华为ACL配置教程

2026/1/27 15:47:34

source-port Specify source port time-range Specify a special time tos Specify tos vpn-instance Specify a VPN-Instance

[Huawei-acl-adv-3000]rule 1 permit udp source ? X.X.X.X Address of source any Any source

[Huawei-acl-adv-3000]rule 1 permit udp source any ? destination Specify destination address destination-port Specify destination port dscp Specify dscp

fragment-type Specify the fragment type of packet precedence Specify precedence source-port Specify source port time-range Specify a special time tos Specify tos vpn-instance Specify a VPN-Instance

[Huawei-acl-adv-3000]rule 1 permit udp source any des [Huawei-acl-adv-3000]rule 1 permit udp source any destination ? X.X.X.X Specify destination address any Any destination IP address

[Huawei-acl-adv-3000]rule 1 permit udp source any destination 192.168.1.1 ?

0 Wildcard bits : 0.0.0.0 ( a host ) X.X.X.X Wildcard of destination

[Huawei-acl-adv-3000]rule 1 permit udp source any destination 192.168.1.1 0 ?

destination-port Specify destination port dscp Specify dscp

fragment-type Specify the fragment type of packet precedence Specify precedence source-port Specify source port time-range Specify a special time tos Specify tos vpn-instance Specify a VPN-Instance

[Huawei-acl-adv-3000]rule 1 permit udp source any destination 192.168.1.1 0 destination-port ?

eq Equal to given port number gt Greater than given port number lt Less than given port number

neq Not equal to given port number # 不等于指定端口 range Between two port numbers

[Huawei-acl-adv-3000]rule 1 permit udp source any destination 192.168.1.1 0 destination-port eq ? <0-65535> Protocol number

biff Mail notify (512)

bootpc Bootstrap Protocol Client (68) bootps Bootstrap Protocol Server (67) discard Discard (9)

dns Domain Name Service (53)

dnsix DNSIX Security Attribute Token Map (90) echo Echo (7)

mobilip-ag MobileIP-Agent (434) mobilip-mn MobilIP-MN (435)

nameserver Host Name Server (42)

netbios-dgm NETBIOS Datagram Service (138) netbios-ns NETBIOS Name Service (137) netbios-ssn NETBIOS Session Service (139)

ntp Network Time Protocol (123)

rip Routing Information Protocol (520) snmp SNMP (161) snmptrap SNMPTRAP (162)

sunrpc SUN Remote Procedure Call (111) syslog Syslog (514)

tacacs-ds TACACS-Database Service (65) talk Talk (517)

tftp Trivial File Transfer (69) time Time (37) who Who(513)

xdmcp X Display Manager Control Protocol (177)

[Huawei-acl-adv-3000]rule 1 permit udp source any destination 192.168.1.1 0 destination-port eq 21 ? dscp Specify dscp

fragment-type Specify the fragment type of packet precedence Specify precedence source-port Specify source port time-range Specify a special time

tos Specify tos vpn-instance Specify a VPN-Instance 高级acl可以匹配的功能有： 2.1、高级acl常用协议数值对照表协议类型数值 ICMP 1 IGMP 2 IPinIP 4 TCP 6 UDP 17 GRE 47 IP OSPF 89 2.2、高级acl常用功能说明参数说明 deny 拒绝符合条件的报文 permit 允许符合条件的报文 source{sour-addr sour-addr sour-wildcard:源ip地址源sour-wildcard|any} 通配符掩码 any：任意源IP地址 destination{dest-addr dest-addr dest-wildcaard：目的IP地址及dest-wildcaard|any 通配符掩码 any：任意目的IP地址 icmp-type{icmp-name|icmp-type 指定acl规则匹配报文的icmp报文的类型和icmp-code} 消息码信息，仅在报文协议是ICMP的情况下有效 precedence 指定acl匹配报文时依据优先级字段进行过滤。与tos 参数一起共同构成DSCP组成的二选一参数。 tos 指定acl匹配报文时依据服务类型字段进行过滤。与precedence参数一起共同构成DSCP组成的二选一参数。 dscp 指定acl匹配报文时区分服务代码点，依据IP包中的DSCP优先级字段进行过滤。 tcp-flag 指定acl规则匹配TCP报文中的SYN标志的类型 time-range 指定acl规则生效时间段 destination-port{eq prot|gt 指定acl规则匹配报文的UDP或TCP的目的端port|lt port|rage port-start 口，仅在报文协议是UDP或TCP时生效。端口port end} 号可用名称或数字表示 eq port :指定等于目的端口 gt port:指定大于目的端口 lt port :指定小于目的端口 range port-start port-end:指定目的端口范围 start 为起始端口 end为结束端口 soure-port{eq prot|gt port|lt 指定acl规则匹配报文的UDP或TCP的源端口，port|rage port-start port end} 仅在报文协议是UDP或TCP时生效。 loging 指定acl匹配的报文信息进行日志记录 fragmen 指定acl规则是否仅对非首片分片报文有效，当包含此参数时仅对非首片分片报文有效。但此参数不能同时与source-port、destination-port、icmp-type、tcp-flag参数同时配置。 ttl-expired 指定acl是否依据数据报文中的ttl值是否为1进行过滤。启用此命令表示过滤。5700SI及以下版本不支持。举例：拒绝192.168.1.0网段与主机61.128.128.68进行UDP 9090通信 [Huawei-acl-adv-3002]rule deny udp source 192.168.1.0 0.0.0.255 destination 61.128.128.68 0. destination-port eq 9090 3、二层ACL规则配置二层ACL编号acl-number的范围是4000～4999。二层acl对源/目的MAC、802.1p优先级、二层协议等二层信息进行过滤。 [Huawei-acl-L2-4000]rule 1 ? deny Specify matched packet deny description Specify rule description permit Specify matched packet permit [Huawei-acl-L2-4000]rule 1 deny source-mac 1111-1111-1111 ? 802.3 802.3 format 8021p Vlan priority H-H-H Source MAC address mask, default is ffff-ffff-ffff cvlan-8021p Vlan priority of inner vlan cvlan-id Inner vlan id destination-mac Destination-mac double-tag Double tag ether-ii Ethernet II format l2-protocol Layer 2 protocol snap Snap format time-range Specify a special time

华为ACL配置教程.doc 将本文的Word文档下载到电脑

下载这篇word文档