1. 華為路由器里有這樣一個命令 不怎麼明白 有沒有大鳥們 翻譯一下,先拜過了
1、acl就不用說了,是對限速報文進行范圍確定,或進行分類的。
2、traffic classifier xiansu2 operator and :創建一個流分類,名稱:xianshu2,規則間是與的關系
if-match acl 3003 :匹配acl
#
traffic behavior xiansu :創建一個流動作,名稱:xianshu,
queue ef bandwidth 1024 cbs 25600 :將報文設為「ef」級別,承諾速率1024,突發cbs:25600
#
qos policy xiansu :創建qos策略,
classifier xiansu2 behavior xiansu 關聯流分類和流動作。
2. 關於ACL配置(華為)
ACL匹配:
預設情況下,系統按照ACL規則編號從小到大的順序進行報文匹配,規則編號越小越容易被匹配。
報文與ACL規則匹配後,會產生兩種匹配結果:「匹配」和「不匹配」。
匹配(命中規則):指存在ACL,且在ACL中查找到了符合匹配條件的規則。不論匹配的動作是「permit」還是「deny」,都稱為「匹配」,而不是只是匹配上permit規則才算「匹配」。
匹配上permit:允許
匹配上deny:拒絕
無論報文匹配ACL的結果是「不匹配」、「允許」還是「拒絕」,該報文最終是被允許通過還是拒絕通過,實際是由應用ACL的各個業務模塊來決定的。不同的業務模塊,對命中和未命中規則報文的處理方式也各不相同。
不匹配(未命中規則):指不存在ACL,或ACL中無規則,再或者在ACL中遍歷了所有規則都沒有找到符合匹配條件的規則。切記以上三種情況,都叫做「不匹配」。
(2)華為高級訪問控制列表實驗內容擴展閱讀:
ACL基本原理:
ACL,是Access Control List的簡稱,中文名稱叫「訪問控制列表」。
ACL由一系列規則(即描述報文匹配條件的判斷語句)組成。這些條件,可以是報文的源地址、目的地址、埠號等。
打個比方,ACL其實是一種報文過濾器,ACL規則就是過濾器的濾芯。安裝什麼樣的濾芯(即根據報文特徵配置相應的ACL規則),ACL就能過濾出什麼樣的報文。
基於過濾出的報文,我們能夠做到阻塞攻擊報文、為不同類報文流提供差分服務、對Telnet登錄/FTP文件下載進行控制等等,從而提高網路環境的安全性和網路傳輸的可靠性。
3. 華為路由器怎麼設置訪問控制列表
答:訪問控制列表是一種包過濾技術,分為標准訪問控制列表(編號為1到99)和擴展訪問控制列表(編號為100到199)兩類。標准訪問控制列表主要是對源地址的控制,適用於所有的協議。 以Cisco2600路由器為例,假設允許192.168.1.0網段內的所有機器通過...
4. 華為交換機配置vlan設定IP及路由做訪問控制列表怎麼做
首先有幾個問題你沒有說太明白,我只好做假設。
1,你所給的5個IP地址,是配置在S93上作為5個VLAN的網關來使用的嗎?你沒說明,我只能假設是。
2,還有你的VLAN是在S93上開始的嗎?也就是說S93的接入口該是什麼模式?你沒說明,我只能假設開始於S93既交換機埠都是access模式。
3,設置靜態路由則我們需要嚇一跳地址和出介面,你沒有給出。我只能做個假設。
好了配置開始。(接下來我寫的是配置腳本,你可以直接復制使用,當然就沒必要復制其中我用漢字進行說明的部分了)
首先配置VLAN
vlan 2
vlan 3
vlan 4
vlan 5
vlan 6 (一般使用VLAN不會用到VLAN1這是個莫用規則,因為VLAN1在所有設備上都存在,使用起來有諸多不便,還存在安全隱患)
vlan7(按照你的意思我猜測你的VLAN在此終結,也就是說上聯口要有IP地址,而在93上IP地址是只能配在VLAN中而不能配在介面下的,所以將上聯口的互聯地址配置在此VLAN中,將上聯口加入此VLAN即可)
interface vlanif 2
ip address 192.168.10.6 255.255.254.0(你沒有給出掩碼,經過我的計算只有255.255.254.0這個掩碼能滿足你現在過給的網段地址)
interface vlanif 3
ip address 192.168.20.6 255.255.254.0
interface vlanif 4
ip address 192.168.30.6 255.255.254.0
interface vlanif 5
ip address 192.168.40.6 255.255.254.0
interface vlanif 6
ip address 192.168.50.6 255.255.254.0
interface vlanif 7
ip address ?
interface gig 1/0/0
port link-type access (沒做過S93的估計會指出這不用改,呵呵。事實上93上埠的默認狀態是trunk所以沒做過的 請閉嘴)
port default vlan 2
interface gig 1/0/1
port link-type access
port default vlan 3
interface gig 1/0/2
port link-type access
port default vlan 4
interface gig 1/0/3
port link-type access
port default vlan 5
interface gig 1/0/4
port link-type access
port default vlan 6
interface gig 1/0/5
port link-type access
port default vlan 7
ip route-static 10.126.80.20 0.0.0.0 gig 1/0/5 ?(因為你沒指明上聯口互聯地址我只能寫?號,這里要寫上聯口的對端地址。)
ip route-static 10.126.80.20 0.0.0.0 gig 1/0/5 ?
接下來是訪問控制,在93中訪問控制列表只是工具不能直接在埠下調用。
acl 3001(要做基於目的地址和源地址的訪控必須是高級訪問控制列表,從3000開始
rule 0 permit destinationg 192.168.10.6 0.0.2.255 source 10.126.80.20 0.0.0.0 (注意此處用的是反掩碼)
rule 1 permit destinationg 192.168.10.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc1
if-match acl 3001
traffic behavior tb1
permit
traffic policy tp1
classifier tc1 behavior tb1
quit
acl 3002
rule 0 permit destinationg 192.168.20.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.20.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc2
if-match acl 3002
traffic behavior tb2
permit
traffic policy tp2
classifier tc2 behavior tb2
quit
acl 3003
rule 0 permit destinationg 192.168.30.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.30.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc3
if-match acl 3003
traffic behavior tb3
permit
traffic policy tp3
classifier tc3 behavior tb3
quit
acl 3002
rule 0 permit destinationg 192.168.40.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.40.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny source any
traffic classifier tc4
if-match acl 3004
traffic behavior tb4
permit
traffic policy tp4
classifier tc4 behavior tb4
quit
acl 3005
rule 0 permit destinationg 192.168.50.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.50.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc5
if-match acl 3005
traffic behavior tb5
permit
traffic policy tp5
classifier tc5 behavior tb5
quit
acl 3006
rule 0 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.10.6 0.0.2.255
rule 1 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.20.6 0.0.2.255
rule 2 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.30.6 0.0.2.255
rule 3 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.40.6 0.0.2.255
rule 4 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.50.6 0.0.2.255
rule 5 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.10.6 0.0.2.255
rule 6 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.20.6 0.0.2.255
rule 7 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.30.6 0.0.2.255
rule 8 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.40.6 0.0.2.255
rule 9 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.50.6 0.0.2.255
rule 10 deny any
traffic classifier tc6
if-match acl 3006
traffic behavior tb6
permit
traffic policy tp6
classifier tc6 behavior tb6
quit(注意訪問控制列表應該是雙向的不僅要控制回來還要控制出去注意綁定方向)
interface gig 1/0/0
traffic-policy tp1 outbound
interface gig 1/0/1
traffic-policy tp2 outbound
interface gig 1/0/2
traffic-policy tp3 outbound
interface gig 1/0/3
traffic-policy tp4 outbound
interface gig 1/0/4
traffic-policy tp5 outbound
interface gig 1/0/5
traffic-policy tp6 outbound
(配置完成,如果還有什麼問題,可以問我。)
5. 求華為 acl 配置詳解
acl number 3111 創建acl 高級訪問控制列表3111
rule 1 permit ip source 172.16.1.0 0.0.0.255
定義小規則1 允許 源ip為172.16.1.0/24(255.255.255.0)的網段訪問目標地址為any(所有的ip)地址
acl number 3112 創建acl高級訪問控制列表3112
rule 0 permit ip source 172.16.1.200 0
同上
定義小規則0允許源172.16.1.200/32(255.255.255.255)這一個主機訪問目標為any的地址
acl number 3113 定義3113規則
rule 0 permit ip
小規則0允許源ip地址為any(所有)到目標地址為any地址。
#
acl name lan 創建acl為名字的規則,規則名為lan
rule 0 permit
小規則0允許源ip地址為any(所有)到目標地址為any地址。
#
intterface Aux0 非同步埠、為系統默認。一般無用。
async mobe flow
2000-2999 的acl規則為標准acl 只能定義源ip地址
3000-3999 的acl規則為高級acl 能夠定義源ip地址和目的ip地址。
只定義acl 而不引用是無效的。你這幾條acl肯定在某一埠下引用了。
6. 華為路由器與華為防火牆怎麼讓各自下面的設備互通
如果是在同一個機房的2張不同網路,你可以拉1條線連接2台華為路由器/防火牆,寫路由互通。如果是兩個不同位置的網路,那麼需要建IPSEC VPN互通。
7. 華為acl配置基本和高級訪問
訪問控制列表ACL(Access Control List)是由一系列規則組成的集合,ACL通過這些規則對報文進行分類,從而使設備可以對不同類報文進行不同的處理。
高級ACL:
表示方式:ID,取值控制為:3000~3999
可以同時匹配數據包的源IP地址、目標IP地址、協議、源埠、目標埠;
匹配數據更加的精確
拓撲圖:
步驟:
1.基本配置:
如拓撲圖和配置圖所示,完成各個物理設備和介面的配置,並測試連通性:
2.搭建OSPF網路:
僅以R1為例,其他同理:
[R1]ospf
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
1
2
3
4
1
2
3
4
配置完成後,查看R1的ospf路由條目:
可以看到,R1已經學習到了所有路由信息。
3.配置Telnet:
[R4]user-interface vty 0 4
[R4-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):huawei
1
2
3
1
2
3
用1.1.1.1嘗試登陸R4的兩個環回介面:
均登陸成功過,可以得知,只要擁有Telnet的密碼均可以成功登陸到R4上。
4.配置高級ACL訪問控制:
我們的目標是R1的環回介面只能通過R4的4.4.4.4介面訪問Telnet,不能通過40.40.40.40訪問。基本ACL只能控制源地址因此不能完成此任務,高級ACL不僅能控制源地址,還能控制目的地址,可以完成此任務:
[R4]acl 3000
[R4-acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 4.4.4.4 0
1
2
1
2
查看ACL配置信息:
接著,使用vty進行acl的調用:
[R4]user-interface vty 0 4
[R4-ui-vty0-4]acl 3000 inbound
1
2
1
2
配置完成後,再使用1.1.1.1訪問40.40.40.40:
可以看到,配置已生效,1.1.1.1不能通過40.40.40.40訪問Telnet。