舉例：

• 例1：在流策略中應用ACL，使設備對192.168.1.0/24網段的報文進行過濾，拒絕192.168.1.2和192.168.1.3主機地址的報文通過，允許192.168.1.0/24網段的其他地址的報文通過。

  流策略的ACL默認動作為permit，該例屬于“deny少部分報文，permit大部分報文”的情況，所以只需配置rule deny xxx。

  #
  acl number 2000
  rule 5 deny source 192.168.1.2 0
  rule 10 deny source 192.168.1.3 0
  #

• 例2：在流策略中應用ACL，使設備對192.168.1.0/24網段的報文進行過濾，允許192.168.1.2和192.168.1.3主機地址的報文通過，拒絕192.168.1.0/24網段的其他地址的報文通過。

  流策略的ACL默認動作為permit，該例屬于“permit少部分報文，deny大部分報文”的情況，所以需先配置rule permit xxx，再配置rule deny xxxx。

  #
  acl number 2000
  rule 5 permit source 192.168.1.2 0
  rule 10 permit source 192.168.1.3 0
  rule 15 deny source 192.168.1.0 0.0.0.255
  #

• 例3：在Telnet中應用ACL，僅允許管理員主機（IP地址為172.16.105.2）能夠Telnet登錄設備，其他用戶不允許Telnet登錄。

  Telnet的ACL默認動作為deny，該例屬于“permit少部分報文，deny大部分報文”的情況，所以只需配置rule permit xxx。

  #
  acl number 2000
  rule 5 permit source 172.16.105.2 0
  # ???

• 例4：在Telnet中應用ACL，不允許某兩臺主機（IP地址為172.16.105.3和172.16.105.4）Telnet登錄設備，其他用戶均允許Telnet登錄。

  Telnet的ACL默認動作為deny，該例屬于“deny少部分報文，permit大部分報文”的情況，所以需先配置rule deny xxx，再配置rule permit。

  #
  acl number 2000
  rule 5 deny source 172.16.105.3 0
  rule 10 deny source 172.16.105.4 0
  rule 15 permit
  # ???

• 例5：在FTP中應用ACL，不允許用戶在周六的00:00～8:00期間訪問FTP服務器，允許用戶在其他任意時間訪問FTP服務器。

  FTP的ACL默認動作為deny，該例屬于“deny少部分報文，permit大部分報文”的情況，所以需先配置rule deny xxx，再配置rule permit xxxx。

  #
  time-range t1 00:00 to 08:00 Sat
  time-range t2 00:00 to 23:59 daily
  #
  acl number 2000
  rule 5 deny time-range t1
  rule 10 permit time-range t2
  #

6、ACL常用的匹配項?

設備支持的ACL匹配項種類非常豐富，其中最常用的匹配項包括以下幾種。

生效時間段

格式：time-range?time-name

所有ACL均支持根據生效時間段過濾報文。關于生效時間段的詳細介紹，請參見ACL的生效時間段。

IP承載的協議類型

格式：protocol-number?|?icmp?|?tcp?|?udp?|?gre?|?igmp?|?ip?|?ipinip?|?ospf

高級ACL支持基于協議類型過濾報文。常用的協議類型包括：ICMP（協議號1）、TCP（協議號6）、UDP（協議號17）、GRE（協議號47）、IGMP（協議號2）、IP（指任何IP層協議）、IPinIP（協議號4）、OSPF（協議號89）。協議號的取值可以是1～255。

例如，當設備某個接口下的用戶存在大量的攻擊者時，如果希望能夠禁止這個接口下的所有用戶接入網絡，則可以通過指定協議類型為IP來屏蔽這些用戶的IP流量來達到目的。配置如下：

rule deny ip //表示拒絕IP報文通過

再如，設備上打開透明防火墻功能后，在缺省情況下，透明防火墻會在域間丟棄所有入域間的報文，包括業務報文和協議報文。如果希望像OSPF這樣的動態路由協議報文能正常通過防火墻，保證路由互通，這時，通過指定協議類型為OSPF即可解決問題。

rule permit ospf? //表示允許OSPF報文通過

源/目的IP地址及其通配符掩碼

源IP地址及其通配符掩碼格式：source?{?source-address source-wildcard?|?any?}

目的IP地址及其通配符掩碼格式：

destination?{?destination-address destination-wildcard?|?any?}

基本ACL支持根據源IP地址過濾報文，高級ACL不僅支持源IP地址，還支持根據目的IP地址過濾報文。

將源/目的IP地址定義為規則匹配項時，需要在源/目的IP地址字段后面同時指定通配符掩碼，用來與源/目的IP地址字段共同確定一個地址范圍。

IP地址通配符掩碼與IP地址的反向子網掩碼類似，也是一個32比特位的數字字符串，用于指示IP地址中的哪些位將被檢查。各比特位中，“0”表示“檢查相應的位”，“1”表示“不檢查相應的位”，概括為一句話就是“檢查0，忽略1”。但與IP地址子網掩碼不同的是，子網掩碼中的“0”和“1”要求必須連續，而通配符掩碼中的“0”和“1”可以不連續。

通配符掩碼可以為0，相當于0.0.0.0，表示源/目的地址為主機地址；也可以為255.255.255.255，表示任意IP地址，相當于指定any參數。

舉一個IP地址通配符掩碼的示例，當希望來自192.168.1.0/24網段的所有IP報文都能夠通過，可以配置如下規則：

rule 5 permit ip source 192.168.1.0 0.0.0.255

規則中的通配符掩碼為0.0.0.255，表示只需檢查IP地址的前三組二進制八位數對應的比特位。因此，如果報文源IP地址的前24個比特位與參照地址的前24個比特位（192.168.1）相同，即報文的源IP地址是192.168.1.0/24網段的地址，則允許該報文通過。下表 展示了該例的地址范圍計算過程。

更多的IP地址與通配符掩碼共同確定的地址范圍示例，詳見下表。

源/目的MAC地址及其通配符掩碼

源MAC地址及其通配符掩碼格式：source-mac?source-mac-address?[?source-mac-mask?]

目的地址及其通配符掩碼格式：destination-mac?dest-mac-address?[?dest-mac-mask?]

僅二層ACL支持基于源/目的MAC地址過濾報文。

將源/目的MAC地址定義為規則匹配項時，可以在源/目的MAC地址字段后面同時指定通配符掩碼，用來與源/目的MAC地址字段共同確定一個地址范圍。

MAC地址通配符掩碼的格式與MAC地址相同，采用十六進制數表示，共六個字節（48位），用于指示MAC地址中的哪些位將被檢查。與IP地址通配符掩碼不同的是，MAC地址通配符掩碼各比特位中，1表示“檢查相應的位”，0表示“不檢查相應的位”。如果不指定通配符掩碼，則默認掩碼為ffff-ffff-ffff，表示檢查MAC地址的每一位。

MAC地址與通配符掩碼共同確定的地址范圍示例，如表所示。

VLAN編號及其掩碼

外層VLAN及其掩碼格式：vlan-id?vlan-id?[?vlan-id-mask?]

內層VLAN及其掩碼格式：cvlan-id?cvlan-id?[?cvlan-id-mask?]

二層ACL支持基于外層VLAN或內層VLAN編號過濾報文。

將VLAN編號定義為規則匹配項時，可以在VLAN編號字段后面同時指定VLAN掩碼，用來與VLAN編號字段共同確定一個VLAN范圍。

VLAN掩碼的格式是十六進制形式，取值范圍是0x0～0xFFF。如果不指定VLAN掩碼，則默認掩碼為0xFFF，表示檢查VLAN編號的每一位。

VLAN編號與掩碼共同確定的VLAN范圍示例，如表所示。

TCP/UDP端口號

源端口號格式：source-port?{?eq?port?|?gt?port?|?lt?port?|?range?port-start?port-end?}

目的端口號格式：destination-port?{?eq?port?|?gt?port?|?lt?port?|?range?port-start?port-end?}

在高級ACL中，當協議類型指定為TCP或UDP時，設備支持基于TCP/UDP的源/目的端口號過濾報文。

其中，TCP/UDP端口號的比較符含義如下：

• eq?port：指定等于源/目的端口。

• gt?port：指定大于源/目的端口。

• lt?port：指定小于源/目的端口。

• range?port-start?port-end：指定源/目的端口的范圍。port-start是端口范圍的起始，port-end是端口范圍的結束。

TCP/UDP端口號可以使用數字表示，也可以用字符串（助記符）表示。例如，rule deny tcp destination-port eq 80，可以用rule deny tcp destination-port eq www替代。

常見TCP和UDP端口號及其對應的服務名稱如下表所示。

常見TCP和UDP端口號及其對應的服務名稱如下表所示。

TCP標志信息

格式：tcp-flag?{?ack?|?established?|?fin?|?psh?|?rst?|?syn?|?urg?}*

在高級ACL中，當協議類型指定為TCP時，設備支持基于TCP標志信息過濾報文。

TCP報文頭有6個標志位：

• URG(100000)：標識緊急指針有效

• ACK(010000)：標識確認序號有效

• PSH(001000)：標識接收方應該盡快將這個報文段上交給應用層

• RST(000100)：標識重建連接

• SYN(000010)：同步序號，用來發起一個連接

• FIN(000001)：標識發送方完成發送任務

TCP標志信息中的established，表示標志位為ACK(010000)或RST(000100)。

指定tcp-flag的ACL規則可以用來實現單向訪問控制。假設，要求192.168.1.0/24網段用戶可以主動訪問192.168.2.0/24網段用戶，但反過來192.168.2.0/24網段用戶不能主動訪問192.168.1.0/24。可通過在設備上連接192.168.2.0/24網段的接口入方向上，應用ACL規則來實現該需求。

由TCP建立連接和關閉連接的過程可知，只有在TCP中間連接過程的報文才會ACK=1或者RST=1。根據這個特點，配置如下兩種ACL規則，允許TCP中間連接過程的報文通過，拒絕該網段的其他TCP報文通過，就可以限制192.168.2.0/24網段主動發起的TCP連接。

• 類型一：配置指定ack和rst參數的ACL規則

  rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack? //允許ACK=1的TCP報文通過???????
  rule 10 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag rst?? //允許RST=1的TCP報文通過
  rule 15 deny tcp source 192.168.2.0 0.0.0.255? //拒絕該網段的其他TCP報文通過 ????

• 類型二：配置指定established參數的ACL規則

  rule permit tcp source 192.168.2.0 0.0.0.255 tcp-flag established? // established表示ACK=1或者RST=1，表示允許TCP中間連接過程的報文通過
  rule deny tcp source 192.168.2.0 0.0.0.255???? //拒絕該網段的其他TCP報文通過 ???

IP分片信息

格式：none-first-fragment

基本ACL和高級ACL支持基于IP分片信息過濾報文。

IP分片除了首片報文外，還有后續分片報文，又叫做非首片分片報文。僅首片分片報文攜帶四層信息（如TCP/UDP端口號等），后續分片報文均不攜帶。網絡設備收到分片報文后，會判斷其是否是最后一個分片報文。如果不是，則為其分配內存空間，以便于最后一個分片報文到達后完成重組。黑客可以利用這一點，向接收方設備發起分片報文攻擊，始終不向接收方發送最后一個分片報文，使得接收方的內存得不到及時釋放（接收方會啟動一個分片重組的定時器，在定時器超時前如果無法完成重組，將向發送方發送ICMP重組超時差錯報文；如果定時器超時后仍未完成重組，則丟棄已存儲的分片報文）。在分片報文發送數量很多并且發送速度很快的情況下，接收方的內存很容易被占滿，從而導致接收方沒有足夠的內存資源處理其他正常的業務。

為了解決這個問題，可以配置指定none-first-fragment匹配項的ACL規則來阻塞非首片分片報文，從而達到防范分片報文攻擊的目的。

針對非分片報文、首片分片報文、非首片分片報文這三類報文，ACL的處理方式如表所示。

例如，ACL 3012中存在以下規則：

#                                    
acl number 3012                                                                  rule 5 deny tcp destination 192.168.2.2 0 none-first-fragment                   rule 10 permit tcp destination 192.168.2.2 0 destination-port eq www            rule 15 deny ip                                                                 
#  

• 該報文是非分片報文或首片分片報文時：如果該報文的目的端口號是80（www對應的端口號是80），則報文與rule 10匹配，報文被允許通過；如果該報文的目的端口號不是80，則報文與rule 15匹配，報文被拒絕通過。

• 該報文是非首片分片報文時：該報文與rule 5匹配，報文被拒絕通過。

7、ACL的生效時間段

產生背景

ACL定義了豐富的匹配項，可以滿足大部分的報文過濾需求。但需求是不斷變化發展的，新的需求總是不斷涌現。例如，某公司要求，在上班時間只允許員工瀏覽與工作相關的幾個網站，下班或周末時間才可以訪問其他互聯網網站；再如，在每天20:00～22:00的網絡流量的高峰期，為防止P2P、下載類業務占用大量帶寬對其他數據業務的正常使用造成影響，需要對P2P、下載類業務的帶寬進行限制。

基于時間的ACL過濾就是用來解決上述問題的。管理員可以根據網絡訪問行為的要求和網絡的擁塞情況，配置一個或多個ACL生效時間段，然后在ACL規則中引用該時間段，從而實現在不同的時間段設置不同的策略，達到網絡優化的目的。

生效時間段模式

在ACL規則中引用的生效時間段存在兩種模式：

• 第一種模式——周期時間段：以星期為參數來定義時間范圍，表示規則以一周為周期（如每周一的8至12點）循環生效。

  格式：time-range?time-name?start-time?to?end-time?{?days?} &<1-7>

  • time-name：時間段名稱，以英文字母開頭的字符串。
  • start-time?to?end-time：開始時間和結束時間。格式為[小時:分鐘] to [小時:分鐘]。
  • days：有多種表達方式。

    • Mon、Tue、Wed、Thu、Fri、Sat、Sun中的一個或者幾個的組合，也可以用數字表達，0表示星期日，1表示星期一，……6表示星期六。

    • working-day：從星期一到星期五，五天。

    • daily：包括一周七天。

    • off-day：包括星期六和星期日，兩天。

• 第二種模式——絕對時間段：從某年某月某日的某一時間開始，到某年某月某日的某一時間結束，表示規則在這段時間范圍內生效。

  格式：time-range?time-name?from?time1?date1?[?to?time2?date2?]

  • time-name：時間段名稱，以英文字母開頭的字符串。
  • time1/time2：格式為[小時:分鐘]。
  • date1/date2：格式為[YYYY/MM/DD]，表示年/月/日。

可以使用同一名稱（time-name）配置內容不同的多條時間段，配置的各周期時間段之間以及各絕對時間段之間的交集將成為最終生效的時間范圍。

例如，在ACL 2001中引用了時間段“test”，“test”包含了三個生效時間段：

#   
time-range test 8:00 to 18:00 working-day  
time-range test 14:00 to 18:00 off-day  
time-range test from 00:00 2014/01/01 to 23:59 2014/12/31  
#   
acl number 2001                                                                  rule 5 permit time-range test 

• 第一個時間段，表示在周一到周五每天8:00到18:00生效，這是一個周期時間段。
• 第二個時間段，表示在周六、周日下午14:00到18:00生效，這是一個周期時間段。
• 第三個時間段，表示從2014年1月1日00:00起到2014年12月31日23:59生效，這是一個絕對時間段。

時間段“test”最終描述的時間范圍為：2014年的周一到周五每天8:00到18:00以及周六和周日下午14:00到18:00。

二、ACL配置

1.1示例拓撲圖

配置要求：vlan2和vlan3在交換機內隔離，僅允許192.168.0.2訪問server網段10.10.1.1

1.2交換機配置?

1、交換機創建vlan 2 3 ，配置vlanif，給接口設置vlan

sys
vlan batch 2 to 3
int vlanif 2
ip address 192.168.0.1 255.255.255.0
int vlanif 3
ip address 192.168.1.1 255.255.255 0int g0/0/1
port link-type access
port default vlan 2    #僅允許vlan2 兩個vlan不互通int g0/0/2
port link-type access
port default vlan 3    #僅允許vlan3

2、交換機trunk模式連接路由器

int g0/0/24
port link-type trunk
quit
int g0/0/24
port trunk allow-pass vlan 2 3

1.3路由器配置

1、路由器配置ACL基本配置2000，給網段192.168.0.0/24設置permit,給192.168.1.0/24設置deny

acl 2000
rule 5 permit source 192.168.0.0 0.0.0.255   #規則5 放行192.168.0.0/24
rule 10 deny source 192.168.1.0 0.0.0.255   #規則10 拒絕192.168.1.0/24
rule 30 permit source 10.10.1.0 0.0.0.255   #規則30 放行10.10.1.0/24
dis this#
acl number 2000
rule 5 permit source 192.168.0.0 0.0.0.255   
rule 10 deny source 192.168.1.0 0.0.0.255   
rule 30 permit source 10.10.1.0 0.0.0.255 
#return

?2、配置g0/0/0的子接口連接路由器，配置g0/0/1的acl表

#配置子接口
int g0/0/0.2   #配置子接口1 劃分 vlan 2
dot1q termination vid 2
ip address 192.168.0.1 255.255.255.0
int g0/0/0.3   #配置子接口2 劃分 vlan 3
dot1q termination vid 3
ip address 192.168.1.1 255.255.255.0#配置g0/0/1的acl
int g0/0/1
traffic-filter inbound ac 2000
ip address 10.10.1.1 255.255.255.0
dis this

1.4結果驗證

路由器ACL表中有10.10.1.0有流量通過，并且只有192.168.0.2主機可以訪問目標網段（注：此時10.10.1.2主機無法直接ping，概率是環境原因）

?三、總結

ACL（訪問控制列表）是網絡安全的重要組成部分，用于控制數據包的流入流出。以下是其配置核心點的總結：

1. 分類：標準 ACL（基于源 IP 過濾，編號 1-99）和擴展 ACL（基于源 / 目的 IP、端口、協議過濾，編號 100-199）。

2. 配置步驟：

   • 創建 ACL：acl number [id] [match-order config|auto]
   • 添加規則：rule [permit|deny] [source/destination/port/protocol]
   • 應用到接口：traffic-filter [inbound|outbound] acl [id]

3. 規則順序：按配置順序匹配，默認隱含deny any結尾，需注意規則優先級。

4. 注意事項：避免冗余規則，謹慎使用permit any，定期審計優化。

5. 驗證命令：display acl [id]查看規則，display traffic-filter applied-record檢查應用情況。

合理配置 ACL 可有效保護網絡資源，需結合網絡拓撲和安全需求制定策略。

---------------E-----------N-------------D---------------?