华为acl怎么生效_华为ACL配置教程(一)
一、ACL基本配置
1、ACL規則生效時間段配置(需要先配置設備的時間,建議用ntp同步時間)
某些引用ACL的業務或功能需要限制在一定的時間范圍內生效,比如,在流量高峰期時啟動設備的QoS功能。用戶可以為ACL創建生效時間段,通過在規則中引用時間段信息限制ACL生效的時間范圍,從而達到該業務或功能在一定的時間范圍內生效的目的。
[Huawei]time-range
test ?
Starting time
from
The beginning point of the time range
[Huawei]time-range
test 8:00 ?
to? The
ending point of periodic time-range
[Huawei]time-range
test 8:00 t
[Huawei]time-range
test 8:00 to ?
Ending Time
[Huawei]time-range test 8:00 to 18:05 ?
<0-6>??????? Day of the
week(0 is Sunday)
Fri????????? Friday?? #星期五
Mon????????? Monday #星期一
Sat????????? Saturday #星期六
Sun????????? Sunday #星期天
Thu????????? Thursday #星期四
Tue????????? Tuesday #星期二
Wed????????? Wednesday #星期三
daily??????? Every day of the week? #每天
off-day????? Saturday and Sunday #星期六和星期日
working-day? Monday to Friday #工作日每一天
[Huawei]time-range test from 8:00 2016/1/17
to 18:00 2016/11/17
使用同一time-name可以配置多條不同的時間段,以達到這樣的效果:各周期時間段之間以及各絕對時間段之間分別取并集之后,再取二者的交集作為最終生效的時間范圍。
例如,時間段“test”配置了三個生效時段:
從2016年1月1日00:00起到2016年12月31日23:59生效,這是一個絕對時間段。
在周一到周五每天8:00到18:00生效,這是一個周期時間段。
在周六、周日下午14:00到18:00生效,這是一個周期時間段。
則時間段“test”最終描述的時間范圍為:2016年的周一到周五每天8:00到18:00以及周六和周日下午14:00到18:00。
由于網絡延遲等原因,可能造成網絡上設備時間不同步,建議配置NTP(Network Time Protocol),以保證網絡上時間的一致。
2、ACL類型配置
2.1、數字型acl配置
[Huawei]acl
2000 match-order ?
auto
Auto order #自動順序(默認)
config
Config order
或
[Huawei]acl
number 2000 match-order ?
auto
Auto order
config
Config order
2.2、命名型acl配置
[Huawei]acl
name test ?
advance
Specify an advanced named ACL #設置高級acl
basic
Specify a basic named ACL
match-order
Set ACL's match order
number
Specify a number for the named ACL
[Huawei]acl
name test ad
[Huawei]acl
name test advance ?
match-order
Set ACL's match order
number
Specify a number for the named ACL
[Huawei]acl name test number ?
INTEGER<2000-2999>??? Number of the basic named ACL
INTEGER<42768-75535>? Number
of the advanced named ACL
2.3、ACL類型配置
[Huawei]acl ?
INTEGER<1000-1999>
Interface access-list(add to current using rules) #接口訪問列表acl
INTEGER<10000-10999>? Apply
MPLS ACL? #應用MPLS ACL
INTEGER<2000-2999>??? Basic
access-list (add to current using rules) #基本acl
INTEGER<3000-3999>
Advanced access-list(add to current using rules) #高級acl
INTEGER<4000-4999>??? MAC
address access-list(add to current using rules) #二層acl
ipv6????????????????? ACL IPv6? #基本acl6和高級acl6配置
name????????????????? Specify a
named ACL
number??????????????? Specify a
numbered ACL
2.4、ACL描述設置(可選)
[Huawei-acl-basic-2600]description ?
TEXT
2.5、ACL步長設置(可選)
[Huawei-acl-basic-test]step ?
INTEGER<1-20>? Specify value
of step
二、ACL類型規則配置
1、基本ACL規則配置
基本ACL編號acl-number的范圍是2000~2999。
基本ACL可以根據報文自身的源IP地址、分片標記和時間段信息對IPv4報文進行分類。
[Huawei-acl-basic-test]rule 1 ?
deny??? Specify matched packet
deny
permit? Specify matched packet
permit
[Huawei-acl-basic-test]rule 1 deny ?
fragment-type? Specify the
fragment type of packet #分組片段類型
source???????? Specify source
address
time-range???? Specify a special
time
vpn-instance?? Specify a VPN-Instance
[Huawei-acl-basic-test]rule 1 deny source ?
X.X.X.X? Address of source
any????? Any source
[Huawei-acl-basic-test]rule 1 deny source
192.168.1.1 ?
0??????? Wildcard bits : 0.0.0.0 (
a host )
X.X.X.X? Wildcard of source
[Huawei-acl-basic-test]rule 1 deny source
192.168.1.1 0 ?
fragment-type? Specify the
fragment type of packet #對分組片段類型有效
time-range???? Specify a special
time #引用生效時間
vpn-instance?? Specify a
VPN-Instance #用于vpn
[Huawei-acl-basic-2600]description ? #配置規則描述
TEXT? ACL description (no more than 127 characters)
在ACL中配置首條規則時,如果未指定參數rule-id,設備使用步長值作為規則的起始編號。后續配置規則如仍未指定參數rule-id,設備則使用最后一個規則的rule-id的下一個步長的整數倍數值作為規則編號。
例如ACL中包含規則rule 5和rule 7,ACL的步長為5,則系統分配給新配置的未指定rule-id的規則的編號為10。
當用戶指定參數time-range引入ACL規則生效時間段時,如果time-name不存在,該規則將無法綁定該生效時間段。
如果不指定參數vpn-instance
vpn-instance-name,設備會對公網和私網的報文均進行匹配。
設備在收到報文時,會按照匹配順序將報文與ACL規則進行逐條匹配,一旦匹配上規則組內的某條規則,則停止匹配動作。之后,設備將依據匹配的規則對報文執行相應的動作。
總結
以上是生活随笔為你收集整理的华为acl怎么生效_华为ACL配置教程(一)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: vfp 调用 mysql uft-8 c
- 下一篇: element引入的组件大小高度不对_A