Escolar Documentos
Profissional Documentos
Cultura Documentos
5 Configuración de ACL
Una lista de control de acceso (ACL) es un conjunto de reglas que clasifican los paquetes en diferentes tipos. En este capítulo se explica
Contexto
5.1 Resumen
5.2 Principios
En esta sección se describe la implementación de ACL.
5.3 Aplicaciones
En esta sección se describe el escenario de aplicación de ACL.
5.8 Preguntas
5.9 Referencias
Esta sección enumera las referencias de ACL.
5.1 Resumen
Definición
Una lista de control de acceso (ACL) se compone de una lista de reglas. reglas ACL clasifican los paquetes de manera que los procesos de
Propósito
Dispositivos necesitan comunicarse entre sí en redes estables con la transmisión de datos fiable.
Ejemplo:
l Defenderse de los ataques de red diferentes, tales como el Protocolo de Internet (IP), Transmisión
Control Protocol (TCP), y los ataques de paquetes de Protocolo de mensajes de control de Internet (ICMP).
l Limitar el tráfico de red y mejorar el rendimiento de la red. Por ejemplo, limitar el ancho de banda
para el tráfico de aguas arriba y aguas abajo, cobrar por el ancho de banda que los usuarios han solicitado, y hacer pleno
uso de los recursos de red de alto ancho de banda. El ACL resuelve los problemas anteriores y asegura la estabilidad y la
5.2 Principios
En esta sección se describe la implementación de ACL.
Una ACL puede contener varias reglas. Una regla se identifica mediante un ID de regla, que puede ser ajustado por un usuario o
automáticamente generado basado en la etapa de ACL. Todas las reglas en una ACL están dispuestas en orden de ID de regla ascendente.
Hay un paso ACL entre los ID de regla. Por ejemplo, si un paso ACL se establece en 5, las reglas están numerados 5, 10, 15, y así sucesivamente.
Si un paso de ACL se establece en 2 y los ID de regla están configurados para ser generada de forma automática, el sistema genera
automáticamente los identificadores de reglas a partir de 2. El paso hace que sea posible añadir una nueva regla entre las normas existentes.
Cuando un paquete llega a un dispositivo, el dispositivo recupera la información del paquete y coincide con reglas ACL. Una vez que se
encuentra una regla de coincidencia, el dispositivo deja de juego. Si hay una regla coincide con el paquete, el dispositivo no procesa el
paquete. reglas ACL se pueden clasificar en las reglas de permisos y reglas de denegación.
Diferentes características tienen diferentes maneras de procesar los tres tipos de paquetes. Para más detalles, consulte los manuales de funciones.
l Las ACL se pueden clasificar en las ACL numeradas y las ACL nombradas de acuerdo a la ACL
el modo de nombrar.
NOTA
El número es el identificador de la ACL. Por ejemplo, el ACL con el número que va desde 2000 hasta 2999 es
una ACL básica, y la ACL con el número entre 3.000 3999 es una ACL avanzado.
ACL IPv4 Un ACL básico coincide con paquetes sólo en Una ACL IPv4 básica
básica base a la dirección IP de origen, ejemplo VPN, también se llama una
bandera fragmento, y rango de tiempo. ACL básica. ACL básicos
están numerados
2000-2999.
ACL IPv4 Una ACL superior se corresponde con los Una ACL IPv4 avanzada
avanzado paquetes basados en la dirección IPv4 de origen, también se llama una ACL
dirección IPv4 de destino, la precedencia de IP, avanzado. ACL
tipo de servicio (ToS), DiffServ Code Point avanzadas están
(DSCP) de prioridad, tipo de protocolo IP, numeradas de 3000 a
Internet Control Message Protocol (ICMP) de
3999.
impresión, Fuente de TCP / puerto de destino, y
el puerto de origen / destino User Datagram
Protocol (UDP).
Capa 2 IPv4 e IPv6 Una capa 2 ACL coincide con los paquetes en El número de una
ACL base a la información de capa 2 en paquetes, ACL Capa 2 oscila
tales como el origen y el destino de control de 4000-4999.
acceso al medio (MAC), y el número de
protocolo de trama de Ethernet.
ACL de IPv4 Un usuario de ACL coincide con los paquetes El número de una ACL
usuario basados en la dirección IPv4 de origen, dirección usuario oscila
de destino IPv4, tipo de protocolo IP, Internet 6.000-6031.
Control Message Protocol (ICMP) de impresión,
Fuente de TCP / puerto de destino, y el puerto de
origen / destino User Datagram Protocol (UDP).
básico IPv6 Un ACL6 básica coincide con los paquetes basados Un IPv6 ACL básica
ACL6 en el origen de la dirección IPv6, la bandera de la también se llama un
fragmentación, y rango de tiempo. ACL6 básica. números
básicos ACL6 van
2000-2999.
avanzada IPv6 Un ACL6 superior se corresponde con paquetes Un avanzado IPv6 ACL
ACL6 basados en la dirección IPv6 de origen y de también se denomina
destino IPv6 dirección de paquetes de datos, tipo ACL6 avanzada. números
de protocolo soportada por IPv6, características avanzada ACL6 van
del protocolo tales como el número de puerto de
desde 3000 a 3999.
origen y puerto de destino número, protocolo
ICMPv6, y el código de ICMPv6.
NOTA
Una ACL básico y un ACL6 básica puede utilizar el mismo número, y una ACL avanzado y un ACL6 avanzados pueden usar el mismo
número.
especificarse para hacer referencia a la ACL. Puede elegir si desea especificar un nombre cuando se crea una ACL. Una vez creado el ligamento
cruzado anterior, no se puede modificar el nombre de la ACL, o especificar nombres a las ACL no identificadas. Eliminación de un nombre de la
Se puede configurar un número para una ACL nombrada. Si no se especifica ningún número de ACL para una ACL nombrada, el
NOTA
Una ACL básico y un ACL6 básica o una ACL avanzado y un ACL6 avanzados pueden usar el mismo número.
Definición
Un paso es la diferencia entre los identificadores de reglas ACL asignados automáticamente por el sistema. Por ejemplo, si el paso se
establece en 5, los IDs de reglas son múltiplos de 5 (a partir de 5), tal como 5,
10, y 15.
l Si se cambia el valor del paso, identificadores de reglas ACL se reorganizan automáticamente. Por ejemplo,
l Cuando el paso restaura al valor predeterminado, el dispositivo reorganiza identificadores de reglas ACL utilizando la
valor de paso por defecto. Por ejemplo, ACL grupo de reglas de 3001 contiene cuatro reglas con ser identificadores
2, 4, 6, y 8, y el paso es 2. Después de la etapa ACL restaura al valor predeterminado 5, los IDs de reglas ACL se
convierten en 5, 10, 15, y 20.
Función
El valor de paso permite un espacio entre los ID de reglas ACL. Es decir, se pueden insertar nuevas reglas a reglas ACL existentes y
controlar el orden de juego de las reglas ACL. Por ejemplo, cuatro reglas son configurados en el grupo de reglas ACL: artículos 5, 10, 15
y 20. Para insertar una nueva regla detrás de la regla 5 (la primera regla), ejecute el comando para insertar el artículo 7 y entre la regla 5
Regla 10 . Además, no es necesario especificar manualmente un identificador de regla de la hora de crear una regla de ACL. El sistema
asignará la regla ACL con un ID de regla, que es la suma de la máxima identificación actual y un valor de paso. Por ejemplo, el
identificador de regla de corriente máxima es 25 y el valor de paso es 5, el sistema asigna el ID de regla 30 para la nueva regla.
conflicto. Una regla puede contener otra regla, pero las dos reglas debe ser diferente. El dispositivo soporta dos tipos de orden
coincidente: orden de configuración y de la orden automática. El orden de juego determina las prioridades de las reglas en un ACL.
Orden de configuración
El orden de configuración indica que las reglas ACL se emparejan en orden ascendente de ID de reglas. La regla con el ID de regla más
pequeña se corresponde en primer lugar. El orden de configuración se usa por defecto.
Pedido automático
reglas ACL están dispuestas en secuencia basada en la precisión regla. condiciones estrictas tales como (el tipo de protocolo, intervalo de
direcciones IP de origen, o intervalo de direcciones IP de destino), el más estricto en una regla de ACL hace que la regla más precisa. Por
ejemplo, una regla de ACL se puede configurar en función de los comodines de direcciones IP. Un comodín más pequeño identifica un
segmento de red más estrecho y por lo tanto hace que una regla estricta ACL.
Si las reglas ACL tienen la misma prioridad según el primer principio de profundidad, que están emparejados con base en las ID de regla en
orden ascendente.
NOTA
Al igual que en inversa máscara, una máscara wildcard es en notación decimal con puntos. En una máscara wildcard binario, el valor 0
indica que debe ir acompañada de la broca en la dirección IP y el valor 1 indica que el bit de la dirección IP no necesita ser igualada. El
valor 0 y 1 en una máscara comodín pueden ser discontinua. Por ejemplo, si la dirección IP es 192.168.1.169 y la máscara wildcard es
0.0.0.172, la dirección es 192.168.1.x0x0xx01. El valor de x puede ser 0 o 1.
Tabla 5-2 enumera las reglas de coincidencia de acuerdo con el primer principio de profundidad.
ACL
ACL básica y 1. La regla que define una instancia de VPN se empareja primero.
ACL6 básica
2. La regla que define el intervalo de direcciones IP de origen más pequeño se adapta primero. La máscara
comodín con los más 0 bits identifica el rango de direcciones IP fuente más pequeña.
3. Si los rangos de direcciones IP de origen son las mismas, la regla con el más pequeño ID se corresponde primero.
4. Si los tipos de protocolo e intervalos de direcciones IP de las fuentes son los mismos, la regla que define el
intervalo de direcciones IP de destino más pequeño se adapta primero. La máscara wildcard con los más 0 bits
5. Si los tipos de protocolo, intervalos de direcciones IP de origen, e intervalos de direcciones IP de destino son los
mismos, la regla que define el número de puerto más pequeño de la capa 4 (/ número de puerto UDP TCP) gama se
corresponde primero.
6. Si los rangos anteriores son todos iguales, la regla con el más pequeño ID se corresponde primero.
Capa 2 1. La regla con el mayor comodín tipo de protocolo (con la mayoría de los "1" s en la máscara wildcard) se
ACL corresponde primero.
2. La regla que define el rango de dirección más pequeña fuente MAC se corresponde primero. La máscara
comodín con los bits 1 mayoría identifica el rango de dirección más pequeña fuente MAC.
3. Si los rangos de direcciones MAC de origen son las mismas, la regla que define el intervalo de direcciones de
MAC de destino más pequeño se adapta primero. La máscara wildcard con los bits 1 la mayoría identifica el
4. Si los rangos de origen y destino de direcciones MAC son los mismos, la regla con el más pequeño de identificación
El router puede filtrar los paquetes fragmentados. Se puede coincidir con todas las de la capa 3 paquetes IP con reglas capa 3 de filtrado.
Una regla de ACL se puede configurar como válido para todos los paquetes, todos los paquetes fragmentados, o sólo paquetes fragmentados
no iniciales.
Cuando los atacantes construyen paquetes fragmentados para atacar a la red, puede configurar una regla de ACL para que coincida con
sólo los paquetes fragmentados no iniciales. Esto evita que el dispositivo de filtrado de otros paquetes no fragmentados para proteger la
transmisión de servicio normal y asegura que el dispositivo procesa paquetes fragmentados no iniciales para proteger contra ataques desde
paquetes fragmentados.
Un intervalo de tiempo especifica un periodo de tiempo. En la práctica, se requieren algunas reglas ACL para ser válido durante un determinado
período de tiempo, y no válida fuera de ese periodo de tiempo, lo que significa que las reglas ACL se utilizan para filtrar los paquetes basados en
el rango de tiempo. Por ejemplo, si los miembros del personal están prohibidas de la navegación por sitios web de entretenimiento durante el
horario laboral, pero se les permite visitar estos sitios web de entretenimiento durante la noche, un intervalo de tiempo debe estar definido para
una ACL para ejecutar estas condiciones. Para implementar esta función, configurar uno o más rangos de tiempo, y el tiempo de referencia se
Si no se configura ningún período referenciado por la regla, la regla no entra en vigor hasta que se especifica el intervalo de tiempo de
referencia y la hora del sistema se encuentra dentro del rango de tiempo especificado.
Clasificación ACL6
básico ACL6 El número oscila 2000-2999. A ACL6 básica filtra los paquetes basados sólo en la dirección
IPv6 de origen, ejemplo de red privada virtual (VPN), bandera
fragmento, y rango de tiempo.
avanzada El número oscila 3000-3999. Un ACL6 avanzada filtra los paquetes basados en la dirección
ACL6 IPv6 de origen y destino de direcciones IPv6 de paquetes de
datos, tipo de protocolo con el apoyo de IPv6, el protocolo de
características tales como el número de puerto de origen y
puerto de destino número, el protocolo ICMPv6, y el Código
ICMPv6.
NOTA
Un ACL6 y una ACL puede utilizar el mismo número porque sus comandos son diferentes.
5.3 Aplicaciones
En esta sección se describe el escenario de aplicación de ACL.
ACL se pueden aplicar a diversos protocolos de enrutamiento dinámico para filtrar rutas anunciados y recibidos.
Los usuarios empresariales pueden acceder a Internet mediante el router. Algunos usuarios como miembros del personal de I + D tienen
prohibido el acceso a Internet, y algunos servidores tales como servidores de consultas salariales rechazan el acceso externo para
garantizar la seguridad de la información. Para satisfacer los requisitos anteriores, definir reglas de ACL en el router conectado a Internet
RouterB
Department1
Internet
RouterA
10.1.17.0/24
OSPF
10.1.18.0/24
10.1.19.0/24
......
Department2
RouterC
Como se muestra en Figura 5-1 , Un router conecta la intranet corriendo Open Shortest Path First (OSPF) a Internet.
ACL se definen en el Router A y se aplicaron a OSPF para controlar ruta publicidad y de recepción.
Como se muestra en Figura 5-2 , Reda NetworkB y se conectan a NetworkC utilizando el router, todos ellos con diferentes
requisitos para los servicios de voz, vídeo y datos. Por ejemplo, Reda tiene altos requerimientos de servicios de vídeo. Para
garantizar la calidad de los servicios de vídeo en Reda, configurar una ACL en el router y hacer referencia a la ACL en una
política de tráfico de manera que todos los paquetes enviados a Reda son procesados por el router antes de ser enviados. Los
paquetes de otras redes se reenvían sin garantía de calidad de servicio (QoS) debido a que no se corresponde ACL.
Reda
Router
NetworkC
NetworkB
El servidor de seguridad se despliega entre las redes internas y externas para evitar que la red externa de atacar a la red
interna y proteger los ordenadores centrales y los recursos clave, tales como los datos sobre las redes internas.
PC B
Centro de datos
Router
Permitido el acceso el
acceso Rechazado
Como se muestra en Figura 5-3 , Sólo se permite un PC para acceder al centro de datos en la red interna. Puede implementar
una ACL y configurar el servidor de seguridad en Router para cumplir con el requisito.
partes comunicantes cifrar datos y autenticar la fuente de datos mediante el uso de IPSec en una red IP para garantizar la
confidencialidad, la integridad, autenticidad y anti-repetición. Un túnel IPSec se establece sobre los dos dispositivos que se conectan dos
redes, mientras que los usuarios de redes LAN tienen diferentes requisitos de seguridad. Configurar una ACL en el dispositivo de salida
LAN para filtrar los paquetes que entran en el túnel IPSec para que los paquetes de servicios permitidos por la ACL están protegidos y
paquetes de servicios rechazadas por la ACL no están protegidos.
network1 Network2
PC Un
PC C
PC B
RouterA RouterB
Como se muestra en Figura 5-4 , Router A y el Router B establecer un túnel IPSec. Configurar una ACL en Router A para permitir que
todos los paquetes de PC A para pasar a través y hacer referencia a la ACL en la política IPSec de modo que todos los paquetes de
PC A se reenvían a través del túnel IPSec. Todos los paquetes de PC B se reenvían directamente porque no ACL es igualada.
Paso 5
Una ACL básica clasifica los paquetes IPv4 basado en información tal como direcciones IP de origen.
5.5.1.1 (Opcional) Configuración del rango de validez de tiempo de una regla de contexto
Algunos servicios o funciones están restringidas dentro de un período de tiempo determinado, por ejemplo, Calidad de Servicio (QoS) se
pone en marcha sólo durante las horas pico. Se puede crear un rango de tiempo y hacer referencia al intervalo de tiempo de una ACL se
aplica a estos servicios o funciones, para que la ACL sólo tiene efecto en el rango de tiempo. Los servicios o funciones que hacen
DARSE CUENTA
La supresión de ACL rango de tiempo de validez puede causar invalidez de algunos ACL. Por lo tanto, utilizar este comando con
precaución.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
intervalo de tiempo tiempo de nombres {start-tiempo a Tiempo del fin {día} & < 1-7> | de fecha1 tiempo1
[ a fecha2 tiempo2]}
NOTA
Si varios intervalos de tiempo se configuran utilizando la misma tiempo-nombre valor, el sistema toma la unión de las gamas de tiempo periódicos y la unión de los
intervalos de tiempo absolutos y, a continuación, lleva a la intersección de las dos uniones como el intervalo de tiempo final. En este ejemplo, el nombre prueba se
utiliza para configurar los siguientes intervalos de tiempo:
l Intervalo de tiempo de 3 partir de las 14:00 antes de las 18:00 los sábados y domingos (intervalo de tiempo periódico) El rango de tiempo prueba incluye 8:
Se le recomienda configurar el Protocolo de tiempo de red (NTP) para asegurar que los dispositivos de la red utilizan la misma hora del sistema. Para
la configuración de NTP, consulte Funciones Configuración básica de NTP en el Huawei AR120 y AR150 y AR160 y AR200 y AR1200 y AR2200
AR3200 y AR3600 Manual de configuración y Enterprise Series Routers - administración de red.
- - - - Fin
ACL
ACL básicos clasifican paquetes IPv4 basado en direcciones IP de origen, banderas fragmento, rangos de tiempo, y las instancias de VPN en
los paquetes.
Antes de configurar una ACL básica, es necesario crear una ACL básica.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
Una ACL numerada básica se crea y se visualiza la vista básica ACL. O corre:
acl-número especifica el número de una ACL básica. Los rangos de los valores desde 2000 hasta 2999. De manera predeterminada, no
Por defecto, no hay una descripción está configurado para una ACL.
- - - - Fin
Un ACL básicos clasifica los paquetes, haciendo coincidir la información del paquete con sus reglas. Después se crea una ACL básica,
NOTA
Cuando el dispositivo recibe un paquete, que coincide con el paquete con ACL gobierna uno por uno basado en el orden correspondiente. Una vez que el
paquete coincide con una regla en un grupo de reglas ACL, el dispositivo se detiene el proceso de coincidencia y realiza la acción especificada en la regla de
correspondencia en el paquete.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
Una ACL numerada básica se crea y se visualiza la vista básica ACL. O corre:
acl-número especifica el número de una ACL básica. Los rangos de los valores desde 2000 hasta 2999. De manera predeterminada, no
Paso 3 Correr:
Una regla básica de ACL está configurado. Para configurar varias reglas, repita este paso.
NOTA
Después de la primera regla se configura en una ACL, el dispositivo utiliza el valor del paso como el número de esta norma si el Identificación de reglas parámetro
no se especifica. Si el Identificación de reglas parámetro no se especifica para las normas posteriores, el dispositivo utiliza los múltiplos del paso siguiente de
la última ID de regla para numerar las reglas. Por ejemplo, si una ACL incluye regla 5 y regla 7 y el paso es 5, el sistema asigna 10 a una nueva regla sin Identificación
de reglas especificado. Cuando se especifica el intervalo de tiempo parámetro para hacer referencia a un rango de tiempo de validez a la ACL, si el
La descripción de una regla básica de ACL está configurado. Por defecto, no hay una
- - - - Fin
Una ACL es un conjunto de reglas que diferencian a los paquetes y determina si los paquetes son permitidas y negados.
Entonces, el dispositivo procesa los paquetes permitidas y descarta los paquetes denegados.
Procedimiento
l Aplicar la ACL.
ACL se puede aplicar a muchas características. Por ejemplo, para procesar diferentes tipos de tráfico, puede utilizar ACL
ACL básicos, avanzados, Capa 2 ACL, ACL6s básicos, o ACL6s avanzadas para llevar a cabo políticas de tráfico, limitación
de tráfico, o la clasificación de tráfico en el tráfico que coincide con las reglas ACL.
NOTA
ACL se puede aplicar a diferentes servicios, y los dispositivos que ejecutan estos servicios procesar los paquetes de anuncios de acuerdo con los
requisitos de servicio. Para obtener más detalles sobre los servicios que hacen referencia ACL, consulte la guía de configuración.
- - - - Fin
Procedimiento
l ejecutar el acl {display acl-Número | nombre nombre-acl | todas } comando para ver la
de configuración acerca de una ACL específica o todas las ACL.
l ejecutar el visualización de la hora de gama {todo | tiempo-nombre} comando para ver información sobre el
intervalo de tiempo.
- - - - Fin
5.5.2.1 (Opcional) Configuración del rango de validez de tiempo de una regla de contexto
Algunos servicios o funciones están restringidas dentro de un período de tiempo determinado, por ejemplo, Calidad de Servicio (QoS) se
pone en marcha sólo durante las horas pico. Se puede crear un rango de tiempo y hacer referencia al intervalo de tiempo de una ACL se
aplica a estos servicios o funciones, para que la ACL sólo tiene efecto en el rango de tiempo. Los servicios o funciones que hacen
DARSE CUENTA
La supresión de ACL rango de tiempo de validez puede causar invalidez de algunos ACL. Por lo tanto, utilizar este comando con
precaución.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
intervalo de tiempo tiempo de nombres {start-tiempo a Tiempo del fin {día} & < 1-7> | de fecha1 tiempo1
[ a fecha2 tiempo2]}
NOTA
Si varios intervalos de tiempo se configuran utilizando la misma tiempo-nombre valor, el sistema toma la unión de las gamas de tiempo periódicos y la unión de los
intervalos de tiempo absolutos y, a continuación, lleva a la intersección de las dos uniones como el intervalo de tiempo final. En este ejemplo, el nombre prueba se
utiliza para configurar los siguientes intervalos de tiempo:
l Intervalo de tiempo de 3 partir de las 14:00 antes de las 18:00 los sábados y domingos (intervalo de tiempo periódico) El rango de tiempo prueba incluye 8:
Se le recomienda configurar el Protocolo de tiempo de red (NTP) para asegurar que los dispositivos de la red utilizan la misma hora del sistema. Para
la configuración de NTP, consulte Funciones Configuración básica de NTP en el Huawei AR120 y AR150 y AR160 y AR200 y AR1200 y AR2200
AR3200 y AR3600 Manual de configuración y Enterprise Series Routers - administración de red.
- - - - Fin
ACL avanzada clasifican los paquetes IPv4 en base a la dirección IP de origen, dirección IP destino, la precedencia de IP, tipo de
servicio (ToS), DiffServ Code Point (DSCP) de prioridad, tipo de protocolo IP, Internet Control Message Protocol (ICMP) de
impresión, Fuente de TCP / número de puerto de destino y el puerto de origen / destino User Datagram Protocol (UDP). Antes de
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
Una ACL numerada avanzada se crea y se muestra la vista de ACL avanzado. O corre:
acl-número especifica el número de una ACL avanzado. Los rangos de los valores de 3000 a 3999. De manera predeterminada, no se crea
ninguna ACL.
La descripción de ACL está configurado. Por defecto, no hay una descripción está
- - - - Fin
Una ACL avanzado clasifica los paquetes, haciendo coincidir la información del paquete con sus reglas. Después se crea una ACL
avanzada, configurar reglas en la ACL avanzado.
NOTA
Cuando el dispositivo recibe un paquete, que coincide con el paquete con ACL gobierna uno por uno basado en el orden correspondiente. Una vez que el
paquete coincide con una regla en un grupo de reglas ACL, el dispositivo se detiene el proceso de coincidencia y realiza la acción especificada en la regla de
correspondencia en el paquete.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
Una ACL numerada avanzada se crea y se muestra la vista de ACL avanzado. O corre:
acl-número especifica el número de una ACL avanzado. El valor oscila 3.000 a 3.999.
Paso 3 Configurar una regla ACL avanzado basado en la versión del protocolo IP o el tipo de protocolo sobre
IP.
l Configurar una regla ACL avanzado basado en la versión del protocolo IP. Cuando se utiliza IPv4,
correr:
gobernar [ regla-id] { negar | permiso de ip} [{destino -destino dirección comodín destino- | any} | fuente { fuente-comodín dirección
de origen | any} | registro | intervalo de tiempo tiempo-nombre | vpn-instancia VPN-nombre-instancia | [ DSCP DSCP | [ tos tos | precedencia
l Configurar una regla ACL avanzado basado en el tipo de protocolo sobre IP.
| gt puerto | lt puerto | distancia augurar puerto de inicio} | tcp-bandera {ack | aletas | PSH | en primer lugar | syn | URG |
establecida} * | registro | intervalo de tiempo tiempo-nombre | vpn-instancia VPN-nombre-instancia | [ DSCP DSCP | [ tos tos |
| gt puerto | lt puerto | distancia puerto en marcha final puerto-} | registro | intervalo de tiempo tiempo-nombre | vpn-instancia VPN-nombre-instancia
| [ DSCP
gobernar [ regla-id] { negar | permiso} { protocolo número | gre | IGMP | ipinip | OSPF}
[ fragmento | ninguno-primero-fragmento]] *
NOTA
los DSCP DSCP y precedencia precedencia parámetros no se pueden ajustar simultáneamente por la misma regla. los DSCP DSCP y tos tos parámetros no se
pueden ajustar simultáneamente por la misma regla. Después de la primera regla se configura en una ACL, el dispositivo utiliza el valor del paso como el
número de esta norma si el Identificación de reglas parámetro no se especifica. Si el Identificación de reglas parámetro no se especifica para las normas
posteriores, el dispositivo utiliza los múltiplos del paso siguiente de la última ID de regla para numerar las reglas. Por ejemplo, si una ACL incluye regla 5 y
regla 7 y el paso es 5, el sistema asigna 10 a una nueva regla sin Identificación de reglas especificado. Cuando se especifica el intervalo de tiempo parámetro
para hacer referencia a un rango de tiempo de validez a la ACL, si el especificado tiempo-nombre no sale, la ACL no entra en vigor.
La descripción de una regla ACL avanzado está configurado. Por defecto, no hay una
- - - - Fin
Una ACL es un conjunto de reglas que diferencian a los paquetes y determina si los paquetes son permitidas y negados.
Entonces, el dispositivo procesa los paquetes permitidas y descarta los paquetes denegados.
Procedimiento
l Aplicar la ACL.
ACL se puede aplicar a muchas características. Por ejemplo, para procesar diferentes tipos de tráfico, puede utilizar ACL
ACL básicos, avanzados, Capa 2 ACL, ACL6s básicos, o ACL6s avanzadas para llevar a cabo políticas de tráfico, limitación
de tráfico, o la clasificación de tráfico en el tráfico que coincide con las reglas ACL.
NOTA
ACL se puede aplicar a diferentes servicios, y los dispositivos que ejecutan estos servicios procesar los paquetes de anuncios de acuerdo con los
requisitos de servicio. Para obtener más detalles sobre los servicios que hacen referencia ACL, consulte la guía de configuración.
- - - - Fin
Procedimiento
l ejecutar el acl {display acl-Número | nombre nombre-acl | todas } comando para ver la
de configuración acerca de una ACL específica o todas las ACL.
l ejecutar el visualización de la hora de gama {todo | tiempo-nombre} comando para ver información sobre el
intervalo de tiempo.
- - - - Fin
Una capa de 2 ACL clasifica los paquetes de datos de acuerdo con la información de capa de enlace, incluyendo la dirección de
origen MAC, VLAN ID, Capa 2 tipo de protocolo, y dirección MAC de destino.
Contexto
Algunos servicios o funciones están restringidas dentro de un período de tiempo determinado, por ejemplo, Calidad de Servicio (QoS) se
pone en marcha sólo durante las horas pico. Se puede crear un rango de tiempo y hacer referencia al intervalo de tiempo de una ACL se
aplica a estos servicios o funciones, para que la ACL sólo tiene efecto en el rango de tiempo. Los servicios o funciones que hacen
DARSE CUENTA
La supresión de ACL rango de tiempo de validez puede causar invalidez de algunos ACL. Por lo tanto, utilizar este comando con
precaución.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
intervalo de tiempo tiempo de nombres {start-tiempo a Tiempo del fin {día} & < 1-7> | de fecha1 tiempo1
[ a fecha2 tiempo2]}
NOTA
Si varios intervalos de tiempo se configuran utilizando la misma tiempo-nombre valor, el sistema toma la unión de las gamas de tiempo periódicos y la unión de los
intervalos de tiempo absolutos y, a continuación, lleva a la intersección de las dos uniones como el intervalo de tiempo final. En este ejemplo, el nombre prueba se
l Intervalo de tiempo de 3 partir de las 14:00 antes de las 18:00 los sábados y domingos (intervalo de tiempo periódico) El rango de tiempo prueba incluye 8:
2010.
Se le recomienda configurar el Protocolo de tiempo de red (NTP) para asegurar que los dispositivos de la red utilizan la misma hora del sistema. Para
la configuración de NTP, consulte Funciones Configuración básica de NTP en el Huawei AR120 y AR150 y AR160 y AR200 y AR1200 y AR2200
AR3200 y AR3600 Manual de configuración y Enterprise Series Routers - administración de red.
- - - - Fin
Una capa de 2 ACL clasifica los paquetes basados en el origen de la dirección MAC, dirección MAC de destino, y la Capa 2
tipo de protocolo en el paquete.
Antes de configurar una rotura de la capa 2, es necesario crear una rotura de la capa 2.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
Una numeración de capa 2 ACL se crea y se muestra la vista ACL Capa 2. O corre:
acl-número especifica el número de un ACL de Capa 2. Los rangos de los valores de 4000 a 4999. De manera predeterminada, no se crea
ninguna ACL.
La descripción de ACL está configurado. Por defecto, no hay una descripción está
- - - - Fin
Capa 2 ACL clasifican los paquetes, haciendo coincidir la información del paquete con sus reglas. Después se crea una ACL, configurar las
reglas de la LCA.
NOTA
Cuando el dispositivo recibe un paquete, que coincide con el paquete con ACL gobierna uno por uno basado en el orden correspondiente. Una vez que el
paquete coincide con una regla en un grupo de reglas ACL, el dispositivo se detiene el proceso de coincidencia y realiza la acción especificada en la regla de
correspondencia en el paquete.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
Una numeración de capa 2 ACL se crea y se muestra la vista ACL Capa 2. O corre:
acl-número especifica el número de un ACL de Capa 2. Los rangos de los valores de 4000 a 4999. De manera predeterminada, no se crea
ninguna ACL.
Paso 3 Correr:
NOTA
Después de la primera regla se configura en una ACL, el dispositivo utiliza el valor del paso como el número de esta norma si el Identificación de reglas parámetro
no se especifica. Si el Identificación de reglas parámetro no se especifica para las normas posteriores, el dispositivo utiliza los múltiplos del paso siguiente de
la última ID de regla para numerar las reglas. Por ejemplo, si una ACL incluye regla 5 y regla 7 y el paso es 5, el sistema asigna 10 a una nueva regla sin Identificación
de reglas especificado. Cuando se especifica el intervalo de tiempo parámetro para hacer referencia a un rango de tiempo de validez a la ACL, si el
La descripción de una regla ACL capa 2 está configurado. Por defecto, no hay una
- - - - Fin
Contexto
Una ACL es un conjunto de reglas que diferencian a los paquetes y determina si los paquetes son permitidas y negados.
Entonces, el dispositivo procesa los paquetes permitidas y descarta los paquetes denegados.
Procedimiento
l Aplicar la ACL.
ACL se puede aplicar a muchas características. Por ejemplo, para procesar diferentes tipos de tráfico, puede utilizar ACL
ACL básicos, avanzados, Capa 2 ACL, ACL6s básicos, o ACL6s avanzadas para llevar a cabo políticas de tráfico, limitación
de tráfico, o la clasificación de tráfico en el tráfico que coincide con las reglas ACL.
NOTA
ACL se puede aplicar a diferentes servicios, y los dispositivos que ejecutan estos servicios procesar los paquetes de anuncios de acuerdo con los
requisitos de servicio. Para obtener más detalles sobre los servicios que hacen referencia ACL, consulte la guía de configuración.
- - - - Fin
Procedimiento
l ejecutar el acl {display acl-Número | nombre nombre-acl | todas } comando para ver la
de configuración acerca de una ACL específica o todas las ACL.
l ejecutar el visualización de la hora de gama {todo | tiempo-nombre} comando para ver información sobre el
intervalo de tiempo.
- - - - Fin
Un ACL usuario puede clasificar los paquetes IPv4 basado en direcciones IP de origen, dirección IP de destino, tipo de protocolo IP, de
tipo ICMP, la fuente TCP / puertos de destino, y de origen UDP / puertos de destino.
5.5.4.1 (Opcional) Configuración del rango de validez de tiempo de una regla de contexto
Algunos servicios o funciones están restringidas dentro de un período de tiempo determinado, por ejemplo, Calidad de Servicio (QoS) se
pone en marcha sólo durante las horas pico. Se puede crear un rango de tiempo y hacer referencia al intervalo de tiempo de una ACL se
aplica a estos servicios o funciones, para que la ACL sólo tiene efecto en el rango de tiempo. Los servicios o funciones que hacen
DARSE CUENTA
La supresión de ACL rango de tiempo de validez puede causar invalidez de algunos ACL. Por lo tanto, utilizar este comando con
precaución.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
intervalo de tiempo tiempo de nombres {start-tiempo a Tiempo del fin {día} & < 1-7> | de fecha1 tiempo1
[ a fecha2 tiempo2]}
NOTA
Si varios intervalos de tiempo se configuran utilizando la misma tiempo-nombre valor, el sistema toma la unión de las gamas de tiempo periódicos y la unión de los
intervalos de tiempo absolutos y, a continuación, lleva a la intersección de las dos uniones como el intervalo de tiempo final. En este ejemplo, el nombre prueba se
utiliza para configurar los siguientes intervalos de tiempo:
l Intervalo de tiempo de 3 partir de las 14:00 antes de las 18:00 los sábados y domingos (intervalo de tiempo periódico) El rango de tiempo prueba incluye 8:
Se le recomienda configurar el Protocolo de tiempo de red (NTP) para asegurar que los dispositivos de la red utilizan la misma hora del sistema. Para
la configuración de NTP, consulte Funciones Configuración básica de NTP en el Huawei AR120 y AR150 y AR160 y AR200 y AR1200 y AR2200
AR3200 y AR3600 Manual de configuración y Enterprise Series Routers - administración de red.
- - - - Fin
Contexto
Un ACL usuario puede clasificar los paquetes IPv4 basado en direcciones IP de origen, dirección IP de destino, tipo de protocolo IP, de tipo
ICMP, la fuente TCP / puertos de destino, y de origen UDP / puertos de destino. Antes de configurar una rotura de usuario, crear la ACL usuario
en primer lugar.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
Un ACL usuario numerada se crea mediante el uso de un número de ACL y la vista ACL usuario se muestra. El valor
de acl-número varía de 6,000 a 6031. Por defecto, no existe ninguna ACL en el dispositivo.
- - - - Fin
Un ACL usuario clasifica los paquetes, haciendo coincidir la información del paquete con sus reglas. Una vez creada una rotura de usuario,
NOTA
Cuando el dispositivo recibe un paquete, que coincide con el paquete con ACL gobierna uno por uno basado en el orden correspondiente. Una vez que el
paquete coincide con una regla en un grupo de reglas ACL, el dispositivo se detiene el proceso de coincidencia y realiza la acción especificada en la regla de
correspondencia en el paquete.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
Un ACL usuario numerada se crea mediante el uso de un número de ACL y la vista ACL usuario se muestra. El valor
de acl-número varía de 6,000 a 6031. Por defecto, no existe ninguna ACL en el dispositivo.
Puede configurar la ACL usuario de acuerdo con el tipo de protocolo de los paquetes IP. Los parámetros varían de acuerdo con el tipo
de protocolo.
{ eq puerto | gt puerto | lt puerto | distancia puerto-puerto de comenzar-end} | intervalo de tiempo timename | [ DSCP DSCP | [ tos tos | precedencia
precedencia] *] | fragmento ] *
[ destino { destino-dirección de destino comodín | cualquier | passthrough- dominio dominio de cadena} | fuente { fuente-comodín
dirección de origen | any} | intervalo de tiempo tiempo-nombre | [ DSCP DSCP | [ tos tos |
NOTA
Después de la primera regla se configura en una ACL, el dispositivo utiliza el valor del paso como el número de esta norma si el Identificación de reglas parámetro
no se especifica. Si el Identificación de reglas parámetro no se especifica para las normas posteriores, el dispositivo utiliza los múltiplos del paso siguiente de
la última ID de regla para numerar las reglas. Por ejemplo, si una ACL incluye regla 5 y regla 7 y el paso es 5, el sistema asigna 10 a una nueva regla sin Identificación
de reglas especificado. Cuando se especifica el intervalo de tiempo parámetro para hacer referencia a un rango de tiempo de validez a la ACL, si el
- - - - Fin
Contexto
El ACL usuario sólo clasifica los paquetes en diferentes tipos, pero no puede procesar los paquetes de acuerdo con sus tipos.
Después de la ACL está referenciado por una función, el dispositivo procesa los paquetes permitidos y descarta los paquetes
negados de acuerdo con los requisitos de la función.
Procedimiento
l Aplicar la ACL.
NOTA
Para saber cómo aplicar una ACL usuario NAC, véase ( Opcional) Configuración de los parámetros de control de acceso para los
usuarios de autenticación Portal en la configuración de NAC Huawei AR120 y AR150 y AR160 y AR200 y AR1200 y AR2200 y AR3200 y
guía de configuración Enterprise Series Routers AR3600 - Seguridad.
- - - - Fin
Procedimiento
l ejecutar el acl {display acl-Número | nombre nombre-acl | todas } comando para ver la
de configuración acerca de una ACL específica o todas las ACL.
l ejecutar el visualización de la hora de gama {todo | tiempo-nombre} comando para ver información sobre el
intervalo de tiempo.
- - - - Fin
ACL6s básicos clasifican los paquetes de datos en función de la dirección IPv6 de origen.
5.5.5.1 (Opcional) Configuración del rango de validez de tiempo de una regla de contexto
Algunos servicios o funciones están restringidas dentro de un período de tiempo determinado, por ejemplo, Calidad de Servicio (QoS) se
pone en marcha sólo durante las horas pico. Se puede crear un rango de tiempo y hacer referencia al intervalo de tiempo de una ACL se
aplica a estos servicios o funciones, para que la ACL sólo tiene efecto en el rango de tiempo. Los servicios o funciones que hacen
DARSE CUENTA
La supresión de ACL rango de tiempo de validez puede causar invalidez de algunos ACL. Por lo tanto, utilizar este comando con
precaución.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
intervalo de tiempo tiempo de nombres {start-tiempo a Tiempo del fin {día} & < 1-7> | de fecha1 tiempo1
[ a fecha2 tiempo2]}
NOTA
Si varios intervalos de tiempo se configuran utilizando la misma tiempo-nombre valor, el sistema toma la unión de las gamas de tiempo periódicos y la unión de los
intervalos de tiempo absolutos y, a continuación, lleva a la intersección de las dos uniones como el intervalo de tiempo final. En este ejemplo, el nombre prueba se
utiliza para configurar los siguientes intervalos de tiempo:
l Intervalo de tiempo de 3 partir de las 14:00 antes de las 18:00 los sábados y domingos (intervalo de tiempo periódico) El rango de tiempo prueba incluye 8:
Se le recomienda configurar el Protocolo de tiempo de red (NTP) para asegurar que los dispositivos de la red utilizan la misma hora del sistema. Para
la configuración de NTP, consulte Funciones Configuración básica de NTP en el Huawei AR120 y AR150 y AR160 y AR200 y AR1200 y AR2200
AR3200 y AR3600 Manual de configuración y Enterprise Series Routers - administración de red.
- - - - Fin
ACL6
A ACL6s básica clasifica los paquetes IPv6 en base a fuente de direcciones IPv6, banderas de fragmentos, y el tiempo varía en los
paquetes.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
Nombre de ACL IPv6 acl6-nombre { básica | acl6-number} [ partido de orden {auto | config}]
acl6-number especifica el número de un ACL6 básica. Los rangos de los valores desde 2000 hasta 2999. De manera predeterminada, no se
La descripción ACL6 está configurado. Por defecto, no hay una descripción está
- - - - Fin
A ACL6 básica clasifica los paquetes, haciendo coincidir la información del paquete con sus reglas. Después se crea un ACL6 básica,
configurar reglas en el ACL6.
NOTA
Cuando el dispositivo recibe un paquete, que coincide con el paquete con ACL gobierna uno por uno basado en el orden correspondiente. Una vez que el
paquete coincide con una regla en un grupo de reglas ACL, el dispositivo se detiene el proceso de coincidencia y realiza la acción especificada en la regla de
correspondencia en el paquete.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
Nombre de ACL IPv6 acl6-nombre { básica | acl6-number} [ partido de orden {auto | config}]
acl6-number especifica el número de un ACL6 básica. Los rangos de los valores desde 2000 hasta 2999. De manera predeterminada, no se
Paso 3 Correr:
gobernar [ regla-id]
{ negar | permiso} [[fragmento | Ninguno primer fragmento] | fuente { -dirección de origen para IPv6 prefijo de larga duración | fuente-ipv6-dirección
/ prefijo de longitud | any} | registro | intervalo de tiempo tiempo-name] *
NOTA
Después de la primera regla está configurada en un ACL6, el dispositivo utiliza el valor del paso como el número de esta norma si el Identificación de reglas no
se especifica. Si el Identificación de reglas parámetro no se especifica para las normas posteriores, el dispositivo utiliza los múltiplos del paso siguiente de la
última ID de regla para numerar las reglas. Por ejemplo, si un ACL6 incluye regla 5 y regla 7, y el paso es 5, el sistema asigna 10 a una nueva regla sin Identificación
de reglas especificado. Cuando se especifica el intervalo de tiempo parámetro para hacer referencia a un intervalo de tiempo a la ACL6, si el especificado
La descripción de una regla básica ACL6 está configurado. Por defecto, no hay una
- - - - Fin
Una ACL es un conjunto de reglas que diferencian a los paquetes y determina si los paquetes son permitidas y negados.
Entonces, el dispositivo procesa los paquetes permitidas y descarta los paquetes denegados.
Procedimiento
l Aplicar la ACL.
ACL se puede aplicar a muchas características. Por ejemplo, para procesar diferentes tipos de tráfico, puede utilizar ACL
ACL básicos, avanzados, Capa 2 ACL, ACL6s básicos, o ACL6s avanzadas para llevar a cabo políticas de tráfico, limitación
de tráfico, o la clasificación de tráfico en el tráfico que coincide con las reglas ACL.
NOTA
ACL se puede aplicar a diferentes servicios, y los dispositivos que ejecutan estos servicios procesar los paquetes de anuncios de acuerdo con los
requisitos de servicio. Para obtener más detalles sobre los servicios que hacen referencia ACL, consulte la guía de configuración.
- - - - Fin
Procedimiento
l ejecutar el ipv6 pantalla acl { acl6-Número | nombre acl6-nombre | todas } comando para ver la
de configuración sobre un ACL6 específica o todas ACL6s.
l ejecutar el visualización de la hora de gama {todo | tiempo-nombre} comando para mostrar información acerca de
el intervalo de tiempo.
- - - - Fin
ACL6s avanzada clasificar los paquetes de datos en función de la dirección IPv6 de origen, dirección de destino IPv6, el número de
5.5.6.1 (Opcional) Configuración del rango de validez de tiempo de una regla de contexto
Algunos servicios o funciones están restringidas dentro de un período de tiempo determinado, por ejemplo, Calidad de Servicio (QoS) se
pone en marcha sólo durante las horas pico. Se puede crear un rango de tiempo y hacer referencia al intervalo de tiempo de una ACL se
aplica a estos servicios o funciones, para que la ACL sólo tiene efecto en el rango de tiempo. Los servicios o funciones que hacen
DARSE CUENTA
La supresión de ACL rango de tiempo de validez puede causar invalidez de algunos ACL. Por lo tanto, utilizar este comando con
precaución.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
intervalo de tiempo tiempo de nombres {start-tiempo a Tiempo del fin {día} & < 1-7> | de fecha1 tiempo1
[ a fecha2 tiempo2]}
NOTA
Si varios intervalos de tiempo se configuran utilizando la misma tiempo-nombre valor, el sistema toma la unión de las gamas de tiempo periódicos y la unión de los
intervalos de tiempo absolutos y, a continuación, lleva a la intersección de las dos uniones como el intervalo de tiempo final. En este ejemplo, el nombre prueba se
utiliza para configurar los siguientes intervalos de tiempo:
l Intervalo de tiempo de 3 partir de las 14:00 antes de las 18:00 los sábados y domingos (intervalo de tiempo periódico) El rango de tiempo prueba incluye 8:
Se le recomienda configurar el Protocolo de tiempo de red (NTP) para asegurar que los dispositivos de la red utilizan la misma hora del sistema. Para
la configuración de NTP, consulte Funciones Configuración básica de NTP en el Huawei AR120 y AR150 y AR160 y AR200 y AR1200 y AR2200
AR3200 y AR3600 Manual de configuración y Enterprise Series Routers - administración de red.
- - - - Fin
Un ACL6 avanzada puede clasificar los paquetes IPv6 en base a los siguientes atributos: IPv6 dirección de origen, dirección IPv6 de
destino, tipo de protocolo con el apoyo de IPv6, y las características específicas del protocolo, tales como los números de origen y de
destino TCP puerto, ICMPv6 tipo de protocolo, y el Código ICMPv6.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
Nombre de ACL IPv6 acl6-nombre { avanzar | acl6-number} [ partido de orden {auto | config}]
La descripción ACL6 está configurado. Por defecto, no hay una descripción está
- - - - Fin
ACL6s clasificar los paquetes, haciendo coincidir la información del paquete con sus reglas. Una vez creado un ACL6 avanzada,
configurar reglas en el ACL6 avanzada.
NOTA
Cuando el dispositivo recibe un paquete, que coincide con el paquete con ACL gobierna uno por uno basado en el orden correspondiente. Una vez que el
paquete coincide con una regla en un grupo de reglas ACL, el dispositivo se detiene el proceso de coincidencia y realiza la acción especificada en la regla de
correspondencia en el paquete.
Procedimiento
Paso 1 Correr:
sistema de vista
Paso 2 Correr:
Nombre de ACL IPv6 acl6-nombre { avanzar | acl6-number} [ partido de orden {auto | config}]
Paso 3 Realice los siguientes pasos según sea necesario para configurar las reglas para la ACL6 avanzada.
Se puede configurar el ACL6 avanzado en el dispositivo de acuerdo con el tipo de protocolo sobre IP. Los parámetros varían de
acuerdo con el tipo de protocolo.
gobernar [ regla-id] { negar | permiso} { protocolo número | tcp} [{destino destino-ipv6-dirección prefijo de larga duración | destino-ipv6-dirección
/ prefijo de longitud | any} | puerto de destino-{eq puerto | gt puerto | lt puerto | distancia puerto-puerto de comenzar-end} | DSCP DSCP | precedencia
precedencia | fuente { fuente-ipv6-prefijo de dirección de longitud | fuente-ipv6-dirección / longitud de prefijos | any} | source-port {eq puerto | gt puerto
| lt puerto | distancia puerto-puerto de comenzar-end} | tcpflag {ack | aletas | PSH | en primer lugar | syn | URG | establecida} * | registro |
tos tOS] *
gobernar [ regla-id] { negar | permiso} { protocolo número | UDP} [{destino destino-ipv6-dirección prefijo de larga duración | destino-ipv6-dirección
/ prefijo de longitud | any} | puerto de destino-{eq puerto | gt puerto | lt puerto | distancia puerto-puerto de comenzar-end} | DSCP DSCP | precedencia
precedencia | fuente { fuente-ipv6-prefijo de dirección de longitud | fuente-ipv6-dirección / longitud de prefijos | any} | source-port {eq puerto
gobernar [ regla-id] { negar | permiso} { protocolo número | ipv6} [{destino destino-ipv6-dirección prefijo de larga duración | destino-ipv6-dirección
/ prefijo de longitud | any} | DSCP DSCP |
[ fragmento | Ninguno primer fragmento] | precedencia precedencia | fuente { -dirección de origen para IPv6 prefijo de larga duración | fuente-ipv6-dirección
NOTA
Para configurar tanto el precedencia precedencia y tos tos parámetros, establecidos los dos parámetros de forma consecutiva en el comando. los DSCP DSCP y
precedencia precedencia parámetros no se pueden ajustar simultáneamente por la misma regla. los DSCP DSCP y tos tos parámetros no se pueden ajustar
simultáneamente por la misma regla. Cuando el protocolo valor no es IPv6, el fragmento y ninguno-primero-fragmento los parámetros no se pueden ajustar.
Después de la primera regla está configurada en un ACL6, el dispositivo utiliza el valor del paso como el número de esta norma si el Identificación de reglas no
se especifica. Si el Identificación de reglas parámetro no se especifica para las normas posteriores, el dispositivo utiliza los múltiplos del paso siguiente de la
última ID de regla para numerar las reglas. Por ejemplo, si un ACL6 incluye regla 5 y regla 7, y el paso es 5, el sistema asigna 10 a una nueva regla sin Identificación
de reglas especificado. Cuando se especifica el intervalo de tiempo parámetro para hacer referencia a un intervalo de tiempo a la ACL6, si el especificado
La descripción de una regla ACL6 avanzada está configurado. Por defecto, no hay una
- - - - Fin
Contexto
Una ACL es un conjunto de reglas que diferencian a los paquetes y determina si los paquetes son permitidas y negados.
Entonces, el dispositivo procesa los paquetes permitidas y descarta los paquetes denegados.
Procedimiento
l Aplicar la ACL.
ACL se puede aplicar a muchas características. Por ejemplo, para procesar diferentes tipos de tráfico, puede utilizar ACL
ACL básicos, avanzados, Capa 2 ACL, ACL6s básicos, o ACL6s avanzadas para llevar a cabo políticas de tráfico, limitación
de tráfico, o la clasificación de tráfico en el tráfico que coincide con las reglas ACL.
NOTA
ACL se puede aplicar a diferentes servicios, y los dispositivos que ejecutan estos servicios procesar los paquetes de anuncios de acuerdo con los
requisitos de servicio. Para obtener más detalles sobre los servicios que hacen referencia ACL, consulte la guía de configuración.
- - - - Fin
Procedimiento
l ejecutar el ipv6 pantalla acl { acl6-Número | nombre acl6-nombre | todas } comando para ver la
de configuración sobre un ACL6 específica o todas ACL6s.
l ejecutar el visualización de la hora de gama {todo | tiempo-nombre} comando para mostrar información acerca de
el intervalo de tiempo.
- - - - Fin
Contexto
DARSE CUENTA
Las estadísticas de ACL eliminados no se pueden recuperar. Tener precaución cuando se ejecuta el comando.
Procedimiento
l ejecutar el contador Reset ACL {nombre nombre-acl | acl-Número | todas } mando en el usuario
ver para borrar las estadísticas de ACL.
l ejecutar el cero el contador de ACL IPv6 {nombre acl6-nombre | acl6-Número | todas } comando en el
- - - - Fin
Contexto
Si una ACL no puede ser creado, los recursos de ACL disponibles en el sistema pueden ser insuficientes. Puede ver el uso de
recursos de ACL en el sistema para comprobar si los recursos del LCA se han agotado.
Procedimiento
l ejecutar el recurso pantalla acl [ranura ranura-id] comando en cualquier fin de comprobar la información
- - - - Fin
5.7.1 Ejemplo de configuración de una ACL básico para limitar el acceso al servidor FTP
Requisitos de redes
Como se muestra en Figura 5-5 , las funciones del router como un servidor FTP (172.16.104.110/24). Los requisitos son los
siguientes:
l Todos los usuarios de la subred 1 (172.16.105.0/24) están autorizados a acceder al servidor FTP
en cualquier momento.
l Todos los usuarios de la subred 2 (172.16.107.0/24) están autorizados a acceder al servidor FTP sólo a
el período de tiempo especificado.
Las rutas entre el router y subredes son accesibles. Es necesario configurar el router para limitar el acceso del usuario al
servidor FTP.
Figura 5-5 Configuración de una ACL básica para limitar el acceso del usuario al servidor FTP
Un PC
172.16.105.111/24
servidor FTP
PC B
Red
172.16.107.111/24
Router
172.16.104.110/24
PC C
10.10.10.1/24
l Crear una ACL básica del router y configurar reglas en la ACL básica.
l Aplicar una ACL básica al router para limitar el acceso del usuario.
Procedimiento
B (172.16.107.111/24) en la subred 2 a las 15:00 el sábado en 2010. PC B puede conectar con el servidor FTP.
# ejecutar el ftp 172.16.104.110 mando en PC C (10.10.10.1/24). PC C no puede conectar con el servidor FTP.
- - - - Fin
Archivos de configuración
#
Router nombre_sist
#
-Rango de tiempo de acceso ftp 14:00-18:00 fuera del día rango de tiempo de acceso ftp de 00:00 a
23:59 01/01/2009 2011/12/31
#
acl número 2001
regla 5 Fuente de permiso de 172.16.105.0 0.0.0.255
regla 10 fuente de permiso de 172.16.107.0 0.0.0.255-rango de tiempo de acceso ftp regla 15 niegan
# aaa
-Usuario local Huawei contraseña de cifrado irreversible-% #% # "ZD;": ffGP> Otg3Rlz7CMj'W) y * 1 ~ (CW * =
& + F # `CU-42JFxr (.Q |, ~ G 4R6 &% #% #-usuario local Huawei nivel de privilegio 15-usuario local flash de
Huawei-directorio ftp: Huawei-usuario local de tipo servicio FTP
#
servidor ftp ftp permiten acl
2001
# regreso
5.7.2 Ejemplo de utilización de una ACL avanzada para configurar clasificadores de tráfico
Requisitos de redes
Como se muestra en Figura 5-6 , los departamentos de la empresa están conectados a través del router. Una ACL IPv4 necesita ser
configurado para evitar que el departamento y el departamento de marketing de I + D de acceder al servidor de consultas salario
8:00-17:30 y permitir la oficina del presidente para acceder al servidor de consultas sueldo en cualquier momento.
Figura 5-6 El uso de una ACL avanzada para configurar los clasificadores de tráfico
10.164.9.9
0/3
Eth2 / 0/1
Eth2 / 0/0
Router
Eth2 / 0/2
Departamento de Marketing
Oficina del Presidente
10.164.2.0/24
10.164.1.0/24
Departamento de I + D
10.164.3.0/24 Eth2 /
Procedimiento
Paso 1 Añadir a las interfaces VLAN y asignar direcciones IP a las interfaces VLANIF.
# Añadir Eth 2/0/0, 2/0/1 Eth y Eth 2/0/2 a la VLAN 10, la VLAN 20 y la VLAN 30, respectivamente, y añadir Eth 2/0/3
a VLAN 100. La primera dirección IP de un segmento de red se toma como la dirección de la interfaz VLANIF del
mismo segmento de red. Las configuraciones en Eth 2/0/0 y VLANIF 10 se utilizan como un ejemplo aquí. Las
configuraciones de Eth2 / 0/1, Eth2 / 0/2 son similares a la configuración en Eth 2/0/0, y las configuraciones de
VLANIF 20, VLANIF 30, y VLANIF 100 son similares a la configuración en VLANIF 10, y no se mencionan aquí.
# Configurar el ACL para el departamento de marketing para acceder al servidor de consultas salario.
# Configurar el clasificador de tráfico c_market para clasificar los paquetes que corresponden ACL 3002.
# Configurar el clasificador de tráfico c_rd para clasificar los paquetes que corresponden ACL 3003.
# Configurar la política de tráfico p_market y asociar el clasificador de tráfico c_market y el comportamiento del tráfico b_market
con la política de tráfico.
# Configurar la política de tráfico p_rd y asociar el clasificador de tráfico c_rd y el comportamiento del tráfico b_rd con la
política de tráfico.
Regla 5 negar fuente IP 10.164.2.0 0.0.0.255 destino 10.164.9.9 0 tiempo de rango satime (activo)
Operador c_rd: SI
Política Nombre:
p_market
Índice de Políticas: 0
Clasificador: Comportamiento
c_market: b_market
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
ranura 2 :
éxito
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Índice de la política: 1
Clasificador: Comportamiento
c_rd: b_rd
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
p_rd
ranura 2 :
éxito
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - Fin
Archivos de configuración
#
Router nombre_sist
#
-Rango de tiempo satime 08:00-17:30 días hábiles
#
lote VLAN 10 20 30 100
#
acl número 3002
Regla 5 negar fuente IP 10.164.2.0 0.0.0.255 destino 10.164.9.9 0 tiempo de rango satime
#
tráfico de operador clasificador c_market o si-partido acl 3002
#
el comportamiento del tráfico b_market negar
#
p_market política de tráfico
comportamiento c_market clasificador b_market política de
tráfico p_rd clasificador b_rd comportamiento c_rd
interfaz Vlanif10
dirección IP 10.164.1.1 255.255.255.0
#
interfaz Vlanif20
dirección IP 10.164.2.1 255.255.255.0
#
interfaz Vlanif30
dirección IP 10.164.3.1 255.255.255.0
#
interfaz Vlanif100
dirección IP 10.164.9.1 255.255.255.0
#
Interfaz Ethernet2 / 0/0 VLAN de
puerto por defecto Pasamuros de
enlace 10
#
Interfaz Ethernet2 / 0/1 puerto de tipo enlace de puerto
de acceso predeterminado VLAN 20 el tráfico
entrante en políticas p_market
#
Interfaz Ethernet2 / 0/2 puertos VLAN por defecto
Pasamuros de conexión 30-tráfico entrante
política p_rd
#
interfaz Ethernet2 / 0/3 puerto VLAN
predeterminada puerto de acceso de
tipo enlace 100
# regreso
Requisitos de redes
Como se muestra en Figura 5-7 , una red de empresa que ejecuta los servicios Web, FTP, Telnet y tiene acceso a una red externa
a través GE1 / 0/0 y se une a una VLAN a través Eth2 / 0/0. El segmento de red de la empresa es 202.169.10.0/24 y las
direcciones IP del servidor Web, servidor FTP, Telnet y el servidor son 202.169.10.5/24, 202.169.10.6/24 y 202.169.10.7/24. Para
garantizar la seguridad, el router proporciona la función de cortafuegos. Sólo los usuarios especificados se les permite acceder a
los servidores internos de la empresa y sólo los servidores internos de la empresa se les permite acceder a la red externa.
Figura 5-7 Gracias a la avanzada de una ACL para configurar la función de cortafuegos
Router
202.39.2.3
Red
interna
Las siguientes configuraciones se realizan en el router. La hoja de ruta de configuración es como sigue:
3. Configurar las ACL avanzadas para restringir los derechos de acceso a los servidores internos y externos a la red.
Procedimiento
# Añadir a las interfaces VLAN y asignar direcciones IP a las interfaces VLANIF. Añadir VLANIF 100 a la zona empresa.
# Configurar una regla ACL en 3001 para permitir a los usuarios el acceso a determinados servidores internos.
# Configurar una regla ACL en 3001 para evitar que otros usuarios accedan a cualquier host de la empresa.
# Configurar una regla ACL en 3002 para permitir que los servidores internos para acceder a la red externa.
# Configurar una regla ACL en 3002 para evitar que otros usuarios de la empresa tengan acceso a la red externa.
# Después de completada la configuración, sólo el anfitrión 202.39.2.3 puede acceder a los servidores internos y sólo servidores
internos puede tener acceso a la red externa.
# ejecutar el pantalla cortafuegos interzona [ zona nombre2 zona-tabla1] comando en el router. El resultado es el siguiente:
firewall permitirá
por defecto de paquetes del filtro de entrada de paquetes negar filtro
de permiso de salida predeterminado de paquetes del filtro 3001 de
entrada del filtro de paquetes salientes 3002
- - - - Fin
Archivos de configuración
#
Router nombre_sist
#
lote VLAN 100
#
acl número 3001
regla 5 Fuente de tcp permiso de 202.39.2.3 0 0 destino 202.169.10.5 regla de origen TCP 10 permiso de
202.39.2.3 0 0 destino 202.169.10.6 regla de origen TCP 15 permiso de 202.39.2.3 0 0 destino 202.169.10.7 el
artículo 20 denegar el número de ACL IP 3002
#
interfaz Vlanif100
dirección IP 202.169.10.1 255.255.255.0 zona compañía
#
zona de cortafuegos prioridad de la
compañía 12
#
zona firewall prioridad externa 5
#
firewall de la compañía interzona cortafuegos externa
de permiso de paquetes de entrada del filtro 3001
filtro de paquetes salientes 3002
#
Interfaz Ethernet2 / 0/0 VLAN de puerto por
defecto Pasamuros de enlace 100
#
interfaz GigabitEthernet1 / 0/0 dirección IP 129.39.10.8 zona
255.255.255.0 externa
# regreso
Requisitos de redes
Como se muestra en Figura 5-8 , el enrutador que funciona como puerta de entrada está conectado al PC. ACL necesita ser
configurado para evitar que los paquetes con la dirección MAC de origen 00e0-f201-0101 y la dirección MAC de destino
0260-e207-0002 pase a través.
Figura 5-8 El uso de una rotura de la capa 2 para configurar un clasificador de tráfico
PC2
GE2 / 0/0 GE1 / 0/0
red IP
Router
PC1
00e0-f201-0101
Procedimiento
# Configurar el clasificador de tráfico TC1 para clasificar los paquetes que coinciden ACL 4000.
# Configurar la política de tráfico TP1 y asociarse TC1 y TB1 con la política de tráfico.
Índice de Políticas: 0
Clasificador: Comportamiento
TC1: TB1
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
* interfaz
GigabitEthernet2 / 0/0
TP1
ranura 2 :
éxito
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - Fin
Archivos de configuración
#
Router nombre_sist
#
acl número 4000
Regla 5 niegan destino-mac-0260 e207-0002 fuente de mac-00e0-f201-0101
#
tráfico de operador clasificador TC1 o si-partido acl 4000
#
el tráfico comportamiento TB1 negar
#
política de tráfico TP1 clasificador
comportamiento TC1 TB1
#
Interfaz GigabitEthernet2 / 0/0 de tráfico en la
política de entrada TP1
# regreso
Requisitos de redes
Como se muestra en Figura 5-9 , RouterA y RouterB están conectados a través de interfaces de GE. Un ACL6 necesita ser
configurado en RouterA negar los paquetes IPv6 con direcciones IP fuente 3001 :: 2/64 en GE 1/0/0.
RouterA RouterB
GE1 / 0/0 3001 GE1 / 0/0
:: 1/64 3001 :: 2/64 Loopback2
3002 :: 2/64
1. Configure un ACL6.
Procedimiento
Paso 1 Habilitar IPv6 capacidad de reenvío en RouterA y RouterB, y establecer los parámetros para la
interfaces.
# Configurar RouterA.
# Configurar RouterB.
Paso 2 Crear una regla de ACL6 y aplicar la regla a la interfaz de negar los paquetes IPv6 de
3001 :: 2.
# Configurar RouterA.
Nombre de directiva:
política1
Índice de Políticas: 0
Clasificador: Comportamiento
class1: behav1
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
* interfaz
GigabitEthernet1 / 0/0
ranura 0 :
éxito
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - Fin
Archivos de configuración
#
nombre_sist RouterA
#
número IPv6 ACL 3001
regla de 0 negar fuente IPv6 3001 :: 2/64
# ipv6
#
tráfico de operador clasificador class1 o si-partido IPv6 ACL
3001
#
el comportamiento del tráfico behav1 negar
#
política de tráfico comportamiento class1 política1
clasificador behav1
#
interfaz GigabitEthernet1 / 0/0 ipv6 permiten
#
nombre_sist RouterB
# ipv6
#
interfaz GigabitEthernet1 / 0/0 ipv6 permiten
5.8 Preguntas
Puede configurar las listas de control de acceso (ACL) para que coincida con las direcciones de origen o de destino. Por ejemplo, bajo
la siguiente configuración, el anfitrión 10.1.1.1 sólo puede hosts de acceso en el
10.1.1.18/26 segmento de red.
Para las configuraciones de otros clasificadores de tráfico, comportamientos (acciones establecidas a permiso), y políticas, consulte la
5.8.2 ¿Cómo puedo restringir el período durante el cual los usuarios pueden acceder a las
redes específicas?
Puede definir una lista de control de acceso (ACL) con rangos de tiempo. Por ejemplo, bajo la siguiente configuración, los
usuarios no pueden acceder 2.2.2.0/24 de 00:00 a 08:00 diariamente.
Para las configuraciones de otros clasificadores de tráfico, comportamientos y políticas, consulte Configuración de política de tráfico
5.8.3 ¿Cuáles son el método utilizado para procesar los paquetes después de diferentes
Configuracion l FTP
basica
Una conexión FTP se establece si un paquete cumple la regla de permiso; sin conexión FTP puede
l Telnet
Una conexión Telnet se establece si un paquete cumple la regla de permiso; sin conexión Telnet puede
Servicio IP Cuando se hace referencia una ACL en NAT, el sistema procesa los paquetes de acuerdo con las reglas que
coincidan. Si un paquete coincide con una regla con el permiso de la acción, el sistema traduce las direcciones de
origen de los paquetes de datos. Si un paquete no coincide con ninguna norma o coincide con una regla con la
QoS Cuando se hace referencia a una ACL en una política de tráfico, el sistema procesa los paquetes de acuerdo con
las reglas que coincidan. Si un paquete coincide con una regla con el permiso de la acción, el sistema procesa el
paquete de acuerdo con la política de tráfico. Si un paquete coincide con una regla con la acción de negar, el
sistema descarta el paquete directamente. Los paquetes que no coinciden con ninguna regla de la ACL se
envían normalmente.
Seguridad l firewall
Cuando paquete ACL-basado el filtrado de referencias ACL firewall, el router AR reenvía reglas de permisos
paquetes coincidentes, descarta los paquetes que emparejan negar reglas, y aplica reglas predeterminadas a
Cuando hace referencia a la asignación de puertos ACL, las normas sobre permisos de mapas paquetes
juego del router AR, y no se asigna paquetes que coinciden con reglas de denegación o ninguna regla.
Cuando registro de la sesión hace referencia a una ACL, los registros de los registros del router para AR
normas sobre permisos de paquetes coincidentes, y no registra los registros de paquetes que coinciden con
Cuando una lista negra hace referencia a una ACL, el router descarta AR permiso de paquetes a juego y
reglas de denegación, y envía los paquetes que no coinciden con ninguna regla.
5.9 Referencias
Esta sección enumera las referencias de ACL.