1. 基本acl 2000-2999 ,只能对源地址进行设置规制,为了避免导致与其他网段不通,所以,一般在过滤的时候会将其过滤端口设置在离目的地址近的端口
2.高级acl 3000-3999,所包含的有源地址,目的地址,源端口,目的端口,协议,高级acl所设置的规制,准确性高,为了减轻路由器对太多流量进行筛选减轻设备压力,所以一般设置在源地址近的端口
3.ACL的特点:
ACL对设备本身发起的流量是不起作用的;
ACL 与 traffic-filter 结合使用时,最后有一个隐含的“允许所有”。
其他情况下的ACL,最后包含的都是“拒绝所有”。
4.ACL的工作原理
一个接口的同一个方向只能调用一个ACL,但一个ACL可以同时包含多个rule规则,
进行ACL的检查的时候,按照 rule 号码的大小,从小到大依次检查;
如果一个 rule 能匹配住,就不会检查后续的其他 rule 。
ACL只能过滤经过自己的流量,不能过滤由路由器自己产生的数据
建议:
在配置 ACL 的过程中,不同的规则条目之间的 rule 号码尽量隔开一个段空间,这样的话,便于后期 ACL 的管理,比如添加 或者 删除一个 rule ,非常方便。
一:ACL华三和华为不同命令对比
1.192.168.1.0/24 网段不允许访问 192.168.2.0/24 网段,要求使用基本 ACL 实现
[HC3-20_4] acl basic 2000 #基本acl 华为:acl 2000
[HC3-20_4-2000] rule deny source 192.168.1.0 0.0.0.255 # 设置规则
[HC3-20_4] int g0/2
[HC3-20_4-G0/2]packet-filter 2000 outbound #端口过滤 华为:traffic-filter outbound 2000
2.20.1 可以访问 20.6 的 TELNET 服务,但不能访问 FTP 服务
[HC3-20_3] acl advanced 3000 #高级acl 华为:acl 3000
[HC3-20_3-3000] rule permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port eq 23 #设置关于telnet的规则
[HC3-20_3-3000] rule deny tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port range 20 21 #设置关于ftp的规则
[HC3-20_4] int g0/2
[HC3-20_4-G0/2]packet-filter 2000 inbound #端口过滤 华为:traffic-filter inbound 2000
华为包过滤规则举例:
[R1]acl 3000
[R1-acl-adv-3000]rule 10 permit tcp source 10.1.1.1 0.0.0.0 destination 10.1.3.1
0.0.0.0 destination-port eq 80
[R1-acl-adv-3000]rule 20 permit ip source 10.1.1.1 0.0.0.0 destination 10.1.2.1
0.0.0.255
[R1-acl-adv-3000]rule 30 deny ip source 10.1.1.1 0.0.0.0 destination any//必须加这个规则,否则以上允许规则就没用了。
[R1-acl-adv-3000]quit
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
二:流量控制ACL+QOS华为和华三的命令对比
1、QOS策略
QoS 策略包含了三个要素:流分类、流行为、流策略。用户可以通过 QoS 策略将指定的类和流行为绑定起来,灵活地进行 QoS 配置。
(1) 流分类
类的要素包括:类的名称和类的规则。
用户可以通过命令定义一系列的规则来对报文进行分类。
(2)流行为
流行为用来定义针对报文所做的 QoS 动作。
流行为的要素包括:流行为的名称和流行为中定义的动作。
用户可以通过命令在一个流行为中定义多个动作。
(3)流策略
策略用来将指定的类和流行为绑定起来,对符合分类条件的报文执行流行为中定义的动作。
策略的要素包括:策略名称、绑定在一起的类和流行为的名称。
用户可以在一个策略中定义多个类与流行为的绑定关系。
2、个人理解
流分类就是通过一些规则(比如什么网段的分成一类)将报文分成一类一类,流行为就是我们已经将报文分类好了,对符合我们预期的报文流,我们应该怎么处理,将类和流行为结合起来就可以合成QOS策略
3、traffic classifier
流分类
后面经常定义规则 if match XXXX(如果匹配什么可以划分成一类),规则较为常用是ACL
4、traffic behaviour
流行为
后面定义相应的动作
5、注意点
如果 QoS 策略在定义流分类规则时引用了 ACL,则直接忽略 ACL 规则的动作,以流行为中定义的动作为准,报文匹配只使用 ACL 中的匹配规则部分。
6、华为命令
acl number 3000 //定义规则test
rule permit icmp source 1.1.1.2 0 destination 1.1.1.3 0
rule permit icmp source 1.1.1.3 0 destination 1.1.1.2 0
traffic classifier test //定义流分类test
if-match acl 3000 //匹配规则
traffic behavior test //定义流行为
statistic enable //进行数据统计
traffic policy test //定义流策略test
classifier test behavior test //将类与行为绑在一起形成策略
interface GigabitEthernet 0/0/1 //进入接口使用策略
traffic-policy test inbound //入方向
traffic-policy test outbound //出方向
///
查看流统计结果
display traffic policy statistics interface GigabitEthernet 0/0/1 inbound //查看接口进方向
display traffic policy statistics interface GigabitEthernet 0/0/1 outbound //查看接口出方向
///
清除流统计结果
参考: https://support.huawei.com/enterprise/zh/knowledge/EKB1000088241
7、华三命令行
acl number 3000 //定义规则test
rule permit icmp source 1.1.1.2 0 destination 1.1.1.3 0
rule permit icmp source 1.1.1.3 0 destination 1.1.1.2 0
traffic classifier test //定义流分类test
if-match acl 3000 //匹配规则
traffic behavior test //定义流行为
accounting packet //进行数据统计
qos policy test //定义流策略test
classifier test behavior test //将类与行为绑在一起形成策略
interface GigabitEthernet 0/0/1 //进入接口使用策略
qos apply policy test inbound //入方向
qos apply policy test outbound //出方向
///
查看流统计结果
display qos policy interface //查看计数命中
扫一扫
2785
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
