- 基本acl ,只能对源地址进行设置规制,所以,一般在过滤的时候会将其过滤端口设置在离目的地址近的端口
2.高级acl,所包含的有源地址,目的地址,源端口,目的端口,协议内容,所以,一般由高级acl所设置的规制,准确性高,所以一般设置在源地址近的端口
一:ACL华三和华为不同命令对比
1.192.168.1.0/24 网段不允许访问 192.168.2.0/24 网段,要求使用基本 ACL 实现
[HC3-20_4] acl basic 2000 #基本acl 华为:acl 2000
[HC3-20_4-2000] rule deny source 192.168.1.0 0.0.0.255 # 设置规则
[HC3-20_4] int g0/2
[HC3-20_4-G0/2]packet-filter 2000 outbound #端口过滤 华为:traffic-filter outbound 2000
2.20.1 可以访问 20.6 的 TELNET 服务,但不能访问 FTP 服务
[HC3-20_3] acl advanced 3000 #高级acl 华为:acl 3000
[HC3-20_3-3000] rule permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port eq 23 #设置关于telnet的规则
[HC3-20_3-3000] rule deny tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port range 20 21 #设置关于ftp的规则
[HC3-20_4] int g0/2
[HC3-20_4-G0/2]packet-filter 2000 inbound #端口过滤 华为:traffic-filter inbound 2000
二:流量控制ACL+QOS华为和华三的命令对比
1、QOS策略
QoS 策略包含了三个要素:流分类、流行为、流策略。用户可以通过 QoS 策略将指定的类和流行为绑定起来,灵活地进行 QoS 配置。
(1) 流分类
类的要素包括:类的名称和类的规则。
用户可以通过命令定义一系列的规则来对报文进行分类。
(2)流行为
流行为用来定义针对报文所做的 QoS 动作。
流行为的要素包括:流行为的名称和流行为中定义的动作。
用户可以通过命令在一个流行为中定义多个动作。
(3)流策略
策略用来将指定的类和流行为绑定起来,对符合分类条件的报文执行流行为中定义的动作。
策略的要素包括:策略名称、绑定在一起的类和流行为的名称。
用户可以在一个策略中定义多个类与流行为的绑定关系。
2、个人理解
流分类就是通过一些规则(比如什么网段的分成一类)将报文分成一类一类,流行为就是我们已经将报文分类好了,对符合我们预期的报文流,我们应该怎么处理,将类和流行为结合起来就可以合成QOS策略
3、traffic classifier
流分类
后面经常定义规则 if match XXXX(如果匹配什么可以划分成一类),规则较为常用是ACL
4、traffic behaviour
流行为
后面定义相应的动作
5、注意点
如果 QoS 策略在定义流分类规则时引用了 ACL,则直接忽略 ACL 规则的动作,以流行为中定义的动作为准,报文匹配只使用 ACL 中的匹配规则部分。
6、华为命令
acl number 3000 //定义规则test
rule permit icmp source 1.1.1.2 0 destination 1.1.1.3 0
rule permit icmp source 1.1.1.3 0 destination 1.1.1.2 0
traffic classifier test //定义流分类test
if-match acl 3000 //匹配规则
traffic behavior test //定义流行为
statistic enable //进行数据统计
traffic policy test //定义流策略test
classifier test behavior test //将类与行为绑在一起形成策略
interface GigabitEthernet 0/0/1 //进入接口使用策略
traffic-policy test inbound //入方向
traffic-policy test outbound //出方向
///
查看流统计结果
display traffic policy statistics interface GigabitEthernet 0/0/1 inbound //查看接口进方向
display traffic policy statistics interface GigabitEthernet 0/0/1 outbound //查看接口出方向
///
清除流统计结果
参考: https://support.huawei.com/enterprise/zh/knowledge/EKB1000088241
7、华三命令行
acl number 3000 //定义规则test
rule permit icmp source 1.1.1.2 0 destination 1.1.1.3 0
rule permit icmp source 1.1.1.3 0 destination 1.1.1.2 0
traffic classifier test //定义流分类test
if-match acl 3000 //匹配规则
traffic behavior test //定义流行为
accounting packet //进行数据统计
qos policy test //定义流策略test
classifier test behavior test //将类与行为绑在一起形成策略
interface GigabitEthernet 0/0/1 //进入接口使用策略
qos apply policy test inbound //入方向
qos apply policy test outbound //出方向
///
查看流统计结果
display qos policy interface //查看计数命中