精华内容
下载资源
问答
  • 华为交换机acl的配置

    万次阅读 多人点赞 2019-01-16 09:19:12
    1、华为交换机ACL规则没变,但下发需要通过流策略traffic policy下发; 2、流策略又包括相应的流分类traffic classifier,流行为traffic behavior; 3、流分类traffic classifier用于绑定相应的ACL规则,流行为...

    一、说明:
    1、华为交换机的ACL规则没变,但下发需要通过流策略traffic policy下发;
    2、流策略又包括相应的流分类traffic classifier,流行为traffic behavior;
    3、流分类traffic classifier用于绑定相应的ACL规则,流行为traffic behavior决定匹配的流分类是否permit或deny;
    4、ACL规则里只需配置匹配的流,使用permit标识,而deny基本没啥用;
    5、如果有多个ACL number,在流策略traffic policy里需要按顺序绑定(根据业务是先允午后禁止或先禁止后允许),800说可以配优先级,但我么有发现命令。
    6、在接口的inbound 方向下发。
    二、版本信息
    Huawei Versatile Routing Platform Software
    VRP ® software, Version 5.130 (S5700 V200R003C00SPC300)
    Copyright © 2000-2013 HUAWEI TECH CO., LTD
    Quidway S5700-52C-SI
    三、配置
    1、需求
    1)只允许特定的网段(192.168.1.0/24)到特定的网段192.168.2.0/24)的访问
    2)禁止特定的网段(192.168.1.0/24) 到any的访问。
    2、配置:
    1)定义允许的ACL规则
    acl number 3001
    rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
    2)定义禁止的ACL规则
    acl number 3002
    rule 5 permit ip source 192.168.1.0 0.0.0.255 也使用permit,在这里意思其实是匹配的意思
    3)定义流分类
    traffic classifier xl1 operator and 绑定允许的ACL规则
    if-match acl 3001
    traffic classifier xl2 operator and 绑定禁止的ACL规则
    if-match acl 3002
    4)定义流动作,这里才是真正决定是允许还是禁止
    traffic behavior xl001
    permit 允许动作
    traffic behavior xl002
    deny 禁止动作
    5)定义流策略 (这里最好注意顺序,避免一些问题发生)
    traffic policy xlpolicy
    classifier xl1 behavior xl001 先绑定流分类xl1到流动作 xl001
    classifier xl2 behavior xl002 再绑定流分类xl2到流动作 xl002
    6)靠近源地址端接口入方向下发
    interface GigabitEthernet0/0/23
    traffic-policy xlpolicy inbound

    总结,其实也很好理解,ACL规则下的permit用于匹配流,流动作里的permit或deny才是真正的对包文的允许与禁止动作。
    也可参考华为手里的一句话:
    基于硬件的应用:ACL 被下发到硬件,例如配置QoS 功能时引用ACL,对报文进
    行流分类。需要注意的是,当ACL 被QoS 功能引用时,如果ACL 规则中定义的
    动作为deny,则匹配此ACL 的报文就被丢弃。如果ACL 规则中定义的动作为
    permit,则S5700 对匹配此ACL 的报文采取的动作由QoS 中流行为定义的动作决
    定。
    参考:http://blog.51cto.com/9821049/2139406?source=dra

    展开全文
  • 华为交换机ACL如何使用及原则

    千次阅读 2020-03-13 12:45:54
    ACL(访问控制列表)的应用原则:   标准ACL,尽量用在靠近目的点   扩展ACL,尽量用在靠近源的地方(可以...基本ACL #范围为2000~2999 可使用IPv4报文的源IP地址、分片标记和时间段信息来定义规则 高级ACL ...

    ACL(访问控制列表)的应用原则:
      标准ACL,尽量用在靠近目的点
      扩展ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)
      方向:在应用时,一定要注意方向

    ACL分类

    基本ACL   #范围为2000~2999   可使用IPv4报文的源IP地址、分片标记和时间段信息来定义规则
    高级ACL   #范围为3000~3999   既可使用IPv4报文的源IP地址,也可使用目的地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则
    
    二层ACL   #范围为4000~4999   可根据报文的以太网帧头信息来定义规则,如根据源MAC(Media Access Control)地址、目的MAC地址、以太帧协议类型等</span>
    自定义ACL  #范围为5000~5999   可根据偏移位置和偏移量从报文中提取出一段内容进行匹配</span>
    

    场景一:(机房交换机不允许非管理网络ssh登录)

    #创建基于命名的基本acl
      acl name ssh-kongzhi 2001
      rule 5 permit source 192.168.1.0 0.0.0.255
      rule 10 deny

    #在vty接口应用acl 2001
      user-interface vty 0 4
      acl 2001 inbound
      authentication-mode aaa
      protocol inbound all

    场景二:(如下图,主机一不能ping通http服务器,但是可以访问)

        #创建高级acl
    acl number 3001
    rule 5 permit tcp source 192.168.21.11 0 destination 192.168.21.100 0 destination-port eq www
    rule 10 deny icmp source 192.168.21.11 0 destination 192.168.21.100 0
    

    #在接口的上应用acl
      interface GigabitEthernet0/0/2
       traffic-filter inbound acl 300

    场景三:(自反acl的应用,类是于防火墙)

        #目标(1):在icmp协议上,实现外部网络中,只有smokeping主机能ping通内网,其余外部主机不能ping内网地址,并且要求内网可以ping外网
        #目标(2):不让外部网络通过tcp协议连接内部,但是内部可以用tcp连接外部(实际意义不大,但是很形象,凡是设计tcp的应用协议都受控)
    
    #分析(1):先允许smokeping的主机ping内网,ping包分(去包:echo,回包:echo-raly),在公网出口的入方向拒绝所有ping的去包类型echo,作用与所有主机</span>
    #分析(2):tcp协议,需要建立三次握手,只有第一次中不带ack标志,其余都带有ack,(这表示发起tcp连接的一方第一个包不带ack,根据这个在公网出口入方向进行设置)</span>
    
    #创建acl
    

      acl name kongzhi 3001
      rule 5 permit icmp source 6.6.6.6 0
      rule 10 deny icmp icmp-type echo
      rule 15 permit tcp tcp-flag ack
      rule 20 deny tcp

    #应用到公网出口上
    

      interface GigabitEthernet0/0/1
      ip address 4.4.4.4 255.255.255.0
      traffic-filter inbound acl name kongzhi

    场景四:(基于时间的acl应用)

    目标:教师每天6点到23点,可以上网;学生周一到周五8点半到22点可以上网,周六周日两天任何时刻都上网
    
    分析:要实现基于时间的,就需要进行划分流量,然后阻断,所以,时间可以看成
        教师每天早上0点到6点半,以及晚上23点到23点59不能上网
        学生周一到周五的早上0点到8点半,以及晚上22点到23点59不能上网
    

    #第一:配置时间段(由于不支持"23:0 to 6:30",所以写成下面这种形式)
      time-range jiaoshi-deny 00:00 to 6:30 daily
      time-range jiaoshi-deny 23:00 to 23:59 daily
      time-range xuesheng-deny 00:00 to 8:30 working-day
      time-range xuesheng-deny 22:00 to 0:0 working-day

    #第二:创建配置高级acl
      acl number 3001
      rule deny ip source 192.168.21.0 0.0.0.255 time-range jiaoshi-deny
      acl number 3002
      rule deny ip source 192.168.22.0 0.0.0.255 time-range xuesheng-deny

    #第三:配置流分类(对匹配ACL 3001和3002的报文进行分类)
      traffic classifier d_jiaoshi
      if-match acl 3001
      traffic classifier d_xuesheng
      if-match acl 3002

    #第四:配置流行为(动作为拒绝报文通过)
      traffic behavior d_jiaoshi
      deny
      traffic behavior d_xuesheng
      deny

    #第五:配置流策略(将流分类d_jiaoshi与流行为d_jiaoshi关联,组成流策略,这里为了方便直接将后面应用到一个接口上,将上面两个对应关系进行了合计)
      traffic policy all_deny
      classifier d_jiaoshi behavior d_jiaoshi
      classifier d_xuesheng behavior d_xuesheng

    #第六:在接口上应用流策略
      interface gigabitethernet 0/0/2
      ip address 114.114.114.1 255.255.255.0
      traffic-policy all_deny outbound

    展开全文
  • 闲谈华为交换机5700 ACL配置(亲测)wqxh788关注2人评论14088人阅读2013-12-18 18:06:15最近来了一台华为5700 SI版本交换机,也上了一台防火墙不过是百兆的,...一、说明:1、华为交换机ACL规则没变,但下发需要...

    闲谈华为交换机5700 ACL配置(亲测)
    wqxh788关注2人评论14088人阅读2013-12-18 18:06:15
    最近来了一台华为5700 SI版本交换机,也上了一台防火墙不过是百兆的,主要用于监控与视频会议,为了带宽,防火墙就基本没啥作用了,直接拆了不用,但还是要保证安全,只能在5700上做ACL安全策略,所以研究了一下ACL的配置。

    一、说明:
    1、华为交换机的ACL规则没变,但下发需要通过流策略traffic policy下发;
    2、流策略又包括相应的流分类traffic classifier,流行为traffic behavior;
    3、流分类traffic classifier用于绑定相应的ACL规则,流行为traffic behavior决定匹配的流分类是否permit或deny;
    4、ACL规则里只需配置匹配的流,使用permit标识,而deny基本没啥用;
    5、如果有多个ACL number,在流策略traffic policy里需要按顺序绑定(根据业务是先允午后禁止或先禁止后允许),800说可以配优先级,但我么有发现命令。
    6、在接口的inbound 方向下发。
    二、版本信息
    Huawei Versatile Routing Platform Software
    VRP (R) software, Version 5.110 (S5700 V200R001C00SPC300)
    Copyright (C) 2000-2012 HUAWEI TECH CO., LTD
    Quidway S5700-24TP-SI-AC Routing Switch uptime is 17 weeks, 1 day, 7 hours,
    三、配置
    1、需求
    1)只允许特定的网段(192.168.1.0/24)到特定的网段192.168.2.0/24)的访问
    2)禁止特定的网段(192.168.1.0/24) 到any的访问。
    2、配置:
    1)定义允许的ACL规则
    acl number 3001
    rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
    2)定义禁止的ACL规则
    acl number 3002
    rule 5 permit ip source 192.168.1.0 0.0.0.255 也使用permit,在这里意思其实是匹配的意思
    3)定义流分类
    traffic classifier xl1 operator and 绑定允许的ACL规则
    if-match acl 3001
    traffic classifier xl2 operator and 绑定禁止的ACL规则
    if-match acl 3002
    4)定义流动作,这里才是真正决定是允许还是禁止
    traffic behavior xl001
    permit 允许动作
    traffic behavior xl002
    deny 禁止动作
    5)定义流策略 (这里最好注意顺序,避免一些问题发生)
    traffic policy xlpolicy
    classifier xl1 behavior xl001 先绑定流分类xl1到流动作 xl001
    classifier xl2 behavior xl002 再绑定流分类xl2到流动作 xl002
    6)靠近源地址端接口入方向下发
    interface GigabitEthernet0/0/23
    traffic-policy xlpolicy inbound

    总结,其实也很好理解,ACL规则下的permit用于匹配流,流动作里的permit或deny才是真正的对包文的允许与禁止动作。
    也可参考华为手里的一句话:
    基于硬件的应用:ACL 被下发到硬件,例如配置QoS 功能时引用ACL,对报文进
    行流分类。需要注意的是,当ACL 被QoS 功能引用时,如果ACL 规则中定义的
    动作为deny,则匹配此ACL 的报文就被丢弃。如果ACL 规则中定义的动作为
    permit,则S5700 对匹配此ACL 的报文采取的动作由QoS 中流行为定义的动作决
    定。
    (貌似华为官方写的不是很好理解,网络还需要动手去发现)。

    转载于:https://blog.51cto.com/9821049/2139406

    展开全文
  • 最近来了一台华为5700 SI版本交换机,也上了一台防火墙不过是百兆的,主要用于...1、华为交换机ACL规则没变,但下发需要通过流策略traffic policy下发; 2、流策略又包括相应的流分类traffic classifier,流行为t...

    最近来了一台华为5700 SI版本交换机,也上了一台防火墙不过是百兆的,主要用于监控与视频会议,为了带宽,防火墙就基本没啥作用了,直接拆了不用,但还是要保证安全,只能在5700上做ACL安全策略,所以研究了一下ACL的配置。

    一、说明:

    1、华为交换机的ACL规则没变,但下发需要通过流策略traffic policy下发;

    2、流策略又包括相应的流分类traffic classifier,流行为traffic behavior;

    3、流分类traffic classifier用于绑定相应的ACL规则,流行为traffic behavior决定匹配的流分类是否permit或deny;

    4、ACL规则里只需配置匹配的流,使用permit标识,而deny基本没啥用;

    5、如果有多个ACL number,在流策略traffic policy里需要按顺序绑定(根据业务是先允午后禁止或先禁止后允许),800说可以配优先级,但我么有发现命令。

    6、在接口的inbound 方向下发。

    二、版本信息

    Huawei Versatile Routing Platform Software

    VRP (R) software, Version 5.110 (S5700 V200R001C00SPC300)

    Copyright (C) 2000-2012 HUAWEI TECH CO., LTD

    Quidway S5700-24TP-SI-AC Routing Switch uptime is 17 weeks, 1 day, 7 hours,

    三、配置

    1、需求

    1)只允许特定的网段(192.168.1.0/24)到特定的网段192.168.2.0/24)的访问

    2)禁止特定的网段(192.168.1.0/24) 到any的访问。

    2、配置:

    1)定义允许的ACL规则

    acl number 3001

    rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

    2)定义禁止的ACL规则

    acl number 3002

    rule 5 permit ip source 192.168.1.0 0.0.0.255 也使用permit,在这里意思其实是匹配的意思

    3)定义流分类

    traffic classifier xl1 operator and 绑定允许的ACL规则

    if-match acl 3001

    traffic classifier xl2 operator and 绑定禁止的ACL规则

    if-match acl 3002

    4)定义流动作,这里才是真正决定是允许还是禁止

    traffic behavior xl001

    permit 允许动作

    traffic behavior xl002

    deny 禁止动作

    5)定义流策略 (这里最好注意顺序,避免一些问题发生)

    traffic policy xlpolicy

    classifier xl1 behavior xl001 先绑定流分类xl1到流动作 xl001

    classifier xl2 behavior xl002 再绑定流分类xl2到流动作 xl002

    6)靠近源地址端接口入方向下发

    interface GigabitEthernet0/0/23

    traffic-policy xlpolicy inbound

    总结,其实也很好理解,ACL规则下的permit用于匹配流,流动作里的permit或deny才是真正的对包文的允许与禁止动作。

    也可参考华为手里的一句话:

    基于硬件的应用:ACL 被下发到硬件,例如配置QoS 功能时引用ACL,对报文进

    行流分类。需要注意的是,当ACL 被QoS 功能引用时,如果ACL 规则中定义的

    动作为deny,则匹配此ACL 的报文就被丢弃。如果ACL 规则中定义的动作为

    permit,则S5700 对匹配此ACL 的报文采取的动作由QoS 中流行为定义的动作决

    定。

    (貌似华为官方写的不是很好理解,网络还需要动手去发现)。

    转载于:https://blog.51cto.com/9821049/2140170

    展开全文
  • 官方定义: 先匹配ACL,如是deny那就直接过滤掉,不再通过qos匹配;如是acl是permit,那么接下来qos流量进行匹配...traffic behavior但是若使用deny,则无论acl规则中的permit或者deny,一律全都丢弃不进行转发. 组合有
  • 最近来了一台华为5700 SI版本交换机,也上了一台防火墙不过是百兆的,主要用于监控...一、说明:1、华为交换机ACL规则没变,但下发需要通过流策略traffic policy下发; 2、流策略又包括相应的流分类traffic classi...
  • 华为交换机Vlan间访问控制配置案例华为交换机ACL/QOS调用ACL配置案例1 ACL概述随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对报文进行过滤,可以有效防止非法用户...
  • 展开全部华为交换机设置时间段的方法如下:1、首先我们先e68a84e8a2ad3231313335323631343130323136353331333365646263删除已定义的时间段:[h3c]undo time-range t1[h3c]undo time-range t22、删除下发的acl规则[h3...
  • 展开全部华为交换机设置时间段的方法如下:1、首先我们先删除已定义e69da5e887aa3231313335323631343130323136353331333363396466的时间段:[h3c]undo time-range t1[h3c]undo time-range t22、删除下发的acl规则[h3...
  • 华为交换机ssh做简单的acl

    千次阅读 2019-02-27 21:17:57
    acl规则 acl number 2001 rule 5 permit source xxx.xxx.xxx.0 0.0.0.255 rule 6 deny 在虚拟视图中调用acl user-interface vty 0 4 acl 2001 inbond
  • 满意答案lucktocc2015.10.16采纳率:49%等级:7已帮助:557人acl number 3000rule 1 deny ip source 192.168.10.0 0.0.0.7 destination 192.168.10.0 0.0.0.7rule 2 permit ip其实上面这个规则会使192.168.10.0-192....
  • 注2:一个acl里面可以有多个rule规则,从上往下依次执行 注3:数据包一旦被某rule匹配,就不再继续向下匹配 注4:用来做数据包访问控制时,默认隐含放过所有(华为设备) 例1: aclnumber2000创建a...
  • 华为交换机S5500系列上,作黑白名单访问ACL的配置案例实操 (1)第一步:定义规则(设置预计命中的条目,即:制作“滤芯”) acl number 3000 rule 0 permit tcp source 10.0.28.247 0 destination 10.0.20.20 0 ...
  • 华为交换机报文过滤配置

    千次阅读 2019-09-25 16:56:28
    华为交换机报文过滤配置1、 配置acl规则2、 配置流分类3、配置流行为4、 配置流策略5、将流策略应用在接口上 1、 配置acl规则 acl 3001 rule 10 permit ip source 10.129.4.29 0 destination 10.3.143.128 0 rule 20...
  • 华为交换机Vlan间访问控制配置案例

    千次阅读 2014-04-05 18:19:21
    华为交换机Vlan间访问控制配置案例 华为交换机ACL/QOS调用ACL配置案例 1 ACL概述 随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。 通过对报文进行过滤,可以有效防止非法...
  • 定义ACL规则,抓点对点的UDP包 sy acl 3001 rule 5 permit udp source 10.24.26.112 0 destination 10.24.200.6 0 rule 10 permit udp source 10.24.200.6 0 destination 10.24.26.112 0 q 使用规则抓包,结果...
  • 定时关闭华为交换机的端口

    千次阅读 2015-10-19 12:17:01
    关于因业务须求,定时关闭交换机的端口的做法 通过对各种资料...通过做ACL规则开限开关端口(其时也不叫开开关端口,只是通过规则禁止端口数据的访问) 二。通过在电脑里运行BAT文件。直接关闭用户端口或开启用户端口
  • 华为#acl number 3100 //创建ALC控制规则 rule 5 deny tcp destination-port eq 445 //禁止TCP 445端口数据 rule 10 deny tcp destination-port eq 135 rule 15 deny tcp destination-port eq 137 rule 20 deny tcp ...
  • 华为设备ACL与NAT技术

    2019-07-08 18:23:00
    是应用在路由器(或三层交换机)接口上的指令列表,用来告诉路由器哪些数据可以接收,哪些数据是需要被拒绝的,ACL的定义是基于协议的,它适用于所有的路由协议,并根据预先定义好的规则对数据包进行过滤,从而更好的控制...
  • 华为 ACL访问控制列表 (高级ACL为例)

    千次阅读 多人点赞 2020-09-12 16:02:12
    ACL是由一个或多个用于报文过滤的规则组成的规则集合,通过在不同功能上的应用课达到不同的应用效果。 路由器和交换机接口的指令列表,用来控制端口进出的数据包,配合各种应用(NAT、route police 前缀列表等)实现...
  • 勒索病毒,华为/H3C三层交换机/路由器用ACL端口禁用高危端口 **************************************华为 #aclnumber 3100 //创建ALC控制规则 rule 5 deny tcp destination-port eq 445 //禁止TCP 445端口数据 ...
  • 经查询,华为交换机支持二层ACL,其过滤规则可检查MAC帧。 华为交换机二层ACL的编号为4000-4999,编号在此区间的ACL自动建立为二层ACL。 由于工作区环境为瘦客户端连接虚拟机的模式,所以硬件上的位置不会变动。故...
  • 是应用在路由器(或三层交换机)接口上的指令列表,用来告诉路由器哪些数据可以接收,哪些数据是需要被拒绝的,ACL的定义是基于协议的,它适用于所有的路由协议,并根据预先定义好的规则对数据包进行过滤,从而更好的控制...
  • h3c 3600 acl 配置 滤源IP是网关的ARP报文的ACL规则 悬赏分:100 - 解决时间:2009-3-8 14:30 星号之间是我在网上查到的华为交换机的配置方法: ************************************************ 全局配置...
  • ACL(Access Control List,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。 ACL 通过一系列的匹配条件对报文进行分类,这些条件可以是报文的源MAC 地址、目的MAC 地址、源IP 地址、...
  • 华为-H3C交换机登录权限控制

    千次阅读 2016-03-18 11:20:49
    华为-H3C:登陆权限控制: 通过源ip控制登陆用户,该策略配置后,只允许acl内的IP... [9F-3600V2-EI-jifang]acl number 2500 match-order config 建立基本acl规则 2. [9F-3600V2-EI-jifang-acl-basic-2500]dis th ...
  • 错误码 说明 33210000 规则内容冲突:AND类型Classifier中不支持If-match多个ACL 33210001 规则内容冲突:AND类型Classifier中不支持If-match多个Customer-Dot1p 33210002 规则
  • 实验四 防火墙ACL规则配置 实验五 ASPF状态检测功能测试 实验六 帧中继 实验七 华为:x.25试验 实验八 PPP验证PAP和CHAP 实验九 华为MPLS 技术特色 实验十 华为3Com QACL之其它流动作 实验十一 关于华为的ADSL...

空空如也

空空如也

1 2
收藏数 34
精华内容 13
关键字:

华为交换机acl规则