華為ACL匹配規則

2021-05-26 19:49:36 字數 2660 閱讀 5502

華為3com的acl一直一來都比較麻煩,不同版本、不同型號的裝置都有些不同。下面我以3900裝置為例,說明acl的配置和執行技巧。

總結一句話:rule排列規則和auto、config模式有關,而匹配順序則和acl應用環境和下發到埠的循序有關。

規律說明:

1、acl可以分為auto模式和config模式,auto模式根據最長匹配的原則排列rule的順序(可以通告dis acl all檢視rule的循序,出現4-2-3-0-1很正常)。config模式根據使用者配置循序排列rule的循序。也就是說auto和config只是 rule的排列順序有關,與匹配順序無關。

2、不管是auto模式還是config模式,當acl應用於包過慮和qos時,匹配循序是從下往上,但是應用於vty 使用者過慮等責是從上往下匹配。

3、不管是auto模式還是config模式,acl的匹配順序都是根據下發到埠的規則從下往上匹配。

4、在乙個acl裡同時有多條rule匹配,則按照最長匹配優先執行。

包過慮acl舉例說明:

禁止10.10.10.145這台pc上網

允許10.10.10.0/24網段上網

允許192.168.0.0/16網段上網

禁止所有ip

配置方法一:

配置acl(需要嚴格按照配置順序配置)

acl num 3000 mach config

rule den ip

rule permit ip sour 192.168.0.0 0.0.255.255

rule permit ip sour 10.10.10.0 0.0.0.255

rule deny ip sour 10.10.10.145 0

下發acl到埠

int e 1/0/1

pack in ip 3000

配置方法二:

配置acl(配置循序隨便)

acl num 3001 mach auto

rule permit ip sour 10.10.10.0 0.0.0.255

rule den ip

rule deny ip sour 10.10.10.145 0

rule permit ip sour 192.168.0.0 0.0.255.255

下發acl到埠

int e 1/0/2

pack in ip 3001 rule 0(必需先應用rule 0,否則全部都是禁止)

pack in ip 3001

配置輸出:

acl number 3000(排列順序為0-1-2-3,按配置順序排列)

rule 0 deny ip

rule 1 permit ip source 192.168.0.0 0.0.255.255

rule 2 permit ip source 10.10.10.0 0.0.0.255

rule 3 deny ip source 10.10.10.145 0

acl number 3001 match-order auto(排列順序為3-1-2-0,按掩碼排列)

rule 3 deny ip source 10.10.10.145 0

rule 1 permit ip source 10.10.10.0 0.0.0.255

rule 2 permit ip source 192.168.0.0 0.0.255.255

rule 0 deny ip

#vlan 1

#inte***ce aux1/0/0

#inte***ce ethernet1/0/1(排列順序為0-1-2-3,和acl順序一樣)

packet-filter inbound ip-group 3000 rule 0

packet-filter inbound ip-group 3000 rule 1

packet-filter inbound ip-group 3000 rule 2

packet-filter inbound ip-group 3000 rule 3

#inte***ce ethernet1/0/2(排列順序為0-3-1-2,和acl順序不一樣)

packet-filter inbound ip-group 3001 rule 0

packet-filter inbound ip-group 3001 rule 3

packet-filter inbound ip-group 3001 rule 1

packet-filter inbound ip-group 3001 rule 2

#使用者限制過慮acl和cisco一樣,從上往下執行,比較標準,不做說明。

另外付上不同交換機acl執行說明:

quidway s系列低端交換機絕大部分的裝置支援的acl匹配規則為後下發先生效,其中包括s3000-ei系列、s3526e系列、s3900系列、s5000系列以及s5600系列;還有一部分裝置支援的acl匹配規則為先下發先生效,如s3552系列和s5100-ei系列。此外,s3526系列交換機支援的 acl匹配順序是深度優先,最小位址範圍的rule優先生效。

h3c系列低端乙太網交換機,s3600和s5600支援的acl匹配順序為後下發先生效,s5100-ei系列交換機支援的acl匹配順序為先下發先生效。

ps:先後看口下面的rule順序

訪問控制列表 ACL匹配規則

首先,小編為大家介紹acl匹配機制。上一期提到,acl在匹配報文時遵循 一旦命中即停止匹配 的原則。其實,這句話就是對acl匹配機制的乙個高度的概括。當然,acl匹配過程中,還存在很多細節。比如,acl不存在系統會怎麼處理?acl存在但規則不存在系統會怎麼處理?為了對整個acl匹配過程展開詳細的介紹...

華為裝置的ACL

acl access control list 就是為了控制訪問許可權,是應用在路由器介面的指令列表。他是根據提前設定的一系列規則來控制流量的出入,通常是對第三層第四層的資料報的某些字段進行過濾,從而到達訪問控制。五個元素可以概況,源位址,目標位址,源埠,目標埠,udp或tcp。分類和編號範圍 引數...

ensp 華為acl配置

訪問控制列表 acl 訪問控制列表 acl 是一種基於包過濾的訪問控制技術。它可以根據設定的條件對介面上的資料報進行過濾,允許其通過或丟棄。訪問控制列表被廣泛地應用於路由器和三層交換機。借助於訪問控制列表可以有效地控制使用者對網路的訪問,從而最大程度地保障網路安全。acl作用 1,限制網路流量 提高...