华为ACL配置全解教程

3 ACL配置关于本章设备为了对不同类的报文进行不同的处理，需要配置一系列的规则，以对报文进行分类，这些规则就是通过访问控制列表ACL定义的。

3.1 ACL简介介绍ACL的定义和作用。

3.2 原理描述介绍ACL的实现原理。

3.3 应用场景介绍ACL的应用场景。

3.4 配置注意事项介绍配置ACL的注意事项。

3.5 缺省配置介绍ACL缺省配置，实际应用的配置可以基于缺省配置进行修改。

3.6 配置ACL介绍ACL详细的配置过程。

3.7 维护ACL维护ACL包括清除ACL的统计信息。

3.8 配置举例介绍ACL的配置举例。

配置示例中包括组网需求、配置思路、操作步骤等。

3.9 参考标准和协议介绍ACL的参考标准和协议。

3.1 ACL简介介绍ACL的定义和作用。

定义访问控制列表ACL（Access Control List）是由一系列规则组成的集合，ACL通过这些规则对报文进行分类，从而使设备可以对不同类报文进行不同的处理。

目的网络中的设备相互通信时，需要保障网络传输的安全可靠和性能稳定。

例如：l防止对网络的攻击，例如IP（Internet Protocol）报文、TCP（Transmission Control Protocol）报文、ICMP（Internet Control Message Protocol）报文的攻击。

l对网络访问行为进行控制，例如企业网中内、外网的通信，用户访问特定网络资源的控制，特定时间段内允许对网络的访问。

l限制网络流量和提高网络性能，例如限定网络上行、下行流量的带宽，对用户申请的带宽进行收费，保证高带宽网络资源的充分利用。

ACL的出现，有效地解决了上述问题，切实保障了网络传输的稳定性和可靠性。

3.2 原理描述介绍ACL的实现原理。

3.2.1 ACL的基本原理ACL负责管理用户配置的所有规则，并提供报文匹配规则的算法。

ACL的规则管理每个ACL作为一个规则组，可以包含多个规则。

规则通过规则ID（rule-id）来标识，规则ID可以由用户进行配置，也可以由系统自动根据步长生成。

华为ACL详解2精编版访问控制列表-细说ACL那些事⼉（ACL匹配篇）在上⼀期中，⼩编围绕⼀张ACL结构图展开介绍，让⼤家了解了ACL的概念、作⽤和分类，并且知道了ACL是通过规则匹配来实现报⽂过滤的。

但ACL到底是如何进⾏规则匹配的，相信⼤家还是⼀头雾⽔。

本期，说⼀说关于“ACL匹配”的那些事⼉。

1ACL匹配机制⾸先，为⼤家介绍ACL匹配机制。

上⼀期提到，ACL在匹配报⽂时遵循“⼀旦命中即停⽌匹配”的原则。

其实，这句话就是对ACL匹配机制的⼀个⾼度的概括。

当然，ACL匹配过程中，还存在很多细节。

⽐如，ACL不存在系统会怎么处理？ACL存在但规则不存在系统会怎么处理？为了对整个ACL匹配过程展开详细的介绍，画了⼀张ACL匹配流程图，相信对⼤家理解ACL匹配机制能有所帮助。

从整个ACL匹配流程可以看出，报⽂与ACL规则匹配后，会产⽣两种匹配结果：“匹配”和“不匹配”。

●匹配（命中规则）：指存在ACL，且在ACL中查找到了符合匹配条件的规则rule。

不论匹配的动作是“permit”还是“deny”，都称为“匹配”，⽽不是只是匹配上permit规则才算“匹配”。

●不匹配（未命中规则）：指不存在ACL(⽆ACL)，或ACL中⽆规则(没有rule)，再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。

切记以上三种情况，都叫做“不匹配”。

提醒⼤家，⽆论报⽂匹配ACL的结果是“不匹配”、“允许”还是“拒绝”，该报⽂最终是被允许通过还是拒绝通过，实际是由应⽤ACL的各个业务模块来决定的。

不同的业务模块，对命中和未命中规则报⽂的处理⽅式也各不相同。

例如，在Telnet模块中应⽤ACL，只要报⽂命中了permit规则，就允许通过；⽽在流策略中应⽤ACL，如果报⽂命中了permit规则，但流⾏为动作配置的是deny，该报⽂会被拒绝通过。

在后续连载的《访问控制列表-细说ACL那些事⼉（应⽤篇）》中，将结合各类ACL应⽤，为⼤家细说各个业务模块的区别。

华为AR 28-11的型号基本适用多数华为路由Login authenticationUsername:ztwindows （用户）Password:sys （进如系统视图）System View: return to User View with Ctrl+Z.[quidway]dis curr （查看当前系统配置信息）#sysname quidway （系统名称）#info-center loghost 192.168.0.232（指定信息中心配置信息，这个可以不要）#firewall enable（开起防火墙功能）#dns resolve （启动动态DNS解析功能）dns server 202.98.198.168（指定域名服务器IP地址）dns-proxy enable（启动动态DNS解析功能）#radius scheme system（指定radius配置信息创建scheme方案或者修改方案属性）radius scheme test （test方案名）#domain system#local-user ztwindowspassword cipher L_'-D*ST]8Z)9JV9LS027A!!service-type telnet terminallevel 3关键地方来了！#acl number 2000 （设置一个基本的ACL数值为2000）rule 0 permit source 192.168.0.0 0.0.0.255 （这里配置的时候你会知道其意思）rule 1 deny#acl number 3001 （设置端口过滤使得安全功能）rule 0 deny tcp source-port eq 3127rule 1 deny tcp source-port eq 1025rule 2 deny tcp source-port eq 5554rule 3 deny tcp source-port eq 9996rule 4 deny tcp source-port eq 1068rule 5 deny tcp source-port eq 135rule 6 deny udp source-port eq 135rule 7 deny tcp source-port eq 137rule 8 deny udp source-port eq netbios-nsrule 9 deny tcp source-port eq 138rule 10 deny udp source-port eq netbios-dgmrule 11 deny tcp source-port eq 139rule 12 deny udp source-port eq netbios-ssnrule 13 deny tcp source-port eq 593rule 14 deny tcp source-port eq 4444rule 15 deny tcp source-port eq 5800rule 16 deny tcp source-port eq 5900rule 18 deny tcp source-port eq 8998rule 19 deny tcp source-port eq 445rule 20 deny udp source-port eq 445rule 21 deny udp source-port eq 1434rule 30 deny tcp destination-port eq 3127rule 31 deny tcp destination-port eq 1025rule 32 deny tcp destination-port eq 5554rule 33 deny tcp destination-port eq 9996rule 34 deny tcp destination-port eq 1068rule 35 deny tcp destination-port eq 135rule 36 deny udp destination-port eq 135rule 37 deny tcp destination-port eq 137rule 38 deny udp destination-port eq netbios-nsrule 39 deny tcp destination-port eq 138rule 40 deny udp destination-port eq netbios-dgmrule 41 deny tcp destination-port eq 139rule 42 deny udp destination-port eq netbios-ssnrule 43 deny tcp destination-port eq 593rule 44 deny tcp destination-port eq 4444rule 45 deny tcp destination-port eq 5800rule 46 deny tcp destination-port eq 5900rule 48 deny tcp destination-port eq 8998rule 49 deny tcp destination-port eq 445rule 50 deny udp destination-port eq 445rule 51 deny udp destination-port eq 1434#interface Aux0 （这个不用解释了自己看就知道了）async mode flow#interface Ethernet0/0（设置以太网口0/0口）speed 100（设置以太网的带宽为100M）descrīption link_to_dianxin（以太网口标识我设置的意思是这个口是接如点心）tcp mss 2048（设置TCP 的MSS直最大为2048）ip address 220.172.*.* 255.255.255.192（这里是设置这个口的外网IP以及子网）nat outbound 2000（设置nat地址转换数值为2000）nat server protocol tcp global 220.172.*.* 15000 inside 192.168.0.232 15000（这些是我做的端口隐射）nat server protocol tcp global 220.172.*.* 15010 inside 192.168.0.232 15010nat server protocol tcp global 220.172.*.* 15030 inside 192.168.0.232 15030nat server protocol tcp global 220.172.*.* 15037 inside 192.168.0.232 15037nat server protocol tcp global 220.172.*.* 15047 inside 192.168.0.232 15047#interface Ethernet0/1（上面说过接口了这个是0/1口看懂上面就应该看懂这里了吧）speed 100desc rīption link_to_workgrouptcp mss 1536ip address 192.168.0.1 255.255.255.0nat outbound 2000（内网口可以不设置这项）#interface Serial0/0（这个自己看说明就知道什么用了）clock DTECLK1link-protocol pppshutdownip address ppp-negotiate#interface Tunnel0#interface NULL0#time-range daily 08:30 to 18:30 daily#FTP server enable （FT[服务器为打开做FTP不用隐射直接打开还有下面一项设置就行了）#ftp source-interface Ethernet0/1（指向FTP连接借口为以太网0/1口）#undo arp check enable（使得能ARP表项检测，这个可以根据自己在加上其他参数实现）#ip route-static 0.0.0.0 0.0.0.0 220.172.225.129 preference 60（这里是加上外网IP的网关）#user-interface con 0authentication-mode schemeuser-interface aux 0user-interface vty 0 4authentication-mode scheme#return[quidway]好了大家应该看得懂了吧对了支持中文方式命令为lan chin 缩写只要命令不冲突华为路由支持缩写然后大家要查看相关命令OR功能的话在命令行输入？就行了查看连续命令的话比如怎么转换中文就是lan空格?号就行了然后查看本缩写的相关命令比如就是lan?没空格回复：你做了端口过滤，为什么不应用到接口上？firewall packet-filter 3001 inboundfirewall packet-filter 3001 outbound。

使用高级ACL限制不同网段的用户互访示例图1 使用高级ACL限制不同网段的用户互访示例组网需求如图1所示，某公司通过Switch实现各部门之间的互连。

为方便管理网络，管理员为公司的研发部和市场部规划了两个网段的IP地址。

同时为了隔离广播域，又将两个部门划分在不同VLAN之中。

现要求Switch能够限制两个网段之间互访，防止公司机密泄露。

配置思路采用如下的思路在Switch上进行配置：1.配置高级ACL和基于ACL的流分类，使设备可以对研发部与市场部互访的报文进行过滤。

2.配置流行为，拒绝匹配上ACL的报文通过。

3.配置并应用流策略，使ACL和流行为生效。

操作步骤1.配置接口所属的VLAN以及接口的IP地址# 创建VLAN10和VLAN20。

<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] vlan batch 10 20# 配置Switch的接口GE0/0/1和GE0/0/2为trunk类型接口，并分别加入VLAN10和VLAN20。

[Switch] interface gigabitethernet 0/0/1[Switch-GigabitEthernet0/0/1] port link-type trunk[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10[Switch-GigabitEthernet0/0/1] quit[Switch] interface gigabitethernet 0/0/2[Switch-GigabitEthernet0/0/2] port link-type trunk[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20[Switch-GigabitEthernet0/0/2] quit# 创建VLANIF10和VLANIF20，并配置各VLANIF接口的IP地址。

华为HCIA认证学习笔记——ACL原理与配置⽅法概述本⽂讲述了华为HCIA认证学习笔记——ACL原理与配置⽅法。

分享给⼤家供⼤家参考，具体如下：ACL（access control list）定义：由⼀系列规则组成的集合。

设备可以通过这些规则对数据包进⾏分类，并对不同类型的报⽂进⾏不同的处理。

分类：1、基本ACL，编号范围2000~2999，通过源ip进⾏匹配；2、⾼级ACL，编号范围3000~3999，可以使⽤报⽂的源/⽬的IP地址、源/⽬的端⼝号以及协议类型等信息来匹配报⽂；3、⾼级ACL，编号范围4000~4999，可以使⽤源/⽬的MAC地址以及⼆层协议类型等⼆层信息来匹配报⽂；ACL规则：由运⾏permit和拒绝deny这样的逻辑构成⼀条条规则，⼀个ACL可以有多条规则，多条规则的优先级不同，⼀个接⼝的⼀个⽅向只能调⽤⼀个ACL；匹配规则：1、配置顺序，按ACL规则编号（rule-id）从⼩到⼤的顺序迚⾏匹配，默认写的第⼀条规则的编号为5，ARG3系列路由器默认规则编号的步长是5，故下⼀跳规则的编号为10；2、⾃劢排序，使⽤“深度优先”的原则进⾏匹配，即根据规则的精确度排序；案例解析：下图的PC、路由表已配置好，PC相互都可以通信。

例⼦1：在R2配置基本ACL，使得PC1访问不了172.16.10.0的⽹络。

1. acl 2000：进⼊R2，进⼊⼀个编号2000的acl；2. rule deny source 192.168.10.1 0：创建规则，拒接192.168.10.1这这个IP访问，0是反掩码，精确匹配，会⾃动⽣成序号5；3. display this：查看配置；4. undo rule 5：删除序号为5的规则；5. int gi 0/0/0；进⼊指定端⼝；6. traffic-filter inbound acl 2000：在接⼝的⼊⽅向调⽤acl，出⽅向是outbound；7. undo traffic-filter inbound：最后测试完成后，将接⼝的acl配置取消；例⼦2：在R2上配置⾼级ACL，拒绝PC1、PC2ping通PC4，但是允许其http访问PC4.1. acl 3000：进⼊编码3000的⾼级acl；2. rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0：⾃定规则，拒绝ip⽹络位为192.168.10的ICMP协议的数据到172.16.10.0主机上；3. int gi 0/0/1；4. traffic-filter outbound acl 3000：在接⼝的出⽅向调⽤acl3000；下⾯使⽤http请求，可以看到返回状态码是200，表⽰访问成功。

配置流量监管和流量整形示例组网需求RouterA通过接口POS3/0/0与RouterB的接口POS1/0/0互连，Server、PC1、PC2可经由RouterA 和RouterB访问Internet。

Server、PC1与RouterA的GE1/0/0接口在同一网段，PC2与RouterA的GE2/0/0接口在同一网段。

在RouterA上对接口GE1/0/0接收到的源自Server和PC1的报文流分别实施流量控制如下：∙来自Server的报文流量进行带宽保证，固定为5Mbit/s，最高不超过6Mbit/s，流量超过5Mbit/s且不超过6Mbit/s时，报文正常发送，超过6Mbit/s时，超过部分的流量降级为BE流进行发送。

∙来自PC1的报文流量约束为2Mbit/s，流量超过2Mbit/s时则丢弃超标流量。

对RouterA和RouterB的POS3/0/0和POS2/0/0接口收发报文有如下要求：∙经由RouterA的POS3/0/0接口进入RouterB的流量限制为20Mbit/s，如果超过流量限制则将违规报文丢弃。

∙经由RouterB的POS2/0/0接口进入Internet的流量限制为30Mbit/s，如果超过流量限制则将违规报文丢弃。

图1 流量整形配置组网图配置思路采用如下思路配置流量整形。

1.在RouterA的入接口GE1/0/0上通过复杂流分类对来自Server和PC1的流量进行监管。

2.在RouterA的出接口POS3/0/0配置流量整形，使进入RouterB的流量限制为20Mbit/s。

3.在RouterB的出接口POS2/0/0配置流量整形，限制RouterB的POS2/0/0接口进入Internet的流量为30Mbit/s。

数据准备完成此例配置，需准备以下数据：∙Server和PC1流量的ACL列表号、流分类名称、流行为名称、流量策略名称和流量策略应用的接口∙流量监管的承诺信息速率、峰值信息速率、承诺突发尺寸、最大突发尺寸∙流量整形的整形速率和配置流量整形的接口操作步骤1.配置各接口的IP地址（略）2.配置RouterA# 配置ACL规则列表，分别匹配来源于Server和PC1的报文流。

华为ACL配置全解教程一、什么是ACLACL（Access Control List）是一种用于控制网络访问的策略工具，可以限制特定网络流量的进出。

ACL通过定义规则，决定允许或拒绝特定IP地址、协议、端口号或应用程序访问网络的能力。

二、ACL的分类1.基于方向的分类：-入方向：指进入设备的数据流量。

-出方向：指离开设备的数据流量。

2.基于分类方式的分类：-标准ACL：仅根据源IP地址或目标IP地址进行过滤。

-扩展ACL：除源IP地址和目标IP地址外，还可以根据端口号、协议类型、标志位等进行过滤。

三、ACL的配置指南1.进入全局配置模式：```[Huawei] system-view```2.创建ACL：```[Huawei] acl number 2000```其中，2000为ACL的编号。

```[Huawei-acl-basic-2000] rule 10 deny source 192.168.0.00.0.0.255```该命令表示在ACL2000中添加一条规则，拒绝源IP地址为192.168.0.0/24的流量。

规则可以根据实际需求，设置允许或拒绝特定的IP地址、协议、端口号等。

4.设置允许的流量：```[Huawei-acl-basic-2000] rule 20 permit source any```该命令表示在ACL2000中添加一条规则，允许任意源IP地址的流量。

5.配置ACL应用：```[Huawei] interface gigabitethernet 0/0/1[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl2000```该命令表示在接口GigabitEthernet0/0/1上应用入方向的ACL 2000。

四、实例下面是一个示例，展示如何通过ACL配置，限制一些IP地址访问设备：1.创建ACL：```[Huawei] acl number 2000``````[Huawei-acl-basic-2000] rule 10 deny source 192.168.0.10.0.0.0```3.设置允许的流量：```[Huawei-acl-basic-2000] rule 20 permit source any```4.配置ACL应用：```[Huawei] interface gigabitethernet 0/0/1[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl2000```这样，ACL 2000就应用在接口GigabitEthernet0/0/1的入方向上了。

华为路由的ACL的配置华为3COM的ACL一直一来都比较麻烦，不同版本、不同型号的设备都有些不同。

下面我以3900设备为例，说明ACL的配置和执行技巧。

总结一句话：rule排列规则和auto、config 模式有关，而匹配顺序则和ACL应用环境和下发到端口的循序有关。

规律说明：1、ACL可以分为auto模式和config模式,auto模式根据最长匹配的原则排列rule的顺序（可以通告dis aclall查看rule的循序，出现4－2－3－0－1很正常）。

config模式根据用户配置循序排列rule的循序。

也就是说auto和config只是rule的排列顺序有关，与匹配顺序无关。

2、不管是auto模式还是config模式，当ACL应用于包过虑和QOS时，匹配循序是从下往上，但是应用于VTY 用户过虑等责是从上往下匹配。

3、不管是auto模式还是config模式，ACL的匹配顺序都是根据下发到端口的规则从下往上匹配。

4、在一个ACL里同时有多条rule匹配，则按照最长匹配优先执行。

包过虑ACL举例说明：禁止10.10.10.145这台PC上网允许10.10.10.0/24网段上网允许192.168.0.0/16网段上网禁止所有IP配置方法一：配置ACL（需要严格按照配置顺序配置）acl num 3000 mach configrule den iprule permit ip sour 192.168.0.0 0.0.255.255rule permit ip sour 10.10.10.0 0.0.0.255rule deny ip sour 10.10.10.145 0下发ACL到端口int e 1/0/1pack in ip 3000配置方法二：配置ACL（配置循序随便）acl num 3001 mach autorule permit ip sour 10.10.10.0 0.0.0.255rule den iprule deny ip sour 10.10.10.145 0rule permit ip sour 192.168.0.0 0.0.255.255下发ACL到端口int e 1/0/2pack in ip 3001 rule 0（必需先应用rule 0，否则全部都是禁止）pack in ip 3001配置输出：acl number 3000（排列顺序为0－1－2－3，按配置顺序排列）rule 0 deny iprule 1 permit ip source 192.168.0.0 0.0.255.255rule 2 permit ip source 10.10.10.0 0.0.0.255rule 3 deny ip source 10.10.10.145 0acl number 3001 match-order auto（排列顺序为3－1－2－0，按掩码排列）rule 3 deny ip source 10.10.10.145 0rule 1 permit ip source 10.10.10.0 0.0.0.255rule 2 permit ip source 192.168.0.0 0.0.255.255rule 0 deny ip#vlan 1#interface Aux1/0/0#interface Ethernet1/0/1（排列顺序为0－1－2－3，和ACL顺序一样）packet-filter inbound ip-group 3000 rule 0packet-filter inbound ip-group 3000 rule 1packet-filter inbound ip-group 3000 rule 2packet-filter inbound ip-group 3000 rule 3#interface Ethernet1/0/2（排列顺序为0－3－1－2，和ACL顺序不一样）packet-filter inbound ip-group 3001 rule 0packet-filter inbound ip-group 3001 rule 3packet-filter inbound ip-group 3001 rule 1packet-filter inbound ip-group 3001 rule 2标准访问列表命令格式如下：acl <acl-number> [match-order config|auto] // 默认前者顺序匹配rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]例：[Quidway]acl 10[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255[Quidway-acl-10]rule normal deny source any扩展访问控制列表配置命令配置TCP/UDP协议的扩展访问列表：rule {normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination <ip wild>|any} [operate]配置ICMP协议的扩展访问列表：rule {normal|special}{permit|deny}icmp source {<ip wild>|any]destination {<ip wild>|any] [icmp-code] [logging]扩展访问控制列表操作符的含义equal portnumber //等于greater-than portnumber //大于less-than portnumber //小于not-equal portnumber //不等range portnumber1 portnumber2 //区间扩展访问控制列表举例[Quidway]acl 101[Quidway-acl-101]rule deny souce any destination any[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo [Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply [Quidway]acl 102[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0 [Quidway-acl-102]rule deny ip source any destination any[Quidway]acl 103[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www[Quidway]firewall enable[Quidway]firewall default permit|deny[Quidway]int e0[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound。

华为eNSP 配置ACL 扩展时间：2014-11-30 17:18:22阅读：969评论：0收藏：0 [点我收藏+]标签：华为路由器ensp交换机acl 扩展acl基本命令华为路由器华为路由器华为路由器华为路由器:通过通过通过通过ACL(访问控制列表访问控制列表访问控制列表访问控制列表)限制上网限制上网限制上网限制上网默认分类2009-06-10 07:52:48 阅读79 评论0 字号：大中小登录到路由器telnet 192.168.1.1 输入用户名，密码acl number 3000 （如果不存在，创建访问列表；存在则添加一条限制）允许192.168.1.99上网：rule 10 permit ip source 192.168.1.99 0 destination 0.0.0.0 0.0.0.0 说明：192.168.1.99 0 表示允许192.168.1.99这台主机，0表示本机。

rule 规则编号ip source 主机反子网掩码destination 目的IP 反子网掩码如果要允许多个连续IP上网：rule 11 permit ip source 192.168.1.16 0.0.0.15 destination 0.0.0.0 0.0.0.0 表示允许192.168.1.16/28 即:192.168.1.17-192.168.1.30可以上网同样，可以限制某IP只能访问某一个网站：例如，允许192.168.1.98这台主机只能访问 rule 13 permit ip source 192.168.1.98 0 destination 121.14.89.14 0 某个网站的IP:可以打开命令提示符,ping (以百度为例) 最后不要忘记：rule 12 deny any any 把不符合以上规则的数据都过滤掉，这样只有上面列出的ip才可以上网。

ACL基本扩展1.实验拓扑：使用ENSP模拟器（版本V100R002C001.2.00.350）2.实验需求1：给R1做一个dhcp地址池2：做基本的和扩展的NAT 3：用vm8绑在2008上3.实验配置给网卡设ip基本[Huawei]int g0/0/1[Huawei-GigabitEthernet0/0/1]ip add192.168.10.124 [Huawei-GigabitEthernet0/0/1]int g0/0/0[Huawei-GigabitEthernet0/0/0]ip add192.168.20.124[Huawei]dhcp enable做地址池[Huawei]int g0/0/1[Huawei-GigabitEthernet0/0/1]dhcp select interface放入0/0/1接口2008收到地址Huawei]acl2014[Huawei-acl-basic-2014]rule deny source192.168.10.2520让10.252不能上[Huawei-acl-basic-2014]rule permit source anydis this[Huawei-acl-basic-2014]rule6deny source192.168.10.2530中间添加一个6 [Huawei-acl-basic-2014]dis thisHuawei-acl-basic-2014]undo rule6直接加上6就能删了[Huawei-acl-basic-2014]dis this[Huawei-acl-basic-2014]int g0/0/0[Huawei-GigabitEthernet0/0/0]traffic-filter outbound acl2014[Huawei-GigabitEthernet0/0/0]display acl all[Huawei-GigabitEthernet0/0/0]un traffic-filter outboundq扩展[Huawei]undo acl2014[Huawei]acl3014[Huawei-acl-adv-3014]rule deny tcp source192.168.10.00.0.0.255destination192.168.20.80destination-port eq8010.0网段不能通过20.8获取www[Huawei-acl-adv-3014]rule permit ip source any destination anyHuawei-acl-adv-3014]int g0/0/1[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl3014[Huawei-GigabitEthernet0/0/1]dis acl all配置时间[Huawei]time-range work8:00to11:30working-day建立时间组[Huawei-acl-adv-3014]rule deny tcp source192.168.10.00.0.0.255destination192.168.20.80destination-port eq80time-range ftp-access加上时间组user-int vty04acl3014inbound设在这里安全。

华为交换机⾼级ACL配置ACL扩展应⽤(ACL)是应⽤在接⼝的指令列表。

这些指令列表⽤来告诉路由器哪能些可以收、哪能数据包需要拒绝。

⾄于数据包是被接收还是拒绝，可以由类似于源地址、⽬的地址、等的特定指⽰条件来决定。

扩展IP访问控制列表是其中重要的⼀种扩展IP访问控制列表⽐标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、⽬的地址、、⽬的端⼝、建⽴连接的和IP等。

编号范围是从100到199的访问控制列表是扩展IP访问控制列表。

扩展的格式：access-list ACL号 [permit|deny][协议] [定义过滤源范围] [定义过滤源端⼝] [定义过滤⽬的主机访问] [定义过滤⽬的端⼝]华为交换机⾼级 ACL配置命令：[HUAWEI-5700]acl 3000进⼊⾼级ACL配置列表[HUAWEI-5700-acl-adv-3000]rule 5 deny tcp source 192.168.10.0 0.0.0.255 destination 10.10.100.100 0 destination-port eq 80拒绝来⾃ 192.168.10.0 此⽹段内所有主机访问 10.10.100.100 此服务器的TCP 80端⼝的流量http协议默认为80端⼝[HUAWEI-5700-acl-adv-3000]rule 10 deny tcp source 192.168.20.0 0.0.0.255 destination 10.10.200.200 0 destination-port eq 21拒绝来⾃192.168.20.0 此⽹段内所有主机访问 10.10.200.200 此服务器的TCP 21端⼝的流量Ftp协议默认为21端⼝[HUAWEI-5700-acl-adv-3000]rule 15 deny udp source 192.168.30.0 0.0.0.255 destination 172.16.10.100 0 destination-port eq 53拒绝来⾃192.168.30.0 此⽹段内所有主机访问 172.16.10.100 此服务器的UDP 53端⼝的流量DNS协议默认为53端⼝[HUAWEI-5700-acl-adv-3000]rule 20 permit tcp source 192.168.40.0 0.0.0.255 destination 61.10.10.10 0 destination-port eq 110允许来⾃192.168.40.0 此⽹段内所有主机访问 61.10.10.10 此服务器的TCP 110端⼝的流量POP3协议默认为110端⼝[HUAWEI-5700-acl-adv-3000]rule 25 permit tcp source 192.168.50.0 0.0.0.255 destination 61.11.11.11 0 destination-port eq 23允许来⾃192.168.50.0 此⽹段内所有主机访问 61.11.11.11 此服务器的TCP 23端⼝的流量telnet协议默认为23端⼝[HUAWEI-5700-acl-adv-3000]rule 30 permit tcp source 192.168.60.0 0.0.0.255 destination 66.11.11.10 0 destination-port eq 25允许来⾃192.168.60.0 此⽹段内所有主机访问 66.11.11.10 此服务器的TCP 25端⼝的流量smtp协议默认为23端⼝[HUAWEI-5700-acl-adv-3000]rule 35 deny udp source 10.10.50.5 0.0.0.0 destination 172.16.20.100 0.0.0.0 destination-port eq 161拒绝10.10.50.5此主机访问 172.16.20.100 此终端的UDP 161端⼝的流量snmp协议默认为161端⼝查看acl配置列表：[HUAWEI-5700-acl-adv-3000]display this#acl number 3000rule 5 deny tcp source 192.168.10.0 0.0.0.255 destination 10.10.100.100 0 destination-port eq wwwrule 10 deny tcp source 192.168.20.0 0.0.0.255 destination 10.10.200.200 0 destination-port eq ftprule 15 deny udp source 192.168.30.0 0.0.0.255 destination 172.16.10.100 0 destination-port eq dnsrule 20 permit tcp source 192.168.40.0 0.0.0.255 destination 61.10.10.10 0 destination-port eq pop3rule 25 permit tcp source 192.168.50.0 0.0.0.255 destination 61.11.11.11 0 destination-port eq telnetrule 30 permit tcp source 192.168.60.0 0.0.0.255 destination 66.11.11.10 0 destination-port eq smtprule 35 deny udp source 10.10.50.5 0 destination 172.16.20.100 0 destination-port eq snmp华为交换机端⼝调⽤ACL配置命令：[HUAWEI-5700]interface GigabitEthernet 0/0/1进⼊需要调⽤ACL的交换机端⼝[HUAWEI-5700-GigabitEthernet0/0/1]traffic-filter outbound acl 3000在些端⼝的出⽅向调⽤ACL3000[HUAWEI-5700-GigabitEthernet0/0/1]traffic-filter inbound acl 3000在此端⼝的⼊⽅向调⽤ACL3000注：每个端⼝的⼀个⽅向上只能调⽤⼀个ACL列表，也就是outbound 和 inbound 两个⽅向上有且只能有⼀个ACL。

华为交换机ACL控制列表设置交换机配置（三）ACL基本配置1，二层ACL. 组网需求:通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。

该主机从GigabitEthernet0/1接入。

.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL# 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。

[Quidway] acl name traffic-of-link link# 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。

[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress00e0-fc01-0303 0-0-0 time-range huawei (3)激活ACL。

# 将traffic-of-link的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link2 三层ACLa)基本访问控制列表配置案例. 组网需求:通过基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。

该主机从GigabitEthernet0/1接入。

.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily(2)定义源IP为10.1.1.1的ACL# 进入基于名字的基本访问控制列表视图，命名为traffic-of-host。

华为ACL配置教程一、ACL基本配置1、ACL规则生效时间段配置（需要先配置设备的时间，建议用ntp同步时间）某些引用ACL的业务或功能需要限制在一定的时间范围内生效，比如，在流量高峰期时启动设备的QoS功能。

用户可以为ACL创建生效时间段，通过在规则中引用时间段信息限制ACL生效的时间范围，从而达到该业务或功能在一定的时间范围内生效的目的。

[Huawei]time-range test ?<hh:mm> Starting timefrom The beginning point of the time range[Huawei]time-range test 8:00 ?to The ending point of periodic time-range[Huawei]time-range test 8:00 t[Huawei]time-range test 8:00 to ?<hh:mm> Ending Time[Huawei]time-range test 8:00 to 18:05 ?<0-6> Day of the week(0 is Sunday)Fri Friday #星期五Mon Monday #星期一Sat Saturday #星期六Sun Sunday #星期天Thu Thursday #星期四Tue Tuesday #星期二Wed Wednesday #星期三daily Every day of the week #每天off-day Saturday and Sunday #星期六和星期日working-day Monday to Friday #工作日每一天[Huawei]time-range test from 8:00 2016/1/17 to 18:00 2016/11/17使用同一time-name可以配置多条不同的时间段，以达到这样的效果：各周期时间段之间以及各绝对时间段之间分别取并集之后，再取二者的交集作为最终生效的时间范围。

交换机配置〔三〕ACL基本配置1,二层ACL. 组网需求:通过二层访问控制列表,实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤.该主机从GigabitEthernet0/1接入..配置步骤:<1>定义时间段# 定义8:00至18:00的周期时间段.[Quidway] time-range huawei 8:00 to 18:00 daily<2>定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL# 进入基于名字的二层访问控制列表视图,命名为traffic-of-link.[Quidway] acl name traffic-of-link link#定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则. [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress00e0-fc01-0303 0-0-0 time-range huawei<3>激活ACL.# 将traffic-of-link的ACL激活.[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link2三层ACL a>基本访问控制列表配置案例. 组网需求:通过基本访问控制列表,实现在每天8:00～18:00时间段内对源IP为10.1.1.1主机发出报文的过滤.该主机从GigabitEthernet0/1接入..配置步骤:<1>定义时间段# 定义8:00至18:00的周期时间段.[Quidway] time-range huawei 8:00 to 18:00 daily<2>定义源IP为10.1.1.1的ACL# 进入基于名字的基本访问控制列表视图,命名为traffic-of-host.[Quidway] acl name traffic-of-host basic# 定义源IP为10.1.1.1的访问规则.[Quidway-acl-basic-traffic-of-host] rule 1 deny ip source 10.1.1.1 0 time-range huawei<3>激活ACL.# 将traffic-of-host的ACL激活.[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-hostb>高级访问控制列表配置案例.组网需求:公司企业网通过Switch的端口实现各部门之间的互连.研发部门的由GigabitEthernet0/1端口接入,工资查询服务器的地址为129.110.1.2.要求正确配置ACL,限制研发部门在上班时间8:00至18:00访问工资服务器..配置步骤:<1>定义时间段# 定义8:00至18:00的周期时间段.定义时间－ACL规则创建－设定规则－激活规则[Quidway] time-range huawei 8:00 to 18:00 working-day<2>定义到工资服务器的ACL# 进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver.[Quidway] acl name traffic-of-payserver advanced# 定义研发部门到工资服务器的访问规则.[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei<3>激活ACL.# 将traffic-of-payserver的ACL激活.[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver3,常见病毒的ACL创建aclacl number 100禁pingrule deny icmp source any destination any用于控制Blaster蠕虫的传播rule deny udp source any destination any destination-port eq 69rule deny tcp source any destination any destination-port eq 4444用于控制冲击波病毒的扫描和攻击rule deny tcp source any destination any destination-port eq 135rule deny udp source any destination any destination-port eq 135rule deny udp source any destination any destination-port eq netbios-nsrule deny udp source any destination any destination-port eq netbios-dgmrule deny tcp source any destination any destination-port eq 139rule deny udp source any destination any destination-port eq 139rule deny tcp source any destination any destination-port eq 445rule deny udp source any destination any destination-port eq 445rule deny udp source any destination any destination-port eq 593rule deny tcp source any destination any destination-port eq 593用于控制振荡波的扫描和攻击rule deny tcp source any destination any destination-port eq 445rule deny tcp source any destination any destination-port eq 5554rule deny tcp source any destination any destination-port eq 9995rule deny tcp source any destination any destination-port eq 9996用于控制Worm_MSBlast.A 蠕虫的传播rule deny udp source any destination any destination-port eq 1434下面的不出名的病毒端口号〔可以不作〕rule deny tcp source any destination any destination-port eq 1068rule deny tcp source any destination any destination-port eq 5800rule deny tcp source any destination any destination-port eq 5900rule deny tcp source any destination any destination-port eq 10080rule deny tcp source any destination any destination-port eq 455rule deny udp source any destination any destination-port eq 455rule deny tcp source any destination any destination-port eq 3208rule deny tcp source any destination any destination-port eq 1871rule deny tcp source any destination any destination-port eq 4510rule deny udp source any destination any destination-port eq 4334rule deny tcp source any destination any destination-port eq 4331rule deny tcp source any destination any destination-port eq 4557然后下发配置packet-filter ip-group 100目的：针对目前网上出现的问题,对目的是端口号为1434的UDP报文进行过滤的配置方法,详细和复杂的配置请看配置手册.NE80的配置：NE80<config>#rule-map r1 udp any any eq 1434//r1为role-map的名字,udp 为关键字,any any 所有源、目的IP,eq为等于,1434为udp端口号NE80<config>#acl a1 r1 deny//a1为acl的名字,r1为要绑定的rule-map的名字,NE80<config-if-Ethernet1/0/0>#access-group acl a1//在1/0/0接口上绑定acl,acl为关键字,a1为acl的名字NE16的配置：NE16-4<config>#firewall enable all//首先启动防火墙NE16-4<config>#access-list 101 deny udp any any eq 1434//deny为禁止的关键字,针对udp报文,any any 为所有源、目的IP,eq为等于, 1434为udp 端口号NE16-4<config-if-Ethernet2/2/0>#ip access-group 101 in//在接口上启用access-list,in表示进来的报文,也可以用out表示出去的报文中低端路由器的配置[Router]firewall enable[Router]acl 101[Router-acl-101]rule deny udp source any destion any destination-port eq 1434[Router-Ethernet0]firewall packet-filter 101 inbound6506产品的配置：旧命令行配置如下：6506<config>#acl extended aaa deny protocol udp any any eq 14346506<config-if-Ethernet5/0/1>#access-group aaa国际化新命令行配置如下：[Quidway]acl number 100[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway-acl-adv-100]quit[Quidway]interface ethernet 5/0/1[Quidway-Ethernet5/0/1]packet-filter inbound ip-group 100 not-care-for-interface5516产品的配置：旧命令行配置如下：5516<config>#rule-map l3 aaa protocol-type udp ingress any egress any eq 14345516<config>#flow-action fff deny5516<config>#acl bbb aaa fff5516<config>#access-group bbb国际化新命令行配置如下：[Quidway]acl num 100[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway]packet-filter ip-group 1003526产品的配置：旧命令行配置如下：rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434flow-action f1 denyacl acl1 r1 f1access-group acl1国际化新命令配置如下：acl number 100rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0packet-filter ip-group 101 rule 0注：3526产品只能配置外网对内网的过滤规则,其中1.1.0.0 255.255.0.0是内网的地址段. 8016产品的配置：旧命令行配置如下：8016<config>#rule-map intervlan aaa udp any any eq 14348016<config>#acl bbb aaa deny8016<config>#access-group acl bbb vlan 10 port all国际化新命令行配置如下：8016<config>#rule-map intervlan aaa udp any any eq 14348016<config>#eacl bbb aaa deny8016<config>#access-group eacl bbb vlan 10 port all防止同网段ARP欺骗的ACL一、组网需求：1. 二层交换机阻止网络用户仿冒网关IP的ARP攻击二、组网图：图1二层交换机防ARP攻击组网S3552P是三层设备,其中IP：100.1.1.1是所有PC的网关,S3552P上的网关MAC地址为000f-e200-3999.PC-B上装有ARP攻击软件.现在需要对S3026C_A进行一些特殊配置,目的是过滤掉仿冒网关IP的ARP报文.三、配置步骤对于二层交换机如S3026C等支持用户自定义ACL〔number为5000到5999〕的交换机,可以配置ACL来进行ARP报文过滤.全局配置ACL禁止所有源IP是网关的ARP报文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉,其中斜体部分64010101是网关IP地址100.1.1.1的16进制表示形式.Rule1允许通过网关发送的ARP报文,斜体部分为网关的mac地址000f-e200-3999.注意：配置Rule时的配置顺序,上述配置为先下发后生效的情况.在S3026C-A系统视图下发acl规则：[S3026C-A] packet-filter user-group 5000这样只有S3026C_A上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的arp响应报文.三层交换机实现仿冒网关的ARP防攻击一、组网需求：1. 三层交换机实现防止同网段的用户仿冒网关IP的ARP攻击二、组网图图2三层交换机防ARP攻击组网三、配置步骤1.对于三层设备,需要配置过滤源IP是网关的ARP报文的ACL规则,配置如下ACL规则：acl number 5000rule 0 deny 0806 ffff 24 64010105 ffffffff 40rule0禁止S3526E的所有端口接收冒充网关的ARP报文,其中斜体部分64010105是网关IP地址的16进制表示形式.2.下发ACL到全局[S3526E] packet-filter user-group 5000仿冒他人IP的ARP防攻击一、组网需求：作为网关的设备有可能会出现错误ARP的表项,因此在网关设备上还需对用户仿冒他人IP的ARP攻击报文进行过滤.二、组网图：参见图1和图2三、配置步骤：1.如图1所示,当PC-B发送源IP地址为PC-D的arp reply攻击报文,源mac是PC-B 的mac <000d-88f8-09fa>,源ip是PC-D的ip<100.1.1.3>,目的ip和mac是网关〔3552P〕的,这样3552上就会学习到错误的arp,如下所示：--------------------- 错误arp表项--------------------------------IP Address MAC Address VLAN ID Port Name Aging Type100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic从网络连接可以知道PC-D的arp表项应该学习到端口E0/8上,而不应该学习到E0/2端口上.但实际上交换机上学习到该ARP表项在E0/2.上述现象可以在S3552上配置静态ARP实现防攻击：arp static 100.1.1.3 000f-3d81-45b4 1 e0/82.在图2 S3526C上也可以配置静态ARP来防止设备学习到错误的ARP表项.3.对于二层设备〔S3050C和S3026E系列〕,除了可以配置静态ARP外,还可以配置IP＋MAC＋port绑定,比如在S3026C端口E0/4上做如下操作：am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4端口绑定则IP为并且MAC为000d-88f8-09fa的ARP报文可以通过E0/4端口,仿冒其它设备的ARP报文则无法通过,从而不会出现错误ARP表项.四、配置关键点：此处仅仅列举了部分Quidway S系列以太网交换机的应用.在实际的网络应用中,请根据配置手册确认该产品是否支持用户自定义ACL和地址绑定.仅仅具有上述功能的交换机才能防止ARP欺骗.5,关于ACL规则匹配的说明a> ACL直接下发到硬件中的情况交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类.此时一条ACL中多个子规则的匹配顺序是由交换机的硬件决定的,用户即使在定义ACL时配置了匹配顺序也不起作用.ACL直接下发到硬件的情况包括：交换机实现QoS功能时引用ACL、硬件转发时通过ACL过滤转发数据等.b> ACL被上层模块引用的情况交换机也使用ACL来对由软件处理的报文进行过滤和流分类.此时ACL子规则的匹配顺序有两种：config〔指定匹配该规则时按用户的配置顺序〕和auto〔指定匹配该规则时系统自动排序,即按"深度优先"的顺序〕.这种情况下用户可以在定义ACL的时候指定一条ACL中多个子规则的匹配顺序.用户一旦指定某一条访问控制列表的匹配顺序,就不能再更改该顺序.只有把该列表中所有的规则全部删除后,才能重新指定其匹配顺序.ACL被软件引用的情况包括：路由策略引用ACL、对登录用户进行控制时引用ACL等.。