2022年2022年华为路由的ACL的配 .pdf-淘文阁

资源描述

《2022年2022年华为路由的ACL的配 .pdf》由会员分享，可在线阅读，更多相关《2022年2022年华为路由的ACL的配 .pdf（3页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、华为路由的ACL的配置华为 3COM 的 ACL一直一来都比较麻烦，不同版本、不同型号的设备都有些不同。下面我以 3900 设备为例，说明ACL的配置和执行技巧。总结一句话：rule 排列规则和auto、config模式有关，而匹配顺序则和ACL应用环境和下发到端口的循序有关。规律说明：1、ACL可以分为auto 模式和 config 模式 ,auto 模式根据最长匹配的原则排列rule 的顺序（可以通告 dis aclall 查看 rule 的循序，出现42301 很正常）。config 模式根据用户配置循序排列 rule 的循序。也就是说auto 和 config 只是 rule 的排列顺

2、序有关，与匹配顺序无关。2、不管是auto 模式还是config 模式，当ACL应用于包过虑和QOS时，匹配循序是从下往上，但是应用于VTY 用户过虑等责是从上往下匹配。3、不管是 auto 模式还是config 模式， ACL的匹配顺序都是根据下发到端口的规则从下往上匹配。4、在一个ACL里同时有多条rule 匹配，则按照最长匹配优先执行。包过虑 ACL举例说明：禁止 10.10.10.145 这台 PC上网允许 10.10.10.0/24 网段上网允许 192.168.0.0/16 网段上网禁止所有IP 配置方法一：配置 ACL （需要严格按照配置顺序配置）acl num 3000 ma

3、ch config rule den ip rule permit ip sour 192.168.0.0 0.0.255.255 rule permit ip sour 10.10.10.0 0.0.0.255 rule deny ip sour 10.10.10.145 0 下发 ACL到端口int e 1/0/1 pack in ip 3000 配置方法二：配置 ACL （配置循序随便）acl num 3001 mach auto rule permit ip sour 10.10.10.0 0.0.0.255 rule den ip rule deny ip sour 10.10.10

4、.145 0 rule permit ip sour 192.168.0.0 0.0.255.255 下发 ACL到端口int e 1/0/2 pack in ip 3001 rule 0 （必需先应用rule 0，否则全部都是禁止）pack in ip 3001 配置输出：acl number 3000 （排列顺序为0123，按配置顺序排列）rule 0 deny ip 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 3 页 - - - - - - - - - rule

5、 1 permit ip source 192.168.0.0 0.0.255.255 rule 2 permit ip source 10.10.10.0 0.0.0.255 rule 3 deny ip source 10.10.10.145 0 acl number 3001 match-order auto （排列顺序为3 120，按掩码排列）rule 3 deny ip source 10.10.10.145 0 rule 1 permit ip source 10.10.10.0 0.0.0.255 rule 2 permit ip source 192.168.0.0 0.0.2

6、55.255 rule 0 deny ip # vlan 1 # interface Aux1/0/0 # interface Ethernet1/0/1 （排列顺序为0123，和 ACL顺序一样）packet-filter inbound ip-group 3000 rule 0 packet-filter inbound ip-group 3000 rule 1 packet-filter inbound ip-group 3000 rule 2 packet-filter inbound ip-group 3000 rule 3 # interface Ethernet1/0/2 （排列

7、顺序为0312，和 ACL顺序不一样）packet-filter inbound ip-group 3001 rule 0 packet-filter inbound ip-group 3001 rule 3 packet-filter inbound ip-group 3001 rule 1 packet-filter inbound ip-group 3001 rule 2 标准访问列表命令格式如下：acl match-order config|auto / 默认前者顺序匹配rule normal|specialpermit|deny source source-addr source-w

9、stination |any icmp-code logging 扩展访问控制列表操作符的含义equal portnumber /等于greater-than portnumber /大于less-than portnumber /小于名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 3 页 - - - - - - - - - not-equal portnumber /不等range portnumber1 portnumber2 /区间扩展访问控制列表举例Quidway

10、acl 101 Quidway-acl-101rule deny souce any destination any Quidway-acl-101rule permit icmp source any destination any icmp-type echo Quidway-acl-101rule permit icmp source any destination any icmp-type echo-reply Quidwayacl 102 Quidway-acl-102rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.

11、0.1 0.0.0.0 Quidway-acl-102rule deny ip source any destination any Quidwayacl 103 Quidway-acl-103rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp Quidway-acl-103rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www Quidwayfirewall enable Quidwayfirewall default permit|deny Quidwayint e0 Quidway-Ethernet0firewall packet-filter 101 inbound|outbound 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 3 页 - - - - - - - - -

展开阅读全文