華為交換機高級ACL配置

ACL擴展應用

​ 訪問控制列表(ACL)是應用在路由器接口的指令列表。這些指令列表用來告訴路由器哪能些數據包可以收、哪能數據包需要拒絕。至於數據包是被接收還是拒絕，可以由類似於源地址、目的地址、端口號等的特定指示條件來決定。

擴展IP訪問控制列表是其中重要的一種

擴展IP訪問控制列表比標准IP訪問控制列表具有更多的匹配項，包括協議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優先級等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。

擴展訪問列表的格式：access-list ACL號 [permit|deny][協議] [定義過濾源主機范圍] [定義過濾源端口] [定義過濾目的主機訪問] [定義過濾目的端口]

華為交換機高級 ACL配置命令：

[HUAWEI-5700]acl 3000
進入高級ACL配置列表

[HUAWEI-5700-acl-adv-3000]rule 5 deny tcp source 192.168.10.0 0.0.0.255 destination 10.10.100.100 0 destination-port eq 80
拒絕來自 192.168.10.0 此網段內所有主機訪問 10.10.100.100 此服務器的TCP 80端口的流量
http協議默認為80端口

[HUAWEI-5700-acl-adv-3000]rule 10 deny tcp source 192.168.20.0 0.0.0.255 destination 10.10.200.200 0 destination-port eq 21
拒絕來自192.168.20.0 此網段內所有主機訪問 10.10.200.200 此服務器的TCP 21端口的流量
Ftp協議默認為21端口 

[HUAWEI-5700-acl-adv-3000]rule 15 deny udp source 192.168.30.0 0.0.0.255 destination 172.16.10.100 0 destination-port eq 53
拒絕來自192.168.30.0 此網段內所有主機訪問 172.16.10.100 此服務器的UDP 53端口的流量
DNS協議默認為53端口 

[HUAWEI-5700-acl-adv-3000]rule 20 permit tcp source 192.168.40.0 0.0.0.255 destination 61.10.10.10 0 destination-port eq 110
允許來自192.168.40.0 此網段內所有主機訪問 61.10.10.10 此服務器的TCP 110端口的流量
POP3協議默認為110端口 

[HUAWEI-5700-acl-adv-3000]rule 25 permit tcp source 192.168.50.0 0.0.0.255 destination 61.11.11.11 0 destination-port eq 23
允許來自192.168.50.0 此網段內所有主機訪問 61.11.11.11 此服務器的TCP 23端口的流量
telnet協議默認為23端口

[HUAWEI-5700-acl-adv-3000]rule 30 permit tcp source 192.168.60.0 0.0.0.255 destination 66.11.11.10 0 destination-port eq 25
允許來自192.168.60.0 此網段內所有主機訪問 66.11.11.10 此服務器的TCP 25端口的流量
smtp協議默認為23端口

[HUAWEI-5700-acl-adv-3000]rule 35 deny udp source 10.10.50.5 0.0.0.0 destination 172.16.20.100 0.0.0.0 destination-port eq 161
拒絕10.10.50.5此主機訪問 172.16.20.100 此終端的UDP 161端口的流量
snmp協議默認為161端口

查看acl配置列表：

[HUAWEI-5700-acl-adv-3000]display this
#
acl number 3000
 rule 5 deny tcp source 192.168.10.0 0.0.0.255 destination 10.10.100.100 0 destination-port eq www
 rule 10 deny tcp source 192.168.20.0 0.0.0.255 destination 10.10.200.200 0 destination-port eq ftp
 rule 15 deny udp source 192.168.30.0 0.0.0.255 destination 172.16.10.100 0 destination-port eq dns
 rule 20 permit tcp source 192.168.40.0 0.0.0.255 destination 61.10.10.10 0 destination-port eq pop3
 rule 25 permit tcp source 192.168.50.0 0.0.0.255 destination 61.11.11.11 0 destination-port eq telnet
 rule 30 permit tcp source 192.168.60.0 0.0.0.255 destination 66.11.11.10 0 destination-port eq smtp
 rule 35 deny udp source 10.10.50.5 0 destination 172.16.20.100 0 destination-port eq snmp

華為交換機端口調用ACL配置命令：

[HUAWEI-5700]interface GigabitEthernet 0/0/1
進入需要調用ACL的交換機端口

[HUAWEI-5700-GigabitEthernet0/0/1]traffic-filter outbound acl 3000
在些端口的出方向調用ACL3000

[HUAWEI-5700-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
在此端口的入方向調用ACL3000

注：每個端口的一個方向上只能調用一個ACL列表，也就是outbound 和 inbound 兩個方向上有且只能有一個ACL