① 在華為路由器中根據acl規則功能的不同,acl被劃分為哪幾種類型
基於ACL規則定義方式,可以將ACL分為基本ACL、高級ACL、二層ACL等種類。基本ACL根據源IP地址、分片信息和生效時間段等信息來定義規則,對IPv4報文進行過濾。如果只需要根據源IP地址對報文進行過濾,可以配置基本ACL。
基本acl 2000~2999 可以對源ip限制
高級acl 3000~3999 可以對源ip,目標ip,協議,埠限制
② 華為路由器裡面的5種過濾器詳解 跪求啊!!!
這些都是不同命令行里的參數。
prefix-list:IP前綴列表。
# 定義if-match子句,設置匹配相關的IPv6路由信息。
<HUAWEI> system-view
[HUAWEI] route-policy policy permit node 10
[HUAWEI-route-policy] if-match ipv6 address prefix-list p1
[HUAWEI-route-policy] if-match ipv6 next-hop prefix-list p1
[HUAWEI-route-policy] if-match ipv6 route-source prefix-list p1
as-path-filter xxx:指定匹配的AS路徑過濾器號。
# 創建序號為2的AS路徑過濾器,允許AS路徑中包含20的路由通過。
<HUAWEI> system-view[HUAWEI] ip as-path-filter 2 permit [ 20 ]
# 查看AS路徑屬性中包含65420的所有BGP VPNv6路由信息。
<HUAWEI> system-view
[HUAWEI] ip as-path-filter 1 permit 65420*
[HUAWEI] display bgp vpnv6 all routing-table as-path-filter 1
community-filter:用來顯示匹配指定的BGP團體屬性過濾器的路由信息。
# 查看本端指定團體列表的所有BGP VPNv6路由信息。
<HUAWEI> system-view
[HUAWEI] ip community-filter 1 permit internet
[HUAWEI] display bgp vpnv6 all routing-table community-filter 1 whole-match
route-policy xxx:指定路由策略名稱
顯示名為policy1的Route-Policy信息。
<HUAWEI> display route-policy policy1
③ 華為acl配置基本和高級訪問
訪問控制列表ACL(Access Control List)是由一系列規則組成的集合,ACL通過這些規則對報文進行分類,從而使設備可以對不同類報文進行不同的處理。
高級ACL:
表示方式:ID,取值控制為:3000~3999
可以同時匹配數據包的源IP地址、目標IP地址、協議、源埠、目標埠;
匹配數據更加的精確
拓撲圖:
步驟:
1.基本配置:
如拓撲圖和配置圖所示,完成各個物理設備和介面的配置,並測試連通性:
2.搭建OSPF網路:
僅以R1為例,其他同理:
[R1]ospf
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
1
2
3
4
1
2
3
4
配置完成後,查看R1的ospf路由條目:
可以看到,R1已經學習到了所有路由信息。
3.配置Telnet:
[R4]user-interface vty 0 4
[R4-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):huawei
1
2
3
1
2
3
用1.1.1.1嘗試登陸R4的兩個環回介面:
均登陸成功過,可以得知,只要擁有Telnet的密碼均可以成功登陸到R4上。
4.配置高級ACL訪問控制:
我們的目標是R1的環回介面只能通過R4的4.4.4.4介面訪問Telnet,不能通過40.40.40.40訪問。基本ACL只能控制源地址因此不能完成此任務,高級ACL不僅能控制源地址,還能控制目的地址,可以完成此任務:
[R4]acl 3000
[R4-acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 4.4.4.4 0
1
2
1
2
查看ACL配置信息:
接著,使用vty進行acl的調用:
[R4]user-interface vty 0 4
[R4-ui-vty0-4]acl 3000 inbound
1
2
1
2
配置完成後,再使用1.1.1.1訪問40.40.40.40:
可以看到,配置已生效,1.1.1.1不能通過40.40.40.40訪問Telnet。
④ 華為交換機高級acl最後不用放行所有流量嗎
設置 rule 5 permit ip so 192.168.1.2 0.0.0.0 destination 192.168.2.1 0.0.0.0
rule 10 permit ip so 192.168.1.3 0.0.0.0 destination 192.168.2.1 0.0.0.0
rule 15 deny ip so 192.168.1.0 0.0.0.255 destination 192.168.2.1 0.0.0.0
即
⑤ 華為交換機acl過濾 ip
acl ***
rule 1 permit 10.0.20.0 0.0.0.255 destination any
rule 2 permit 10.0.21.0 0.0.255 destination any
rule 10 deny any
然後再在介面回下答
firewall intbound acl ***
⑥ 請問華為的安全問題中,acl命令packet filter和traffic filter這兩個過濾有什麼
s3100si系列不支持acl下發到埠。你只能下發到user-interface的訪問介面下。你可以在s3100的上一層核心設備上下發到連接31的埠。中心需是三層設備,否則也是不支持的。
⑦ 求華為 acl 配置詳解
acl number 3111 創建acl 高級訪問控制列表3111
rule 1 permit ip source 172.16.1.0 0.0.0.255
定義小規則1 允許 源ip為172.16.1.0/24(255.255.255.0)的網段訪問目標地址為any(所有的ip)地址
acl number 3112 創建acl高級訪問控制列表3112
rule 0 permit ip source 172.16.1.200 0
同上
定義小規則0允許源172.16.1.200/32(255.255.255.255)這一個主機訪問目標為any的地址
acl number 3113 定義3113規則
rule 0 permit ip
小規則0允許源ip地址為any(所有)到目標地址為any地址。
#
acl name lan 創建acl為名字的規則,規則名為lan
rule 0 permit
小規則0允許源ip地址為any(所有)到目標地址為any地址。
#
intterface Aux0 非同步埠、為系統默認。一般無用。
async mobe flow
2000-2999 的acl規則為標准acl 只能定義源ip地址
3000-3999 的acl規則為高級acl 能夠定義源ip地址和目的ip地址。
只定義acl 而不引用是無效的。你這幾條acl肯定在某一埠下引用了。
⑧ 關於華為交換機ACL設置
首先需要更正下理解,vlan就是為了隔離交換機內廣播風暴而產生的,acl是訪問控制,相對於問題者提出的需求,使用acl有點殺雞用牛刀的感覺。對於4個vlan不能互訪,只要他們三層沒打通,二層中是不會互通的
一般在組網實例中都不會建議在交換機上建立acl,而是通過在防火牆上來實施acl策略。因為交換機就那麼個性能,太多的acl會影響交換機處理性能
如果非要使用acl,肯定是在3328上做
⑨ 華為基本acl是如何過濾流量的
過濾ip地址啊,,利用反向掩碼,,,