华为系列设备ACL配置和应用常见问题

本文主要介绍华为系列设备在配置ACL的时候可能遇到的问题,由于是基于华为eNSP进行的实验,因此可能会与实际装备有所差异,但是特别适合使用eNSP模拟软件在配置ACL时遇到问题的同学,在阅读本文前,希望您能够对华为系列设备ACL配置和应用有着基本的了解。
ACL,access list,即访问控制列表,从字面上看,可以起到控制访问流量的作用。但是,ACL所做的只不过是按照规则进行流量的匹配,要想真正实现ACL的配置,还需要配合其他的工具,比如traffic filter等等。经过本人实践,发现在ACL配置和应用过程中存在如下问题,发出来和大家分享一下。

一、ACL应用简介

ACL既可以用来抓取路由,也以用来抓取数据包,但是二者都需要配合其他的工具使用。
ACL按照命名方式,可以分为数字型ACL命名型ACL。按照ACL功能,可以分为基本ACL高级ACL二层ACL,有时某些型号的设备还会有用户ACL接口ACL
ACL总是试图将抓取到的数据包或者路由按照自身规则进行匹配,并且总是按照rule号码从小到大进行匹配,当ACL匹配到某一条规则时,就会执行该规则所规定的动作,从而不会向下匹配。
注意:
高级ACL不能用于过滤路由,只能用于过滤数据包。

二、使用Serial线配置ACL

我们在做实验的时候,很多时候都是将ACL配置在普通的接口上,但是如果出现特殊的实验需求,需要将ACL配置在Serial线上,此时ACL可能出现问题,并不会按照理论上对数据包进行过滤,此前我的一篇文章已经对这种现象进行了描述,可以参考,在这里就不过多叙述了。华为eNSP BUG——Serial线配置ACL问题

三、ACL默认匹配规则

ACL默认规则的设置,在华为设备中会根据不同情况有不同的规则。在华为官方文档中,是这样介绍的:
在这里插入图片描述
在这里插入图片描述
当然,上面的文档过于复杂,其实总结来看,基本上ACL默认规则是这样的:
如果配置在接口上,则默认规则为允许,如果配置在其他地方,则默认规则为拒绝。

四、将ACL配置在接口出方向上

华为系列设备存在如下规则:
如果将ACL配置在接口入方向上:
那么ACL能够匹配抓取进入本接口的流量。
如果将ACL配置在接口出方向上:
那么ACL只检查穿过本接口的流量,而不检查本地路由器(或交换机)自身产生的流量。

五、ACL两种应用方法

如果配置了一个ACL,那么必须将它在接口上应用才会真正生效。关于如何在接口上配置ACL,有下面两种方法:
1、使用traffic-filter
使用traffic-filter配置代码如下:

traffic-filter inbound acl 3000

上述命令在接口模式下配置,表示将ACL 3000绑定到该接口的如方向上。将inbount改为outbount也可以修改为出方向上。
这种配置比较简单,也比较常见。
2、使用traffic-policy
除了上述配置方式之外,在这里再给大家介绍使用traffic-policy配置的方式,这种配置方式比较复杂,也不常用,在这里只是给大家简单提及,希望大家在看到类似命令的时候能够明白其配置含义。
使用traffic-policy配置命令如下:

traffic classifier ICMP_CLASS operator or
 if-match acl 3000
traffic behavior ICMP_BEHAVE
 deny
traffic policy ICMP
 classifier ICMP_CLASS behavior ICMP_BEHAVE

这种配置方式是定义了分类、行为和策略,并且将分类和行为应用在策略上,上述配置完成后,在接口上配置如下命令:

traffic-policy ICMP inbound

类似的,上述命令中的inbound也可以根据实际情况更改为outbount。
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/118436068

  • 4
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

永远是少年啊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值