华为路由的ACL的配置

更新时间:2023-05-07 09:29:59 阅读: 评论:0

华为路由的ACL的配置
华为3COM的ACL一直一来都比较麻烦,不同版本、不同型号的设备都有些不同。下面我以3900设备为例,说明ACL的配置和执行技巧。总结一句话:rule排列规则和auto、config模式有关,而匹配顺序则和ACL应用环境和下发到端口的循序有关。
规律说明:
1、ACL可以分为auto模式和config模式,auto模式根据最长匹配的原则排列rule的顺序(可以通告dis aclall查看rule的循序,出现4-2-3-0-1很正常)。config模式根据用户配置循序排列rule的循序。也就是说auto和config只是rule的排列顺序有关,与匹配顺序无关。
2、不管是auto模式还是config模式,当ACL应用于包过虑和QOS时,匹配循序是从下往上,但是应用于VTY 用户过虑等责是从上往下匹配。
3、不管是auto模式还是config模式,ACL的匹配顺序都是根据下发到端口的规则从下往上匹配。
4、在一个ACL里同时有多条rule匹配,则按照最长匹配优先执行。
包过虑ACL举例说明:
禁止10.10.10.145这台PC上网
允许10.10.10.0/24网段上网
允许192.168.0.0/16网段上网
禁止所有IP
配置方法一:
配置ACL(需要严格按照配置顺序配置)
acl num 3000 mach config
rule den ip
rule permit ip sour 192.168.0.0 0.0.255.255
rule permit ip sour  10.10.10.0 0.0.0.255
rule deny ip sour 10.10.10.145 0
下发ACL到端口
int e 1/0/1
pack in ip 3000
配置方法二:
配置ACL(配置循序随便)
acl num 3001 mach auto
rule permit ip sour  10.10.10.0 0.0.0.255
rule den ip
rule deny ip sour 10.10.10.145 0
rule permit ip sour 192.168.0.0 0.0.255.255
下发ACL到端口
int e 1/0/2
pack in ip 3001 rule 0(必需先应用rule 0,否则全部都是禁止)
pack in ip 3001

配置输出:
acl number 3000(排列顺序为0-1-2-3,按配置顺序排列)
rule 0 deny ip
rule 1 permit ip source 192.168.0.0 0.0.255.255
rule 2 permit ip source 10.10.10.0 0.0.0.255
rule 3 deny ip source 10.10.10.145 0
acl number 3001 match-order auto(排列顺序为3-1-2-0,按掩码排列)
rule 3 deny ip source 10.10.10.145 0
rule 1 permit ip source 10.10.10.0 0.0.0.255
rule 2 permit ip source 192.168.0.0 0.0.255.255
rule 0 deny ip
#
vlan 1
#
interface Aux1/0/0
#
interface Ethernet1/0/1(排列顺序为0-1-2-3,和ACL顺序一样)
packet-filter inbound ip-group 3000 rule 0
packet-filter inbound ip-group 3000 rule 1
packet-filter inbound ip-group 3000 rule 2
packet-filter inbound ip-group 3000 rule 3
#
interface Ethernet1/0/2(排列顺序为0-3-1-2,和ACL顺序不一样)
packet-filter inbound ip-group 3001 rule 0
packet-filter inbound ip-group 3001 rule 3
packet-filter inbound ip-group 3001 rule 1
packet-filter inbound ip-group 3001 rule 2
标准访问列表命令格式如下:
acl <acl-number> [match-order config|auto]        // 默认前者顺序匹配
rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]
例:
[Quidway]acl 10
[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255
[Quidway-acl-10]rule normal deny source any
扩展访问控制列表配置命令
配置TCP/UDP协议的扩展访问列表:
rule {normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination <ip wild>|any}
[operate]
配置ICMP协议的扩展访问列表:
rule {normal|special}{permit|deny}icmp source {<ip wild>|any]destination {<ip wild>|any]
[icmp-code] [logging]
扩展访问控制列表操作符的含义
equal portnumber                                    //等于
greater-than portnumber                              //大于
less-than portnumber                                //小于
not-equal portnumber                                //不等
range portnumber1 portnumber2                        //区间
扩展访问控制列表举例
[Quidway]acl 101
[Quidway-acl-101]rule deny souce any destination any
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply
[Quidway]acl 102
[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0
[Quidway-acl-102]rule deny ip source any destination any
[Quidway]acl 103
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www
[Quidway]firewall enable
[Quidway]firewall default permit|deny
[Quidway]int e0
[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound

本文发布于:2023-05-07 09:29:59,感谢您对本站的认可!

本文链接:https://www.wtabcd.cn/fanwen/fan/90/99098.html

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。

标签:配置   顺序   匹配   列表   模式
相关文章
留言与评论(共有 0 条评论)
   
验证码:
Copyright ©2019-2022 Comsenz Inc.Powered by © 专利检索| 网站地图