华为acl怎么生效_华为acl配置

最新推荐文章于 2024-04-05 22:47:21 发布
最新推荐文章于 2024-04-05 22:47:21 发布
阅读量356 收藏
点赞数
文章标签: 华为acl怎么生效
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42515906/article/details/112035944
版权
本文详细介绍了如何配置华为交换机和路由器的ACL,以实现特定的网络访问控制策略。包括vlan10内的主机仅能通过HTTP访问vlan30-server,vlan20-pc1可访问vlan40-server但不能访问vlan30-server,以及PublicServer对不同vlan提供特定服务等。配置中涉及到多个接口和规则的设定,确保了网络流量的安全和有序。
摘要由CSDN通过智能技术生成

拓扑图:

需求:

1、-vlan10内所有的主机,只能通过http访问vlan30-server的服务器;不能访问vlan40-server服务器

2、-vlan20-pc1主机,可以访问vlan40-server服务器,不能访问vlan30-server服务器

3、-vlan30-pc1主机,不能访问vlan20-server服务器,可以访问vlan40-server服务器

4、-PublicServer服务器对vlan10和vlan20 仅仅提供ftp服务

5、-PublicServer服务器对vlan30-server和vlan40-server仅仅提供http服务

6、-PublicServer服务器对所有pc提供dns服务

7、-所有节点和主机均能够ping通

配置:

三层交换机SW1-left

sw-left:

[sw1]sys sw-left

[sw-left]vlan batch 10 20 50

[sw-left]port-group group-member g0/0/1 g0/0/2

[sw-left-port-group]port link-type access

[sw-left-GigabitEthernet0/0/1]port link-type access

[sw-left-GigabitEthernet0/0/2]port link-type access

[sw-left-port-group]port default vlan 10

[sw-left-GigabitEthernet0/0/1]port default vlan 10

[sw-left-GigabitEthernet0/0/2]port default vlan 10

[sw-left-port-group]q

[sw-left]port-group group-member g0/0/3 g0/0/4

[sw-left-port-group]port link-type access

[sw-left-GigabitEthernet0/0/3]port link-type access

[sw-left-GigabitEthernet0/0/4]port link-type access

[sw-left-port-group]port default vlan 20

[sw-left-GigabitEthernet0/0/3]port default vlan 20

[sw-left-GigabitEthernet0/0/4]port default vlan 20

[sw-left-port-group]q

[sw-left]int g0/0/10

[sw-left-GigabitEthernet0/0/10]port link-type access

[sw-left-GigabitEthernet0/0/10]port default vlan 50

[sw-left-GigabitEthernet0/0/10]q

[sw-left]int vlanif 10

[sw-left-Vlanif10]ip add 192.168.10.1 24

[sw-left-Vlanif10]int vlanif 20

[sw-left-Vlanif20]ip add 192.168.20.1 24

[sw-left-Vlanif20]int vlanif 50

[sw-left-Vlanif50]ip add 192.168.50.2 24

[sw-left-Vlanif50]q

[sw-left]rip

[sw-left-rip-1]version 2

[sw-left-rip-1]undo summary

[sw-left-rip-1]network 192.168.10.0

[sw-left-rip-1]network 192.168.20.0

[sw-left-rip-1]network 192.168.50.0

[sw-left-rip-1]

路由器: R1

sys

[Huawei]sys R1

[R1]int g0/0/1

[R1-GigabitEthernet0/0/1]ip add 192.168.60.1 24

[R1-GigabitEthernet0/0/1]int g0/0/2

[R1-GigabitEthernet0/0/2]ip add 192.168.100.1 24

[R1-GigabitEthernet0/0/2]int g0/0/0

[R1-GigabitEthernet0/0/0]ip add 192.168.50.1 24

[R1-GigabitEthernet0/0/0]q

[R1]rip

[R1-rip-1]version 2

[R1-rip-1]undo summary

[R1-rip-1]network 192.168.50.0

[R1-rip-1]network 192.168.60.0

[R1-rip-1]network 192.168.100.0

[R1-rip-1]

交换机: SW2-right

sys

[Huawei]sys sw-right

[sw-right]vlan batch 30 40 60

[sw-right]port-group group-member g0/0/1 g0/0/2

[sw-right-port-group]port link-type access

[sw-right-GigabitEthernet0/0/1]port link-type access

[sw-right-GigabitEthernet0/0/2]port link-type access

[sw-right-GigabitEthernet0/0/1]port default vlan 30

[sw-right-GigabitEthernet0/0/2]port default vlan 30

[sw-right-port-group]q

[sw-right]port-group group-member g0/0/3 g0/0/4

[sw-right-port-group]port link-type access

[sw-right-GigabitEthernet0/0/3]port link-type access

[sw-right-GigabitEthernet0/0/4]port link-type access

[sw-right-port-group]port default vlan 40

[sw-right-GigabitEthernet0/0/3]port default vlan 40

[sw-right-GigabitEthernet0/0/4]port default vlan 40

[sw-right-port-group]q

[sw-right]int g0/0/10

[sw-right-GigabitEthernet0/0/10]port link-type access

[sw-right-GigabitEthernet0/0/10]port default vlan 60

[sw-right-GigabitEthernet0/0/10]q

[sw-right]int vlanif 30

[sw-right-Vlanif30]ip add 192.168.30.1 24

[sw-right-Vlanif30]int vlanif 40

[sw-right-Vlanif40]ip add 192.168.40.1 24

[sw-right-Vlanif40]int vlanif 60

[sw-right-Vlanif60]ip add 192.168.60.2 24

[sw-right-Vlanif60]q

[sw-right]rip

[sw-right-rip-1]version 2

[sw-right-rip-1]undo summary

[sw-right-rip-1]network 192.168.30.0

[sw-right-rip-1]network 192.168.40.0

[sw-right-rip-1]network 192.168.60.0

[sw-right-rip-1]

测试所有终端设备全部ping通后继续ing...

分析规则:

1、-vlan10内所有的主机,只能通过http访问vlan30-server的服务器;不能访问vlan40-server服务器

192.168.10.0 0.0.0.255 网段要带掩码, 192.168.30.200 0 ip 掩码可简写为 0

rule permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.30.200 0 destination-port eq 80

rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.40.200 0.0.0.0

返回规则

rule permit ip source 192.168.30.200 0 destination 192.168.10.0 0.0.0.255

2、-vlan20-pc1主机,可以访问vlan40-server服务器,不能访问vlan30-server服务器

rule permit ip source 192.168.20.100 0 destination 192.168.40.200 0

rule deny ip source 192.168.20.100 0 destination 192.168.30.200 0

返回规则

rule permit ip source 192.168.40.200 0 destination 192.168.20.100 0

3、-vlan30-pc1主机,不能访问vlan20-server服务器,可以访问vlan40-server服务器

rule deny ip source 192.168.30.100 0 destination 192.168.20.200 0

vlan30 和vlan40 不跨路由器规则 无需设置规则

返回规则

4、-PublicServer服务器对vlan10和vlan20 仅仅提供ftp服务

rule permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.100.200 0 destination-port eq 21

rule permit tcp source 192.168.20.0 0.0.0.255 destination 192.168.100.200 0 destination-port eq 21

返回规则

rule permit ip source 192.168.100.200 0 destination 192.168.10.0 0.0.0.255

rule permit ip source 192.168.100.200 0 destination 192.168.20.0 0.0.0.255

5、-PublicServer服务器对vlan30和vlan40-server仅仅提供http服务

rule permit tcp source 192.168.30.0 0.0.0.255 destination 192.168.100.200 0 destination-port eq 80

rule permit tcp source 192.168.40.200 0 destination 192.168.100.200 0 destination-port eq 80

返回规则

rule permit ip source 192.168.100.200 0 destination 192.168.30.0 0.0.0.255

rule permit ip source 192.168.100.200 0 destination 192.168.40.0 0.0.0.255

6、-PublicServer服务器对所有pc提供dns服务

rule permit udp source any destination 192.168.100.200 0 destination-port eq 53

返回规则

rule permit ip source 192.168.100.200 0 destination any

7、-所有节点和主机均能够ping通

rule permit icmp source any destination any

以上规则在三个路由接口的outbound(出站)总结为:

int g0/0/1: acl3000

即是:vlan10,vlan20及PublicServer服务器,在int g0/0/1的outbound规则

rule permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.30.200 0 destination-port eq 80

rule permit ip source 192.168.20.100 0 destination 192.168.40.200 0

rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.40.200 0.0.0.0

rule deny ip source 192.168.20.100 0 destination 192.168.30.200 0

rule permit icmp source any destination any

rule deny ip source any destination any

int g0/0/0: acl3001

即是:vlan30,vlan40及PublicServer服务器,在int g0/0/0的outbound规则

rule permit ip source 192.168.30.200 0 destination 192.168.10.0 0.0.0.255

rule permit ip source 192.168.40.200 0 destination 192.168.20.100 0

rule permit ip source 192.168.100.200 0 destination any

rule permit icmp source any destination any

rule deny ip source any destination any

int g0/0/2 acl3002

即是:vlan10,vlan20,vlan30,vlan40,在int g0/0/2的outbound规则

rule permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.100.200 0 destination-port eq 21

rule permit tcp source 192.168.20.0 0.0.0.255 destination 192.168.100.200 0 destination-port eq 21

rule permit tcp source 192.168.30.0 0.0.0.255 destination 192.168.100.200 0 destination-port eq 80

rule permit tcp source 192.168.40.200 0 destination 192.168.100.200 0 destination-port eq 80

rule permit udp source any destination 192.168.100.200 0 destination-port eq 53

rule permit icmp source any destination any

rule deny ip source any destination any

在路由器R1上分别是创建并应用acl规则

[R1]acl 3000

[R1-acl-adv-3000]rule permit tcp source 192.168.10.0 0.0.0.255 destination 192.1

68.30.200 0 destination-port eq 80

[R1-acl-adv-3000]

[R1-acl-adv-3000]rule permit ip source 192.168.20.100 0 destination 192.168.40.2

00 0

[R1-acl-adv-3000]

[R1-acl-adv-3000]rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.

40.200 0.0.0.0

[R1-acl-adv-3000]

[R1-acl-adv-3000]rule deny ip source 192.168.20.100 0 destination 192.168.30.200

0

[R1-acl-adv-3000]

[R1-acl-adv-3000]rule permit icmp source any destination any

[R1-acl-adv-3000]

[R1-acl-adv-3000]rule deny ip source any destination any

[R1-acl-adv-3000]acl 3001

[R1-acl-adv-3001]rule permit ip source 192.168.30.200 0 destination 192.168.10.0

0.0.0.255

[R1-acl-adv-3001]

[R1-acl-adv-3001]rule permit ip source 192.168.40.200 0 destination 192.168.20.1

00 0

[R1-acl-adv-3001]

[R1-acl-adv-3001]rule permit ip source 192.168.100.200 0 destination any

[R1-acl-adv-3001]

[R1-acl-adv-3001]rule permit icmp source any destination any

[R1-acl-adv-3001]

[R1-acl-adv-3001]rule deny ip source any destination any

[R1-acl-adv-3001]acl 3002

[R1-acl-adv-3002]rule permit tcp source 192.168.10.0 0.0.0.255 destination 192.1

68.100.200 0 destination-port eq 21

[R1-acl-adv-3002]

[R1-acl-adv-3002]rule permit tcp source 192.168.20.0 0.0.0.255 destination 192.1

68.100.200 0 destination-port eq 21

[R1-acl-adv-3002]

[R1-acl-adv-3002]rule permit tcp source 192.168.30.0 0.0.0.255 destination 192.1

68.100.200 0 destination-port eq 80

[R1-acl-adv-3002]

[R1-acl-adv-3002]rule permit tcp source 192.168.40.200 0 destination 192.168.100

.200 0 destination-port eq 80

[R1-acl-adv-3002]

[R1-acl-adv-3002]rule permit udp source any destination 192.168.100.200 0 destin

ation-port eq 53

[R1-acl-adv-3002]

[R1-acl-adv-3002]rule permit icmp source any destination any

[R1-acl-adv-3002]

[R1-acl-adv-3002]rule deny ip source any destination any

[R1-acl-adv-3002]q

[R1]int g0/0/1

[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 3000

[R1-GigabitEthernet0/0/1]int g0/0/0

[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 3001

[R1-GigabitEthernet0/0/0]int g0/0/2

[R1-GigabitEthernet0/0/2]traffic-filter outbound acl 3002

[R1-GigabitEthernet0/0/2]

测试:

1、-vlan10内所有的主机,只能通过http访问vlan30-server的服务器;不能访问vlan40-server服务器

vlan10 只能通过http访问vlan30-server服务器

vlan10 访问vlan30-server的http正常

6、-PublicServer服务器对所有pc提供dns服务

当pc通过域名解析访问服务器时,必须满足其它规则里也不冲突.

1、-vlan10内所有的主机,只能通过http访问vlan30-server的服务器;不能访问vlan40-server服务器

https://www.cnblogs.com/xccjmpc/p/11029528.html

命题LM
关注
华为acl怎么生效_华为ACL配置教程(一)
weixin_39908985的博客
12-20 1432
一、ACL基本配置1、ACL规则生效时间段配置(需要先配置设备的时间,建议用ntp同步时间)某些引用ACL的业务或功能需要限制在一定的时间范围内生效,比如,在流量高峰期时启动设备的QoS功能。用户可以为ACL创建生效时间段,通过在规则中引用时间段信息限制ACL生效的时间范围,从而达到该业务或功能在一定的时间范围内生效的目的。[Huawei]time-rangetest ?Starting time...
华为acl怎么生效_华为交换机ACL配置的一些东西
weixin_39958559的博客
12-20 2585
这是华为ACL配置中流策略的配置命令。华为设备配置ACL不像Cisco的那样可以直接在接口下配置ACL应用华为需要先配ACL,然后配流分类(traffic classifier tc1),将ACL和流分类绑定,再配流行为(traffic behavior tb1),接着配置流策略(traffic policy tp1),最后把策略应用到接口下,让ACL生效。具体例子如下:步骤1 配置ACL[Q...
华为配置命令——ACL配置
zsrzy的博客
04-23 5936
华为配置命令ACL设置
华为ACL配置命令详解
SuSe的专栏
01-29 7281
ACL(Access Control List)即访问控制列表,可以在路由器、交换机等设备上进行配置,用来限制网络中数据流的访问,实现基本网络安全控制。ACL通过匹配数据包的源地址、目的地址、协议类型、端口号等信息来控制数据流在网络中的流向。ACL是网络设备中常用的安全配置之一,通过限制数据流的访问,提高了网络的安全性。文章从ACL类型、配置命令、常用命令等多个方面进行了详细的阐述,希望对大家在实际应用中使用ACL有所帮助。
华为acl怎么生效_华为策略工具大全——匹配工具之 ACL
weixin_42522953的博客
01-02 1020
企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定。访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等。访问控制列表是由permit或deny语句组成的一系列有顺序的规则集合,这些规则根据...
华为设备ACL配置命令
Tony_long7483的博客
08-17 4240
华为设备ACL配置命令
华为acl怎么生效_思科|华为ACL基本命令配置
weixin_34898320的博客
12-30 2140
ACL(Access Control List):访问控制列表,它主要通过读取第三、四层的包头信息,再通过预定义好的规则进行匹配过滤,以达到访问控制的目的。大部分的路由交换系统中都集成了ACL功能。以下分别以思科和华为设备为例记录简单的ACL基础知识及命令配置。#思科ACL的分类:1.标准访问控制列表表号:1-99特点:基于源IP来进行匹配过滤2.扩展访问控制列表表号:100-199特点:基于源I...
华为交换机配置教程_华为配置教程_华为_交换机_
10-02
在IT行业中,网络设备的配置是至关重要的,尤其对于企业级网络来说,华为交换机因其稳定性和高效性而被广泛采用。本教程旨在提供华为交换机的详细配置指南,通过实际案例来帮助用户掌握基本及高级配置技巧。 一、...
华为s5700vlan划分和acl配置命令.docx
09-11
### 华为S5700交换机VLAN划分与ACL配置详解 #### 一、华为S5700交换机简介 华为S5700系列交换机是一款多功能、高性能的企业级接入层交换机,支持多种管理和安全特性,如IPv6、PoE+、集成Wi-Fi等,适用于中小型企业...
华为acl怎么生效_华为ACL实验
weixin_27729671的博客
12-30 280
基于vlan三层通信原则,创建好基础配置的情况下,双方是可以通信的,要求做到彼此之间不可以通信。SW1创建 vlan配置SW1的接口并加入对应的VLAN。E0/0/4接口方向对应的VLANSW2创建 vlan起VLANif接口,并配置对应的IP地址。目前PC4是和PC1相通的,因为三层地址有VLANif,三层互通SW2上面有路由表。现在在SW2上面创建一个ACL。在接口调用这个时候PC4就PING...
华为交换机路由器ACL原理+最常用操作配置手册
11-23
华为交换机路由器ACL原理+最常用操作配置手册
华为ensp中基本acl 原理及配置命令(详解)
最新发布
博客之路,前途漫漫
04-05 5414
华为ensp中的基本acl是指华为设备中用于控制网络访问的访问控制列表的其中一种类型。基本acl可以根据数据包的源IP地址进行过滤,配置简单,但功能有限。ACL的匹配规则
华为---ACL配置
weixin_72907400的博客
09-19 1万+
ACL分类,ACL概念 ,ACL配置
unitest只执行一条用例但是执行了所有的用例
weixin_40656303的博客
11-21 820
如下图只加入了一个测试用例,但是执行了所有的用例 原因:pycharm的配置问题; 解决方式; 打开如下配置: 删除所有的python_tests的配置,新增一个python配置即可
华为网络配置ACL
1风天云月的博客
11-14 2万+
​ 目录 前言 一、ACL概述 1、ACL简介 2、ACL分类 (1)基本ACL (2)高级ACL (3)二层ACL (4)用户自定义ACL (5)用户ACL 3、ACL组成 (1)ACL标识 (2)ACL规则 4、ACL匹配机制 5、ACL步长 6、ACL的匹配顺序 (1)配置顺序 (2)自动排序 7、ACL应用场景 (1)在NAT中使用ACL (2)在防火墙中使用ACL (3)在QoS中使用ACL 8、常见TCP/UDP端口号 (1)TCP (2)UDP
华为交换机配置ACL
junlan的博客
09-05 1万+
华为交换机配置ACL
华为交换机acl配置
热门推荐
qq_37797316的博客
01-16 3万+
一、说明: 1、华为交换机的ACL规则没变,但下发需要通过流策略traffic policy下发; 2、流策略又包括相应的流分类traffic classifier,流行为traffic behavior; 3、流分类traffic classifier用于绑定相应的ACL规则,流行为traffic behavior决定匹配的流分类是否permit或deny; 4、ACL规则里只需配置匹配的流,使...
ACL配置命令
weixin_44505291的博客
02-25 2万+
ACL配置命令 文章目录ACL配置命令一、ACL访问控制列表1.访问控制列表(acl)2.访问控制列表在接口应用的方向二、访问控制列表的处理过程1.ACL工作原理2.ACL两种作用3.ACL种类4.ACL应用原则三、ACL华为命令1、基本ACL配置2、高级ACL配置 一、ACL访问控制列表 1.访问控制列表(acl) 读取第三层,第四层包头信息 根据预先定义好的规则对包进行过滤 (防火墙的功 能) 第三层传输层 —— 数据段——源端口、目的端口 —————————————————————— 通信四元组
华为ACL配置完全指南:从基础到高级
"华为ACL配置全解教程详细阐述了如何配置和管理IPV4与IPV6的访问控制列表(ACL),包括各种类型的ACL分类、命名、匹配顺序、生效时间及分片报文处理。此外,教程还涵盖了IPv4和IPv6 ACL配置实例,从基础到高级,再...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值