华为ACL配置
华为交换机ACL基础配置
华为交换机ACL基础配置ACL基础详解:访问控制列表(ACL)是⼀种基于包过滤的,它可以根据设定的条件对接⼝上的数据包进⾏过滤,允许其通过或丢弃。
访问控制列表被⼴泛地应⽤于和,借助于访问控制列表,可以有效地控制⽤户对⽹络的访问,从⽽最⼤程度地保障。
访问控制列表(Access Control Lists,ACL)是应⽤在接⼝的指令列表。
这些指令列表⽤来告诉路由器哪些可以收、哪些数据包需要拒绝。
⾄于数据包是被接收还是拒绝,可以由类似于源地址、⽬的地址、等的特定指⽰条件来决定。
访问控制列表具有许多作⽤,如限制⽹络流量、提⾼⽹络性能;通信流量的控制,例如ACL可以限定或简化路由更新信息的长度,从⽽限制通过路由器某⼀⽹段的通信流量;提供⽹络安全访问的基本⼿段;在路由器端⼝处决定哪种类型的通信流量被转发或被阻塞,例如,⽤户可以允许E-mail通信流量被路由,拒绝所有的 Telnet通信流量等。
ACL处理过程及规则:当ACL处理数据包时,⼀旦数据包与某条ACL语句匹配,则会跳过列表中剩余的其他语句,根据该条匹配的语句内容决定允许或者拒绝该数据包。
如果数据包内容与ACL语句不匹配,那么将依次使⽤ACL列表中的下⼀条语句测试数据包。
该匹配过程会⼀直继续,直到抵达列表末尾。
最后⼀条隐含的语句适⽤于不满⾜之前任何条件的所有数据包。
这条最后的测试条件与这些数据包匹配,通常会隐含拒绝⼀切数据包的指令。
此时路由器不会让这些数据进⼊或送出接⼝,⽽是直接丢弃。
最后这条语句通常称为隐式的“deny any”语句。
由于该语句的存在,所以在ACL中应该⾄少包含⼀条permit语句,否则,默认情况下,ACL将阻⽌所有流量。
访问控制列表的使⽤:ACL的使⽤分为两步:1. 创建访问控制列表ACL,根据实际需要设置对应的条件项;2. 将ACL应⽤到路由器指定接⼝的指定⽅向(in/out)上。
在ACL的配置与使⽤中需要注意以下事项:1. ACL是⾃顶向下顺序进⾏处理,⼀旦匹配成功,就会进⾏处理,且不再⽐对以后的语句,所以ACL中语句的顺序很重要。
华为ACL配置过程
gre GRE tunneling(47)
icmp Internet Control Message Protocol(1)
igmp Internet Group Management Protocol(2)
指定所需匹配的源IP,目标IP,源端口,目标端口
[R1-acl-adv-3000]rule 10 permit tcp source 1.1.1.1 0 destinati
on 2.2.2.2 0 destination-port eq 23
调用ACL并指定方向过滤流量
[R1-GigabitEthernet0/0/0]traffic-filter ?
配置ACL顺序:因为ACL匹配原则为自上而下匹配,有匹配即弹出
建议一定配置顺序,并且留有余量
[R1-acl-adv-3000]rule ?
INTEGER<0-4294967294> ID of ACL rule
指定ACL匹配规则(动作):
1.在过滤流量情况下,deny为拒绝(过滤),permit为允许(通过)
ip Any IP protocol
ipinip IP in IP tunneling(4)
ospf OSPF routing protocol(89)
tcp Transmission Control Protocol (6)
udp User Datagram Protocol (17)
2.
[R1-acl-adv-3000]rule 10 ?
deny Specify matched packet deny
华为基本acl的编号范围
基本ACL的编号范围
华为设备的基本ACL(Access Control List)主要用于基于源IP地址的访问控制。
其编号范围从2000到2999。
这些ACL基于源IP地址对数据包进行过滤,只允许符合条件的数据包通过。
基本ACL在华为设备中广泛使用,为管理员提供灵活的网络安全控制手段。
1. 常见用途:
基本ACL常用于限制特定IP地址的访问,或只允许特定IP地址范围的流量通过。
例如,可以配置基本ACL来阻止来自特定IP地址的数据包,或只允许某个IP地址段的数据包通过。
2. 配置步骤:
配置基本ACL通常涉及以下步骤:
* 进入系统视图模式
* 定义ACL规则,指定源IP地址范围
* 将ACL应用到相应的接口上
配置过程中,需要仔细检查每一条规则以确保达到预期的效果。
另外,要确保选择的ACL编号不会与已有的编号冲突。
请注意,具体的配置命令可能会根据华为设备的不同型号和操作系统有所不同。
在进行任何网络配置之前,强烈建议备份当前的配置数据并详细了解设备的使用说明。
对于复杂网络环境中的高级应用场景,请在经验丰富的网络工程师指导下操作。
1。
华为基本acl的编号范围
华为基本ACL的编号范围1. 什么是ACL?ACL(Access Control List)即访问控制列表,是一种用于网络设备中实现安全策略的技术。
ACL可以根据源IP地址、目的IP地址、协议类型、端口号等条件对数据包进行过滤和控制,从而限制网络流量的进出。
华为基本ACL是华为公司在其网络设备上实现的一种基本访问控制列表。
它允许管理员通过配置规则来限制或允许特定类型的数据包通过网络设备。
2. 华为基本ACL编号范围在华为设备上,每个ACL规则都有一个唯一的编号,用于标识该规则。
华为基本ACL规则的编号范围是1-3999。
其中,1-199表示标准ACL规则,200-299表示扩展ACL规则,300-399表示高级ACL规则。
2.1 标准ACL标准ACL是最简单和最常用的一种ACL类型。
它只能根据源IP地址来过滤数据包,并且只能对IP头部进行匹配操作。
标准ACL规则的编号范围是1-199。
管理员可以根据需要自定义标准ACL规则,并按照编号顺序配置到网络设备中。
以下是一个示例标准ACL配置:acl number 10rule 10 permit source 192.168.1.0 0.0.0.255rule 20 deny source any上述配置中,ACL编号为10的标准ACL规则允许源IP地址为192.168.1.0/24的数据包通过,拒绝其他源IP地址的数据包通过。
2.2 扩展ACL扩展ACL相比标准ACL更为灵活,可以根据源IP地址、目的IP地址、协议类型、端口号等条件来过滤数据包,并且可以对TCP和UDP头部进行精确匹配操作。
扩展ACL规则的编号范围是200-299。
管理员可以根据需要自定义扩展ACL规则,并按照编号顺序配置到网络设备中。
以下是一个示例扩展ACL配置:acl number 2000rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination any eq wwwrule 10 deny ip source any destination any上述配置中,ACL编号为2000的扩展ACL规则允许源IP地址为192.168.1.0/24、目的端口号为80(HTTP)的TCP数据包通过,拒绝其他类型的数据包通过。
华为ACL设置
一、要求如下禁止外网192.168.1.1访问服务器10.0.0.1 方案1#acl 2010rule 5 deny ip source 192.168.1.1 0#interface GigabitEthernet 0/0/1traffic-filter outbound acl 2010方案2#acl 2020rule 5 deny ip source 192.168.1.1 0#interface GigabitEthernet 0/0/24 #注意端口traffic-filter intbound acl 2020 #注意方向方案3#acl 3030rule 5 deny ip destination 192.168.1.1 0#interface GigabitEthernet 0/0/1traffic-filter inbound acl 3030方案4rule 5 deny ip destination 192.168.1.1 0#interface GigabitEthernet 0/0/24 #注意端口traffic-filter inbound acl 3040 #注意方向二、要求如下禁止服务器10.0.0.1访问外网方案1#acl 2010rule 5 deny ip source 10.0.0.1#interface GigabitEthernet 0/0/1traffic-filter inbound acl 2010方案2#acl 2020rule 5 deny ip source 10.0.0.1#interface GigabitEthernet 0/0/24traffic-filter outbound acl 2020方案3#acl 3030rule 5 deny ip destination 10.0.0.1 0#interface GigabitEthernet 0/0/1traffic-filter outbound acl 3030方案4#acl 3030rule 5 deny ip destination 10.0.0.1 0#interface GigabitEthernet 0/0/24traffic-filter inbound acl 3030三、只允许192.168.1.1用户可以访问10.0.0.1方案1#acl 3010rule 5 permit ip destination 192.168.1.1 0rule 10 deny ip#interface GigabitEthernet0/0/1traffic-filter inbound acl 3010四、如果服务器配置了双IP 只允许192.168.1.1用户可以访问10.0.0.1不能访问10.0.0.2 方案1#acl 3010rule 5 permit ip source 192.168.1.1 0 destination 10.0.0.1 0rule 10 deny ip#interface GigabitEthernet0/0/1traffic-filter outbound acl 3010方案2rule 5 permit ip destination 10.0.0.1 0 source 192.168.1.1 0 rule 10 deny ip#interface GigabitEthernet0/0/1traffic-filter outbound acl 3020。
华为设备访问控制列表ACL的原理与配置
如何使用访问控制列表
防火墙配置常见步骤: 启用防火墙 定义访问控制列表 将访问控制列表应用到接口上
Internet
公司总部网络
启用防火墙
将访问控制列表应用到接口上
firewall { enable | disable }
1
firewall default { permit|deny }
2
display firewall
Internet
公司总部
内部网络
未授权用户
办事处
访问控制列表可以用于防火墙;
访问控制列表可以用于Qos(Quality of Service),对数据流量进行控制;
在DCC中,访问控制列表还可用来规定触发拨号的条件;
访问控制列表还可以用于地址转换;
在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。
3
防火墙的属性配置命令
在接口上应用访问控制列表
将访问控制列表应用到接口上 指明在接口上是OUT还是IN方向 在接口视图下配置: firewall packet-filter acl-number [inbound | outbound]
Ethernet0
访问控制列表101 作用在Ethernet0接口 在out方向有效
扩展访问控制列表操作符的含义
操作符及语法
意义
equal portnumber
等于端口号 portnumber
greater-than portnumber
大于端口号portnumber
less-than portnumber
小于端口号portnumber
not-equal portnumber
不等于端口号portnumber
华为交换机ACL控制列表设置
交换机配置(三)ACL基本配置1,二层ACL. 组网需求:通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。
该主机从GigabitEthernet0/1接入。
.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。
[Quidway] time-range huawei 8:00 to 18:00 daily(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL# 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。
[Quidway] acl name traffic-of-link link#定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。
[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress00e0-fc01-0303 0-0-0 time-range huawei(3)激活ACL。
# 将traffic-of-link的ACL激活。
[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link2 三层ACL定义8:00至18:00的周期时间段。
将traffic-of-host的ACL激活。
[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-hostb)高级访问控制列表配置案例.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。
定义时间-ACL规则创建-设定规则-激活规则图2三层交换机防ARP攻击组网三、配置步骤1.对于三层设备,需要配置过滤源IP是网关的ARP报文的ACL规则,配置如下ACL规则:acl number 5000rule0禁止S3526E的所有端口接收冒充网关的ARP报文,其中斜体部分是网关IP地址的16进制表示形式。
华为路由的ACL的配置
华为路由的ACL的配置华为3COM的ACL一直一来都比较麻烦,不同版本、不同型号的设备都有些不同。
下面我以3900设备为例,说明ACL的配置和执行技巧。
总结一句话:rule排列规则和auto、config 模式有关,而匹配顺序则和ACL应用环境和下发到端口的循序有关。
规律说明:1、ACL可以分为auto模式和config模式,auto模式根据最长匹配的原则排列rule的顺序(可以通告dis aclall查看rule的循序,出现4-2-3-0-1很正常)。
config模式根据用户配置循序排列rule的循序。
也就是说auto和config只是rule的排列顺序有关,与匹配顺序无关。
2、不管是auto模式还是config模式,当ACL应用于包过虑和QOS时,匹配循序是从下往上,但是应用于VTY 用户过虑等责是从上往下匹配。
3、不管是auto模式还是config模式,ACL的匹配顺序都是根据下发到端口的规则从下往上匹配。
4、在一个ACL里同时有多条rule匹配,则按照最长匹配优先执行。
包过虑ACL举例说明:禁止10.10.10.145这台PC上网允许10.10.10.0/24网段上网允许192.168.0.0/16网段上网禁止所有IP配置方法一:配置ACL(需要严格按照配置顺序配置)acl num 3000 mach configrule den iprule permit ip sour 192.168.0.0 0.0.255.255rule permit ip sour 10.10.10.0 0.0.0.255rule deny ip sour 10.10.10.145 0下发ACL到端口int e 1/0/1pack in ip 3000配置方法二:配置ACL(配置循序随便)acl num 3001 mach autorule permit ip sour 10.10.10.0 0.0.0.255rule den iprule deny ip sour 10.10.10.145 0rule permit ip sour 192.168.0.0 0.0.255.255下发ACL到端口int e 1/0/2pack in ip 3001 rule 0(必需先应用rule 0,否则全部都是禁止)pack in ip 3001配置输出:acl number 3000(排列顺序为0-1-2-3,按配置顺序排列)rule 0 deny iprule 1 permit ip source 192.168.0.0 0.0.255.255rule 2 permit ip source 10.10.10.0 0.0.0.255rule 3 deny ip source 10.10.10.145 0acl number 3001 match-order auto(排列顺序为3-1-2-0,按掩码排列)rule 3 deny ip source 10.10.10.145 0rule 1 permit ip source 10.10.10.0 0.0.0.255rule 2 permit ip source 192.168.0.0 0.0.255.255rule 0 deny ip#vlan 1#interface Aux1/0/0#interface Ethernet1/0/1(排列顺序为0-1-2-3,和ACL顺序一样)packet-filter inbound ip-group 3000 rule 0packet-filter inbound ip-group 3000 rule 1packet-filter inbound ip-group 3000 rule 2packet-filter inbound ip-group 3000 rule 3#interface Ethernet1/0/2(排列顺序为0-3-1-2,和ACL顺序不一样)packet-filter inbound ip-group 3001 rule 0packet-filter inbound ip-group 3001 rule 3packet-filter inbound ip-group 3001 rule 1packet-filter inbound ip-group 3001 rule 2标准访问列表命令格式如下:acl <acl-number> [match-order config|auto] // 默认前者顺序匹配rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]例:[Quidway]acl 10[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255[Quidway-acl-10]rule normal deny source any扩展访问控制列表配置命令配置TCP/UDP协议的扩展访问列表:rule {normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination <ip wild>|any} [operate]配置ICMP协议的扩展访问列表:rule {normal|special}{permit|deny}icmp source {<ip wild>|any]destination {<ip wild>|any] [icmp-code] [logging]扩展访问控制列表操作符的含义equal portnumber //等于greater-than portnumber //大于less-than portnumber //小于not-equal portnumber //不等range portnumber1 portnumber2 //区间扩展访问控制列表举例[Quidway]acl 101[Quidway-acl-101]rule deny souce any destination any[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo [Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply [Quidway]acl 102[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0 [Quidway-acl-102]rule deny ip source any destination any[Quidway]acl 103[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www[Quidway]firewall enable[Quidway]firewall default permit|deny[Quidway]int e0[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound。
华为ACL配置
使用高级ACL限制不同网段的用户互访示例图1 使用高级ACL限制不同网段的用户互访示例组网需求如图1所示,某公司通过Switch实现各部门之间的互连。
为方便管理网络,管理员为公司的研发部和市场部规划了两个网段的IP地址。
同时为了隔离广播域,又将两个部门划分在不同VLAN之中。
现要求Switch能够限制两个网段之间互访,防止公司机密泄露。
配置思路采用如下的思路在Switch上进行配置:1.配置高级ACL和基于ACL的流分类,使设备可以对研发部与市场部互访的报文进行过滤。
2.配置流行为,拒绝匹配上ACL的报文通过。
3.配置并应用流策略,使ACL和流行为生效。
操作步骤1.配置接口所属的VLAN以及接口的IP地址# 创建VLAN10和VLAN20。
<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] vlan batch 10 20# 配置Switch的接口GE0/0/1和GE0/0/2为trunk类型接口,并分别加入VLAN10和VLAN20。
[Switch] interface gigabitethernet 0/0/1[Switch-GigabitEthernet0/0/1] port link-type trunk[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10[Switch-GigabitEthernet0/0/1] quit[Switch] interface gigabitethernet 0/0/2[Switch-GigabitEthernet0/0/2] port link-type trunk[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20[Switch-GigabitEthernet0/0/2] quit# 创建VLANIF10和VLANIF20,并配置各VLANIF接口的IP地址。
华为ACL配置全解教程
华为ACL配置全解教程一、什么是ACLACL(Access Control List)是一种用于控制网络访问的策略工具,可以限制特定网络流量的进出。
ACL通过定义规则,决定允许或拒绝特定IP地址、协议、端口号或应用程序访问网络的能力。
二、ACL的分类1.基于方向的分类:-入方向:指进入设备的数据流量。
-出方向:指离开设备的数据流量。
2.基于分类方式的分类:-标准ACL:仅根据源IP地址或目标IP地址进行过滤。
-扩展ACL:除源IP地址和目标IP地址外,还可以根据端口号、协议类型、标志位等进行过滤。
三、ACL的配置指南1.进入全局配置模式:```[Huawei] system-view```2.创建ACL:```[Huawei] acl number 2000```其中,2000为ACL的编号。
```[Huawei-acl-basic-2000] rule 10 deny source 192.168.0.00.0.0.255```该命令表示在ACL2000中添加一条规则,拒绝源IP地址为192.168.0.0/24的流量。
规则可以根据实际需求,设置允许或拒绝特定的IP地址、协议、端口号等。
4.设置允许的流量:```[Huawei-acl-basic-2000] rule 20 permit source any```该命令表示在ACL2000中添加一条规则,允许任意源IP地址的流量。
5.配置ACL应用:```[Huawei] interface gigabitethernet 0/0/1[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl2000```该命令表示在接口GigabitEthernet0/0/1上应用入方向的ACL 2000。
四、实例下面是一个示例,展示如何通过ACL配置,限制一些IP地址访问设备:1.创建ACL:```[Huawei] acl number 2000``````[Huawei-acl-basic-2000] rule 10 deny source 192.168.0.10.0.0.0```3.设置允许的流量:```[Huawei-acl-basic-2000] rule 20 permit source any```4.配置ACL应用:```[Huawei] interface gigabitethernet 0/0/1[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl2000```这样,ACL 2000就应用在接口GigabitEthernet0/0/1的入方向上了。
华为ACL-基础配置篇
华为eNSP 配置ACL 扩展时间:2014-11-30 17:18:22阅读:969评论:0收藏:0 [点我收藏+]标签:华为路由器ensp交换机acl 扩展acl基本命令华为路由器华为路由器华为路由器华为路由器:通过通过通过通过ACL(访问控制列表访问控制列表访问控制列表访问控制列表)限制上网限制上网限制上网限制上网默认分类2009-06-10 07:52:48 阅读79 评论0 字号:大中小登录到路由器telnet 192.168.1.1 输入用户名,密码acl number 3000 (如果不存在,创建访问列表;存在则添加一条限制)允许192.168.1.99上网:rule 10 permit ip source 192.168.1.99 0 destination 0.0.0.0 0.0.0.0 说明:192.168.1.99 0 表示允许192.168.1.99这台主机,0表示本机。
rule 规则编号ip source 主机反子网掩码destination 目的IP 反子网掩码如果要允许多个连续IP上网:rule 11 permit ip source 192.168.1.16 0.0.0.15 destination 0.0.0.0 0.0.0.0 表示允许192.168.1.16/28 即:192.168.1.17-192.168.1.30可以上网同样,可以限制某IP只能访问某一个网站:例如,允许192.168.1.98这台主机只能访问 rule 13 permit ip source 192.168.1.98 0 destination 121.14.89.14 0 某个网站的IP:可以打开命令提示符,ping (以百度为例) 最后不要忘记:rule 12 deny any any 把不符合以上规则的数据都过滤掉,这样只有上面列出的ip才可以上网。
ACL基本扩展1.实验拓扑:使用ENSP模拟器(版本V100R002C001.2.00.350)2.实验需求1:给R1做一个dhcp地址池2:做基本的和扩展的NAT 3:用vm8绑在2008上3.实验配置给网卡设ip基本[Huawei]int g0/0/1[Huawei-GigabitEthernet0/0/1]ip add192.168.10.124 [Huawei-GigabitEthernet0/0/1]int g0/0/0[Huawei-GigabitEthernet0/0/0]ip add192.168.20.124[Huawei]dhcp enable做地址池[Huawei]int g0/0/1[Huawei-GigabitEthernet0/0/1]dhcp select interface放入0/0/1接口2008收到地址Huawei]acl2014[Huawei-acl-basic-2014]rule deny source192.168.10.2520让10.252不能上[Huawei-acl-basic-2014]rule permit source anydis this[Huawei-acl-basic-2014]rule6deny source192.168.10.2530中间添加一个6 [Huawei-acl-basic-2014]dis thisHuawei-acl-basic-2014]undo rule6直接加上6就能删了[Huawei-acl-basic-2014]dis this[Huawei-acl-basic-2014]int g0/0/0[Huawei-GigabitEthernet0/0/0]traffic-filter outbound acl2014[Huawei-GigabitEthernet0/0/0]display acl all[Huawei-GigabitEthernet0/0/0]un traffic-filter outboundq扩展[Huawei]undo acl2014[Huawei]acl3014[Huawei-acl-adv-3014]rule deny tcp source192.168.10.00.0.0.255destination192.168.20.80destination-port eq8010.0网段不能通过20.8获取www[Huawei-acl-adv-3014]rule permit ip source any destination anyHuawei-acl-adv-3014]int g0/0/1[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl3014[Huawei-GigabitEthernet0/0/1]dis acl all配置时间[Huawei]time-range work8:00to11:30working-day建立时间组[Huawei-acl-adv-3014]rule deny tcp source192.168.10.00.0.0.255destination192.168.20.80destination-port eq80time-range ftp-access加上时间组user-int vty04acl3014inbound设在这里安全。
华为交换机高级ACL配置
华为交换机⾼级ACL配置ACL扩展应⽤(ACL)是应⽤在接⼝的指令列表。
这些指令列表⽤来告诉路由器哪能些可以收、哪能数据包需要拒绝。
⾄于数据包是被接收还是拒绝,可以由类似于源地址、⽬的地址、等的特定指⽰条件来决定。
扩展IP访问控制列表是其中重要的⼀种扩展IP访问控制列表⽐标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、⽬的地址、、⽬的端⼝、建⽴连接的和IP等。
编号范围是从100到199的访问控制列表是扩展IP访问控制列表。
扩展的格式:access-list ACL号 [permit|deny][协议] [定义过滤源范围] [定义过滤源端⼝] [定义过滤⽬的主机访问] [定义过滤⽬的端⼝]华为交换机⾼级 ACL配置命令:[HUAWEI-5700]acl 3000进⼊⾼级ACL配置列表[HUAWEI-5700-acl-adv-3000]rule 5 deny tcp source 192.168.10.0 0.0.0.255 destination 10.10.100.100 0 destination-port eq 80拒绝来⾃ 192.168.10.0 此⽹段内所有主机访问 10.10.100.100 此服务器的TCP 80端⼝的流量http协议默认为80端⼝[HUAWEI-5700-acl-adv-3000]rule 10 deny tcp source 192.168.20.0 0.0.0.255 destination 10.10.200.200 0 destination-port eq 21拒绝来⾃192.168.20.0 此⽹段内所有主机访问 10.10.200.200 此服务器的TCP 21端⼝的流量Ftp协议默认为21端⼝[HUAWEI-5700-acl-adv-3000]rule 15 deny udp source 192.168.30.0 0.0.0.255 destination 172.16.10.100 0 destination-port eq 53拒绝来⾃192.168.30.0 此⽹段内所有主机访问 172.16.10.100 此服务器的UDP 53端⼝的流量DNS协议默认为53端⼝[HUAWEI-5700-acl-adv-3000]rule 20 permit tcp source 192.168.40.0 0.0.0.255 destination 61.10.10.10 0 destination-port eq 110允许来⾃192.168.40.0 此⽹段内所有主机访问 61.10.10.10 此服务器的TCP 110端⼝的流量POP3协议默认为110端⼝[HUAWEI-5700-acl-adv-3000]rule 25 permit tcp source 192.168.50.0 0.0.0.255 destination 61.11.11.11 0 destination-port eq 23允许来⾃192.168.50.0 此⽹段内所有主机访问 61.11.11.11 此服务器的TCP 23端⼝的流量telnet协议默认为23端⼝[HUAWEI-5700-acl-adv-3000]rule 30 permit tcp source 192.168.60.0 0.0.0.255 destination 66.11.11.10 0 destination-port eq 25允许来⾃192.168.60.0 此⽹段内所有主机访问 66.11.11.10 此服务器的TCP 25端⼝的流量smtp协议默认为23端⼝[HUAWEI-5700-acl-adv-3000]rule 35 deny udp source 10.10.50.5 0.0.0.0 destination 172.16.20.100 0.0.0.0 destination-port eq 161拒绝10.10.50.5此主机访问 172.16.20.100 此终端的UDP 161端⼝的流量snmp协议默认为161端⼝查看acl配置列表:[HUAWEI-5700-acl-adv-3000]display this#acl number 3000rule 5 deny tcp source 192.168.10.0 0.0.0.255 destination 10.10.100.100 0 destination-port eq wwwrule 10 deny tcp source 192.168.20.0 0.0.0.255 destination 10.10.200.200 0 destination-port eq ftprule 15 deny udp source 192.168.30.0 0.0.0.255 destination 172.16.10.100 0 destination-port eq dnsrule 20 permit tcp source 192.168.40.0 0.0.0.255 destination 61.10.10.10 0 destination-port eq pop3rule 25 permit tcp source 192.168.50.0 0.0.0.255 destination 61.11.11.11 0 destination-port eq telnetrule 30 permit tcp source 192.168.60.0 0.0.0.255 destination 66.11.11.10 0 destination-port eq smtprule 35 deny udp source 10.10.50.5 0 destination 172.16.20.100 0 destination-port eq snmp华为交换机端⼝调⽤ACL配置命令:[HUAWEI-5700]interface GigabitEthernet 0/0/1进⼊需要调⽤ACL的交换机端⼝[HUAWEI-5700-GigabitEthernet0/0/1]traffic-filter outbound acl 3000在些端⼝的出⽅向调⽤ACL3000[HUAWEI-5700-GigabitEthernet0/0/1]traffic-filter inbound acl 3000在此端⼝的⼊⽅向调⽤ACL3000注:每个端⼝的⼀个⽅向上只能调⽤⼀个ACL列表,也就是outbound 和 inbound 两个⽅向上有且只能有⼀个ACL。
华为路由配置ACL
华为路由配置ACLACL(access control list):访问控制列表基本ACL(2000~2999):只能匹配源IP⾼级ACL(3000~3999):可以匹配源IP,⽬标IP,源端⼝,⽬标端⼝,⽹络协议等⽹络拓扑图如下:【先打通1.1.1.0~8.8.8.0⽹络之间互通,配置ACL之前先保证两个⽹段之间互通,交换机不配置直接当傻⽠交换机使】基本ACL举例:拒绝Client 1访问8.8.8.X⽹段[R2]acl 2000 #创建ACL 2000[R2-acl-basic-2000]rule deny source 1.1.1.10.0.0.0 #拒绝1.1.1.1这个IP访问,如果反掩码使⽤0.0.0.255代表拒绝1.1.1.X这个⽹段[R2-acl-basic-2000]quit #退出[R2]interface GigabitEthernet 0/0/0 #进⼊g0/0/0接⼝[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 #在接⼝下调⽤ACL规则,拒绝进⽅向源IP为1.1.1.1数据包通过 也可在R1上配置ACL实现相同功能 [R1]acl 2000 #创建ACL 2000 [R1-acl-basic-2000]rule deny source 1.1.1.1 0.0.0.0 #创建规则拒绝源IP为1.1.1.1 [R1-acl-basic-2000]quit #退出 [R1]interface GigabitEthernet 0/0/1 #进⼊g0/0/1 [R1-GigabitEthernet0/0/1]traffic-filter inbound acl 2000 #拒绝进⽅向源IP为1.1.1.1数据包通过 或者在R1的出⼝⽅向调⽤ACL也⾏ [R1]interface gig0/0/0 进⼊g0/0/0接⼝ [R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000 #出⼝⽅向调⽤ACL⾼级ACL举例:拒绝Client 1和PC2 ping 8.8.8.X⽹段,但允许其http访问8.8.8.X⽹段[R2]acl 3000 #创建⾼级ACL 3000[R2-acl-adv-3000]rule deny icmp source 1.1.1.00.0.0.255 destination 8.8.8.00.0.0.255 #拒绝1.1.1.X⽹段通过ICMP协议ping 8.8.8.0⽹段[R2-acl-adv-3000]quit #退出[R2]interface GigabitEthernet 0/0/0 #进⼊g0/0/0[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 #调⽤acl 3000⾼级ACL举例:拒绝PC 2 Telnet R2[R2]acl 3001 #创建acl 3001[R2-acl-adv-3001]rule deny tcp source 1.1.1.20.0.0.0 destination 5.5.5.20.0.0.0 destination-port eq telnet #拒绝源IP为1.1.1.2 Telnet 5.5.5.2[R2-acl-adv-3001]quit #退出[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3001 #在接⼝下调⽤ACL 3001ACL需要注意以下事项:⼀个接⼝的同⼀个⽅向,只能调⽤⼀个ACL规则⼀个ACL中可以有多个rule规则,从上往下依次执⾏数据包⼀旦被某条rule匹配,就不再继续向下匹配华为交换机的acl⽤来拒绝数据包时【默认是放⾏所有规则】。
华为ACL配置教程
华为ACL配置教程一、ACL基本配置1、ACL规则生效时间段配置(需要先配置设备的时间,建议用ntp同步时间)某些引用ACL的业务或功能需要限制在一定的时间范围内生效,比如,在流量高峰期时启动设备的QoS功能。
用户可以为ACL创建生效时间段,通过在规则中引用时间段信息限制ACL生效的时间范围,从而达到该业务或功能在一定的时间范围内生效的目的。
[Huawei]time-range test ?<hh:mm> Starting timefrom The beginning point of the time range[Huawei]time-range test 8:00 ?to The ending point of periodic time-range[Huawei]time-range test 8:00 t[Huawei]time-range test 8:00 to ?<hh:mm> Ending Time[Huawei]time-range test 8:00 to 18:05 ?<0-6> Day of the week(0 is Sunday)Fri Friday #星期五Mon Monday #星期一Sat Saturday #星期六Sun Sunday #星期天Thu Thursday #星期四Tue Tuesday #星期二Wed Wednesday #星期三daily Every day of the week #每天off-day Saturday and Sunday #星期六和星期日working-day Monday to Friday #工作日每一天[Huawei]time-range test from 8:00 2016/1/17 to 18:00 2016/11/17使用同一time-name可以配置多条不同的时间段,以达到这样的效果:各周期时间段之间以及各绝对时间段之间分别取并集之后,再取二者的交集作为最终生效的时间范围。
华为交换机ACL控制列表设置
交换机配置〔三〕ACL基本配置1,二层ACL. 组网需求:通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤.该主机从GigabitEthernet0/1接入..配置步骤:<1>定义时间段# 定义8:00至18:00的周期时间段.[Quidway] time-range huawei 8:00 to 18:00 daily<2>定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL# 进入基于名字的二层访问控制列表视图,命名为traffic-of-link.[Quidway] acl name traffic-of-link link#定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则. [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress00e0-fc01-0303 0-0-0 time-range huawei<3>激活ACL.# 将traffic-of-link的ACL激活.[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link2三层ACL a>基本访问控制列表配置案例. 组网需求:通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤.该主机从GigabitEthernet0/1接入..配置步骤:<1>定义时间段# 定义8:00至18:00的周期时间段.[Quidway] time-range huawei 8:00 to 18:00 daily<2>定义源IP为10.1.1.1的ACL# 进入基于名字的基本访问控制列表视图,命名为traffic-of-host.[Quidway] acl name traffic-of-host basic# 定义源IP为10.1.1.1的访问规则.[Quidway-acl-basic-traffic-of-host] rule 1 deny ip source 10.1.1.1 0 time-range huawei<3>激活ACL.# 将traffic-of-host的ACL激活.[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-hostb>高级访问控制列表配置案例.组网需求:公司企业网通过Switch的端口实现各部门之间的互连.研发部门的由GigabitEthernet0/1端口接入,工资查询服务器的地址为129.110.1.2.要求正确配置ACL,限制研发部门在上班时间8:00至18:00访问工资服务器..配置步骤:<1>定义时间段# 定义8:00至18:00的周期时间段.定义时间-ACL规则创建-设定规则-激活规则[Quidway] time-range huawei 8:00 to 18:00 working-day<2>定义到工资服务器的ACL# 进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver.[Quidway] acl name traffic-of-payserver advanced# 定义研发部门到工资服务器的访问规则.[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei<3>激活ACL.# 将traffic-of-payserver的ACL激活.[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver3,常见病毒的ACL创建aclacl number 100禁pingrule deny icmp source any destination any用于控制Blaster蠕虫的传播rule deny udp source any destination any destination-port eq 69rule deny tcp source any destination any destination-port eq 4444用于控制冲击波病毒的扫描和攻击rule deny tcp source any destination any destination-port eq 135rule deny udp source any destination any destination-port eq 135rule deny udp source any destination any destination-port eq netbios-nsrule deny udp source any destination any destination-port eq netbios-dgmrule deny tcp source any destination any destination-port eq 139rule deny udp source any destination any destination-port eq 139rule deny tcp source any destination any destination-port eq 445rule deny udp source any destination any destination-port eq 445rule deny udp source any destination any destination-port eq 593rule deny tcp source any destination any destination-port eq 593用于控制振荡波的扫描和攻击rule deny tcp source any destination any destination-port eq 445rule deny tcp source any destination any destination-port eq 5554rule deny tcp source any destination any destination-port eq 9995rule deny tcp source any destination any destination-port eq 9996用于控制Worm_MSBlast.A 蠕虫的传播rule deny udp source any destination any destination-port eq 1434下面的不出名的病毒端口号〔可以不作〕rule deny tcp source any destination any destination-port eq 1068rule deny tcp source any destination any destination-port eq 5800rule deny tcp source any destination any destination-port eq 5900rule deny tcp source any destination any destination-port eq 10080rule deny tcp source any destination any destination-port eq 455rule deny udp source any destination any destination-port eq 455rule deny tcp source any destination any destination-port eq 3208rule deny tcp source any destination any destination-port eq 1871rule deny tcp source any destination any destination-port eq 4510rule deny udp source any destination any destination-port eq 4334rule deny tcp source any destination any destination-port eq 4331rule deny tcp source any destination any destination-port eq 4557然后下发配置packet-filter ip-group 100目的:针对目前网上出现的问题,对目的是端口号为1434的UDP报文进行过滤的配置方法,详细和复杂的配置请看配置手册.NE80的配置:NE80<config>#rule-map r1 udp any any eq 1434//r1为role-map的名字,udp 为关键字,any any 所有源、目的IP,eq为等于,1434为udp端口号NE80<config>#acl a1 r1 deny//a1为acl的名字,r1为要绑定的rule-map的名字,NE80<config-if-Ethernet1/0/0>#access-group acl a1//在1/0/0接口上绑定acl,acl为关键字,a1为acl的名字NE16的配置:NE16-4<config>#firewall enable all//首先启动防火墙NE16-4<config>#access-list 101 deny udp any any eq 1434//deny为禁止的关键字,针对udp报文,any any 为所有源、目的IP,eq为等于, 1434为udp 端口号NE16-4<config-if-Ethernet2/2/0>#ip access-group 101 in//在接口上启用access-list,in表示进来的报文,也可以用out表示出去的报文中低端路由器的配置[Router]firewall enable[Router]acl 101[Router-acl-101]rule deny udp source any destion any destination-port eq 1434[Router-Ethernet0]firewall packet-filter 101 inbound6506产品的配置:旧命令行配置如下:6506<config>#acl extended aaa deny protocol udp any any eq 14346506<config-if-Ethernet5/0/1>#access-group aaa国际化新命令行配置如下:[Quidway]acl number 100[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway-acl-adv-100]quit[Quidway]interface ethernet 5/0/1[Quidway-Ethernet5/0/1]packet-filter inbound ip-group 100 not-care-for-interface5516产品的配置:旧命令行配置如下:5516<config>#rule-map l3 aaa protocol-type udp ingress any egress any eq 14345516<config>#flow-action fff deny5516<config>#acl bbb aaa fff5516<config>#access-group bbb国际化新命令行配置如下:[Quidway]acl num 100[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway]packet-filter ip-group 1003526产品的配置:旧命令行配置如下:rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434flow-action f1 denyacl acl1 r1 f1access-group acl1国际化新命令配置如下:acl number 100rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0packet-filter ip-group 101 rule 0注:3526产品只能配置外网对内网的过滤规则,其中1.1.0.0 255.255.0.0是内网的地址段. 8016产品的配置:旧命令行配置如下:8016<config>#rule-map intervlan aaa udp any any eq 14348016<config>#acl bbb aaa deny8016<config>#access-group acl bbb vlan 10 port all国际化新命令行配置如下:8016<config>#rule-map intervlan aaa udp any any eq 14348016<config>#eacl bbb aaa deny8016<config>#access-group eacl bbb vlan 10 port all防止同网段ARP欺骗的ACL一、组网需求:1. 二层交换机阻止网络用户仿冒网关IP的ARP攻击二、组网图:图1二层交换机防ARP攻击组网S3552P是三层设备,其中IP:100.1.1.1是所有PC的网关,S3552P上的网关MAC地址为000f-e200-3999.PC-B上装有ARP攻击软件.现在需要对S3026C_A进行一些特殊配置,目的是过滤掉仿冒网关IP的ARP报文.三、配置步骤对于二层交换机如S3026C等支持用户自定义ACL〔number为5000到5999〕的交换机,可以配置ACL来进行ARP报文过滤.全局配置ACL禁止所有源IP是网关的ARP报文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉,其中斜体部分64010101是网关IP地址100.1.1.1的16进制表示形式.Rule1允许通过网关发送的ARP报文,斜体部分为网关的mac地址000f-e200-3999.注意:配置Rule时的配置顺序,上述配置为先下发后生效的情况.在S3026C-A系统视图下发acl规则:[S3026C-A] packet-filter user-group 5000这样只有S3026C_A上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的arp响应报文.三层交换机实现仿冒网关的ARP防攻击一、组网需求:1. 三层交换机实现防止同网段的用户仿冒网关IP的ARP攻击二、组网图图2三层交换机防ARP攻击组网三、配置步骤1.对于三层设备,需要配置过滤源IP是网关的ARP报文的ACL规则,配置如下ACL规则:acl number 5000rule 0 deny 0806 ffff 24 64010105 ffffffff 40rule0禁止S3526E的所有端口接收冒充网关的ARP报文,其中斜体部分64010105是网关IP地址的16进制表示形式.2.下发ACL到全局[S3526E] packet-filter user-group 5000仿冒他人IP的ARP防攻击一、组网需求:作为网关的设备有可能会出现错误ARP的表项,因此在网关设备上还需对用户仿冒他人IP的ARP攻击报文进行过滤.二、组网图:参见图1和图2三、配置步骤:1.如图1所示,当PC-B发送源IP地址为PC-D的arp reply攻击报文,源mac是PC-B 的mac <000d-88f8-09fa>,源ip是PC-D的ip<100.1.1.3>,目的ip和mac是网关〔3552P〕的,这样3552上就会学习到错误的arp,如下所示:--------------------- 错误arp表项--------------------------------IP Address MAC Address VLAN ID Port Name Aging Type100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic从网络连接可以知道PC-D的arp表项应该学习到端口E0/8上,而不应该学习到E0/2端口上.但实际上交换机上学习到该ARP表项在E0/2.上述现象可以在S3552上配置静态ARP实现防攻击:arp static 100.1.1.3 000f-3d81-45b4 1 e0/82.在图2 S3526C上也可以配置静态ARP来防止设备学习到错误的ARP表项.3.对于二层设备〔S3050C和S3026E系列〕,除了可以配置静态ARP外,还可以配置IP+MAC+port绑定,比如在S3026C端口E0/4上做如下操作:am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4端口绑定则IP为并且MAC为000d-88f8-09fa的ARP报文可以通过E0/4端口,仿冒其它设备的ARP报文则无法通过,从而不会出现错误ARP表项.四、配置关键点:此处仅仅列举了部分Quidway S系列以太网交换机的应用.在实际的网络应用中,请根据配置手册确认该产品是否支持用户自定义ACL和地址绑定.仅仅具有上述功能的交换机才能防止ARP欺骗.5,关于ACL规则匹配的说明a> ACL直接下发到硬件中的情况交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类.此时一条ACL中多个子规则的匹配顺序是由交换机的硬件决定的,用户即使在定义ACL时配置了匹配顺序也不起作用.ACL直接下发到硬件的情况包括:交换机实现QoS功能时引用ACL、硬件转发时通过ACL过滤转发数据等.b> ACL被上层模块引用的情况交换机也使用ACL来对由软件处理的报文进行过滤和流分类.此时ACL子规则的匹配顺序有两种:config〔指定匹配该规则时按用户的配置顺序〕和auto〔指定匹配该规则时系统自动排序,即按"深度优先"的顺序〕.这种情况下用户可以在定义ACL的时候指定一条ACL中多个子规则的匹配顺序.用户一旦指定某一条访问控制列表的匹配顺序,就不能再更改该顺序.只有把该列表中所有的规则全部删除后,才能重新指定其匹配顺序.ACL被软件引用的情况包括:路由策略引用ACL、对登录用户进行控制时引用ACL等.。
华为基本acl的编号范围
华为基本acl的编号范围摘要:1.华为基本ACL编号范围简介2.华为基本ACL编号范围的具体内容a.0-9b.1000-1999c.2000-2699d.2700-2799e.2800-2899f.2900-2999g.3000-3999h.4000-4999i.5000-5599j.6000-6599k.7000-7999l.8000-8999m.9000-99993.华为基本ACL编号范围的应用场景正文:华为基本ACL(Access Control List)编号范围是指在华为网络设备中,用于标识ACL规则的编号范围。
这些编号范围在网络设备配置和管理中起到关键作用,它们可以帮助网络工程师快速定位和识别特定的ACL规则。
华为基本ACL编号范围具体划分为以下几个部分:1.0-9:这个范围内的编号主要用于表示本地ACL,它们在设备内部使用,不用于标识网络中的ACL规则。
2.1000-1999:这个范围内的编号用于表示设备上的扩展ACL,通常用于标识企业网络中的ACL规则。
3.2000-2699:这个范围内的编号用于表示设备上的标准ACL,它们通常用于标识运营商网络中的ACL规则。
4.2700-2799:这个范围内的编号用于表示设备上的扩展ACL,与1000-1999范围内的编号类似,但它们在特殊场景下使用。
5.2800-2899:这个范围内的编号用于表示设备上的标准ACL,与2000-2699范围内的编号类似,但它们在特殊场景下使用。
6.2900-2999:这个范围内的编号用于表示设备上的扩展ACL,通常用于标识企业网络中的ACL规则。
7.3000-3999:这个范围内的编号用于表示设备上的标准ACL,通常用于标识运营商网络中的ACL规则。
8.4000-4999:这个范围内的编号用于表示设备上的扩展ACL,通常用于标识企业网络中的ACL规则。
9.5000-5599:这个范围内的编号用于表示设备上的标准ACL,通常用于标识运营商网络中的ACL规则。
华为交换机ACL控制列表设置
华为交换机ACL控制列表设置交换机配置(三)ACL基本配置1,二层ACL. 组网需求:通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。
该主机从GigabitEthernet0/1接入。
.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。
[Quidway] time-range huawei 8:00 to 18:00 daily(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL# 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。
[Quidway] acl name traffic-of-link link#定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。
[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei(3)激活ACL。
# 将traffic-of-link的ACL激活。
[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link2 三层ACLa)基本访问控制列表配置案例. 组网需求:通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP 为主机发出报文的过滤。
该主机从GigabitEthernet0/1接入。
.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。
[Quidway] time-range huawei 8:00 to 18:00 daily(2)定义源IP为的ACL# 进入基于名字的基本访问控制列表视图,命名为traffic-of-host。
华为基本acl的编号范围
华为基本acl的编号范围【最新版】目录1.华为基本 ACL 的简介2.华为基本 ACL 的编号范围3.华为基本 ACL 的应用场景4.华为基本 ACL 的配置方法正文【华为基本 ACL 的简介】华为基本 ACL(Access Control List,访问控制列表)是一种用于网络设备上实现流量控制的技术。
通过配置 ACL,可以对网络中的报文进行过滤和识别,从而实现对特定流量的允许或阻止。
在华为网络设备中,ACL 分为基本 ACL 和高级 ACL 两种,其中基本 ACL 具有较低的配置复杂度,适用于简单的流量控制需求。
【华为基本 ACL 的编号范围】华为基本 ACL 的编号范围是 1-99,其中 1-98 为标准 ACL,99 为私有 ACL。
标准 ACL 的编号是连续的,而私有 ACL 的编号不连续,它们之间有一些空闲的编号。
私有 ACL 通常用于特定场景,如 VPN 等。
【华为基本 ACL 的应用场景】华为基本 ACL 主要应用于以下场景:1.接口的入方向:对接口接收到的报文进行过滤,根据配置的规则允许或阻止报文通过。
2.接口的出方向:对接口发送的报文进行过滤,根据配置的规则允许或阻止报文通过。
3.VLAN:对特定 VLAN 的报文进行过滤,根据配置的规则允许或阻止报文通过。
【华为基本 ACL 的配置方法】配置华为基本 ACL 的步骤如下:1.登录华为网络设备,进入系统视图或接口视图。
2.创建一个基本 ACL,使用命令“ip access-list extended {ACL_编号}”。
3.配置 ACL 规则,使用命令“rule {规则编号} {动作} {条件}”。
其中,动作为“permit”或“deny”,条件包括源 IP 地址、目标 IP 地址、协议类型、端口号等。
4.将 ACL 应用于相应的接口或 VLAN,使用命令“interface {接口名称}”或“interface vlan {VLAN 编号}”进入相应视图,然后使用命令“ip access-group {ACL_编号} in”或“ip access-group {ACL_编号} out”将 ACL 应用于接口的入方向或出方向。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.进入3000号的高级访问控制列表视图
[H3C] acl number 3000
2.定义访问规则禁止研发部门与技术支援部门之间互访
[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
[H3C] interface g1/1/2
[H3C-GigabitEthernet1/1/2] qos apply policy abc inbound
8.补充说明:
l acl只是用来区分数据流,permit与deny由filter确定;
l 如果一个端口同时有permit和deny的数据流,需要分别定义流分类和流行为,并在同一QoS策略中进行关联;
[H3C-behavior-abc] quit
6.定义Qos策略,将流分类和流行为进行关联
[H3C]qos policy abc
[H3C-qospolicy-abc] classifier abc behavior abc
[H3C-qospolicy-abc] quit
7.在端mber 4000
2.定义访问规则过滤源MAC为00e0-fc01-0101的报文
[H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei
[H3C-Vlan-interface20]ip address 10.1.2.1 24
[H3C-Vlan-interface20]quit
[H3C]interface vlan 30
3.在接口上应用4000号ACL
[H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4
[H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 4000
2 H3C 5500-SI 3610 5510系列交换机典型访问控制列表配置
l QoS策略会按照配置顺序将报文和classifier相匹配,当报文和某一个classifier匹配后,执行该classifier所对应的behavior,然后策略执行就结束了,不会再匹配剩下的classifier;
l 将QoS策略应用到端口后,系统不允许对应修改义流分类、流行为以及QoS策略,直至取消下发。
二 组网图:
三 配置步骤:
1 H3C 3600 5600 5100系列交换机典型访问控制列表配置
共用配置
1.根据组网图,创建四个vlan,对应加入各个端口
<H3C>system-view
[H3C]vlan 10
需求1配置(基本ACL配置)
1.进入2000号的基本访问控制列表视图
[H3C-GigabitEthernet1/0/1] acl number 2000
2.定义访问规则过滤10.1.1.2主机发出的报文
[H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei
3.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器
[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei
[H3C-acl-adv-3000] quit
3.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器
[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei
[H3C-acl-adv-3000] quit
[H3C-vlan40]port GigabitEthernet 1/0/4
[H3C-vlan40]quit
2.配置各VLAN虚接口地址
[H3C]interface vlan 10
需求2配置(高级ACL配置)
1.进入3000号的高级访问控制列表视图
[H3C] acl number 3000
2.定义访问规则禁止研发部门与技术支援部门之间互访
[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
[H3C-vlan20]port GigabitEthernet 1/0/3
[H3C-vlan20]vlan 30
[H3C-Vlan-interface30]ip address 10.1.3.1 24
[H3C-Vlan-interface30]quit
[H3C]interface vlan 40
4.定义流分类
[H3C] traffic classifier abc
[H3C-classifier-abc]if-match acl 3000
[H3C-classifier-abc]quit
5.定义流行为,确定禁止符合流分类的报文
[H3C] traffic behavior abc
[H3C-behavior-abc] filter deny
[H3C-vlan30]port GigabitEthernet 1/0/3
[H3C-vlan30]vlan 40
3.在接口上应用2000号ACL
[H3C-acl-basic-2000] interface GigabitEthernet1/0/1
[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000
[H3C-GigabitEthernet1/0/1] quit
[H3C-vlan10]port GigabitEthernet 1/0/1
[H3C-vlan10]vlan 20
四 配置关键点:
1.time-name 可以自由定义;
2.设置访问控制规则以后,一定要把规则应用到相应接口上,应用时注意inbound方向应与rule中source和destination对应;
3.S5600系列交换机只支持inbound方向的规则,所以要注意应用接口的选择;
[H3C-vlan20]port GigabitEthernet 1/0/2
[H3C-vlan20]vlan 20
一 组网需求:
1.通过配置基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.2主机发出报文的过滤;
2.要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限制研发部门在上班时间8:00至18:00访问工资查询服务器;
3.通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。
[H3C-Vlan-interface40]ip address 10.1.4.1 24
[H3C-Vlan-interface40]quit
3.定义时间段
[H3C] time-range huawei 8:00 to 18:00 working-day
[H3C-Vlan-interface10]ip address 10.1.1.1 24
[H3C-Vlan-interface10]quit
[H3C]interface vlan 20
4.在接口上用3000号ACL
[H3C-acl-adv-3000] interface GigabitEthernet1/0/2
[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000
需求3配置(二层ACL配置)
1.进入4000号的二层访问控制列表视图