华为ACL配置教程一、ACL基本配置1、ACL规则生效时间段配置(需要先配置设备的时间,建议用ntp同步时间)某些引用ACL的业务或功能需要限制在一定的时间范围内生效,比如,在流量高峰期时启动设备的QoS功能。用户可以为ACL创建生效时间段,通过在规则中引用时间段信息限制ACL生效的时间范围,从而达到该业务或功能在一定的时间范围内生效的目的。[Huawei]time-rangetest?StartingtimefromThebeginningpointofthetimerange[Huawei]time-rangetest8:00?toTheendingpointofperiodictime-range[Huawei]time-rangetest8:00t[Huawei]time-rangetest8:00to?EndingTime[Huawei]time-rangetest8:00to18:05?<0-6>Dayoftheweek(0isSunday)FriFriday#星期五MonMonday#星期一SatSaturday#星期六SunSunday#星期天ThuThursday#星期四TueTuesday#星期二WedWednesday#星期三dailyEverydayoftheweek#每天off-daySaturdayandSunday#星期六和星期日working-dayMondaytoFriday#工作日每一天[Huawei]time-rangetestfrom8:002016/1/17to18:002016/11/17使用同一time-name可以配置多条不同的时间段,以达到这样的效果:各周期时间段之间以及各绝对时间段之间分别取并集之后,再取二者的交集作为最终生效的时间范围。例如,时间段“test”配置了三个生效时段:从2016年1月1日00:00起到2016年12月31日23:59生效,这是一个绝对时间段。在周一到周五每天8:00到18:00生效,这是一个周期时间段。在周六、周日下午14:00到18:00生效,这是一个周期时间段。则时间段“test”最终描述的时间范围为:2016年的周一到周五每天8:00到18:00以及周六和周日下午14:00到18:00。由于网络延迟等原因,可能造成网络上设备时间不同步,建议配置NTP(NetworkTimeProtocol),以保证网络上时间的一致。2、ACL类型配置2.1、数字型acl配置[Huawei]acl2000match-order?autoAutoorder#自动顺序(默认)configConfigorder或[Huawei]aclnumber2000match-order?autoAutoorderconfigConfigorder2.2、命名型acl配置[Huawei]aclnametest?advanceSpecifyanadvancednamedACL#设置高级aclbasicSpecifyabasicnamedACLmatch-orderSetACL'smatchordernumberSpecifyanumberforthenamedACL[Huawei]aclnametestad[Huawei]aclnametestadvance?match-orderSetACL'smatchordernumberSpecifyanumberforthenamedACL[Huawei]aclnametestnumber?INTEGER<2000-2999>NumberofthebasicnamedACLINTEGER<42768-75535>NumberoftheadvancednamedACL2.3、ACL类型配置[Huawei]acl?INTEGER<1000-1999>Interfaceaccess-list(addtocurrentusingrules)#接口访问列表aclINTEGER<10000-10999>ApplyMPLSACL#应用MPLSACLINTEGER<2000-2999>Basicaccess-list(addtocurrentusingrules)#基本aclINTEGER<3000-3999>Advancedaccess-list(addtocurrentusingrules)#高级aclINTEGER<4000-4999>MACaddressaccess-list(addtocurrentusingrules)#二层aclipv6ACLIPv6#基本acl6和高级acl6配置nameSpecifyanamedACLnumberSpecifyanumberedACL2.4、ACL描述设置(可选)[Huawei-acl-basic-2600]description?TEXT2.5、ACL步长设置(可选)[Huawei-acl-basic-test]step?INTEGER<1-20>Specifyvalueofstep二、ACL类型规则配置1、基本ACL规则配置基本ACL编号acl-number的范围是2000~2999。基本ACL可以根据报文自身的源IP地址、分片标记和时间段信息对IPv4报文进行分类。[Huawei-acl-basic-test]rule1?denySpecifymatchedpacketdenypermitSpecifymatchedpacketpermit[Huawei-acl-basic-test]rule1deny?fragment-typeSpecifythefragmenttypeofpacket#分组片段类型sourceSpecifysourceaddresstime-rangeSpecifyaspecialtimevpn-instanceSpecifyaVPN-Instance[Huawei-acl-basic-test]rule1denysource?X.X.X.XAddressofsourceanyAnysource[Huawei-acl-basic-test]rule1denysource192.168.1.1?0Wildcardbits:0.0.0.0(ahost)X.X.X.XWildcardofsource[Huawei-acl-basic-test]rule1denysource192.168.1.10?fragment-typeSpecifythefragmenttypeofpacket#对分组片段类型有效time-rangeS...
