书签分享收藏举报版权申诉 / 26

立即下载

当前位置：首页 > 教育专区 > 高考资料 > 2022年2022年华为ACL配置教程 .pdf

2022年2022年华为ACL配置教程 .pdf

上传人：Che****ry

文档编号：27215163

上传时间：2022-07-23

格式：PDF

页数：26

大小：386.54KB

( 4.5 )

《2022年2022年华为ACL配置教程 .pdf》由会员分享，可在线阅读，更多相关《2022年2022年华为ACL配置教程 .pdf（26页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、华为 ACL配置教程一、ACL基本配置1、ACL规则生效时间段配置（需要先配置设备的时间，建议用ntp 同步时间）某些引用 ACL的业务或功能需要限制在一定的时间范围内生效，比如，在流量高峰期时启动设备的QoS功能。用户可以为 ACL创建生效时间段，通过在规则中引用时间段信息限制ACL生效的时间范围，从而达到该业务或功能在一定的时间范围内生效的目的。 Huaweitime-range test ? Starting time from The beginning point of the time range Huaweitime-range test 8:00 ? to The endi

2、ng point of periodic time-range Huaweitime-range test 8:00 t Huaweitime-range test 8:00 to ? Ending Time Huaweitime-range test 8:00 to 18:05 ? Day of the week(0 is Sunday) Fri Friday # 星期五 Mon Monday #星期一 Sat Saturday # 星期六 Sun Sunday # 星期天 Thu Thursday # 星期四 Tue Tuesday # 星期二 Wed Wednesday #星期三 dai

3、ly Every day of the week # 每天 off-day Saturday and Sunday # 星期六和星期日 working-day Monday to Friday #工作日每一天Huaweitime-range test from 8:00 2016/1/17 to 18:00 2016/11/17 使用同一 time-name 可以配置多条不同的时间段，以达到这样的效果：各周期时间段之间以及各绝对时间段之间分别取并集之后，再取二者的交集作为最终生效的时间范围。例如，时间段“ test ”配置了三个生效时段：从 2016年 1 月 1 日 00:00 起到 201

4、6年 12 月 31日 23:59 生效，这是一个绝对时间段。在周一到周五每天8:00 到 18:00 生效，这是一个周期时间段。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 26 页 - - - - - - - - - 在周六、周日下午14:00 到 18:00 生效，这是一个周期时间段。则时间段“ test ”最终描述的时间范围为：2016 年的周一到周五每天8:00到 18:00 以及周六和周日下午14:00 到 18:00。由于网络延迟等原因，可能造成网络上设备

5、时间不同步，建议配置NTP（Network Time Protocol），以保证网络上时间的一致。2、ACL类型配置2.1 、数字型 acl 配置Huaweiacl 2000 match-order ? auto Auto order #自动顺序（默认） config Config order 或Huaweiacl number 2000 match-order ? auto Auto order config Config order 2.2 、命名型 acl 配置Huaweiacl name test ? advance Specify an advanced named ACL # 设置

6、高级 acl basic Specify a basic named ACL match-order Set ACLs match order number Specify a number for the named ACL Huaweiacl name test ad Huaweiacl name test advance ? match-order Set ACLs match order number Specify a number for the named ACL Huaweiacl name test number ? INTEGER Number of the basic n

7、amed ACL INTEGER Number of the advanced named ACL 2.3 、ACL类型配置Huaweiacl ? INTEGER Interface access-list(add to current using rules) # 接口访问列表 acl INTEGER Apply MPLS ACL # 应用 MPLS ACL INTEGER Basic access-list (add to current using rules) # 基本 acl INTEGER Advanced access-list(add to current using rule

8、s) # 高级 acl 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 26 页 - - - - - - - - - INTEGER MAC address access-list(add to current using rules) # 二层 acl ipv6 ACL IPv6 # 基本 acl6 和高级 acl6 配置 name Specify a named ACL number Specify a numbered ACL 2.4 、ACL描述设置（可选）Hua

9、wei-acl-basic-2600description ? TEXT 2.5 、ACL步长设置（可选）Huawei-acl-basic-teststep ? INTEGER Specify value of step 二、ACL类型规则配置1、基本 ACL规则配置基本 ACL编号 acl-number 的范围是 20002999。基本 ACL可以根据报文自身的源 IP 地址、分片标记和时间段信息对 IPv4 报文进行分类。Huawei-acl-basic-testrule 1 ? deny Specify matched packet deny permit Specify match

10、ed packet permit Huawei-acl-basic-testrule 1 deny ? fragment-type Specify the fragment type of packet # 分组片段类型 source Specify source address time-range Specify a special time vpn-instance Specify a VPN-Instance Huawei-acl-basic-testrule 1 deny source ? X.X.X.X Address of source any Any source Huawei

11、-acl-basic-testrule 1 deny source 192.168.1.1 ? 0 Wildcard bits : 0.0.0.0 ( a host ) X.X.X.X Wildcard of source Huawei-acl-basic-testrule 1 deny source 192.168.1.1 0 ? 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 26 页 - - - - - - - - - fragment-type Specify t

12、he fragment type of packet # 对分组片段类型有效 time-range Specify a special time # 引用生效时间 vpn-instance Specify a VPN-Instance # 用于 vpn Huawei-acl-basic-2600description ? #配置规则描述 TEXT ACL description (no more than 127 characters) 在 ACL中配置首条规则时，如果未指定参数rule-id，设备使用步长值作为规则的起始编号。后续配置规则如仍未指定参数rule-id，设备则使用最后一个规则的

13、 rule-id的下一个步长的整数倍数值作为规则编号。例如 ACL中包含规则 rule 5 和 rule 7，ACL的步长为 5，则系统分配给新配置的未指定 rule-id的规则的编号为 10。当用户指定参数 time-range引入 ACL规则生效时间段时，如果time-name不存在，该规则将无法绑定该生效时间段。如果不指定参数 vpn-instance vpn-instance-name ，设备会对公网和私网的报文均进行匹配。设备在收到报文时，会按照匹配顺序将报文与ACL规则进行逐条匹配，一旦匹配上规则组内的某条规则，则停止匹配动作。之后，设备将依据匹配的规则对报文执行相应的动作。2

14、、高级 ACL规则配置高级 ACL编号 acl-number 的范围是 30003999。高级 acl 主要对源/ 目的 IP 地址、端口号、优先级、时间段等报文进行过滤。Huawei-acl-adv-3000rule 1 permit ? Protocol number gre GRE tunneling(47) icmp Internet Control Message Protocol(1) igmp Internet Group Management Protocol(2) ip Any IP protocol ipinip IP in IP tunneling(4) ospf OSP

15、F routing protocol(89) tcp Transmission Control Protocol (6) udp User Datagram Protocol (17) Huawei-acl-adv-3000rule 1 permit udp ? destination Specify destination address destination-port Specify destination port dscp Specify dscp fragment-type Specify the fragment type of packet precedence Specify

16、 precedence source Specify source address 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 26 页 - - - - - - - - - source-port Specify source port time-range Specify a special time tos Specify tos vpn-instance Specify a VPN-Instance Huawei-acl-adv-3000rule 1 permi

17、t udp source ? X.X.X.X Address of source any Any source Huawei-acl-adv-3000rule 1 permit udp source any ? destination Specify destination address destination-port Specify destination port dscp Specify dscp fragment-type Specify the fragment type of packet precedence Specify precedence source-port Sp

18、ecify source port time-range Specify a special time tos Specify tos vpn-instance Specify a VPN-Instance Huawei-acl-adv-3000rule 1 permit udp source any des Huawei-acl-adv-3000rule 1 permit udp source any destination ? X.X.X.X Specify destination address any Any destination IP address Huawei-acl-adv-

19、3000rule 1 permit udp source any destination 192.168.1.1 ? 0 Wildcard bits : 0.0.0.0 ( a host ) X.X.X.X Wildcard of destination Huawei-acl-adv-3000rule 1 permit udp source any destination 192.168.1.1 0 ? destination-port Specify destination port dscp Specify dscp fragment-type Specify the fragment t

20、ype of packet precedence Specify precedence source-port Specify source port time-range Specify a special time tos Specify tos vpn-instance Specify a VPN-Instance 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 26 页 - - - - - - - - - Huawei-acl-adv-3000rule 1 per

21、mit udp source any destination 192.168.1.1 0 destination-port ? eq Equal to given port number gt Greater than given port number lt Less than given port number neq Not equal to given port number # 不等于指定端口 range Between two port numbers Huawei-acl-adv-3000rule 1 permit udp source any destination 192.1

22、68.1.1 0 destination-port eq ? Protocol number biff Mail notify (512) bootpc Bootstrap Protocol Client (68) bootps Bootstrap Protocol Server (67) discard Discard (9) dns Domain Name Service (53) dnsix DNSIX Security Attribute Token Map (90) echo Echo (7) mobilip-ag MobileIP-Agent (434) mobilip-mn Mo

23、bilIP-MN (435) nameserver Host Name Server (42) netbios-dgm NETBIOS Datagram Service (138) netbios-ns NETBIOS Name Service (137) netbios-ssn NETBIOS Session Service (139) ntp Network Time Protocol (123) rip Routing Information Protocol (520) snmp SNMP (161) snmptrap SNMPTRAP (162) sunrpc SUN Remote

24、Procedure Call (111) syslog Syslog (514) tacacs-ds TACACS-Database Service (65) talk Talk (517) tftp Trivial File Transfer (69) time Time (37) who Who(513) xdmcp X Display Manager Control Protocol (177) Huawei-acl-adv-3000rule 1 permit udp source any destination 192.168.1.1 0 destination-port eq 21

25、? dscp Specify dscp fragment-type Specify the fragment type of packet precedence Specify precedence source-port Specify source port time-range Specify a special time 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 26 页 - - - - - - - - - tos Specify tos vpn-insta

26、nce Specify a VPN-Instance 高级 acl 可以匹配的功能有：2.1 、高级 acl 常用协议数值对照表协议类型数值ICMP1IGMP2IPinIP4TCP6UDP17GRE47IPOSPF892.2 、高级 acl 常用功能说明参数说明deny拒绝符合条件的报文permit允许符合条件的报文sourcesour-addr sour-wildcard|anysour-addr sour-wildcard:源 ip 地址源通配符掩码any：任意源 IP 地址destinationdest-addr dest-wildcaard|anydest-addr dest-wild

27、caard：目的 IP 地址及通配符掩码any：任意目的 IP 地址icmp-typeicmp-name|icmp-type icmp-code指定 acl 规则匹配报文的 icmp 报文的类型和消息码信息，仅在报文协议是ICMP的情况下有效precedence指定 acl 匹配报文时依据优先级字段进行过滤。与 tos 参数一起共同构成DSCP 组成的二选一参数。tos指定 acl 匹配报文时依据服务类型字段进行过滤。与 precedence 参数一起共同构成DSCP 组成的二选一参数。dscp指定 acl 匹配报文时区分服务代码点，依据 IP包中的 DSCP 优先级字段进行过滤

28、。tcp-flag指定 acl 规则匹配 TCP报文中的 SYN 标志的类型time-range指定 acl 规则生效时间段destination-porteq prot|gt 指定 acl 规则匹配报文的 UDP 或 TCP的目的端名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 26 页 - - - - - - - - - port|lt port|rage port-start port end口，仅在报文协议是UDP 或 TCP时生效。端口号可用名称或数字表示eq

29、port :指定等于目的端口gt port:指定大于目的端口lt port :指定小于目的端口range port-start port-end:指定目的端口范围start 为起始端口end 为结束端口soure-porteq prot|gt port|lt port|rage port-start port end指定 acl 规则匹配报文的 UDP 或 TCP 的源端口，仅在报文协议是 UDP 或 TCP时生效。loging指定 acl 匹配的报文信息进行日志记录fragmen指定 acl 规则是否仅对非首片分片报文有效，当包含此参数时仅对非首片分片报文有效。但此参数不能同时与sour

30、ce-port、destination-port、icmp-type 、tcp-flag参数同时配置。ttl-expired指定 acl 是否依据数据报文中的ttl值是否为1 进行过滤。启用此命令表示过滤。5700SI 及以下版本不支持。举例：拒绝 192.168.1.0网段与主机 61.128.128.68进行 UDP 9090 通信Huawei-acl-adv-3002rule deny udp source 192.168.1.0 0.0.0.255 destination 61.128.128.68 0. destination-port eq 9090 3、二层 ACL规则配置二层

31、ACL编号 acl-number 的范围是 40004999。二层 acl 对源/ 目的 MAC 、802.1p 优先级、二层协议等二层信息进行过滤。Huawei-acl-L2-4000rule 1 ? deny Specify matched packet deny description Specify rule description permit Specify matched packet permit Huawei-acl-L2-4000rule 1 deny source-mac 1111-1111-1111 ? 802.3 802.3 format 8021p Vlan pri

32、ority H-H-H Source MAC address mask, default is ffff-ffff-ffff cvlan-8021p Vlan priority of inner vlan cvlan-id Inner vlan id destination-mac Destination-mac double-tag Double tag ether-ii Ethernet II format l2-protocol Layer 2 protocol snap Snap format time-range Specify a special time 名师资料总结 - - -

33、精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 26 页 - - - - - - - - - vlan-id Vlan id Huawei-acl-L2-4000rule 1 deny source-mac 1111-1111-1111 destination-mac ? H-H-H Destination MAC address value Huawei-acl-L2-4000rule 1 deny source-mac 1111-1111-1111 destination-mac 2222-

34、2222-2222 ? 802.3 802.3 format 8021p Vlan priority H-H-H Destination MAC address mask, default is ffff-ffff-ffff cvlan-8021p Vlan priority of inner vlan cvlan-id Inner vlan id double-tag Double tag ether-ii Ethernet II format l2-protocol Layer 2 protocol snap Snap format time-range Specify a special

35、 time vlan-id Vlan id 二层 acl 支持的常用功能二层 acl 支持的常用功能参数说明802.38021p 指定 acl 规则匹配报文的外层vlan 的 8021p优先级cvlan-8021p 指定 acl 规则匹配报文的内层vlan 的 8021p优先级cvlan-id cvlan-idcvlan-id-mask 指定 acl 规则匹配报文的内层vlan IDcvlan-id-mask ：指定内层 ID 值的掩码十六进制destination-mac 指定 acl 规则匹配报文的目的mac地址信息名师资料总结 - - -精品资料欢迎下载 - - - - - - - -

36、 - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 26 页 - - - - - - - - - double-tag 指定 acl 匹配报文时匹配带双层tag 的报文ether-ii 指定 acl 规则匹配报文的帧封装格式l2-protocol 指定 acl 规则匹配报文的链路层协议类型snap source-mac 指定 acl 规则匹配报文的源 mac地址信息time-range vlan-id指定 acl 规则匹配报文的内层vlan ID4、用户自定义 ACL规则配置用户自定义 ACL编号 acl-number 的范围是 50005999

37、。用户自定义 acl （简称 ucl ），可以根据用户自定义的规则对数据报文做出相应的处理。用户自定义 ACL支持的常用功能有用户自定义ACL支持的常用功能参数说明STRING ipv4-head 指定从 ipv4 头部开始偏移ipv6-head 从 ipv6 头部开始偏移l2-head 从报文的二层头部开始偏移l4-head 从四层协议头部开始偏移time-range Huawei-acl-user-5000rule 1 deny ? STRING Rule string, the string must be hexadecimal and start with 0 x ipv4-hea

38、d Offset from IP(v4) head ipv6-head Offset from IP(v6) head l2-head Offset from l2 head l4-head Offset from L4 head time-range Specify a special time 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 26 页 - - - - - - - - - 5、用户 ACL规则配置用户 ACL编号 acl-number 的范围是 600

39、06999。使用 IPv4 报文的源 IP 地址或源 UCL （User Control List）组、目的地址或目的 UCL组、IP 协议类型、 ICMP类型、 TCP源端口 / 目的端口、 UDP源端口/目的端口号等来定义规则。具体配置及参数同前。6、基本 ACL6规则配置Huaweiacl ipv6 ? INTEGER Specify a basic ACL6 INTEGER Specify an advanced ACL6 name Specify a named ACL6 number Specify a numbered ACL6 Huawei-acl6-basic-2000r

40、ule 1 ? deny Specify matched packet deny description Specify rule description permit Specify matched packet permit Huawei-acl6-basic-2000rule 1 deny ? fragment Check fragment packet logging Log matched packet source Specify source address time-range Specify a special time Huawei-acl6-basic-2000rule

41、1 deny source ? X:X:X:X IPv6 address X:X:X:X/M IPv6 source address with prefix any Any source IPv6 address Huawei-acl6-basic-2000rule 1 deny source any ? fragment Check fragment packet logging Log matched packet time-range Specify a special time 7、高级 ACL6规则配置名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - -

42、- - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 26 页 - - - - - - - - - Huaweiacl ipv6 3000 Huawei-acl6-adv-3000rule 1 ? deny Specify matched packet deny description Specify rule description permit Specify matched packet permit Huawei-acl6-adv-3000rule 1 ? deny Specify matched packet deny description S

43、pecify rule description permit Specify matched packet permit Huawei-acl6-adv-3000rule 1 deny ? Protocol number gre GRE tunneling(47) icmpv6 Internet Control Message Protocol6(58) ipv6 Any IPV6 protocol ospf OSPF routing protocol(89) tcp Transmission Control Protocol(6) udp User Datagram Protocol(17)

44、 ACL6相关知识将在后面的IPV6 专题详细讲解，敬请关注重庆网管博客。8、ACL资源告警阈值百分比设置Huawei acl threshold-alarm upper-limitupper-limit| lower-limitlower-limit*设备运行应用 ACL的业务后会占用一部分ACL资源，此时可以配置 ACL资源的告警阈值百分比。当 ACL资源的使用率（即设备上实际存在的ACL表项占设备支持的最大ACL表项总数的比例）等于或高于上限告警阈值百分比时，设备将会发出超限告警。之后，如果该比例又等于或小于下限告警阈值百分比，设备会再次发出告警，表明之前的超限告警情况已经恢复正常。9

45、、扩展 ACL表项空间资源模式设置display resource-assign configuration# 查看接口板扩展表项空间资源的配置信息。Huawei assign resource-modemode-idslotslot-id# 配置接口板扩展表项空间资源的分配模式，用来静态分配MAC 、ACL和 FIB 表项的底层空间大小。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 26 页 - - - - - - - - - Huawei assign acl-m

46、odemode-idslotslot-id# 配置接口板 ACL规格的资源分配模式。缺省情况下，扩展表项空间寄存器的资源模式为1，仅扩展 MAC 表项。与 ACL表项相关的分配模式包括：1、MACACL：表示同时扩展MAC 表项和二层 ACL表项。2、IPV4ACL ：表示同时扩展IPV4 的 IP 表项和 IPV4 的三层 ACL表项。3、IPV6ACL ：表示同时扩展IPV6 的 IP 表项和 IPV6 的三层 ACL表项。4、IPV4NAC ：表示同时扩展IPV4 的三层 ACL表项和 NAC 特性专用的 ACL表项。5、L2 ACL：表示扩展二层ACL表项。配置接口板扩展表项空间资源的

47、分配模式后，需要重启接口板才能生效。当设备处于核心层时，承载的业务量很大，自身的MAC 、FIB、ACL表项也会相应增加，但是设备的表项空间有限，当设备的表项空间满足不了设备的业务要求时，会降低业务的运行效率。设备接口板提供扩展表项空间寄存器，通过配置扩展表项空间资源的分配模式，可以选择性扩大MAC 、ACL和 FIB 表项的底层空间大小。三、 ACL应用配置1、Telnent 中应用 ACL配置Huaweitlnet server acl ?INTEGER 或Huawei-ui-vty0-4acl ?INTEGER Apply basic or advanced ACLipv6 Filte

48、r IPv6 addressesHuawei-ui-vty0-4acl 2000 ?inbound Filter login connections from the current user interfaceoutbound Filter logout connections from the current user interface2、http 中应用 acl 配置Huaweihttp acl ?INTEGER 3、SNMP （v1、v2）中应用 ACL配置Huaweisnmp-agent community write 1 acl ?INTEGER Apply basic ACL或

49、Huaweisnmp-agent acl ?4、FTP中应用 acl 配置名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 26 页 - - - - - - - - - Huaweiftp acl ?INTEGER Apply basic ACL5、TFTP中应用 ACL配置Huaweitftp-server acl ?INTEGER Apply basic ACL6、SFTP中应用 ACL配置Huaweissh server acl ?或Huawei-ui-vty0-4

50、acl ?INTEGER Apply basic or advanced ACLipv6 Filter IPv6 addressesHuawei-ui-vty0-4acl 2000 ?inbound Filter login connections from the current user interfaceoutbound Filter logout connections from the current user interface名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - -

文档加载中……请稍候！
如果长时间未打开，您也可以点击刷新试试。

下载文档到电脑，查找使用更方便

4.3 金币

版权申诉 word格式文档无特别注明外均可编辑修改；预览文档经过压缩，下载后原文更清晰！ 立即下载

配套讲稿：: 如PPT文件的首页显示word图标，表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
特殊限制：: 部分文档作品中含有的国旗、国徽等图片，仅作为作品整体效果示例展示，禁止商用。设计者仅对作品中独创性部分享有著作权。
关键词：: 2022年2022年华为ACL配置教程 2022 年华 ACL 配置教程

淘文阁 - 分享文档赚钱的网站所有资源均是用户自行上传分享，仅供网友学习交流，未经上传用户书面授权，请勿作他用。

限制150内

关于本文

本文标题：2022年2022年华为ACL配置教程 .pdf
链接地址：https://www.taowenge.com/p-27215163.html