2. 程式人生 > >華為ACL匹配規則

華為ACL匹配規則

阿新 發佈:2019-02-02
 華為3COM的ACL一直一來都比較麻煩,不同版本、不同型號的裝置都有些不同。下面我以3900裝置為例,說明ACL的配置和執行技巧。
總結一句話:rule排列規則和auto、config模式有關,而匹配順序則和ACL應用環境和下發到埠的循序有關。
規律說明:
1、ACL可以分為auto模式和config模式,auto模式根據最長匹配的原則排列rule的順序(可以通告dis acl all檢視rule的循序,出現4-2-3-0-1很正常)。config模式根據使用者配置循序排列rule的循序。也就是說auto和config只是 rule的排列順序有關,與匹配順序無關。
2、不管是auto模式還是config模式,當ACL應用於包過慮和QOS時,匹配循序是從下往上,但是應用於VTY 使用者過慮等責是從上往下匹配。
3、不管是auto模式還是config模式,ACL的匹配順序都是根據下發到埠的規則從下往上匹配。
4、在一個ACL裡同時有多條rule匹配,則按照最長匹配優先執行。

包過慮ACL舉例說明:
禁止10.10.10.145這臺PC上網
允許10.10.10.0/24網段上網
允許192.168.0.0/16網段上網
禁止所有IP
配置方法一:
配置ACL(需要嚴格按照配置順序配置)
acl num 3000 mach config
rule den ip
rule permit ip sour 192.168.0.0 0.0.255.255
rule permit ip sour 10.10.10.0 0.0.0.255
rule deny ip sour 10.10.10.145 0
下發ACL到埠
int e 1/0/1
pack in ip 3000
配置方法二:
配置ACL(配置循序隨便)
acl num 3001 mach auto
rule permit ip sour 10.10.10.0 0.0.0.255
rule den ip
rule deny ip sour 10.10.10.145 0
rule permit ip sour 192.168.0.0 0.0.255.255
下發ACL到埠
int e 1/0/2
pack in ip 3001 rule 0(必需先應用rule 0,否則全部都是禁止)
pack in ip 3001

配置輸出:
acl number 3000(排列順序為0-1-2-3,按配置順序排列)
rule 0 deny ip
rule 1 permit ip source 192.168.0.0 0.0.255.255
rule 2 permit ip source 10.10.10.0 0.0.0.255
rule 3 deny ip source 10.10.10.145 0
acl number 3001 match-order auto(排列順序為3-1-2-0,按掩碼排列)
rule 3 deny ip source 10.10.10.145 0
rule 1 permit ip source 10.10.10.0 0.0.0.255
rule 2 permit ip source 192.168.0.0 0.0.255.255
rule 0 deny ip
#
vlan 1
#
interface Aux1/0/0
#
interface Ethernet1/0/1(排列順序為0-1-2-3,和ACL順序一樣)
packet-filter inbound ip-group 3000 rule 0
packet-filter inbound ip-group 3000 rule 1
packet-filter inbound ip-group 3000 rule 2
packet-filter inbound ip-group 3000 rule 3
#
interface Ethernet1/0/2(排列順序為0-3-1-2,和ACL順序不一樣)
packet-filter inbound ip-group 3001 rule 0
packet-filter inbound ip-group 3001 rule 3
packet-filter inbound ip-group 3001 rule 1
packet-filter inbound ip-group 3001 rule 2
#
使用者限制過慮ACL和cisco一樣,從上往下執行,比較標準,不做說明。

另外付上不同交換機ACL執行說明:

Quidway S系列低端交換機絕大部分的裝置支援的ACL匹配規則為後下發先生效,其中包括S3000-EI系列、S3526E系列、S3900系列、S5000系列以及S5600系列;還有一部分裝置支援的ACL匹配規則為先下發先生效,如S3552系列和S5100-EI系列。此外,S3526系列交換機支援的 ACL匹配順序是深度優先,最小地址範圍的rule優先生效。
H3C系列低端乙太網交換機,S3600和S5600支援的ACL匹配順序為後下發先生效,S5100-EI系列交換機支援的ACL匹配順序為先下發先生效。

PS:先後看口下面的rule順序

相關推薦

ACL匹配規則

 華為3COM的ACL一直一來都比較麻煩,不同版本、不同型號的裝置都有些不同。下面我以3900裝置為例,說明ACL的配置和執行技巧。總結一句話:rule排列規則和auto、config模式有關,而匹配順序則和ACL應用環境和下發到埠的循序有關。規律說明:1、ACL可以分為au

    ACL 網絡安全

華為acl網絡安全 華為ACL網絡安全 一. 1.物理層安全 墻上的不同的網線接口 連接交換機的端口關系; 2.數據鏈路層安全 ADSL撥號賬號和密碼 mac地址綁定 交換機端口連接計算機數量創建vlan; 3.網絡層安全 基於源IP地址 目標IP地址控制; 4.傳輸層

-ACL訪問控制列表

華為 ACL 高級ACL 基本ACL ACL:access list 訪問控制列表 acl 兩種:基本acl(2000-2999):只能匹配源ip地址。 高級acl(3000-3999):可以匹配源ip、目標ip、源端口、目標端口等三層和四層的字段。 四個註意事項:註1:一個接口的同一個方

ACL控制協議實現流量控制

流量控制 ping 界面 ima lte bound des 利用 登錄密碼 一、網絡拓撲:二、實驗內容:實現ACL控制流量的相關操作三、實驗步驟:1、新建拓撲,添加三臺路由器,兩臺PC機,並連線。 2、按照下圖配置相關節點的IP地址,利用RIP協議配置路由器之間的動態路由

ACL(訪問控制列表)實驗

SW1配置 # sysname SW1 # vlan batch 11 to 13 100 # cluster enable ntdp enable ndp enable # drop illegal-mac alarm # diffserv doma

acl訪問控制列表基本使用

訪問控制列表在企業當中特別常用,本文我們就來了解下華為訪問控制列表ACL基本使用,入下圖所示: 路由器R1基本配置如下: [R1]interface g0/0/1[R1-GigabitEthernet0/0/1]ip address 192.168.1.254 24[R1]interface g0/0

機試-字符串匹配

輸入 scanner i++ -m 實現 ret 字符 als num 題目描述 題目標題: 判斷短字符串中的所有字符是否在長字符串中全部出現 詳細描述: 接口說明 原型: boolIsAllCharExist(char* pShortString,char* pLo

交換機配置ACL詳細步驟

交換機 acl 華為 s5700ACL 介紹#2000-2999普通ACL,根據源IP過濾#3000-3999高級ACL,根據源目的端口和源目的地址等過濾#4000-4999二層ACL,根據源目的MAC等過濾配置舉例: 拒絕交換機中的XX地址訪問XX地址(rule 0 - 4)acl number 3001#

配置ACL

重新 spa 命名acl 條目 rule 數字 連通性 onf play 實驗: 實驗1: pc1 pc2不同 其他全通:思路及步驟: 1.首先保證全網互

DHCP、ACL、RIP、獨臂路由匯總小實驗

版本 .com 創建vlan config http 路由 修改 bsp con 實驗拓撲圖如下:實驗要求: 1、全網使用RIP技術互通 2、計算機地址由DHCP分發 3、PC4和PC5之間不能互通 4

HCNA】訪問控制列表ACL實例配置

華為訪問控制列表ACL案例配置 華為ACL訪問控制列表實例配置 華為ACL應用 ACL訪問控制列表 ACL應用場景 【華為HCNA】訪問控制列表ACL實例配置 ACL的概念訪問控制列表ACL(Access Control List)可以定義一系列不同的規則,設備根據這些規則對數據包進行分類

借AI穿透萬物:P20與AI攝影大師改變的遊戲規則

華為P20華為P20發布之後,第一個刷屏的事件,就是DxOMark居然被“屠榜”了。本來我們以為手機行業今年的任務是DxO達到100分,結果沒想到才開年不久相機評分就被華為P20 Pro刷到了114……當然,在刷榜的碾壓局背後其實有更多值得我們關註的東西。比如DxOMark在評測報告的結尾中是這樣寫的:“P2

3-防火墻:公共地址集、安全策略匹配順序

-m -o cef water splay 優先 實驗 inter sort 一、實驗拓撲:二、實驗要求: 三、命令部署:1、手工調整策略之間的優先級:[SRG-policy-interzone-trust-untrust-outbound]policy 0[SRG-pol

系列交換機命名規則

設備安裝 cells 規則 com top 類型 雙絞線 系列 交流 S1700系列 S1720-28GWR-4P PWR AC S 1720 28 G W R 4 P PWR AC A B C D E

BGP、思科選路規則

選路規則 華為BGP選路規則 思科BGP選路規則 第0條 下一跳是否可達,如果不可達則不參與選路 BGP 向IBGP對等體釋出import引入的IGP路由時, 將下一跳屬性改為自身的介面地址,而非IGP中的下一跳地址。

高階acl訪問控制列表的基本使用

本文我為大家介紹華為高階acl的基本使用。 實驗要求: 1)允許Client1訪問Server1的Web服務;2)允許Client1訪問網路192.168.2.0/24;3)禁止Client1訪問其它網路;4)只執行R4遠端訪問路由器R3。 實驗拓撲圖如下: 首先我們Client1、Server1、

高級acl訪問控制列表的基本使用

應用 type 拓撲 ffi cli ddr tina RoCE -a 本文我為大家介紹華為高級acl的基本使用。 實驗要求: 1)允許Client1訪問Server1的Web服務;2)允許Client1訪問網絡192.168.2.0/24;3)禁止Client1訪問其它網

上機練習題--括號匹配檢測

題目: 輸入一串字串。當中有普通的字元與括號組成(包含‘(’、‘)’、‘[’,']'),要求驗證括號是否匹配。假設匹配則輸出0、否則輸出1.         Smple input:dfa(s

路由交換課程筆記14-ACL

一、簡介 1、ACL(Access Control List)訪問控制列表可以定義一系列不同的規則,裝置根據這些規則對資料包進行分類,並針對不同型別的報文進行不同的處理,從而實現對網路訪問行為的控制、限制網路流量、提高網路效能、防止網路攻擊等待。   2、ACL可以通過定

路由交換由ACL 的應用

1 ACL 概述 隨著網路規模的擴大和流量的增加,對網路安全的控制和對頻寬的分配成為網路管理的重要內容。通過對報文進行過濾,可以有效防止非法使用者對網路的訪問,同時也可以控制流量,節約網路資源。ACL(Access Control List,訪問控制列表)即是通過配置對報文的匹配規則和處理操