华为-ACL配置教学教材.doc-得力文库

资源描述

《华为-ACL配置教学教材.doc》由会员分享，可在线阅读，更多相关《华为-ACL配置教学教材.doc（26页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、#*华为 ACL 配置教程一、一、ACLACL 基本配置基本配置1 1、ACLACL 规则生效时间段配置规则生效时间段配置（需要先配置设备的时间，建议用 ntp 同步时间）某些引用 ACL 的业务或功能需要限制在一定的时间范围内生效，比如，在流量高峰期时启动设备的 QoS 功能。用户可以为 ACL 创建生效时间段，通过在规则中引用时间段信息限制 ACL 生效的时间范围，从而达到该业务或功能在一定的时间范围内生效的目的。 Huaweitime-range test ?Starting timefrom The beginning point of the time rangeHuawei

2、time-range test 8:00 ?to The ending point of periodic time-rangeHuaweitime-range test 8:00 t Huaweitime-range test 8:00 to ?Ending TimeHuaweitime-range test 8:00 to 18:05 ?Day of the week(0 is Sunday)Fri Friday #星期五Mon Monday #星期一Sat Saturday #星期六Sun Sunday #星期天Thu Thursday # 星期四Tue Tuesday # 星期二Wed

3、 Wednesday #星期三daily Every day of the week # 每天off-day Saturday and Sunday # 星期六和星期日working-day Monday to Friday #工作日每一天Huaweitime-range test from 8:00 2016/1/17 to 18:00 2016/11/17使用同一 time-name 可以配置多条不同的时间段，以达到这样的效果：各周期时间段之间以及各绝对时间段之间分别取并集之后，再取二者的交集作为最终生效的时间范围。例如，时间段“test”配置了三个生效时段：从 2016 年 1

4、月 1 日 00:00 起到 2016 年 12 月 31 日 23:59 生效，这是一个绝对时间段。在周一到周五每天 8:00 到 18:00 生效，这是一个周期时间段。#*在周六、周日下午 14:00 到 18:00 生效，这是一个周期时间段。则时间段“test”最终描述的时间范围为：2016 年的周一到周五每天 8:00 到 18:00 以及周六和周日下午 14:00 到 18:00。由于网络延迟等原因，可能造成网络上设备时间不同步，建议配置 NTP（Network Time Protocol），以保证网络上时间的一致。2 2、ACLACL 类型配置类型配置 2.1、数字型 ac

5、l 配置 Huaweiacl 2000 match-order ?auto Auto order #自动顺序（默认）config Config order 或 Huaweiacl number 2000 match-order ?auto Auto orderconfig Config order2.2、命名型 acl 配置 Huaweiacl name test ?advance Specify an advanced named ACL # 设置高级 aclbasic Specify a basic named ACLmatch-order Set ACLs match ordernumb

6、er Specify a number for the named ACLHuaweiacl name test ad Huaweiacl name test advance ?match-order Set ACLs match ordernumber Specify a number for the named ACLHuaweiacl name test number ?INTEGER Number of the basic named ACLINTEGER Number of the advanced named ACL2.3、ACL 类型配置 Huaweiacl ?INTEGER I

7、nterface access-list(add to current using rules) # 接口访问列表 aclINTEGER Apply MPLS ACL # 应用 MPLS ACLINTEGER Basic access-list (add to current using rules) # 基本 aclINTEGER Advanced access-list(add to current using rules) # 高级 acl#*INTEGER MAC address access-list(add to current using rules) # 二层 aclipv6

8、ACL IPv6 # 基本 acl6 和高级 acl6 配置name Specify a named ACLnumber Specify a numbered ACL2.4、ACL 描述设置（可选） Huawei-acl-basic-2600description ?TEXT 2.5、ACL 步长设置（可选） Huawei-acl-basic-teststep ?INTEGER Specify value of step二、二、ACLACL 类型规则配置类型规则配置1 1、基本、基本 ACLACL 规则配置规则配置基本 ACL 编号 acl-number 的范围是 20002999。基本

9、ACL 可以根据报文自身的源源 IPIP 地址、分片标记和时间段信息地址、分片标记和时间段信息对 IPv4 报文进行分类。 Huawei-acl-basic-testrule 1 ?deny Specify matched packet denypermit Specify matched packet permitHuawei-acl-basic-testrule 1 deny ?fragment-type Specify the fragment type of packet # 分组片段类型source Specify source addresstime-range Specify a

10、 special timevpn-instance Specify a VPN-InstanceHuawei-acl-basic-testrule 1 deny source ?X.X.X.X Address of sourceany Any sourceHuawei-acl-basic-testrule 1 deny source 192.168.1.1 ?0 Wildcard bits : 0.0.0.0 ( a host )X.X.X.X Wildcard of sourceHuawei-acl-basic-testrule 1 deny source 192.168.1.1 0 ?fr

11、agment-type Specify the fragment type of packet # 对分组片段类型有效#*time-range Specify a special time # 引用生效时间vpn-instance Specify a VPN-Instance # 用于 vpnHuawei-acl-basic-2600description ? #配置规则描述TEXT ACL description (no more than 127 characters)在 ACL 中配置首条规则时，如果未指定参数 rule-id，设备使用步长值作为规则的起始编号。后续配置规则如仍未指定

12、参数 rule-id，设备则使用最后一个规则的 rule-id 的下一个步长的整数倍数值作为规则编号。例如 ACL 中包含规则 rule 5 和 rule 7，ACL 的步长为 5，则系统分配给新配置的未指定 rule-id 的规则的编号为 10。当用户指定参数 time-range 引入 ACL 规则生效时间段时，如果 time-name 不存在，该规则将无法绑定该生效时间段。如果不指定参数 vpn-instance vpn-instance-name，设备会对公网和私网的报文均进行匹配。设备在收到报文时，会按照匹配顺序将报文与 ACL 规则进行逐条匹配，一旦匹配上规则组内的

13、某条规则，则停止匹配动作。之后，设备将依据匹配的规则对报文执行相应的动作。 2 2、高级、高级 ACLACL 规则配置规则配置高级 ACL 编号 acl-number 的范围是 30003999。高级 acl 主要对源对源/ /目的目的 IPIP 地址、端口号、优先级、时间段等报文进行过地址、端口号、优先级、时间段等报文进行过滤。滤。Huawei-acl-adv-3000rule 1 permit ?Protocol numbergre GRE tunneling(47)icmp Internet Control Message Protocol(1)igmp Internet Gro

14、up Management Protocol(2)ip Any IP protocolipinip IP in IP tunneling(4)ospf OSPF routing protocol(89)tcp Transmission Control Protocol (6)udp User Datagram Protocol (17)Huawei-acl-adv-3000rule 1 permit udp ?destination Specify destination addressdestination-port Specify destination portdscp Specify

15、dscpfragment-type Specify the fragment type of packetprecedence Specify precedencesource Specify source addresssource-port Specify source porttime-range Specify a special time#*tos Specify tosvpn-instance Specify a VPN-InstanceHuawei-acl-adv-3000rule 1 permit udp source ?X.X.X.X Address of sourceany

16、 Any sourceHuawei-acl-adv-3000rule 1 permit udp source any ?destination Specify destination addressdestination-port Specify destination portdscp Specify dscpfragment-type Specify the fragment type of packetprecedence Specify precedencesource-port Specify source porttime-range Specify a special timet

17、os Specify tosvpn-instance Specify a VPN-InstanceHuawei-acl-adv-3000rule 1 permit udp source any des Huawei-acl-adv-3000rule 1 permit udp source any destination ?X.X.X.X Specify destination addressany Any destination IP addressHuawei-acl-adv-3000rule 1 permit udp source any destination 192.168.1.1 ?

18、0 Wildcard bits : 0.0.0.0 ( a host )X.X.X.X Wildcard of destinationHuawei-acl-adv-3000rule 1 permit udp source any destination 192.168.1.1 0 ?destination-port Specify destination portdscp Specify dscpfragment-type Specify the fragment type of packetprecedence Specify precedencesource-port Specify so

19、urce porttime-range Specify a special timetos Specify tosvpn-instance Specify a VPN-InstanceHuawei-acl-adv-3000rule 1 permit udp source any destination 192.168.1.1 0 destination-port ?#*eq Equal to given port numbergt Greater than given port numberlt Less than given port numberneq Not equal to given

20、 port number # 不等于指定端口range Between two port numbersHuawei-acl-adv-3000rule 1 permit udp source any destination 192.168.1.1 0 destination-port eq ?Protocol numberbiff Mail notify (512)bootpc Bootstrap Protocol Client (68)bootps Bootstrap Protocol Server (67)discard Discard (9)dns Domain Name Service

21、 (53)dnsix DNSIX Security Attribute Token Map (90)echo Echo (7)mobilip-ag MobileIP-Agent (434)mobilip-mn MobilIP-MN (435)nameserver Host Name Server (42)netbios-dgm NETBIOS Datagram Service (138)netbios-ns NETBIOS Name Service (137)netbios-ssn NETBIOS Session Service (139)ntp Network Time Protocol (

22、123)rip Routing Information Protocol (520)snmp SNMP (161)snmptrap SNMPTRAP (162)sunrpc SUN Remote Procedure Call (111)syslog Syslog (514)tacacs-ds TACACS-Database Service (65)talk Talk (517)tftp Trivial File Transfer (69)time Time (37)who Who(513)xdmcp X Display Manager Control Protocol (177)Huawei-

23、acl-adv-3000rule 1 permit udp source any destination 192.168.1.1 0 destination-port eq 21 ?dscp Specify dscpfragment-type Specify the fragment type of packetprecedence Specify precedencesource-port Specify source porttime-range Specify a special timetos Specify tosvpn-instance Specify a VPN-Instance

24、#*高级 acl 可以匹配的功能有： 2.1、高级 acl 常用协议数值对照表协议类型数值ICMP1 IGMP2 IPinIP4 TCP6 UDP17 GRE47 IP OSPF892.2、高级 acl 常用功能说明参数说明deny拒绝符合条件的报文permit允许符合条件的报文 sour-addr sour-wildcard:源 ip 地址源通配符掩码sourcesour-addr sour- wildcard|any any：任意源 IP 地址 dest-addr dest-wildcaard：目的 IP 地址及通配符掩码destinationdest-addr dest- wi

25、ldcaard|any any：任意目的 IP 地址icmp-typeicmp-name|icmp-type icmp-code指定 acl 规则匹配报文的 icmp 报文的类型和消息码信息，仅在报文协议是 ICMP 的情况下有效precedence指定 acl 匹配报文时依据优先级优先级字段进行过滤。与 tos 参数一起共同构成 DSCP 组成的二选一参数。tos指定 acl 匹配报文时依据服务类型服务类型字段进行过滤。与 precedence 参数一起共同构成 DSCP 组成的二选一参数。dscp指定 acl 匹配报文时区分服务代码点，依据 IP 包中的 DSCPDSCP 优先级

26、优先级字段进行过滤。tcp-flag指定 acl 规则匹配 TCP 报文中的 SYN 标志的类型time-range指定 acl 规则生效时间段指定 acl 规则匹配报文的 UDP 或 TCP 的目的端口，仅在报文协议是 UDP 或 TCP 时生效。端口号可用名称或数字表示 eq port :指定等于目的端口destination-porteq prot|gt port|lt port|rage port-start port endgt port:指定大于目的端口#*lt port :指定小于目的端口 range port-start port-end:指定目的端口范围 start

27、为起始端口 end 为结束端口soure-porteq prot|gt port|lt port|rage port-start port end指定 acl 规则匹配报文的 UDP 或 TCP 的源端口，仅在报文协议是 UDP 或 TCP 时生效。loging指定 acl 匹配的报文信息进行日志记录fragmen指定 acl 规则是否仅对非首片分片报文非首片分片报文有效，当包含此参数时仅对非首片分片报文有效。但此参数不能同时与 source- port、destination-port、icmp-type、tcp- flag 参数同时配置。ttl-expired指定 acl 是否依据

28、数据报文中的 ttl 值是否为 1 进行过滤。启用此命令表示过滤。 5700SI 及以下版本不支持。举例：拒绝 192.168.1.0 网段与主机 61.128.128.68 进行 UDP 9090 通信 Huawei-acl-adv-3002rule deny udp source 192.168.1.0 0.0.0.255 destination 61.128.128.68 0. destination-port eq 9090 3 3、二层、二层 ACLACL 规则配置规则配置二层 ACL 编号 acl-number 的范围是 40004999。二层 acl 对源源/ /目的目的

29、 MACMAC、802.1p802.1p 优先级、二层协议等二层信息优先级、二层协议等二层信息进行过滤。Huawei-acl-L2-4000rule 1 ?deny Specify matched packet denydescription Specify rule descriptionpermit Specify matched packet permitHuawei-acl-L2-4000rule 1 deny source-mac 1111-1111-1111 ?802.3 802.3 format8021p Vlan priorityH-H-H Source MAC address

30、 mask, default is ffff-ffff-ffffcvlan-8021p Vlan priority of inner vlancvlan-id Inner vlan iddestination-mac Destination-macdouble-tag Double tagether-ii Ethernet II formatl2-protocol Layer 2 protocolsnap Snap formattime-range Specify a special timevlan-id Vlan idHuawei-acl-L2-4000rule 1 deny source

31、-mac 1111-1111-1111 destination-mac ?#*H-H-H Destination MAC address valueHuawei-acl-L2-4000rule 1 deny source-mac 1111-1111-1111 destination-mac 2222-2222-2222 ?802.3 802.3 format8021p Vlan priorityH-H-H Destination MAC address mask, default is ffff-ffff- ffffcvlan-8021p Vlan priority of inner vlan

32、cvlan-id Inner vlan iddouble-tag Double tagether-ii Ethernet II formatl2-protocol Layer 2 protocolsnap Snap formattime-range Specify a special timevlan-id Vlan id二层 acl 支持的常用功能二层 acl 支持的常用功能参数说明802.3 8021p 指定 acl 规则匹配报文的外层 vlan 的 8021p 优先级cvlan-8021p 指定 acl 规则匹配报文的内层 vlan 的 8021p 优先级指定 acl 规则

33、匹配报文的内层 vlan IDcvlan-id cvlan-idcvlan-id-mask cvlan-id-mask：指定内层 ID 值的掩码十六进制destination-mac 指定 acl 规则匹配报文的目的 mac 地址信息double-tag 指定 acl 匹配报文时匹配带双层 tag 的报文ether-ii 指定 acl 规则匹配报文的帧封装#*格式l2-protocol 指定 acl 规则匹配报文的链路层协议类型snap source-mac 指定 acl 规则匹配报文的源 mac 地址信息time-range vlan-id指定 acl 规则匹配报文的内

34、层 vlan ID4 4、用户自定义、用户自定义 ACLACL 规则配置规则配置用户自定义 ACL 编号 acl-number 的范围是 50005999。用户自定义 acl（简称 uclucl），可以根据用户自定义的规则对数据报文数据报文做出相应的处理。用户自定义 ACL 支持的常用功能有用户自定义 ACL 支持的常用功能参数说明STRING ipv4-head 指定从 ipv4 头部开始偏移ipv6-head 从 ipv6 头部开始偏移l2-head 从报文的二层头部开始偏移l4-head 从四层协议头部开始偏移time-range Huawei-acl-user-5000

35、rule 1 deny ?STRING Rule string, the string must be hexadecimal and start with 0xipv4-head Offset from IP(v4) headipv6-head Offset from IP(v6) headl2-head Offset from l2 headl4-head Offset from L4 headtime-range Specify a special time5 5、用户、用户 ACLACL 规则配置规则配置用户 ACL 编号 acl-number 的范围是 60006999。#*使用

36、IPv4 报文的源源 IPIP 地址或源地址或源 UCLUCL（UserUser ControlControl ListList）组、目的地址）组、目的地址或目的或目的 UCLUCL 组、组、IPIP 协议类型、协议类型、ICMPICMP 类型、类型、TCPTCP 源端口源端口/ /目的端口、目的端口、UDPUDP 源端口源端口/ / 目的端口号目的端口号等来定义规则。具体配置及参数同前。6 6、基本、基本 ACL6ACL6 规则配置规则配置 Huaweiacl ipv6 ?INTEGER Specify a basic ACL6INTEGER Specify an advanced ACL

37、6name Specify a named ACL6number Specify a numbered ACL6Huawei-acl6-basic-2000rule 1 ?deny Specify matched packet denydescription Specify rule descriptionpermit Specify matched packet permitHuawei-acl6-basic-2000rule 1 deny ?fragment Check fragment packetlogging Log matched packetsource Specify sour

38、ce addresstime-range Specify a special timeHuawei-acl6-basic-2000rule 1 deny source ?X:X:X:X IPv6 addressX:X:X:X/M IPv6 source address with prefixany Any source IPv6 addressHuawei-acl6-basic-2000rule 1 deny source any ?fragment Check fragment packetlogging Log matched packettime-range Specify a spec

39、ial time7 7、高级、高级 ACL6ACL6 规则配置规则配置 Huaweiacl ipv6 3000 Huawei-acl6-adv-3000rule 1 ?deny Specify matched packet denydescription Specify rule descriptionpermit Specify matched packet permit#*Huawei-acl6-adv-3000rule 1 ?deny Specify matched packet denydescription Specify rule descriptionpermit Specify

40、 matched packet permitHuawei-acl6-adv-3000rule 1 deny ?Protocol numbergre GRE tunneling(47)icmpv6 Internet Control Message Protocol6(58)ipv6 Any IPV6 protocolospf OSPF routing protocol(89)tcp Transmission Control Protocol(6)udp User Datagram Protocol(17)ACL6 相关知识将在后面的 IPV6 专题详细讲解，敬请关注重庆网管博客。8 8、ACLA

41、CL 资源告警阈值百分比设置资源告警阈值百分比设置 Huawei aclacl threshold-alarmthreshold-alarm upper-limitupper-limit upper-limit | lower-lower- limitlimit lower-limit *设备运行应用 ACL 的业务后会占用一部分 ACL 资源，此时可以配置 ACL 资源的告警阈值百分比。当 ACL 资源的使用率（即设备上实际存在的 ACL 表项占设备支持的最大 ACL 表项总数的比例）等于或高于上限告警阈值百分比时，设备将会发出超限告警。之后，如果该比例又等于或小于下限告警阈值百分比，

42、设备会再次发出告警，表明之前的超限告警情况已经恢复正常。9 9、扩展、扩展 ACLACL 表项空间资源模式设置表项空间资源模式设置 displaydisplay resource-assignresource-assign configurationconfiguration # 查看接口板扩展表项空间资源的配置信息。Huawei assignassign resource-moderesource-mode mode-id slotslot slot-id # 配置接口板扩展表项空间资源的分配模式，用来静态分配 MAC、ACL 和 FIB 表项的底层空间大小。Huawei assigna

43、ssign acl-modeacl-mode mode-id slotslot slot-id # 配置接口板 ACL 规格的资源分配模式。缺省情况下，扩展表项空间寄存器的资源模式为 1，仅扩展 MAC 表项。与 ACL 表项相关的分配模式包括： 1、MACACL：表示同时扩展 MAC 表项和二层 ACL 表项。#*2、IPV4ACL：表示同时扩展 IPV4 的 IP 表项和 IPV4 的三层 ACL 表项。 3、IPV6ACL：表示同时扩展 IPV6 的 IP 表项和 IPV6 的三层 ACL 表项。 4、IPV4NAC：表示同时扩展 IPV4 的三层 ACL 表项和 NAC 特性专用的

44、ACL 表项。 5、L2 ACL：表示扩展二层 ACL 表项。配置接口板扩展表项空间资源的分配模式后，需要重启接口板才能生效。当设备处于核心层时，承载的业务量很大，自身的 MAC、FIB、ACL 表项也会相应增加，但是设备的表项空间有限，当设备的表项空间满足不了设备的业务要求时，会降低业务的运行效率。设备接口板提供扩展表项空间寄存器，通过配置扩展表项空间资源的分配模式，可以选择性扩大 MAC、ACL 和 FIB 表项的底层空间大小。三、ACL 应用配置1 1、TelnentTelnent 中应用中应用 ACLACL 配置配置 Huaweitlnet server acl ?INT

45、EGER 或 Huawei-ui-vty0-4acl ?INTEGER Apply basic or advanced ACLipv6 Filter IPv6 addressesHuawei-ui-vty0-4acl 2000 ?inbound Filter login connections from the current user interfaceoutbound Filter logout connections from the current user interface2 2、httphttp 中应用中应用 aclacl 配置配置 Huaweihttp acl ?INTEGER 3 3、SNMPSNMP（v1v1、v2v2）中应用）中应用 ACLACL 配置配置 Huaweisnmp-agent community write 1 acl ?INTEGER Apply basic ACL 或 Huaweisnmp-agent acl ?4 4、FTPFTP 中应用中应用 aclacl 配置配置 Huaweiftp acl ?INTEGER Apply basic ACL5 5、TFTPTFTP

展开阅读全文