华为3COM 访问控制列表 华为3COM 标准访问控制列表初识 华为3COM 设备中访问控制列表ACL 分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,他是通过使用IP 包中的源 IP 地址进行过滤,使用的访问控制列表号 1 到 99 来创建相应的ACL。 一,标准访问控制列表的格式: 标准访问控制列表是最简单的ACL。他的具体格式如下: acl ACL 号 //进入 ACL 设置界面 rule permit|deny source IP 地址 反向子网掩码 例如:rule deny source 192.168.1.1 0.0.0.0 这句命令是将所有来自 192.168.1.1 地址的数据包丢弃。当然我们也可以用网段来表示,对某个网段进行过滤。命令如下: rule deny source 192.168.1.0 0.0.0.255 //将来自 192.168.1.0/24 的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是 0.0.0.255 呢?这是因为华为设备和 CISCO 一样规定在 ACL 中用反向掩玛表示子网掩码,反向掩码为0.0.0.255 的代表他的子网掩码为255.255.255.0。 二,配置实例: 要想使标准ACL 生效需要我们配置两方面的命令: 1,ACL 自身的配置,即将详细的规则添加到 ACL 中。 2,宣告 ACL,将设置好的ACL 添加到相应的端口中。 网络环境介绍: 我们采用如下图所示的网络结构。路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24。在 172.16.4.0/24 网段中有一台服务器提供 WWW 服务,IP 地址为 172.16.4.13。 实例 1 :禁止 1 7 2 .1 6 .4 .0 /2 4 网段中除 1 7 2 .1 6 .4 .1 3 这台计算机访问 1 7 2 .1 6 .3 .0 /2 4 的计算机。1 7 2 .1 6 .4 .1 3 可以正常访问 1 7 2 .1 6 .3 .0 /2 4 。 路由器配置命令: acl 1 //设置 ACL 1,并进入 ACL 设置模式 rule deny source any //设置 ACL,阻止其他一切 IP 地址进行通讯传输。 int e1 //进入 E1 端口。 firewall packet-filter 1 inbound //将 ACL 1 宣告。 经过设置后 E1 端口就只容许来自 172.16.4.13 这个 IP 地址的数据包传输出去了。来自其他 IP 地址的数据包都无法通过 E1 传输。 小提示: 由于华为 3COM 的设备是默认添加了 permit ANY 的语句在每个 ACL 中,所以上面的rule deny source any这句命令可以必须添加的,否则设置的ACL 将无法生效,所有数据包都会因为结尾的permit 语句而正...
