M000 0037 以太網(wǎng)安全技術(ACL原理及其配置)

課程M0000037 以太網(wǎng)安全技術（ACL原理及其配置） Issue1.0PAGE28 1.1以太網(wǎng)訪問控制列表 11.1.1什么是訪問控制列表 31.1.2流分類介紹 51.1.3訪問控制列表構成 71.2以太網(wǎng)訪問控制列表的配置 81.2.1時間段的相關配置 81.2.2定義訪問控制列表 91.2.3基本訪問控制列表的規(guī)則配置 111.2.4高級訪問控制列表的規(guī)則配置 121.2.5端口操作符及語法 141.2.6接口訪問控制列表的規(guī)則配置 151.2.7二層訪問控制列表的規(guī)則配置 161.2.8自定義訪問控制列表的規(guī)則配置 181.2.9規(guī)則匹配原則 201.2.10激活訪問控制列表 211.2.11配置ACL進行包過濾的步驟 231.2.12訪問控制列表配置舉例 241.2.13訪問控制列表的維護和調(diào)試 26

以太網(wǎng)訪問控制列表訪問控制列表ACL（AccessControlList）為網(wǎng)絡設備提供了基本的服務安全性。對某個服務而言，安全管理員首先應該考慮的是：該服務是否有必要運行在當前環(huán)境中；如果必要，又有哪些用戶能夠享用該服務。如果該服務不必要，則應當禁止該服務。因為運行一個不必要的服務，不僅會浪費網(wǎng)絡等資源，而且會給當前的網(wǎng)絡環(huán)境帶來安全隱患。如果是部分用戶需要，則應當為該服務規(guī)劃權限，禁止無權限的用戶使用該服務。如果某個服務僅僅在網(wǎng)絡內(nèi)部需要，則還需盡力避免該服務被網(wǎng)絡外部訪問。同樣，如果某個服務僅在網(wǎng)絡外部是必須的，則管理員還應將該服務限制在網(wǎng)絡外部。對于某些服務來說，即使用戶能使用該服務，安全管理員也應該能監(jiān)管該服務的使用情況，比如控制某服務只能在某段時間內(nèi)使用，對該服務的使用量進行統(tǒng)計等等。在使用訪問控制列表之前，安全管理員必須非常清楚當前網(wǎng)絡環(huán)境的安全規(guī)劃，和潛在的安全問題。例如上面的圖示中，我們所看到的，在企業(yè)網(wǎng)內(nèi)部，管理員必須清楚部門A、部門B能夠訪問的服務器內(nèi)容，部門A和部門B相互之間能夠互通的服務，各部門能夠訪問的企業(yè)網(wǎng)絡外部服務，能被企業(yè)網(wǎng)絡外部訪問的服務，以及服務器的訪問權限等等。

什么是訪問控制列表訪問控制列表被創(chuàng)建后，既可以用于拒絕某些數(shù)據(jù)包經(jīng)過某個交換機接口，也可用于拒絕某些數(shù)據(jù)包經(jīng)過交換機的所有接口。訪問控制列表是否支持在單個接口上的應用要根據(jù)交換機型號而定。QuidwayS3526的訪問控制列表在創(chuàng)建后將應用于交換機的所有端口。默認情況下，交換機將允許所有的數(shù)據(jù)包經(jīng)過所有接口，即不做任何轉(zhuǎn)發(fā)限制。而采用訪問控制列表，則交換機在轉(zhuǎn)發(fā)某個數(shù)據(jù)包之前，將會參考訪問控制列表中的內(nèi)容以確定是否轉(zhuǎn)發(fā)。最初，訪問控制列表的作用僅限于決定是否轉(zhuǎn)發(fā)數(shù)據(jù)包（如轉(zhuǎn)發(fā)或丟棄）。管理員只能對值得懷疑的數(shù)據(jù)包作出丟棄決定，但不能監(jiān)控那些存在安全隱患的數(shù)據(jù)包。QuidwayS3526提供給管理員更豐富的功能，如利用訪問控制列表進行數(shù)據(jù)包分析、流量限制和流量統(tǒng)計。 包過濾（PacketFiltering）：對每個數(shù)據(jù)包按照用戶所定義的項目進行過濾，如比較數(shù)據(jù)包的源地址、目的地址是否符合規(guī)則等。包過濾不涉及會話的狀態(tài)，也不分析數(shù)據(jù)，只分析數(shù)據(jù)包的包頭信息。如果配置的規(guī)則合理，在這一層能夠過濾掉很多有安全隱患的數(shù)據(jù)包。 報文監(jiān)控（PacketMonitoring）：一般一臺設備需要一個監(jiān)控端口就可以監(jiān)控設備的所有端口。監(jiān)控端口一般接報文/協(xié)議分析儀，用于報文/協(xié)議分析。管理員事先確定要監(jiān)控的報文類型，如ICMP報文。這時進入或離開交換機的所有ICMP報文都會被拷貝到監(jiān)控端口，連接到該端口的網(wǎng)絡分析儀能同時收到該報文進行分析。 流量限制（CAR）：管理員可以限制某一源與目的對之間的平均報文流量。既可以是IP地址對，也可以是MAC地址對。流量限制將在兩個方向上同時進行。 報文統(tǒng)計（PacketGathering）：管理員確定要統(tǒng)計的報文流向，即從何處而來（報文的源地址），準備去往哪里（報文的目的地址）。這里的地址既可以是MAC地址，也可以是IP地址。而且可以統(tǒng)計雙向的報文流量。統(tǒng)計結果可以是報文的字節(jié)數(shù)，也可以是報文的包數(shù)。本章中我們將主要介紹ACL在包過濾方面的應用，實際上ACL在QOS等方面也有相當廣泛的應用，對此我們將在另外的章節(jié)再進行詳細的介紹。大多數(shù)訪問控制列表在數(shù)據(jù)本身上不做任何事，不能基于數(shù)據(jù)流的實際內(nèi)容作出操作決定。對報文過濾而言，訪問控制列表只能實現(xiàn)： 不讓任何人從外界使用Telnet登錄。 讓每個人經(jīng)由SMTP向我們發(fā)送電子郵件。 那臺機器經(jīng)由NNTP能把新聞發(fā)給我們，但是沒有其它機器能這樣做。然而，訪問控制列表不能實現(xiàn)如下的一些需求：某個特定用戶能從外部遠程登錄，但是其它用戶不能這樣做。因為“用戶”不是數(shù)據(jù)包過濾系統(tǒng)所能辨認的。 可以發(fā)送這些文件而不是那些文件。因為“文件”也不是數(shù)據(jù)包過濾系統(tǒng)所能辨認的。

流分類介紹流（flow），即業(yè)務流。流分類，就是根據(jù)分類項將數(shù)據(jù)包劃分成不同類型。對于訪問控制列表ACL來說，在實現(xiàn)包過濾或QOS等應用之前，要做的的第一件事就是對通過網(wǎng)絡設備的業(yè)務流進行分類。流分類的結果是對每一種數(shù)據(jù)包類型采取不同的操作，也可能是幾種不同的數(shù)據(jù)包類型采取相同的操作。在三層交換機（如S3526）中，訪問控制列表不僅可以應用于以太網(wǎng)幀，還可以應用于IP數(shù)據(jù)包。而二層交換機（如S3026），就只能應用于以太網(wǎng)幀。數(shù)據(jù)包到達端口后，如果是可以直接在鏈路層交換的以太網(wǎng)幀，則先獲取以太網(wǎng)幀頭信息，包括以太網(wǎng)幀承載的協(xié)議類型（如IP、ARP或RARP協(xié)議）、以太網(wǎng)幀封裝類型（EthernetII、SNAP或802.3封裝等等）、源MAC地址、目的MAC地址，以太網(wǎng)幀的入/出端口，然后和設定的2層流規(guī)則進行比較，根據(jù)比較結果做下一步操作。如果是需要三層轉(zhuǎn)發(fā)的數(shù)據(jù)包，則先獲取包頭信息，包括IP層所承載的上層協(xié)議類型（ICMP、TCP、UDP、IGMP），數(shù)據(jù)包的源IP地址、目的IP地址、4層源端口、目的端口或者是DSCP優(yōu)先級標記，然后和設定的規(guī)則進行比較。

下面我們再來看看有關包過濾的一些概念。對IP數(shù)據(jù)包實現(xiàn)過濾，通常用到的屬性如上圖所示（圖中IP所承載的上層協(xié)議為TCP），即： IP的源、目的地址及協(xié)議域 TCP或UDP的源、目的端口可以用這些域的各式各樣的組合形成不同的規(guī)則。比如，要禁止從主機到主機的FTP連接，管理員可以創(chuàng)建這樣的規(guī)則用于丟棄相應的報文： IP目的地址= IP源地址= IP協(xié)議域=6（TCP） 目的端口=21（FTP）

訪問控制列表構成訪問控制列表由一條條安全策略構成，每一條策略（AccessControlList，簡稱ACL）由一系列的規(guī)則（rule）組成。規(guī)則（rule）用于劃分數(shù)據(jù)包類型，并定義動作用于決定對數(shù)據(jù)包的下一步操作，常用的動作有permit（允許）和deny（丟棄）。根據(jù)工作模式的不同，訪問控制列表可以分為兩類： 基于MAC層的訪問控制列表，主要使用2層流規(guī)則 基于IP層的訪問控制列表，主要使用3/4層流規(guī)則ACL可以帶上時間段，表示使某一條ACL在特定的時間段內(nèi)起作用。ACL可以用名字標識，也可以用數(shù)字進行標識。

以太網(wǎng)訪問控制列表的配置時間段的相關配置對時間段的配置有如下內(nèi)容：配置每天的時分范圍、周期范圍和日期范圍。配置日期范圍采用的是年、月、日、時、分的形式，配置周期范圍采用的是每周的周幾的形式，配置每天的時分范圍采用的是每天的幾點、幾分的形式。如果不配置起始時分和結束時分，時間范圍就是一天內(nèi)所有的時間。如果不配置結束日期，時間范圍就是從配置生效之日起到系統(tǒng)可以表示的最大時間為止。對于時間段的配置是在系統(tǒng)視圖下進行的，在完成時間段的配置之后，我們就可以在配置ACL的規(guī)則時指定該條規(guī)則在什么時間段內(nèi)有效。下面我們來看一個關于時間段配置的例子：假設管理員需要在從2002年12月1日上午8點到2003年1月1日下午18點的時間段內(nèi)實施安全策略，可以定義時間段名為denytime，具體配置如下：[Quidway]time-rangedenytimefrom8:0012-01-2002to18:0001-01-2003

定義訪問控制列表在系統(tǒng)視圖下，我們可以通過ACL命令來定義一條訪問控制列表并進入訪問控制列表視圖。在前面我們已經(jīng)提到過，ACL可以用名字來標識，也可以用數(shù)字來標識：如果用名字，必須由從a到z的英文字母組成，長度不能超過32個字母。如果用數(shù)字進行標識，取值范圍為1～1999。在華為的Quidway系列以太網(wǎng)交換機支持多種訪問控制列表，并把這些訪問控制列表分為四類：基本訪問控制列表（basic）、高級訪問控制列表（advanced）、接口訪問控制列表（interface）和基于二層的訪問控制列表（link）。在定義訪問控制列表時，我們也必須定義其類型。如果是用數(shù)字對訪問控制列表進行標識，我們則可以通過不同的數(shù)字范圍來表示不同的列表類型：1～99：基本訪問控制列表（basic）100～199：高級訪問控制列表（advanced）1000～1999：接口訪問控制列表（interface）200～299：基于二層的訪問控制列表（link）在進入訪問控制列表視圖之后，我們就可以用rule命令來為ACL定義規(guī)則。在定義ACL的子規(guī)則時，我們可以多次使用rule命令給同一個訪問控制列表定義多條規(guī)則。這樣在多條規(guī)則之間，就存在一個匹配順序matchorder的問題。在定義ACL時，我們也可以同時定義規(guī)則之間的匹配順序：config或auto。對于不同類型的訪問控制列表，其規(guī)則的配置也不盡相同，下面我們分別進行介紹：

基本訪問控制列表的規(guī)則配置基本訪問控制列表的特點是只用IP數(shù)據(jù)包的源地址信息來定義規(guī)則，并以此來對通過交換機的業(yè)務流進行分類。下面介紹一下相關的參數(shù)：rule-id：指定訪問控制列表的子規(guī)則ID，取值范圍為0～127。permit：表明允許滿足條件的報文通過。deny：表明禁止?jié)M足條件的報文通過。time-rangetime-range-name：時間段的名稱，可選參數(shù)，表示該規(guī)則在此時間段內(nèi)有效。sourcesource-addrsource-wildcard|any：source-addrsource-wildcard表示源IP地址和源地址通配位，點分十進制表示；any表示所有源地址。fragment：表示此條規(guī)則僅對分片報文有效，而對非分片報文忽略此規(guī)則。

高級訪問控制列表的規(guī)則配置高級訪問控制列表與基本訪問控制列表的區(qū)別在于，高級訪問控制列表使用更多的信息來定義規(guī)則。除了IP數(shù)據(jù)包的源地址之外，高級訪問控制列表還使用目的地址和協(xié)議號，而對于使用TCP、UDP協(xié)議傳輸?shù)臄?shù)據(jù)包還可以同時使用目的端口號來對數(shù)據(jù)包做出區(qū)分。下面介紹一下高級訪問控制列表所特有的一些參數(shù)：protocol：本參數(shù)用來指定協(xié)議類型。協(xié)議類型可以使用名字表示，也可以使用數(shù)字表示。在使用名字表示時，該參數(shù)可以取值icmp、igmp、tcp、udp、ip、gre、ospf、ipinip等。如果本參數(shù)取值為IP，表示所有的IP協(xié)議。在使用數(shù)字表示時，數(shù)字的取值范圍為1～255。sourcesource-addrsource-wildcard|any：source-addrsource-wildcard表示源IP地址和源地址通配位，點分十進制表示；any表示所有源地址。destinationdest-addrdest-wildcard|any：dest-addrdest-wildcard表示目的IP地址和目的地址通配位，點分十進制表示；any表示所有目的地址。source-portoperatorport1[port2]：表示報文使用的源TCP或者UDP端口號。其中operator表示端口操作符，包括eq（等于）、gt(大于)、lt(小于)、neq(不等于)、range(在某個范圍內(nèi))。注：本參數(shù)在protocol參數(shù)取值為TCP或UDP時才可用。port1[port2]：報文使用的TCP或者UDP源端口號，用字符或數(shù)字表示。數(shù)字的取值范圍為0～65535，字符取值請參看端口號助記符表。只有操作符為range時才會同時出現(xiàn)port1port2兩個參數(shù)，其它操作符只需port1。destination-portoperatorport1[port2]：表示報文使用的目的TCP或者UDP端口號。具體描述同source-portoperatorport1[port2]。icmp-typeicmp-typeicmp-code：當protocol參數(shù)取值icmp時出現(xiàn)。icmp-typeicmp-code指定一ICMP報文。icmp-type代表ICMP報文類型，用字符或數(shù)字表示，數(shù)字取值范圍為0～255；icmp-code代表ICMP碼，在協(xié)議為icmp且沒有使用字符表示ICMP報文類型時出現(xiàn)，取值范圍是0～255。established：表示此條規(guī)則僅對TCP建立連接的第一個SYN報文有效，可選參數(shù)，當protocol參數(shù)取值tcp時出現(xiàn)。precedenceprecedence：可選參數(shù)，表示IP優(yōu)先級，取值為0～7的數(shù)值或名字。dscpdscp：可選參數(shù)，數(shù)據(jù)包可以根據(jù)DSCP值來分類，取值為0～63的數(shù)值或名字。tostos：可選參數(shù)，數(shù)據(jù)包可以根據(jù)TOS值來分類，取值為0～15的數(shù)值或名字。fragment：表示此條規(guī)則僅對分片報文有效，而對非分片報文忽略此規(guī)則。

端口操作符及語法應用高級訪問控制列表時，對于使用TCP、UDP協(xié)議傳輸?shù)臄?shù)據(jù)包還可以同時使用目的端口號來對數(shù)據(jù)包做出區(qū)分。上面的膠片中給出了TCP/UDP協(xié)議支持的端口操作符以及語法。

接口訪問控制列表的規(guī)則配置在三層交換機中，接口訪問控制列表是一種比較特殊的訪問控制列表。它主要用來在三層交換機上區(qū)分來自不同VLAN的業(yè)務流，并對不同的業(yè)務流進行不同的處理（permit或deny）。下面是接口訪問控制列表特有的參數(shù)：interface{interface-name|interface-typeinterface-num|any}：三層接口名，其中interface-name為接口名，等于interface-type加上interface-num，用來表示一個接口，在交換機中三層接口只能是VLAN接口，即interface-type只能取值VLANInterface；any表示所有三層接口。在配置接口訪問控制列表時要注意的是：在以太網(wǎng)交換機中，不存在三層物理接口，只存在三層Vlan虛接口，因此當命令行提示用戶輸入接口類型時，只能選擇Vlan-interface型的接口，選擇了其他類型的接口類型，命令行將會提示失敗。另外只有當交換機上已經(jīng)配置了Vlan-interface的時候，在配置才能夠選擇相應的VLAN-interface。

二層訪問控制列表的規(guī)則配置與路由器不同的是，在交換機產(chǎn)品中我們除了可以配置基于三層即IP數(shù)據(jù)包的訪問控制列表，還可以配置基于二層即MAC地址的訪問控制列表。在二層訪問控制列表中，我們主要根據(jù)源MAC地址、源VLANID、二層協(xié)議類型、報文二層接收端口、報文二層轉(zhuǎn)發(fā)端口、目的MAC地址等二層信息制定規(guī)則，對數(shù)據(jù)進行相應處理。實際上所謂的“二層流規(guī)則”主要用于區(qū)分同一個VLAN內(nèi)部的數(shù)據(jù)流。同一個VLAN內(nèi)的數(shù)據(jù)流主要在2層轉(zhuǎn)發(fā)，因為2層流規(guī)則信息是附屬于MAC-PORT轉(zhuǎn)發(fā)表的。因此硬件接口收到數(shù)據(jù)包后，能提取出以太網(wǎng)首部信息作為流分類依據(jù)。下面是二層訪問控制列表特有的參數(shù)：protocol：為以太網(wǎng)幀承載的協(xié)議類型，可選參數(shù)，取值范圍為ip、arp、rarp、pppoe-control和pppoe-data。cosvlan-pri：802.1p優(yōu)先級，取值范圍為0～7。ingress{{[source-vlan-id][source-mac-addrsource-mac-wildcard][interface{interface-name|interface-typeinterface-num}]}|any}：數(shù)據(jù)包的源信息，[source-vlan-id]表示的是數(shù)據(jù)包的源VLAN，[source-mac-addrsource-mac-wildcard]表示的是數(shù)據(jù)包的源MAC地址和MAC地址的通配符，這兩個參數(shù)共同作用可以得到用戶感興趣的源MAC地址的范圍，比如source-mac-wildcard取值為0.0.ffff，則表示用戶只對源MAC地址的前32個bit（即通配符中數(shù)字0對應的比特位）感興趣，interface{interface-name|interface-typeinterface-num}表示的是接收該報文的二層端口，any表示從所有端口接收到的所有報文。egress{{[dest-mac-addrdest-mac-wildcard][interface{interface-name|interface-typeinterface-num}]}|any}：數(shù)據(jù)包的目的信息，dest-mac-addrdest-mac-wildcard表示該報文的目的MAC地址和目的MAC地址通配符，這兩個參數(shù)共同作用可以得到用戶感興趣的目的MAC地址的范圍，比如dest-mac-wildcard取值為0.0.ffff，則表示用戶只對目的MAC地址的前32個bit（即通配符中數(shù)字0對應的比特位）感興趣，interface{interface-name|interface-typeinterface-num}表示轉(zhuǎn)發(fā)該報文的二層端口，any表示從所有端口轉(zhuǎn)發(fā)的所有報文。

自定義訪問控制列表的規(guī)則配置前面我們介紹了常見的四種常見的訪問控制列表：基本、高級、基于接口和基于二層的。實際上在華為某些型號的以太網(wǎng)交換機上（如S3526E），還支持另外一種訪問控制列表的類型，即用戶自定義型的訪問控制列表。用戶自定義訪問控制列表的好處在于，用戶可以根據(jù)實際的需求來定義訪問控制列表的類型，以實現(xiàn)比較靈活的應用。用戶自定義訪問控制列表根據(jù)用戶的定義對二層數(shù)據(jù)幀的前64個字節(jié)中的任意字節(jié)進行匹配，對數(shù)據(jù)報文作出相應的處理。正確使用用戶自定義訪問控制列表需要用戶對二層數(shù)據(jù)幀的構成有深入的了解。下圖為二層數(shù)據(jù)幀的前64個字節(jié)的示意圖（每個字母代表一個16進制數(shù)，每兩個字母代表一個字節(jié)）。在上圖中，各個字母的含義及偏移量取值如下表所示：字母含義偏移量字母含義偏移量A目的MAC地址0OTTL字段34B源MAC地址6P協(xié)議號（6代表TCP，17代表UDP）35C數(shù)據(jù)幀的長度字段12QIP校驗和36DVLANtag字段14R源IP地址38EDSAP（目的服務訪問點）字段18S目的IP地址42FSSAP（源服務訪問點）字段19TTCP源端口46GCtrl字段20UTCP目的端口48Horgcode字段21V序列號50I封裝的數(shù)據(jù)類型24W確認字段54JIP版本號26XYIP頭長度和保留比特位58KTOS字段27Z保留比特位和flags比特位59LIP包的長度28aWindowSize字段60MID號30b其他62NFlags字段32上表中各個字段的偏移量是它們在SNAP＋tag的802.3數(shù)據(jù)幀中的偏移量。在用戶自定義訪問控制列表中，用戶可以使用規(guī)則掩碼和偏移量兩個參數(shù)共同從數(shù)據(jù)幀中提取前64個字節(jié)中的任意字節(jié)，然后和用戶定義的規(guī)則比較，從而過濾出匹配的數(shù)據(jù)幀，作相應的處理。用戶定義的規(guī)則可以是數(shù)據(jù)的某些固定屬性，比如用戶要將所有的TCP報文過濾出來，可以將規(guī)則定義為“06”，規(guī)則掩碼定義為“FF”，偏移量定義為35，此時規(guī)則掩碼和偏移量共同作用，把接收到的數(shù)據(jù)幀中的TCP協(xié)議號字段的內(nèi)容提取出來，和規(guī)則比較，匹配出所有的TCP報文。下面是用戶自定義訪問控制列表特有的參數(shù)：{rule-stringrule-maskoffset}&<1-20>：rule-string是用戶自定義的規(guī)則字符串，必須是16進制數(shù)組成，字符必須是偶數(shù)個；rule-maskoffset用于提取報文的信息，rule-mask是規(guī)則掩碼，用于和數(shù)據(jù)包作“與”操作，offset是偏移量，它以數(shù)據(jù)包的頭部為基準，指定從第幾個字節(jié)開始進行“與”操作，rule-maskoffset共同作用，將從報文提取出來的字符串和用戶定義的rule-string比較，找到匹配的報文，然后進行相應的處理。&<1-20>表示則一次最多可以定義20這樣的規(guī)則。此參數(shù)用于用戶自定義的訪問控制列表。

規(guī)則匹配原則現(xiàn)在我們已經(jīng)介紹了在不同類型的訪問控制列表之中，如何進行規(guī)則的配置。由于在一條訪問控制列表中，往往會配置多條規(guī)則，而每一條規(guī)則指定的數(shù)據(jù)包的范圍大小有別，這樣在匹配一個訪問控制規(guī)則的時候就存在匹配順序的問題。訪問控制列表子規(guī)則的匹配順序有如下兩種：config：指定匹配該規(guī)則時按用戶的配置順序。auto：指定匹配該規(guī)則時系統(tǒng)自動排序。（按“深度優(yōu)先”的順序）缺省情況下匹配順序為按用戶的配置排序，即“config”。用戶一旦指定某一條訪問控制規(guī)則的匹配順序，就不能再更改該順序，除非把該規(guī)則的內(nèi)容全部刪除，再重新指定其匹配順序。auto所用的“深度優(yōu)先”的原則是指：把指定數(shù)據(jù)包范圍最小的語句排在最前面。這一點可以通過比較地址的通配符來實現(xiàn)，通配符越小，則指定的主機的范圍就越小。比如指定了一臺主機：，而55則指定了一個網(wǎng)段：～55，顯然前者在訪問控制規(guī)則中排在前面。具體標準為：對于基本訪問控制規(guī)則的語句，直接比較源地址通配符，通配符相同的則按配置順序；對于基于接口過濾的訪問控制規(guī)則，配置了“any”的規(guī)則排在后面，其它按配置順序；對于高級訪問控制規(guī)則，首先比較源地址通配符，相同的再比較目的地址通配符，仍相同的則比較端口號的范圍，范圍小的排在前面，如果端口號范圍也相同則按配置順序。

激活訪問控制列表在前面我們介紹了如何定義一條訪問控制列表。在訪問控制列表定義好之后，還必須激活之后才能使之生效。激活ACL的命令如膠片中所示，下面介紹相關的參數(shù)：user-group{acl-number|acl-name}：表示激活用戶自定義的港問控制列表。acl-number：訪問控制列表序號，300到399之間的一個數(shù)值。acl-name：訪問控制列表名字，字符串參數(shù)，必須以英文字母（即[a～z，A～Z]）開頭，而且中間不能有空格和引號。ip-group{acl-number|acl-name}：表示激活IP訪問控制列表，包括基本、高級和基于接口的訪問控制列表。acl-number：訪問控制列表序號，1到199之間和1000到1999之間的一個數(shù)值。acl-name：訪問控制列表名字，字符串參數(shù)，必須以英文字母（即[a～z，A～Z]）開頭，而且中間不能有空格和引號。link-group{acl-number|acl-name}：表示激活二層訪問控制列表。acl-number：訪問控制列表序號，200到299之間的一個數(shù)值。acl-name：訪問控制列表名字，字符串參數(shù)，必須以英文字母（即[a～z，A～Z]）開頭，而且中間不能有空格和引號。rulerule：可選參數(shù)，指定激活訪問列表中的哪個子項，取值范圍為0～127，如果不指定則表示要激活訪問列表中的所有子項。在激活ACL時需要注意的是：華為交換機上支持同時激活二層訪問控制列表和IP訪問控制列表。IP訪問控制列表包括基本訪問控制列表、高級訪問控制列表和基于接口的訪問控制列表。但是要求組合項的動作一致，如果動作沖突（一個是permit，而另一個是deny）則不能激活。

配置ACL進行包過濾的步驟在前面我們已經(jīng)介紹了有關訪問控制列表ACL的一些配置命令，下面我們再來總結一下在交換機上配置ACL進行包過濾的步驟：配置時間段（可選，系統(tǒng)視圖模式下進行）：時間段的配置不是必須的，通常當我們需要訪問控制列表在一段特殊的時間內(nèi)有效時，才需要用到時間段的配置。定義訪問控制列表（系統(tǒng)視圖模式下進行）：在交換機上有五類訪問控制列表，分別是基本、高級、基于接口、基于二層和用戶自定義。在定義訪問控制列表并進入ACL配置模式之后，我們還需要根據(jù)不同的類型來定義訪問控制列表規(guī)則rule，以對通過交換機的業(yè)務流進行分類和執(zhí)行相應的動作（permit或deny）。在一條訪問控制列表下可以配置多條規(guī)則，而且可以用config和auto兩種順序進行規(guī)則匹配。激活訪問控制列表（系統(tǒng)視圖模式下進行）：在訪問控制列表定義好之后，還必須激活之后才能使之生效。

訪問控制列表配置舉例下面我們根據(jù)一個實際應用的例子來練習一下有關訪問控制列表的配置。膠片中的組網(wǎng)圖表示的是一個公司的內(nèi)部網(wǎng)絡，該網(wǎng)絡通過一臺S3526以太網(wǎng)交換機的百兆端口實現(xiàn)各部門之間的互連。財務部門的工資查詢服務器由Ethernet2/1端口接入（子網(wǎng)地址）。現(xiàn)在的要求是在交換機上正確配置訪問控制列表ACL，限制其它部門在上班時間8:00至12:00訪問工資服務器，而總裁辦公室（IP地址：）不受限制，可以隨時訪問。下面是具體的配置：1.定義上班時間時間段：[Quidway]time-rangeworktime8:00to12:00daily//定義8:00至12:00的時間段，其中daily表示在每一天都有效。其他的時間參數(shù)如working-day、off-day等請參考命令手冊。2.定義到工資服務器的ACL[Quidway]aclnametraffic-to-salaryserveradvance