华为ACL配置说明
华为ACL配置说明 
华为3COM的ACL一直一来都比较麻烦,不同版本、不同型号的设备都有些不同。下面我以3900设备为例,说明ACL的配置和执行技巧。
总结一句话:rule排列规则和auto、config模式有关,而匹配顺序则和ACL应用环境和下发到端口的循序有关。
规律说明:
1、ACL可以分为auto模式和config模式,auto模式根据最长匹配的原则排列rule的顺序(可以通告dis acl all查看rule的循序,出现4-2-3-0-1很正常)。config模式根据用户配置循序排列rule的循序。也就是说auto和config只是rule的排列顺序有关,与匹配顺序无关。
2、不管是auto模式还是config模式,当ACL应用于包过虑和QOS时,匹配循序是从下往上,但是应用于VTY 用户过虑等责是从上往下匹配。
3、不管是auto模式还是config模式,ACL的匹配顺序都是根据下发到端口的规则从下往上匹配。
4、在一个ACL里同时有多条rule匹配,则按照最长匹配优先执行。
包过虑ACL举例说明:
禁止10.10.10.145这台PC上网
允许10.10.10.0/24网段上网
允许192.168.0.0/16网段上网
禁止所有IP
配置方法一:
配置ACL(需要严格按照配置顺序配置)
acl num 3000 mach config
rule den ip
rule permit ip sour 192.168.0.0 0.0.255.255
rule permit ip sour 10.10.10.0 0.0.0.255
rule deny ip sour 10.10.10.145 0
下发ACL到端口
int e 1/0/1
pack in ip 3000
配置方法二:
配置ACL(配置循序随便)
acl num 3001 mach auto
rule permit ip sour 10.10.10.0 0.0.0.255
rule den ip
rule deny ip sour 10.10.10.145 0
rule permit ip sour 192.168.0.0 0.0.255.255
下发ACL到端口
int e 1/0/2
pack in ip 3001 rule 0(必需先应用rule 0,否则全部都是禁止)
pack in ip 3001
配置输出:
acl number 3000(排列顺序为0-1-2-3,按配置顺序排列)
rule 0 deny ip
rule 1 permit ip source 192.168.0.0 0.0.255.255
rule 2 permit ip source 10.10.10.0 0.0.0.255
rule 3 deny ip source 10.10.10.145 0
acl number 3001 match-order auto(排列顺序为3-1-2-0,按掩码排列)
rule 3 deny ip source 10.10.10.145 0
rule 1 permit ip source 10.10.10.0 0.0.0.255
rule 2 permit ip source 192.168.0.0 0.0.255.255
rule 0 deny ip
#
vlan 1
#
interface Aux1/0/0
#
interface Ethernet1/0/1(排列顺序为0-1-2-3,和ACL顺序一样)
packet-filter inbound ip-group 3000 rule 0
packet-filter inbound ip-group 3000 rule 1
packet-filter inbound ip-group 3000 rule 2
packet-filter inbound ip-group 3000 rule 3
#
interface Ethernet1/0/2(排列顺序为0-3-1-2,和ACL顺序不一样)
packet-filter inbound ip-group 3001 rule 0
packet-filter inbound ip-group 3001 rule 3
packet-filter inbound ip-group 3001 rule 1
packet-filter inbound ip-group 3001 rule 2
#
用户限制过虑ACL和cisco一样,从上往下执行,比较标准,不做说明。
另外付上不同交换机ACL执行说明:
Quidway S系列低端交换机绝大部分的设备支持的ACL匹配规则为后下发先生效,其中包括S3000-EI系列、S3526E系列、S3900系列、S5000系列以及S5600系列;还有一部分设备支持的ACL匹配规则为先下发先生效,如S3552系列和S5100-EI系列。此外,S3526系列交换机支持的ACL匹配顺序是深度优先,最小地址范围的rule优先生效。
H3C系列低端以太网交换机,S3600和S5600支持的ACL匹配顺序为后下发先生效,S5100-EI系列交换机支持的ACL匹配顺序为先下发先生效。
6500系列更加复杂,不同板卡都有不同的循序。大家自己研究。