华为交换机acl配置实例

大家好，关于华为交换机acl配置实例很多朋友都还不太明白，今天小编就来为大家分享关于acl是在路由器上配置还是交换机的知识，希望对各位有所帮助。

求助 华为 交换机 ACL配置

默认不通，除非这台交换机开启了路由功能

2 destination 0 0，rule deny ip soure 0 0。

（规则，禁止0/2以任何IP协议的方式访问0/2）

你只是配置了规则，并未执行规则，明白吗

packet-filter inbound ip-group 00 rule

这才算是2号端口执行了ACL 00里的规则

开启了路由功能的话，要想所有的VLAN都能访问VLAN 也不难

如果想限制到底的话，还是配置ACL规则啊

rule 2 permit ip source IP地址 destination vlan的地址

思科设备做NAT应该做在路由器上还是防火墙上比较好

路由器对NAT的支持，不如防火墙，如果两个都有，一般都做在防火墙上；

ASA一般不作透明方式，而且Cisco对透明网桥的支持是在0以后的版本，使用路由方式比较好；

因为你内部有对外服务，建议你把WEB放在DMZ区域，就是将ASA按照外网、内网、DMZ的方式配置。

对于内网如果有多个VLAN，建议VLAN之间的路由，由三层交换机来负责，尽量不要提到防火墙上。

如果你的外网接口是以太网的，可以去掉路由器，其实路由其的主要功能是路由维护和选择，还有一个比较重要的功能就是使用不同的连接线路，如EFrame-Relay等，这时防火墙一般是不会支持的，所以主要看你的线路是什么类型的，再有如果有多条路径（多线路）时，一般都需要使用路由器。

刚才忽略了一个问题，如果接入商只给呢你一个公网IP地址，而且这个地址又是网间地址（也就是你必须设置在你的WAN口），那么NAT的位置就没得选了，只能设置在出口设备上，不管是路由器还是防火墙。

ACL 在三层交换机上做和在路由器上做有什么区别

ACL在三层交换机上做和在路由器上没有区别，速度一样，路由器只是路由功能比三层更强。

2一般的拓扑都是三层---三层---二层---pc，从OSI模型就可以理解，根据数据传输的需要，三层当然要比二层高一级

3如果这些pc都在一个子网内，可不可以不要二层呢，其实这句话应该是：如果这些pc都在一个子网内，可以不要三层，三层主要是起到路由转换及VLAN隔离的作用，既然在同一网段三层就没有必要。

acl是防火墙上做还是在交换机上做

我们现在普遍使用的是状态检测防火墙，状态检测与包过滤的最大差异在于其处理数据是基于连接还是数据包的，但是不应该用路由器或交换机的ACL功能替代防火墙，是因为两者的通信控制功能并不相同：路由器和交换机的ACL，事实上起到的是包过滤的通信控制功能，也就是老式的防火墙功能。

包过滤防火墙多出来的这条由外网访问内网的规则很容易受到攻击利用，比如示例中的FTP协议回联需要开放大量的端口，万一外网FTP服务器受到了攻击，则内网安全也不堪设想。

我们有必要通过部署专门的防火墙，而不仅仅是依靠路由器或交换机的ACL功能，以实现更加安全可靠的网络控制。

华为交换机ACL配置命令:

配置华为交换机ACL命令，首先在全局视图下输入“ACL”，交换机支持种不同类型的访问列表：基本访问列表（INTEGER<00-2>），高级访问列表（INTEGER<00-3>），二层访问列表（INTEGER<000->），用户定义访问列表（INTEGER<000->）以及UCL组访问列表（INTEGER<000->）。

请注意，如果不显式定义行号，交换机会默认从规则开始，每行增加，2`定义规则，拒绝从IP地址0至2的所有访问，在该模式下，通过命令`[HuaWei-SWitch-acl-basic-00] rule deny source 0 0，在全局视图下输入命令`[HuaWei-SWitch] acl 00`，进入基本访问列表模式。

通配符掩码在ACL中用于匹配IP地址，全为表示所有位都不需检查，全为0表示必须精确匹配，`[HuaWei-SWitch-acl-basic-00] rule deny source 0 `表示拒绝所有来源IP的访问，因为通配符全为，表示所有位数都不考虑，直接拒绝所有。

`和`[HuaWei-SWitch-acl-basic-00]rule deny source 0 0，`[HuaWei-SWitch-acl-basic-00]rule deny source 0 0，在同一行号中，再次输入的规则如果与之前的规则匹配相同，新的规则不会替换之前的规则，`中，第一条规则的匹配范围包括了第二条规则的范围，因此只有第一条规则会被执行。

配置ACL基本规则后，可以在需要应用ACL规则的接口上调用它们，通过`[HuaWei-SWitch] interface GigabitEthernet /0/`进入接口配置模式，使用`[HuaWei-SWitch-GigabitEthernet/0/] traffic-filter inbound acl 00`和`[HuaWei-SWitch-GigabitEthernet/0/] traffic-filter outbound acl 0`在接口的入方向和出方向应用ACL规则。

0 rule 2 permit source 0 0，输出可能包括`Basic ACL 00, 2 rules Acls step is rule deny source 0，2`和`Basic ACL 0, rule Acls step is rule permit source 0 0，使用`display acl all`命令查看交换机上配置的所有ACL列表。

通过命令如`[S00-2] interface GigabitEthernet /0/`进入接口配置模式，然后使用`[S00-2-GigabitEthernet/0/] traffic-filter inbound acl 00`或`[S00-2-GigabitEthernet/0/] traffic-filter outbound acl 00`在接口的入方向或出方向调用特定的ACL列表，在实际应用中，确保将ACL调用在靠近目标的端口上，以优化流量控制。

关于华为交换机acl配置实例的内容到此结束，希望对大家有所帮助。