华为交换中端产品QACL配置案例集

华为交换机Vlan间访问控制配置案例

华为交换机ACL/QOS调用ACL配置案例

1 ACL概述

随着网络规模的扩大和流量的增加，对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对报文进行过滤，可以有效防止非法用户对网络的访问，同时也可以控制流量，节约网络资源。ACL（Access Control List，访问控制列表）即是通过配置对报文的匹配规则和处理操作来实现包

过滤的功能。

ACL 通过一系列的匹配条件对报文进行分类，这些条件可以是报文的源MAC 地址、目的MAC 地址、源IP地址、目的IP地址、端口号等。

2 案例背景

网络环境拓扑如下（客户端接入交换机约有几十个，所有设备均采用静态IP）

服务器区所有服务器网关均在核心交换机上，共有9个Vlan，9个网段分别如下；

Vlan10-Vlan11网段分别为10.0.10.0/24-10.0.11.0/24

Vlan14-Vlan19网段分别为10.0.14.0/24-10.0.19.0/24

交换机管理Vlan为Vlan1: 10.0.13.0/24，核心交换机的管理ip为10.0.13.254，其余接入交换机网关均在核心交换机上；

客户端共有8个Vlan，分别为Vlan20-Vlan100，网段分别为10.0.20.0/24-10.0.100.0/24，网关均在核心交换机上；

3 需求一：对服务器区服务器做安全防护，只允许客户端访问服务器某些端口

由于网络环境拓扑为客户端——客户端接入交换机——核心交换机——防火墙——服务器接入交换机——服务器，也即客户端访问服务器需要通过防火墙，所以对服务器的防护应该放到防火墙上来做，因为若用交换机来做过滤，配置麻烦且失去了防火墙应有的作用（此处不做防火墙配置介绍）；

交换机配置（三）ACL基本配置

交换机配置（一）端口限速基本配置

华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列:

华为交换机端口限速

2000_EI系列以上的交换机都可以限速!

限速不同的交换机限速的方式不一样!

2000_EI直接在端口视图下面输入LINE-RATE (4 ) 参数可选!

端口限速配置

1功能需求及组网说明

端口限速配置

『配置环境参数』

1. PC1和PC2的IP地址分别为、

『组网需求』

1. 在SwitchA上配置端口限速，将PC1的下载速率限制在3Mbps，同时将PC1的上传速率

限制在1Mbps

2数据配置步骤

『S2000EI系列交换机端口限速配置流程』

使用以太网物理端口下面的line-rate命令，来对该端口的出、入报文进行流量限速。【SwitchA相关配置】

1. 进入端口E0/1的配置视图

[SwitchA]interface Ethernet 0/1

2. 对端口E0/1的出方向报文进行流量限速，限制到3Mbps

[SwitchA- Ethernet0/1]line-rate outbound 30

3. 对端口E0/1的入方向报文进行流量限速，限制到1Mbps

[SwitchA- Ethernet0/1]line-rate inbound 16

【补充说明】

报文速率限制级别取值为1～127。如果速率限制级别取值在1～28范围内，则速率限制的

粒度为64Kbps，这种情况下，当设置的级别为N，则端口上限制的速率大小为N*64K；如果速率限制级别取值在29～127范围内，则速率限制的粒度为1Mbps，这种情况下，当设置的

QoS/ACL 目录

目录

第1章 ACL配置.....................................................................................................................1-1

1.1 访问控制列表简介..............................................................................................................1-1

1.1.1 访问控制列表概述....................................................................................................1-1

1.1.2 以太网交换机支持的访问控制列表..........................................................................1-2

1.2 ACL配置............................................................................................................................1-2

1.2.1 时间段配置..............................................................................................................1-3

3 ACL配置关于本章

设备为了对不同类的报文进行不同的处理，需要配置一系列的规则，以对报文进行分

类，这些规则就是通过访问控制列表ACL定义的。

3.1 ACL简介

介绍ACL的定义和作用。

3.2 原理描述

介绍ACL的实现原理。

3.3 应用场景

介绍ACL的应用场景。

3.4 配置注意事项

介绍配置ACL的注意事项。

3.5 缺省配置

介绍ACL缺省配置，实际应用的配置可以基于缺省配置进行修改。

3.6 配置ACL

介绍ACL详细的配置过程。

3.7 维护ACL

维护ACL包括清除ACL的统计信息。

3.8 配置举例

介绍ACL的配置举例。配置示例中包括组网需求、配置思路、操作步骤等。

3.9 参考标准和协议

介绍ACL的参考标准和协议。

3.1 ACL简介

介绍ACL的定义和作用。

定义

访问控制列表ACL（Access Control List）是由一系列规则组成的集合，ACL通过这些

规则对报文进行分类，从而使设备可以对不同类报文进行不同的处理。

目的

网络中的设备相互通信时，需要保障网络传输的安全可靠和性能稳定。例如：

l防止对网络的攻击，例如IP（Internet Protocol）报文、TCP（Transmission Control Protocol）报文、ICMP（Internet Control Message Protocol）报文的攻击。

l对网络访问行为进行控制，例如企业网中内、外网的通信，用户访问特定网络资源的控制，特定时间段内允许对网络的访问。

l限制网络流量和提高网络性能，例如限定网络上行、下行流量的带宽，对用户申请的带宽进行收费，保证高带宽网络资源的充分利用。

H3C交换机典型（A C L）访问控制列表配置实例一、组网需求：

2．要求配置高级访问控制列表，禁止研发部门与技术支援部门之间互访，并限制研发部门在上班时间8:00至18:00访问工资查询服务器；

3．通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。

二、组网图：

三、配置步骤：

H3C360056005100系列交换机典型访问控制列表配置

共用配置

1．根据组网图，创建四个vlan，对应加入各个端口

<H3C>system-view

[H3C]vlan10

[H3C-vlan10]portGigabitEthernet1/0/1

[H3C-vlan10]vlan20

[H3C-vlan20]portGigabitEthernet1/0/2

[H3C-vlan20]vlan30

[H3C-vlan30]portGigabitEthernet1/0/3

[H3C-vlan30]vlan40

[H3C-vlan40]portGigabitEthernet1/0/4

[H3C-vlan40]quit

2．配置各VLAN虚接口地址

[H3C]interfacevlan10

[H3C-Vlan-interface10]ipaddress24

[H3C-Vlan-interface10]quit

[H3C]interfacevlan20

[H3C-Vlan-interface20]ipaddress24

[H3C-Vlan-interface20]quit

[H3C]interfacevlan30

目录

互换机远程 TELNET 登录 (2)

互换机远程 AUX 口登录 (5)

互换机 DEBUG 信息开关 (6)

互换机 SNMP 配置 (9)

互换机 WEB 网管配置 (10)

互换机 VLAN 配置 (12)

端口的 TRUNK 属性配置（一） (14)

互换机端口 TRUNK 属性配置（二） (16)

互换机端口 TRUNK 属性配置（三） (18)

互换机端口 HYBRID 属性配置 (21)

互换机 IP 地点配置 (23)

端口汇聚配置 (25)

互换机端口镜像配置 (27)

互换机堆叠管理配置 (29)

互换机 HGMP V1管理配置 (31)

互换机集群管理（HGMP V2 ）配置 (33)

互换机 STP 配置 (34)

路由协议配置 (36)

三层互换机组播配置 (41)

中低端互换机 DHCP-RELAY配置 (44)

互换机 802.1X配置 (46)

互换机 VRRP 配置 (51)

单向接见控制 (54)

双向接见控制 (57)

IP+MAC+ 端口绑定 (62)

经过 ACL 实现的各样绑定的配置 (64)

鉴于端口限速的配置 (66)

鉴于流限速的配置 (68)

其余流动作的配置 (70)

8016 互换机 DHCP 配置 (73)

互换机远程TELNET登录

1功能需求及组网说明

2

telnet配置

『配置环境参数』

PC 机固定 IP 地点

SwitchA 为三层互换机，vlan100地点

SwitchA 与 SwitchB互连vlan10接口地点

SwitchB 与 SwitchA互连结口vlan100接口地点

华为交换中端产品Q A C L

配置案例集

TYYGROUP system office room 【TYYUA16H-TYY-TYYYUA8Q8-

华为交换中端产品QACL配置案例集

由于芯片结构的原因，中端产品的QACL配置较复杂，给用户使用带来了一定的难度，用服人员维护起来有时也会较为棘手，经常会有用户和用服人员打电话过来咨询这方面的配置的使用，下面的配置案例全部取材于6500系列产品在使用中的实际配置，大多是客户的咨询，

其中一些还曾发生过网上问题。将这些东西进行总结，有利于我们更好的使用6506。【案例1】

我想实现办公网只有个别的机器（10.1.0

acl number 100

rule 0 permit ip sou 10.1.0

rule 1 deny ip

int e2/0/1

pa ip in 100

【问题分析】

这是个比较典型的错误，错误原因就是没有搞清6506的acl的其作用的顺序。在6500系列产品上，是根据规则的下发时间顺序来决定起作用的顺序的，最近下发的规则我们认为是用户最新的需求，它会最新起作用。对于上面的配置，rule 0先下发，rule 1后下发，那么首先其作用的是rule 1。这样会将所有的报文都过滤掉。

【解决办法】

将两条规则的配置顺序对调。

【案例2】

0.0.1.255访问任何网段的ICMP报文，但却无法实现，请帮忙检查一下。

acl number 100 match-order auto

0.0.1.255

rule 1 deny tcp source-port eq 135 destination-port eq 135

华为交换机各种配置实例

交换机配置（⼀）端⼝限速基本配置

交换机配置（⼆）端⼝绑定基本配置

交换机配置（三）ACL基本配置

防⽌同⽹段ARP欺骗的ACL

交换机配置（四）密码恢复

交换机配置（五）三层交换配置

交换机配置（六）端⼝镜像配置

交换机配置（七）DHCP配置

交换机配置（⼋）配置⽂件管理

交换机配置（九）远程管理配置

交换机配置（⼗）STP配置

交换机配置（⼗⼀）私有VLAN配置

交换机配置（⼗⼆）端⼝trunk、hybrid应⽤配置

华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列:

华为交换机端⼝限速

2000_EI系列以上的交换机都可以限速!

限速不同的交换机限速的⽅式不⼀样!

2000_EI直接在端⼝视图下⾯输⼊LINE-RATE (4 )参数可选!

端⼝限速配置

1功能需求及组⽹说明

端⼝限速配置

『配置环境参数』

1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24

『组⽹需求』

1. 在SwitchA上配置端⼝限速，将PC1的下载速率限制在3Mbps，同时将PC1的上传速率限制在1Mbps

2数据配置步骤

『S2000EI系列交换机端⼝限速配置流程』

使⽤以太⽹物理端⼝下⾯的line-rate命令，来对该端⼝的出、⼊报⽂进⾏流量限速。【SwitchA相关配置】

1. 进⼊端⼝E0/1的配置视图

[SwitchA]interface Ethernet 0/1

使用高级ACL限制不同网段的用户互访示例图1 使用高级ACL限制不同网段的用户互访示例

组网需求

如图1所示，某公司通过Switch实现各部门之间的互连。为方便管理网络，管理员为公司的研发部和市场部规划了两个网段的IP地址。同时为了隔离广播域，又将两个部门划分在不同VLAN之中。现要求Switch能够限制两个网段之间互访，防止公司机密泄露。

配置思路

采用如下的思路在Switch上进行配置：

1.配置高级ACL和基于ACL的流分类，使设备可以对研发部与市场部互访的

报文进行过滤。

2.配置流行为，拒绝匹配上ACL的报文通过。

3.配置并应用流策略，使ACL和流行为生效。

操作步骤

1.配置接口所属的VLAN以及接口的IP地址

# 创建VLAN10和VLAN20。

<HUAWEI> system-view

[HUAWEI] sysname Switch

[Switch] vlan batch 10 20

# 配置Switch的接口GE0/0/1和GE0/0/2为trunk类型接口，并分别加

入VLAN10和VLAN20。

[Switch] interface gigabitethernet 0/0/1

[Switch-GigabitEthernet0/0/1] port link-type trunk

[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10

[Switch-GigabitEthernet0/0/1] quit

[Switch] interface gigabitethernet 0/0/2

华为交换机路由器配置实例华为交换机路由器配置实例的方法

网络结构如图：

四台PC的IP地址、掩码如下列表：

P1 192.168.1.1 255.255.255.0 网关IP 为192.168.1.5 P2 192.168.1.2 255.255.255.0 网关IP 为192.168.1.5 P3 192.168.1.3 255.255.255.0 网关IP 为192.168.1.6 P4 192.168.1.4 255.255.255.0 网关IP 为192.168.1.6 路由器上Ethernet0的IP 为192.168.1.5

Ethernet1的IP 为192.168.1.6

firewall 设置默认为deny

实施命令列表：

交换机上设置，划分VLAN：

sys

//切换到系统视图

[Quidway]vlan enable

[Quidway]vlan 2

[Quidway-vlan2]port e0/1 to e0/8

[Quidway-vlan2]quit

//默认所有端口都属于VLAN1,指定交换机的e0/1 到e0/8八个端口属于VLAN2

[Quidway]vlan 3

[Quidway-vlan3]port e0/9 to e0/16

[Quidway-vlan3]quit

//指定交换机的e0/9 到e0/16八个端口属于VLAN3 [Quidway]dis vlan all

[Quidway]dis cu

路由器上设置，实现访问控制：

[Router]interface ethernet 0

[Router-Ethernet0]ip address 192.168.1.5 255.255.255.0 [Router-Ethernet0]quit

华为交换机配置实例命令大全

Quidway®系列中低端LANSWITCH

典型配置手册

华为技术有限公司

版权所有侵权必究

目录

目录 (2)

第1章 LANSWITCH日常维护典型配置 (12)

1.1 基本操作 (12)

1.1.1 常用命令新旧对照列表 (12)

1.2 LANSWITCH配置注意事项 (14)

1.3 远程telnet登录 (16)

功能需求及组网说明 (16)

配置 (16)

1.4 远程AUX口登录 (20)

功能需求及组网说明 (20)

配置 (20)

1.5 打开debug开关 (22)

功能需求及组网说明 (22)

配置 (22)

1.6 SNMP配置 (26)

功能需求及组网说明 (26)

配置 (26)

1.7 WEB网管配置 (28)

功能需求及组网说明 (28)

配置 (28)

第2章 LANSWITCH基础应用典型配置 (31)

2.1 VLAN配置 (31)

功能需求及组网说明 (31)

配置 (31)

2.2 IP地址配置 (33)

功能需求及组网说明 (33)

配置 (33)

2.3 端口的trunk属性配置 (35)

功能需求及组网说明 (35)

配置 (35)

2.4 端口的hybrid属性配置 (38)

功能需求及组网说明 (38)

配置 (38)

2.5 端口汇聚配置 (42)

功能需求及组网说明 (42)

配置 (42)

2.6 端口镜像配置 (45)

功能需求及组网说明 (45)

配置 (45)

2.7 堆叠管理配置 (48)

功能需求及组网说明 (48)

2.7.2 配置 (48)

2.8 HGMP V1管理配置 (51)

华为ACL配置全解教程

一、什么是ACL

ACL（Access Control List）是一种用于控制网络访问的策略工具，可以限制特定网络流量的进出。ACL通过定义规则，决定允许或拒绝特定IP地址、协议、端口号或应用程序访问网络的能力。

二、ACL的分类

1.基于方向的分类：

-入方向：指进入设备的数据流量。

-出方向：指离开设备的数据流量。

2.基于分类方式的分类：

-标准ACL：仅根据源IP地址或目标IP地址进行过滤。

-扩展ACL：除源IP地址和目标IP地址外，还可以根据端口号、协议类型、标志位等进行过滤。

三、ACL的配置指南

1.进入全局配置模式：

```

[Huawei] system-view

```

2.创建ACL：

```

[Huawei] acl number 2000

```

其中，2000为ACL的编号。

```

[Huawei-acl-basic-2000] rule 10 deny source 192.168.0.0

0.0.0.255

```

该命令表示在ACL2000中添加一条规则，拒绝源IP地址为

192.168.0.0/24的流量。

规则可以根据实际需求，设置允许或拒绝特定的IP地址、协议、端

口号等。

4.设置允许的流量：

```

[Huawei-acl-basic-2000] rule 20 permit source any

```

该命令表示在ACL2000中添加一条规则，允许任意源IP地址的流量。

5.配置ACL应用：

```

[Huawei] interface gigabitethernet 0/0/1

QinQ二层隧道

当需要较多的VLAN时，可以配置QinQ二层隧道功能。通过对VLAN增加外层Tag，使得V LAN的可用数目范围变大，解决VLAN数目资源紧缺的问题。配置QinQ二层隧道，使得报文带有两层Tag传输。

在如图1所示的网络中，企业部门1有两个办公地，部门2有三个办公地，两个部门的各办公地分别和网络中的PE1、PE2相连，部门1和部门2可以任意规划自己的VLAN。

图1 配置QinQ二层隧道典型组网图

在PE1和PE2上通过如下思路配置QinQ二层隧道功能，使得每个部门的各个办公地网络可以互通，但两个部门之间不能互通。

∙在PE1上，对于进入端口GE1/0/1和GE1/0/3的用户报文都封装外层VLAN 10，对于进入端口GE1/0/2中用户报文都封装外层VLAN 20。

∙在PE2上，对于进入端口GE1/0/1和GE1/0/2的用户报文都封装外层VLAN 20。

PE1上的接口GE1/0/4和PE2上的接口GE1/0/3允许VLAN 20的报文通过。

部门1和部门2外层VLAN规划如表1所示：

配置基于接口的QinQ示例

组网需求

如图1所示，网络中有两个大企业，企业1有两个办公地，企业2有三个办公地，这两个企业的各办公地的企业网都分别和运营商网络中的SwitchG或SwitchF相连。企业1的网络中使用VLAN1000～VLAN1500，企业2的网络中使用VLAN2000～VLAN3000。要求企业内部各办公地相同VLAN内用户可以通过运营商的网络互相通信，但两个企业之间互相隔离。

图1 配置基于接口的QinQ组网图