精华内容
下载资源
问答
  • 华为acl配置
    2020-12-20 10:31:02

    华为ACL配置教程教程

    华为ACL配置教程一、ACL基本配置1、ACL规则生效时间段配置(需要先配置设备的时间,建议用ntp同步时间)某些引用ACL的业务或功能需要限制在一定的时间范围内生效,比如,在流量高峰期时启动设备的QoS功能。用户可以为ACL创建生效时间段,通过在规则中引用时间段信息限制ACL生效的时间范围,从而达到该业务或功能在一定的时间范围内生效的目的。[ HYPERLINK "/cse/search?s=14900438561399649021&entry=1&q=Huawei" \t "/ACL/_blank" Huawei]time-range test ?? ? Starting time? from???? The beginning point of the time range?[Huawei]time-range test 8:00 ?? to? The ending point of periodic time-range?[Huawei]time-range test 8:00 t??????[Huawei]time-range test 8:00 to ?? ? Ending Time?[Huawei]time-range test 8:00 to 18:05 ?? <0-6>??????? Day of the week(0 is Sunday)? Fri????????? Friday?? #星期五? Mon????????? Monday #星期一? Sat????????? Saturday #星期六? Sun????????? Sunday #星期天? Thu????????? Thursday #?星期四? Tue????????? Tuesday #?星期二? Wed????????? Wednesday #星期三? daily??????? Every day of the week? #?每天? off-day????? Saturday and Sunday #?星期六和星期日? working-day? Monday to Friday #工作日每一天?[Huawei]time-range test from 8:00 2016/1/17 to 18:00 2016/11/17?使用同一time-name可以配置多条不同的时间段,以达到这样的效果:各周期时间段之间以及各绝对时间段之间分别取并集之后,再取二者的交集作为最终生效的时间范围。例如,时间段“test”配置了三个生效时段:从2016年1月1日00:00起到2016年12月31日23:59生效,这是一个绝对时间段。在周一到周五每天8:00到18:00生效,这是一个周期时间段。在周六、周日下午14:00到18:00生效,这是一个周期时间段。则时间段“test”最终描述的时间范围为:2016年的周一到周五每天8:00到18:00以及周六和周日下午14:00到18:00。由于网络延迟等原因,可能造成网络上设备时间不同步,建议配置NTP(Network Time Protocol),以保证网络上时间的一致。??2、ACL类型配置2.1、数字型acl配置[Huawei]acl 2000 match-order ?? auto??? Auto order #自动顺序(默认)? config? Config order或[Huawei]acl number 2000 match-order ?? auto??? Auto order? config? Config order?2.2、命名型acl配置[Huawei]acl name test ?? advance????? Specify an advanced named ACL #?设置高级acl? basic??????? Specify a basic named ACL? match-order? Set ACL's match order? number?????? Specify a number for the named ACL? ?????????[Huawei]acl name test ad???????[Huawei]acl name test advance ?? match-order? Set ACL's match order? number?????? Specify a number for the named ACL? ???[Huawei]acl name test number ??

    更多相关内容
  • 华为ACL配置.zip

    2020-03-08 23:54:18
    华为ACL访问控制列表协议通信技术,本文档内包含了(基本ACL+高级ACL+综合应用)设备拓扑以及设备代码,下载解压后可以直接查看设备代码,用eNSP打开后(给PC配好地址)可以直接通信
  • 华为ACL配置(基本ACL+高级ACL+综合应用)

    万次阅读 多人点赞 2020-03-08 23:54:42
    一、基本ACL 1.PC1不能ping通Server1 2.PC2可以ping通Server1 3.PC1可以ping通 PC2 R1配置 [R1]interface g0/0/0 [R1-GigabitEthernet0/0/0]ip address 192.168.100.254 24 [R1-GigabitEthernet0/0/0]int g0/0/1 ...

    一、基本ACL

    1.PC1不能ping通Server1
    2.PC2可以ping通Server1
    3.PC1可以ping通 PC2
    在这里插入图片描述
    R1配置

    [R1]interface g0/0/0
    [R1-GigabitEthernet0/0/0]ip address 192.168.100.254 24
    [R1-GigabitEthernet0/0/0]int g0/0/1
    [R1-GigabitEthernet0/0/1]ip address 192.168.1.254 24
    [R1-GigabitEthernet0/0/1]int g0/0/2
    [R1-GigabitEthernet0/0/2]ip address 192.168.2.254 24
    [R1]acl 2000
    [R1-acl-basic-2000]rule 5 deny source 192.168.1.1 0.0.0.0 //抓取这个IP流量并拒绝它
    [R1]interface g0/0/0
    [R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000 //相对于PC1来说在出接口上调用

    验证配置效果
    1.PC1不能ping通Server1
    2.PC2可以ping通Server1
    3.PC1可以ping通 PC2
    在这里插入图片描述

    二、高级ACL

    1.允许Client1访问Server1的Web服务
    2.允许Client1访问网络192.168.3.0/24
    3.禁止Client1访问其它网络

    在这里插入图片描述
    R1配置
    [R1]interface g0/0/0
    [R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
    [R1-GigabitEthernet0/0/0]int g0/0/1
    [R1-GigabitEthernet0/0/1]ip address 12.1.1.1 24
    [R1]ip route-static 0.0.0.0 0 12.1.1.2
    [R1]acl 3000
    [R1-acl-adv-3000]rule 5 permit tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq 80
    [R1-acl-adv-3000]rule 10 permit ip source 192.168.1.1 0 destination 192.168.3.0 0.0.0.255
    [R1-acl-adv-3000]rule 15 deny ip source 192.168.1.1 0 destination any
    [R1]interface g0/0/0
    [R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

    R2配置
    [R2]interface g0/0/0
    [R2-GigabitEthernet0/0/0]ip address 12.1.1.2 24
    [R2-GigabitEthernet0/0/0]int g0/0/1
    [R2-GigabitEthernet0/0/1]ip address 23.1.1.2 24
    [R2-GigabitEthernet0/0/1]int g0/0/2
    [R2-GigabitEthernet0/0/2]ip address 192.168.3.254 24
    [R2]ip route-static 192.168.1.0 24 12.1.1.1
    [R2]ip route-static 192.168.2.0 24 23.1.1.3

    R3配置
    [R3]interface g0/0/0
    [R3-GigabitEthernet0/0/0]ip address 23.1.1.3 24
    [R3-GigabitEthernet0/0/0]int g0/0/1
    [R3-GigabitEthernet0/0/1]ip address 192.168.2.254 24
    [R3]ip route-static 0.0.0.0 0 23.1.1.2

    验证配置效果
    1.Client1可以访问Server1的Web服务;
    在这里插入图片描述
    2.Client1可以ping通网络192.168.3.0/24
    在这里插入图片描述
    3.Client1不能ping通网络192.168.2.0/24,以及其他网段

    Client1通Server1
    在这里插入图片描述

    Client1通R3
    在这里插入图片描述

    三、华为ACL综合应用
    1.R1只允许WG登录,WG能ping通Server1和Client1
    2.YF和CW之间不能互通,但都可以和WG互通
    3.YF可以访问Client1
    4.CW不能访问Client1
    5.YF和CW只能访问Server1的WWW服务
    6.只有WG才能访问Server1的所有服务

    在这里插入图片描述

    WG配置
    [WG]interface g0/0/0
    [WG-GigabitEthernet0/0/0]ip address 10.1.1.1 24

    R2配置
    [R2]interface g0/0/0
    [R2-GigabitEthernet0/0/0]ip address 10.1.1.254 24
    [R2-GigabitEthernet0/0/0]int g0/0/1
    [R2-GigabitEthernet0/0/1]ip address 11.1.1.254 24
    [R2-GigabitEthernet0/0/1]int g0/0/2
    [R2-GigabitEthernet0/0/2]ip address 12.1.1.2 24

    R1配置
    [R1]interface g0/0/0
    [R1-GigabitEthernet0/0/0]ip address 12.1.1.2 24
    [R1-GigabitEthernet0/0/0]int g0/0/1
    [R1-GigabitEthernet0/0/1]ip address 8.8.8.254 24
    [R1-GigabitEthernet0/0/1]int g0/0/2
    [R1-GigabitEthernet0/0/2]ip address 13.1.1.1 24
    [R1-GigabitEthernet0/0/2]int g0/0/0
    [R1-GigabitEthernet0/0/0]ip address 12.1.1.1 24

    R3配置
    [R3]interface g0/0/0
    [R3-GigabitEthernet0/0/0]ip address 13.1.1.3 24
    [R3-GigabitEthernet0/0/0]int g0/0/1
    [R3-GigabitEthernet0/0/1]ip address 14.1.1.254 24
    [R3-GigabitEthernet0/0/1]int g0/0/2
    [R3-GigabitEthernet0/0/2]ip address 15.1.1.254 24

    WG配置(OSPF)
    [WG]ospf 1 router-id 10.1.1.1
    [WG-ospf-1]area 0
    [WG-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255

    R2配置(OSPF)
    [R2]ospf 1 router-id 12.1.1.1
    [R2-ospf-1]area 0
    [R2-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255
    [R2-ospf-1-area-0.0.0.0]network 11.1.1.0 0.0.0.255
    [R2-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255

    R1配置(OSPF)
    [R1]ospf 1 router-id 13.1.1.1
    [R1-ospf-1]ar
    [R1-ospf-1]area 0
    [R1-ospf-1-area-0.0.0.0]net
    [R1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255
    [R1-ospf-1-area-0.0.0.0]network 13.1.1.0 0.0.0.255
    [R1-ospf-1-area-0.0.0.0]network 8.8.8.0 0.0.0.255

    R3配置(OSPF)
    [R3]ospf 1 router-id 14.1.1.1
    [R3-ospf-1]area 0
    [R3-ospf-1-area-0.0.0.0]network 13.1.1.0 0.0.0.255
    [R3-ospf-1-area-0.0.0.0]network 14.1.1.0 0.0.0.255
    [R3-ospf-1-area-0.0.0.0]network 15.1.1.0 0.0.0.255

    R1配置(ACL)
    [R1]acl 2000 // 创建基本ACL 2000
    [R1-acl-basic-2000]rule 5 permit source 10.1.1.1 0 // 仅仅允许 192.168.10.1 的流量
    [R1]user-interface vty 0 4 // 进入 VTY,配置 telnet 参数
    [R1-ui-vty0-4]acl 2000 inbound // 在 VTY 入向,应用 ACL 2000
    [R1-ui-vty0-4]authentication-mode aaa // 进入 VTY ,开启 AAA 认证模式
    [R1-ui-vty0-4]aaa // 进入 AAA 模式
    [R1-aaa]local-user HCIE password cipher HUAWEI // 创建用户 HCIE 和 密码 HUAWEI
    [R1-aaa]local-user HCIE service-type telnet // 为用户 HCIE 指定 telnet 服务

    R2配置(ACL)
    [R2]acl 3000
    [R2-acl-adv-3000]rule 10 permit ip source 11.1.1.1 0 destination 10.1.1.1 0 //允许11.1.1.1和10.1.1.1之间的所有流量
    [R2-acl-adv-3000]rule 20 permit ip source 11.1.1.1 0 destination 8.8.8.8 0 //允许11.1.1.1和8.8.8.8之间所有的流量
    [R2-acl-adv-3000]rule 30 permit tcp source 11.1.1.1 0 destination 15.1.1.1 0 destination-port eq 80 // 允许 11.1.1.1 仅能访问 15.1.1.1的 web 服务
    [R2-acl-adv-3000]rule 40 deny ip source 11.1.1.1 0 destination any //拒绝所有类型的流量
    [R2]interface g0/0/1 // 进入YF的网关接口
    [R2-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 // 在接口的入方向调用 ACL 3000

    R3配置(ACL)
    [R3]acl 3000
    [R3-acl-adv-3000]rule 10 permit ip source 14.1.1.1 0 destination 10.1.1.1 0 //允许14.1.1.1和10.1.1.1之间的所有流量
    [R3-acl-adv-3000]rule 20 permit tcp source 14.1.1.1 0 destination 15.1.1.1 0 destination-port eq 80 // 允许 14.1.1.1 仅能访问 15.1.1.1之间的 web 流量
    [R3-acl-adv-3000]rule 30 deny ip source 14.1.1.1 0 destination any // 拒绝所有其他类型的流量
    [R3]interface g0/0/1 // 进入 CW 的网关接口
    [R3-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 // 在接口的入方向调用 ACL 3000

    验证配置效果
    WG能登录R1
    在这里插入图片描述
    WG能ping通Server1和Client1
    在这里插入图片描述
    YF和CW之间不能互通,但可以和WG互通
    在这里插入图片描述
    在这里插入图片描述
    YF不能ping通Server1
    在这里插入图片描述
    YF能访问Server1的WWW服务
    在这里插入图片描述
    CW不能ping通Server1和Client1
    在这里插入图片描述
    在这里插入图片描述
    CW能访问Server1的WWW服务
    在这里插入图片描述

    展开全文
  • 华为ACL配置教程.doc

    2021-11-28 09:25:17
    华为ACL配置教程.doc
  • 华为高级ACL配置.topo

    2019-08-27 14:58:20
    实验名称:华为高级ACL配置 需求: 1)允许Client1访问Server1的Web服务 2)允许Client1访问网络192.168.2.0/24 3)禁止Client1访问其它网络
  • 华为ACL配置教程[收集].pdf
  • 华为ACL配置全解教程[汇编].pdf
  • 访问控制列表ACL(Access Control List)是实现网络安全、性能稳定...2 ACL支持的License和配置注意事项 3 配置基于接口的ACL 4 配置基本ACL 5 配置高级ACL 6 配置二层ACL 7 配置用户ACL 8 配置基于MPLS的ACL 9 维护ACL
  • 华为交换机ACL配置

    千次阅读 2022-07-09 16:55:29
    一、ACL的概述ACL:访问控制列表 ※是由一系列permit和deny语句组成的(后面跟着条件列表)、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类。 ※ACL本身只能够用于报文的匹配和区分,而无法实现对报文...

    一、ACL的概述

    ACL:访问控制列表
    ※是由一系列permit和deny语句组成的(后面跟着条件列表)、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类。
    ※ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能(此功能侧面可以说明ACL可以提高网络的安全性),针对AC所匹配的报文的过滤功能,需要特定的机制来实现(例如在交换机的接口上使用traffic-filter命令调令ACL来进行报文过滤),ACL只是一个匹配用的工具。
    ※ACL除了能够对报文进行匹配,还能够用于匹配路由。
    ※主要应用于流量过滤,实际上是一条一条规则的集合,是一种工具,可以应用在任何场合。

    二、ACL是什么

    ACL能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具;ACL还能够用于匹配路由条目。说了这么多,那么ACL到底是什么呢?下面就让我们从ACL的配置深入了解它吧。

    1、ACL的标识种类
    ①:利用数字标识
    ②:利用名称标识

    具体分为以下四类:

    2、ACL的匹配顺序

    Rule:代表第一条,第二条
    5:步长
    permit:允许
    deny:拒绝

    这里需要提一点的是,为什么一般rule 5步长写5,而不是从1/2/3开始,这个没有固定的数字,以上图举例,如果说步长写5,临时想在中间插入一个不允许访问192.168.1.4,就可以在中间插入,如果是rule1/2/3,就没办法中间插入。

    3、ACL的配置

    创建ACL

    acl num 编号范围是2000~2999
    

    创建一个规则

    rule 5 (permit/deny)source src-address wildcard 
    source:源;wildcare:通配符
    

    查看acl信息

    display acl num
    

    激活需进出口接口

    traffic-filter outbound/inbound acl num  
    outbound:出的流量接口;inbound:进的流量接口
    

    允许/不允许所有通过

    rule permit/deny source any
    

    4、wildcare:通配符

    这里要说明一个wildcare(通配符)的概念:

    通配符是一个32比特长度的数值,用于指示IP地址中,哪些比特为需要严格匹配,哪些比特位则无所谓。

    通配符通常采用类似网络掩码的点分十进制形式表示,但是汉语却与网络掩码完全不同。

    如上图,0:表示需匹配;1:表示无所谓

    再举个通俗易懂的例子:

    有两个特殊的通配符

    192.168.1.1 0.0.0.0 =192.168.1.1 0
    0.0.0.0 255.255.255.255 = any

    三、实验加深理解

    参考官网:

    交换机 文档、支持、下载中心 - 华为

    ACL配置 - S7700 V200R020C00 配置指南-安全 - 华为

    实验一:

    1、实验要求:允许PC2通过数据

    只有pc2可以访问

    先配置网关:

    [Huawei]int g0/0/0
    [Huawei-GigabitEthernet0/0/0]ip add 192.168.1.254 24
    [Huawei-GigabitEthernet0/0/0]int g0/0/1
    [Huawei-GigabitEthernet0/0/1]ip add 192.168.2.254 24
    [Huawei-GigabitEthernet0/0/1]int g0/0/2
    [Huawei-GigabitEthernet0/0/2]ip add 10.0.0.254 24
    

    先创建列表

    [Huawei]acl 2000
    

    定义规则

    rule deny source 192.168.1.0 0.0.0.255   **阻挡1.0网段的所有访问**
    

    查看acl 2000信息

    [Huawei-acl-basic-2000]dis acl 2000
    

     这时候是可以ping通的,配置了接口但是还没有激活所以可以ping通

    然后激活接口。

    [Huawei]int g0/0/2 先进要激活的接口
    

    对于接口而言,有出的流量接口(outbound),也有进的流量接口(inbound)。

    [Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl 2000
    

    然后查看下信息:

    这时候pc1就无法ping通了

    pc2可以ping通

     

     

    1.2实验一的基础上发生更改,改为:仅允许1.0可以通过。

    先断掉之前配置的rule 5

    创建acl

    [Huawei]acl 2000
    

    允许192.168.1.0网段

    [Huawei-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
    

    阻断所有网段

    [Huawei-acl-basic-2000]rule deny source any
    

    ping发现pc1可以ping通,pc2不可以

    1.3、在实验一的基础上,更改实验要求:若允许1.1可以ping通pc3,但是2.1不能ping通pc3。

    在g0/0/2出接口配置outbound

    创建acl

    [Huawei]acl 3000    **有源有目标地址,acl等级要3000**
    

    允许源地址192.168.1.0访问目的地址10.0.0.1网段

    [Huawei-acl-adv-3000]rule permit ip source 192.168.1.1 0 destination 10.0.0.1  0
    

    不允许源地址192.168.2.0访问目的地址10.0.0.1网段

     [Huawei-acl-adv-3000]rule deny ip source 192.168.2.1 0 destination 10.0.0.1  0
    

    查看一下

     

    然后激活acl 3000之前需要先询关闭掉acl2000的 

    [Huawei-GigabitEthernet0/0/2]undo traffic-filter outbound
    

    进入接口g0/0/2 ,激活acl 3000

    [R1-acl-adv-3000]int g0/0/2
    [Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl 3000

    达成结果,1.1可以ping通,1.2无法ping通。

    实验二:

     

    ①、首先实现全网互通 

    sw1
    [Huawei]sys SW1
    [SW1]vlan batch 10 20
    [SW1]int e0/0/1
    [SW1-Ethernet0/0/1]p l a
    [SW1-Ethernet0/0/1]p d v 10
    [SW1-Ethernet0/0/1]int e0/0/2
    [SW1-Ethernet0/0/2]p l a
    [SW1-Ethernet0/0/2]p d v 20
    [SW1-Ethernet0/0/2]int e0/0/3
    [SW1-Ethernet0/0/3]p l a
    [SW1-Ethernet0/0/3]p d v 10
    [SW1-Ethernet0/0/3]int e0/0/4
    [SW1-Ethernet0/0/4]p l a
    [SW1-Ethernet0/0/4]p d v 20
    [SW1-Ethernet0/0/4]int e0/0/5
    [SW1-Ethernet0/0/5]p l t
    [SW1-Ethernet0/0/5]p t a v a
    R1
    [Huawei]sys R1
    [R1]int g0/0/0.1
    [R1-GigabitEthernet0/0/0.1]ip add 192.168.1.254 24
    [R1-GigabitEthernet0/0/0.1]d t v 10
    [R1-GigabitEthernet0/0/0.1]a b e
    [R1-GigabitEthernet0/0/0.1]int g0/0/0.2
    [R1-GigabitEthernet0/0/0.2]ip add 192.168.2.254 24
    [R1-GigabitEthernet0/0/0.2]d t v 20
    [R1-GigabitEthernet0/0/0.2]a b e
    [R1]int g0/0/1
    [R1-GigabitEthernet0/0/1]ip add 12.1.1.1 24
    [R1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2
    R2
    [R2]int g0/0/0
    [R2-GigabitEthernet0/0/0]ip add 12.1.1.2 24
    [R2-GigabitEthernet0/0/0]int g0/0/1
    [R2-GigabitEthernet0/0/1]ip add 100.1.1.254 24
    [R2]ip route-static 192.168.1.0 24 12.1.1.1
    [R2]ip route-static 192.168.2.0 24 12.1.1.1
    

    全网ping通,实现全网互通

    ②、配置ACL使得vlan10和vlan20不通

    阻止vlan10和vlan20,需要阻止192.168.10.0的方向

    rule permit source any:允许所有通过
    [R1]acl 2000  
    [R1-acl-basic-2000]rule permit source any 	
    [R1-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000
    

    结果如下图,已实现

    ③、配置ACL使R1不能访问webserver

    [R1]acl 3000
    [R1-acl-adv-3000]rule deny tcp source 192.168.1.0 0.0.0.255 destination 10.1.1.2
     0 destination-port eq 80
    

    display acl 3000 查看一下配置是否正确

    展开全文
  • 一、ACL基本配置1、ACL规则生效时间段配置(需要先配置设备的时间,建议用ntp同步时间)某些引用ACL的业务或功能需要限制在一定的时间范围内生效,比如,在流量高峰期时启动设备的QoS功能。用户可以为ACL创建生效时间...

    一、ACL基本配置

    1、ACL规则生效时间段配置(需要先配置设备的时间,建议用ntp同步时间)

    某些引用ACL的业务或功能需要限制在一定的时间范围内生效,比如,在流量高峰期时启动设备的QoS功能。用户可以为ACL创建生效时间段,通过在规则中引用时间段信息限制ACL生效的时间范围,从而达到该业务或功能在一定的时间范围内生效的目的。

    [Huawei]time-range

    test ?

    Starting time

    from

    The beginning point of the time range

    [Huawei]time-range

    test 8:00 ?

    to  The

    ending point of periodic time-range

    [Huawei]time-range

    test 8:00 t

    [Huawei]time-range

    test 8:00 to ?

    Ending Time

    [Huawei]time-range test 8:00 to 18:05 ?

    <0-6>        Day of the

    week(0 is Sunday)

    Fri          Friday   #星期五

    Mon          Monday #星期一

    Sat          Saturday #星期六

    Sun          Sunday #星期天

    Thu          Thursday #星期四

    Tue          Tuesday #星期二

    Wed          Wednesday #星期三

    daily        Every day of the week  #每天

    off-day      Saturday and Sunday #星期六和星期日

    working-day  Monday to Friday #工作日每一天

    [Huawei]time-range test from 8:00 2016/1/17

    to 18:00 2016/11/17

    使用同一time-name可以配置多条不同的时间段,以达到这样的效果:各周期时间段之间以及各绝对时间段之间分别取并集之后,再取二者的交集作为最终生效的时间范围。

    例如,时间段“test”配置了三个生效时段:

    从2016年1月1日00:00起到2016年12月31日23:59生效,这是一个绝对时间段。

    在周一到周五每天8:00到18:00生效,这是一个周期时间段。

    在周六、周日下午14:00到18:00生效,这是一个周期时间段。

    则时间段“test”最终描述的时间范围为:2016年的周一到周五每天8:00到18:00以及周六和周日下午14:00到18:00。

    由于网络延迟等原因,可能造成网络上设备时间不同步,建议配置NTP(Network Time Protocol),以保证网络上时间的一致。

    2、ACL类型配置

    2.1、数字型acl配置

    [Huawei]acl

    2000 match-order ?

    auto

    Auto order #自动顺序(默认)

    config

    Config order

    [Huawei]acl

    number 2000 match-order ?

    auto

    Auto order

    config

    Config order

    2.2、命名型acl配置

    [Huawei]acl

    name test ?

    advance

    Specify an advanced named ACL #设置高级acl

    basic

    Specify a basic named ACL

    match-order

    Set ACL's match order

    number

    Specify a number for the named ACL

    [Huawei]acl

    name test ad

    [Huawei]acl

    name test advance ?

    match-order

    Set ACL's match order

    number

    Specify a number for the named ACL

    [Huawei]acl name test number ?

    INTEGER<2000-2999>    Number of the basic named ACL

    INTEGER<42768-75535>  Number

    of the advanced named ACL

    2.3、ACL类型配置

    [Huawei]acl ?

    INTEGER<1000-1999>

    Interface access-list(add to current using rules) #接口访问列表acl

    INTEGER<10000-10999>  Apply

    MPLS ACL  #应用MPLS ACL

    INTEGER<2000-2999>    Basic

    access-list (add to current using rules) #基本acl

    INTEGER<3000-3999>

    Advanced access-list(add to current using rules) #高级acl

    INTEGER<4000-4999>    MAC

    address access-list(add to current using rules) #二层acl

    ipv6                  ACL IPv6  #基本acl6和高级acl6配置

    name                  Specify a

    named ACL

    number                Specify a

    numbered ACL

    2.4、ACL描述设置(可选)

    [Huawei-acl-basic-2600]description ?

    TEXT

    2.5、ACL步长设置(可选)

    [Huawei-acl-basic-test]step ?

    INTEGER<1-20>  Specify value

    of step

    二、ACL类型规则配置

    1、基本ACL规则配置

    基本ACL编号acl-number的范围是2000~2999。

    基本ACL可以根据报文自身的源IP地址、分片标记和时间段信息对IPv4报文进行分类。

    [Huawei-acl-basic-test]rule 1 ?

    deny    Specify matched packet

    deny

    permit  Specify matched packet

    permit

    [Huawei-acl-basic-test]rule 1 deny ?

    fragment-type  Specify the

    fragment type of packet #分组片段类型

    source         Specify source

    address

    time-range     Specify a special

    time

    vpn-instance   Specify a VPN-Instance

    [Huawei-acl-basic-test]rule 1 deny source ?

    X.X.X.X  Address of source

    any      Any source

    [Huawei-acl-basic-test]rule 1 deny source

    192.168.1.1 ?

    0        Wildcard bits : 0.0.0.0 (

    a host )

    X.X.X.X  Wildcard of source

    [Huawei-acl-basic-test]rule 1 deny source

    192.168.1.1 0 ?

    fragment-type  Specify the

    fragment type of packet #对分组片段类型有效

    time-range     Specify a special

    time #引用生效时间

    vpn-instance   Specify a

    VPN-Instance #用于vpn

    [Huawei-acl-basic-2600]description ? #配置规则描述

    TEXT  ACL description (no more than 127 characters)

    在ACL中配置首条规则时,如果未指定参数rule-id,设备使用步长值作为规则的起始编号。后续配置规则如仍未指定参数rule-id,设备则使用最后一个规则的rule-id的下一个步长的整数倍数值作为规则编号。

    例如ACL中包含规则rule 5和rule 7,ACL的步长为5,则系统分配给新配置的未指定rule-id的规则的编号为10。

    当用户指定参数time-range引入ACL规则生效时间段时,如果time-name不存在,该规则将无法绑定该生效时间段。

    如果不指定参数vpn-instance

    vpn-instance-name,设备会对公网和私网的报文均进行匹配。

    设备在收到报文时,会按照匹配顺序将报文与ACL规则进行逐条匹配,一旦匹配上规则组内的某条规则,则停止匹配动作。之后,设备将依据匹配的规则对报文执行相应的动作。

    展开全文
  • ensp (华为acl配置)

    千次阅读 2020-09-08 20:07:43
    访问控制列表(ACL) 访问控制列表(ACL)是一种基于包过滤的访问控制技术。 它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。 访问控制列表被广泛地应用于路由器和三层交换机。 借助于访问控制列表...
  • 华为[ENSP]ACL配置实例(访问控制列表配置实例)

    万次阅读 多人点赞 2022-04-03 19:30:42
    华为[ENSP]ACL配置实例(访问控制列表配置实例)
  • 华为网络配置ACL

    万次阅读 多人点赞 2021-11-14 17:32:22
    ​ 目录 前言 一、ACL概述 ...(1)配置顺序 (2)自动排序 7、ACL应用场景 (1)在NAT中使用ACL (2)在防火墙中使用ACL (3)在QoS中使用ACL 8、常见TCP/UDP端口号 (1)TCP (2)UDP
  • 华为交换机路由器ACL原理+最常用操作配置手册
  • 详细解答华为S5700交换机, VLAN划分 和 ACL配置命令,非常适合新手
  • 华为交换机ACL配置的一些东西

    千次阅读 2020-12-20 10:31:02
    这是华为ACL配置中流策略的配置命令。华为设备配置ACL不像Cisco的那样可以直接在接口下配置ACL来应用。华为需要先配ACL,然后配流分类(traffic classifier tc1),将ACL和流分类绑定,再配流行为(traffic behavior tb...
  • 华为ACL配置

    2017-05-24 16:25:52
    华为设备上配置标准ACL实现vlan 10主机不能和vlan20主机互访,但可以正常上网。2.在华为设备上配置扩展ACL实现vlan 10主机不能和vlan 20主机互访,但可以正常上网;vlan 10中C2需要和vlan 20中C3通信,vlan 10中C1不...
  • 华为ACL配置教程

    2020-12-20 10:31:01
    一、ACL基本配置1、ACL规则生效时间段配置(需要先配置设备的时间,建议用ntp同步时间)某些引用ACL的业务或功能需要限制在一定的时间范围内生效,比如,在流量高峰期时启动设备的QoS功能。用户可以为ACL创建生效时间...
  • 由于是基于华为eNSP进行的实验,因此可能会与实际装备有所差异,但是特别适合使用eNSP模拟软件在配置ACL时遇到问题的同学,在阅读本文前,希望您能够对华为系列设备ACL配置和应用有着基本的了解。 ACL,access list...
  • 华为设备ACL配置命令

    2022-08-17 08:22:58
    华为设备ACL配置命令
  • ACL配置实验拓扑实验准备实验思路实验步骤实验验证 实验拓扑 实验准备 实验思路 如果要让vlan10 ping不通vlan20,可以在R1路由器上设置普通的acl策略,阻止源为vlan10网段的ip的访问,然后把策略映射到vlan...
  • 华为交换机Vlan间访问控制ACL配置

    千次阅读 2021-04-26 11:12:57
    华为S5735S-S24T4S-A VRP ® software, Version 5.170 (S5735 V200R019C10SPC500) 配置说明 acl 3001 #rule deny ip source 192.168.X.0 0.0.0.255 destination 192.168.X.0 0.0.0.255 /禁无线用户访问服务器 quit #...
  • 华为设备基本ACL和高级ACL综合配置

    万次阅读 多人点赞 2019-02-04 13:30:59
    实验需求: 0、做之前确保全网互通 1、-交换机用路由器代替,WG主机用路由器模拟 ...3、-YF和CW之间不能互通,但可以和WG互通 4、-WG和YF可以访问Client1 5、-CW不能访问Client1 ...实验配置: ---------------...
  • 华为路由器:ACL介绍及配置实验

    千次阅读 2020-12-10 21:47:59
    一、ACL介绍 ACL作用 访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限...
  • 华为基础实验》- 实验二十九 基于时间的 ACL 配置及策略.docx
  • 华为ACL-基础配置篇.pdf华为ACL-基础配置篇.pdf华为ACL-基础配置篇.pdf华为ACL-基础配置篇.pdf华为ACL-基础配置篇.pdf华为ACL-基础配置篇.pdf华为ACL-基础配置篇.pdf华为ACL-基础配置篇.pdf

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 7,066
精华内容 2,826
关键字:

华为acl配置