您的位置:360文档中心› 华为交换机ACL控制列表设置

华为交换机ACL控制列表设置

合集下载

华为S6506R交换机配置ACL时易被忽略的规则

华为S6506R交换机配置ACL时易被忽略的规则


Ru e 3 p r i i e t t n XXX.. 7 7 l e t p d si i m na o 0 1 .00
维普资讯
华 配 为 置
中国 工 商 银行 福 建 省 分 行 潘 朝 晖
中国工商银行福建省分行 实施 的一级分行网络结
条子规则组成, 对于这些子规则 , A t( 有 uo 深度优先 ) 和
构优化调整项 目中, 根据规划采用 了华为 的 ¥ 5 6 6 0 R交
杂, 而且很 多人员 又是初 次接 触华为中高端设备 , 因此 在实施过程 中往往考虑不周甚至出错 , 从而影响核心生
A t: u 指定匹配该子规则时系统 自动排序。当规则 o
冲突时 , 描述 的地址范 围越小的规则 , 将会越优先考 虑。 深度的判断要依靠通配 比较位 和 I P地址结合 比较 。 Cni:指定 匹配该子规则时按用户的配置顺序匹 of g
al re tcni- r- ac c odrl — of fs m t s a gi t h
a l a n a l d a c d c me i c v n e n a
_
采 用按 配置 顺 序 后 下 发 先 生 效 的 策 略
定 义 A L名 称 C
2 5 2 5 2 0. 5 a y I 5 . 5 .4 25 一一 n ,P h s- h s , P ot o tI
() 2华为 ¥ 5 6 6 0R交换机的 A L C
②较为复杂 的特点。¥ 56 60 R的 A L子规则条 目数 C
量有两个方面 的限制 : 规则 ( ue与掩码( ak 表项的 R l) M s)
数量 限制。对于 F 4T等单板的 18 E8 ~ 个百兆 口及 P 2/ 1T T 2/ T 8 1P 4 等单板的 1 G 个千兆 口, 其理论 上支持 的数 目 为 :2 18条 R l及 1 ue 6条 M s 组 合资源 。但 因为系统 ak A L 占用一些资源 , C要 因此 ¥5 6 6 0 R实际上只能支持用 户 A L的资源为 :0 C 10条左右 的 R l 及 1 ue s 0条的 M s ak 组合资源 。 M s 表项是 匹配 I ak P报文的前 8 个 字节 ,即不同 0

华为交换机过滤命令

华为交换机过滤命令

华为交换机过滤命令一、Telnet登录交换机1. 打开Telnet客户端,输入交换机的管理IP地址,端口默认为23,点击连接按钮进行登录。

2. 在弹出的登录窗口中输入交换机的登录账号和密码,点击确定登录交换机。

二、使用过滤命令配置交换机策略1. 进入系统视图:在命令行界面输入"system-view",按回车键。

2. 配置ACL(访问控制列表):输入"acl number ACL-NAME",其中ACL-NAME是ACL的名称,按回车键。

3. 配置ACL规则:输入"rule Rule-ID deny/permit protocol source-ip destination-ip",其中Rule-ID是规则编号,deny/permit表示禁止或允许数据包通过,protocol表示协议类型,source-ip表示源IP地址,destination-ip表示目的IP地址。

4. 应用ACL到接口:输入"interface interface-typeinterface-number",其中interface-type表示接口类型,interface-number表示接口编号,按回车键。

5. 输入"packet-filter ACL-NAME inbound/outbound",其中ACL-NAME表示之前配置的ACL名称,inbound表示数据包进入接口时应用过滤,outbound表示数据包离开接口时应用过滤,按回车键。

6. 保存配置并退出视图:输入"save",按回车键,然后输入"quit",按回车键。

三、查看和验证过滤策略1. 查看已配置的ACL:在命令行界面输入"display acl ACL-NAME",其中ACL-NAME表示ACL的名称,按回车键。

勒索病毒,华为H3C三层交换机路由器用ACL访问控制实现端口禁用

勒索病毒,华为H3C三层交换机路由器用ACL访问控制实现端口禁用

勒索病毒,华为H3C三层交换机路由器⽤ACL访问控制实现端⼝禁⽤前不久勒索病毒横⾏,很多⼈都纷纷中招,从公司到个⼈,损失相当惨重。

有些公司在互联⽹⼊⼝上做了控制,但是这样并⾮完全,万⼀有⼈把中了毒的U盘插⼊⽹内设备上呢?那我们的内⽹中很有可能集体中招(打过相关补丁的除外)。

我们今天就说说如何在路由、交换机上实现相应的访问控制,封堵相关端⼝,防⽌病毒在⽹络内部蔓延。

以华为和H3C设备配置为例。

什么?为什么没有思科?要啥⾃⾏车,我们需要⽀持国产!**************************************华为#acl number 3100 //创建ALC控制规则rule 5 deny tcp destination-port eq 445 //禁⽌TCP 445端⼝数据rule 10 deny tcp destination-port eq 135rule 15 deny tcp destination-port eq 137rule 20 deny tcp destination-port eq 138rule 25 deny tcp destination-port eq 139rule 30 deny udp destination-port eq 445rule 35 deny udp destination-port eq 135rule 40 deny udp destination-port eq 137rule 45 deny udp destination-port eq 138rule 50 deny udp destination-port eq 139#traffic classifier anti_wana operator or precedence 5 //创建流分类if-match acl 3100 //将ACL与流分类关联#traffic behavior anti_wana //创建流⾏为deny //动作为禁⽌statistic enable //使能流量统计(可选)#traffic policy anti_wana match-order config //创建流策略classifier anti_wana behavior anti_wana //将流分类和流⾏为进⾏关联[全局视图]traffic-policy anti_wana global inbound //全局应⽤⼊⽅向流策略traffic-policy anti_wana global outbound //全局应⽤出⽅向流策略[接⼝视图] //也可以根据使⽤接⼝在接⼝上应⽤相关流策略traffic-policy anti_wana inboundtraffic-policy anti_wana outbound****************************************H3C⼤部分配置相同,毕竟本是同根⽣啊。

华为路由器配置ACL

华为路由器配置ACL

华为AR 28-11的型号基本适用多数华为路由Login authenticationUsername:ztwindows (用户)Password:sys (进如系统视图)System View: return to User View with Ctrl+Z.[quidway]dis curr (查看当前系统配置信息)#sysname quidway (系统名称)#info-center loghost 192.168.0.232(指定信息中心配置信息,这个可以不要)#firewall enable(开起防火墙功能)#dns resolve (启动动态DNS解析功能)dns server 202.98.198.168(指定域名服务器IP地址)dns-proxy enable(启动动态DNS解析功能)#radius scheme system(指定radius配置信息创建scheme方案或者修改方案属性)radius scheme test (test方案名)#domain system#local-user ztwindowspassword cipher L_'-D*ST]8Z)9JV9LS027A!!service-type telnet terminallevel 3关键地方来了!#acl number 2000 (设置一个基本的ACL数值为2000)rule 0 permit source 192.168.0.0 0.0.0.255 (这里配置的时候你会知道其意思)rule 1 deny#acl number 3001 (设置端口过滤使得安全功能)rule 0 deny tcp source-port eq 3127rule 1 deny tcp source-port eq 1025rule 2 deny tcp source-port eq 5554rule 3 deny tcp source-port eq 9996rule 4 deny tcp source-port eq 1068rule 5 deny tcp source-port eq 135rule 6 deny udp source-port eq 135rule 7 deny tcp source-port eq 137rule 8 deny udp source-port eq netbios-nsrule 9 deny tcp source-port eq 138rule 10 deny udp source-port eq netbios-dgmrule 11 deny tcp source-port eq 139rule 12 deny udp source-port eq netbios-ssnrule 13 deny tcp source-port eq 593rule 14 deny tcp source-port eq 4444rule 15 deny tcp source-port eq 5800rule 16 deny tcp source-port eq 5900rule 18 deny tcp source-port eq 8998rule 19 deny tcp source-port eq 445rule 20 deny udp source-port eq 445rule 21 deny udp source-port eq 1434rule 30 deny tcp destination-port eq 3127rule 31 deny tcp destination-port eq 1025rule 32 deny tcp destination-port eq 5554rule 33 deny tcp destination-port eq 9996rule 34 deny tcp destination-port eq 1068rule 35 deny tcp destination-port eq 135rule 36 deny udp destination-port eq 135rule 37 deny tcp destination-port eq 137rule 38 deny udp destination-port eq netbios-nsrule 39 deny tcp destination-port eq 138rule 40 deny udp destination-port eq netbios-dgmrule 41 deny tcp destination-port eq 139rule 42 deny udp destination-port eq netbios-ssnrule 43 deny tcp destination-port eq 593rule 44 deny tcp destination-port eq 4444rule 45 deny tcp destination-port eq 5800rule 46 deny tcp destination-port eq 5900rule 48 deny tcp destination-port eq 8998rule 49 deny tcp destination-port eq 445rule 50 deny udp destination-port eq 445rule 51 deny udp destination-port eq 1434#interface Aux0 (这个不用解释了自己看就知道了)async mode flow#interface Ethernet0/0(设置以太网口0/0口)speed 100(设置以太网的带宽为100M)descrīption link_to_dianxin(以太网口标识我设置的意思是这个口是接如点心)tcp mss 2048(设置TCP 的MSS直最大为2048)ip address 220.172.*.* 255.255.255.192(这里是设置这个口的外网IP以及子网)nat outbound 2000(设置nat地址转换数值为2000)nat server protocol tcp global 220.172.*.* 15000 inside 192.168.0.232 15000(这些是我做的端口隐射)nat server protocol tcp global 220.172.*.* 15010 inside 192.168.0.232 15010nat server protocol tcp global 220.172.*.* 15030 inside 192.168.0.232 15030nat server protocol tcp global 220.172.*.* 15037 inside 192.168.0.232 15037nat server protocol tcp global 220.172.*.* 15047 inside 192.168.0.232 15047#interface Ethernet0/1(上面说过接口了这个是0/1口看懂上面就应该看懂这里了吧)speed 100desc rīption link_to_workgrouptcp mss 1536ip address 192.168.0.1 255.255.255.0nat outbound 2000(内网口可以不设置这项)#interface Serial0/0(这个自己看说明就知道什么用了)clock DTECLK1link-protocol pppshutdownip address ppp-negotiate#interface Tunnel0#interface NULL0#time-range daily 08:30 to 18:30 daily#FTP server enable (FT[服务器为打开做FTP不用隐射直接打开还有下面一项设置就行了)#ftp source-interface Ethernet0/1(指向FTP连接借口为以太网0/1口)#undo arp check enable(使得能ARP表项检测,这个可以根据自己在加上其他参数实现)#ip route-static 0.0.0.0 0.0.0.0 220.172.225.129 preference 60(这里是加上外网IP的网关)#user-interface con 0authentication-mode schemeuser-interface aux 0user-interface vty 0 4authentication-mode scheme#return[quidway]好了大家应该看得懂了吧对了支持中文方式命令为lan chin 缩写只要命令不冲突华为路由支持缩写然后大家要查看相关命令OR功能的话在命令行输入?就行了查看连续命令的话比如怎么转换中文就是lan空格?号就行了然后查看本缩写的相关命令比如就是lan?没空格回复:你做了端口过滤,为什么不应用到接口上?firewall packet-filter 3001 inboundfirewall packet-filter 3001 outbound。

华为交换机5700&2700的VLAN、DHCP、ACL配置

华为交换机5700&2700的VLAN、DHCP、ACL配置

拓扑说明:比较简单的三层环境,防火墙进来后接三层交换机s5700,然后接的几台二层交换机s2700,本文只对几个主要的应用配置做个描述1.vlan、gvrp相关配置举例:三层交换机:[5700]vlan 11 创建VLAN11[5700-vlan11]description xxx 加入描述信息xxx[5700-vlan11]quit[5700]gvrp 要用gvrp的话,全局模式下必须开启gvrp [5700]interface g0/0/23 进入与2层交换机连接的端口准备配置中继[5700-GigabitEthernet0/0/23]gvrp 中继端口下开启gvrp[5700-GigabitEthernet0/0/23]port link-type trunk 端口类型设置为trunk[5700-GigabitEthernet0/0/23]port trunk allow-pass vlan all 设置允许通过的vlan为所有,也可设为指定的vlan[5700-GigabitEthernet0/0/23]quit二层交换机:发现华为上不能批量进入端口,只有通过先创建端口组,再把响应端口加入组的方式来实现批量管理,比如我们要在2700上把千兆口都设为trunk口:[2700]port-group trunk 创建名为turnk的端口组,也可取其他名字。

如果已有此名,则会直接进入此端口组[2700-1-port-group-trunk]group-member g0/0/1 to g0/0/4 宣告组成员为G0/0/1到G0/0/4[2700-1-port-group-trunk]port link-type trunk 此组设为中继,即G0/0/1到G0/0/4都为中继[2700-1-port-group-trunk]port trunk allow-pass vlan all 这几步都和三层的配置一样,不同的是我们这里是进行的批量配置[2700-1-port-group-trunk]gvrp[2700-1-port-group-trunk]quit下面把相应端口加入vlan,这里我觉得端口组以vlan命名较为合适[2700]port group vlan11[2700-1-port-group- vlan11]group-member e0/0/1 to e0/0/4 [2700-1-port-group- vlan11]port link-type access 端口设置为access口[2700-1-port-group- vlan11]port default vlan 11 把E0/0/1-4口加入vlan11[2700-1-port-group- vlan11]quit以上VLAN的配置基本完成。

华为ACL配置

华为ACL配置

使用高级ACL限制不同网段的用户互访示例图1 使用高级ACL限制不同网段的用户互访示例组网需求如图1所示,某公司通过Switch实现各部门之间的互连。

为方便管理网络,管理员为公司的研发部和市场部规划了两个网段的IP地址。

同时为了隔离广播域,又将两个部门划分在不同VLAN之中。

现要求Switch能够限制两个网段之间互访,防止公司机密泄露。

配置思路采用如下的思路在Switch上进行配置:1.配置高级ACL和基于ACL的流分类,使设备可以对研发部与市场部互访的报文进行过滤。

2.配置流行为,拒绝匹配上ACL的报文通过。

3.配置并应用流策略,使ACL和流行为生效。

操作步骤1.配置接口所属的VLAN以及接口的IP地址# 创建VLAN10和VLAN20。

<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] vlan batch 10 20# 配置Switch的接口GE0/0/1和GE0/0/2为trunk类型接口,并分别加入VLAN10和VLAN20。

[Switch] interface gigabitethernet 0/0/1[Switch-GigabitEthernet0/0/1] port link-type trunk[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10[Switch-GigabitEthernet0/0/1] quit[Switch] interface gigabitethernet 0/0/2[Switch-GigabitEthernet0/0/2] port link-type trunk[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20[Switch-GigabitEthernet0/0/2] quit# 创建VLANIF10和VLANIF20,并配置各VLANIF接口的IP地址。

华为交换机ACL策略

华为交换机ACL策略

华为交换机ACL策略1.1 时间段配置命令1.1.1 display time-range【命令】display time-range{all | time-name }【视图】任意视图【参数】time-name:时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。

为避免混淆,时间段的名字不可以使用英文单词all。

all:所有配置的时间段。

【描述】display time-range命令用来显示当前时间段的配置信息和状态,对于当前处在激活状态的时间段将显示Active,对于非激活状态的时间段将显示Inactive。

【举例】# 显示时间段trname的配置信息和状态。

●<Sysname> display time-range trname●Current time is 10:45:15 4/14/2005 Thursday●●Time-range : trname ( Inactive )● from 08:00 12/1/2005 to 24:00 12/31/2100表1-1display time-range命令显示信息描述表1.1.2 time-range【命令】time-range time-name { start-time to end-time days [ from time1 date1 ] [ totime2 date2 ] | from time1 date1 [ to time2 date2 ] | to time2 date2 }undo time-range time-name [ start-time to end-time days [ from time1 date1 ][ to time2 date2 ]| from time1 date1 [ to time2 date2 ] | to time2 date2 ]【视图】系统视图【参数】time-name:时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。

华为交换机ACL策略

华为交换机ACL策略

华为交换机ACL策略1.1 时间段配置命令1.1.1 display time-range【命令】display time-range{all | time-name }【视图】任意视图【参数】time-name:时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。

为避免混淆,时间段的名字不可以使用英文单词all。

all:所有配置的时间段。

【描述】display time-range命令用来显示当前时间段的配置信息和状态,对于当前处在激活状态的时间段将显示Active,对于非激活状态的时间段将显示Inactive。

【举例】# 显示时间段trname的配置信息和状态。

●<Sysname> display time-range trname●Current time is 10:45:15 4/14/2005 Thursday●●Time-range : trname ( Inactive )● from 08:00 12/1/2005 to 24:00 12/31/2100表1-1display time-range命令显示信息描述表1.1.2 time-range【命令】time-range time-name { start-time to end-time days [ from time1 date1 ] [ totime2 date2 ] | from time1 date1 [ to time2 date2 ] | to time2 date2 }undo time-range time-name [ start-time to end-time days [ from time1 date1 ][ to time2 date2 ]| from time1 date1 [ to time2 date2 ] | to time2 date2 ]【视图】系统视图【参数】time-name:时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。

华为交换机基本配置6个实验报告

华为交换机基本配置6个实验报告

华为交换机基本配置6个实验报告随着信息技术的发展,网络设备的应用越来越广泛。

作为网络通信设备中的一种,交换机在局域网中起着至关重要的作用。

华为交换机是当前市场上应用较为广泛的一种交换机品牌,其功能强大,性能稳定。

针对华为交换机的基本配置,我们可以进行一些实验来深入了解和掌握其使用方法。

在本文中,我们将围绕华为交换机的基本配置展开六个实验报告,从简单到复杂,由浅入深地探讨华为交换机的使用方法和技巧。

通过这些实验,我们将对华为交换机的基本配置有一个全面、深刻的理解,为日后的网络设备使用和管理提供有力的支持。

一、实验报告一:华为交换机的基本连接和登录在第一个实验中,我们将学习如何连接并登录华为交换机,这是使用交换机的第一步。

我们将了解到交换机的基本连接方法,学习如何通过终端设备登录交换机,并进行基本的配置操作。

通过这个实验,我们可以对华为交换机的使用环境和登录方法有一个清晰的认识。

二、实验报告二:VLAN的配置和管理VLAN是虚拟局域网的简称,对局域网进行划分可以提高网络的安全性和管理效果。

在这个实验中,我们将学习如何在华为交换机上进行VLAN的配置和管理,包括VLAN的创建、VLAN口的划分和端口的配置等操作。

通过这个实验,我们可以深入了解VLAN的应用和管理,为实际网络的划分和管理奠定基础。

三、实验报告三:静态路由的配置和使用在现代网络中,路由是实现不同网络之间通信的关键设备。

在这个实验中,我们将学习如何在华为交换机上配置和使用静态路由,包括路由表的设置、路由信息的添加和删除等操作。

通过这个实验,我们可以掌握静态路由的配置方法,为不同网络之间的通信建立起有效的桥梁。

四、实验报告四:访问控制列表(ACL)的配置和管理访问控制列表是在网络设备上实现对数据包进行过滤和控制的重要工具。

在这个实验中,我们将学习如何在华为交换机上配置和管理访问控制列表,包括ACL规则的设置、ACL的应用和优先级的调整等操作。

华为交换机删除acl里面的规则

华为交换机删除acl里面的规则

华为交换机删除acl里面的规则在日常网络管理中,ACL(Access Control List)是非常重要的安全性和可控性工具,它可以提供一定的访问控制和数据过滤功能,限制或允许特定IP地址或网络的数据流通过网络设备,保护网络安全。

然而,由于管理需求或配置错误,可能存在需要删除ACL规则的情况。

下面我们将结合华为交换机,介绍ACL规则删除的方法。

步骤1:进入ACL视图。

在命令行界面下,输入“system-view”命令进入交换机的系统视图。

然后,输入“acl name [aclname]”命令进入ACL视图,其中[aclname]为指定的ACL名称。

例如,若我们需要进入名称为“acl1”的ACL视图,则在命令行界面输入命令:system-view。

acl name acl1。

步骤2:删除ACL规则。

在ACL视图下,我们可以使用“undo rule [rule-id]”命令删除指定的ACL规则,其中[rule-id]为待删除的规则的序号。

例如,若我们需要删除名称为“acl1”的ACL视图中序号为“10”的规则,则在命令行界面输入命令:acl1。

undo rule 10。

步骤3:保存ACL配置。

经过删除操作后,我们需要使用“quit”命令返回到上一级视图,然后使用“save”命令将ACL配置保存至设备,以便下次设备重启后能够生效。

例如,若我们需要退出ACL视图并保存ACL配置,则在命令行界面输入命令:quit。

save。

总结:ACL规则的删除是网络管理中常见的操作之一,可以通过命令行界面进入ACL视图,并使用“undo rule [rule-id]”命令删除指定的ACL规则。

删除后记得保存ACL配置。

注意,删除ACL规则是一项非常敏感的操作,建议在实际操作前进行备份或测试,以避免误操作带来的风险。

华为ACL配置全解教程

华为ACL配置全解教程

目录1 ACL简介............................................................................................................................................1-11.1 ACL概述............................................................................................................................................1-11.1.1 ACL概述.................................................................................................................................1-11.1.2 ACL在交换机上的应用方式....................................................................................................1-11.2 IPv4 ACL简介....................................................................................................................................1-21.2.1 IPv4 ACL分类.........................................................................................................................1-21.2.2 IPv4 ACL命名.........................................................................................................................1-21.2.3 IPv4 ACL匹配顺序..................................................................................................................1-21.2.4 IPv4 ACL步长.........................................................................................................................1-31.2.5 IPv4 ACL生效时间段..............................................................................................................1-31.2.6 IPv4 ACL对分片报文的处理...................................................................................................1-41.3 IPv6 ACL简介....................................................................................................................................1-41.3.1 IPv6 ACL分类.........................................................................................................................1-41.3.2 IPv6 ACL命名.........................................................................................................................1-41.3.3 IPv6 ACL匹配顺序..................................................................................................................1-41.3.4 IPv6 ACL步长.........................................................................................................................1-51.3.5 IPv6 ACL生效时间段..............................................................................................................1-52 IPv4 ACL配置....................................................................................................................................2-12.1 配置时间段........................................................................................................................................2-12.1.1 配置时间段..............................................................................................................................2-12.1.2 时间段配置举例......................................................................................................................2-12.2 配置基本IPv4 ACL.............................................................................................................................2-22.2.1 配置准备.................................................................................................................................2-22.2.2 配置基本IPv4 ACL..................................................................................................................2-22.2.3 基本IPv4 ACL配置举例...........................................................................................................2-32.3 配置高级IPv4 ACL.............................................................................................................................2-32.3.1 配置准备.................................................................................................................................2-32.3.2 配置高级IPv4 ACL..................................................................................................................2-42.3.3 高级IPv4 ACL配置举例...........................................................................................................2-52.4 配置二层ACL.....................................................................................................................................2-52.4.1 配置准备.................................................................................................................................2-52.4.2 配置二层ACL..........................................................................................................................2-52.4.3 二层ACL配置举例...................................................................................................................2-62.5 拷贝IPv4 ACL....................................................................................................................................2-62.5.1 配置准备.................................................................................................................................2-62.5.2 拷贝IPv4 ACL.........................................................................................................................2-62.6 IPv4 ACL显示和维护.........................................................................................................................2-72.7 IPv4 ACL典型配置举例.....................................................................................................................2-72.7.1 组网需求.................................................................................................................................2-72.7.2 组网图.....................................................................................................................................2-72.7.3 配置步骤.................................................................................................................................2-83 IPv6 ACL配置....................................................................................................................................3-13.1 配置时间段........................................................................................................................................3-13.2 配置基本IPv6 ACL.............................................................................................................................3-13.2.1 配置准备.................................................................................................................................3-13.2.2 配置基本IPv6 ACL..................................................................................................................3-13.2.3 基本IPv6 ACL配置举例...........................................................................................................3-23.3 配置高级IPv6 ACL.............................................................................................................................3-23.3.1 配置准备.................................................................................................................................3-23.3.2 配置高级IPv6 ACL..................................................................................................................3-33.3.3 高级IPv6 ACL配置举例...........................................................................................................3-43.4 配置二层ACL.....................................................................................................................................3-43.5 拷贝IPv6 ACL....................................................................................................................................3-43.5.1 配置准备.................................................................................................................................3-43.5.2 拷贝IPv6 ACL.........................................................................................................................3-43.6 IPv6 ACL显示和维护.........................................................................................................................3-43.7 IPv6 ACL典型配置举例.....................................................................................................................3-53.7.1 组网需求.................................................................................................................................3-53.7.2 组网图.....................................................................................................................................3-53.7.3 配置步骤.................................................................................................................................3-54 应用ACL进行报文过滤.......................................................................................................................4-14.1 配置对IPv4报文进行过滤..................................................................................................................4-14.2 配置对IPv6报文进行过滤..................................................................................................................4-24.3 应用ACL进行报文过滤典型配置举例.................................................................................................4-24.3.1 以太网端口报文过滤典型配置举例.........................................................................................4-24.3.2 VLAN接口报文过滤典型配置举例...........................................................................................4-31 ACL简介本章所介绍的ACL包括IPv4 ACL和IPv6 ACL。

华为基本acl的编号范围

华为基本acl的编号范围

华为基本acl的编号范围
(最新版)
目录
1.华为基本 ACL 的概述
2.华为基本 ACL 的编号范围
3.华为基本 ACL 的应用场景
4.总结
正文
【1.华为基本 ACL 的概述】
华为基本 ACL(Access Control List,访问控制列表)是一种用于
网络设备上实现流量控制的技术。

通过配置 ACL,可以灵活地控制网络中报文的转发和过滤,从而满足网络安全和访问控制的需求。

【2.华为基本 ACL 的编号范围】
华为基本 ACL 的编号范围是 1-99,以及 1300-1999。

这些编号可以分为两大类:
- 1-99:这些编号属于传统的基本 ACL,可以用于实现基本的网络访问控制。

- 1300-1999:这些编号属于扩展的基本 ACL,相较于传统的基本 ACL,它们提供了更多的匹配条件和控制动作,可以实现更复杂的网络访问控制策略。

【3.华为基本 ACL 的应用场景】
华为基本 ACL 广泛应用于各种网络设备中,例如路由器、交换机等。

它可以实现以下应用场景:
- 限制特定网络设备的访问权限,提高网络安全性。

- 实现基于协议、端口、IP 地址等条件的流量过滤。

- 对特定应用进行带宽保障,提高网络性能。

- 实现 QoS(Quality of Service,服务质量)控制,优化网络资源分配。

【4.总结】
华为基本 ACL 作为一种重要的网络访问控制技术,在网络设备中发挥着重要作用。

华为acl规则

华为acl规则

华为acl规则网络中经常提到的acl规则是Cisco IOS所提供的一种访问控制技术。

初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。

只不过支持的特性不是那么完善而已。

在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。

本文所有的配置实例均基于Cisco IOS的ACL进行编写。

基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。

功能:网络中的节点有资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。

ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。

在实施ACL的过程中,应当遵循如下两个基本原则:1.最小特权原则:只给受控对象完成任务所必须的最小的权限。

2.最靠近受控对象原则:所有的网络层访问权限控制。

3.默认丢弃原则:在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。

这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。

局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。

因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。

acl规则要如何写?1、设置acl :acl number 3000rule 0 permit ip source 服务器端的子网掩码的反码//允许哪些子网访问服务器rule 5 deny ip destination 服务器端的子网掩码的反码//不允许哪些子网访问服务器2、绑定到端口:interface gig 0/1 //进入服务器所在的交换机端口[GigabitEthernet0/1] firewall packet-filter 3000 inbound //把acl绑定到端口设置下发的ACL规则生效顺序acl match-order { config | auto }命令可以acl规则下发前预先确定其在整个acl内的匹配顺序,而acl order命令用来指定规则下发到硬件后的匹配顺序。

华为交换机ACL控制列表设置

华为交换机ACL控制列表设置

华为交换机ACL控制列表设置交换机配置(三)ACL基本配置1,二层ACL. 组网需求:通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。

该主机从GigabitEthernet0/1接入。

.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL# 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。

[Quidway] acl name traffic-of-link link# 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。

[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress00e0-fc01-0303 0-0-0 time-range huawei (3)激活ACL。

# 将traffic-of-link的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link2 三层ACLa)基本访问控制列表配置案例. 组网需求:通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。

该主机从GigabitEthernet0/1接入。

.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily(2)定义源IP为10.1.1.1的ACL# 进入基于名字的基本访问控制列表视图,命名为traffic-of-host。

华为交换机deny的用法

华为交换机deny的用法

华为交换机deny的用法
deny指令通常与ACL(AccessControlList)配合使用,ACL是一种规则集合,用来控制网络数据的流向和访问权限。

在ACL中可以定义允许和拒绝的IP地址或IP地址段。

下面是一个简单的例子:
在交换机中配置一个ACL,拒绝192.168.1.1到192.168.1.100这个IP地址段的访问。

首先创建一个ACL:
[huawei]acl number 2000
[huawei-acl-adv-2000]rule deny ip source 192.168.1.1 0.0.0.99
此时ACL中只有一条规则,拒绝了192.168.1.1到192.168.1.100这个IP地址段的访问。

接下来,在交换机端口上应用这个ACL:
[huawei]int gigabitethernet 0/0/1
[huawei-GigabitEthernet0/0/1]port group acl 2000 in 这样,ACL就应用到了交换机端口上,并且deny指令生效,拒绝了指定IP地址段的访问。

总之,华为交换机中的deny指令可以帮助管理员限制某些IP地址或IP地址段的访问权限,保护网络安全。

需要注意的是,deny指令应该谨慎使用,避免误操作或过度限制造成不必要的影响。

- 1 -。

华为ACL配置教程

华为ACL配置教程

华为ACL配置教程一、ACL基本配置1、ACL规则生效时间段配置(需要先配置设备的时间,建议用ntp同步时间)某些引用ACL的业务或功能需要限制在一定的时间范围内生效,比如,在流量高峰期时启动设备的QoS功能。

用户可以为ACL创建生效时间段,通过在规则中引用时间段信息限制ACL生效的时间范围,从而达到该业务或功能在一定的时间范围内生效的目的。

[Huawei]time-range test ?<hh:mm> Starting timefrom The beginning point of the time range[Huawei]time-range test 8:00 ?to The ending point of periodic time-range[Huawei]time-range test 8:00 t[Huawei]time-range test 8:00 to ?<hh:mm> Ending Time[Huawei]time-range test 8:00 to 18:05 ?<0-6> Day of the week(0 is Sunday)Fri Friday #星期五Mon Monday #星期一Sat Saturday #星期六Sun Sunday #星期天Thu Thursday #星期四Tue Tuesday #星期二Wed Wednesday #星期三daily Every day of the week #每天off-day Saturday and Sunday #星期六和星期日working-day Monday to Friday #工作日每一天[Huawei]time-range test from 8:00 2016/1/17 to 18:00 2016/11/17使用同一time-name可以配置多条不同的时间段,以达到这样的效果:各周期时间段之间以及各绝对时间段之间分别取并集之后,再取二者的交集作为最终生效的时间范围。

华为H3C-ACL操作手册

华为H3C-ACL操作手册

目录1 ACL配置......................................................................................................................................1-11.1 ACL简介.....................................................................................................................................1-11.1.1 ACL匹配顺序....................................................................................................................1-11.1.2 ACL在交换机上的应用方式...............................................................................................1-21.1.3 H3C S3100系列以太网交换机支持的ACL........................................................................1-21.2 ACL配置.....................................................................................................................................1-31.2.1 配置时间段........................................................................................................................1-31.2.2 定义基本ACL....................................................................................................................1-41.2.3 定义高级ACL....................................................................................................................1-51.2.4 定义二层ACL....................................................................................................................1-71.3 ACL下发.....................................................................................................................................1-81.3.1 全局下发ACL....................................................................................................................1-81.3.2 VLAN下发ACL..................................................................................................................1-91.3.3 端口组下发ACL.................................................................................................................1-91.3.4 端口下发ACL..................................................................................................................1-101.4 ACL的显示................................................................................................................................1-101.5 ACL被上层软件引用典型配置举例.............................................................................................1-111.5.1 通过源IP对Telnet登录用户进行控制配置举例.................................................................1-111.5.2 通过源IP对WEB登录用户进行控制配置举例...................................................................1-111.6 ACL下发到硬件典型配置举例....................................................................................................1-121.6.1 基本ACL配置举例...........................................................................................................1-121.6.2 高级ACL配置举例...........................................................................................................1-131.6.3 二层ACL配置举例...........................................................................................................1-131.6.4 端口组下发ACL配置举例................................................................................................1-141 ACL配置1.1 ACL简介随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

华为交换机ACL控制列表设置交换机配置(三)ACL基本配置1,二层ACL. 组网需求:通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。

该主机从GigabitEthernet0/1接入。

.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL# 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。

[Quidway] acl name traffic-of-link link# 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。

[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress00e0-fc01-0303 0-0-0 time-range huawei (3)激活ACL。

# 将traffic-of-link的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link2 三层ACLa)基本访问控制列表配置案例. 组网需求:通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。

该主机从GigabitEthernet0/1接入。

.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily(2)定义源IP为10.1.1.1的ACL# 进入基于名字的基本访问控制列表视图,命名为traffic-of-host。

[Quidway] acl name traffic-of-host basic# 定义源IP为10.1.1.1的访问规则。

[Quidway-acl-basic-traffic-of-host] rule 1 denyip source 10.1.1.1 0 time-range huawei(3)激活ACL。

# 将traffic-of-host的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-hostb)高级访问控制列表配置案例.组网需求:公司企业网通过Switch的端口实现各部门之间的互连。

研发部门的由GigabitEthernet0/1端口接入,工资查询服务器的地址为129.110.1.2。

要求正确配置ACL,限制研发部门在上班时间8:00至18:00访问工资服务器。

.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。

定义时间-ACL规则创建-设定规则-激活规则[Quidway] time-range huawei 8:00 to 18:00 working-day(2)定义到工资服务器的ACL# 进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver。

[Quidway] acl name traffic-of-payserveradvanced# 定义研发部门到工资服务器的访问规则。

[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei(3)激活ACL。

# 将traffic-of-payserver的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver3,常见病毒的ACL创建aclacl number 100禁pingrule deny icmp source any destination any 用于控制Blaster蠕虫的传播rule deny udp source any destination any destination-port eq 69rule deny tcp source any destination any destination-port eq 4444用于控制冲击波病毒的扫描和攻击rule deny tcp source any destination any destination-port eq 135rule deny udp source any destination any destination-port eq 135rule deny udp source any destination any destination-port eq netbios-nsrule deny udp source any destination any destination-port eq netbios-dgmrule deny tcp source any destination any destination-port eq 139rule deny udp source any destination any destination-port eq 139rule deny tcp source any destination any destination-port eq 445rule deny udp source any destination any destination-port eq 445rule deny udp source any destination any destination-port eq 593rule deny tcp source any destination any destination-port eq 593用于控制振荡波的扫描和攻击rule deny tcp source any destination any destination-port eq 445rule deny tcp source any destination anyrule deny tcp source any destination any destination-port eq 9995rule deny tcp source any destination any destination-port eq 9996用于控制Worm_MSBlast.A 蠕虫的传播rule deny udp source any destination any destination-port eq 1434下面的不出名的病毒端口号(可以不作)rule deny tcp source any destination any destination-port eq 1068rule deny tcp source any destination any destination-port eq 5800rule deny tcp source any destination any destination-port eq 5900rule deny tcp source any destination any destination-port eq 10080rule deny tcp source any destination any destination-port eq 455rule deny udp source any destination any destination-port eq 455rule deny tcp source any destination anyrule deny tcp source any destination any destination-port eq 1871rule deny tcp source any destination any destination-port eq 4510rule deny udp source any destination any destination-port eq 4334rule deny tcp source any destination any destination-port eq 4331rule deny tcp source any destination any destination-port eq 4557然后下发配置packet-filter ip-group 100目的:针对目前网上出现的问题,对目的是端口号为1434的UDP报文进行过滤的配置方法,详细和复杂的配置请看配置手册。

NE80的配置:NE80(config)#rule-map r1 udp any any eq 1434//r1为role-map的名字,udp 为关键字,any any 所有源、目的IP,eq为等于,1434为udp 端口号NE80(config)#acl a1 r1 deny//a1为acl的名字,r1为要绑定的rule-map的名字,NE80(config-if-Ethernet1/0/0)#access-group acl a1//在1/0/0接口上绑定acl,acl为关键字,a1为acl的名字NE16的配置:NE16-4(config)#firewall enable all//首先启动防火墙NE16-4(config)#access-list 101 deny udp any any eq 1434//deny为禁止的关键字,针对udp报文,any any 为所有源、目的IP,eq为等于,1434为udp端口号NE16-4(config-if-Ethernet2/2/0)#ipaccess-group 101 in//在接口上启用access-list,in表示进来的报文,也可以用out表示出去的报文中低端路由器的配置[Router]firewall enable[Router]acl 101[Router-acl-101]rule deny udp source any destion any destination-port eq 1434 [Router-Ethernet0]firewall packet-filter 101 inbound6506产品的配置:旧命令行配置如下:6506(config)#acl extended aaa deny protocol udp any any eq 14346506(config-if-Ethernet5/0/1)#access-group aaa国际化新命令行配置如下:[Quidway]acl number 100[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway-acl-adv-100]quit[Quidway]interface ethernet 5/0/1 [Quidway-Ethernet5/0/1]packet-filter inbound ip-group 100 not-care-for-interface5516产品的配置:旧命令行配置如下:5516(config)#rule-map l3 aaa protocol-type udp ingress any egress any eq 14345516(config)#flow-action fff deny5516(config)#acl bbb aaa fff5516(config)#access-group bbb国际化新命令行配置如下:[Quidway]acl num 100[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway]packet-filter ip-group 1003526产品的配置:旧命令行配置如下:rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0255.255.0.0 eq 1434flow-action f1 denyacl acl1 r1 f1access-group acl1国际化新命令配置如下:acl number 100rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0packet-filter ip-group 101 rule 0注:3526产品只能配置外网对内网的过滤规则,其中1.1.0.0 255.255.0.0是内网的地址段。

相关文档
最新文档