华为路由的ACL的配置.docxVIP

华为路由的ACL的配置 华为3COM的ACL一直一来都比较麻烦，不同版本、不同型号的设备都有些不同。下面我以3900设备为例，说明ACL的配置和执行技巧。总结一句话：rule排列规则和auto、config模式有关，而匹配顺序则和ACL应用环境和下发到端口的循序有关。规律说明：1、ACL可以分为auto模式和config模式,auto模式根据最长匹配的原则排列rule的顺序（可以通告dis aclall查看rule的循序，出现4－2－3－0－1很正常）。config模式根据用户配置循序排列rule的循序。也就是说auto和config只是rule的排列顺序有关，与匹配顺序无关。2、不管是auto模式还是config模式，当ACL应用于包过虑和QOS时，匹配循序是从下往上，但是应用于VTY 用户过虑等责是从上往下匹配。3、不管是auto模式还是config模式，ACL的匹配顺序都是根据下发到端口的规则从下往上匹配。4、在一个ACL里同时有多条rule匹配，则按照最长匹配优先执行。包过虑ACL举例说明：禁止45这台PC上网允许/24网段上网允许/16网段上网禁止所有IP配置方法一：配置ACL（需要严格按照配置顺序配置）acl num 3000 mach configrule den ip rule permit ip sour 55 rule permit ip sour?? 55rule deny ip sour 45 0下发ACL到端口int e 1/0/1pack in ip 3000配置方法二：配置ACL（配置循序随便）acl num 3001 mach autorule permit ip sour?? 55rule den ip rule deny ip sour 45 0rule permit ip sour 55 下发ACL到端口int e 1/0/2pack in ip 3001 rule 0（必需先应用rule 0，否则全部都是禁止）pack in ip 3001配置输出：acl number 3000（排列顺序为0－1－2－3，按配置顺序排列）rule 0 deny iprule 1 permit ip source 55rule 2 permit ip source 55rule 3 deny ip source 45 0acl number 3001 match-order auto（排列顺序为3－1－2－0，按掩码排列）rule 3 deny ip source 45 0rule 1 permit ip source 55rule 2 permit ip source 55rule 0 deny ip#vlan 1#interface Aux1/0/0#interface Ethernet1/0/1（排列顺序为0－1－2－3，和ACL顺序一样）packet-filter inbound ip-group 3000 rule 0packet-filter inbound ip-group 3000 rule 1packet-filter inbound ip-group 3000 rule 2packet-filter inbound ip-group 3000 rule 3#interface Ethernet1/0/2（排列顺序为0－3－1－2，和ACL顺序不一样）packet-filter inbound ip-group 3001 rule 0packet-filter inbound ip-group 3001 rule 3packet-filter inbound ip-group 3001 rule 1packet-filter inbound ip-group 3001 rule 2 标准访问列表命令格式如下：acl acl-number [match-order config|auto]???????? // 默认前者顺序匹配rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]例：[Quidway]acl 10[Quidway-acl-10]rule normal permit source 55[Quidway-acl-10]rule normal deny source any扩展访问控制列表配置命令配置TCP/UDP协议的扩展访问列表：rule {normal|special}{permit|deny}{tcp|udp}source {i