01-07 ACL配置 Page 16 of 18
议类型,有不同的参数组合,TCP和UDP有 [ source-port operator port-number ] [ destination-port operator port-number ] 可选项,其它协议类型没有。 ----结束
7.2.6 配置ACL的步长
请在路由器上进行以下配置。
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令acl [ number ] acl-number [ match-order { auto | config } ],进入ACL视图。 步骤 3 执行命令step step,配置ACL步长。
----结束
调整ACL的配置时,请注意以下情况。
· ·
undo step命令把步长改为默认设定,同时对规则编号进行重新排列。 ACL规则步长(step-value)的默认值为5。
7.2.7 使能ACL统计
请在路由器上进行以下配置。
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令acl statistic enable,使能ACL统计功能。
----结束
7.2.8 检查配置结果
在完成上述配置后,在任一视图下执行下面的display命令,查看ACL的运行信息,检查 配置的效果。运行信息的详细解释请参考《Quidway NetEngine20/20E 系列路由器 命令 参考》。 操作
显示配置的访问控制列表规则 显示时间段 显示ACL统计计数
显
示信息。
命令
display acl { acl-number | all } display time-range { time-name | all } display acl statistic [ acl- number ]
只有当创建的ACL使用在防火墙、QoS、NAT和策略路由等特性中时,display acl statistic命令才会有
在配置成功时,执行上面的命令,应能得到如下的结果。
· · ·
能够查看到ACL的编号、规则数量、步长和规则的具体内容 能够查看当前时间段的配置和状态
ACL匹配成功的报文字节数
7.3 维护访问控制列表
01-07 ACL配置 Page 17 of 18
清除统计信息后,以前的统计信息将无法恢复,务必仔细确认。
在确认需要清除ACL的运行信息后,请在用户视图下执行下面的reset命令。 操作
清除访问规则计数器
命令
reset acl counter { acl-number | all } reset acl statistic [ acl-number ]
清除ACL统计计数器
7.4 ACL基本配置举例
组网需求
如图7-1所示,某公司通过一台路由器的接口GE1/0/0访问Internet,路由器与内部网通过 以太网接口GE2/0/0连接。各设备间均有可达路由。公司内部对外提供WWW、FTP和 Telnet服务,公司内部子网为129.38.1.0,其中,内部FTP服务器地址为129.38.1.1,内部 Telnet服务器地址为129.38.1.2,内部WWW服务器地址为129.38.1.3,通过配置路由器, 希望实现以下要求。
· ·
外部网络中只有特定用户可以访问内部服务器 内部网络中只有特定主机和服务器可以访问外部网络
假定外部特定用户的IP地址为202.39.2.3。
图7-1 ACL配置案例组网图
配置思路
配置ACL的思路如下。
· ·
定义ACL编号; 定义ACL的具体规则。
数据准备
完成该举例,需要准备如下数据。
01-07 ACL配置
Page 18 of 18
· · ·
ACL编号
允许通过的源IP地址
允许特定用户访问的目的IP地址
配置步骤
步骤 1 创建编号为3001的访问控制列表。
[Router] acl number 3001
步骤 2 配置ACL规则,允许特定主机访问外部网,允许内部服务器访问外部网。
[Router-acl-adv-3001] rule permit ip source 129.38.1.4 0 [Router-acl-adv-3001] rule permit ip source 129.38.1.1 0 [Router-acl-adv-3001] rule permit ip source 129.38.1.2 0 [Router-acl-adv-3001] rule permit ip source 129.38.1.3 0
步骤 3 配置ACL规则,禁止所有IP包通过。
[Router-acl-adv-3001] rule deny ip [Router-acl-adv-3001] quit
步骤 4 创建编号为3002的访问控制列表。
[Router] acl number 3002
步骤 5 配置ACL规则,允许特定用户从外部网访问内部服务器。
[Router-acl-adv-3002] rule permit tcp source 202.39.2.3 0 destination 129.38.1.1 0 [Router-acl-adv-3002] rule permit tcp source 202.39.2.3 0 destination 129.38.1.2 0 [Router-acl-adv-3002] rule permit tcp source 202.39.2.3 0 destination 129.38.1.3 0
通过上述配置完成了ACL的创建。
----结束
配置文件
#
sysname Router #
acl number 3001
rule 5 permit ip source 129.38.1.4 0 rule 10 permit ip source 129.38.1.1 0 rule 15 permit ip source 129.38.1.2 0 rule 20 permit ip source 129.38.1.3 0 rule 25 deny ip acl number 3002
rule 5 permit tcp source 202.39.2.3 0 destination 129.38.1.1 0 rule 10 permit tcp source 202.39.2.3 0 destination 129.38.1.2 0 rule 15 permit tcp source 202.39.2.3 0 destination 129.38.1.3 0 #
return