- 基本acl ,只能对源地址进行设置规制,所以,一般在过滤的时候会将其过滤端口设置在离目的地址近的端口
2.高级acl,所包含的有源地址,目的地址,源端口,目的端口,协议内容,所以,一般由高级acl所设置的规制,准确性高,所以一般设置在源地址近的端口
一:ACL华三和华为不同命令对比
1.192.168.1.0/24 网段不允许访问 192.168.2.0/24 网段,要求使用基本 ACL 实现
HC3-20_4\] acl basic 2000 #基本acl 华为:acl 2000 \[HC3-20_4-2000\] rule deny source 192.168.1.0 0.0.0.255 # 设置规则 \[HC3-20_4\] int g0/2 \[HC3-20_4-G0/2\]packet-filter 2000 outbound #端口过滤 华为:traffic-filter outbound 2000 2.20.1 可以访问 20.6 的 TELNET 服务,但不能访问 FTP 服务 \[HC3-20_3\] acl advanced 3000 #高级acl 华为:acl 3000 \[HC3-20_3-3000\] rule permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port eq 23 #设置关于telnet的规则 \[HC3-20_3-3000\] rule deny tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port range 20 21 #设置关于ftp的规则 \[HC3-20_4\] int g0/2 \[HC3-20_4-G0/2\]packet-filter 2000 inbound #端口过滤 华为:traffic-filter inbound 2000 二:流量控制ACL+QOS华为和华三的命令对比 1、QOS策略 QoS 策略包含了三个要素:流分类、流行为、流策略。用户可以通过 QoS 策略将指定的类和流行为绑定起来,灵活地进行 QoS 配置。 (1) 流分类 类的要素包括:类的名称和类的规则。 用户可以通过命令定义一系列的规则来对报文进行分类。 (2)流行为 流行为用来定义针对报文所做的 QoS 动作。 流行为的要素包括:流行为的名称和流行为中定义的动作。 用户可以通过命令在一个流行为中定义多个动作。 (3)流策略 策略用来将指定的类和流行为绑定起来,对符合分类条件的报文执行流行为中定义的动作。 策略的要素包括:策略名称、绑定在一起的类和流行为的名称。 用户可以在一个策略中定义多个类与流行为的绑定关系。 2、个人理解 流分类就是通过一些规则(比如什么网段的分成一类)将报文分成一类一类,流行为就是我们已经将报文分类好了,对符合我们预期的报文流,我们应该怎么处理,将类和流行为结合起来就可以合成QOS策略 3、traffic classifier 流分类 后面经常定义规则 if match XXXX(如果匹配什么可以划分成一类),规则较为常用是ACL 4、traffic behaviour 流行为 后面定义相应的动作 5、注意点 如果 QoS 策略在定义流分类规则时引用了 ACL,则直接忽略 ACL 规则的动作,以流行为中定义的动作为准,报文匹配只使用 ACL 中的匹配规则部分。 6、华为命令 acl number 3000 //定义规则test rule permit icmp source 1.1.1.2 0 destination 1.1.1.3 0 rule permit icmp source 1.1.1.3 0 destination 1.1.1.2 0 traffic classifier test //定义流分类test if-match acl 3000 //匹配规则 traffic behavior test //定义流行为 statistic enable //进行数据统计 traffic policy test //定义流策略test classifier test behavior test //将类与行为绑在一起形成策略 interface GigabitEthernet 0/0/1 //进入接口使用策略 traffic-policy test inbound //入方向 traffic-policy test outbound //出方向 /// 查看流统计结果 display traffic policy statistics interface GigabitEthernet 0/0/1 inbound //查看接口进方向 display traffic policy statistics interface GigabitEthernet 0/0/1 outbound //查看接口出方向 /// 清除流统计结果 参考: https://support.huawei.com/enterprise/zh/knowledge/EKB1000088241 7、华三命令行 acl number 3000 //定义规则test rule permit icmp source 1.1.1.2 0 destination 1.1.1.3 0 rule permit icmp source 1.1.1.3 0 destination 1.1.1.2 0 traffic classifier test //定义流分类test if-match acl 3000 //匹配规则 traffic behavior test //定义流行为 accounting packet //进行数据统计 qos policy test //定义流策略test classifier test behavior test //将类与行为绑在一起形成策略 interface GigabitEthernet 0/0/1 //进入接口使用策略 qos apply policy test inbound //入方向 qos apply policy test outbound //出方向 /// 查看流统计结果 display qos policy interface //查看计数命中