rule 概念及题目
我们来全面解析华为/H3C设备中这条完整的高级ACL规则语法,并设计一个综合性实验。
第一部分:详细概念解析
- ACL规则完整语法
rule [id] [permit/deny] [protocol] source [src-ip src-wildcard] [operator src-port] destination [dest-ip dest-wildcard] [operator dest-port]
这是一个完整的高级ACL规则框架,包含了所有可能的匹配条件。
2. 各参数详细说明
[id] (规则编号)
作用:标识规则,决定匹配顺序(从小到大)。
特点:可以手动指定,方便在规则之间插入新规则。如果不指定,系统会自动分配。
[permit/deny] (动作)
permit:允许匹配的数据包通过
deny:拒绝(丢弃)匹配的数据包
这是规则的最终处理结果。
[protocol] (协议类型)
指定要匹配的IP协议类型,常见的有:
tcp:传输控制协议
udp:用户数据报协议
icmp:Internet控制消息协议
ip:任何IP协议(包括tcp、udp、icmp等)
gre:通用路由封装
ospf:开放最短路径优先
source [src-ip src-wildcard] (源地址条件)
src-ip:源IP地址
src-wildcard:通配符掩码
示例:
source 192.168.1.1 0.0.0.0 → 精确匹配主机192.168.1.1
source 192.168.1.0 0.0.0.255 → 匹配192.168.1.0/24网段
source any 或 source 0.0.0.0 255.255.255.255 → 匹配任何源地址
[operator src-port] (源端口条件 - 可选)
仅当protocol为tcp或udp时有效
操作符:
eq:等于 (equal)
gt:大于 (greater than)
lt:小于 (less than)
range:范围
示例:
source-port eq 80 → 源端口等于80
source-port gt 1023 → 源端口大于1023
source-port range 1000 2000 → 源端口在1000-2000范围内
destination [dest-ip dest-wildcard] (目的地址条件)
语法和含义与source相同,只是针对目的地址。
示例:
destination 10.1.1.1 0.0.0.0 → 精确匹配目的主机10.1.1.1
destination 10.1.0.0 0.0.255.255 → 匹配10.1.0.0/16网段
[operator dest-port] (目的端口条件 - 可选)
语法和含义与源端口相同,只是针对目的端口。
常用服务端口:
eq 21 → FTP
eq 22 → SSH
eq 23 → TELNET
eq 80 → HTTP
eq 443 → HTTPS
eq 3389 → RDP
第二部分:综合实验
实验目标
在一家企业网络边界路由器上配置高级ACL,实现精细的访问控制策略。
实验拓扑
[内部网络] = (GE0/0) [路由器 R1] (GE0/1) = [互联网/DMZ]
192.168.10.0/24 192.168.10.1 200.1.1.1
172.16.1.0/24 (DMZ)
内部网络:192.168.10.0/24 - 员工办公网段
DMZ区:172.16.1.0/24 - 服务器区
互联网:200.1.1.0/24 - 模拟外网
服务器配置:
Web服务器:172.16.1.10 (HTTP:80,