华为交换机解决ACL的一点点经验分享下
操作方法
- 01
关于华为ACL日常维护中的一点点经验和大家分享下在已经做好的ACL控制策略中,如192.168.1.0禁止访问192.168.2.0 3.0 4.0 5.0网段acl number 3001rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255rule 15 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255rule 20 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.5.0 0.0.0.255rule 25 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.6.0 0.0.0.128但是在工作需求中要重新调整,使得192.168.1.0中的某个IP如192.168.1.10需要访问已被禁止的网段中的某个IP如192.168.6.215,那么要将1.10与6.215互通在调整过程中需要什么呢.很显然重建建ACL规则是不可行的,因为将规则应用到端口上时,只能同时应用一条规则.那么就只能从原有的3001规则上下手了.下面是操作步骤:1.首先在端口上将inbound应用停用,如果3001已经在使用中,那么rule是不可更改的2.清空3001中的所有规则,做好备份.将permit条目放在前端,再恢复原有的规则,原因是acl匹配有一个自上而下的顺序匹配,所以必须首先permit后deny若先匹配到如rule 25已经是deny,那么后面无论怎么做permit,结果还是拒绝,那么调整后的顺序应当是rule 5 permit ip source 192.168.1.10 0 destination 192.168.6.215 0rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255rule 15 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255rule 20 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255rule 25 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.5.0 0.0.0.255rule 30 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.6.0 0.0.0.1283.重新应用至接口.在应用过程中注意一点traffic behavior上permit与deny的区别.使用permit表示按照acl 3001的规则来进行数据放行,3001中允许那就允许,禁止那就禁止但是若使用deny,则无论3001规则中的permit或者deny,一律全都丢弃不进行转发.