下面详细介绍下H3C路由器用ACL实现包过滤的具体配置。 首先第一步在路由器上开启防火墙功能 [sysname]firewall enable 第二步设置防火墙的默认过滤方式:系统默认的过滤方式是permit [sysname]frewall default{permit|deny} 接着配置ACL 基本ACL的配置如下 [sysname]acl number aclnumber/配置ACL序号 aclnumber取值范围2000-2999/ [sysname-acl-basic-2000]rule [rule-id]{deny|permit}[fragment|logging|source{sour-addr sour-wildcard|any}|time range [time]/制定ACL规则,指定动作时permit或者deny 高级ACL配置如下 [sysname]acl number aclnumber/配置ACL序号,aclnumber取值范围3000-3999 [sysname-acl-adv-3000]rule[ruleid]{deny|permit}protocol[destination{dest-addr dest-wildard|any } | destination-port operator port1 [ port2 ] established | fragment | source { sour-addr sour-wildcard | any } | source-port operator port1 [ port2 ] | time-range time-name] /定义规则,需要配置规则来匹配源IP地址,目的IP地址,IP承载的协议类型,协议端口号等信息。指定动作是permit或者deny. 二层ACL配置如下 [sysname]acl number aclnumber/设置ACL序号,aclnumber取值范围4000-4999 [sysname-acl-ethernetframe-3000] rule [ rule-id ] { deny | permit } [ cos vlan-pri | dest-mac dest-addr dest-mask | lsap lsap-code lsap-wildcard | source-mac sour-addr source-mask | time-range time-name]/定义规则,需要配置规则来匹配源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息,指定动作是deny或者permit. 好了啦!既然ACL都指定好了,下面进行最后一步,将配置好的ACL应用于指定的接口上。将ACL应用于接口上才能实现ACL包过滤,指明在接口上应用的方向是inbound还是outbound. 配置如下: [sysname-Serial1/0]firewall packet-filter{aclnumber|name acl-name}{inbound|outbound} 配置ACL规则的匹配顺序。 ACL有两种匹配顺序。 匹配顺序指ACL中规则的优先级。 配置顺序(config):按照用户配置规则的先后顺序匹配规则。 自动排序(auto):按照深度优先的顺序进行匹配,即地址范围小的规则被优先进行匹配。 配置ACL的匹配顺序: [sysname]acl number acl-number [match-order{auto|config}] 最后介绍H3C路由器设备的几个常用的ACL包过滤显示与调试命令 查看防火墙统计信息 display firewall-statistics{all|interface interface-type interfae-number} 查看以太网帧过滤情况的信息 display firewall ethernet-frame-filter{al|dlsw|interface interface-type interface-number} 清除防火墙的统计信息 reset firewall-statistics{all|interfae interface-type interface-number} 显示配置的IPV4 ACL信息display scl{acl-number|all} 清除IPV4 ACL统计信息reset acl counter{acl-number|all} 本文由路由器设置网www.luyouqiwang.net站长整理编辑,转载请注明出处。 (责任编辑:jida2010) |