华为

闲谈华为交换机5700 ACL配置（亲测） wqxh788关注2人评论14088人阅读2013-12-18 18:06:15 最近来了一台华为5700 SI版本交换机，也上了一台防火墙不过是百兆的，主要用于监控与视频会议，为了带宽，防火墙就基本没啥作用了，直接拆了不用，但还是要保证安全，只能在5700上做ACL安全策略，所以研究了一下ACL的配置。 一、说明： 1、华为交换机的ACL规则没变，但下发需要通过流策略traffic policy下发; 2、流策略又包括相应的流分类traffic classifier，流行为traffic behavior； 3、流分类traffic classifier用于绑定相应的ACL规则，流行为traffic behavior决定匹配的流分类是否permit或deny; 4、ACL规则里只需配置匹配的流，使用permit标识，而deny基本没啥用； 5、如果有多个ACL number，在流策略traffic policy里需要按顺序绑定（根据业务是先允午后禁止或先禁止后允许），800说可以配优先级，但我么有发现命令。 6、在接口的inbound 方向下发。 二、版本信息 Huawei Versatile Routing Platform Software VRP (R) software, Version 5.110 (S5700

实验环境使用华为eNSP(1.2.00.500),交换机版本V2R1，在LSW1做访问策略，拓扑如下: PC1：10.0.80.254; PC2：10.0.89.254; PC3：10.0.87.254; PC4：10.0.88.254; Traffic-filter acl 3000 rule 87 deny ip source 10.0.80.0 0.0.0.255 destination 10.0.87.0 0.0.0.255 rule 88 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.88.0 0.0.0.255 在接口G0/0/1下使用traffic-filter调用acl3000，结果为 PC1-->PC3 不通； PC1-->PC4 通； PC1-->PC2 通； Traffic-policy （一） acl 3000 rule 87 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.87.0 0.0.0.255 rule 88 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.88.0 0.0.0.255 traffic classifier c1 operator and if

登 录到路由器 telnet 192.168.1.1 输入用户名，密码 acl number 3000 （如果不存在，创建 访问 列表；存在则添加一条限制） 允许192.168.1.99 上网 ： rule 10 permit ip source 192.168.1.99 0 destination 0.0.0.0 0.0.0.0 说明：192.168.1.99 0 表示允许192.168.1.99这台主机，0表示本机。 rule 规则编号 ip source 主机 反子网掩码 destination 目的IP 反子网掩码 如果要允许多个连续IP上网： rule 11 permit ip source 192.168.1.16 0.0.0.15 destination 0.0.0.0 0.0.0.0 表示允许192.168.1.16/28 即:192.168.1.17-192.168.1.30可以上网 同样，可以限制某IP只能访问某一个网站： 例如，允许192.168.1.98这台主机只能访问www.baidu.com rule 13 permit ip source 192.168.1.98 0 destination 121.14.89.14 0 某个网站的IP:可以打开命令提示符,ping www.baidu.com (以百度为例), ***本人注释： 要打开cmd，用

ACL 访问控制列表 （Access Contril List，ACL)是应用在路由器接口的指令列表 标准的ACL，基于源IP地址的过滤 思科：1-99 华为：2000-2999 扩展的访问控制列表 基于源IP,目标端口号，协议号，标准进行过滤 思科：100-199 华为：3000-3999 标准ACL配置： acl number 2000 rule 5 deny source 192.168.1.1 0 拒绝来自PC1的主机数据访问 规则 拒绝 来源 地址 rule 5 deny source 192.168.1.0 0.0.0.255 拒绝一个网段的主机数据访问 rule permit source any （rule 10 permit） //默认允许 规则 允许 来源 任何 interface GigabitEthernet0/0/1 traffic-filter inbound acl 2000 //在接口ACL进交换机路由方向 通信量 过滤 入站 traffic-filter outbound acl 2000 //在接口ACL出交换机路由方向 出站 扩展的ACL配置： acl 3001 //创建高级ACL rule permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port eq

一、ACL 访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。 ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。 基于ACL规则定义方式，可以将ACL分为基本ACL、高级ACL、二层ACL等种类。 基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则，对IPv4报文进行过滤。如果只需要根据源IP地址对报文进行过滤，可以配置基本ACL。 二、应用规则 1.“3P”原则 在路由器上应用ACL时，可以为每种协议（Per Protocol）、每个方向（Per Direction） 和每个接口（Per Interface）配置一个ACL，一般称为“3P原则”。 （1）一个ACL只能基于一种协议，因此每种协议都需要配置单独的ACL。 （2）经过路由器接口的数据有进（ln）和出（Out）两个方向，因此在接口上配置访问控制列表也有进（In）和出（Out）两个方向。每个接口可以配置进方向的ACL，也可以配置出方向的ACL，或者两者都配置，但是一个ACL只能控制一个方向。 （3）一个ACL只能控制一个接口上的数据流量，无法同时控制多个接口上的数据流量。

华为S5720上实际配置过 不过iP是10.0.151.0 0.0.0.255不能访问其他vlan 通过 traffic-filter 调用 <Huawei>sys [Huawei]acl 3000 // 创建高级 ACL （ 3000~3999 ） [Huawei-acl-adv-3000] [Huawei-acl-adv-3000]rule permit ip source192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 // 配置允许 192.168.1.0 段去访问 192.168.2.0 段 [Huawei-acl-adv-3000]rule deny ip source192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255 // 配置拒绝 192.168.1.0 段去访问 192.168.=4.0 段 [Huawei-acl-adv-3000]dis thi // 查看当前配置是否配置成功 # acl number 3000 rule5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule10 deny ip source 192.168.1.0 0.0

访问控制列表在企业当中特别常用，本文我们就来了解下华为访问控制列表ACL基本使用，入下图所示： 路由器R1基本配置如下： [R1]interface g0/0/1 [R1-GigabitEthernet0/0/1]ip address 192.168.1.254 24 [R1]interface g0/0/2 [R1-GigabitEthernet0/0/1]ip address 192.168.2.254 24 [R1]interface g0/0/0 [R1-GigabitEthernet0/0/1]ip address 192.168.10.254 24 接下来我们配置华为基本的ACL，如下： [R1]acl 2000 [R1-acl-basic-2000]rule 5 deny source 192.168.1.1 0 //拒绝192.1681.1主机流量 [R1-acl-basic-2000]rule 10 permit source any //允许其他主机流量 在应用acl之前PC1主机与服务器网络是互通的： 在R1的g0/0/1接口调用acl2000： [R1]interface g0/0/1 [R1-GigabitEthernet0/0/1]traffic-filter inbound acl 2000 再来测试，PC1与server网络不通

一、说明： 1、华为交换机的ACL规则没变，但下发需要通过流策略traffic policy下发; 2、流策略又包括相应的流分类traffic classifier，流行为traffic behavior； 3、流分类traffic classifier用于绑定相应的ACL规则，流行为traffic behavior决定匹配的流分类是否permit或deny; 4、ACL规则里只需配置匹配的流，使用permit标识，而deny基本没啥用； 5、如果有多个ACL number，在流策略traffic policy里需要按顺序绑定（根据业务是先允午后禁止或先禁止后允许），800说可以配优先级，但我么有发现命令。 6、在接口的inbound 方向下发。 二、版本信息 Huawei Versatile Routing Platform Software VRP ® software, Version 5.130 (S5700 V200R003C00SPC300) Copyright © 2000-2013 HUAWEI TECH CO., LTD Quidway S5700-52C-SI 三、配置 1、需求 1）只允许特定的网段（192.168.1.0/24)到特定的网段192.168.2.0/24)的访问 2）禁止特定的网段（192.168.1.0/24) 到any的访问。 2、配置：

0x0 配置基本的ACL策略 2000-2999 是标准acl，以下是配置方法： 1.配置接口IP 2.配置基本ACL： [R1]acl 2000 [R1-acl-basic-2000]rule deny source 10.1.1.1 0 [R1-acl-basic-2000]quit 3.调用基本ACL： [R1]int g0/0/1 [R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 [R1-GigabitEthernet0/0/1]quit 0x1 配置扩展ACL 扩展ACL3000-3999 1.配置接口IP 2.配置扩展ACL： [R1]acl 3000 [R1-acl-adv-3000]rule deny ip source 10.1.1.1 0 destination 20.1.1.1 0 [R1-acl-adv-3000]quit 3.调用扩展ACL： [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 [R1-GigabitEthernet0/0/0]quit 来源： CSDN 作者： Leon-zy 链接： https://blog.csdn.net/weixin_42728126/article

前言 个人简介：某双非学校软件工程大二学生 服务器对于每一个开发者都具有非常重要的作用， MBA智库百科 上面这么是这么介绍的： 服务器是指能向网络用户提供特定服务的软件和硬件。这个服务器的定义包含了以下两个方面的内容：一方面，服务器的作用是为网络提供特定的服务，而人们通常会以服务器所能提供的服务来命名服务器，如提供文件共享服务的服务器称为文件服务器，提供打印队列共享服务的服务器称为打印服务器等；另一方面，服务器是软件和硬件的统一体，特定的服务程序需要运行在特定的硬件或一般通用的微机上才能完成服务功能，由服务程序完成服务策略，并通过硬件实现所需的服务，如文件服务依靠大容量硬盘，打印服务需要高速打印机。 由于整个网络的用户均依靠不同的服务器提供不同的网络服务，因此，网络服务器是网络资源管理和共享的核心。网络服务器的性能对整个网络的共享性能有着决定性的影响。 作为一个准程序员来说的话，至少要了解一下基本Linux语法和服务器的基本使用，搭建一下属于自己的技术博客分享心得等等，所以当然也是需要使用服务器的啦！！ 在此之前博主经常使用国外的服务器进行博客建设和网站搭建，包括 我的博客(https://windcry1.com) 也是搭建在国外的服务器上面的，一个月的价格的话大约在5美元（相当于35人民币）左右，相当于人民币一元多一天。对比国内主流服务器的标准价格来说价格并不算太高。