华为ACL详解2精编版

交换机配置〔三〕ACL基本配置1,二层ACL. 组网需求:通过二层访问控制列表,实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤.该主机从GigabitEthernet0/1接入..配置步骤:<1>定义时间段# 定义8:00至18:00的周期时间段.[Quidway] time-range huawei 8:00 to 18:00 daily<2>定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL# 进入基于名字的二层访问控制列表视图,命名为traffic-of-link.[Quidway] acl name traffic-of-link link#定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则. [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress00e0-fc01-0303 0-0-0 time-range huawei<3>激活ACL.# 将traffic-of-link的ACL激活.[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link2三层ACL a>基本访问控制列表配置案例. 组网需求:通过基本访问控制列表,实现在每天8:00～18:00时间段内对源IP为10.1.1.1主机发出报文的过滤.该主机从GigabitEthernet0/1接入..配置步骤:<1>定义时间段# 定义8:00至18:00的周期时间段.[Quidway] time-range huawei 8:00 to 18:00 daily<2>定义源IP为10.1.1.1的ACL# 进入基于名字的基本访问控制列表视图,命名为traffic-of-host.[Quidway] acl name traffic-of-host basic# 定义源IP为10.1.1.1的访问规则.[Quidway-acl-basic-traffic-of-host] rule 1 deny ip source 10.1.1.1 0 time-range huawei<3>激活ACL.# 将traffic-of-host的ACL激活.[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-hostb>高级访问控制列表配置案例.组网需求:公司企业网通过Switch的端口实现各部门之间的互连.研发部门的由GigabitEthernet0/1端口接入,工资查询服务器的地址为129.110.1.2.要求正确配置ACL,限制研发部门在上班时间8:00至18:00访问工资服务器..配置步骤:<1>定义时间段# 定义8:00至18:00的周期时间段.定义时间－ACL规则创建－设定规则－激活规则[Quidway] time-range huawei 8:00 to 18:00 working-day<2>定义到工资服务器的ACL# 进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver.[Quidway] acl name traffic-of-payserver advanced# 定义研发部门到工资服务器的访问规则.[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei<3>激活ACL.# 将traffic-of-payserver的ACL激活.[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver3,常见病毒的ACL创建aclacl number 100禁pingrule deny icmp source any destination any用于控制Blaster蠕虫的传播rule deny udp source any destination any destination-port eq 69rule deny tcp source any destination any destination-port eq 4444用于控制冲击波病毒的扫描和攻击rule deny tcp source any destination any destination-port eq 135rule deny udp source any destination any destination-port eq 135rule deny udp source any destination any destination-port eq netbios-nsrule deny udp source any destination any destination-port eq netbios-dgmrule deny tcp source any destination any destination-port eq 139rule deny udp source any destination any destination-port eq 139rule deny tcp source any destination any destination-port eq 445rule deny udp source any destination any destination-port eq 445rule deny udp source any destination any destination-port eq 593rule deny tcp source any destination any destination-port eq 593用于控制振荡波的扫描和攻击rule deny tcp source any destination any destination-port eq 445rule deny tcp source any destination any destination-port eq 5554rule deny tcp source any destination any destination-port eq 9995rule deny tcp source any destination any destination-port eq 9996用于控制Worm_MSBlast.A 蠕虫的传播rule deny udp source any destination any destination-port eq 1434下面的不出名的病毒端口号〔可以不作〕rule deny tcp source any destination any destination-port eq 1068rule deny tcp source any destination any destination-port eq 5800rule deny tcp source any destination any destination-port eq 5900rule deny tcp source any destination any destination-port eq 10080rule deny tcp source any destination any destination-port eq 455rule deny udp source any destination any destination-port eq 455rule deny tcp source any destination any destination-port eq 3208rule deny tcp source any destination any destination-port eq 1871rule deny tcp source any destination any destination-port eq 4510rule deny udp source any destination any destination-port eq 4334rule deny tcp source any destination any destination-port eq 4331rule deny tcp source any destination any destination-port eq 4557然后下发配置packet-filter ip-group 100目的：针对目前网上出现的问题,对目的是端口号为1434的UDP报文进行过滤的配置方法,详细和复杂的配置请看配置手册.NE80的配置：NE80<config>#rule-map r1 udp any any eq 1434//r1为role-map的名字,udp 为关键字,any any 所有源、目的IP,eq为等于,1434为udp端口号NE80<config>#acl a1 r1 deny//a1为acl的名字,r1为要绑定的rule-map的名字,NE80<config-if-Ethernet1/0/0>#access-group acl a1//在1/0/0接口上绑定acl,acl为关键字,a1为acl的名字NE16的配置：NE16-4<config>#firewall enable all//首先启动防火墙NE16-4<config>#access-list 101 deny udp any any eq 1434//deny为禁止的关键字,针对udp报文,any any 为所有源、目的IP,eq为等于, 1434为udp 端口号NE16-4<config-if-Ethernet2/2/0>#ip access-group 101 in//在接口上启用access-list,in表示进来的报文,也可以用out表示出去的报文中低端路由器的配置[Router]firewall enable[Router]acl 101[Router-acl-101]rule deny udp source any destion any destination-port eq 1434[Router-Ethernet0]firewall packet-filter 101 inbound6506产品的配置：旧命令行配置如下：6506<config>#acl extended aaa deny protocol udp any any eq 14346506<config-if-Ethernet5/0/1>#access-group aaa国际化新命令行配置如下：[Quidway]acl number 100[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway-acl-adv-100]quit[Quidway]interface ethernet 5/0/1[Quidway-Ethernet5/0/1]packet-filter inbound ip-group 100 not-care-for-interface5516产品的配置：旧命令行配置如下：5516<config>#rule-map l3 aaa protocol-type udp ingress any egress any eq 14345516<config>#flow-action fff deny5516<config>#acl bbb aaa fff5516<config>#access-group bbb国际化新命令行配置如下：[Quidway]acl num 100[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway]packet-filter ip-group 1003526产品的配置：旧命令行配置如下：rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434flow-action f1 denyacl acl1 r1 f1access-group acl1国际化新命令配置如下：acl number 100rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0packet-filter ip-group 101 rule 0注：3526产品只能配置外网对内网的过滤规则,其中1.1.0.0 255.255.0.0是内网的地址段. 8016产品的配置：旧命令行配置如下：8016<config>#rule-map intervlan aaa udp any any eq 14348016<config>#acl bbb aaa deny8016<config>#access-group acl bbb vlan 10 port all国际化新命令行配置如下：8016<config>#rule-map intervlan aaa udp any any eq 14348016<config>#eacl bbb aaa deny8016<config>#access-group eacl bbb vlan 10 port all防止同网段ARP欺骗的ACL一、组网需求：1. 二层交换机阻止网络用户仿冒网关IP的ARP攻击二、组网图：图1二层交换机防ARP攻击组网S3552P是三层设备,其中IP：100.1.1.1是所有PC的网关,S3552P上的网关MAC地址为000f-e200-3999.PC-B上装有ARP攻击软件.现在需要对S3026C_A进行一些特殊配置,目的是过滤掉仿冒网关IP的ARP报文.三、配置步骤对于二层交换机如S3026C等支持用户自定义ACL〔number为5000到5999〕的交换机,可以配置ACL来进行ARP报文过滤.全局配置ACL禁止所有源IP是网关的ARP报文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉,其中斜体部分64010101是网关IP地址100.1.1.1的16进制表示形式.Rule1允许通过网关发送的ARP报文,斜体部分为网关的mac地址000f-e200-3999.注意：配置Rule时的配置顺序,上述配置为先下发后生效的情况.在S3026C-A系统视图下发acl规则：[S3026C-A] packet-filter user-group 5000这样只有S3026C_A上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的arp响应报文.三层交换机实现仿冒网关的ARP防攻击一、组网需求：1. 三层交换机实现防止同网段的用户仿冒网关IP的ARP攻击二、组网图图2三层交换机防ARP攻击组网三、配置步骤1.对于三层设备,需要配置过滤源IP是网关的ARP报文的ACL规则,配置如下ACL规则：acl number 5000rule 0 deny 0806 ffff 24 64010105 ffffffff 40rule0禁止S3526E的所有端口接收冒充网关的ARP报文,其中斜体部分64010105是网关IP地址的16进制表示形式.2.下发ACL到全局[S3526E] packet-filter user-group 5000仿冒他人IP的ARP防攻击一、组网需求：作为网关的设备有可能会出现错误ARP的表项,因此在网关设备上还需对用户仿冒他人IP的ARP攻击报文进行过滤.二、组网图：参见图1和图2三、配置步骤：1.如图1所示,当PC-B发送源IP地址为PC-D的arp reply攻击报文,源mac是PC-B 的mac <000d-88f8-09fa>,源ip是PC-D的ip<100.1.1.3>,目的ip和mac是网关〔3552P〕的,这样3552上就会学习到错误的arp,如下所示：--------------------- 错误arp表项--------------------------------IP Address MAC Address VLAN ID Port Name Aging Type100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic从网络连接可以知道PC-D的arp表项应该学习到端口E0/8上,而不应该学习到E0/2端口上.但实际上交换机上学习到该ARP表项在E0/2.上述现象可以在S3552上配置静态ARP实现防攻击：arp static 100.1.1.3 000f-3d81-45b4 1 e0/82.在图2 S3526C上也可以配置静态ARP来防止设备学习到错误的ARP表项.3.对于二层设备〔S3050C和S3026E系列〕,除了可以配置静态ARP外,还可以配置IP＋MAC＋port绑定,比如在S3026C端口E0/4上做如下操作：am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4端口绑定则IP为并且MAC为000d-88f8-09fa的ARP报文可以通过E0/4端口,仿冒其它设备的ARP报文则无法通过,从而不会出现错误ARP表项.四、配置关键点：此处仅仅列举了部分Quidway S系列以太网交换机的应用.在实际的网络应用中,请根据配置手册确认该产品是否支持用户自定义ACL和地址绑定.仅仅具有上述功能的交换机才能防止ARP欺骗.5,关于ACL规则匹配的说明a> ACL直接下发到硬件中的情况交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类.此时一条ACL中多个子规则的匹配顺序是由交换机的硬件决定的,用户即使在定义ACL时配置了匹配顺序也不起作用.ACL直接下发到硬件的情况包括：交换机实现QoS功能时引用ACL、硬件转发时通过ACL过滤转发数据等.b> ACL被上层模块引用的情况交换机也使用ACL来对由软件处理的报文进行过滤和流分类.此时ACL子规则的匹配顺序有两种：config〔指定匹配该规则时按用户的配置顺序〕和auto〔指定匹配该规则时系统自动排序,即按"深度优先"的顺序〕.这种情况下用户可以在定义ACL的时候指定一条ACL中多个子规则的匹配顺序.用户一旦指定某一条访问控制列表的匹配顺序,就不能再更改该顺序.只有把该列表中所有的规则全部删除后,才能重新指定其匹配顺序.ACL被软件引用的情况包括：路由策略引用ACL、对登录用户进行控制时引用ACL等.。

华为路由器:通过ACL(访问控制列表)限制上网默认分类2009-06-10 07:52:48 阅读79 评论0 字号：大中小登录到路由器telnet 192.168.1.1输入用户名，密码acl number 3000 （如果不存在，创建访问列表；存在则添加一条限制）允许192.168.1.99上网：rule 10 permit ip source 192.168.1.99 0 destination 0.0.0.0 0.0.0.0说明：192.168.1.99 0 表示允许192.168.1.99这台主机，0表示本机。

rule 规则编号ip source 主机反子网掩码destination 目的IP 反子网掩码如果要允许多个连续IP上网：rule 11 permit ip source 192.168.1.16 0.0.0.15 destination 0.0.0.0 0.0.0.0表示允许192.168.1.16/28 即:192.168.1.17-192.168.1.30可以上网同样，可以限制某IP只能访问某一个网站：例如，允许192.168.1.98这台主机只能访问rule 13 permit ip source 192.168.1.98 0 destination 121.14.89.14 0某个网站的IP:可以打开命令提示符,ping (以百度为例)最后不要忘记：rule 12 deny any any 把不符合以上规则的数据都过滤掉，这样只有上面列出的ip才可以上网。

写的不够详细，敬请原谅。

在华为2880路由器上如何设置时间限制的acl列表?请各位指教首先建立时间段，例如//建立一个时间段，名为work，时间定义为每天08:00到17:00 timer-ange work 07:00 to 17:00 daily然后在acl语句后加上time-range work即可，例如rule 10 permit tcp destination-port eq pop3 time-range work1）定义上班时间段# 定义8:00至18:00的周期时间段。

基本ACL的编号范围
华为设备的基本ACL（Access Control List）主要用于基于源IP地址的访问控制。

其编号范围从2000到2999。

这些ACL基于源IP地址对数据包进行过滤，只允许符合条件的数据包通过。

基本ACL在华为设备中广泛使用，为管理员提供灵活的网络安全控制手段。

1. 常见用途：
基本ACL常用于限制特定IP地址的访问，或只允许特定IP地址范围的流量通过。

例如，可以配置基本ACL来阻止来自特定IP地址的数据包，或只允许某个IP地址段的数据包通过。

2. 配置步骤：
配置基本ACL通常涉及以下步骤：
* 进入系统视图模式
* 定义ACL规则，指定源IP地址范围
* 将ACL应用到相应的接口上
配置过程中，需要仔细检查每一条规则以确保达到预期的效果。

另外，要确保选择的ACL编号不会与已有的编号冲突。

请注意，具体的配置命令可能会根据华为设备的不同型号和操作系统有所不同。

在进行任何网络配置之前，强烈建议备份当前的配置数据并详细了解设备的使用说明。

对于复杂网络环境中的高级应用场景，请在经验丰富的网络工程师指导下操作。

1。

华为ACL详解2精编版访问控制列表-细说ACL那些事⼉（ACL匹配篇）在上⼀期中，⼩编围绕⼀张ACL结构图展开介绍，让⼤家了解了ACL的概念、作⽤和分类，并且知道了ACL是通过规则匹配来实现报⽂过滤的。

但ACL到底是如何进⾏规则匹配的，相信⼤家还是⼀头雾⽔。

本期，说⼀说关于“ACL匹配”的那些事⼉。

1ACL匹配机制⾸先，为⼤家介绍ACL匹配机制。

上⼀期提到，ACL在匹配报⽂时遵循“⼀旦命中即停⽌匹配”的原则。

其实，这句话就是对ACL匹配机制的⼀个⾼度的概括。

当然，ACL匹配过程中，还存在很多细节。

⽐如，ACL不存在系统会怎么处理？ACL存在但规则不存在系统会怎么处理？为了对整个ACL匹配过程展开详细的介绍，画了⼀张ACL匹配流程图，相信对⼤家理解ACL匹配机制能有所帮助。

从整个ACL匹配流程可以看出，报⽂与ACL规则匹配后，会产⽣两种匹配结果：“匹配”和“不匹配”。

●匹配（命中规则）：指存在ACL，且在ACL中查找到了符合匹配条件的规则rule。

不论匹配的动作是“permit”还是“deny”，都称为“匹配”，⽽不是只是匹配上permit规则才算“匹配”。

●不匹配（未命中规则）：指不存在ACL(⽆ACL)，或ACL中⽆规则(没有rule)，再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。

切记以上三种情况，都叫做“不匹配”。

提醒⼤家，⽆论报⽂匹配ACL的结果是“不匹配”、“允许”还是“拒绝”，该报⽂最终是被允许通过还是拒绝通过，实际是由应⽤ACL的各个业务模块来决定的。

不同的业务模块，对命中和未命中规则报⽂的处理⽅式也各不相同。

例如，在Telnet模块中应⽤ACL，只要报⽂命中了permit规则，就允许通过；⽽在流策略中应⽤ACL，如果报⽂命中了permit规则，但流⾏为动作配置的是deny，该报⽂会被拒绝通过。

在后续连载的《访问控制列表-细说ACL那些事⼉（应⽤篇）》中，将结合各类ACL应⽤，为⼤家细说各个业务模块的区别。

华为基本ACL的编号范围1. 什么是ACL？ACL（Access Control List）即访问控制列表，是一种用于网络设备中实现安全策略的技术。

ACL可以根据源IP地址、目的IP地址、协议类型、端口号等条件对数据包进行过滤和控制，从而限制网络流量的进出。

华为基本ACL是华为公司在其网络设备上实现的一种基本访问控制列表。

它允许管理员通过配置规则来限制或允许特定类型的数据包通过网络设备。

2. 华为基本ACL编号范围在华为设备上，每个ACL规则都有一个唯一的编号，用于标识该规则。

华为基本ACL规则的编号范围是1-3999。

其中，1-199表示标准ACL规则，200-299表示扩展ACL规则，300-399表示高级ACL规则。

2.1 标准ACL标准ACL是最简单和最常用的一种ACL类型。

它只能根据源IP地址来过滤数据包，并且只能对IP头部进行匹配操作。

标准ACL规则的编号范围是1-199。

管理员可以根据需要自定义标准ACL规则，并按照编号顺序配置到网络设备中。

以下是一个示例标准ACL配置：acl number 10rule 10 permit source 192.168.1.0 0.0.0.255rule 20 deny source any上述配置中，ACL编号为10的标准ACL规则允许源IP地址为192.168.1.0/24的数据包通过，拒绝其他源IP地址的数据包通过。

2.2 扩展ACL扩展ACL相比标准ACL更为灵活，可以根据源IP地址、目的IP地址、协议类型、端口号等条件来过滤数据包，并且可以对TCP和UDP头部进行精确匹配操作。

扩展ACL规则的编号范围是200-299。

管理员可以根据需要自定义扩展ACL规则，并按照编号顺序配置到网络设备中。

以下是一个示例扩展ACL配置：acl number 2000rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination any eq wwwrule 10 deny ip source any destination any上述配置中，ACL编号为2000的扩展ACL规则允许源IP地址为192.168.1.0/24、目的端口号为80（HTTP）的TCP数据包通过，拒绝其他类型的数据包通过。

华为AR 28-11的型号基本适用多数华为路由Login authenticationUsername:ztwindows （用户）Password:sys （进如系统视图）System View: return to User View with Ctrl+Z.[quidway]dis curr （查看当前系统配置信息）#sysname quidway （系统名称）#info-center loghost 192.168.0.232（指定信息中心配置信息，这个可以不要）#firewall enable（开起防火墙功能）#dns resolve （启动动态DNS解析功能）dns server 202.98.198.168（指定域名服务器IP地址）dns-proxy enable（启动动态DNS解析功能）#radius scheme system（指定radius配置信息创建scheme方案或者修改方案属性）radius scheme test （test方案名）#domain system#local-user ztwindowspassword cipher L_'-D*ST]8Z)9JV9LS027A!!service-type telnet terminallevel 3关键地方来了！#acl number 2000 （设置一个基本的ACL数值为2000）rule 0 permit source 192.168.0.0 0.0.0.255 （这里配置的时候你会知道其意思）rule 1 deny#acl number 3001 （设置端口过滤使得安全功能）rule 0 deny tcp source-port eq 3127rule 1 deny tcp source-port eq 1025rule 2 deny tcp source-port eq 5554rule 3 deny tcp source-port eq 9996rule 4 deny tcp source-port eq 1068rule 5 deny tcp source-port eq 135rule 6 deny udp source-port eq 135rule 7 deny tcp source-port eq 137rule 8 deny udp source-port eq netbios-nsrule 9 deny tcp source-port eq 138rule 10 deny udp source-port eq netbios-dgmrule 11 deny tcp source-port eq 139rule 12 deny udp source-port eq netbios-ssnrule 13 deny tcp source-port eq 593rule 14 deny tcp source-port eq 4444rule 15 deny tcp source-port eq 5800rule 16 deny tcp source-port eq 5900rule 18 deny tcp source-port eq 8998rule 19 deny tcp source-port eq 445rule 20 deny udp source-port eq 445rule 21 deny udp source-port eq 1434rule 30 deny tcp destination-port eq 3127rule 31 deny tcp destination-port eq 1025rule 32 deny tcp destination-port eq 5554rule 33 deny tcp destination-port eq 9996rule 34 deny tcp destination-port eq 1068rule 35 deny tcp destination-port eq 135rule 36 deny udp destination-port eq 135rule 37 deny tcp destination-port eq 137rule 38 deny udp destination-port eq netbios-nsrule 39 deny tcp destination-port eq 138rule 40 deny udp destination-port eq netbios-dgmrule 41 deny tcp destination-port eq 139rule 42 deny udp destination-port eq netbios-ssnrule 43 deny tcp destination-port eq 593rule 44 deny tcp destination-port eq 4444rule 45 deny tcp destination-port eq 5800rule 46 deny tcp destination-port eq 5900rule 48 deny tcp destination-port eq 8998rule 49 deny tcp destination-port eq 445rule 50 deny udp destination-port eq 445rule 51 deny udp destination-port eq 1434#interface Aux0 （这个不用解释了自己看就知道了）async mode flow#interface Ethernet0/0（设置以太网口0/0口）speed 100（设置以太网的带宽为100M）descrīption link_to_dianxin（以太网口标识我设置的意思是这个口是接如点心）tcp mss 2048（设置TCP 的MSS直最大为2048）ip address 220.172.*.* 255.255.255.192（这里是设置这个口的外网IP以及子网）nat outbound 2000（设置nat地址转换数值为2000）nat server protocol tcp global 220.172.*.* 15000 inside 192.168.0.232 15000（这些是我做的端口隐射）nat server protocol tcp global 220.172.*.* 15010 inside 192.168.0.232 15010nat server protocol tcp global 220.172.*.* 15030 inside 192.168.0.232 15030nat server protocol tcp global 220.172.*.* 15037 inside 192.168.0.232 15037nat server protocol tcp global 220.172.*.* 15047 inside 192.168.0.232 15047#interface Ethernet0/1（上面说过接口了这个是0/1口看懂上面就应该看懂这里了吧）speed 100desc rīption link_to_workgrouptcp mss 1536ip address 192.168.0.1 255.255.255.0nat outbound 2000（内网口可以不设置这项）#interface Serial0/0（这个自己看说明就知道什么用了）clock DTECLK1link-protocol pppshutdownip address ppp-negotiate#interface Tunnel0#interface NULL0#time-range daily 08:30 to 18:30 daily#FTP server enable （FT[服务器为打开做FTP不用隐射直接打开还有下面一项设置就行了）#ftp source-interface Ethernet0/1（指向FTP连接借口为以太网0/1口）#undo arp check enable（使得能ARP表项检测，这个可以根据自己在加上其他参数实现）#ip route-static 0.0.0.0 0.0.0.0 220.172.225.129 preference 60（这里是加上外网IP的网关）#user-interface con 0authentication-mode schemeuser-interface aux 0user-interface vty 0 4authentication-mode scheme#return[quidway]好了大家应该看得懂了吧对了支持中文方式命令为lan chin 缩写只要命令不冲突华为路由支持缩写然后大家要查看相关命令OR功能的话在命令行输入？就行了查看连续命令的话比如怎么转换中文就是lan空格?号就行了然后查看本缩写的相关命令比如就是lan?没空格回复：你做了端口过滤，为什么不应用到接口上？firewall packet-filter 3001 inboundfirewall packet-filter 3001 outbound。

华为交换机ACL基础配置ACL基础详解：访问控制列表(ACL)是⼀种基于包过滤的，它可以根据设定的条件对接⼝上的数据包进⾏过滤，允许其通过或丢弃。

访问控制列表被⼴泛地应⽤于和，借助于访问控制列表，可以有效地控制⽤户对⽹络的访问，从⽽最⼤程度地保障。

访问控制列表（Access Control Lists，ACL）是应⽤在接⼝的指令列表。

这些指令列表⽤来告诉路由器哪些可以收、哪些数据包需要拒绝。

⾄于数据包是被接收还是拒绝，可以由类似于源地址、⽬的地址、等的特定指⽰条件来决定。

访问控制列表具有许多作⽤，如限制⽹络流量、提⾼⽹络性能；通信流量的控制，例如ACL可以限定或简化路由更新信息的长度，从⽽限制通过路由器某⼀⽹段的通信流量；提供⽹络安全访问的基本⼿段；在路由器端⼝处决定哪种类型的通信流量被转发或被阻塞，例如，⽤户可以允许E-mail通信流量被路由，拒绝所有的 Telnet通信流量等。

ACL处理过程及规则：当ACL处理数据包时，⼀旦数据包与某条ACL语句匹配，则会跳过列表中剩余的其他语句，根据该条匹配的语句内容决定允许或者拒绝该数据包。

如果数据包内容与ACL语句不匹配，那么将依次使⽤ACL列表中的下⼀条语句测试数据包。

该匹配过程会⼀直继续，直到抵达列表末尾。

最后⼀条隐含的语句适⽤于不满⾜之前任何条件的所有数据包。

这条最后的测试条件与这些数据包匹配，通常会隐含拒绝⼀切数据包的指令。

此时路由器不会让这些数据进⼊或送出接⼝，⽽是直接丢弃。

最后这条语句通常称为隐式的“deny any”语句。

由于该语句的存在，所以在ACL中应该⾄少包含⼀条permit语句，否则，默认情况下，ACL将阻⽌所有流量。

访问控制列表的使⽤：ACL的使⽤分为两步：1. 创建访问控制列表ACL，根据实际需要设置对应的条件项；2. 将ACL应⽤到路由器指定接⼝的指定⽅向(in/out)上。

在ACL的配置与使⽤中需要注意以下事项：1. ACL是⾃顶向下顺序进⾏处理，⼀旦匹配成功，就会进⾏处理，且不再⽐对以后的语句，所以ACL中语句的顺序很重要。

华为路由的ACL的配置华为3COM的ACL一直一来都比较麻烦，不同版本、不同型号的设备都有些不同。

下面我以3900设备为例，说明ACL的配置和执行技巧。

总结一句话：rule排列规则和auto、config 模式有关，而匹配顺序则和ACL应用环境和下发到端口的循序有关。

规律说明：1、ACL可以分为auto模式和config模式,auto模式根据最长匹配的原则排列rule的顺序（可以通告dis aclall查看rule的循序，出现4－2－3－0－1很正常）。

config模式根据用户配置循序排列rule的循序。

也就是说auto和config只是rule的排列顺序有关，与匹配顺序无关。

2、不管是auto模式还是config模式，当ACL应用于包过虑和QOS时，匹配循序是从下往上，但是应用于VTY 用户过虑等责是从上往下匹配。

3、不管是auto模式还是config模式，ACL的匹配顺序都是根据下发到端口的规则从下往上匹配。

4、在一个ACL里同时有多条rule匹配，则按照最长匹配优先执行。

包过虑ACL举例说明：禁止10.10.10.145这台PC上网允许10.10.10.0/24网段上网允许192.168.0.0/16网段上网禁止所有IP配置方法一：配置ACL（需要严格按照配置顺序配置）acl num 3000 mach configrule den iprule permit ip sour 192.168.0.0 0.0.255.255rule permit ip sour 10.10.10.0 0.0.0.255rule deny ip sour 10.10.10.145 0下发ACL到端口int e 1/0/1pack in ip 3000配置方法二：配置ACL（配置循序随便）acl num 3001 mach autorule permit ip sour 10.10.10.0 0.0.0.255rule den iprule deny ip sour 10.10.10.145 0rule permit ip sour 192.168.0.0 0.0.255.255下发ACL到端口int e 1/0/2pack in ip 3001 rule 0（必需先应用rule 0，否则全部都是禁止）pack in ip 3001配置输出：acl number 3000（排列顺序为0－1－2－3，按配置顺序排列）rule 0 deny iprule 1 permit ip source 192.168.0.0 0.0.255.255rule 2 permit ip source 10.10.10.0 0.0.0.255rule 3 deny ip source 10.10.10.145 0acl number 3001 match-order auto（排列顺序为3－1－2－0，按掩码排列）rule 3 deny ip source 10.10.10.145 0rule 1 permit ip source 10.10.10.0 0.0.0.255rule 2 permit ip source 192.168.0.0 0.0.255.255rule 0 deny ip#vlan 1#interface Aux1/0/0#interface Ethernet1/0/1（排列顺序为0－1－2－3，和ACL顺序一样）packet-filter inbound ip-group 3000 rule 0packet-filter inbound ip-group 3000 rule 1packet-filter inbound ip-group 3000 rule 2packet-filter inbound ip-group 3000 rule 3#interface Ethernet1/0/2（排列顺序为0－3－1－2，和ACL顺序不一样）packet-filter inbound ip-group 3001 rule 0packet-filter inbound ip-group 3001 rule 3packet-filter inbound ip-group 3001 rule 1packet-filter inbound ip-group 3001 rule 2标准访问列表命令格式如下：acl <acl-number> [match-order config|auto] // 默认前者顺序匹配rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]例：[Quidway]acl 10[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255[Quidway-acl-10]rule normal deny source any扩展访问控制列表配置命令配置TCP/UDP协议的扩展访问列表：rule {normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination <ip wild>|any} [operate]配置ICMP协议的扩展访问列表：rule {normal|special}{permit|deny}icmp source {<ip wild>|any]destination {<ip wild>|any] [icmp-code] [logging]扩展访问控制列表操作符的含义equal portnumber //等于greater-than portnumber //大于less-than portnumber //小于not-equal portnumber //不等range portnumber1 portnumber2 //区间扩展访问控制列表举例[Quidway]acl 101[Quidway-acl-101]rule deny souce any destination any[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo [Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply [Quidway]acl 102[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0 [Quidway-acl-102]rule deny ip source any destination any[Quidway]acl 103[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www[Quidway]firewall enable[Quidway]firewall default permit|deny[Quidway]int e0[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound。

使用高级ACL限制不同网段的用户互访示例图1 使用高级ACL限制不同网段的用户互访示例组网需求如图1所示，某公司通过Switch实现各部门之间的互连。

为方便管理网络，管理员为公司的研发部和市场部规划了两个网段的IP地址。

同时为了隔离广播域，又将两个部门划分在不同VLAN之中。

现要求Switch能够限制两个网段之间互访，防止公司机密泄露。

配置思路采用如下的思路在Switch上进行配置：1.配置高级ACL和基于ACL的流分类，使设备可以对研发部与市场部互访的报文进行过滤。

2.配置流行为，拒绝匹配上ACL的报文通过。

3.配置并应用流策略，使ACL和流行为生效。

操作步骤1.配置接口所属的VLAN以及接口的IP地址# 创建VLAN10和VLAN20。

<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] vlan batch 10 20# 配置Switch的接口GE0/0/1和GE0/0/2为trunk类型接口，并分别加入VLAN10和VLAN20。

[Switch] interface gigabitethernet 0/0/1[Switch-GigabitEthernet0/0/1] port link-type trunk[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10[Switch-GigabitEthernet0/0/1] quit[Switch] interface gigabitethernet 0/0/2[Switch-GigabitEthernet0/0/2] port link-type trunk[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20[Switch-GigabitEthernet0/0/2] quit# 创建VLANIF10和VLANIF20，并配置各VLANIF接口的IP地址。

华为ACL配置全解教程一、什么是ACLACL（Access Control List）是一种用于控制网络访问的策略工具，可以限制特定网络流量的进出。

ACL通过定义规则，决定允许或拒绝特定IP地址、协议、端口号或应用程序访问网络的能力。

二、ACL的分类1.基于方向的分类：-入方向：指进入设备的数据流量。

-出方向：指离开设备的数据流量。

2.基于分类方式的分类：-标准ACL：仅根据源IP地址或目标IP地址进行过滤。

-扩展ACL：除源IP地址和目标IP地址外，还可以根据端口号、协议类型、标志位等进行过滤。

三、ACL的配置指南1.进入全局配置模式：```[Huawei] system-view```2.创建ACL：```[Huawei] acl number 2000```其中，2000为ACL的编号。

```[Huawei-acl-basic-2000] rule 10 deny source 192.168.0.00.0.0.255```该命令表示在ACL2000中添加一条规则，拒绝源IP地址为192.168.0.0/24的流量。

规则可以根据实际需求，设置允许或拒绝特定的IP地址、协议、端口号等。

4.设置允许的流量：```[Huawei-acl-basic-2000] rule 20 permit source any```该命令表示在ACL2000中添加一条规则，允许任意源IP地址的流量。

5.配置ACL应用：```[Huawei] interface gigabitethernet 0/0/1[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl2000```该命令表示在接口GigabitEthernet0/0/1上应用入方向的ACL 2000。

四、实例下面是一个示例，展示如何通过ACL配置，限制一些IP地址访问设备：1.创建ACL：```[Huawei] acl number 2000``````[Huawei-acl-basic-2000] rule 10 deny source 192.168.0.10.0.0.0```3.设置允许的流量：```[Huawei-acl-basic-2000] rule 20 permit source any```4.配置ACL应用：```[Huawei] interface gigabitethernet 0/0/1[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl2000```这样，ACL 2000就应用在接口GigabitEthernet0/0/1的入方向上了。

华为acl规则网络中经常提到的acl规则是Cisco IOS所提供的一种访问控制技术。

初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。

只不过支持的特性不是那么完善而已。

在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。

本文所有的配置实例均基于Cisco IOS的ACL进行编写。

基本原理：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

功能：网络中的节点有资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。

ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

在实施ACL的过程中，应当遵循如下两个基本原则：1.最小特权原则：只给受控对象完成任务所必须的最小的权限。

2.最靠近受控对象原则：所有的网络层访问权限控制。

3.默认丢弃原则：在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

局限性：由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

因此，要达到end to end的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

acl规则要如何写？1、设置acl ：acl number 3000rule 0 permit ip source 服务器端的子网掩码的反码//允许哪些子网访问服务器rule 5 deny ip destination 服务器端的子网掩码的反码//不允许哪些子网访问服务器2、绑定到端口：interface gig 0/1 //进入服务器所在的交换机端口[GigabitEthernet0/1] firewall packet-filter 3000 inbound //把acl绑定到端口设置下发的ACL规则生效顺序acl match-order { config | auto }命令可以acl规则下发前预先确定其在整个acl内的匹配顺序，而acl order命令用来指定规则下发到硬件后的匹配顺序。

目录1 ACL简介............................................................................................................................................1-11.1 ACL概述............................................................................................................................................1-11.1.1 ACL概述.................................................................................................................................1-11.1.2 ACL在交换机上的应用方式....................................................................................................1-11.2 IPv4 ACL简介....................................................................................................................................1-21.2.1 IPv4 ACL分类.........................................................................................................................1-21.2.2 IPv4 ACL命名.........................................................................................................................1-21.2.3 IPv4 ACL匹配顺序..................................................................................................................1-21.2.4 IPv4 ACL步长.........................................................................................................................1-31.2.5 IPv4 ACL生效时间段..............................................................................................................1-31.2.6 IPv4 ACL对分片报文的处理...................................................................................................1-41.3 IPv6 ACL简介....................................................................................................................................1-41.3.1 IPv6 ACL分类.........................................................................................................................1-41.3.2 IPv6 ACL命名.........................................................................................................................1-41.3.3 IPv6 ACL匹配顺序..................................................................................................................1-41.3.4 IPv6 ACL步长.........................................................................................................................1-51.3.5 IPv6 ACL生效时间段..............................................................................................................1-52 IPv4 ACL配置....................................................................................................................................2-12.1 配置时间段........................................................................................................................................2-12.1.1 配置时间段..............................................................................................................................2-12.1.2 时间段配置举例......................................................................................................................2-12.2 配置基本IPv4 ACL.............................................................................................................................2-22.2.1 配置准备.................................................................................................................................2-22.2.2 配置基本IPv4 ACL..................................................................................................................2-22.2.3 基本IPv4 ACL配置举例...........................................................................................................2-32.3 配置高级IPv4 ACL.............................................................................................................................2-32.3.1 配置准备.................................................................................................................................2-32.3.2 配置高级IPv4 ACL..................................................................................................................2-42.3.3 高级IPv4 ACL配置举例...........................................................................................................2-52.4 配置二层ACL.....................................................................................................................................2-52.4.1 配置准备.................................................................................................................................2-52.4.2 配置二层ACL..........................................................................................................................2-52.4.3 二层ACL配置举例...................................................................................................................2-62.5 拷贝IPv4 ACL....................................................................................................................................2-62.5.1 配置准备.................................................................................................................................2-62.5.2 拷贝IPv4 ACL.........................................................................................................................2-62.6 IPv4 ACL显示和维护.........................................................................................................................2-72.7 IPv4 ACL典型配置举例.....................................................................................................................2-72.7.1 组网需求.................................................................................................................................2-72.7.2 组网图.....................................................................................................................................2-72.7.3 配置步骤.................................................................................................................................2-83 IPv6 ACL配置....................................................................................................................................3-13.1 配置时间段........................................................................................................................................3-13.2 配置基本IPv6 ACL.............................................................................................................................3-13.2.1 配置准备.................................................................................................................................3-13.2.2 配置基本IPv6 ACL..................................................................................................................3-13.2.3 基本IPv6 ACL配置举例...........................................................................................................3-23.3 配置高级IPv6 ACL.............................................................................................................................3-23.3.1 配置准备.................................................................................................................................3-23.3.2 配置高级IPv6 ACL..................................................................................................................3-33.3.3 高级IPv6 ACL配置举例...........................................................................................................3-43.4 配置二层ACL.....................................................................................................................................3-43.5 拷贝IPv6 ACL....................................................................................................................................3-43.5.1 配置准备.................................................................................................................................3-43.5.2 拷贝IPv6 ACL.........................................................................................................................3-43.6 IPv6 ACL显示和维护.........................................................................................................................3-43.7 IPv6 ACL典型配置举例.....................................................................................................................3-53.7.1 组网需求.................................................................................................................................3-53.7.2 组网图.....................................................................................................................................3-53.7.3 配置步骤.................................................................................................................................3-54 应用ACL进行报文过滤.......................................................................................................................4-14.1 配置对IPv4报文进行过滤..................................................................................................................4-14.2 配置对IPv6报文进行过滤..................................................................................................................4-24.3 应用ACL进行报文过滤典型配置举例.................................................................................................4-24.3.1 以太网端口报文过滤典型配置举例.........................................................................................4-24.3.2 VLAN接口报文过滤典型配置举例...........................................................................................4-31 ACL简介本章所介绍的ACL包括IPv4 ACL和IPv6 ACL。

华为路由交换由浅入深系列（九）-华为路由器交换ACL的应用与经验总结1ACL概述随着网络规模的扩大和流量的增加，对网络安全的控制和对带宽的分配成为网络管理的重要内容。

通过对报文进行过滤，可以有效防止非法用户对网络的访问，同时也可以控制流量，节约网络资源。

ACL（Access Control List，访问控制列表）即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。

更多资料访问尽在网络之路空间;【把学习当做生活，每天都在进步】/1914756383//KUCqX2ACL通过一系列的匹配条件对报文进行分类，这些条件可以是报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口号等。

2案例背景[交换机]网络环境拓扑如下（客户端接入交换机约有几十个，所有设备均采用静态IP）服务器区所有服务器网关均在核心交换机上，共有9个Vlan，9个网段分别如下；Vlan10-Vlan11网段分别为10.0.10.0/24-10.0.11.0/24Vlan14-Vlan19网段分别为10.0.14.0/24-10.0.19.0/24交换机管理Vlan为Vlan1:10.0.13.0/24，核心交换机的管理ip为10.0.13.254，其余接入交换机网关均在核心交换机上；客户端共有8个Vlan，分别为Vlan20-Vlan100，网段分别为10.0.20.0/24-10.0.100.0/24，网关均在核心交换机上；3需求一：对服务器区服务器做安全防护，只允许客户端访问服务器某些端口由于网络环境拓扑为客户端——客户端接入交换机——核心交换机——防火墙——服务器接入交换机——服务器，也即客户端访问服务器需要通过防火墙，所以对服务器的防护应该放到防火墙上来做，因为若用交换机来做过滤，配置麻烦且失去了防火墙应有的作用（此处不做防火墙配置介绍）；4需求二：交换机只允许固定管理员通过ssh登陆此处做防护有较为方便的俩种方法一：在所有交换机配置VTY时，调用ACL只允许源为网络管理员的IP访问，但此方法虽配置不复杂，但是配置工作量较大需要在所有交换机上配置，而且不灵活例如在网络管理员人员或者IP变迁时，需要重新修改所有交换机ACL，所以并不是首选方案；二：因为管理交换机管理Vlan与所有客户端Vlan不在同一Vlan，也即客户端访问接入交换机必须通过核心交换机，所以可以在核心交换机上做ACL来控制客户端访对接入交换机的访问，核心交换机的访问通过VTY来调用ACL；配置部分在下面；5需求三：客户端VLAN之间不能互相访问，客户端只允许访问服务器VLAN一：在核心交换机上的所有链接客户端接入交换机端口做ACL，只放行访问服务器的流量，拒绝其余流量，但由于客户端接入交换机约有几十台，所以配置工作量大几十个端口都需要配置，所以也不是首选方案；二：在核心交换机上的客户端Vlan做Acl，只放行访问服务器的流量，拒绝其余流量，由于客户端Vlan共有8个所以相对于在物理接口上做ACL而言，工作量较小，所以选择此方案；6配置部分6.1ACL配置部分acl number2000rule5permit source10.0.20.110rule10permit source10.0.21.150rule15deny//定义允许访问核心交换机的俩位网络管理员IP地址；acl number3000rule51permit ip destination10.0.10.00.0.0.255rule53permit ip destination10.0.12.00.0.0.255rule55permit ip destination10.0.14.00.0.0.255rule56permit ip destination10.0.15.00.0.0.255rule57permit ip destination10.0.16.00.0.0.255rule58permit ip destination10.0.17.00.0.0.255rule59permit ip destination10.0.18.00.0.0.255rule60permit ip destination10.0.19.00.0.0.255//定义所有客户端只允许访问服务器Vlanrule71permit tcp source10.0.20.110destination10.0.13.00.0.0.255destination-port eq22rule72permit tcp source10.0.21.150destination10.0.13.00.0.0.255destination-port eq22//定义允许访问核心交换机的tcp22端口（即SSH）的俩位网络管理员IP；acl number3100rule5permit ip//拒绝除允许网段外的其余所有流量//由于此处的acl3000及3100是给下面的QOS做调用的，所以此处的permit或deny不起作用，随意设置即可；6.2Qos调用部分traffic classifier3000operator or precedence5if-match acl3000//定义名为classifier3000的流分类，并调用ACL3000traffic classifier3100operator or precedence10if-match acl3100//定义名为classifier3100的流分类，并调用ACL3100//定义流分类traffic behavior3000permit//定义名为behavior3000的流行为，并赋予允许值traffic behavior3100deny//定义名为behavior3100的流行为，并赋予拒绝值//定义流行为//上面ACL的允许或拒绝不起作用，通过此处来定义拒绝或允许traffic policy634aclclassifier3000behavior3000classifier3100behavior3100//定义名为policy634acl流策略，并将classifier3000流分类与behavior3000流行为关联，以及classifier 3100流分类与behavior3100流行为关联（注意：允许在前，拒绝在后）；vlan20description kjfzb jimitraffic-policy634acl inbound//依次登录客户端Vlan应用流策略至此完成了所有客户端Vlan之间不能互访，以及除网络管理员之外不能访问接入交换机管理网段的访问控制；user-interface vty04acl2000inbound//在vty界面中调用Acl2000，即只允许俩网络管理员登录；authentication-mode aaauser privilege level3protocol inbound ssh//至此完成了只允许网络管理员登录核心交换机的访问控制；关于华为ACL日常维护中的一点点经验和大家分享下在已经做好的ACL控制策略中,如192.168.1.0禁止访问192.168.2.03.04.05.0网段acl number3001rule5deny ip source192.168.1.00.0.0.255destination192.168.2.00.0.0.255rule10deny ip source192.168.1.00.0.0.255destination192.168.3.00.0.0.255rule15deny ip source192.168.1.00.0.0.255destination192.168.4.00.0.0.255rule20deny ip source192.168.1.00.0.0.255destination192.168.5.00.0.0.255rule25deny ip source192.168.1.00.0.0.255destination192.168.6.00.0.0.128但是在工作需求中要重新调整,使得192.168.1.0中的某个IP如192.168.1.10需要访问已被禁止的网段中的某个IP如192.168.6.215,那么要将1.10与6.215互通在调整过程中需要什么呢.很显然重建建ACL规则是不可行的,因为将规则应用到端口上时,只能同时应用一条规则.那么就只能从原有的3001规则上下手了.下面是操作步骤:1.首先在端口上将inbound应用停用,如果3001已经在使用中,那么rule是不可更改的2.清空3001中的所有规则,做好备份.将permit条目放在前端,再恢复原有的规则,原因是acl匹配有一个自上而下的顺序匹配,所以必须首先permit后deny若先匹配到如rule25已经是deny,那么后面无论怎么做permit,结果还是拒绝,那么调整后的顺序应当是rule5permit ip source192.168.1.100destination192.168.6.2150rule10deny ip source192.168.1.00.0.0.255destination192.168.2.00.0.0.255rule15deny ip source192.168.1.00.0.0.255destination192.168.3.00.0.0.255rule20deny ip source192.168.1.00.0.0.255destination192.168.4.00.0.0.255rule25deny ip source192.168.1.00.0.0.255destination192.168.5.00.0.0.255rule30deny ip source192.168.1.00.0.0.255destination192.168.6.00.0.0.1283.重新应用至接口.在应用过程中注意一点traffic behavior上permit与deny的区别.使用permit表示按照acl3001的规则来进行数据放行,3001中允许那就允许,禁止那就禁止但是若使用deny,则无论3001规则中的permit或者deny,一律全都丢弃不进行转发.关于路由器的调用，对比交换来说简单很多。

华为acl规则网络中经常提到的acl规则是Cisco IOS所提供的一种访问控制技术。

初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。

只不过支持的特性不是那么完善而已。

在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。

本文所有的配置实例均基于Cisco IOS的ACL进行编写。

基本原理：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

功能：网络中的节点有资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。

ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

在实施ACL的过程中，应当遵循如下两个基本原则：1.最小特权原则：只给受控对象完成任务所必须的最小的权限。

2.最靠近受控对象原则：所有的网络层访问权限控制。

3.默认丢弃原则：在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

局限性：由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

因此，要达到end to end的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

acl规则要如何写？1、设置acl ：acl number 3000rule 0 permit ip source 服务器端的子网掩码的反码//允许哪些子网访问服务器rule 5 deny ip destination 服务器端的子网掩码的反码//不允许哪些子网访问服务器2、绑定到端口：interface gig 0/1 //进入服务器所在的交换机端口[GigabitEthernet0/1] firewall packet-filter 3000 inbound //把acl绑定到端口设置下发的ACL规则生效顺序acl match-order { config | auto }命令可以acl规则下发前预先确定其在整个acl内的匹配顺序，而acl order命令用来指定规则下发到硬件后的匹配顺序。

实验一二、基本ACL和高级ACL
实验拓扑：
分析：
华为里的ACL 叫基本与高级
基本（2000-2999）
高级（3000-3999）
命令的很少用
ACL主要的作用{一、包过滤二、NAT}
在华为里包过滤要3条命令
第一步：开启防火墙并设置访问规则：一种是允许所有。

一种是拒绝所有。

第二步：创建ACL访问规则
第三步：在接口下应用
实验步骤如下：基本的ACL
1、基本配置全网互连。

为ACL作铺垫.
2、查看路由表，看学没学到R2的路由。

3、开启防火墙访问规则
默认就是允许所有。

这条命令其实不用加。

4、因为我们华为在基本的也可以作及于时间的访问控制列表。

因为我们先作一个时间的列表。

名为AA 谁便起。

星期一到星期五的每天的早上八点到下午5点。

创建访问规则
ACL默认的就是AUTO 深度，就是范围内越小越优先。

ACL 2000 有一条拒绝，起码要有一条允许。

下面的就句话是说只拒绝到192。

168。

2。

2 的在这个时间段的所有包。

然后允许所有。

5．查看下时间的规则看生效没，有可能是时间不匹配。

把时间改过来。

在这个时候范围之内。

6、测试PING 生效了。

如果在把时间改在时间规则范围之外了。

高级的ACL 配置如下：在R2 上作。

1、
拒绝来自192.168.2.2这台PC的的所有包。

然后允许所有有。

在接口上应用。

在看效果。

华为ACL配置教程一、ACL基本配置1、ACL规则生效时间段配置（需要先配置设备的时间，建议用ntp同步时间）某些引用ACL的业务或功能需要限制在一定的时间范围内生效，比如，在流量高峰期时启动设备的QoS功能。

用户可以为ACL创建生效时间段，通过在规则中引用时间段信息限制ACL生效的时间范围，从而达到该业务或功能在一定的时间范围内生效的目的。

[Huawei]time-range test ?<hh:mm> Starting timefrom The beginning point of the time range[Huawei]time-range test 8:00 ?to The ending point of periodic time-range[Huawei]time-range test 8:00 t[Huawei]time-range test 8:00 to ?<hh:mm> Ending Time[Huawei]time-range test 8:00 to 18:05 ?<0-6> Day of the week(0 is Sunday)Fri Friday #星期五Mon Monday #星期一Sat Saturday #星期六Sun Sunday #星期天Thu Thursday #星期四Tue Tuesday #星期二Wed Wednesday #星期三daily Every day of the week #每天off-day Saturday and Sunday #星期六和星期日working-day Monday to Friday #工作日每一天[Huawei]time-range test from 8:00 2016/1/17 to 18:00 2016/11/17使用同一time-name可以配置多条不同的时间段，以达到这样的效果：各周期时间段之间以及各绝对时间段之间分别取并集之后，再取二者的交集作为最终生效的时间范围。