección IP de un segmento de red se toma como la dirección de la interfaz VLANIF del
mismo segmento de red. Las configuraciones en Eth 2/0/0 y VLANIF 10 se utilizan como un ejemplo aquí. Las
configuraciones de Eth2 / 0/1, Eth2 / 0/2 son similares a la configuración en Eth 2/0/0, y las configuraciones de
VLANIF 20, VLANIF 30, y VLANIF 100 son similares a la configuración en VLANIF 10, y no se mencionan aquí.

[Router] lote VLAN 10 20 30 100
[Router] ethernet interfaz 2/0/0
[Router-Ethernet2 / 0/0] el acceso al puerto de tipo enlace
[Router-Ethernet2 / 0/0] VLAN de puerto por defecto 10
[Router-Ethernet2 / 0/0] dejar
[Router] interfaz vlanif 10
[Router-Vlanif10] dirección IP 10.164.1.1 255.255.255.0
[Router-Vlanif10] dejar

Huawei
Paso 2 Configurar el intervalo de tiempo.
# Configurar el intervalo de tiempo 08:00-17:30.
[Router] -Rango de tiempo satime 08:00-17:30 días hábiles
Paso 3 Configurar las ACL.
# Configurar el ACL para el departamento de marketing para acceder al servidor de consultas salario.
[Router] acl 3002

[Router-acl-adv-3002] regla de denegación de origen IP 10.164.2.0 0.0.0.255 destino
satime 10.164.9.9 0.0.0.0 tiempo de rango
[Router-acl-adv-3002] dejar
# Configurar el ACL para el departamento de I + D para acceder al servidor de consultas salario.
[Router] acl 3003

[Router-acl-adv-3003] regla de denegación de origen IP 10.164.3.0 0.0.0.255 destino
satime 10.164.9.9 0.0.0.0 tiempo de rango
Etapa 4 clasificadores de tráfico Configurar ACL-basado.
# Configurar el clasificador de tráfico c_market para clasificar los paquetes que corresponden ACL 3002.
[Router] el tráfico c_market clasificador

[Router-clasificador-c_market] If-Match 3002 acl
[Router-clasificador-c_market] dejar
# Configurar el clasificador de tráfico c_rd para clasificar los paquetes que corresponden ACL 3003.
[Router] el tráfico c_rd clasificador

[Router-clasificador de c_rd] If-Match 3003 acl
[Router-clasificador de c_rd] dejar
Paso 5 Configurar comportamientos de tráfico.
# Configurar el comportamiento del tráfico b_market para rechazar paquetes.
[Router] el tráfico b_market comportamiento

[Router-comportamiento-b_market] negar
[Router-comportamiento-b_market] dejar
# Configurar el comportamiento del tráfico b_rd para rechazar paquetes.
[Router] el tráfico b_rd comportamiento

[Router-comportamiento-b_rd] negar
[Router-comportamiento-b_rd] dejar
Paso 6 Configurar las políticas de tráfico.
# Configurar la política de tráfico p_market y asociar el clasificador de tráfico c_market y el comportamiento del tráfico b_market
con la política de tráfico.
[Router] p_market política de tráfico

[Router-trafficpolicy-p_market] clasificador comportamiento c_market b_market
[Router-trafficpolicy-p_market] dejar
# Configurar la política de tráfico p_rd y asociar el clasificador de tráfico c_rd y el comportamiento del tráfico b_rd con la
política de tráfico.
[Router] p_rd política de tráfico

[Router-trafficpolicy-p_rd] clasificador comportamiento c_rd b_rd
[Router-trafficpolicy-p_rd] dejar
Paso 7 Aplicar la política de tráfico.
# Aplicar la política de tráfico p_market en Eth 2/0/1.

Huawei

[Router-Ethernet2 / 0/1] el tráfico entrante en políticas p_market
# Aplicar la política de tráfico p_rd en Eth 2/0/2.

[Router-Ethernet2 / 0/2] el tráfico entrante en políticas p_rd
# Compruebe la configuración de reglas ACL.
[Router] acl toda pantalla

La cantidad total de número de ACL no vacío es de 2 ACL avanzado
3002, 1 regla de paso de ACL es 5
Regla 5 negar fuente IP 10.164.2.0 0.0.0.255 destino 10.164.9.9 0 tiempo de rango satime (activo)
ACL avanzado 3003, 1 regla de paso de

ACL es 5
Regla 5 negar fuente IP 10.164.3.0 0.0.0.255 destino 10.164.9.9 0 tiempo de rango satime (activo)
# Compruebe la configuración del clasificador de tráfico.
[Router] display clasificador de tráfico de usuario definidos

Definido por el usuario clasificador información: Operador
c_market:: O clasificador
Regla (s): If-Match acl 3002 Clasificador:
Operador c_rd: SI
Regla (s): If-Match 3003 acl
# Compruebe la configuración de la política de tráfico.
[Router] pantalla definida por el usuario política de tráfico

Definido por el usuario de información sobre tráfico Política: Política:
p_market clasificador: Operador c_market: O Comportamiento:
b_market Deny Política: Clasificador p_rd: Operador c_rd: O
Comportamiento: Denegar b_rd
# Compruebe los registros de aplicación de la política de tráfico.
[Router] visualización del tráfico en la política aplicada a grabar

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Política Nombre:
p_market
Índice de Políticas: 0
Clasificador: Comportamiento
c_market: b_market
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Huawei
* interfaz Ethernet2 / 0/1
el tráfico entrante en políticas p_market
ranura 2 :
éxito
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Nombre de directiva: p_rd
Índice de la política: 1
c_rd: b_rd
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
* interfaz Ethernet2 / 0/2
el tráfico entrante en políticas
p_rd
ranura 2 :
éxito
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - Fin
#
Router nombre_sist
#
-Rango de tiempo satime 08:00-17:30 días hábiles
#
lote VLAN 10 20 30 100
#
acl número 3002
Regla 5 negar fuente IP 10.164.2.0 0.0.0.255 destino 10.164.9.9 0 tiempo de rango satime
acl número 3003

Regla 5 negar fuente IP 10.164.3.0 0.0.0.255 destino 10.164.9.9 0 tiempo de rango satime
#
tráfico de operador clasificador c_market o si-partido acl 3002
tráfico de operador clasificador c_rd o si-partido acl 3003
#
el comportamiento del tráfico b_market negar
el comportamiento del tráfico b_rd negar
#
p_market política de tráfico
comportamiento c_market clasificador b_market política de
tráfico p_rd clasificador b_rd comportamiento c_rd

Huawei
interfaz Vlanif10
dirección IP 10.164.1.1 255.255.255.0
#
interfaz Vlanif20
dirección IP 10.164.2.1 255.255.255.0
#
interfaz Vlanif30
dirección IP 10.164.3.1 255.255.255.0
#
interfaz Vlanif100
dirección IP 10.164.9.1 255.255.255.0
#
Interfaz Ethernet2 / 0/0 VLAN de
puerto por defecto Pasamuros de
enlace 10
#
Interfaz Ethernet2 / 0/1 puerto de tipo enlace de puerto
de acceso predeterminado VLAN 20 el tráfico
entrante en políticas p_market
#
Interfaz Ethernet2 / 0/2 puertos VLAN por defecto
Pasamuros de conexión 30-tráfico entrante
política p_rd
#
interfaz Ethernet2 / 0/3 puerto VLAN
predeterminada puerto de acceso de
tipo enlace 100
# regreso
5.7.3 Ejemplo de utilización de una ACL avanzada para configurar la función de

cortafuegos
Requisitos de redes
Como se muestra en Figura 5-7 , una red de empresa que ejecuta los servicios Web, FTP, Telnet y tiene acceso a una red externa
a través GE1 / 0/0 y se une a una VLAN a través Eth2 / 0/0. El segmento de red de la empresa es 202.169.10.0/24 y las
direcciones IP del servidor Web, servidor FTP, Telnet y el servidor son 202.169.10.5/24, 202.169.10.6/24 y 202.169.10.7/24. Para
garantizar la seguridad, el router proporciona la función de cortafuegos. Sólo los usuarios especificados se les permite acceder a
los servidores internos de la empresa y sólo los servidores internos de la empresa se les permite acceder a la red externa.

Huawei
Figura 5-7 Gracias a la avanzada de una ACL para configurar la función de cortafuegos
del servidor servidor WWW

202.169.10.6 202.169.10.5
Eth2 / 0/0 GE1 / 0/0

Internet
Router
202.39.2.3
Red
interna
Telnet servidor FTP

202.169.10.7
Las siguientes configuraciones se realizan en el router. La hoja de ruta de configuración es como sigue:
1. Zonas Configuración de las redes internas y externas.
2. Configure una interzona y activar la función de cortafuegos en la interzona.
3. Configurar las ACL avanzadas para restringir los derechos de acceso a los servidores internos y externos a la red.
4. filtrado de paquetes basado en la ACL Configurar en la interzona.
Procedimiento
Paso 1 Configurar zonas.
# Configurar una zona de la red interna.

[Router] compañía zona de cortafuegos
[Router-zone-compañía] prioridad 12
[Router-zone-compañía] dejar
# Añadir a las interfaces VLAN y asignar direcciones IP a las interfaces VLANIF. Añadir VLANIF 100 a la zona empresa.
[Router] lote VLAN 100

[Router-Ethernet2 / 0/0] el acceso al puerto de tipo enlace
[Router-Ethernet2 / 0/0] VLAN de puerto por defecto 100
[Router] interfaz vlanif 100
[Router-Vlanif100] dirección IP 202.169.10.1 255.255.255.0
[Router-Vlanif100] compañía zona
[Router-Vlanif100] dejar
# Configurar una zona en la red externa.
[Router] zona cortafuegos externo

[Router-zona externa] prioridad 5
[Router-zona externa] dejar

Huawei
# Añadir GigabitEthernet 1/0/0 a la zona externo.
[Router] gigabitethernet interfaz 1/0/0

[Router-GigabitEthernet1 / 0/0] dirección IP 129.39.10.8 255.255.255.0
[Router-GigabitEthernet1 / 0/0] zona externa
[Router-GigabitEthernet1 / 0/0] dejar
Paso 2 Configurar una interzona.

[Router] compañía interzona cortafuegos externo
[Router-interzona-empresa externa] firewall permitirá
[Router-interzona-empresa externa] dejar
Paso 3 Configurar ACL 3001.
# Crear ACL 3001.
[Router] acl 3001
# Configurar una regla ACL en 3001 para permitir a los usuarios el acceso a determinados servidores internos.
[Router-acl-adv-3001] permiso de regla de origen TCP 202.39.2.3 0.0.0.0 destino

202.169.10.5 0.0.0.0
202.169.10.6 0.0.0.0
202.169.10.7 0.0.0.0
# Configurar una regla ACL en 3001 para evitar que otros usuarios accedan a cualquier host de la empresa.
[Router-acl-adv-3001] regla de denegación ip

Etapa 4 Configurar ACL 3002.
# Crear ACL 3002.
[Router] acl 3002
# Configurar una regla ACL en 3002 para permitir que los servidores internos para acceder a la red externa.
[Router-acl-adv-3002] regla de permiso de origen IP 202.169.10.5 0.0.0.0

# Configurar una regla ACL en 3002 para evitar que otros usuarios de la empresa tengan acceso a la red externa.
[Router-acl-adv-3002] regla de denegación ip

Paso 5 el filtrado de paquetes basado en la ACL Configurar en la interzona.
[Router] compañía interzona cortafuegos externo

[Router-interzona-empresa externa] paquetes de filtro 3001 de entrada
[Router-interzona-empresa externa] paquetes de filtro 3002 de salida
[Router-interzona-empresa externa] dejar
# Después de completada la configuración, sólo el anfitrión 202.39.2.3 puede acceder a los servidores internos y sólo servidores
internos puede tener acceso a la red externa.
# ejecutar el pantalla cortafuegos interzona [ zona nombre2 zona-tabla1] comando en el router. El resultado es el siguiente:
[Router] pantalla externa firewall de la compañía interzona

interzona compañía externa

Huawei
firewall permitirá
por defecto de paquetes del filtro de entrada de paquetes negar filtro
de permiso de salida predeterminado de paquetes del filtro 3001 de
entrada del filtro de paquetes salientes 3002
- - - - Fin
El archivo de configuración del router
#
Router nombre_sist
#
lote VLAN 100
#
acl número 3001
regla 5 Fuente de tcp permiso de 202.39.2.3 0 0 destino 202.169.10.5 regla de origen TCP 10 permiso de
202.39.2.3 0 0 destino 202.169.10.6 regla de origen TCP 15 permiso de 202.39.2.3 0 0 destino 202.169.10.7 el
artículo 20 denegar el número de ACL IP 3002
regla 5 permiso fuente IP 202.169.10.5 0 regla 10 permiso de fuente IP

202.169.10.6 0 regla fuente ip 15 permiso 202.169.10.7 0 regla 20
niegan ip
#
interfaz Vlanif100
dirección IP 202.169.10.1 255.255.255.0 zona compañía
#
zona de cortafuegos prioridad de la
compañía 12
#
zona firewall prioridad externa 5
#
firewall de la compañía interzona cortafuegos externa
de permiso de paquetes de entrada del filtro 3001
filtro de paquetes salientes 3002
#
Interfaz Ethernet2 / 0/0 VLAN de puerto por
defecto Pasamuros de enlace 100
#
interfaz GigabitEthernet1 / 0/0 dirección IP 129.39.10.8 zona
255.255.255.0 externa
# regreso
5.7.4 Ejemplo de uso de un ACL de Capa 2 Configuración de un clasificador de tráfico
Requisitos de redes
Como se muestra en Figura 5-8 , el enrutador que funciona como puerta de entrada está conectado al PC. ACL necesita ser
configurado para evitar que los paquetes con la dirección MAC de origen 00e0-f201-0101 y la dirección MAC de destino
0260-e207-0002 pase a través.

Huawei
Figura 5-8 El uso de una rotura de la capa 2 para configurar un clasificador de tráfico
PC2
GE2 / 0/0 GE1 / 0/0
red IP
Router
PC1
00e0-f201-0101
1. Configurar una ACL.
2. Configuración de un clasificador de tráfico.
3. Configurar un comportamiento del tráfico.
4. Configuración de una política de tráfico.
5. Aplicar la política de tráfico a una interfaz.
Procedimiento
Paso 1 Configurar una ACL.
# Configurar una ACL Capa 2.

[Router] acl 4000
[Router-acl-L2-4000] regla de denegación fuente de mac-00e0-f201-0101 ffff ffff-ffff-destino-mac-0260-ffff ffff
e207-0002-ffff
[Router-acl-L2-4000] dejar
Paso 2 Configurar el clasificador de tráfico que se basa en la ACL.
# Configurar el clasificador de tráfico TC1 para clasificar los paquetes que coinciden ACL 4000.
[Router] el tráfico TC1 clasificador

[Router-clasificador-TC1] If-Match 4000 acl
[Router-clasificador-TC1] dejar
Paso 3 Configurar el comportamiento del tráfico.
# Configurar el comportamiento del tráfico TB1 para rechazar paquetes.
[Router] TB1 comportamiento del tráfico

[Router-comportamiento tb1] negar
[Router-comportamiento tb1] dejar
Etapa 4 Configurar la política de tráfico.
# Configurar la política de tráfico TP1 y asociarse TC1 y TB1 con la política de tráfico.
[Router] TP1 política de tráfico

[Router-trafficpolicy-TP1] clasificador TB1 comportamiento TC1
[Router-trafficpolicy-TP1] dejar

Huawei
Paso 5 Aplicar la política de tráfico.
# Aplicar la política de tráfico TP1 a GE 2/0/0.
[Router] gigabitethernet interfaz 2/0/0

[Router-GigabitEthernet2 / 0/0] el tráfico entrante en políticas TP1
[Router-GigabitEthernet2 / 0/0] dejar
# Compruebe la configuración de reglas ACL.
[Router] pantalla ACL 4000

L2 ACL 4000, 1 regla de paso de ACL
es 5
Regla 5 niegan destino-mac-0260 e207-0002 fuente de mac-00e0-f201-0101
[Router] display clasificador de tráfico de usuario definidos

Definido por el usuario Información clasificador: Clasificador:
Operador TC1: O Regla (s):
If-Match 4000 acl
[Router] política de tráfico pantalla TP1 definida por el usuario

Definido por el usuario de información sobre tráfico Política: Clasificador
TP1:: Política de Operador TC1: O Comportamiento: TB1 Deny
[Router] visualización del tráfico en la política aplicada a grabar

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Nombre de directiva: TP1
TC1: TB1
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
* interfaz
GigabitEthernet2 / 0/0
el tráfico entrante en políticas
TP1
ranura 2 :
éxito
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - Fin

Huawei
#
Router nombre_sist
#
acl número 4000
Regla 5 niegan destino-mac-0260 e207-0002 fuente de mac-00e0-f201-0101
#
tráfico de operador clasificador TC1 o si-partido acl 4000
#
el tráfico comportamiento TB1 negar
#
política de tráfico TP1 clasificador
comportamiento TC1 TB1
#
Interfaz GigabitEthernet2 / 0/0 de tráfico en la
política de entrada TP1
# regreso
5.7.5 Ejemplo de uso de un ACL6 configurar un clasificador de tráfico
Requisitos de redes
Como se muestra en Figura 5-9 , RouterA y RouterB están conectados a través de interfaces de GE. Un ACL6 necesita ser
configurado en RouterA negar los paquetes IPv6 con direcciones IP fuente 3001 :: 2/64 en GE 1/0/0.
Figura 5-9 Configuración ACL6 para filtrar los paquetes IPv6
RouterA RouterB
GE1 / 0/0 3001 GE1 / 0/0
:: 1/64 3001 :: 2/64 Loopback2
3002 :: 2/64
1. Configure un ACL6.
2. Configuración de un clasificador de tráfico.
3. Configurar un comportamiento del tráfico.
4. Configuración de una política de tráfico.
5. Aplicar la política de tráfico a una interfaz
Procedimiento
Paso 1 Habilitar IPv6 capacidad de reenvío en RouterA y RouterB, y establecer los parámetros para la
interfaces.
# Configurar RouterA.

[Huawei] nombre_sist RouterA
[RouterA] ipv6

Huawei
[RouterA] gigabitethernet interfaz 1/0/0

[RouterA-GigabitEthernet1 / 0/0] iPv6 activar
[RouterA-GigabitEthernet1 / 0/0] dirección IPv6 3001 :: 1 64
[RouterA-GigabitEthernet1 / 0/0] dejar
# Configurar una ruta estática en RouterA.
[RouterA] ipv6 ruta estática 3002 :: 64 3001 :: 2
# Configurar RouterB.

[Huawei] nombre_sist RouterB
[RouterB] ipv6
[RouterB] gigabitethernet interfaz 1/0/0
[RouterB-GigabitEthernet1 / 0/0] iPv6 activar
[RouterB-GigabitEthernet1 / 0/0] dirección IPv6 3001 :: 2 64
[RouterB-GigabitEthernet1 / 0/0] dejar
Paso 2 Crear una regla de ACL6 y aplicar la regla a la interfaz de negar los paquetes IPv6 de
3001 :: 2.
# Configurar RouterA.
[RouterA] número IPv6 ACL 3001

[RouterA-acl6-adv-3001] regla de denegación fuente IPv6 3001 :: 2/64
[RouterA-acl6-adv-3001] dejar
[RouterA] el tráfico class1 clasificador
[RouterA-clasificador-class1] If-Match IPv6 ACL 3001
[RouterA-clasificador-class1] dejar
[RouterA] el tráfico behav1 comportamiento
[RouterA-comportamiento-behav1] negar
[RouterA-comportamiento-behav1] dejar
[RouterA] política1 política de tráfico
[RouterA-trafficpolicy-política1] clasificador comportamiento class1 behav1
[RouterA-trafficpolicy-política1] dejar
[RouterA] gigabitethernet interfaz 1/0/0
[RouterA-GigabitEthernet1 / 0/0] el tráfico entrante en políticas política1
[RouterA-GigabitEthernet1 / 0/0] dejar
# Compruebe la configuración de reglas ACL6.
[RouterA] pantalla ACL IPv6 3001
Avanzada IPv6 ACL 3001, 1 regla de paso de ACL es 5
regla de 0 negar fuente IPv6 3001 :: 2/64
[RouterA] display clasificador de tráfico de usuario definidos

Definido clasificador de información del usuario: Operador class1::
Clasificador o reglamento (s):
If-Match IPv6 ACL 3001
[RouterA] pantalla definida por el usuario política de tráfico

Definido por el usuario de información sobre tráfico Política: Operador
class1:: Política: política1 clasificador o comportamiento: Denegar
behav1

Huawei
[RouterA] visualización del tráfico en la política aplicada a grabar

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Nombre de directiva:
política1
class1: behav1
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
* interfaz
GigabitEthernet1 / 0/0
el tráfico entrante en políticas política1
ranura 0 :
éxito
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - Fin
l El archivo de configuración de RouterA
#
nombre_sist RouterA
#
número IPv6 ACL 3001
regla de 0 negar fuente IPv6 3001 :: 2/64
# ipv6
#
tráfico de operador clasificador class1 o si-partido IPv6 ACL
3001
#
el comportamiento del tráfico behav1 negar
#
política de tráfico comportamiento class1 política1
clasificador behav1
#
interfaz GigabitEthernet1 / 0/0 ipv6 permiten
dirección IPv6 3001 :: 1/64 tráfico entrante política

política1
#
ipv6 ruta estática 3002 :: 64 3001 :: 2
# regreso
l El archivo de configuración del router B
#
nombre_sist RouterB
# ipv6
#
interfaz GigabitEthernet1 / 0/0 ipv6 permiten
dirección IPv6 3001 :: 2/64

# regreso

Huawei
5.8 Preguntas
5.8.1 ¿Cómo puedo controlar el acceso mediante origen o destino

específico?
Puede configurar las listas de control de acceso (ACL) para que coincida con las direcciones de origen o de destino. Por ejemplo, bajo
la siguiente configuración, el anfitrión 10.1.1.1 sólo puede hosts de acceso en el
10.1.1.18/26 segmento de red.

[Huawei] acl 3000
[Huawei-acl-ADV-3000] permiso de regla de origen IP 10.1.1.1 0 destino 10.1.1.18
0.0.0.63
[Huawei-acl-ADV-3000] regla de denegación de origen IP 10.1.1.1 0
Para las configuraciones de otros clasificadores de tráfico, comportamientos (acciones establecidas a permiso), y políticas, consulte la
configuración de políticas de tráfico en el Guía de configuración AR - QoS.
5.8.2 ¿Cómo puedo restringir el período durante el cual los usuarios pueden acceder a las
redes específicas?
Puede definir una lista de control de acceso (ACL) con rangos de tiempo. Por ejemplo, bajo la siguiente configuración, los
usuarios no pueden acceder 2.2.2.0/24 de 00:00 a 08:00 diariamente.

[Huawei] WB-rango de tiempo 00:00 a 08:00 todos los días
[Huawei] acl número 3000
[Huawei-acl-ADV-3000] regla de denegación de destino IP 2.2.2.0 wb 0.0.0.255 tiempo de rango
[Huawei-acl-ADV-3000] regla de permiso de ip
Para las configuraciones de otros clasificadores de tráfico, comportamientos y políticas, consulte Configuración de política de tráfico
en la Guía de configuración AR - QoS.
5.8.3 ¿Cuáles son el método utilizado para procesar los paquetes después de diferentes
características de referencia ACL?
Los métodos utilizados para paquetes de proceso son como sigue.
Característica Método de procesamiento
Configuracion l FTP
basica
Una conexión FTP se establece si un paquete cumple la regla de permiso; sin conexión FTP puede
establecerse si un paquete cumple la regla de denegación o coinciden con ninguna regla.
l Telnet
Una conexión Telnet se establece si un paquete cumple la regla de permiso; sin conexión Telnet puede
establecerse si un paquete cumple la regla de denegación o coinciden con ninguna regla.

Huawei
Característica Método de procesamiento
Servicio IP Cuando se hace referencia una ACL en NAT, el sistema procesa los paquetes de acuerdo con las reglas que
coincidan. Si un paquete coincide con una regla con el permiso de la acción, el sistema traduce las direcciones de
origen de los paquetes de datos. Si un paquete no coincide con ninguna norma o coincide con una regla con la
acción de negar, el sistema no se traduce direcciones de origen de los paquetes de datos.
QoS Cuando se hace referencia a una ACL en una política de tráfico, el sistema procesa los paquetes de acuerdo con
las reglas que coincidan. Si un paquete coincide con una regla con el permiso de la acción, el sistema procesa el
paquete de acuerdo con la política de tráfico. Si un paquete coincide con una regla con la acción de negar, el
sistema descarta el paquete directamente. Los paquetes que no coinciden con ninguna regla de la ACL se
envían normalmente.
Seguridad l firewall
Cuando paquete ACL-basado el filtrado de referencias ACL firewall, el router AR reenvía reglas de permisos
paquetes coincidentes, descarta los paquetes que emparejan negar reglas, y aplica reglas predeterminadas a
los paquetes que no coincida con ninguna regla.
Cuando hace referencia a la asignación de puertos ACL, las normas sobre permisos de mapas paquetes
juego del router AR, y no se asigna paquetes que coinciden con reglas de denegación o ninguna regla.
Cuando registro de la sesión hace referencia a una ACL, los registros de los registros del router para AR
normas sobre permisos de paquetes coincidentes, y no registra los registros de paquetes que coinciden con
reglas de denegación o ninguna regla.
l defensa ataque local
Cuando una lista negra hace referencia a una ACL, el router descarta AR permiso de paquetes a juego y
reglas de denegación, y envía los paquetes que no coinciden con ninguna regla.
5.9 Referencias
Esta sección enumera las referencias de ACL.
La siguiente tabla muestra las referencias de este documento.
Documento Descripción observaciones
RFC 4314 Define varios derechos y aclara qué -

derechos para diferentes IMAP nuevos
de control de acceso (Internet Message
Access Protocol) manda.


01-05 ACL Configuration - En.es

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

01-05 ACL Configuration - En.es

Enviado por

Direitos autorais:

Formatos disponíveis

Huawei

basada en CLI AR120 y AR150 y AR160 y AR200 y AR1200 y AR2200 & R

Acerca de este capítulo

cómo configurar una ACL en un router para filtrar los paquetes.

El 4GE-2S, 4ES2G-S, 4ES2GP-S, y 9ES2 bordo no soporta ACL.

5.4 Configuración por defecto

5.5 Configuración de ACL

5.6 El mantenimiento de una ACL

La sección describe cómo mantener una ACL.

5.7 Ejemplos de configuración

Número 07 (06/04/2017) Huawei Propiedad intelectual y confidencial Copyright 211

dispositivos clasifican los paquetes de diferentes maneras.

l la red de control de acceso. Por ejemplo, el control de los comportamientos de comunicación en el

tiempo en el que los usuarios pueden acceder a las redes.

fiabilidad de transmisión de la red.

5.2.1 Principios de ACL

Gestión de Reglas ACL

ACL Coincidencia de la Regla

Número 07 (06/04/2017) Huawei Propiedad intelectual y confidencial Copyright 212

En resumen, la ACL clasifica los paquetes en los siguientes tipos:

l Paquetes que coinciden con las reglas de autorización.

l Los paquetes que concuerden negar reglas.

l Los paquetes que no coinciden con las reglas.

5.2.2 Clasificación de ACL

ACL se pueden clasificar en diferentes tipos de acuerdo con reglas diferentes.

- Un ACL numerada se identifica por un número.

- Una ACL nombrada se identifica por un nombre.

l Tabla 5-1 enumera la clasificación del LCA.

Tabla 5-1 clasificación de ACL

Categoría versión IP Función Nota

Número 07 (06/04/2017) Huawei Propiedad intelectual y confidencial Copyright 213

Categoría versión IP Función Nota

Naming 5.2.3 ACL

ACL se borrará la ACL.

sistema asigna un número de ACL a la ACL nombrada.

Número 07 (06/04/2017) Huawei Propiedad intelectual y confidencial Copyright 214

5.2.4 Paso de una ACL

las identificaciones originales de la regla 5, 10, 15 y 20 se convertirán en 2, 4, 6 y 8 si cambia el paso de ACL a 2.

5.2.5 Orden de juego de reglas ACL

Regla de prioridades a resolver el conflicto entre las normas que se solapan.

El orden automático sigue el primer principio de profundidad.

Número 07 (06/04/2017) Huawei Propiedad intelectual y confidencial Copyright 215

Tabla 5-2 Profundidad primer principio

Tipo de reglas de coincidencia

ACL 1. La regla que define una instancia de VPN se empareja primero.

identifica el rango de direcciones IP de destino más pequeño.

rango de direcciones MAC de destino más pequeño.

se corresponde en primer lugar.

Número 07 (06/04/2017) Huawei Propiedad intelectual y confidencial Copyright 216

5.2.6 Fragmentación de paquetes Con el apoyo de las ACL

5.2.7 intervalo de tiempo de una ACL

extiende el uso de comandos.

5.2.8 IPv6 ACL

cruzado anterior. IPv6 ACL también se puede llamar ACL6.

ACL6 se pueden clasificar en los siguientes tipos:

Categoría Rango de números Escenario de uso

Número 07 (06/04/2017) Huawei Propiedad intelectual y confidencial Copyright 217

5.3.1 La aplicación de las ACL para Filtrado de rutas

para filtrar paquetes.

Figura 5-1 La aplicación de las ACL para el filtrado de ruta

l Un enrutador proporciona rutas 10.1.17.0/24, 10.1.18.0/24 y 10.1.19.0/24 para Router B.

l Router C sólo recibe rutas 10.1.18.0/24.

Número 07 (06/04/2017) Huawei Propiedad intelectual y confidencial Copyright 218