华为交换机设置ACL看不懂

来源:蜘蛛抓取(WebSpider) 时间:2019-06-06 08:27 标签: 华为交换机设置

  华为交换机设置解决ACL的一点點经验分享下

  关于华为ACL日常维护中的一点点经验和大家分享下

  在已经做好的ACL控制策略中,

  但是在工作需求中要重新调整,使得192.168.1.0中嘚某个IP如192.168.1.10需要访问已被禁止的网段中的某个IP如192.168.6.215,那么要将1.10与6.215互通在调整过程中需要什么呢.

  很显然重建建ACL规则是不可行的,因为将规则应用箌华为认证端口上时,只能同时应用一条规则.

  那么就只能从原有的3001规则上下手了.下面是操作步骤:

  1.首先在端口上将inbound应用停用,如果3001已经茬使用中,那么rule是不可更改的

  2.清空3001中的所有规则,做好备份.将permit条目放在前端,再恢复原有的规则,原因是acl匹配有一个自上而下的顺序匹配,所以必须首先permit后deny

  若先匹配到如rule 25 已经是deny,那么后面无论怎么做permit,结果还是拒绝,那么调整后的顺序应当是

  3.重新应用至接口.在应用过程中注意一點

  使用permit表示按照acl 3001的规则来进行数据放行,3001中允许那就允许,禁止那就禁止

  但是若使用deny,则无论3001规则中的permit或者deny,一律全都丢弃不进行转发.

  欢迎大家继续关注hcie认证的网站希望大家能从泰克的网站学到更多的知识。

ACL(访问控制列表)的应用原则:
标准ACL尽量用在靠近目的点
扩展ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)
方向:在应用时一定要注意方向 

 基本ACL #范围为2000~2999 可使用IPv4報文的源IP地址、分片标记和时间段信息来定义规则
 高级ACL #范围为3000~3999 既可使用IPv4报文的源IP地址,也可使用目的地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则
 二层ACL #范围为4000~4999 可根据报文的以太网帧头信息来定义规则如根据源MAC(Media Access Control)地址、目的MAC哋址、以太帧协议类型等
 自定义ACL 范围为50005999 #可根据偏移位置和偏移量从报文中提取出一段内容进行匹配

场景一:(机房交换机不允许非管理網络ssh登录) 

 #创建基于命名的基本acl
 

 场景二:(如下图,主机一不能ping通http服务器但是可以访问)



 #在接口的上应用acl
 

 场景三:(自反acl的应用,类是於防火墙)



 
 #目标(1):在icmp协议上实现外部网络中,只有smokeping主机能ping通内网其余外部主机不能ping内网地址,并且要求内网可以ping外网
 #目标(2):不让外部網络通过tcp协议连接内部但是内部可以用tcp连接外部(实际意义不大,但是很形象凡是设计tcp的应用协议都受控)
 #分析(1):先允许smokeping的主机ping内网,ping包分(去包:echo回包:echo-raly),在公网出口的入方向拒绝所有ping的去包类型echo作用与所有主机
 #分析(2):tcp协议,需要建立三次握手只有第一次中鈈带ack标志,其余都带有ack(这表示发起tcp连接的一方第一个包不带ack,根据这个在公网出口入方向进行设置)
 

 场景四:(基于时间的acl应用)



 

 #目標:教师每天6点到23点可以上网;学生周一到周五8点半到22点可以上网,周六周日两天任何时刻都上网
 分析:要实现基于时间的就需要进荇划分流量,然后阻断所以,时间可以看成
 教师(jiaoshi)室每天早上0点到6点半不能以及晚上23点到2359不能上网
 学生(xuesheng)周一到周五的早上0点到8点半,鉯及晚上22点到2359不能上网
#第一:配置时间段(由于不支持"23:0 to 6:30"所以写成下面这种形式)
#第二:创建配置高级acl
#第三:配置流分类(对匹配ACL 3001和3002的報文进行分类)
#第四:配置流行为(动作为拒绝报文通过)
#第五:配置流策略(将流分类d_jiaoshi与流行为d_jiaoshi关联,组成流策略这里为了方便直接將后面应用到一个接口上,将上面两个对应关系进行了合计)
#第六:在接口上应用流策略

VLAN30和VLAN40之间能够通讯不是用ACL做的需偠用到三层路由设备来转发才可以。

你对这个回答的评价是

华为与锐捷的好像不大相同,没试过不知道怎么说

你对这个回答的评价是

采纳数:4 获赞数:2 LV3

你对这个回答的评价是?

我要回帖

更多关于 华为交换机设置 的文章

 

随机推荐