华为ACL配置教程Word格式.docx
《华为ACL配置教程Word格式.docx》由会员分享,可在线阅读,更多相关《华为ACL配置教程Word格式.docx(38页珍藏版)》请在冰豆网上搜索。
WedWednesday#星期三
dailyEverydayoftheweek#每天
off-daySaturdayandSunday#星期六和星期日
working-dayMondaytoFriday#工作日每一天
[Huawei]time-rangetestfrom8:
002016/1/17to18:
002016/11/17
使用同一time-name可以配置多条不同的时间段,以达到这样的效果:
各周期时间段之间以及各绝对时间段之间分别取并集之后,再取二者的交集作为最终生效的时间范围。
例如,时间段“test”配置了三个生效时段:
从2016年1月1日00:
00起到2016年12月31日23:
59生效,这是一个绝对时间段。
在周一到周五每天8:
00到18:
00生效,这是一个周期时间段。
在周六、周日下午14:
则时间段“test”最终描述的时间范围为:
2016年的周一到周五每天8:
00以及周六和周日下午14:
00。
由于网络延迟等原因,可能造成网络上设备时间不同步,建议配置NTP(NetworkTimeProtocol),以保证网络上时间的一致。
2、ACL类型配置
、数字型acl配置
[Huawei]acl2000match-order
autoAutoorder#自动顺序(默认)
configConfigorder
或
[Huawei]aclnumber2000match-order
autoAutoorder
、命名型acl配置
[Huawei]aclnametest
advanceSpecifyanadvancednamedACL#设置高级acl
basicSpecifyabasicnamedACL
match-orderSetACL'
smatchorder
numberSpecifyanumberforthenamedACL
cr>
[Huawei]aclnametestad
[Huawei]aclnametestadvance
[Huawei]aclnametestnumber
INTEGER<
2000-2999>
NumberofthebasicnamedACL
42768-75535>
NumberoftheadvancednamedACL
、ACL类型配置
[Huawei]acl
1000-1999>
Interfaceaccess-list(addtocurrentusingrules)#接口访问列表acl
>
ApplyMPLSACL#应用MPLSACL
Basicaccess-list(addtocurrentusingrules)#基本acl
3000-3999>
Advancedaccess-list(addtocurrentusingrules)#高级acl
4000-4999>
MACaddressaccess-list(addtocurrentusingrules)#二层acl
ipv6ACLIPv6#基本acl6和高级acl6配置
nameSpecifyanamedACL
numberSpecifyanumberedACL
、ACL描述设置(可选)
[Huawei-acl-basic-2600]description
TEXT
、ACL步长设置(可选)
[Huawei-acl-basic-test]step
1-20>
Specifyvalueofstep
二、ACL类型规则配置
1、基本ACL规则配置
基本ACL编号acl-number的范围是2000~2999。
基本ACL可以根据报文自身的源IP地址、分片标记和时间段信息对IPv4报文进行分类。
[Huawei-acl-basic-test]rule1
denySpecifymatchedpacketdeny
permitSpecifymatchedpacketpermit
[Huawei-acl-basic-test]rule1deny
fragment-typeSpecifythefragmenttypeofpacket#分组片段类型
sourceSpecifysourceaddress
time-rangeSpecifyaspecialtime
vpn-instanceSpecifyaVPN-Instance
[Huawei-acl-basic-test]rule1denysource
Addressofsource
anyAnysource
0Wildcardbits:
(ahost)
Wildcardofsource
[Huawei-acl-basic-test]rule1denysource0
fragment-typeSpecifythefragmenttypeofpacket#对分组片段类型有效
time-rangeSpecifyaspecialtime#引用生效时间
vpn-instanceSpecifyaVPN-Instance#用于vpn
[Huawei-acl-basic-2600]description#配置规则描述
TEXTACLdescription(nomorethan127characters)
在ACL中配置首条规则时,如果未指定参数rule-id,设备使用步长值作为规则的起始编号。
后续配置规则如仍未指定参数rule-id,设备则使用最后一个规则的rule-id的下一个步长的整数倍数值作为规则编号。
例如ACL中包含规则rule5和rule7,ACL的步长为5,则系统分配给新配置的未指定rule-id的规则的编号为10。
当用户指定参数time-range引入ACL规则生效时间段时,如果time-name不存在,该规则将无法绑定该生效时间段。
如果不指定参数vpn-instancevpn-instance-name,设备会对公网和私网的报文均进行匹配。
设备在收到报文时,会按照匹配顺序将报文与ACL规则进行逐条匹配,一旦匹配上规则组内的某条规则,则停止匹配动作。
之后,设备将依据匹配的规则对报文执行相应的动作。
2、高级ACL规则配置
高级ACL编号acl-number的范围是3000~3999。
高级acl主要对源/目的IP地址、端口号、优先级、时间段等报文进行过滤。
[Huawei-acl-adv-3000]rule1permit
1-255>
Protocolnumber
greGREtunneling(47)
icmpInternetControlMessageProtocol
(1)
igmpInternetGroupManagementProtocol
(2)
ipAnyIPprotocol
ipinipIPinIPtunneling(4)
ospfOSPFroutingprotocol(89)
tcpTransmissionControlProtocol(6)
udpUserDatagramProtocol(17)
[Huawei-acl-adv-3000]rule1permitudp
destinationSpecifydestinationaddress
destination-portSpecifydestinationport
dscpSpecifydscp
fragment-typeSpecifythefragmenttypeofpacket
precedenceSpecifyprecedence
source-portSpecifysourceport
tosSpecifytos
[Huawei-acl-adv-3000]rule1permitudpsource
[Huawei-acl-adv-3000]rule1permitudpsourceany
[Huawei-acl-adv-3000]rule1permitudpsourceanydes
[Huawei-acl-adv-3000]rule1permitudpsourceanydestination
Specifydestinationaddress
anyAnydestinationIPaddress
Wildcardofdestination
[Huawei-acl-adv-3000]rule1permitudpsourceanydestination0
[Huawei-acl-adv-3000]rule1permitudpsourceanydestination0destination-port
eqEqualtogivenportnumber
gtGreaterthangivenportnumber
ltLessthangivenportnumber
neqNotequaltogivenportnumber#不等于指定端口
rangeBetweentwoportnumbers
[Huawei-acl-adv-3000]rule1permitudpsourceanydestination0destination-porteq
0-65535>
biffMailnotify(512)
bootpcBootstrapProtocolClient(68)
bootpsBootstrapProtocolServer(67)
discardDiscard(9)
dnsDomainNameService(53)
dnsixDNSIXSecurityAttributeTokenMap(90)
echoEcho(7)
mobilip-agMobileIP-Agent(434)
mobilip-mnMobilIP-MN(435)
nameserverHostNameServer(42)
netbios-dgmNETBIOSDatagramService(138)
netbios-nsNETBIOSNameService(137)
netbios-ssnNETBIOSSessionService(139)
ntpNetworkTimeProtocol(123)
ripRoutingInformationProtocol(520)
snmpSNMP(161)
snmptrapSNMPTRAP(162)
sunrpcSUNRemoteProcedureCall(111)
syslogSyslog(514)
tacacs-dsTACACS-DatabaseService(65)
talkTalk(517)
tftpTrivialFileTransfer(69)
timeTime(37)
whoWho(513)
xdmcpXDisplayManagerControlProtocol(177)
[Huawei-acl-adv-3000]rule1permitudpsourceanydestination0destination-porteq21
高级acl可以匹配的功能有:
、高级acl常用协议数值对照表
协议类型
数值
ICMP
1
IGMP
2
IPinIP
4
TCP
6
UDP
17
GRE
47
IP
OSPF
89
、高级acl常用功能说明
参数
说明
deny
拒绝符合条件的报文
permit
允许符合条件的报文
source{sour-addrsour-wildcard|any}
sour-addrsour-wildcard:
源ip地址源通配符掩码
any:
任意源IP地址
destination{dest-addrdest-wildcaard|any
dest-addrdest-wildcaard:
目的IP地址及通配符掩码
任意目的IP地址
icmp-type{icmp-name|icmp-typeicmp-code}
指定acl规则匹配报文的icmp报文的类型和消息码信息,仅在报文协议是ICMP的情况下有效
precedence
指定acl匹配报文时依据优先级字段进行过滤。
与tos参数一起共同构成DSCP组成的二选一参数。
tos
指定acl匹配报文时依据服务类型字段进行过滤。
与precedence参数一起共同构成DSCP组成的二选一参数。
dscp
指定acl匹配报文时区分服务代码点,依据IP包中的DSCP优先级字段进行过滤。
tcp-flag
指定acl规则匹配TCP报文中的SYN标志的类型
time-range
指定acl规则生效时间段
destination-port{eqprot|gtport|ltport|rageport-startportend}
指定acl规则匹配报文的UDP或TCP的目的端口,仅在报文协议是UDP或TCP时生效。
端口号可用名称或数字表示
eqport:
指定等于目的端口
gtport:
指定大于目的端口
ltport:
指定小于目的端口
rangeport-startport-end:
指定目的端口范围start为起始端口end为结束端口
soure-port{eqprot|gtport|ltport|rageport-startportend}
指定acl规则匹配报文的UDP或TCP的源端口,仅在报文协议是UDP或TCP时生效。
loging
指定acl匹配的报文信息进行日志记录
fragmen
指定acl规则是否仅对非首片分片报文有效,当包含此参数时仅对非首片分片报文有效。
但此参数不能同时与source-port、destination-port、icmp-type、tcp-flag参数同时配置。
ttl-expired
指定acl是否依据数据报文中的ttl值是否为1进行过滤。
启用此命令表示过滤。
5700SI及以下版本不支持。
举例:
拒绝网段与主机进行UDP9090通信
[Huawei-acl-adv-3002]ruledenyudpsourcedestination0.destination-porteq9090
3、二层ACL规则配置
二层ACL编号acl-number的范围是4000~4999。
二层acl对源/目的MAC、优先级、二层协议等二层信息进行过滤。
[Huawei-acl-L2-4000]rule1
descriptionSpecifyruledescription
[Huawei-acl-L2-4000]rule1denysource-mac1
format
8021pVlanpriority
H-H-HSourceMACaddressmask,defaultisffff-ffff-ffff
cvlan-8021pVlanpriorityofinnervlan
cvlan-idInnervlanid
destination-macDestination-mac
double-tagDoubletag
ether-iiEthernetIIformat
l2-protocolLayer2protocol
snapSnapformat
vlan-idVlanid
[Huawei-acl-L2-4000]rule1denysource-mac1destination-mac
H-H-HDestinationMACaddressvalue
[Huawei-acl-L2-4000]rule1denysource-mac1destination-mac2222-2222-2222
H-H-HDestinationMACaddressmask,defaultisffff-ffff-ffff
二层acl支持的常用功能
8021p
指定acl规则匹配报文的外层vlan的8021p优先级
cvlan-8021p
指定acl规则匹配报文的内层vlan的8021p优先级
cvlan-idcvlan-id[cvlan-id-mask]
指定acl规则匹配报文的内层vlanID
cvlan-id-mask:
指定内层ID值的掩码十六进制
des
升级会员 