S000 0037 0101C_中低端交换机以太网安全技术ACL部分胶片(中文版).ppt

中低端交换机以太网安全技术以太网访问控制列表 华为网络技术认证培训中心 课程内容 以太网访问列表 主要作用:在整个网络中分布实施接入安全性 访问列表 对到达端口的数据包进行分类，并打上不同的动作标记 访问列表可作用于交换机的所有端口 访问列表的主要用途： 包过滤 镜像 流量限制 流量统计 分配队列优先级 流分类 通常选择数据包的包头信息作为流分类项 2层流分类项 以太网帧承载的数据类型 源/目的MAC地址 以太网封装格式 Vlan ID 入/出端口 3/4层流分类项 协议类型 源/目的IP地址 源/目的端口号 DSCP IP 数据包过滤 访问控制列表的构成 Rule（访问控制列表的子规则） Time-range（时间段机制） ACL=rules [+ time-range] （访问控制列表由一系列规则组成，有必要时 会和时间段结合） 课程内容 时间段的相关配置 在系统视图下，配置时间段: time-range time-name [ start-time to end-time ] [ days-of-the-week ] [ from start- date] [ to end-date ] 在系统视图下，删除时间段: undo time-range time-name [ start-time to end-time ] [ days-of-the-week ] [ from start- date] [ to end-date ] 定义访问控制列表 在系统视图下，定义ACL并进入访问控制列表视图: acl { number acl-number | name acl-name basic | advanced | interface | link} [ match-order { config | auto } ] 在系统视图下，删除ACL: undo acl { number acl-number | name acl-name | all } 基本访问控制列表的规则配置 在基本访问控制列表视图下，配置相应的规则 rule [ rule-id ] { permit | deny } [ source source-addr source-wildcard | any ] [ fragment ] [ time-range time-range-name ] 在基本访问控制列表视图下，删除一条子规则 undo rule rule-id [ source ] [ fragment ] [ time-range ] 高级访问控制列表的规则配置 在高级访问控制列表视图下，配置相应的规则 rule [ rule-id ] { permit | deny } protocol [ source source-addr source-wildcard | any ] [ destination dest-addr dest-mask | any ] [ soure-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type icmp-type icmp-code ] [ established ] [ precedence precedence ] [ tos tos ] | [ dscp dscp ] [ fragment ] [ time-range time-range-name ] 在高级访问控制列表视图下，删除一条子规则 undo rule rule-id [ source ] [ destination ] [ soure-port ] [ destination-port ] [ precedence ] [ tos ] | [ dscp ] [ fragment ] [ time-range ] 端口操作符及语法 TCP/UDP协议支持的端口操作符及语法 接口访问控制列表的规则配置 在接口访问控制列表视图下，配置相应的规则 rule [ rule-id ] { permit | deny } [ interface { interface-name | interface-type interface-num | any } ] [ time-range time-range-name ] 在接口访问控制列表视图下，删除一条子规则 undo rule rule-id 二层访问控制列表的规则配置 在二层访问控制列表视图下，配置相应的规则 rule [ rule-id ] { permit | deny } [ protocol ] [ cos vlan-pri