1、華為3COM訪問控制列表華為3COM標準訪問控制列表初識華為3COM設備中訪問控制列表ACL分很多種，不同場合應用不同種類的ACL。其中最簡單的就是標準訪問控制列表，他是通過使用IP包中的源IP地址進行過濾，使用的訪問控制列表號1到99來創建相應的ACL。    一，標準訪問控制列表的格式：    標準訪問控制列表是最簡單的ACL。他的具體格式如下：    acl ACL號    /進入ACL設置界面    rule permit|deny so

2、urce IP地址 反向子網掩碼    例如：rule deny source 這句命令是將所有來自地址的數據包丟棄。當然我們也可以用網段來表示，對某個網段進行過濾。命令如下：    rule deny source 55    /將來自/24的所有計算機數據包進行過濾丟棄。為什么后頭的子網掩碼表示的是55呢？這是因為華為設備和CISCO一樣規定在ACL中用反向掩瑪表示子網

3、掩碼，反向掩碼為55的代表他的子網掩碼為。    二，配置實例：    要想使標準ACL生效需要我們配置兩方面的命令：    1，ACL自身的配置，即將詳細的規則添加到ACL中。    2，宣告ACL，將設置好的ACL添加到相應的端口中。    網絡環境介紹：1 / 8    我們采用如下圖所示的網絡結構。路由器連接了二個網段，分別為/24,172.16.3

4、.0/24。在/24網段中有一臺服務器提供WWW服務，IP地址為3。    實例1：禁止/24網段中除3這臺計算機訪問/24的計算機。3可以正常訪問/24。    路由器配置命令：    acl 1    /設置ACL 1，并進入ACL設置模式    rule deny source any 

5、60;  /設置ACL，阻止其他一切IP地址進行通訊傳輸。    int e1    /進入E1端口。    firewall packet-filter 1 inbound    /將ACL 1宣告。    經過設置后E1端口就只容許來自3這個IP地址的數據包傳輸出去了。來自其他IP地址的數據包都無法通過E1傳輸。    小提示：    由于華為3COM的

6、設備是默認添加了permit ANY的語句在每個ACL中，所以上面的rule deny source any這句命令可以必須添加的，否則設置的ACL將無法生效，所有數據包都會因為結尾的permit語句而正常轉發出去。另外在路由器連接網絡不多的情況下也可以在E0端口使用firewall packet-filter 1 outbound命令來宣告，宣告結果和上面最后兩句命令效果一樣。    實例2：禁止3這個計算機對/24網段的訪問，而/24中的其他計算機可以正常訪問。    路

7、由器配置命令：    access-list 1     /設置ACL，進入ACL1設置界面。    rule deny source 3     /阻止3這臺計算機訪問。    rule permit source any（如下圖）    /設置ACL，容許其他地址的計算機進行通訊    int e1  

8、0; /進入E1端口    firewall packet-filter 1 inbound    /將ACL1宣告，同理可以進入E0端口后使用firewall packet-filter 1 outbound來完成宣告。    配置完畢后除了3其他IP地址都可以通過路由器正常通訊，傳輸數據包。需要提醒一點的是默認情況下華為設備在ACL結尾添加了rule permit source any的語句，所以本例中可以不輸入該語句，效果是一樣的。    總結：&#

9、160;   標準ACL占用路由器資源很少，是一種最基本最簡單的訪問控制列表格式。應用比較廣泛，經常在要求控制級別較低的情況下使用。如果要更加復雜的控制數據包的傳輸就需要使用擴展訪問控制列表了，他可以滿足我們到端口級的要求。華為3COM擴展訪問控制列表介紹上篇文章我們提到了標準訪問控制列表，他是基于IP地址進行過濾的，是最簡單的ACL。那么如果我們希望將過濾細到端口怎么辦呢？或者希望對數據包的目的地址進行過濾。這時候就需要使用擴展訪問控制列表了。使用擴展IP訪問列表可以有效的容許用戶訪問物理LAN而并不容許他使用某個特定服務（例如WWW，FTP等）。擴展訪問控制列表使用的A

10、CL號為100到199。    一，擴展訪問控制列表的格式：    擴展訪問控制列表是一種高級的ACL，他的具體格式如下：    acl ACL號    rule permit|deny 協議 定義過濾源主機范圍  定義過濾源端口 定義過濾目的主機訪問 定義過濾目的端口    例如：    (1)access-list 101    (2)rule deny tcp sourc

11、e any  destination destination-port equal www這句命令是將所有主機訪問這個地址網頁服務（WWW）TCP連接的數據包丟棄。（如圖1）圖1（點擊看大圖）    小提示：    同樣在擴展訪問控制列表中也可以定義過濾某個網段，當然和標準訪問控制列表一樣需要我們使用反向掩碼定義IP地址后的子網掩碼。    二，配置實例：    要想使擴展ACL生效需要我們配置兩方面的命

12、令：    1，ACL自身的配置，即將詳細的規則添加到ACL中。    2，宣告ACL，將設置好的ACL添加到相應的端口中。    網絡環境介紹：    我們采用如圖2所示的網絡結構。路由器連接了二個網段，分別為/24,/24。在/24網段中有一臺服務器提供WWW服務，IP地址為3。 圖2（點擊看大圖）    實例：禁止的計算機訪問172.16.4

13、.0的計算機，包括那臺服務器，不過惟獨可以訪問3上的WWW服務，而其他服務不能訪問。    路由器配置命令：    acl 101    /設置ACL 101,并進入訪問控制列表設置模式。    rule permit tcp source any destination 3 destination-port equal www    /設置容許源地址為任意IP，目的地址為172.16.4.

14、13主機的80端口即WWW服務。    rule deny tcp source any destination any    /設置阻止其他服務和數據包進行傳輸。    int e1    /進入E1端口    firewall packet-filter 1 outbound    /將ACL101宣告出去    設置完畢后的計算機就無法訪問的計算機了，就算是服務器3開啟了FTP服務也無法訪問，惟獨可以訪問的就是3的WWW服務了。而的計算機訪問的計算機沒有任何問題。    擴展ACL有一個最大的好處就是可以保護服務器，例如很多服務器為了更好的提供服務都是暴露在公網上的，這時為了保證服務正常提供所有端口都對外界開放，很容易招來黑客和病毒的攻擊，通過擴展ACL可以將除了服務端口以外的其他端口都封鎖掉，降低了被攻擊的機率。如本例就是僅僅將80端口對外界開放。&#