首页 > 网络 > 华为ACL匹配规则

华为ACL匹配规则

Jun 12th,2009 发表评论

华为3COM的ACL一直一来都比较麻烦,不同版本、不同型号的设备都有些不同。下面我以3900设备为例,说明ACL的配置和执行技巧。
总结一句话:rule排列规则和auto、config模式有关,而匹配顺序则和ACL应用环境和下发到端口的循序有关。
规律说明:
1、ACL可以分为auto模式和config模式,auto模式根据最长匹配的原则排列rule的顺序(可以通告dis acl all查看rule的循序,出现4-2-3-0-1很正常)。config模式根据用户配置循序排列rule的循序。也就是说auto和config只是 rule的排列顺序有关,与匹配顺序无关。
2、不管是auto模式还是config模式,当ACL应用于包过虑和QOS时,匹配循序是从下往上,但是应用于VTY 用户过虑等责是从上往下匹配。
3、不管是auto模式还是config模式,ACL的匹配顺序都是根据下发到端口的规则从下往上匹配。
4、在一个ACL里同时有多条rule匹配,则按照最长匹配优先执行。

包过虑ACL举例说明:
禁止10.10.10.145这台PC上网
允许10.10.10.0/24网段上网
允许192.168.0.0/16网段上网
禁止所有IP
配置方法一:
配置ACL(需要严格按照配置顺序配置)
acl num 3000 mach config
rule den ip
rule permit ip sour 192.168.0.0 0.0.255.255
rule permit ip sour 10.10.10.0 0.0.0.255
rule deny ip sour 10.10.10.145 0
下发ACL到端口
int e 1/0/1
pack in ip 3000
配置方法二:
配置ACL(配置循序随便)
acl num 3001 mach auto
rule permit ip sour 10.10.10.0 0.0.0.255
rule den ip
rule deny ip sour 10.10.10.145 0
rule permit ip sour 192.168.0.0 0.0.255.255
下发ACL到端口
int e 1/0/2
pack in ip 3001 rule 0(必需先应用rule 0,否则全部都是禁止)
pack in ip 3001

配置输出:
acl number 3000(排列顺序为0-1-2-3,按配置顺序排列)
rule 0 deny ip
rule 1 permit ip source 192.168.0.0 0.0.255.255
rule 2 permit ip source 10.10.10.0 0.0.0.255
rule 3 deny ip source 10.10.10.145 0
acl number 3001 match-order auto(排列顺序为3-1-2-0,按掩码排列)
rule 3 deny ip source 10.10.10.145 0
rule 1 permit ip source 10.10.10.0 0.0.0.255
rule 2 permit ip source 192.168.0.0 0.0.255.255
rule 0 deny ip
#
vlan 1
#
interface Aux1/0/0
#
interface Ethernet1/0/1(排列顺序为0-1-2-3,和ACL顺序一样)
packet-filter inbound ip-group 3000 rule 0
packet-filter inbound ip-group 3000 rule 1
packet-filter inbound ip-group 3000 rule 2
packet-filter inbound ip-group 3000 rule 3
#
interface Ethernet1/0/2(排列顺序为0-3-1-2,和ACL顺序不一样)
packet-filter inbound ip-group 3001 rule 0
packet-filter inbound ip-group 3001 rule 3
packet-filter inbound ip-group 3001 rule 1
packet-filter inbound ip-group 3001 rule 2
#
用户限制过虑ACL和cisco一样,从上往下执行,比较标准,不做说明。

另外付上不同交换机ACL执行说明:

Quidway S系列低端交换机绝大部分的设备支持的ACL匹配规则为后下发先生效,其中包括S3000-EI系列、S3526E系列、S3900系列、S5000系列以及S5600系列;还有一部分设备支持的ACL匹配规则为先下发先生效,如S3552系列和S5100-EI系列。此外,S3526系列交换机支持的 ACL匹配顺序是深度优先,最小地址范围的rule优先生效。
H3C系列低端以太网交换机,S3600和S5600支持的ACL匹配顺序为后下发先生效,S5100-EI系列交换机支持的ACL匹配顺序为先下发先生效。

PS:先后看口下面的rule顺序

声明: 本文采用 BY-NC-SA 协议进行授权. 转载请注明转自: 华为ACL匹配规则
  1. How I Make $300 a Day Online | 2009年6月18日12:54 | #1

    Hey, great post, really well written. You should write more about this.

  1. 本文目前尚无任何 trackbacks 和 pingbacks.