华为交换中端产品QACL配置案例集
华为核心侧案例集
案例1:鉴权配置错误导致4G用户附着失败现象描述:U国某局点反映用运营商4G旧终端能够上网,而用新终端(如华为Ascend P1 LTE、E392及其他终端)不能附着到网络,所以需要分析是什么原因导致新终端附着不到网络。
USN 版本:V900R011C01SPC300告警信息:原因分析:USN上的告警时GTPC隧道路径断,查看USN配置,发现37.110.209.209的地址描述是DESC="Gn/S10/S11 control plane",基本可以排除问题是由此告警导致的。
从问题现象来看,可能的原因有:1)终端的问题。
2)USN少配置数据,导致新终端不能接入网络。
3)HSS签约数据问题,可能限制了终端的类型,导致某类终端不能接入4G网络。
处理过程:1)查看新终端附着不成功的跟踪文件,发现失败原因都是eMM-cause:uE-security-capabilities-mismatch ,UE的安全能力不匹配,很有可能是加密没有开启导致的。
2)查看配置ADD S1USRSECPARA: IMSIPRE="DEFAULT", SECPLC=NEVER;设置了所有的用户都不鉴权加密,按照协议规定,所有的4G用户都是应该开启鉴权加密的,产品文档也写了的。
所以开启鉴权加密进行测试。
3)开启鉴权加密后,测试仍然失败,失败原因值是eMM-cause:message-not-compatible-with-the-protocol-state,当前协议状态下消息不可得。
从后面的消息中又发现了time out的现象,超时原因是等待attach complete消息超时4)查看协议23401,第23步,协议规定MME在收到 Initial Context Response消息和Attach Complete后才会给SGW发送Modify Bearer Request 消息,很显然,问题出现在UE没有及时的给MME发送attach complete消息。
H3C-QACL操作
目录第1章 ACL配置....................................................................................................................... 1-11.1 访问控制列表简介.............................................................................................................. 1-11.1.1 访问控制列表概述 ................................................................................................... 1-11.1.2 以太网交换机支持的访问控制列表.......................................................................... 1-21.2 ACL配置............................................................................................................................ 1-31.2.1 时间段配置 .............................................................................................................. 1-41.2.2 定义和应用流模板 ................................................................................................... 1-51.2.3 定义访问控制列表 ................................................................................................... 1-71.2.4 激活访问控制列表 ................................................................................................... 1-91.3 访问控制列表显示和调试 ................................................................................................. 1-101.4 访问控制列表典型配置案例.............................................................................................. 1-111.4.1 高级访问控制列表配置案例................................................................................... 1-111.4.2 基本访问控制列表配置案例................................................................................... 1-121.4.3 二层访问控制列表配置案例................................................................................... 1-13第2章 QoS配置 ...................................................................................................................... 2-12.1 QoS简介............................................................................................................................ 2-12.2 端口组下的QoS配置简介.................................................................................................. 2-52.2.1 端口组下的QoS配置过程....................................................................................... 2-52.2.2 端口组下的QoS配置举例....................................................................................... 2-72.3 QoS配置............................................................................................................................ 2-82.3.1 服务参数分配规则配置 ............................................................................................ 2-92.3.2 流量监管................................................................................................................ 2-102.3.3 流量整形................................................................................................................ 2-132.3.4 优先级标记配置..................................................................................................... 2-142.3.5 报文重定向配置..................................................................................................... 2-152.3.6 队列调度配置......................................................................................................... 2-172.3.7 拥塞避免配置......................................................................................................... 2-182.3.8 流镜像配置 ............................................................................................................ 2-192.3.9 端口镜像配置......................................................................................................... 2-202.3.10 流量统计配置....................................................................................................... 2-222.3.11 QoS的显示和调试............................................................................................... 2-222.4 QoS配置实例................................................................................................................... 2-242.4.1 流量整形配置实例 ................................................................................................. 2-242.4.2 端口镜像配置实例 ................................................................................................. 2-242.4.3 优先级标记配置实例.............................................................................................. 2-252.4.4 报文重定向配置实例.............................................................................................. 2-272.4.5 队列调度配置实例 ................................................................................................. 2-272.4.6 拥塞避免配置实例 ................................................................................................. 2-292.4.7 流量统计配置实例 ................................................................................................. 2-30第3章配置登录用户的ACL控制 ............................................................................................ 3-13.1 简介.................................................................................................................................... 3-13.2 配置对TELNET用户的ACL控制...................................................................................... 3-13.2.1 定义访问控制列表 ................................................................................................... 3-13.2.2 引用访问控制列表,对TELNET用户进行控制....................................................... 3-23.2.3 配置举例.................................................................................................................. 3-33.3 对通过SNMP访问交换机的用户的ACL控制 ................................................................... 3-33.3.1 定义访问控制列表 ................................................................................................... 3-43.3.2 引用访问控制列表,对通过SNMP访问交换机的用户进行控制 ............................. 3-43.3.3 配置举例.................................................................................................................. 3-5第1章 ACL配置1.1 访问控制列表简介1.1.1 访问控制列表概述为了过滤通过网络设备的数据包,需要配置一系列的匹配规则,以识别需要过滤的对象。
华为数据中心5800交换机01-02 MQC配置
2 MQC配置关于本章通过配置MQC,按照某种规则对流量进行分类,并对同种类型的流量关联某种动作,实现针对不同业务的差分服务。
2.1 MQC简介模块化QoS命令行MQC(Modular QoS Command-Line Interface)是指通过将具有某类共同特征的报文划分为一类,并为同一类报文提供相同的服务,也可以对不同类的报文提供不同的服务。
2.2 配置注意事项介绍MQC的配置注意事项。
2.3 配置MQC介绍MQC详细的配置过程。
2.4 维护MQC使能了流量统计功能后,可以查看MQC配置的统计信息,分析报文的通过和丢弃情况。
2.1 MQC简介模块化QoS命令行MQC(Modular QoS Command-Line Interface)是指通过将具有某类共同特征的报文划分为一类,并为同一类报文提供相同的服务,也可以对不同类的报文提供不同的服务。
随着网络中QoS业务的不断丰富,在网络规划时若要实现对不同流量(如不同业务或不同用户)的差分服务,会使部署比较复杂。
MQC的出现,使用户能对网络中的流量进行精细化处理,用户可以更加便捷的针对自己的需求对网络中的流量提供不同的服务,完善了网络的服务能力。
MQC三要素MQC包含三个要素:流分类(traffic classifier)、流行为(traffic behavior)和流策略(traffic policy)。
l流分类流分类用来定义一组流量匹配规则,以对报文进行分类。
流分类规则如表2-1所示:表2-1流分类的分类规则流分类中各规则之间的关系分为:and或or,缺省情况下的关系为or。
–and:当流分类中包含ACL规则时,报文必须匹配其中一条ACL规则以及所有非ACL规则才属于该类;当流分类中没有ACL规则时,报文必须匹配所有非ACL规则才属于该类。
–or:报文只要匹配了流分类中的一个规则,设备就认为报文属于此类。
l流行为流行为用来定义针对某类报文所做的动作。
华为S9300系列交换机详细说明书
Realize Your Potential华为技术有限公司Huawei S9300系列交换机详版彩页01 Huawei S9300系列交换机Huawei S9300系列是华为公司面向融合多业务的网络架构而推出的新一代高端智能T比特核心路由交换机。
该产品基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能L2/L3层交换服务S9303 S9306 S9312S9310产品特点S9300敏捷交换机,让网络更敏捷地为业务服务• S9300 敏捷单板内置高速灵活的以太网络处理器ENP,针对以太网专属设计。
借其灵活的报文处理及流量控制能力,深入贴近业务,满足现在及未来的各种挑战,助力客户构建弹性扩展的网络。
ENP芯片采用全可编程架构,可以完全自定义流量的转发模式、转发行为和查找算法。
通过微码编程实现新业务,客户无需更换新的硬件,快速灵活,6个月即可上线,而传统AS I C 芯片采用固定的转发架构和转发流程,新业务无法快速部署,需要等待1~3年的硬件支持。
• 凭借敏捷单板,S9300支持统一用户管理功能,屏蔽了接入层设备能力和接入方式的差异,支持802.1X/ MAC/Portal等多种认证方式,支持对用户进行分组/分域/分时的管理,用户、业务可视可控,实现了从“以设备管理为中心”到“以用户管理为中心”的飞跃。
• 凭借敏捷单板,S9300支持iPCA网络包守恒算法,改变了传统利用模拟流量做故障定位的检测模型,可对任意业务流随时随地逐点检测网络质量,无需额外开销;可在短时间内立刻检测业务闪断性故障,检测直接精准到故障端口,实现从“粗放式运维”到“精准化运维”的大转变。
• 凭借敏捷单板,S9300支持1588v2和同步以太,满足网络设备间的高精度时间同步,相比GPS的时间不同方案,提升安全的同时降低成本。
创新的CSS集群技术• S9300可通过集群卡连接和业务口连接两种方式实现虚拟化。
CSS集群创新性采用交换网集群技术,提供业界主机间最大的320G集群带宽;业务口集群支持成员机通过LPU上的普通业务口连接,将LPU上的业务口配置为堆叠物理成员端口后加入逻辑堆叠端口,通过SFP+光模块和光纤或SFP+堆叠线缆将堆叠物理成员端口连接。
华为核心侧案例集
案例1:鉴权配置错误导致4G用户附着失败现象描述:U国某局点反映用运营商4G旧终端能够上网,而用新终端(如华为Ascend P1LTE、E392及其他终端)不能附着到网络,因此需要分析是什么原因导致新终端附着不到网络。
USN版本:V900R011C01SPC300告警信息:原因分析:USN上的告警时GTPC隧道路径断,查看USN配置,发现37、110、209、209的地址描述是DESC="Gn/S10/S11controlplane",基本能够排除问题是由此告警导致的。
从问题现象来看,估计的原因有:1)终端的问题。
2)USN少配置数据,导致新终端不能接入网络。
3)HSS签约数据问题,估计限制了终端的类型,导致某类终端不能接入4G网络、处理过程:1)查看新终端附着不成功的跟踪文件,发现失败原因都是eMM—cause:uE—security-capabilities-mismatch ,UE的安全能力不匹配,特别有估计是加密没有开启导致的。
2)查看配置ADDS1USRSECPARA: IMSIPRE="DEFAULT”,SECPLC=NEVER;设置了所有的用户都不鉴权加密,依照协议规定,所有的4G用户都是应该开启鉴权加密的,产品文档也写了的。
因此开启鉴权加密进行测试。
3)开启鉴权加密后,测试仍然失败,失败原因值是eMM-cause:message-not—patible—with-the—protocol—state,当前协议状态下消息不可得。
从后面的消息中又发现了time out的现象,超时原因是等待attachplete消息超时4)查看协议23401,第23步,协议规定MME在收到 Initial Context Response消息和Attachplete后才会给SGW发送Modify Bearer Request消息,特别显然,问题出现在UE没有及时的给MME发送attach plete消息。
华为低端交换机-05-QACL命令
QoS/ACL 目录目录第1章 ACL命令......................................................................................................................1-11.1 ACL命令.............................................................................................................................1-11.1.1 acl............................................................................................................................1-11.1.2 display acl config.....................................................................................................1-21.1.3 display time-range...................................................................................................1-31.1.4 reset acl counter......................................................................................................1-51.1.5 rule..........................................................................................................................1-51.1.6 time-range...............................................................................................................1-6第2章 QoS命令.....................................................................................................................2-12.1 QoS命令.............................................................................................................................2-12.1.1 display mirror...........................................................................................................2-12.1.2 display port-prioritytrust...........................................................................................2-22.1.3 display priority-trust.................................................................................................2-22.1.4 display qos cos-local-precedence-map...................................................................2-32.1.5 display qos dscp-local-precedence-map.................................................................2-42.1.6 display qos ip-precedence-local-precedence-map.................................................2-52.1.7 display qos-interface line-rate.................................................................................2-52.1.8 display queue-scheduler.........................................................................................2-62.1.9 line-rate...................................................................................................................2-72.1.10 mirroring-port.........................................................................................................2-82.1.11 monitor-port...........................................................................................................2-92.1.12 port-prioritytrust...................................................................................................2-102.1.13 priority..................................................................................................................2-112.1.14 priority-trust.........................................................................................................2-122.1.15 qos cos-local-precedence-map...........................................................................2-132.1.16 qos dscp-local-precedence-map.........................................................................2-142.1.17 qos ip-precedence-local-precedence-map..........................................................2-152.1.18 queue-scheduler.................................................................................................2-17第1章 ACL命令1.1 ACL命令1.1.1 acl【命令】acl { number acl-number | name acl-name basic}[ match-order { config |auto } ]undo acl { number acl-number | name acl-name | all }【视图】系统视图【参数】number acl-number:访问列表序号,取值范围为2000~2999,表示基本访问控制列表。
华为设备防病毒ACL配置实例
创建acl
acl number 100
禁止ping
rule deny icmp source any destination any
用于控制Blaster蠕虫的传播
rule deny udp source any destination any destination-port eq 69
[Router-acl-101]rule deny udp source any destion any destination-port eq 1434
[Router-Ethernet0]firewall packet-filter 101 inbound
6506产品的配置:
旧命令行配置如下:
rule deny udp source any destination any destination-port eq netbios-ns
rule deny udp source any destination any destination-port eq netbios-dgm
rule deny tcp source any destination any destination-port eq 139
目的:针对目前网上出现的问题,对目的是端口号为1434的UDP报文进行过滤的配置方法,详细和复杂的配置请看配置手册。
NE80的配置:
NE80(config)#rule-map r1 udp any any eq 1434
//r1为role-map的名字,udp 为关键字,any any 所有源、目的IP,eq为等于,1434为udp端口号
rule deny udp source any destination any destination-port eq 593
华为交换中端产品QACL配置案例集
华为交换中端产品Q A C L配置案例集TYYGROUP system office room 【TYYUA16H-TYY-TYYYUA8Q8-华为交换中端产品QACL配置案例集由于芯片结构的原因,中端产品的QACL配置较复杂,给用户使用带来了一定的难度,用服人员维护起来有时也会较为棘手,经常会有用户和用服人员打电话过来咨询这方面的配置的使用,下面的配置案例全部取材于6500系列产品在使用中的实际配置,大多是客户的咨询,其中一些还曾发生过网上问题。
将这些东西进行总结,有利于我们更好的使用6506。
【案例1】我想实现办公网只有个别的机器(10.1.0acl number 100rule 0 permit ip sou 10.1.0rule 1 deny ipint e2/0/1pa ip in 100【问题分析】这是个比较典型的错误,错误原因就是没有搞清6506的acl的其作用的顺序。
在6500系列产品上,是根据规则的下发时间顺序来决定起作用的顺序的,最近下发的规则我们认为是用户最新的需求,它会最新起作用。
对于上面的配置,rule 0先下发,rule 1后下发,那么首先其作用的是rule 1。
这样会将所有的报文都过滤掉。
【解决办法】将两条规则的配置顺序对调。
【案例2】0.0.1.255访问任何网段的ICMP报文,但却无法实现,请帮忙检查一下。
acl number 100 match-order auto0.0.1.255rule 1 deny tcp source-port eq 135 destination-port eq 135rule 2 deny tcp source-port eq 135 destination-port eq 139rule 3 deny tcp source-port eq 135 destination-port eq 4444rule 4 deny tcp source-port eq 135 destination-port eq 445rule 5 deny udp source-port eq tftp destination-port eq tftprule 6 deny tcp source-port eq 1025rule 8 permit ip【问题分析】又是一个比较典型的错误,用户认为要想让交换机转发,必须配置类似rule 8的规则,其实这是不必要的,6506缺省有一条match all表项,将交换机配置成转发模式,再配置一条,则覆盖了前面的所有规则。
华为交换机配置30例
目录互换机远程 TELNET 登录 (2)互换机远程 AUX 口登录 (5)互换机 DEBUG 信息开关 (6)互换机 SNMP 配置 (9)互换机 WEB 网管配置 (10)互换机 VLAN 配置 (12)端口的 TRUNK 属性配置(一) (14)互换机端口 TRUNK 属性配置(二) (16)互换机端口 TRUNK 属性配置(三) (18)互换机端口 HYBRID 属性配置 (21)互换机 IP 地点配置 (23)端口汇聚配置 (25)互换机端口镜像配置 (27)互换机堆叠管理配置 (29)互换机 HGMP V1管理配置 (31)互换机集群管理(HGMP V2 )配置 (33)互换机 STP 配置 (34)路由协议配置 (36)三层互换机组播配置 (41)中低端互换机 DHCP-RELAY配置 (44)互换机 802.1X配置 (46)互换机 VRRP 配置 (51)单向接见控制 (54)双向接见控制 (57)IP+MAC+ 端口绑定 (62)经过 ACL 实现的各样绑定的配置 (64)鉴于端口限速的配置 (66)鉴于流限速的配置 (68)其余流动作的配置 (70)8016 互换机 DHCP 配置 (73)互换机远程TELNET登录1功能需求及组网说明2telnet配置『配置环境参数』PC 机固定 IP 地点SwitchA 为三层互换机,vlan100地点SwitchA 与 SwitchB互连vlan10接口地点SwitchB 与 SwitchA互连结口vlan100接口地点互换机 SwitchA经过以太网口 ethernet 0/1和 SwitchB的 ethernet0/24实现互连。
『组网需求』1.SwitchA只好同意网段的地点的PC telnet接见2.SwitchA只好严禁网段的地点的PC telnet接见3.SwitchB同意其余随意网段的地点telnet接见2数据配置步骤『PC 管理互换机的流程』1.假如一台 PC 想远程 TELNET 到一台设施上,第一要保证能够两者之间正常通讯。
华为交换机各种配置实例
华为交换机各种配置实例交换机配置(⼀)端⼝限速基本配置交换机配置(⼆)端⼝绑定基本配置交换机配置(三)ACL基本配置防⽌同⽹段ARP欺骗的ACL交换机配置(四)密码恢复交换机配置(五)三层交换配置交换机配置(六)端⼝镜像配置交换机配置(七)DHCP配置交换机配置(⼋)配置⽂件管理交换机配置(九)远程管理配置交换机配置(⼗)STP配置交换机配置(⼗⼀)私有VLAN配置交换机配置(⼗⼆)端⼝trunk、hybrid应⽤配置华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列:华为交换机端⼝限速2000_EI系列以上的交换机都可以限速!限速不同的交换机限速的⽅式不⼀样!2000_EI直接在端⼝视图下⾯输⼊LINE-RATE (4 )参数可选!端⼝限速配置1功能需求及组⽹说明端⼝限速配置『配置环境参数』1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24『组⽹需求』1. 在SwitchA上配置端⼝限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps2数据配置步骤『S2000EI系列交换机端⼝限速配置流程』使⽤以太⽹物理端⼝下⾯的line-rate命令,来对该端⼝的出、⼊报⽂进⾏流量限速。
【SwitchA相关配置】1. 进⼊端⼝E0/1的配置视图[SwitchA]interface Ethernet 0/12. 对端⼝E0/1的出⽅向报⽂进⾏流量限速,限制到3Mbps[SwitchA- Ethernet0/1]line-rate outbound 303. 对端⼝E0/1的⼊⽅向报⽂进⾏流量限速,限制到1Mbps[SwitchA- Ethernet0/1]line-rate inbound 16【补充说明】报⽂速率限制级别取值为1~127。
华为 GPON OLT ACL&QoS配置
文档版本 02 (2006-11-19)
华为技术有限公司
i
目录
SmartAX MA5680T 配置指南
16.8 设置步长................................................................................................................................................16-15 16.9 创建基本 ACL 子规则..........................................................................................................................16-16 16.10 创建高级 ACL 子规则........................................................................................................................16-18 16.11 创建链路层 ACL 子规则 ....................................................................................................................16-20 16.12 创建用户自定义 ACL 子规则 ............................................................................................................16-22 16.13 激活 ACL.............................................................................................................................................16-24 16.14 对匹配 ACL 的数据包进行流量限制 ................................................................................................16-26 16.15 对匹配 ACL 的数据包进行优先级标记 ............................................................................................16-28 16.16 对匹配 ACL 的数据包进行流镜像 ....................................................................................................16-30 16.17 对匹配 ACL 的数据包进行重定向 ....................................................................................................16-31 16.18 对匹配 ACL 的数据包进行流量统计 ................................................................................................16-32 16.19 配置端口限速......................................................................................................................................16-33
华为ACL配置全解教程
华为ACL配置全解教程一、什么是ACLACL(Access Control List)是一种用于控制网络访问的策略工具,可以限制特定网络流量的进出。
ACL通过定义规则,决定允许或拒绝特定IP地址、协议、端口号或应用程序访问网络的能力。
二、ACL的分类1.基于方向的分类:-入方向:指进入设备的数据流量。
-出方向:指离开设备的数据流量。
2.基于分类方式的分类:-标准ACL:仅根据源IP地址或目标IP地址进行过滤。
-扩展ACL:除源IP地址和目标IP地址外,还可以根据端口号、协议类型、标志位等进行过滤。
三、ACL的配置指南1.进入全局配置模式:```[Huawei] system-view```2.创建ACL:```[Huawei] acl number 2000```其中,2000为ACL的编号。
```[Huawei-acl-basic-2000] rule 10 deny source 192.168.0.00.0.0.255```该命令表示在ACL2000中添加一条规则,拒绝源IP地址为192.168.0.0/24的流量。
规则可以根据实际需求,设置允许或拒绝特定的IP地址、协议、端口号等。
4.设置允许的流量:```[Huawei-acl-basic-2000] rule 20 permit source any```该命令表示在ACL2000中添加一条规则,允许任意源IP地址的流量。
5.配置ACL应用:```[Huawei] interface gigabitethernet 0/0/1[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl2000```该命令表示在接口GigabitEthernet0/0/1上应用入方向的ACL 2000。
四、实例下面是一个示例,展示如何通过ACL配置,限制一些IP地址访问设备:1.创建ACL:```[Huawei] acl number 2000``````[Huawei-acl-basic-2000] rule 10 deny source 192.168.0.10.0.0.0```3.设置允许的流量:```[Huawei-acl-basic-2000] rule 20 permit source any```4.配置ACL应用:```[Huawei] interface gigabitethernet 0/0/1[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl2000```这样,ACL 2000就应用在接口GigabitEthernet0/0/1的入方向上了。
华为acl访问控制列表实例
华为acl访问控制列表实例ACL是路由器和交换机接口的指令列表,用来控制端口进出的数据包,告诉路由器哪些数据包可以接收、哪些数据包需要拒绝,保证网络资源不被非法使用和访问。
下面是店铺给大家整理的一些有关华为acl访问控制列表配置,希望对大家有帮助!华为acl访问控制列表配置访问控制列表:ACL:(accesscontrollist)适用所有的路由协议:IP,IPX,AppleTalk控制列表分为两种类型:1.标准访问控制列表:检查被路由数据包的源地址、1~99代表号2.扩展访问控制列表:对数据包的源地址与目标地址进行检查。
访问控制列表最常见的用途是作为数据包的过滤器。
其他用途;可指定某种类型的数据包的优先级,以对某些数据包优先处理识别触发按需拨号路由(DDR)的相关通信量路由映射的基本组成部分ACL能够用来:提供网络访问的基本安全手段访问控制列表可用于Qos(QualityofService,服务质量)对数据流量进行控制。
可指定某种类型的数据包的优先级,以对某些数据包优先处理起到了限制网络流量,减少网络拥塞的作用提供对通信流量的控制手段访问控制列表对本身产生的的数据包不起作用,如一些路由更新消息路由器对访问控制列表的处理过程:(1)如果接口上没有ACL,就对这个数据包继续进行常规处理(2)如果对接口应用了访问控制列表,与该接口相关的一系列访问控制列表语句组合将会检测它:*若第一条不匹配,则依次往下进行判断,直到有一条语句匹配,则不再继续判断。
路由器将决定该数据包允许通过或拒绝通过*若最后没有任一语句匹配,则路由器根据默认处理方式丢弃该数据包。
*基于ACL的测试条件,数据包要么被允许,要么被拒绝。
(3)访问控制列表的出与入,使用命令ipaccess-group,可以把访问控制列表应用到某一个接口上。
in或out指明访问控制列表是对近来的,还是对出去的数据包进行控制【在接口的一个方向上,只能应用1个access-list】路由器对进入的数据包先检查入访问控制列表,对允许传输的数据包才查询路由表而对于外出的数据包先检查路由表,确定目标接口后才检查看出访问控制列表====================================== ================================应该尽量把放问控制列表应用到入站接口,因为它比应用到出站接口的效率更高:将要丢弃的数据包在路由器惊醒了路由表查询处理之前就拒绝它(4)访问控制列表中的deny和permit全局access-list命令的通用形式:Router(config)#access-listaccess-list-number{permit|deny}{testconditions}这里的语句通过访问列表表号来识别访问控制列表。
华为路由器交换VLAN配置实例
华为路由器交换VLAN配置实例配置说明:使用4台PC,华为路由器(R2621)、交换机(S3026e)各一台,组建一VLAN,实现虚拟网和物理网之间的连接。
实现防火墙策略,和访问控制(ACL)。
网络结构如图:华为路由器和防火墙配置命令总结一、access-list 用于创建访问规则。
(1)创建标准访问列表access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ](2)创建扩展访问列表access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ](3)删除访问列表no access-list { normal | special } { all | listnumber [ subitem ] }【参数说明】normal 指定规则加入普通时间段。
special 指定规则加入特殊时间段。
listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。
listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。
permit 表明允许满足条件的报文通过。
deny 表明禁止满足条件的报文通过。
protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。
source-addr 为源地址。
source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。
(产品管理)华为交换中端产品QACL配置案例集
(产品管理)华为交换中端产品QACL配置案例集华为交换中端产品QACL配置案例集由于芯片结构的原因,中端产品的QACL配置较复杂,给用户使用带来了壹定的难度,用服人员维护起来有时也会较为棘手,经常会有用户和用服人员打电话过来咨询这方面的配置的使用,下面的配置案例全部取材于6500系列产品于使用中的实际配置,大多是客户的咨询,其中壹些仍曾发生过网上问题。
将这些东西进行总结,有利于我们更好的使用6506。
【案例1】我想实现办公网只有个别的机器(10.1.0.38)访问服务器10.1.0.254,我进行了如下配置,但10.1.0.38依然无法访问服务器,6506是不是不能实现这种需求啊。
aclnumber100rule0permitipsou10.1.0.380des10.1.0.2540rule1denyipinte2/0/1paipin100【问题分析】这是个比较典型的错误,错误原因就是没有搞清6506的acl的其作用的顺序。
于6500系列产品上,是根据规则的下发时间顺序来决定起作用的顺序的,最近下发的规则我们认为是用户最新的需求,它会最新起作用。
对于上面的配置,rule0先下发,rule1后下发,那么首先其作用的是rule1。
这样会将所有的报文均过滤掉。
【解决办法】将俩条规则的配置顺序对调。
【案例2】我想禁止210.31.12.00.0.1.255访问任何网段的ICMP报文,但却无法实现,请帮忙检查壹下。
aclnumber100match-orderautorule0denyicmpsource210.31.12.00.0.1.255rule1denytcpsource-porteq135destination-porteq135rule2denytcpsource-porteq135destination-porteq139rule3denytcpsource-porteq135destination-porteq4444rule4denytcpsource-porteq135destination-porteq445rule5denyudpsource-porteqtftpdestination-porteqtftprule6denytcpsource-porteq1025rule8permitip【问题分析】又是壹个比较典型的错误,用户认为要想让交换机转发,必须配置类似rule8的规则,其实这是不必要的,6506缺省有壹条matchall表项,将交换机配置成转发模式,再配置壹条,则覆盖了前面的所有规则。
华为交换中端产品QACL配置案例集
华为交换中端产品QACL配置案例集案例一:阻止内部网段访问互联网假设我们的内部网段为192.168.1.0/24,需要配置QACL来禁止该内部网段的主机访问互联网。
步骤1:创建QACL列表创建一个QACL列表,并设定一个唯一的序号,如100。
命令如下:acl number 100步骤2:添加规则在QACL列表中添加规则,禁止内部网段访问互联网。
命令如下:rule 5 deny source 192.168.1.0 0.0.0.255步骤3:应用QACL将QACL应用到指定接口的入方向。
假设我们要应用到接口GigabitEthernet0/0/1的入方向。
命令如下:interface GigabitEthernet0/0/1qos acl inbound 100案例二:限制指定源IP访问特定目的端口假设我们有一台服务器,IP地址为10.0.0.10,监听端口为80,并且只允许指定的源IP地址访问该端口。
步骤1:创建QACL列表创建一个QACL列表,并设定一个唯一的序号,如200。
命令如下:acl number 200步骤2:添加规则在QACL列表中添加规则,限制指定的源IP访问目的端口。
命令如下:rule 5 permit source 192.168.1.10 0 destination 10.0.0.10 (eq 80)步骤3:应用QACL将QACL应用到指定接口的入方向。
假设我们要应用到接口GigabitEthernet0/0/2的入方向。
命令如下:interface GigabitEthernet0/0/2qos acl inbound 200案例三:限制特定端口访问假设我们需要限制一些端口(如Telnet端口23)的访问,只允许指定的源IP地址访问。
步骤1:创建QACL列表创建一个QACL列表,并设定一个唯一的序号,如300。
命令如下:acl number 300步骤2:添加规则在QACL列表中添加规则,限制指定的源IP访问目的端口。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
华为交换中端产品QACL配置案例集由于芯片结构的原因,中端产品的QACL配置较复杂,给用户使用带来了一定的难度,用服人员维护起来有时也会较为棘手,经常会有用户和用服人员打电话过来咨询这方面的配置的使用,下面的配置案例全部取材于6500系列产品在使用中的实际配置,大多是客户的咨询,其中一些还曾发生过网上问题。
将这些东西进行总结,有利于我们更好的使用6506。
【案例1】我想实现办公网只有个别的机器(10.1.0.38)访问服务器10.1.0.254,我进行了如下配置,但10.1.0.38依然无法访问服务器,6506是不是不能实现这种需求啊。
acl number 100rule 0 permit ip sou 10.1.0.38 0 des 10.1.0.254 0rule 1 deny ipint e2/0/1pa ip in 100【问题分析】这是个比较典型的错误,错误原因就是没有搞清6506的acl的其作用的顺序。
在6500系列产品上,是根据规则的下发时间顺序来决定起作用的顺序的,最近下发的规则我们认为是用户最新的需求,它会最新起作用。
对于上面的配置,rule 0先下发,rule 1后下发,那么首先其作用的是rule 1。
这样会将所有的报文都过滤掉。
【解决办法】将两条规则的配置顺序对调。
【案例2】我想禁止210.31.12.0 0.0.1.255访问任何网段的ICMP报文,但却无法实现,请帮忙检查一下。
acl number 100 match-order autorule 0 deny icmp source 210.31.12.0 0.0.1.255rule 1 deny tcp source-port eq 135 destination-port eq 135rule 2 deny tcp source-port eq 135 destination-port eq 139rule 3 deny tcp source-port eq 135 destination-port eq 4444rule 4 deny tcp source-port eq 135 destination-port eq 445rule 5 deny udp source-port eq tftp destination-port eq tftprule 6 deny tcp source-port eq 1025rule 8 permit ip【问题分析】又是一个比较典型的错误,用户认为要想让交换机转发,必须配置类似rule 8的规则,其实这是不必要的,6506缺省有一条match all表项,将交换机配置成转发模式,再配置一条,则覆盖了前面的所有规则。
【解决办法】将最后一条规则去掉。
【案例3】规则如下,要求只允许10.89.0.0/16访问10.1.1.0,但配置后其他网段也可以访问了,请问是为什么?acl number 101 match-order autorule 0 deny ipacl number 102 match-order autorule 0 permit ip source 10.89.0.0 0.0.255.255 destination 10.1.1.0 0.0.0.255。
interface Ethernet2/0/3description connected to 5louport link-type hybridport hybrid vlan 1 taggedport hybrid vlan 20 untaggedport hybrid pvid vlan 20qospacket-filter inbound ip-group 101 rule 0packet-filter inbound ip-group 102 rule 0packet-filter inbound ip-group 103 rule 0packet-filter inbound ip-group 105 rule 2packet-filter inbound ip-group 105 rule 3packet-filter inbound ip-group 105 rule 5packet-filter inbound ip-group 105 rule 6packet-filter inbound ip-group 105 rule 4#【问题分析】由于ACL102的rule 0的原因,只要是从这个网段上来的报文都会匹配这个规则的前半部分,但如果它不是访问10.89.0.0/16,它不会匹配上ACL102的rule 0,本来希望它匹配到A CL101的rule 0,但是由于在硬件中ip source 10.89.0.0和ip any any使用的是不同的id,所以ACL101的rule 0也不再会被匹配到。
那么报文会匹配到最后一条缺省的match all表项,进行转发。
【解决办法】把rule 0 deny ip变成rule 0 deny ip source 10.89.0.0 0.0.255.255。
【案例4】某银行当每天造成重起6506后,发现有部分网段的用户无法访问病毒服务器(11.8.14.141和11.8.14.2),将防火墙配置删除后再下发问题消除。
配置如下:acl number 122description guokurule 1 deny ip source any destination 11.8.20.112 0.0.0.15rule 2 permit ip source 11.8.20.160 0.0.0.31 destination 11.8.20.112 0.0.0.15rule 3 permit ip source 11.8.20.112 0.0.0.15 destination 11.8.20.112 0.0.0.15rule 4 permit ip source 11.8.20.208 0.0.0.7 destination 11.8.20.112 0.0.0.15rule 5 permit ip source 11.8.14.141 0.0.0.0 destination 11.8.20.112 0.0.0.15rule 6 permit ip source 11.8.14.2 0.0.0.0 destination 11.8.20.112 0.0.0.15rule 7 permit ip source 11.8.2.11 0.0.0.0 destination 11.8.20.112 0.0.0.15acl number 186rule 1 permit ip source 11.8.14.0 0.0.0.255 destination anyinterface Ethernet1/0/48description connect_to_vlan1000-routertraffic-priority outbound ip-group 181 dscp 46traffic-priority outbound ip-group 182 dscp 34traffic-priority outbound ip-group 183 dscp 26traffic-priority outbound ip-group 184 dscp 18traffic-priority outbound ip-group 185 dscp 10traffic-priority outbound ip-group 186 dscp 0packet-filter inbound ip-group 120 not-care-for-interfacepacket-filter inbound ip-group 121 not-care-for-interfacepacket-filter inbound ip-group 122 not-care-for-interfacepacket-filter inbound ip-group 123 not-care-for-interfacepacket-filter inbound ip-group 124 not-care-for-interfacepacket-filter inbound ip-group 125 not-care-for-interface【问题分析】当我们做完配置时,软件对配置进行了相应的记录,我们使用save命令就可以将这些记录保存在配置文件中,每次启动后按照此记录的顺序逐条下发。
由于acl的功能和下发顺序密切相关,所以软件上应该能够保证启动后的配置顺序和启动前的顺序一致性。
本问题出在软件在build run时将acl和qos的顺序进行了调整,将qos的动作放在了acl的动作之后,相当于人为的提高了qos动作的优先级,重起后造成了部分acl失效。
将acl删除后再下发,再次改变了匹配顺序,acl规则生效。
由于软件设计时将acl和qos设计成了两个模块,而build run的各个模块是独立的,所以此部分更改起来需要彻底更改设计方案,变动实在太大。
【解决办法】可以将qos的操作移动到前面的端口来做,由于build run的顺序是按照端口顺序来做的,这样qos就会先行下发,acl的动作后下发,避免了覆盖的发生。
对于上面的例子,也可以将acl186再添加两条如下蓝色字体的规则,acl number 186rule 1 permit ip source 11.8.14.0 0.0.0.255 destination anyrule 5 permit ip source 11.8.14.141 0.0.0.0 destination 11.8.20.112 0.0.0.15 rule 6 permit ip source 11.8.14.2 0.0.0.0 destination 11.8.20.112 0.0.0.15【案例5】我这里用户有这样的一个需求,请帮我确定一下应如何配置:核心使用6506,边缘节点使用五台3526E(使用二层),3526E和6506之间使用trunk模式,用户分为了7个网段。
vlan分别为2-8,用户地址是192.168.21.0-27.0。
考虑了网络安全,用户需要如下要求:21.0:能够访问internet网,但不能访问其他网段;22.0:能够访问其他网段,但不能访问internet网;。
21.0和22.0分别属于vlan2和3,这两个网段内的用户都通过一个3526E接到6506上,请协助确定如何在6506上使用访问控制策略。