03 ACL配置.doc

7 ACL配置 7-1 7.1 访问控制列表简介 7-2 7.1.1 访问控制列表概述 7-2 7.1.2 访问控制列表的分类 7-2 7.1.3 访问控制列表的匹配顺序 7-2 7.1.4 访问控制列表的步长设定 7-4 7.1.5 基本访问控制列表 7-4 7.1.6 高级访问控制列表 7-4 7.1.7 基于接口的访问控制列表 7-8 7.1.8 ACL对分片报文的支持 7-8 7.1.9 ACL生效时间段 7-9 7.2 配置访问控制列表 7-9 7.2.1 建立配置访问控制列表的任务 7-9 7.2.2 创建ACL生效时间段 7-10 7.2.3 配置ACL描述信息 7-11 7.2.4 配置基本访问控制列表 7-11 7.2.5 配置高级访问控制列表 7-11 7.2.6 配置基于接口的访问控制列表 7-12 7.2.7 配置ACL的步长 7-12 7.2.8 检查配置结果 7-12 7.3 维护访问控制列表 7-13 7.4 ACL基本配置举例 7-13 访问控制列表（Access Control List, ACL）是网络设备如路由器、交换机等用来过滤网络流量的一种功能，通过定义一系列规则来允许或拒绝特定的数据包。在H3C的VRP平台上，ACL配置对于网络管理员来说至关重要，因为它可以实现对网络资源的精细化管理，提升网络安全性和效率。 7.1 访问控制列表简介 访问控制列表是基于IP地址、端口号、协议类型等因素对数据包进行过滤的规则集合。它们被用于决定哪些流量可以通过网络设备，哪些被阻止。ACL不仅可以用于安全目的，例如防止未授权访问，还可以用于流量整形、带宽管理等。 7.1.1 访问控制列表概述 ACL由一系列条目组成，每个条目包含一个条件，比如源IP地址、目标IP地址、协议类型等。当数据包经过网络设备时，会逐条与ACL中的规则进行匹配。如果匹配成功，数据包将根据规则的结果被允许通过或被拒绝。 7.1.2 访问控制列表的分类 H3C的VRP支持以下类型的ACL： - 基本访问控制列表：基于IP地址过滤，通常用于控制TCP和UDP协议。 - 高级访问控制列表：除了IP地址外，还可以基于端口号、协议类型等进行更细致的过滤。 - 基于接口的访问控制列表：应用于特定的接口，只对通过该接口的数据包进行过滤。 7.1.3 访问控制列表的匹配顺序 ACL的匹配遵循“先匹配先处理”的原则，即从第一条规则开始，一旦有数据包匹配到某一条规则，就不再继续匹配后续的规则。 7.1.4 访问控制列表的步长设定 步长设定允许用户自定义每条规则之间的编号间隔，以优化规则管理。 7.1.5-7.1.7 基本、高级和基于接口的ACL配置方法 这些章节详细介绍了如何创建和配置这三种类型的ACL，包括如何指定源和目标地址、端口号、协议类型以及接口。 7.1.8 ACL对分片报文的支持 ACL可以应用于分片报文，即可以基于原始IP包的分片进行过滤。 7.1.9 ACL生效时间段 ACL可以设置生效的时间段，这样可以按需控制ACL规则的执行，例如工作日和非工作日的策略不同。 7.2 配置访问控制列表 这部分内容包括了建立配置任务、创建生效时间段、配置描述信息、创建不同类型的ACL（基本、高级、基于接口）以及设置步长和检查配置结果的具体步骤。 7.3 维护访问控制列表 维护ACL涉及监控和调整已配置的规则，确保网络策略的正确实施。 7.4 ACL基本配置举例 通过实例演示，帮助用户理解和应用所学的ACL配置知识。 ACL配置是网络管理中的关键环节，熟练掌握各种类型的ACL及其配置方法，能够帮助网络管理员更有效地控制网络流量，保障网络服务的安全和稳定性。在H3C的VRP平台上，理解并灵活运用ACL，可以极大地提高网络管理的效率和精确度。