华为ACL配置教程

华为ACL配置教程一、ACL基本配置1、ACL规则生效时间段配置（需要先配置设备的时间，建议用ntp同步时间）某些引用ACL的业务或功能需要限制在一定的时间范围内生效，比如，在流量高峰期时启动设备的QoS功能。用户可以为ACL创建生效时间段，通过在规则中引用时间段信息限制ACL生效的时间范围，从而达到该业务或功能在一定的时间范围内生效的目的。[Huawei]time-rangetest?hh:mmStartingtimefromThebeginningpointofthetimerange[Huawei]time-rangetest8:00?toTheendingpointofperiodictime-range[Huawei]time-rangetest8:00t[Huawei]time-rangetest8:00to?hh:mmEndingTime[Huawei]time-rangetest8:00to18:05?0-6Dayoftheweek(0isSunday)FriFriday#星期五MonMonday#星期一SatSaturday#星期六SunSunday#星期天ThuThursday#星期四TueTuesday#星期二WedWednesday#星期三dailyEverydayoftheweek#每天off-daySaturdayandSunday#星期六和星期日working-dayMondaytoFriday#工作日每一天[Huawei]time-rangetestfrom8:002016/1/17to18:002016/11/17使用同一time-name可以配置多条不同的时间段，以达到这样的效果：各周期时间段之间以及各绝对时间段之间分别取并集之后，再取二者的交集作为最终生效的时间范围。例如，时间段“test”配置了三个生效时段：从2016年1月1日00:00起到2016年12月31日23:59生效，这是一个绝对时间段。在周一到周五每天8:00到18:00生效，这是一个周期时间段。在周六、周日下午14:00到18:00生效，这是一个周期时间段。则时间段“test”最终描述的时间范围为：2016年的周一到周五每天8:00到18:00以及周六和周日下午14:00到18:00。由于网络延迟等原因，可能造成网络上设备时间不同步，建议配置NTP（NetworkTimeProtocol），以保证网络上时间的一致。2、ACL类型配置2.1、数字型acl配置[Huawei]acl2000match-order?autoAutoorder#自动顺序（默认）configConfigorder或[Huawei]aclnumber2000match-order?autoAutoorderconfigConfigorder2.2、命名型acl配置[Huawei]aclnametest?advanceSpecifyanadvancednamedACL#设置高级aclbasicSpecifyabasicnamedACLmatch-orderSetACL'smatchordernumberSpecifyanumberforthenamedACLcr[Huawei]aclnametestad[Huawei]aclnametestadvance?match-orderSetACL'smatchordernumberSpecifyanumberforthenamedACLcr[Huawei]aclnametestnumber?INTEGER2000-2999NumberofthebasicnamedACLINTEGER42768-75535NumberoftheadvancednamedACL2.3、ACL类型配置[Huawei]acl?INTEGER1000-1999Interfaceaccess-list(addtocurrentusingrules)#接口访问列表aclINTEGER10000-10999ApplyMPLSACL#应用MPLSACLINTEGER2000-2999Basicaccess-list(addtocurrentusingrules)#基本aclINTEGER3000-3999Advancedaccess-list(addtocurrentusingrules)#高级aclINTEGER4000-4999MACaddressaccess-list(addtocurrentusingrules)#二层aclipv6ACLIPv6#基本acl6和高级acl6配置nameSpecifyanamedACLnumberSpecifyanumberedACL2.4、ACL描述设置（可选）[Huawei-acl-basic-2600]description?TEXT2.5、ACL步长设置（可选）[Huawei-acl-basic-test]step?INTEGER1-20Specifyvalueofstep二、ACL类型规则配置1、基本ACL规则配置基本ACL编号acl-number的范围是2000～2999。基本ACL可以根据报文自身的源IP地址、分片标记和时间段信息对IPv4报文进行分类。[Huawei-acl-basic-test]rule1?denySpecifymatchedpacketdenypermitSpecifymatchedpacketpermit[Huawei-acl-basic-test]rule1deny?fragment-typeSpecifythefragmenttypeofpacket#分组片段类型sourceSpecifysourceaddresstime-rangeSpecifyaspecialtimevpn-instanceSpecifyaVPN-Instancecr[Huawei-acl-basic-test]rule1denysource?X.X.X.XAddressofsourceanyAnysource[Huawei-acl-basic-test]rule1denysource192.168.1.1?0Wildcardbits:0.0.0.0(ahost)X.X.X.XWildcardofsource[Huawei-acl-basic-test]rule1denysource192.168.1.10?fragment-typeSpecifythefragmenttypeofpacket#对分组片段类型有效time-rangeSpecifyaspecialtime#引用生效时间vpn-instanceSpecifyaVPN-Instance#用于vpncr[Huawei-acl-basic-2600]description?#配置规则描述TEXTACLdescription(nomorethan127characters)在ACL中配置首条规则时，如果未指定参数rule-id，设备使用步长值作为规则的起始编号。后续配置规则如仍未指定参数rule-id，设备则使用最后一个规则的rule-id的下一个步长的整数倍数值作为规则编号。例如ACL中包含规则rule5和rule7，ACL的步长为5，则系统分配给新配置的未指定rule-id的规则的编号为10。当用户指定参数time-range引入ACL规则生效时间段时，如果time-name不存在，该规则将无法绑定该生效时间段。如果不指定参数vpn-instancevpn-instance-name，设备会对公网和私网的报文均进行匹配。设备在收到报文时，会按照匹配顺序将报文与ACL规则进行逐条匹配，一旦匹配上规则组内的某条规则，则停止匹配动作。之后，设备将依据匹配的规则对报文执行相应的动作。2、高级ACL规则配置高级ACL编号acl-number的范围是3000～3999。高级acl主要对源/目的IP地址、端口号、优先级、时间段等报文进行过滤。[Huawei-acl-adv-3000]rule1permit?1-255ProtocolnumbergreGREtunneling(47)icmpInternetControlMessageProtocol(1)igmpInternetGroupManagementProtocol(2)ipAnyIPprotocolipinipIPinIPtunneling(4)ospfOSPFroutingprotocol(89)tcpTransmissionControlProtocol(6)udpUserDatagramProtocol(17)[Huawei-acl-adv-3000]rule1permitudp?destinationSpecifydestinationaddressdestination-portSpecifydestinationportdscpSpecifydscpfragment-typeSpecifythefragmenttypeofpacketprecedenceSpecifyprecedencesourceSpecifysourceaddresssource-portSpecifysourceporttime-rangeSpecifyaspecialtimetosSpecifytosvpn-instanceSpecifyaVPN-Instancecr[Huawei-acl-adv-3000]rule1permitudpsource?X.X.X.XAddressofsourceanyAnysource[Huawei-acl-adv-3000]rule1permitudpsourceany?destinationSpecifydestinationaddressdestination-portSpecifydestinationportdscpSpecifydscpfragment-typeSpecifythefragmenttypeofpacketprecedenceSpecifyprecedencesource-portSpecifysourceporttime-rangeSpecifyaspecialtimetosSpecifytosvpn-instanceSpecifyaVPN-Instancecr[Huawei-acl-adv-3000]rule1permitudpsourceanydes[Huawei-acl-adv-3000]rule1permitudpsourceanydestination?X.X.X.XSpecifydestinationaddressanyAnydestinationIPaddress[Huawei-acl-adv-3000]rule1permitudpsourceanydestination192.168.1.1?0Wildcardbits:0.0.0.0(ahost)X.X.X.XWildcardofdestination[Huawei-acl-adv-3000]rule1permitudpsourceanydestination192.168.1.10?destination-portSpecifydestinationportdscpSpecifydscpfragment-typeSpecifythefragmenttypeofpacketprecedenceSpecifyprecedencesource-portSpecifysourceporttime-rangeSpecifyaspecialtimetosSpecifytosvpn-instanceSpecifyaVPN-Instancecr[Huawei-acl-adv-3000]rule1permitudpsourceanydestination192.168.1.10destination-