华为系列设备ACL配置和应用常见问题

本文主要介绍华为系列设备在配置ACL的时候可能遇到的问题，由于是基于华为eNSP进行的实验，因此可能会与实际装备有所差异，但是特别适合使用eNSP模拟软件在配置ACL时遇到问题的同学，在阅读本文前，希望您能够对华为系列设备ACL配置和应用有着基本的了解。
ACL，access list，即访问控制列表，从字面上看，可以起到控制访问流量的作用。但是，ACL所做的只不过是按照规则进行流量的匹配，要想真正实现ACL的配置，还需要配合其他的工具，比如traffic filter等等。经过本人实践，发现在ACL配置和应用过程中存在如下问题，发出来和大家分享一下。

一、ACL应用简介

ACL既可以用来抓取路由，也以用来抓取数据包，但是二者都需要配合其他的工具使用。
ACL按照命名方式，可以分为数字型ACL和命名型ACL。按照ACL功能，可以分为基本ACL，高级ACL，二层ACL，有时某些型号的设备还会有用户ACL和接口ACL。
ACL总是试图将抓取到的数据包或者路由按照自身规则进行匹配，并且总是按照rule号码从小到大进行匹配，当ACL匹配到某一条规则时，就会执行该规则所规定的动作，从而不会向下匹配。
注意：
高级ACL不能用于过滤路由，只能用于过滤数据包。

二、使用Serial线配置ACL

我们在做实验的时候，很多时候都是将ACL配置在普通的接口上，但是如果出现特殊的实验需求，需要将ACL配置在Serial线上，此时ACL可能出现问题，并不会按照理论上对数据包进行过滤，此前我的一篇文章已经对这种现象进行了描述，可以参考，在这里就不过多叙述了。华为eNSP BUG——Serial线配置ACL问题

三、ACL默认匹配规则

ACL默认规则的设置，在华为设备中会根据不同情况有不同的规则。在华为官方文档中，是这样介绍的：

当然，上面的文档过于复杂，其实总结来看，基本上ACL默认规则是这样的：
如果配置在接口上，则默认规则为允许，如果配置在其他地方，则默认规则为拒绝。

四、将ACL配置在接口出方向上

华为系列设备存在如下规则：
如果将ACL配置在接口入方向上：
那么ACL能够匹配抓取进入本接口的流量。
如果将ACL配置在接口出方向上：
那么ACL只检查穿过本接口的流量，而不检查本地路由器（或交换机）自身产生的流量。

五、ACL两种应用方法

如果配置了一个ACL，那么必须将它在接口上应用才会真正生效。关于如何在接口上配置ACL，有下面两种方法：
1、使用traffic-filter
使用traffic-filter配置代码如下：

traffic-filter inbound acl 3000

上述命令在接口模式下配置，表示将ACL 3000绑定到该接口的如方向上。将inbount改为outbount也可以修改为出方向上。
这种配置比较简单，也比较常见。
2、使用traffic-policy
除了上述配置方式之外，在这里再给大家介绍使用traffic-policy配置的方式，这种配置方式比较复杂，也不常用，在这里只是给大家简单提及，希望大家在看到类似命令的时候能够明白其配置含义。
使用traffic-policy配置命令如下：

traffic classifier ICMP_CLASS operator orif-match acl 3000
traffic behavior ICMP_BEHAVEdeny
traffic policy ICMPclassifier ICMP_CLASS behavior ICMP_BEHAVE

这种配置方式是定义了分类、行为和策略，并且将分类和行为应用在策略上，上述配置完成后，在接口上配置如下命令：

traffic-policy ICMP inbound

类似的，上述命令中的inbound也可以根据实际情况更改为outbount。
原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200/article/details/118436068