ImageVerifierCode 换一换
格式:DOCX , 页数:38 ,大小:26.68KB ,
资源ID:7200707      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/7200707.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(华为ACL配置教程.docx)为本站会员(b****5)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

华为ACL配置教程.docx

1、华为ACL配置教程 The manuscript was revised on the evening of 2021华为ACL配置教程华为ACL配置教程一、ACL基本配置1、ACL规则生效时间段配置(需要先配置设备的时间,建议用ntp同步时间)某些引用ACL的业务或功能需要限制在一定的时间范围内生效,比如,在流量高峰期时启动设备的QoS功能。用户可以为ACL创建生效时间段,通过在规则中引用时间段信息限制ACL生效的时间范围,从而达到该业务或功能在一定的时间范围内生效的目的。time-range test Starting time from The beginning point of th

2、e time rangeHuaweitime-range test 8:00 to The ending point of periodic time-rangeHuaweitime-range test 8:00 tHuaweitime-range test 8:00 to Ending TimeHuaweitime-range test 8:00 to 18:05 Day of the week(0 is Sunday) Fri Friday #星期五 Mon Monday #星期一 Sat Saturday #星期六 Sun Sunday #星期天 Thu Thursday #星期四 T

3、ue Tuesday #星期二 Wed Wednesday #星期三 daily Every day of the week #每天 off-day Saturday and Sunday #星期六和星期日 working-day Monday to Friday #工作日每一天Huaweitime-range test from 8:00 2016/1/17 to 18:00 2016/11/17使用同一time-name可以配置多条不同的时间段,以达到这样的效果:各周期时间段之间以及各绝对时间段之间分别取并集之后,再取二者的交集作为最终生效的时间范围。例如,时间段“test”配置了三个生效

4、时段:从2016年1月1日00:00起到2016年12月31日23:59生效,这是一个绝对时间段。在周一到周五每天8:00到18:00生效,这是一个周期时间段。在周六、周日下午14:00到18:00生效,这是一个周期时间段。则时间段“test”最终描述的时间范围为:2016年的周一到周五每天8:00到18:00以及周六和周日下午14:00到18:00。由于网络延迟等原因,可能造成网络上设备时间不同步,建议配置NTP(Network Time Protocol),以保证网络上时间的一致。2、ACL类型配置、数字型acl配置Huaweiacl 2000 match-order auto Auto

5、order #自动顺序(默认) config Config order或Huaweiacl number 2000 match-order auto Auto order config Config order、命名型acl配置Huaweiacl name test advance Specify an advanced named ACL #设置高级acl basic Specify a basic named ACL match-order Set ACLs match order number Specify a number for the named ACL Huaweiacl na

6、me test adHuaweiacl name test advance match-order Set ACLs match order number Specify a number for the named ACL Huaweiacl name test number INTEGER Number of the basic named ACL INTEGER Number of the advanced named ACL、ACL类型配置Huaweiacl INTEGER Interface access-list(add to current using rules) #接口访问列

7、表acl INTEGER Apply MPLS ACL #应用MPLS ACL INTEGER Basic access-list (add to current using rules) #基本acl INTEGER Advanced access-list(add to current using rules) #高级acl INTEGER MAC address access-list(add to current using rules) #二层acl ipv6 ACL IPv6 #基本acl6和高级acl6配置 name Specify a named ACL number Spec

8、ify a numbered ACL、ACL描述设置(可选)Huawei-acl-basic-2600description TEXT、ACL步长设置(可选)Huawei-acl-basic-teststep INTEGER Specify value of step二、ACL类型规则配置1、基本ACL规则配置基本ACL编号acl-number的范围是20002999。基本ACL可以根据报文自身的源IP地址、分片标记和时间段信息对IPv4报文进行分类。Huawei-acl-basic-testrule 1 deny Specify matched packet deny permit Spec

9、ify matched packet permitHuawei-acl-basic-testrule 1 deny fragment-type Specify the fragment type of packet #分组片段类型 source Specify source address time-range Specify a special time vpn-instance Specify a VPN-Instance Huawei-acl-basic-testrule 1 deny source Address of source any Any sourceHuawei-acl-b

10、asic-testrule 1 deny source 0 Wildcard bits : ( a host ) Wildcard of sourceHuawei-acl-basic-testrule 1 deny source 0 fragment-type Specify the fragment type of packet #对分组片段类型有效 time-range Specify a special time #引用生效时间 vpn-instance Specify a VPN-Instance #用于vpn Huawei-acl-basic-2600description #配置规

11、则描述 TEXT ACL description (no more than 127 characters)在ACL中配置首条规则时,如果未指定参数rule-id,设备使用步长值作为规则的起始编号。后续配置规则如仍未指定参数rule-id,设备则使用最后一个规则的rule-id的下一个步长的整数倍数值作为规则编号。例如ACL中包含规则rule 5和rule 7,ACL的步长为5,则系统分配给新配置的未指定rule-id的规则的编号为10。当用户指定参数time-range引入ACL规则生效时间段时,如果time-name不存在,该规则将无法绑定该生效时间段。如果不指定参数vpn-instanc

12、e vpn-instance-name,设备会对公网和私网的报文均进行匹配。设备在收到报文时,会按照匹配顺序将报文与ACL规则进行逐条匹配,一旦匹配上规则组内的某条规则,则停止匹配动作。之后,设备将依据匹配的规则对报文执行相应的动作。2、高级ACL规则配置高级ACL编号acl-number的范围是30003999。高级acl主要对源/目的IP地址、端口号、优先级、时间段等报文进行过滤。Huawei-acl-adv-3000rule 1 permit Protocol number gre GRE tunneling(47) icmp Internet Control Message Proto

13、col(1) igmp Internet Group Management Protocol(2) ip Any IP protocol ipinip IP in IP tunneling(4) ospf OSPF routing protocol(89) tcp Transmission Control Protocol (6) udp User Datagram Protocol (17)Huawei-acl-adv-3000rule 1 permit udp destination Specify destination address destination-port Specify

14、destination port dscp Specify dscp fragment-type Specify the fragment type of packet precedence Specify precedence source Specify source address source-port Specify source port time-range Specify a special time tos Specify tos vpn-instance Specify a VPN-Instance Huawei-acl-adv-3000rule 1 permit udp

15、source Address of source any Any sourceHuawei-acl-adv-3000rule 1 permit udp source any destination Specify destination address destination-port Specify destination port dscp Specify dscp fragment-type Specify the fragment type of packet precedence Specify precedence source-port Specify source port t

16、ime-range Specify a special time tos Specify tos vpn-instance Specify a VPN-Instance Huawei-acl-adv-3000rule 1 permit udp source any desHuawei-acl-adv-3000rule 1 permit udp source any destination Specify destination address any Any destination IP addressHuawei-acl-adv-3000rule 1 permit udp source an

17、y destination 0 Wildcard bits : ( a host ) Wildcard of destinationHuawei-acl-adv-3000rule 1 permit udp source any destination 0 destination-port Specify destination port dscp Specify dscp fragment-type Specify the fragment type of packet precedence Specify precedence source-port Specify source port

18、time-range Specify a special time tos Specify tos vpn-instance Specify a VPN-Instance Huawei-acl-adv-3000rule 1 permit udp source any destination 0 destination-port eq Equal to given port number gt Greater than given port number lt Less than given port number neq Not equal to given port number #不等于指

19、定端口 range Between two port numbersHuawei-acl-adv-3000rule 1 permit udp source any destination 0 destination-port eq Protocol number biff Mail notify (512) bootpc Bootstrap Protocol Client (68) bootps Bootstrap Protocol Server (67) discard Discard (9) dns Domain Name Service (53) dnsix DNSIX Security

20、 Attribute Token Map (90) echo Echo (7) mobilip-ag MobileIP-Agent (434) mobilip-mn MobilIP-MN (435) nameserver Host Name Server (42) netbios-dgm NETBIOS Datagram Service (138) netbios-ns NETBIOS Name Service (137) netbios-ssn NETBIOS Session Service (139) ntp Network Time Protocol (123) rip Routing

21、Information Protocol (520) snmp SNMP (161) snmptrap SNMPTRAP (162) sunrpc SUN Remote Procedure Call (111) syslog Syslog (514) tacacs-ds TACACS-Database Service (65) talk Talk (517) tftp Trivial File Transfer (69) time Time (37) who Who(513) xdmcp X Display Manager Control Protocol (177)Huawei-acl-ad

22、v-3000rule 1 permit udp source any destination 0 destination-port eq 21 dscp Specify dscp fragment-type Specify the fragment type of packet precedence Specify precedence source-port Specify source port time-range Specify a special time tos Specify tos vpn-instance Specify a VPN-Instance 高级acl可以匹配的功能

23、有:、高级acl常用协议数值对照表协议类型数值ICMP1IGMP2IPinIP4TCP6UDP17GRE47IPOSPF89、高级acl常用功能说明参数说明deny拒绝符合条件的报文permit允许符合条件的报文sourcesour-addr sour-wildcard|anysour-addr sour-wildcard:源ip地址源通配符掩码any:任意源IP地址destinationdest-addr dest-wildcaard|anydest-addr dest-wildcaard:目的IP地址及通配符掩码any:任意目的IP地址icmp-typeicmp-name|icmp-typ

24、e icmp-code指定acl规则匹配报文的icmp报文的类型和消息码信息,仅在报文协议是ICMP的情况下有效precedence指定acl匹配报文时依据优先级字段进行过滤。与tos参数一起共同构成DSCP组成的二选一参数。tos指定acl匹配报文时依据服务类型字段进行过滤。与precedence参数一起共同构成DSCP组成的二选一参数。dscp指定acl匹配报文时区分服务代码点,依据IP包中的DSCP优先级字段进行过滤。tcp-flag指定acl规则匹配TCP报文中的SYN标志的类型time-range指定acl规则生效时间段destination-porteq prot|gt port|

25、lt port|rage port-start port end指定acl规则匹配报文的UDP或TCP的目的端口,仅在报文协议是UDP或TCP时生效。端口号可用名称或数字表示eq port :指定等于目的端口gt port:指定大于目的端口lt port :指定小于目的端口range port-start port-end:指定目的端口范围start为起始端口end为结束端口soure-porteq prot|gt port|lt port|rage port-start port end指定acl规则匹配报文的UDP或TCP的源端口,仅在报文协议是UDP或TCP时生效。loging指定acl

26、匹配的报文信息进行日志记录fragmen指定acl规则是否仅对非首片分片报文有效,当包含此参数时仅对非首片分片报文有效。但此参数不能同时与source-port、destination-port、icmp-type、tcp-flag参数同时配置。ttl-expired指定acl是否依据数据报文中的ttl值是否为1进行过滤。启用此命令表示过滤。5700SI及以下版本不支持。举例:拒绝网段与主机进行UDP 9090通信Huawei-acl-adv-3002rule deny udp source destination 0. destination-port eq 90903、二层ACL规则配置二

27、层ACL编号acl-number的范围是40004999。二层acl对源/目的MAC、优先级、二层协议等二层信息进行过滤。Huawei-acl-L2-4000rule 1 deny Specify matched packet deny description Specify rule description permit Specify matched packet permitHuawei-acl-L2-4000rule 1 deny source-mac 1 format 8021p Vlan priority H-H-H Source MAC address mask, default

28、 is ffff-ffff-ffff cvlan-8021p Vlan priority of inner vlan cvlan-id Inner vlan id destination-mac Destination-mac double-tag Double tag ether-ii Ethernet II format l2-protocol Layer 2 protocol snap Snap format time-range Specify a special time vlan-id Vlan id Huawei-acl-L2-4000rule 1 deny source-mac

29、 1 destination-mac H-H-H Destination MAC address valueHuawei-acl-L2-4000rule 1 deny source-mac 1 destination-mac 2222-2222-2222 format 8021p Vlan priority H-H-H Destination MAC address mask, default is ffff-ffff-ffff cvlan-8021p Vlan priority of inner vlan cvlan-id Inner vlan id double-tag Double ta

30、g ether-ii Ethernet II format l2-protocol Layer 2 protocol snap Snap format time-range Specify a special time vlan-id Vlan id 二层acl支持的常用功能二层acl支持的常用功能参数说明8021p指定acl规则匹配报文的外层vlan的8021p优先级cvlan-8021p指定acl规则匹配报文的内层vlan的8021p优先级cvlan-idcvlan-idcvlan-id-mask指定acl规则匹配报文的内层vlan IDcvlan-id-mask:指定内层ID值的掩码 十六进制des

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1