华为ACL详解2精编版

交换机配置〔三〕ACL基本配置1,二层ACL. 组网需求:通过二层访问控制列表,实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤.该主机从GigabitEthernet0/1接入..配置步骤:<1>定义时间段# 定义8:00至18:00的周期时间段.[Quidway] time-range huawei 8:00 to 18:00 daily<2>定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL# 进入基于名字的二层访问控制列表视图,命名为traffic-of-link.[Quidway] acl name traffic-of-link link#定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则. [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress00e0-fc01-0303 0-0-0 time-range huawei<3>激活ACL.# 将traffic-of-link的ACL激活.[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link2三层ACL a>基本访问控制列表配置案例. 组网需求:通过基本访问控制列表,实现在每天8:00～18:00时间段内对源IP为10.1.1.1主机发出报文的过滤.该主机从GigabitEthernet0/1接入..配置步骤:<1>定义时间段# 定义8:00至18:00的周期时间段.[Quidway] time-range huawei 8:00 to 18:00 daily<2>定义源IP为10.1.1.1的ACL# 进入基于名字的基本访问控制列表视图,命名为traffic-of-host.[Quidway] acl name traffic-of-host basic# 定义源IP为10.1.1.1的访问规则.[Quidway-acl-basic-traffic-of-host] rule 1 deny ip source 10.1.1.1 0 time-range huawei<3>激活ACL.# 将traffic-of-host的ACL激活.[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-hostb>高级访问控制列表配置案例.组网需求:公司企业网通过Switch的端口实现各部门之间的互连.研发部门的由GigabitEthernet0/1端口接入,工资查询服务器的地址为129.110.1.2.要求正确配置ACL,限制研发部门在上班时间8:00至18:00访问工资服务器..配置步骤:<1>定义时间段# 定义8:00至18:00的周期时间段.定义时间－ACL规则创建－设定规则－激活规则[Quidway] time-range huawei 8:00 to 18:00 working-day<2>定义到工资服务器的ACL# 进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver.[Quidway] acl name traffic-of-payserver advanced# 定义研发部门到工资服务器的访问规则.[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei<3>激活ACL.# 将traffic-of-payserver的ACL激活.[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver3,常见病毒的ACL创建aclacl number 100禁pingrule deny icmp source any destination any用于控制Blaster蠕虫的传播rule deny udp source any destination any destination-port eq 69rule deny tcp source any destination any destination-port eq 4444用于控制冲击波病毒的扫描和攻击rule deny tcp source any destination any destination-port eq 135rule deny udp source any destination any destination-port eq 135rule deny udp source any destination any destination-port eq netbios-nsrule deny udp source any destination any destination-port eq netbios-dgmrule deny tcp source any destination any destination-port eq 139rule deny udp source any destination any destination-port eq 139rule deny tcp source any destination any destination-port eq 445rule deny udp source any destination any destination-port eq 445rule deny udp source any destination any destination-port eq 593rule deny tcp source any destination any destination-port eq 593用于控制振荡波的扫描和攻击rule deny tcp source any destination any destination-port eq 445rule deny tcp source any destination any destination-port eq 5554rule deny tcp source any destination any destination-port eq 9995rule deny tcp source any destination any destination-port eq 9996用于控制Worm_MSBlast.A 蠕虫的传播rule deny udp source any destination any destination-port eq 1434下面的不出名的病毒端口号〔可以不作〕rule deny tcp source any destination any destination-port eq 1068rule deny tcp source any destination any destination-port eq 5800rule deny tcp source any destination any destination-port eq 5900rule deny tcp source any destination any destination-port eq 10080rule deny tcp source any destination any destination-port eq 455rule deny udp source any destination any destination-port eq 455rule deny tcp source any destination any destination-port eq 3208rule deny tcp source any destination any destination-port eq 1871rule deny tcp source any destination any destination-port eq 4510rule deny udp source any destination any destination-port eq 4334rule deny tcp source any destination any destination-port eq 4331rule deny tcp source any destination any destination-port eq 4557然后下发配置packet-filter ip-group 100目的：针对目前网上出现的问题,对目的是端口号为1434的UDP报文进行过滤的配置方法,详细和复杂的配置请看配置手册.NE80的配置：NE80<config>#rule-map r1 udp any any eq 1434//r1为role-map的名字,udp 为关键字,any any 所有源、目的IP,eq为等于,1434为udp端口号NE80<config>#acl a1 r1 deny//a1为acl的名字,r1为要绑定的rule-map的名字,NE80<config-if-Ethernet1/0/0>#access-group acl a1//在1/0/0接口上绑定acl,acl为关键字,a1为acl的名字NE16的配置：NE16-4<config>#firewall enable all//首先启动防火墙NE16-4<config>#access-list 101 deny udp any any eq 1434//deny为禁止的关键字,针对udp报文,any any 为所有源、目的IP,eq为等于, 1434为udp 端口号NE16-4<config-if-Ethernet2/2/0>#ip access-group 101 in//在接口上启用access-list,in表示进来的报文,也可以用out表示出去的报文中低端路由器的配置[Router]firewall enable[Router]acl 101[Router-acl-101]rule deny udp source any destion any destination-port eq 1434[Router-Ethernet0]firewall packet-filter 101 inbound6506产品的配置：旧命令行配置如下：6506<config>#acl extended aaa deny protocol udp any any eq 14346506<config-if-Ethernet5/0/1>#access-group aaa国际化新命令行配置如下：[Quidway]acl number 100[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway-acl-adv-100]quit[Quidway]interface ethernet 5/0/1[Quidway-Ethernet5/0/1]packet-filter inbound ip-group 100 not-care-for-interface5516产品的配置：旧命令行配置如下：5516<config>#rule-map l3 aaa protocol-type udp ingress any egress any eq 14345516<config>#flow-action fff deny5516<config>#acl bbb aaa fff5516<config>#access-group bbb国际化新命令行配置如下：[Quidway]acl num 100[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway]packet-filter ip-group 1003526产品的配置：旧命令行配置如下：rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434flow-action f1 denyacl acl1 r1 f1access-group acl1国际化新命令配置如下：acl number 100rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0packet-filter ip-group 101 rule 0注：3526产品只能配置外网对内网的过滤规则,其中1.1.0.0 255.255.0.0是内网的地址段. 8016产品的配置：旧命令行配置如下：8016<config>#rule-map intervlan aaa udp any any eq 14348016<config>#acl bbb aaa deny8016<config>#access-group acl bbb vlan 10 port all国际化新命令行配置如下：8016<config>#rule-map intervlan aaa udp any any eq 14348016<config>#eacl bbb aaa deny8016<config>#access-group eacl bbb vlan 10 port all防止同网段ARP欺骗的ACL一、组网需求：1. 二层交换机阻止网络用户仿冒网关IP的ARP攻击二、组网图：图1二层交换机防ARP攻击组网S3552P是三层设备,其中IP：100.1.1.1是所有PC的网关,S3552P上的网关MAC地址为000f-e200-3999.PC-B上装有ARP攻击软件.现在需要对S3026C_A进行一些特殊配置,目的是过滤掉仿冒网关IP的ARP报文.三、配置步骤对于二层交换机如S3026C等支持用户自定义ACL〔number为5000到5999〕的交换机,可以配置ACL来进行ARP报文过滤.全局配置ACL禁止所有源IP是网关的ARP报文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉,其中斜体部分64010101是网关IP地址100.1.1.1的16进制表示形式.Rule1允许通过网关发送的ARP报文,斜体部分为网关的mac地址000f-e200-3999.注意：配置Rule时的配置顺序,上述配置为先下发后生效的情况.在S3026C-A系统视图下发acl规则：[S3026C-A] packet-filter user-group 5000这样只有S3026C_A上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的arp响应报文.三层交换机实现仿冒网关的ARP防攻击一、组网需求：1. 三层交换机实现防止同网段的用户仿冒网关IP的ARP攻击二、组网图图2三层交换机防ARP攻击组网三、配置步骤1.对于三层设备,需要配置过滤源IP是网关的ARP报文的ACL规则,配置如下ACL规则：acl number 5000rule 0 deny 0806 ffff 24 64010105 ffffffff 40rule0禁止S3526E的所有端口接收冒充网关的ARP报文,其中斜体部分64010105是网关IP地址的16进制表示形式.2.下发ACL到全局[S3526E] packet-filter user-group 5000仿冒他人IP的ARP防攻击一、组网需求：作为网关的设备有可能会出现错误ARP的表项,因此在网关设备上还需对用户仿冒他人IP的ARP攻击报文进行过滤.二、组网图：参见图1和图2三、配置步骤：1.如图1所示,当PC-B发送源IP地址为PC-D的arp reply攻击报文,源mac是PC-B 的mac <000d-88f8-09fa>,源ip是PC-D的ip<100.1.1.3>,目的ip和mac是网关〔3552P〕的,这样3552上就会学习到错误的arp,如下所示：--------------------- 错误arp表项--------------------------------IP Address MAC Address VLAN ID Port Name Aging Type100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic从网络连接可以知道PC-D的arp表项应该学习到端口E0/8上,而不应该学习到E0/2端口上.但实际上交换机上学习到该ARP表项在E0/2.上述现象可以在S3552上配置静态ARP实现防攻击：arp static 100.1.1.3 000f-3d81-45b4 1 e0/82.在图2 S3526C上也可以配置静态ARP来防止设备学习到错误的ARP表项.3.对于二层设备〔S3050C和S3026E系列〕,除了可以配置静态ARP外,还可以配置IP＋MAC＋port绑定,比如在S3026C端口E0/4上做如下操作：am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4端口绑定则IP为并且MAC为000d-88f8-09fa的ARP报文可以通过E0/4端口,仿冒其它设备的ARP报文则无法通过,从而不会出现错误ARP表项.四、配置关键点：此处仅仅列举了部分Quidway S系列以太网交换机的应用.在实际的网络应用中,请根据配置手册确认该产品是否支持用户自定义ACL和地址绑定.仅仅具有上述功能的交换机才能防止ARP欺骗.5,关于ACL规则匹配的说明a> ACL直接下发到硬件中的情况交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类.此时一条ACL中多个子规则的匹配顺序是由交换机的硬件决定的,用户即使在定义ACL时配置了匹配顺序也不起作用.ACL直接下发到硬件的情况包括：交换机实现QoS功能时引用ACL、硬件转发时通过ACL过滤转发数据等.b> ACL被上层模块引用的情况交换机也使用ACL来对由软件处理的报文进行过滤和流分类.此时ACL子规则的匹配顺序有两种：config〔指定匹配该规则时按用户的配置顺序〕和auto〔指定匹配该规则时系统自动排序,即按"深度优先"的顺序〕.这种情况下用户可以在定义ACL的时候指定一条ACL中多个子规则的匹配顺序.用户一旦指定某一条访问控制列表的匹配顺序,就不能再更改该顺序.只有把该列表中所有的规则全部删除后,才能重新指定其匹配顺序.ACL被软件引用的情况包括：路由策略引用ACL、对登录用户进行控制时引用ACL等.。

华为路由器:通过ACL(访问控制列表)限制上网默认分类2009-06-10 07:52:48 阅读79 评论0 字号：大中小登录到路由器telnet 192.168.1.1输入用户名，密码acl number 3000 （如果不存在，创建访问列表；存在则添加一条限制）允许192.168.1.99上网：rule 10 permit ip source 192.168.1.99 0 destination 0.0.0.0 0.0.0.0说明：192.168.1.99 0 表示允许192.168.1.99这台主机，0表示本机。

rule 规则编号ip source 主机反子网掩码destination 目的IP 反子网掩码如果要允许多个连续IP上网：rule 11 permit ip source 192.168.1.16 0.0.0.15 destination 0.0.0.0 0.0.0.0表示允许192.168.1.16/28 即:192.168.1.17-192.168.1.30可以上网同样，可以限制某IP只能访问某一个网站：例如，允许192.168.1.98这台主机只能访问rule 13 permit ip source 192.168.1.98 0 destination 121.14.89.14 0某个网站的IP:可以打开命令提示符,ping (以百度为例)最后不要忘记：rule 12 deny any any 把不符合以上规则的数据都过滤掉，这样只有上面列出的ip才可以上网。

写的不够详细，敬请原谅。

在华为2880路由器上如何设置时间限制的acl列表?请各位指教首先建立时间段，例如//建立一个时间段，名为work，时间定义为每天08:00到17:00 timer-ange work 07:00 to 17:00 daily然后在acl语句后加上time-range work即可，例如rule 10 permit tcp destination-port eq pop3 time-range work1）定义上班时间段# 定义8:00至18:00的周期时间段。

基本ACL的编号范围
华为设备的基本ACL（Access Control List）主要用于基于源IP地址的访问控制。

其编号范围从2000到2999。

这些ACL基于源IP地址对数据包进行过滤，只允许符合条件的数据包通过。

基本ACL在华为设备中广泛使用，为管理员提供灵活的网络安全控制手段。

1. 常见用途：
基本ACL常用于限制特定IP地址的访问，或只允许特定IP地址范围的流量通过。

例如，可以配置基本ACL来阻止来自特定IP地址的数据包，或只允许某个IP地址段的数据包通过。

2. 配置步骤：
配置基本ACL通常涉及以下步骤：
* 进入系统视图模式
* 定义ACL规则，指定源IP地址范围
* 将ACL应用到相应的接口上
配置过程中，需要仔细检查每一条规则以确保达到预期的效果。

另外，要确保选择的ACL编号不会与已有的编号冲突。

请注意，具体的配置命令可能会根据华为设备的不同型号和操作系统有所不同。

在进行任何网络配置之前，强烈建议备份当前的配置数据并详细了解设备的使用说明。

对于复杂网络环境中的高级应用场景，请在经验丰富的网络工程师指导下操作。

1。

华为ACL详解2精编版访问控制列表-细说ACL那些事⼉（ACL匹配篇）在上⼀期中，⼩编围绕⼀张ACL结构图展开介绍，让⼤家了解了ACL的概念、作⽤和分类，并且知道了ACL是通过规则匹配来实现报⽂过滤的。

但ACL到底是如何进⾏规则匹配的，相信⼤家还是⼀头雾⽔。

本期，说⼀说关于“ACL匹配”的那些事⼉。

1ACL匹配机制⾸先，为⼤家介绍ACL匹配机制。

上⼀期提到，ACL在匹配报⽂时遵循“⼀旦命中即停⽌匹配”的原则。

其实，这句话就是对ACL匹配机制的⼀个⾼度的概括。

当然，ACL匹配过程中，还存在很多细节。

⽐如，ACL不存在系统会怎么处理？ACL存在但规则不存在系统会怎么处理？为了对整个ACL匹配过程展开详细的介绍，画了⼀张ACL匹配流程图，相信对⼤家理解ACL匹配机制能有所帮助。

从整个ACL匹配流程可以看出，报⽂与ACL规则匹配后，会产⽣两种匹配结果：“匹配”和“不匹配”。

●匹配（命中规则）：指存在ACL，且在ACL中查找到了符合匹配条件的规则rule。

不论匹配的动作是“permit”还是“deny”，都称为“匹配”，⽽不是只是匹配上permit规则才算“匹配”。

●不匹配（未命中规则）：指不存在ACL(⽆ACL)，或ACL中⽆规则(没有rule)，再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。

切记以上三种情况，都叫做“不匹配”。

提醒⼤家，⽆论报⽂匹配ACL的结果是“不匹配”、“允许”还是“拒绝”，该报⽂最终是被允许通过还是拒绝通过，实际是由应⽤ACL的各个业务模块来决定的。

不同的业务模块，对命中和未命中规则报⽂的处理⽅式也各不相同。

例如，在Telnet模块中应⽤ACL，只要报⽂命中了permit规则，就允许通过；⽽在流策略中应⽤ACL，如果报⽂命中了permit规则，但流⾏为动作配置的是deny，该报⽂会被拒绝通过。

在后续连载的《访问控制列表-细说ACL那些事⼉（应⽤篇）》中，将结合各类ACL应⽤，为⼤家细说各个业务模块的区别。

华为基本ACL的编号范围1. 什么是ACL？ACL（Access Control List）即访问控制列表，是一种用于网络设备中实现安全策略的技术。

ACL可以根据源IP地址、目的IP地址、协议类型、端口号等条件对数据包进行过滤和控制，从而限制网络流量的进出。

华为基本ACL是华为公司在其网络设备上实现的一种基本访问控制列表。

它允许管理员通过配置规则来限制或允许特定类型的数据包通过网络设备。

2. 华为基本ACL编号范围在华为设备上，每个ACL规则都有一个唯一的编号，用于标识该规则。

华为基本ACL规则的编号范围是1-3999。

其中，1-199表示标准ACL规则，200-299表示扩展ACL规则，300-399表示高级ACL规则。

2.1 标准ACL标准ACL是最简单和最常用的一种ACL类型。

它只能根据源IP地址来过滤数据包，并且只能对IP头部进行匹配操作。

标准ACL规则的编号范围是1-199。

管理员可以根据需要自定义标准ACL规则，并按照编号顺序配置到网络设备中。

以下是一个示例标准ACL配置：acl number 10rule 10 permit source 192.168.1.0 0.0.0.255rule 20 deny source any上述配置中，ACL编号为10的标准ACL规则允许源IP地址为192.168.1.0/24的数据包通过，拒绝其他源IP地址的数据包通过。

2.2 扩展ACL扩展ACL相比标准ACL更为灵活，可以根据源IP地址、目的IP地址、协议类型、端口号等条件来过滤数据包，并且可以对TCP和UDP头部进行精确匹配操作。

扩展ACL规则的编号范围是200-299。

管理员可以根据需要自定义扩展ACL规则，并按照编号顺序配置到网络设备中。

以下是一个示例扩展ACL配置：acl number 2000rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination any eq wwwrule 10 deny ip source any destination any上述配置中，ACL编号为2000的扩展ACL规则允许源IP地址为192.168.1.0/24、目的端口号为80（HTTP）的TCP数据包通过，拒绝其他类型的数据包通过。

华为AR 28-11的型号基本适用多数华为路由Login authenticationUsername:ztwindows （用户）Password:sys （进如系统视图）System View: return to User View with Ctrl+Z.[quidway]dis curr （查看当前系统配置信息）#sysname quidway （系统名称）#info-center loghost 192.168.0.232（指定信息中心配置信息，这个可以不要）#firewall enable（开起防火墙功能）#dns resolve （启动动态DNS解析功能）dns server 202.98.198.168（指定域名服务器IP地址）dns-proxy enable（启动动态DNS解析功能）#radius scheme system（指定radius配置信息创建scheme方案或者修改方案属性）radius scheme test （test方案名）#domain system#local-user ztwindowspassword cipher L_'-D*ST]8Z)9JV9LS027A!!service-type telnet terminallevel 3关键地方来了！#acl number 2000 （设置一个基本的ACL数值为2000）rule 0 permit source 192.168.0.0 0.0.0.255 （这里配置的时候你会知道其意思）rule 1 deny#acl number 3001 （设置端口过滤使得安全功能）rule 0 deny tcp source-port eq 3127rule 1 deny tcp source-port eq 1025rule 2 deny tcp source-port eq 5554rule 3 deny tcp source-port eq 9996rule 4 deny tcp source-port eq 1068rule 5 deny tcp source-port eq 135rule 6 deny udp source-port eq 135rule 7 deny tcp source-port eq 137rule 8 deny udp source-port eq netbios-nsrule 9 deny tcp source-port eq 138rule 10 deny udp source-port eq netbios-dgmrule 11 deny tcp source-port eq 139rule 12 deny udp source-port eq netbios-ssnrule 13 deny tcp source-port eq 593rule 14 deny tcp source-port eq 4444rule 15 deny tcp source-port eq 5800rule 16 deny tcp source-port eq 5900rule 18 deny tcp source-port eq 8998rule 19 deny tcp source-port eq 445rule 20 deny udp source-port eq 445rule 21 deny udp source-port eq 1434rule 30 deny tcp destination-port eq 3127rule 31 deny tcp destination-port eq 1025rule 32 deny tcp destination-port eq 5554rule 33 deny tcp destination-port eq 9996rule 34 deny tcp destination-port eq 1068rule 35 deny tcp destination-port eq 135rule 36 deny udp destination-port eq 135rule 37 deny tcp destination-port eq 137rule 38 deny udp destination-port eq netbios-nsrule 39 deny tcp destination-port eq 138rule 40 deny udp destination-port eq netbios-dgmrule 41 deny tcp destination-port eq 139rule 42 deny udp destination-port eq netbios-ssnrule 43 deny tcp destination-port eq 593rule 44 deny tcp destination-port eq 4444rule 45 deny tcp destination-port eq 5800rule 46 deny tcp destination-port eq 5900rule 48 deny tcp destination-port eq 8998rule 49 deny tcp destination-port eq 445rule 50 deny udp destination-port eq 445rule 51 deny udp destination-port eq 1434#interface Aux0 （这个不用解释了自己看就知道了）async mode flow#interface Ethernet0/0（设置以太网口0/0口）speed 100（设置以太网的带宽为100M）descrīption link_to_dianxin（以太网口标识我设置的意思是这个口是接如点心）tcp mss 2048（设置TCP 的MSS直最大为2048）ip address 220.172.*.* 255.255.255.192（这里是设置这个口的外网IP以及子网）nat outbound 2000（设置nat地址转换数值为2000）nat server protocol tcp global 220.172.*.* 15000 inside 192.168.0.232 15000（这些是我做的端口隐射）nat server protocol tcp global 220.172.*.* 15010 inside 192.168.0.232 15010nat server protocol tcp global 220.172.*.* 15030 inside 192.168.0.232 15030nat server protocol tcp global 220.172.*.* 15037 inside 192.168.0.232 15037nat server protocol tcp global 220.172.*.* 15047 inside 192.168.0.232 15047#interface Ethernet0/1（上面说过接口了这个是0/1口看懂上面就应该看懂这里了吧）speed 100desc rīption link_to_workgrouptcp mss 1536ip address 192.168.0.1 255.255.255.0nat outbound 2000（内网口可以不设置这项）#interface Serial0/0（这个自己看说明就知道什么用了）clock DTECLK1link-protocol pppshutdownip address ppp-negotiate#interface Tunnel0#interface NULL0#time-range daily 08:30 to 18:30 daily#FTP server enable （FT[服务器为打开做FTP不用隐射直接打开还有下面一项设置就行了）#ftp source-interface Ethernet0/1（指向FTP连接借口为以太网0/1口）#undo arp check enable（使得能ARP表项检测，这个可以根据自己在加上其他参数实现）#ip route-static 0.0.0.0 0.0.0.0 220.172.225.129 preference 60（这里是加上外网IP的网关）#user-interface con 0authentication-mode schemeuser-interface aux 0user-interface vty 0 4authentication-mode scheme#return[quidway]好了大家应该看得懂了吧对了支持中文方式命令为lan chin 缩写只要命令不冲突华为路由支持缩写然后大家要查看相关命令OR功能的话在命令行输入？就行了查看连续命令的话比如怎么转换中文就是lan空格?号就行了然后查看本缩写的相关命令比如就是lan?没空格回复：你做了端口过滤，为什么不应用到接口上？firewall packet-filter 3001 inboundfirewall packet-filter 3001 outbound。

华为交换机ACL基础配置ACL基础详解：访问控制列表(ACL)是⼀种基于包过滤的，它可以根据设定的条件对接⼝上的数据包进⾏过滤，允许其通过或丢弃。

访问控制列表被⼴泛地应⽤于和，借助于访问控制列表，可以有效地控制⽤户对⽹络的访问，从⽽最⼤程度地保障。

访问控制列表（Access Control Lists，ACL）是应⽤在接⼝的指令列表。

这些指令列表⽤来告诉路由器哪些可以收、哪些数据包需要拒绝。

⾄于数据包是被接收还是拒绝，可以由类似于源地址、⽬的地址、等的特定指⽰条件来决定。

访问控制列表具有许多作⽤，如限制⽹络流量、提⾼⽹络性能；通信流量的控制，例如ACL可以限定或简化路由更新信息的长度，从⽽限制通过路由器某⼀⽹段的通信流量；提供⽹络安全访问的基本⼿段；在路由器端⼝处决定哪种类型的通信流量被转发或被阻塞，例如，⽤户可以允许E-mail通信流量被路由，拒绝所有的 Telnet通信流量等。

ACL处理过程及规则：当ACL处理数据包时，⼀旦数据包与某条ACL语句匹配，则会跳过列表中剩余的其他语句，根据该条匹配的语句内容决定允许或者拒绝该数据包。

如果数据包内容与ACL语句不匹配，那么将依次使⽤ACL列表中的下⼀条语句测试数据包。

该匹配过程会⼀直继续，直到抵达列表末尾。

最后⼀条隐含的语句适⽤于不满⾜之前任何条件的所有数据包。

这条最后的测试条件与这些数据包匹配，通常会隐含拒绝⼀切数据包的指令。

此时路由器不会让这些数据进⼊或送出接⼝，⽽是直接丢弃。

最后这条语句通常称为隐式的“deny any”语句。

由于该语句的存在，所以在ACL中应该⾄少包含⼀条permit语句，否则，默认情况下，ACL将阻⽌所有流量。

访问控制列表的使⽤：ACL的使⽤分为两步：1. 创建访问控制列表ACL，根据实际需要设置对应的条件项；2. 将ACL应⽤到路由器指定接⼝的指定⽅向(in/out)上。

在ACL的配置与使⽤中需要注意以下事项：1. ACL是⾃顶向下顺序进⾏处理，⼀旦匹配成功，就会进⾏处理，且不再⽐对以后的语句，所以ACL中语句的顺序很重要。