華為訪問控制列表

1. 華為交換機裡面ACL是什麼

acl技術不管是華為和思科系列產品都有，全稱是訪問控制列表access control list,其主要功能是針對網路的訪問控制，以及對不同行為的管理。
比如說可以通過acl來實現控制某個電腦或者一個網段上不了網，可以控制什麼時候可以上網等。

2. 關於華為交換機訪問控制列表的問題，，，，誰能解答一下

就是acl，根據報文的特徵用以控制介面進出的報文

3. 華為AR-28-11 ACL訪問控制列表配置方法

此實例目的：
讓內網所有主機禁止訪問外網的一個IP地址。

[R1]firewall enable *啟用防火牆
[R1]firewall default permit *防火牆默認為允許
[R1]acl number 3001
[R1-acl-adv-3001]rule permait ip source *.*.*.* 0 *允許內網期中一台主機可以訪問外網
[R1-acl-adv-3001]rule 0 deny ip source any destination *.*.*.* 0 *設置內網所有主機不能訪問外網的IP地址、
然用進入內網埠下發3001策略。命令為：
firewall packet-filter 3001 inbound

4. 華為交換機訪問控制列表問題

您連接外部網路的埠設置為Trunk埠，只允許VLAN 10通過該行的其他VLAN自然到外部網路

5. 華為路由器與華為防火牆怎麼讓各自下面的設備互通

如果是在同一個機房的2張不同網路，你可以拉1條線連接2台華為路由器/防火牆，寫路由互通。如果是兩個不同位置的網路，那麼需要建IPSEC VPN互通。

6. 華為交換機配置vlan設定IP及路由做訪問控制列表怎麼做

首先有幾個問題你沒有說太明白，我只好做假設。
1，你所給的5個IP地址，是配置在S93上作為5個VLAN的網關來使用的嗎？你沒說明，我只能假設是。
2，還有你的VLAN是在S93上開始的嗎？也就是說S93的接入口該是什麼模式？你沒說明，我只能假設開始於S93既交換機埠都是access模式。
3，設置靜態路由則我們需要嚇一跳地址和出介面，你沒有給出。我只能做個假設。
好了配置開始。（接下來我寫的是配置腳本，你可以直接復制使用，當然就沒必要復制其中我用漢字進行說明的部分了）
首先配置VLAN
vlan 2
vlan 3
vlan 4
vlan 5
vlan 6 (一般使用VLAN不會用到VLAN1這是個莫用規則，因為VLAN1在所有設備上都存在，使用起來有諸多不便，還存在安全隱患）
vlan7（按照你的意思我猜測你的VLAN在此終結，也就是說上聯口要有IP地址，而在93上IP地址是只能配在VLAN中而不能配在介面下的，所以將上聯口的互聯地址配置在此VLAN中，將上聯口加入此VLAN即可）
interface vlanif 2
ip address 192.168.10.6 255.255.254.0(你沒有給出掩碼，經過我的計算只有255.255.254.0這個掩碼能滿足你現在過給的網段地址)
interface vlanif 3
ip address 192.168.20.6 255.255.254.0
interface vlanif 4
ip address 192.168.30.6 255.255.254.0
interface vlanif 5
ip address 192.168.40.6 255.255.254.0
interface vlanif 6
ip address 192.168.50.6 255.255.254.0
interface vlanif 7
ip address ?
interface gig 1/0/0
port link-type access (沒做過S93的估計會指出這不用改，呵呵。事實上93上埠的默認狀態是trunk所以沒做過的 請閉嘴）
port default vlan 2
interface gig 1/0/1
port link-type access
port default vlan 3
interface gig 1/0/2
port link-type access
port default vlan 4
interface gig 1/0/3
port link-type access
port default vlan 5
interface gig 1/0/4
port link-type access
port default vlan 6
interface gig 1/0/5
port link-type access
port default vlan 7
ip route-static 10.126.80.20 0.0.0.0 gig 1/0/5 ?(因為你沒指明上聯口互聯地址我只能寫？號，這里要寫上聯口的對端地址。）
ip route-static 10.126.80.20 0.0.0.0 gig 1/0/5 ?
接下來是訪問控制，在93中訪問控制列表只是工具不能直接在埠下調用。

acl 3001(要做基於目的地址和源地址的訪控必須是高級訪問控制列表，從3000開始
rule 0 permit destinationg 192.168.10.6 0.0.2.255 source 10.126.80.20 0.0.0.0 (注意此處用的是反掩碼）
rule 1 permit destinationg 192.168.10.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc1
if-match acl 3001
traffic behavior tb1
permit
traffic policy tp1
classifier tc1 behavior tb1
quit
acl 3002
rule 0 permit destinationg 192.168.20.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.20.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc2
if-match acl 3002
traffic behavior tb2
permit
traffic policy tp2
classifier tc2 behavior tb2
quit
acl 3003
rule 0 permit destinationg 192.168.30.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.30.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc3
if-match acl 3003
traffic behavior tb3
permit
traffic policy tp3
classifier tc3 behavior tb3
quit
acl 3002
rule 0 permit destinationg 192.168.40.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.40.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny source any
traffic classifier tc4
if-match acl 3004
traffic behavior tb4
permit
traffic policy tp4
classifier tc4 behavior tb4
quit
acl 3005
rule 0 permit destinationg 192.168.50.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.50.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc5
if-match acl 3005
traffic behavior tb5
permit
traffic policy tp5
classifier tc5 behavior tb5
quit
acl 3006
rule 0 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.10.6 0.0.2.255
rule 1 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.20.6 0.0.2.255
rule 2 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.30.6 0.0.2.255
rule 3 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.40.6 0.0.2.255
rule 4 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.50.6 0.0.2.255
rule 5 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.10.6 0.0.2.255
rule 6 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.20.6 0.0.2.255
rule 7 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.30.6 0.0.2.255
rule 8 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.40.6 0.0.2.255
rule 9 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.50.6 0.0.2.255
rule 10 deny any
traffic classifier tc6
if-match acl 3006
traffic behavior tb6
permit
traffic policy tp6
classifier tc6 behavior tb6
quit(注意訪問控制列表應該是雙向的不僅要控制回來還要控制出去注意綁定方向）
interface gig 1/0/0
traffic-policy tp1 outbound
interface gig 1/0/1
traffic-policy tp2 outbound
interface gig 1/0/2
traffic-policy tp3 outbound
interface gig 1/0/3
traffic-policy tp4 outbound
interface gig 1/0/4
traffic-policy tp5 outbound
interface gig 1/0/5
traffic-policy tp6 outbound
(配置完成，如果還有什麼問題，可以問我。）

7. 華為路由器怎麼設置訪問控制列表

答：訪問控制列表是一種包過濾技術，分為標准訪問控制列表（編號為1到99）和擴展訪問控制列表（編號為100到199）兩類。標准訪問控制列表主要是對源地址的控制，適用於所有的協議。 以Cisco2600路由器為例，假設允許192.168.1.0網段內的所有機器通過...

8. 華為acl配置基本和高級訪問

訪問控制列表ACL（Access Control List）是由一系列規則組成的集合，ACL通過這些規則對報文進行分類，從而使設備可以對不同類報文進行不同的處理。
高級ACL：
表示方式：ID，取值控制為：3000~3999
可以同時匹配數據包的源IP地址、目標IP地址、協議、源埠、目標埠；
匹配數據更加的精確

拓撲圖：


步驟：
1.基本配置：
如拓撲圖和配置圖所示，完成各個物理設備和介面的配置，並測試連通性：


2.搭建OSPF網路：
僅以R1為例，其他同理：

[R1]ospf
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
1
2
3
4
1
2
3
4
配置完成後，查看R1的ospf路由條目：

可以看到，R1已經學習到了所有路由信息。

3.配置Telnet：
[R4]user-interface vty 0 4
[R4-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):huawei
1
2
3
1
2
3
用1.1.1.1嘗試登陸R4的兩個環回介面：


均登陸成功過，可以得知，只要擁有Telnet的密碼均可以成功登陸到R4上。

4.配置高級ACL訪問控制：
我們的目標是R1的環回介面只能通過R4的4.4.4.4介面訪問Telnet，不能通過40.40.40.40訪問。基本ACL只能控制源地址因此不能完成此任務，高級ACL不僅能控制源地址，還能控制目的地址，可以完成此任務：

[R4]acl 3000
[R4-acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 4.4.4.4 0
1
2
1
2
查看ACL配置信息：

接著，使用vty進行acl的調用：

[R4]user-interface vty 0 4
[R4-ui-vty0-4]acl 3000 inbound
1
2
1
2
配置完成後，再使用1.1.1.1訪問40.40.40.40：

可以看到，配置已生效，1.1.1.1不能通過40.40.40.40訪問Telnet。

9. 關於ACL配置（華為）

ACL匹配：

預設情況下，系統按照ACL規則編號從小到大的順序進行報文匹配，規則編號越小越容易被匹配。

報文與ACL規則匹配後，會產生兩種匹配結果：「匹配」和「不匹配」。

匹配（命中規則）：指存在ACL，且在ACL中查找到了符合匹配條件的規則。不論匹配的動作是「permit」還是「deny」，都稱為「匹配」，而不是只是匹配上permit規則才算「匹配」。

匹配上permit：允許

匹配上deny：拒絕

無論報文匹配ACL的結果是「不匹配」、「允許」還是「拒絕」，該報文最終是被允許通過還是拒絕通過，實際是由應用ACL的各個業務模塊來決定的。不同的業務模塊，對命中和未命中規則報文的處理方式也各不相同。

不匹配（未命中規則）：指不存在ACL，或ACL中無規則，再或者在ACL中遍歷了所有規則都沒有找到符合匹配條件的規則。切記以上三種情況，都叫做「不匹配」。

(9)華為訪問控制列表擴展閱讀：

ACL基本原理：

ACL，是Access Control List的簡稱，中文名稱叫「訪問控制列表」。

ACL由一系列規則（即描述報文匹配條件的判斷語句）組成。這些條件，可以是報文的源地址、目的地址、埠號等。

打個比方，ACL其實是一種報文過濾器，ACL規則就是過濾器的濾芯。安裝什麼樣的濾芯（即根據報文特徵配置相應的ACL規則），ACL就能過濾出什麼樣的報文。

基於過濾出的報文，我們能夠做到阻塞攻擊報文、為不同類報文流提供差分服務、對Telnet登錄/FTP文件下載進行控制等等，從而提高網路環境的安全性和網路傳輸的可靠性。

10. 關於華為路由器基於MAC的訪問控制列表

首先。確定一下。int e3/0是內網的埠么？
那個mac地址是e3/0的地址么？因為是路由器。，每個埠的mac地址都是不一樣的。
查看一下e3/0的mac地址。使用4000規則。
因為是流入，使用inbound。
應該是沒有問題的。