当前位置：首页 > news >正文

ACL 访问控制列表配置命令2

news 2025/7/6 13:13:50

配置二层 ACL

二层 ACL 根据以太网帧头信息来定义规则，如源 MAC（Media Access Control）地址、目的 MAC 地址、VLAN ID、二层协议类型等，对报文进行过滤。

在 ACL 4001 中配置规则，允许目的 MAC 地址是 0000-0000-0001、源 MAC 地址是 0000-0000-0002 的 ARP 报文（二层协议类型值为 0x0806）通过。

[HUAWEI] acl 4001
[HUAWEI-acl-L2-4001] rule permit destination-mac 0000-0000-0001 source-mac 0000-0000-0002 l2-protocol 0x0806

在 ACL 4001 中配置规则，拒绝 PPPoE 报文（二层协议类型值为 0x8863）通过。

[HUAWEI] acl 4001
[HUAWEI-acl-L2-4001] rule deny l2-protocol 0x8863

在名称为 deny-vlan10-mac 的二层 ACL 中配置规则，拒绝来自 VLAN10 且源 MAC 地址在 00e0-fc01-0000～00e0-fc01-ffff 范围内的报文通过。

[HUAWEI] acl name deny-vlan10-mac link
[HUAWEI-acl-L2-deny-vlan10-mac] rule deny vlan-id 10 source-mac 00e0-fc01-0000 ffff-ffff-0000

配置方式

华为

// 创建ACL
[Huawei]acl number 2001
// 进入ACL
[Huawei]acl 2001
// rule 规则序号 允许/拒绝 源IP 反掩码 
[Huawei-acl-basic-2001]rule 5 deny source 10.0.1.0 10.0.2.0 
// 扩展ACL rule 规则序号 允许/拒绝 协议 指定源/目的地址...
[Huawei-acl-adv-3001]rule 10 permit icmp source 10.0.1.0 0.0.0.255 destination 1
0.0.2.0 0.0.0.255 
// 应用在接口上
ip access-group <ACL编号> {in | out}

MAC ACL

基于 MAC 地址的访问控制列表（MAC ACL）是一种网络安全机制，用于基于设备的物理地址（MAC 地址）对网络流量进行过滤和控制。它可以在二层以太网交换机上实现。

工作原理：

MAC 地址的识别：每个网络设备都有唯一的 MAC 地址，用于在局域网中唯一标识设备。MAC ACL 使用这些 MAC 地址来识别和匹配网络流量。
ACL 规则定义：管理员可以创建 MAC ACL 规则，其中每个规则由一个允许或拒绝的动作以及一个或多个源和目标 MAC 地址组成。规则可以基于单个 MAC 地址、MAC 地址范围或 MAC 地址的通配符匹配。
ACL 应用位置：MAC ACL 通常应用于交换机的接口或 VLAN 上。通过将 ACL 应用于接口或 VLAN，可以控制通过该接口或 VLAN 的流量。
匹配和处理：当数据包通过交换机的接口或 VLAN 时，交换机会检查数据包的源和目标 MAC 地址，并与已配置的 MAC ACL 规则进行匹配。如果匹配成功，将根据规则中定义的动作（允许或拒绝）来处理数据包。如果没有匹配到任何规则，默认情况下通常会执行默认操作（允许或拒绝）。
数据包处理：根据匹配结果，交换机可以采取以下操作：
1. 允许数据包通过：如果数据包与允许规则匹配，交换机将允许数据包通过，继续转发到目标设备。
2. 拒绝数据包：如果数据包与拒绝规则匹配，交换机将丢弃该数据包，不进行转发。
3. 默认操作：如果数据包未匹配到任何规则，则执行预先配置的默认操作。默认操作可以是允许或拒绝。

优点：

它提供了一种额外的安全层，可在二层网络中对特定 MAC 地址的流量进行细粒度控制。
它可以用于限制特定设备之间的通信，增加网络的安全性。
它对于防范 MAC 地址欺骗和 ARP 欺骗等攻击具有一定的防御作用。

DCN 神州数码

mac-access-list extended name #创建mac地址访问控制列表，表名为“name”
deny host-source-mac 00-ff-51-be-ad-32 host-destination-mac 00-ff-51-be-ad-32 #拒绝源mac地址为”00-ff-51-be-ad-32的主机访问目的地址为“00-ff-51-be-ad-32”的主机
permit any-source-mac any-destination-mac #允许所有源主机访问目的主机
#在接口上启用
Interface Ethernet1/0/10
mac access-group name in

时间 ACL

基于时间的 ACL 功能类似于扩展 ACL，但它允许根据时间执行访问控制。要使用基于时间的 ACL，您需要创建一个时间范围，指定一周和一天内的时段。您可以为时间范围命名，然后对相应功能应用此范围。时间限制会应用到该功能本身。基于时间的 ACL 具有许多优点，例如：

允许网络管理员控制日志消息。ACL 条目可在每天定时记录流量，而不是一直记录流量。因此，管理员无需分析高峰时段产生的大量日志就可轻松地拒绝访问。

华为

创建时间段 working-time（周一到周五每天 8:00 到 18:00），并在名称为 work-acl 的 ACL 中配置规则，在 working-time 限定的时间范围内，拒绝源 IP 地址是 192.168.1.0/24 网段地址的报文通过。

[HUAWEI] time-range working-time 8:00 to 18:00 working-day
[HUAWEI] acl name work-acl basic
[HUAWEI-acl-basic-work-acl] rule deny source 192.168.1.0 0.0.0.255 time-range working-time

DCN 神州数码

time-range week // 创建时间acl
 periodic weekdays 09:00 to 17:00
ip access-list extended aclt
 permit ip 20.1.41.0 0.0.0.255 20.1.0.0 0.0.255.255 // 放行内网业务
 deny ip 20.1.41.0 0.0.0.255 any time-range week // 根据时间acl进行匹配
int vlan 41
vacl ip access-group aclt in vlan 50 // 入方向调用策略

Vlan ACL

VLAN ACL 基于 VLAN 的 ACL

使用 VLAN 与 VLAN 之间的 ACL，相同的 VLAN 也是可以过滤，只要流量进入或离开指定的 VLAN 都会被过滤，可以同时控制二层与三层流量。

VLAN ACL 只是 VLAN 调用了 ACL 规则，in 或 out 的 VLAN 流量都会被检测，无论是通过二层转发还是三层转发。VLAN ACL 是不能定义方向的，

虽然 VLNA 调用 ACL 规则会有 in 或 out 选项，但只针对 VLAN 源地址和目标地址而言。VLAN 调用 ACL 是不能实现 vlan 10 ping 不通 vlan 20，

但 vlan 20 ping 通 vlan10 类似的功能，除非交换机支持自反 ACL 规则。

DCN 神州数码

ip access-list extended aclt
 permit ip 20.1.41.0 0.0.0.255 20.1.0.0 0.0.255.255 // 放行内网业务
 deny ip 20.1.41.0 0.0.0.255 any time-range week // 根据时间acl进行匹配
int vlan 41
vacl ip access-group aclt in vlan 50 // vlan入方向调用策略

查看全文

http://www.dtcms.com/a/99340.html