华三包过滤配置 H3C ACL包过滤知识要点

H3C华三ACL包过滤配置知识要点，新手必看。

ACL包过滤

acl本身不对数据流做操作，只负责做匹配和筛选。

ACL+Packet-filter访问控制（叫做基于ACL的包过滤）

ACL+Route-policy路由控制

ACL+QOS流量控制

一个接口的一个方向只能配置一个包过滤策略，华三设备包过滤时，默认动作为允许。用在其他的控制动作时（例如流量控制）默认是拒绝的。

注意事项：

如果默认动作是允许，至少需要一条拒绝规则如果默认动作是拒绝,至少需要一条允许规则

H3C的ACL用于包过滤默认允许用于其他默认拒绝把小范围的规则分配一个靠前的顺序在不影响实际效果前提下，把包过滤尽量配置在离源地址最近的接口的入方向（降低资源消耗，避免了查完表之后发现出不去）

基本ACL只对数据包的源地址进行匹配（大范围的过滤,2000-2999）

高级ACL对于数据包的五元组匹配（协议（IP、UDP、TCP、icmp，不知道写啥就写IP，在三层不论是什么协议，都是属于IP），源IP、目的IP、源MAC、目的MAC，3000-3999）

基于二层的ACL（不作要求，4000-4999）

规则不加编号的话会以0、5、10以5的倍数加，避免中间加ACL时没有空。

参考教程：

H3C VLAN隔离包过滤配置实例教程

相关内容标签