華為3com的acl一直一來都比較麻煩,不同版本、不同型號的裝置都有些不同。下面我以3900裝置為例,說明acl的配置和執行技巧。
總結一句話:rule排列規則和auto、config模式有關,而匹配順序則和acl應用環境和下發到埠的循序有關。
規律說明:
1、acl可以分為auto模式和config模式,auto模式根據最長匹配的原則排列rule的順序(可以通告dis acl all檢視rule的循序,出現4-2-3-0-1很正常)。config模式根據使用者配置循序排列rule的循序。也就是說auto和config只是 rule的排列順序有關,與匹配順序無關。
2、不管是auto模式還是config模式,當acl應用於包過慮和qos時,匹配循序是從下往上,但是應用於vty 使用者過慮等責是從上往下匹配。
3、不管是auto模式還是config模式,acl的匹配順序都是根據下發到埠的規則從下往上匹配。
4、在乙個acl裡同時有多條rule匹配,則按照最長匹配優先執行。
包過慮acl舉例說明:
禁止10.10.10.145這台pc上網
允許10.10.10.0/24網段上網
允許192.168.0.0/16網段上網
禁止所有ip
配置方法一:
配置acl(需要嚴格按照配置順序配置)
acl num 3000 mach config
rule den ip
rule permit ip sour 192.168.0.0 0.0.255.255
rule permit ip sour 10.10.10.0 0.0.0.255
rule deny ip sour 10.10.10.145 0
下發acl到埠
int e 1/0/1
pack in ip 3000
配置方法二:
配置acl(配置循序隨便)
acl num 3001 mach auto
rule permit ip sour 10.10.10.0 0.0.0.255
rule den ip
rule deny ip sour 10.10.10.145 0
rule permit ip sour 192.168.0.0 0.0.255.255
下發acl到埠
int e 1/0/2
pack in ip 3001 rule 0(必需先應用rule 0,否則全部都是禁止)
pack in ip 3001
配置輸出:
acl number 3000(排列順序為0-1-2-3,按配置順序排列)
rule 0 deny ip
rule 1 permit ip source 192.168.0.0 0.0.255.255
rule 2 permit ip source 10.10.10.0 0.0.0.255
rule 3 deny ip source 10.10.10.145 0
acl number 3001 match-order auto(排列順序為3-1-2-0,按掩碼排列)
rule 3 deny ip source 10.10.10.145 0
rule 1 permit ip source 10.10.10.0 0.0.0.255
rule 2 permit ip source 192.168.0.0 0.0.255.255
rule 0 deny ip
#vlan 1
#inte***ce aux1/0/0
#inte***ce ethernet1/0/1(排列順序為0-1-2-3,和acl順序一樣)
packet-filter inbound ip-group 3000 rule 0
packet-filter inbound ip-group 3000 rule 1
packet-filter inbound ip-group 3000 rule 2
packet-filter inbound ip-group 3000 rule 3
#inte***ce ethernet1/0/2(排列順序為0-3-1-2,和acl順序不一樣)
packet-filter inbound ip-group 3001 rule 0
packet-filter inbound ip-group 3001 rule 3
packet-filter inbound ip-group 3001 rule 1
packet-filter inbound ip-group 3001 rule 2
#使用者限制過慮acl和cisco一樣,從上往下執行,比較標準,不做說明。
另外付上不同交換機acl執行說明:
quidway s系列低端交換機絕大部分的裝置支援的acl匹配規則為後下發先生效,其中包括s3000-ei系列、s3526e系列、s3900系列、s5000系列以及s5600系列;還有一部分裝置支援的acl匹配規則為先下發先生效,如s3552系列和s5100-ei系列。此外,s3526系列交換機支援的 acl匹配順序是深度優先,最小位址範圍的rule優先生效。
h3c系列低端乙太網交換機,s3600和s5600支援的acl匹配順序為後下發先生效,s5100-ei系列交換機支援的acl匹配順序為先下發先生效。
ps:先後看口下面的rule順序
訪問控制列表 ACL匹配規則
首先,小編為大家介紹acl匹配機制。上一期提到,acl在匹配報文時遵循 一旦命中即停止匹配 的原則。其實,這句話就是對acl匹配機制的乙個高度的概括。當然,acl匹配過程中,還存在很多細節。比如,acl不存在系統會怎麼處理?acl存在但規則不存在系統會怎麼處理?為了對整個acl匹配過程展開詳細的介紹...
華為裝置的ACL
acl access control list 就是為了控制訪問許可權,是應用在路由器介面的指令列表。他是根據提前設定的一系列規則來控制流量的出入,通常是對第三層第四層的資料報的某些字段進行過濾,從而到達訪問控制。五個元素可以概況,源位址,目標位址,源埠,目標埠,udp或tcp。分類和編號範圍 引數...
ensp 華為acl配置
訪問控制列表 acl 訪問控制列表 acl 是一種基於包過濾的訪問控制技術。它可以根據設定的條件對介面上的資料報進行過濾,允許其通過或丟棄。訪問控制列表被廣泛地應用於路由器和三層交換機。借助於訪問控制列表可以有效地控制使用者對網路的訪問,從而最大程度地保障網路安全。acl作用 1,限制網路流量 提高...