华为ACL配置教程.docx
- 文档编号:7200707
- 上传时间:2023-01-21
- 格式:DOCX
- 页数:38
- 大小:26.68KB
华为ACL配置教程.docx
《华为ACL配置教程.docx》由会员分享,可在线阅读,更多相关《华为ACL配置教程.docx(38页珍藏版)》请在冰豆网上搜索。
华为ACL配置教程
Themanuscriptwasrevisedontheeveningof2021
华为ACL配置教程
华为ACL配置教程
一、ACL基本配置
1、ACL规则生效时间段配置(需要先配置设备的时间,建议用ntp同步时间)
某些引用ACL的业务或功能需要限制在一定的时间范围内生效,比如,在流量高峰期时启动设备的QoS功能。
用户可以为ACL创建生效时间段,通过在规则中引用时间段信息限制ACL生效的时间范围,从而达到该业务或功能在一定的时间范围内生效的目的。
[]time-rangetest
mm>Startingtime fromThebeginningpointofthetimerange [Huawei]time-rangetest8: 00 toTheendingpointofperiodictime-range [Huawei]time-rangetest8: 00t [Huawei]time-rangetest8: 00to mm>EndingTime [Huawei]time-rangetest8: 00to18: 05 <0-6>Dayoftheweek(0isSunday) FriFriday#星期五 MonMonday#星期一 SatSaturday#星期六 SunSunday#星期天 ThuThursday#星期四 TueTuesday#星期二 WedWednesday#星期三 dailyEverydayoftheweek#每天 off-daySaturdayandSunday#星期六和星期日 working-dayMondaytoFriday#工作日每一天 [Huawei]time-rangetestfrom8: 002016/1/17to18: 002016/11/17 使用同一time-name可以配置多条不同的时间段,以达到这样的效果: 各周期时间段之间以及各绝对时间段之间分别取并集之后,再取二者的交集作为最终生效的时间范围。 例如,时间段“test”配置了三个生效时段: 从2016年1月1日00: 00起到2016年12月31日23: 59生效,这是一个绝对时间段。 在周一到周五每天8: 00到18: 00生效,这是一个周期时间段。 在周六、周日下午14: 00到18: 00生效,这是一个周期时间段。 则时间段“test”最终描述的时间范围为: 2016年的周一到周五每天8: 00到18: 00以及周六和周日下午14: 00到18: 00。 由于网络延迟等原因,可能造成网络上设备时间不同步,建议配置NTP(NetworkTimeProtocol),以保证网络上时间的一致。 2、ACL类型配置 、数字型acl配置 [Huawei]acl2000match-order autoAutoorder#自动顺序(默认) configConfigorder 或 [Huawei]aclnumber2000match-order autoAutoorder configConfigorder 、命名型acl配置 [Huawei]aclnametest advanceSpecifyanadvancednamedACL#设置高级acl basicSpecifyabasicnamedACL match-orderSetACL'smatchorder numberSpecifyanumberforthenamedACL [Huawei]aclnametestad [Huawei]aclnametestadvance match-orderSetACL'smatchorder numberSpecifyanumberforthenamedACL [Huawei]aclnametestnumber INTEGER<2000-2999>NumberofthebasicnamedACL INTEGER<42768-75535>NumberoftheadvancednamedACL 、ACL类型配置 [Huawei]acl INTEGER<1000-1999>Interfaceaccess-list(addtocurrentusingrules)#接口访问列表acl INTEGER<>ApplyMPLSACL#应用MPLSACL INTEGER<2000-2999>Basicaccess-list(addtocurrentusingrules)#基本acl INTEGER<3000-3999>Advancedaccess-list(addtocurrentusingrules)#高级acl INTEGER<4000-4999>MACaddressaccess-list(addtocurrentusingrules)#二层acl ipv6ACLIPv6#基本acl6和高级acl6配置 nameSpecifyanamedACL numberSpecifyanumberedACL 、ACL描述设置(可选) [Huawei-acl-basic-2600]description TEXT 、ACL步长设置(可选) [Huawei-acl-basic-test]step INTEGER<1-20>Specifyvalueofstep 二、ACL类型规则配置 1、基本ACL规则配置 基本ACL编号acl-number的范围是2000~2999。 基本ACL可以根据报文自身的源IP地址、分片标记和时间段信息对IPv4报文进行分类。 [Huawei-acl-basic-test]rule1 denySpecifymatchedpacketdeny permitSpecifymatchedpacketpermit [Huawei-acl-basic-test]rule1deny fragment-typeSpecifythefragmenttypeofpacket#分组片段类型 sourceSpecifysourceaddress time-rangeSpecifyaspecialtime vpn-instanceSpecifyaVPN-Instance [Huawei-acl-basic-test]rule1denysource Addressofsource anyAnysource [Huawei-acl-basic-test]rule1denysource 0Wildcardbits: (ahost) Wildcardofsource [Huawei-acl-basic-test]rule1denysource0 fragment-typeSpecifythefragmenttypeofpacket#对分组片段类型有效 time-rangeSpecifyaspecialtime#引用生效时间 vpn-instanceSpecifyaVPN-Instance#用于vpn [Huawei-acl-basic-2600]description#配置规则描述 TEXTACLdescription(nomorethan127characters) 在ACL中配置首条规则时,如果未指定参数rule-id,设备使用步长值作为规则的起始编号。 后续配置规则如仍未指定参数rule-id,设备则使用最后一个规则的rule-id的下一个步长的整数倍数值作为规则编号。 例如ACL中包含规则rule5和rule7,ACL的步长为5,则系统分配给新配置的未指定rule-id的规则的编号为10。 当用户指定参数time-range引入ACL规则生效时间段时,如果time-name不存在,该规则将无法绑定该生效时间段。 如果不指定参数vpn-instancevpn-instance-name,设备会对公网和私网的报文均进行匹配。 设备在收到报文时,会按照匹配顺序将报文与ACL规则进行逐条匹配,一旦匹配上规则组内的某条规则,则停止匹配动作。 之后,设备将依据匹配的规则对报文执行相应的动作。 2、高级ACL规则配置 高级ACL编号acl-number的范围是3000~3999。 高级acl主要对源/目的IP地址、端口号、优先级、时间段等报文进行过滤。 [Huawei-acl-adv-3000]rule1permit <1-255>Protocolnumber greGREtunneling(47) icmpInternetControlMessageProtocol (1) igmpInternetGroupManagementProtocol (2) ipAnyIPprotocol ipinipIPinIPtunneling(4) ospfOSPFroutingprotocol(89) tcpTransmissionControlProtocol(6) udpUserDatagramProtocol(17) [Huawei-acl-adv-3000]rule1permitudp destinationSpecifydestinationaddress destination-portSpecifydestinationport dscpSpecifydscp fragment-typeSpecifythefragmenttypeofpacket precedenceSpecifyprecedence sourceSpecifysourceaddress source-portSpecifysourceport time-rangeSpecifyaspecialtime tosSpecifytos vpn-instanceSpecifyaVPN-Instance [Huawei-acl-adv-3000]rule1permitudpsource Addressofsource anyAnysource [Huawei-acl-adv-3000]rule1permitudpsourceany destinationSpecifydestinationaddress destination-portSpecifydestinationport dscpSpecifydscp fragment-typeSpecifythefragmenttypeofpacket precedenceSpecifyprecedence source-portSpecifysourceport time-rangeSpecifyaspecialtime tosSpecifytos vpn-instanceSpecifyaVPN-Instance [Huawei-acl-adv-3000]rule1permitudpsourceanydes [Huawei-acl-adv-3000]rule1permitudpsourceanydestination Specifydestinationaddress anyAnydestinationIPaddress [Huawei-acl-adv-3000]rule1permitudpsourceanydestination 0Wildcardbits: (ahost) Wildcardofdestination [Huawei-acl-adv-3000]rule1permitudpsourceanydestination0 destination-portSpecifydestinationport dscpSpecifydscp fragment-typeSpecifythefragmenttypeofpacket precedenceSpecifyprecedence source-portSpecifysourceport time-rangeSpecifyaspecialtime tosSpecifytos vpn-instanceSpecifyaVPN-Instance [Huawei-acl-adv-3000]rule1permitudpsourceanydestination0destination-port eqEqualtogivenportnumber gtGreaterthangivenportnumber ltLessthangivenportnumber neqNotequaltogivenportnumber#不等于指定端口 rangeBetweentwoportnumbers [Huawei-acl-adv-3000]rule1permitudpsourceanydestination0destination-porteq <0-65535>Protocolnumber biffMailnotify(512) bootpcBootstrapProtocolClient(68) bootpsBootstrapProtocolServer(67) discardDiscard(9) dnsDomainNameService(53) dnsixDNSIXSecurityAttributeTokenMap(90) echoEcho(7) mobilip-agMobileIP-Agent(434) mobilip-mnMobilIP-MN(435) nameserverHostNameServer(42) netbios-dgmNETBIOSDatagramService(138) netbios-nsNETBIOSNameService(137) netbios-ssnNETBIOSSessionService(139) ntpNetworkTimeProtocol(123) ripRoutingInformationProtocol(520) snmpSNMP(161) snmptrapSNMPTRAP(162) sunrpcSUNRemoteProcedureCall(111) syslogSyslog(514) tacacs-dsTACACS-DatabaseService(65) talkTalk(517) tftpTrivialFileTransfer(69) timeTime(37) whoWho(513) xdmcpXDisplayManagerControlProtocol(177) [Huawei-acl-adv-3000]rule1permitudpsourceanydestination0destination-porteq21 dscpSpecifydscp fragment-typeSpecifythefragmenttypeofpacket precedenceSpecifyprecedence source-portSpecifysourceport time-rangeSpecifyaspecialtime tosSpecifytos vpn-instanceSpecifyaVPN-Instance 高级acl可以匹配的功能有: 、高级acl常用协议数值对照表 协议类型 数值 ICMP 1 IGMP 2 IPinIP 4 TCP 6 UDP 17 GRE 47 IP OSPF 89 、高级acl常用功能说明 参数 说明 deny 拒绝符合条件的报文 permit 允许符合条件的报文 source{sour-addrsour-wildcard|any} sour-addrsour-wildcard: 源ip地址源通配符掩码 any: 任意源IP地址 destination{dest-addrdest-wildcaard|any dest-addrdest-wildcaard: 目的IP地址及通配符掩码 any: 任意目的IP地址 icmp-type{icmp-name|icmp-typeicmp-code} 指定acl规则匹配报文的icmp报文的类型和消息码信息,仅在报文协议是ICMP的情况下有效 precedence 指定acl匹配报文时依据优先级字段进行过滤。 与tos参数一起共同构成DSCP组成的二选一参数。 tos 指定acl匹配报文时依据服务类型字段进行过滤。 与precedence参数一起共同构成DSCP组成的二选一参数。 dscp 指定acl匹配报文时区分服务代码点,依据IP包中的DSCP优先级字段进行过滤。 tcp-flag 指定acl规则匹配TCP报文中的SYN标志的类型 time-range 指定acl规则生效时间段 destination-port{eqprot|gtport|ltport|rageport-startportend} 指定acl规则匹配报文的UDP或TCP的目的端口,仅在报文协议是UDP或TCP时生效。 端口号可用名称或数字表示 eqport: 指定等于目的端口 gtport: 指定大于目的端口 ltport: 指定小于目的端口 rangeport-startport-end: 指定目的端口范围start为起始端口end为结束端口 soure-port{eqprot|gtport|ltport|rageport-startportend} 指定acl规则匹配报文的UDP或TCP的源端口,仅在报文协议是UDP或TCP时生效。 loging 指定acl匹配的报文信息进行日志记录 fragmen 指定acl规则是否仅对非首片分片报文有效,当包含此参数时仅对非首片分片报文有效。 但此参数不能同时与source-port、destination-port、icmp-type、tcp-flag参数同时配置。 ttl-expired 指定acl是否依据数据报文中的ttl值是否为1进行过滤。 启用此命令表示过滤。 5700SI及以下版本不支持。 举例: 拒绝网段与主机进行UDP9090通信 [Huawei-acl-adv-3002]ruledenyudpsourcedestination0.destination-porteq9090 3、二层ACL规则配置 二层ACL编号acl-number的范围是4000~4999。 二层acl对源/目的MAC、优先级、二层协议等二层信息进行过滤。 [Huawei-acl-L2-4000]rule1 denySpecifymatchedpacketdeny descriptionSpecifyruledescription permitSpecifymatchedpacketpermit [Huawei-acl-L2-4000]rule1denysource-mac1 format 8021pVlanpriority H-H-HSourceMACaddressmask,defaultisffff-ffff-ffff cvlan-8021pVlanpriorityofinnervlan cvlan-idInnervlanid destination-macDestination-mac double-tagDoubletag ether-iiEthernetIIformat l2-protocolLayer2protocol snapSnapformat time-rangeSpecifyaspecialtime vlan-idVlanid [Huawei-acl-L2-4000]rule1denysource-mac1destination-mac H-H-HDestinationMACaddressvalue [Huawei-acl-L2-4000]rule1denysource-mac1destination-mac2222-2222-2222 format 8021pVlanpriority H-H-HDestinationMACaddressmask,defaultisffff-ffff-ffff cvlan-8021pVlanpriorityofinnervlan cvlan-idInnervlanid double-tagDoubletag ether-iiEthernetIIformat l2-protocolLayer2protocol snapSnapformat time-rangeSpecifyaspecialtime vlan-idVlanid 二层acl支持的常用功能 二层acl支持的常用功能 参数 说明 8021p 指定acl规则匹配报文的外层vlan的8021p优先级 cvlan-8021p 指定acl规则匹配报文的内层vlan的8021p优先级 cvlan-idcvlan-id[cvlan-id-mask] 指定acl规则匹配报文的内层vlanID cvlan-id-mask: 指定内层ID值的掩码十六进制 des
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为 ACL 配置 教程