华为S5720上配置ACL，通过traffic-filter调用

ACL命令

acl number acl-number[name acl-name][match-order{auto|config}]
undo acl {all|name acl-name|number acl-number}

number acl-number:指定ACL的序号，acl-number表示acl的序号，取值范围如下：
2000-2999：基本IPv4 ACL
3000-3999：高级IPv4 ACL
4000-4999：二层ACL

<Huawei>sys
[Huawei]acl 3000               //创建高级ACL（3000~3999）
[Huawei-acl-adv-3000]
[Huawei-acl-adv-3000]rule permit ip source192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255   //配置允许192.168.1.0段去访问192.168.2.0段
[Huawei-acl-adv-3000]rule deny ip source192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255    //配置拒绝192.168.1.0段去访问192.168.4.0段

[Huawei-acl-adv-3000]dis thi       //查看当前配置是否配置成功
#
acl number 3000
 rule5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
 rule10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255
#
return

[Huawei-acl-adv-3000]q    //退出ACL视图

[Huawei]int g0/0/1   //进入对应的接口

[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000   //接口下调用ACL 3000

[Huawei-GigabitEthernet0/0/1]q      //退出接口视图

[Huawei]

上面的这个配置有点粗糙。没错，配置完1.0不能访问2.0，反过来2.0ping1.0也不通了。因为通信是相互的，icmp和tcp协议都存在一个对方要回信号（TCP三次握手）

下面是一个实现精确单向控制的ACL

交换机V100R005以后版本可以通过下面的方法配置针对ICMP和TCP报文的单向访问。

下面是交换机实现从A不能访问B，但能从B访问A需求的示例

假设192.168.10.0是A的地址段（属于VLAN10），192.168.20.0是B的地址段（属于VLAN20）

1. 创建ACL，制定访问控制规则（默认是permit）

acl 3000
rule 5 deny icmp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 icmp-type echo
//配置ICMP单向访问规则  注解一下ehco的意思是第一个请求包，规则拒绝的是icmp中10请求20，
rule 10 deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 tcp-flag syn 
//配置TCP单向访问规则  注解一下syn是三次握手的第一个动作，就被deny了
quit

H3C设备如何利用ACL实现2个Vlan，vlan1能访问vlan2，vlan2不能访问vlan1

• 关键点
• 在配置ACL和Qos策略前必须全网路由可达。如果S5500-EI两端连接的是交换机，则需要配置路由协议或在两端交换机上配置到对方网段的静态路由。
• 在S5500-EI上配置ACL rule时，tcp established匹配的时带有ack标志的tcp连接报文，而tcp匹配的时所有tcp连接报文。在配置Qos策略时，匹配流分类和流行为要注意顺序，先匹配permit的，再匹配deny的。这样结果时再入方向deny了不带ack标志位的tcp连接报文，其他tcp连接报文均能正常通过。因此vlan200所在网段发起tcp连接时第一个请求报文被deny而无法建立连接，vlan100所在网段发起tcp连接时，vlan200所在网段发送的都是带有ack标志位的tcp连接报文，连接可以顺利建立
• S5500-EI从R2202P05版本开始，在ACL中添加了Established字段，之前的版本无法实现TCP单向访问功能。

#配置端口、虚接口
[H3C]vlan100
[H3C-vlan100]port GigabitEthernet 0/0/24
[H3C-vlan100]quit
[H3C]interface Vlan-interface 100
[H3C-Vlan-interface100]ip address 192.168.1.2 24
[H3C-Vlan-interface100]quit

[H3C]vlan200
[H3C-vlan200]port GigabitEthernet 0/1/24
[H3C-vlan200]quit
[H3C]interface Vlan-interface 200
[H3C-Vlan-interface100]ip address 192.168.2.1 24
[H3C-Vlan-interface100]quit
#创建ACL,其中第1条匹配TCP连接请求报文，第2条匹配TCP连接建立报文
[H3C]acl number 3000
[H3c-acl-adv-3000]rule 0 permit tcp established source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[H3c-acl-adv-3000]quit
[H3C]acl number 3001
[H3c-acl-adv-3001]rule 0 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
#允许部分IP地址访问
[H3c-acl-adv-3000]rule 0 permit ip source 192.168.2.0 0.0.0.248 destination 192.168.1.0 0.0.0.255
[H3c-acl-adv-3000]rule 15 deny ip source any destination 192.168.1.0 0.0.0.255
[H3c-acl-adv-3000]quit
# 配置高级ACL和ACL规则，拒绝研发部门访问市场部门FTP服务器的报文通过。
[Switch] acl 3001
[Switch-acl-adv-3001] rule 10 deny tcp destination 10.1.2.0 0.0.0.255 destination-port eq 20
[Switch-acl-adv-3001] rule 15 deny tcp destination 10.1.2.0 0.0.0.255 destination-port eq 21
[Switch-acl-adv-3001] rule 20 permit ip
[Switch-acl-adv-3001] quit

2. 配置流分类，匹配ACL

[H3C]traffic classifier 3000 
[H3C-classifier-3000]if-match acl 3000 
[H3c]quit
[H3C]traffic classifier 3001
[H3C-classifier-3001]if-match acl 3001
#创建流行为，permit TCP连接建立报文，deny从vlan发送的TCP连接建立请求报文

3. 配置流行为

[huawei]traffic behavior 3000
[huawei-behavior-3000]quit

[H3C]traffic behavior 3000
[H3C-behavior-3000]filter permit
[H3C-behavior-3000]quit
[H3C]traffic behavior 3001
[H3C-behavior-3001]filter deny

4. 配置流策略，关联流分类和流行为

[huawei]traffic policy 3000 
[huawei]classifier 3000 behavior 3000 
[huawei]quit

[H3C]qos policy 3000
[H3C-qospolicy-3000]classifier 3000 behavior 3000
[H3C-qospolicy-3000]classifier 3001 behavior 3001
#在Vlan端口方向下发Qos策略
[H3C]interface GigabitEthernet 1/0/24
[H3C-GigabitEthernet 1/0/24]qos apply policy 3000 inbound

5. 应用流策略

• 应用到接口上

[huawei]interface gigabitethernet 1/0/1 
[huawei]traffic-policy p1 inbound

• 或者应用到vlan上

[huawei]vlan 10 
[huawei]traffic-policy p1 inbound

• 或者在全局应用

[huawei]traffic-policy p1 global inbound