① 在华为路由器中根据acl规则功能的不同,acl被划分为哪几种类型
基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。如果只需要根据源IP地址对报文进行过滤,可以配置基本ACL。
基本acl 2000~2999 可以对源ip限制
高级acl 3000~3999 可以对源ip,目标ip,协议,端口限制
② 华为路由器里面的5种过滤器详解 跪求啊!!!
这些都是不同命令行里的参数。
prefix-list:IP前缀列表。
# 定义if-match子句,设置匹配相关的IPv6路由信息。
<HUAWEI> system-view
[HUAWEI] route-policy policy permit node 10
[HUAWEI-route-policy] if-match ipv6 address prefix-list p1
[HUAWEI-route-policy] if-match ipv6 next-hop prefix-list p1
[HUAWEI-route-policy] if-match ipv6 route-source prefix-list p1
as-path-filter xxx:指定匹配的AS路径过滤器号。
# 创建序号为2的AS路径过滤器,允许AS路径中包含20的路由通过。
<HUAWEI> system-view[HUAWEI] ip as-path-filter 2 permit [ 20 ]
# 查看AS路径属性中包含65420的所有BGP VPNv6路由信息。
<HUAWEI> system-view
[HUAWEI] ip as-path-filter 1 permit 65420*
[HUAWEI] display bgp vpnv6 all routing-table as-path-filter 1
community-filter:用来显示匹配指定的BGP团体属性过滤器的路由信息。
# 查看本端指定团体列表的所有BGP VPNv6路由信息。
<HUAWEI> system-view
[HUAWEI] ip community-filter 1 permit internet
[HUAWEI] display bgp vpnv6 all routing-table community-filter 1 whole-match
route-policy xxx:指定路由策略名称
显示名为policy1的Route-Policy信息。
<HUAWEI> display route-policy policy1
③ 华为acl配置基本和高级访问
访问控制列表ACL(Access Control List)是由一系列规则组成的集合,ACL通过这些规则对报文进行分类,从而使设备可以对不同类报文进行不同的处理。
高级ACL:
表示方式:ID,取值控制为:3000~3999
可以同时匹配数据包的源IP地址、目标IP地址、协议、源端口、目标端口;
匹配数据更加的精确
拓扑图:
步骤:
1.基本配置:
如拓扑图和配置图所示,完成各个物理设备和接口的配置,并测试连通性:
2.搭建OSPF网络:
仅以R1为例,其他同理:
[R1]ospf
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
1
2
3
4
1
2
3
4
配置完成后,查看R1的ospf路由条目:
可以看到,R1已经学习到了所有路由信息。
3.配置Telnet:
[R4]user-interface vty 0 4
[R4-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):huawei
1
2
3
1
2
3
用1.1.1.1尝试登陆R4的两个环回接口:
均登陆成功过,可以得知,只要拥有Telnet的密码均可以成功登陆到R4上。
4.配置高级ACL访问控制:
我们的目标是R1的环回接口只能通过R4的4.4.4.4接口访问Telnet,不能通过40.40.40.40访问。基本ACL只能控制源地址因此不能完成此任务,高级ACL不仅能控制源地址,还能控制目的地址,可以完成此任务:
[R4]acl 3000
[R4-acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 4.4.4.4 0
1
2
1
2
查看ACL配置信息:
接着,使用vty进行acl的调用:
[R4]user-interface vty 0 4
[R4-ui-vty0-4]acl 3000 inbound
1
2
1
2
配置完成后,再使用1.1.1.1访问40.40.40.40:
可以看到,配置已生效,1.1.1.1不能通过40.40.40.40访问Telnet。
④ 华为交换机高级acl最后不用放行所有流量吗
设置 rule 5 permit ip so 192.168.1.2 0.0.0.0 destination 192.168.2.1 0.0.0.0
rule 10 permit ip so 192.168.1.3 0.0.0.0 destination 192.168.2.1 0.0.0.0
rule 15 deny ip so 192.168.1.0 0.0.0.255 destination 192.168.2.1 0.0.0.0
即
⑤ 华为交换机acl过滤 ip
acl ***
rule 1 permit 10.0.20.0 0.0.0.255 destination any
rule 2 permit 10.0.21.0 0.0.255 destination any
rule 10 deny any
然后再在接口回下答
firewall intbound acl ***
⑥ 请问华为的安全问题中,acl命令packet filter和traffic filter这两个过滤有什么
s3100si系列不支持acl下发到端口。你只能下发到user-interface的访问接口下。你可以在s3100的上一层核心设备上下发到连接31的端口。中心需是三层设备,否则也是不支持的。
⑦ 求华为 acl 配置详解
acl number 3111 创建acl 高级访问控制列表3111
rule 1 permit ip source 172.16.1.0 0.0.0.255
定义小规则1 允许 源ip为172.16.1.0/24(255.255.255.0)的网段访问目标地址为any(所有的ip)地址
acl number 3112 创建acl高级访问控制列表3112
rule 0 permit ip source 172.16.1.200 0
同上
定义小规则0允许源172.16.1.200/32(255.255.255.255)这一个主机访问目标为any的地址
acl number 3113 定义3113规则
rule 0 permit ip
小规则0允许源ip地址为any(所有)到目标地址为any地址。
#
acl name lan 创建acl为名字的规则,规则名为lan
rule 0 permit
小规则0允许源ip地址为any(所有)到目标地址为any地址。
#
intterface Aux0 异步端口、为系统默认。一般无用。
async mobe flow
2000-2999 的acl规则为标准acl 只能定义源ip地址
3000-3999 的acl规则为高级acl 能够定义源ip地址和目的ip地址。
只定义acl 而不引用是无效的。你这几条acl肯定在某一端口下引用了。
⑧ 关于华为交换机ACL设置
首先需要更正下理解,vlan就是为了隔离交换机内广播风暴而产生的,acl是访问控制,相对于问题者提出的需求,使用acl有点杀鸡用牛刀的感觉。对于4个vlan不能互访,只要他们三层没打通,二层中是不会互通的
一般在组网实例中都不会建议在交换机上建立acl,而是通过在防火墙上来实施acl策略。因为交换机就那么个性能,太多的acl会影响交换机处理性能
如果非要使用acl,肯定是在3328上做
⑨ 华为基本acl是如何过滤流量的
过滤ip地址啊,,利用反向掩码,,,