标签：0.0 rule acl Huawei 交换机 3000 ip

创建高级规则

ACL  #范围为2000～2999  可使用IPv4报文的源IP地址、分片标记和时间段信息来定义规则
ACL  #范围为3000～3999  既可使用IPv4报文的源IP地址，也可使用目的地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则
二层ACL  #范围为4000～4999  可根据报文的以太网帧头信息来定义规则，如根据源MAC（Media Access Control）地址、目的MAC地址、以太帧协议类型等
自定义ACL  范围为5000～5999  #可根据偏移位置和偏移量从报文中提取出一段内容进行匹配

一个ACL可以由多条“deny | permit”语句组成，每一条语句描述一条规则，设备支持两种匹配顺序，即配置顺序（config）和自动排序（auto）。默认采用配置顺序进行配置，也就是按照配置rule的先后顺序进行匹配。也可以采用命令match-order { auto | config }来修改。
auto：匹配规则时系统自动排序（按“深度优先”的顺序）。
若“深度优先”的顺序相同，则匹配规则时按rule-id由小到大的顺序。深度优先的原则，可以参考产品手册的“配置”-“安全配置”-“ACL配置”-原理描述”-“ACL的匹配顺序”，手册中有比较详细的介绍。

config：匹配规则时按用户的配置顺序进行匹配。若用户指定了rule-id，则匹配规则时，按rule-id由小到大的顺序。
-------------------------------------------------------------------------------------------------------------------------
dis acl  all 查看全部规则
dis acl 3000  查看3000得规则
规则可以添加 不能修改，

acl 3000     创建规则

rule 5 deny ip source 168.168.1.0 0.0.0.255 destination 168.168.5.0 0.0.0.255   

在vlan对应的接口下挂接acl
int g0/0/1    进入接口

traffic-filter inbound acl 3000     挂载 规则

------------------------------------------------------------------------------------------------------------
方法1：通过vlan ACL 包过滤 （这个最简单）   rule 5  是以5为步长进行编号
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
                                                           源                                            目的
[Huawei-acl-adv-3000]rule 100 permit ip
[Huawei-acl-adv-3000]quit
[Huawei]traffic-filter vlan 10 inbound acl 3000      #相当于H3C在接口上启用包过滤，注意方向，我配置的是in方向。
----------------------------------------------------------------------------------------------------------------------------
规则整理
[Switch_4] acl 3000
[Switch_4-acl-adv-3000] rule 5 deny ip destination 168.168.2.0 0.0.0.255
[Switch_4-acl-adv-3000] rule 10 deny ip destination 168.168.3.0 0.0.0.255
[Switch_4-acl-adv-3000] quit

-------------------------------------------------------------------------------------------------------------
直接全部阻止
[Huawei]acl 3001
[Huawei-acl-adv-3001]rule 5 deny ip destination 0.0.0.0 255.255.255.255      阻止任何地址  等于  rule 5 deny ip
[Huawei-acl-adv-3001]quit 

优化后
 rule 5 permit ip destination 168.168.2.0 0.0.0.255   允许这个网段通过   
 rule 10 deny ip        其他得都阻止
---------------------------------------------------------------------------------------------------------------------


#创建高级acl
acl number 3001
rule 5 permit tcp source 192.168.21.11 0 destination 192.168.21.100 0 destination-port eq www
rule 10 deny icmp source 192.168.21.11 0 destination 192.168.21.100 0
 
#在接口的上应用acl
interface GigabitEthernet0/0/2
traffic-filter inbound acl 300



拒绝168.168.1.0网段 访问168.168.5.0网段
rule 5 deny ip source 168.168.5.0 0.0.0.255 destination 168.168.1.0 0.0.0.255


进入接口模式     直接应用规 对  inbound 进入得方向 进行使用规则
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]traffic-filter inbound acl 3000
[Huawei-GigabitEthernet0/0/2]quit 

标签：0.0,rule,acl,Huawei,交换机,3000,ip
来源： https://www.cnblogs.com/zhaolyjob/p/15714322.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。