华为ACL配置教程(四)
首页 > HuaWei > ACL   作者:圈哥  2016年2月11日 11:50 星期四  字号:   评论:0 条
时间:2016-2-11 11:50   评论:0 条 
 2016.12.16 更新,感谢道友“坏脾气”指出错误

三、ACL应用配置

1Telnent中应用ACL配置

[Huawei]telnet server acl ?

  INTEGER<2000-2999> 

[Huawei-ui-vty0-4]acl ?

  INTEGER<2000-3999>  Apply basic or advanced ACL

  ipv6                Filter IPv6 addresses

 

[Huawei-ui-vty0-4]acl 2000 ?

  inbound   Filter login connections from the current user interface

  outbound  Filter logout connections from the current user interface

 

2http中应用acl配置

[Huawei]http acl ?

  INTEGER<2000-2999> 

 

3SNMPv1v2)中应用ACL配置

[Huawei]snmp-agent community write 1 acl ?

  INTEGER<2000-2999>  Apply basic ACL

[Huawei]snmp-agent acl ?

 

4FTP中应用acl配置

[Huawei]ftp acl ?

  INTEGER<2000-2999>  Apply basic ACL

 

5TFTP中应用ACL配置

[Huawei]tftp-server acl ?

  INTEGER<2000-2999>  Apply basic ACL

 

6SFTP中应用ACL配置

[Huawei]ssh server acl ?

[Huawei-ui-vty0-4]acl ?

  INTEGER<2000-3999>  Apply basic or advanced ACL

  ipv6                Filter IPv6 addresses

 

[Huawei-ui-vty0-4]acl 2000 ?

  inbound   Filter login connections from the current user interface

  outbound  Filter logout connections from the current user interface

 

7、其他方式中应用ACL配置表(转自华为官方论坛)

业务模块

ACL应用方式

可使用的ACL编号范围

流策略

a  系统视图下执行命令traffic classifier classifier-name [ operator { and | or } ] [ precedenceprecedence-value ],进入流分类视图。

b执行命令if-match acl { acl-number | acl-name },配置ACL应用于流分类。

c 系统视图下执行命令traffic behavior behavior–name,定义流行为并进入流行为视图。

d配置流动作。报文过滤有两种流动作:denypermit

e 系统视图下执行命令traffic policy policy-name [match-order { auto | config } ],定义流策略并进入流策略视图。

f 执行命令classifier classifier-name behaviorbehavior-name,在流策略中为指定的流分类配置所需流行为,即绑定流分类和流行为。在系统视图、接口视图或VLAN视图下,执行命令traffic-policy policy-name { inbound | outbound },应用流策略。

ACL20005999

ACL620003999

NAT

方式一:

a   系统视图下执行命令nat address-group group-index start-address end-address,配置公网地址池。

b   执行命令interface interface-type interface-number.subnumber,进入子接口视图。

c   执行命令nat outbound acl-number address-groupgroup-index [ no-pat ],,配置带地址池的NAT Outbound

方式二:

a   系统视图下执行命令interface interface-typeinterface-number.subnumber,进入子接口视图。

b   执行命令nat outbound acl-number,配置Easy IP

20003999

IPSEC

方式一:

a   系统视图下执行命令ipsec policy policy-name seq-number manual,创建手工方式安全策略,并进入手工方式安全策略视图。

b   执行命令security acl acl-number,在安全策略中引用ACL

方式二:

a   系统视图下执行命令ipsec policy policy-name seq-number isakmp,创建IKE动态协商方式安全策略,并进入IKE动态协商方式安全策略视图。

b   执行命令security acl acl-number,在安全策略中引用ACL

方式三:

a   系统视图下执行命令ipsec policy-templatetemplate-name seq-number,创建策略模板,并进入策略模板视图。

b   执行命令security acl acl-number,在安全策略中引用ACL

c   系统视图下执行命令ipsec policy policy-name seq-number isakmp template template-name,在安全策略中引用策略模板。

30003999

本机防攻击策略

白名单

a   系统视图下执行命令cpu-defend policy policy-name,创建防攻击策略并进入防攻击策略视图。

b   执行命令whitelist whitelist-id acl acl-number,创建自定义白名单。

c   系统视图下执行命令cpu-defend-policy policy-name[ global ],或槽位视图下执行命令cpu-defend-policypolicy-name,应用防攻击策略。

20004999

黑名单

a   系统视图下执行命令cpu-defend policy policy-name,创建防攻击策略并进入防攻击策略视图。

b   执行命令blacklist blacklist-id acl acl-number,创建黑名单。

c   系统视图下执行命令cpu-defend-policy policy-name[ global ],或槽位视图下执行命令cpu-defend-policypolicy-name,应用防攻击策略。

20004999

用户自定义流

a   系统视图下执行命令cpu-defend policy policy-name,创建防攻击策略并进入防攻击策略视图。

b   执行命令user-defined-flow flow-id acl acl-number,配置用户自定义流。

c   系统视图下执行命令cpu-defend-policy policy-name[ global ],或槽位视图下执行命令cpu-defend-policypolicy-name,应用防攻击策略。

20004999

路由

Route Policy

a   系统视图下执行命令route-policy route-policy-name{ permit | deny } node node,创建Route-Policy,并进入Route-Policy视图。

b   执行命令if-match acl { acl-number | acl-name },配置基于ACL的匹配规则;或者配置apply子句为路由策略指定动作,如执行命令apply cost [ + | - ] cost,设置路由的开销值等。

c   应用路由策略。路由协议不同,命令行不同。例如针对OSPF协议,可以在OSPF视图下,执行命令import-route { limit limit-number | { bgp [ permit-ibgp ] | direct | unr | rip [ process-id-rip ] | static |isis [ process-id-isis ] | ospf [ process-id-ospf ] } [cost cost | type type | tag tag | route-policy route-policy-name ]* },引入其他路由协议学习到的路由信息;针对RIP协议,可以在RIP视图下,执行命令import-route { { static | direct | unr } | { { rip | ospf |isis } [ process-id ] } } [ cost cost | route-policyroute-policy-name ] *

20002999

Filter Policy

路由协议不同,过滤方向不同,命令行不同。例如针对RIP协议,对引入的路由进行过滤,可以在RIP视图下执行命令filter-policy { acl-number | acl-name acl-name | ip-prefix ip-prefix-name [ gateway ip-prefix-name ] }import [ interface-type interface-number ];对发布的路由进行过滤,可以在RIP视图下执行命令filter-policy {acl-number | acl-name acl-name | ip-prefix ip-prefix-name } export [ protocol [ process-id ] | interface-typeinterface-number ] 

20002999

组播

igmp-snooping ssm-policy

VLAN视图下执行命令igmp-snooping ssm-policy basic-acl-number

20002999

igmp-snooping group-policy

VLAN视图下执行命令igmp-snooping group-policy acl-number [ version version-number ] [ default-permit ]

20003999

 您阅读这篇文章共花了: 
二维码加载中...
技术交流:欢迎在本文下方留言或加入QQ群:481294053/474079428互相学习。     
本文地址:http://www.023wg.com/ACL/165.html
版权声明:若无注明,本文皆为“重庆网管”原创,转载请保留文章出处。

返回顶部    首页   
版权所有:重庆网管    圈哥