華爲3COM的ACL一直一來都比較麻煩,不同版本、不同型號的設備都有些不同。下面我以3900設備爲例,說明ACL的配置和執行技巧。
總結一句話:rule排列規則和auto、config模式有關,而匹配順序則和ACL應用環境和下發到端口的循序有關。
規律說明:
1、ACL可以分爲auto模式和config模式,auto模式根據最長匹配的原則排列rule的順序(可以通告dis acl all查看rule的循序,出現4-2-3-0-1很正常)。config模式根據用戶配置循序排列rule的循序。也就是說auto和config只是rule的排列順序有關,與匹配順序無關。
2、不管是auto模式還是config模式,當ACL應用於包過慮和QOS時,匹配循序是從下往上,但是應用於VTY 用戶過慮等責是從上往下匹配。
3、不管是auto模式還是config模式,ACL的匹配順序都是根據下發到端口的規則從下往上匹配。
4、在一個ACL裏同時有多條rule匹配,則按照最長匹配優先執行。
包過慮ACL舉例說明:
禁止10.10.10.145這臺PC上網
允許10.10.10.0/24網段上網
允許192.168.0.0/16網段上網
禁止所有IP
配置方法一:
配置ACL(需要嚴格按照配置順序配置)
acl num 3000 mach config
rule den ip
rule permit ip sour 192.168.0.0 0.0.255.255
rule permit ip sour 10.10.10.0 0.0.0.255
rule deny ip sour 10.10.10.145 0
下發ACL到端口
int e 1/0/1
pack in ip 3000
配置方法二:
配置ACL(配置循序隨便)
acl num 3001 mach auto
rule permit ip sour 10.10.10.0 0.0.0.255
rule den ip
rule deny ip sour 10.10.10.145 0
rule permit ip sour 192.168.0.0 0.0.255.255
下發ACL到端口
int e 1/0/2
pack in ip 3001 rule 0(必需先應用rule 0,否則全部都是禁止)
pack in ip 3001
配置輸出:
acl number 3000(排列順序爲0-1-2-3,按配置順序排列)
rule 0 deny ip
rule 1 permit ip source 192.168.0.0 0.0.255.255
rule 2 permit ip source 10.10.10.0 0.0.0.255
rule 3 deny ip source 10.10.10.145 0
acl number 3001 match-order auto(排列順序爲3-1-2-0,按掩碼排列)
rule 3 deny ip source 10.10.10.145 0
rule 1 permit ip source 10.10.10.0 0.0.0.255
rule 2 permit ip source 192.168.0.0 0.0.255.255
rule 0 deny ip
#
vlan 1
#
interface Aux1/0/0
#
interface Ethernet1/0/1(排列順序爲0-1-2-3,和ACL順序一樣)
packet-filter inbound ip-group 3000 rule 0
packet-filter inbound ip-group 3000 rule 1
packet-filter inbound ip-group 3000 rule 2
packet-filter inbound ip-group 3000 rule 3
#
interface Ethernet1/0/2(排列順序爲0-3-1-2,和ACL順序不一樣)
packet-filter inbound ip-group 3001 rule 0
packet-filter inbound ip-group 3001 rule 3
packet-filter inbound ip-group 3001 rule 1
packet-filter inbound ip-group 3001 rule 2
#
rule 0 deny ip
rule 1 permit ip source 192.168.0.0 0.0.255.255
rule 2 permit ip source 10.10.10.0 0.0.0.255
rule 3 deny ip source 10.10.10.145 0
acl number 3001 match-order auto(排列順序爲3-1-2-0,按掩碼排列)
rule 3 deny ip source 10.10.10.145 0
rule 1 permit ip source 10.10.10.0 0.0.0.255
rule 2 permit ip source 192.168.0.0 0.0.255.255
rule 0 deny ip
#
vlan 1
#
interface Aux1/0/0
#
interface Ethernet1/0/1(排列順序爲0-1-2-3,和ACL順序一樣)
packet-filter inbound ip-group 3000 rule 0
packet-filter inbound ip-group 3000 rule 1
packet-filter inbound ip-group 3000 rule 2
packet-filter inbound ip-group 3000 rule 3
#
interface Ethernet1/0/2(排列順序爲0-3-1-2,和ACL順序不一樣)
packet-filter inbound ip-group 3001 rule 0
packet-filter inbound ip-group 3001 rule 3
packet-filter inbound ip-group 3001 rule 1
packet-filter inbound ip-group 3001 rule 2
#
用戶限制過慮ACL和cisco一樣,從上往下執行,比較標準,不做說明。
另外付上不同交換機ACL執行說明:
Quidway S系列低端交換機絕大部分的設備支持的ACL匹配規則爲後下發先生效,其中包括S3000-EI系列、S3526E系列、S3900系列、S5000系列以及S5600系列;還有一部分設備支持的ACL匹配規則爲先下發先生效,如S3552系列和S5100-EI系列。此外,S3526系列交換機支持的ACL匹配順序是深度優先,最小地址範圍的rule優先生效。H3C系列低端以太網交換機,S3600和S5600支持的ACL匹配順序爲後下發先生效,S5100-EI系列交換機支持的ACL匹配順序爲先下發先生效。6500系列更加複雜,不同板卡都有不同的循序。大家自己研究。