Expert扩展ACLs的语句规则 配置标号的Expert扩展ACLs 配置命名的Expert扩展ACLs 访问控制列表(ACLs)是一种基于包过滤的防火墙技术,它可以对接口上的数据包进行过滤,允许其通过或丢弃。 Expert扩展访问控制列表是IP访问列表和MAC访问列表的综合体,可根据数据包的IP地址、MAC地址、使用的协议等设置过滤,根据设定的规则,允许或拒绝数据包通过。 Expert扩展访问控制列表用标号或名字进行标识,可使用的标号是2700~2899。 Expert扩展ACLs的语句规则 Expert扩展访问控制列表由一系列的规则组成,每条规则用一个 permit 或 deny 关键字定义,规则的格式为: [permit|deny] [协议|以太网协议类型] [源IP地址] [源MAC地址] [目的IP地址] [目的MAC地址] [表达式] 1、permit|deny: 必需。permit 定义的是允许通过的规则,deny 定义的是拒绝通过的规则。 2、协议|以太网协议类型: 可选。指定数据包的协议,如ip、icmp、tcp、udp等,或者指定帧的以太网协议类型。 3、源IP地址: 必需。指定数据包源IP地址。有三种格式: any 表示任意地址 host ip-address 表示单一地址 address wildcard 表示一组地址 4、源MAC地址: 必需。指定数据包源MAC地址。有两种格式: any 表示任意地址 host mac-address 表示单一地址 5、目的IP地址: 必需。指定数据包目的IP地址。有三种格式: any 表示任意地址 host ip-address 表示单一地址 address wildcard 表示一组地址 6、目的MAC地址: 必需。指定数据包目的MAC地址。有两种格式: any 表示任意地址 host mac-address 表示单一地址 7、表达式: 可选。指定数据包的用途。当“协议”字段指定了协议后,才能使用表达式来指定端口名称或端口号。 举例: deny tcp host 192.168.1.3 host 00d0.f800.0104 any any 拒绝源IP为192.168.1.3,源MAC地址为00d0.f800.0104,目的地址为任意,使用的协议为TCP的数据包通过。 说明: 在每个Expert扩展ACLs中,最后一条规则隐含为 deny any any any any,它表示拒绝任何数据包通过。 配置标号的Expert扩展ACLs 扩展访问控制列表有两种配置方法:标号的ACLs和命名的ACLs,以下是标号的Expert扩展ACLs配置。 标号的扩展ACLs在全局配置模式中配置; 标号的扩展ACLs由一系列 access-list 语句组成; 属于同一个扩展ACLs的 access-list 语句使用相同的标号。 1、access-list 语句: Ruijie(config)#access-list list-id 规则 list-id是Expert扩展ACLs的标号,取值范围是2700~2899,同一个ACLs中的各语句标号必须相同。 规则就是前面所说的 permit 和 deny 规则。 2、包过滤的配置: 定义的ACLs必须应用在指定的接口上,才能起到包过滤的作用。 Ruijie(config)#interface interface-id Ruijie(config-if)#expert access-group list-id in | out interface命令指定了一个接口。 extert access-group命令指定在接口上应用的Expert访问控制列表,list-id是访问列表的标号,in指定在输入流中进行过滤,out指定在输出流中进行过滤,两者只能指定一个。 说明:在每个接口、每个方向上只能应用一个访问列表。在一个接口的入口和出口方向上可应用不同的访问列表。 使用入口过滤和出口过滤在效果上和效率上都有所不同,应根据具体的应用合适选择。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#access-list 2701 tcp deny host 192.168.5.1 host 0013.2049.8272 any any Ruijie(config)#access-list 2701 permit any any any any Ruijie(config)#interface f0/1 Ruijie(config-if)#expert access-group 2701 in 本例定义了一个Expert扩展访问控制列表,它由3条规则组成: ①拒绝源IP为192.168.5.1、源MAC地址为0013.2049.8272的TCP数据包通过; ②允许所有数据包通过; ③拒绝所有数据包通过。这句是由隐含的规则定义的。 整个配置可以解释为,在 f0/1 接口的输入流中执行包过滤,拒绝来自192.168.5.1、0013.2049.8272的帧通过,其余的都不受限制。 配置命名的Expert扩展ACLs 扩展访问控制列表有两种配置方法:标号的ACLs和命名的ACLs,以下是命名的Expert扩展ACLs配置。 命名的扩展ACLs用编号或名字区分各个访问列表; 命名的扩展ACLs的规则在访问列表配置模式中配置。 1、进入访问列表配置模式: Ruijie(config)#expert access-list extended list-id | list-name Ruijie(config-exp-nacl)# 本命令用于进入Expert扩展访问列表的配置模式。 list-id是Expert扩展ACLs的标号,取值范围是2700~2899。 list-name是Expert扩展ACLs的名字,用字母、数字命名。 list-id和list-name只能指定一个,如果指定的访问列表不存在,则创建它并进入访问列表配置模式。 2、配置访问列表的规则: Ruijie(config-exp-nacl)#permit 规则 Ruijie(config-exp-nacl)#deny 规则 规则形式参照前面的描述。 3、包过滤的配置: 把定义的ACLs应用在指定的接口上。 Ruijie(config)#interface interface-id Ruijie(config-if)#expert access-group list-id | list-name in | out interface命令指定了一个接口。 expert access-group命令指定在接口上应用的访问控制列表,list-id和list-name是访问列表的标号或名字,in指定在输入流中进行过滤,out指定在输出流中进行过滤,两者只能指定一个。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#expert access-list extended exp1 Ruijie(config-exp-nacl)#deny host 192.168.5.1 host 0013.2049.8272 any any Ruijie(config-exp-nacl)#permit any any any any Ruijie(config-exp-nacl)#exit Ruijie(config)#interface f0/1 Ruijie(config-if)#expert access-group exp1 in 本例和前面的例子是一样的,只是采用了命名的方式定义的。