华为S7550交换机上ACL问题，请老师指教

求助 华为 交换机 ACL配置~

你这个acl应用在了什么位置。你应用在int vlan2 上，acl为outbound，acl 的source为vlan 2的地址段，des为vlan 10 的地址段

蓝色三角?就是Corp1上的.30接口吧这里交换机应该是二层交换机,二层交换机是转发的数据帧,数据包不同的设备可以表现不同,有些可以会处理数据包,但是最好不要在交换机上配置acl来限制外网的数据包,这个工作让...

首先你要明确一点，访问控制列表的掩码可以不连续， 也就是说访问控制列表为了达到精确匹配，因此可以不连续，下面我们来做这个题目：
我们把192.168.1.0的最后一位写成2进制为00000000，如果要为奇数，只需要最后一位置1即可！也就是说00000001，0的部分可以随便变动，1的部分不能变！这样形成的数肯定是奇数，所以我们可以这样匹配，192.168.1.1 255.255.255.1，那么访问控制列表就很容易写出了！
Router(config)#access-list 1 permit 192.168.1.1 255.255.255.1
由于默认跟随了一句deny any，所以就用一句，放行奇数IP就可以了！然后在接口下应用就OK了！
回答完毕！

1.可以
2。是的
3.是的

可以将配置文件贴上来，如果不方便可以讲配置文件发送到我邮箱里。wlcol@126.com
我是H3C(华为）代理商工程师，可以帮你看看。
因为使用ACL的时候，是要根据具体情况来定义源和目的的acl，和在接口的in方向还是out方向应用都是有说道的。

#########################
看了你的图片。我初步判断为acl问题与mac地址学习问题。
1.mac地址学习功能。在连接pc的端口下，不能配置成0，学习不到任何mac地址。此时交换机端口mac地址表项里没有对应的信息。交

换无法转发数据，也不建议将此值调的太小。连接到其他交换机的端口如trunk口一定要将此值调的很大，最好不限制。因为交换机

会维护整个网络里所有的mac与端口对应表项。如果你将TRUNK限制小了从此端口上来的对端所有pc机mac地址到达限制数就不学习了

。也就没有表项。没有对应表项，二层就不可能通信，就更别说三层了。
建议将连接pc的端口设置成10，连接其他交换机的端口（trunk）不做限制。要把此功能关闭。注意，对于trunk口两边的交换要设置

成一样。
使用dis mac-address 和 dis arp all查看mac地址与端口的对应关系，就知道那个端口是否学习上来了mac地址。没有学习上来地址

就肯定不能通信。
2.acl问题。你设置的acl3001有很大的问题。华为的acl是从最大的rule开始匹配的，也就是说先执行rule22 在往上执行rule。因为

有版本的问题，有的交换如果在最后设置了deny在往上的话permit是不好用的，你的rule22在你lan内就相当于了全部deny。S7502我

没有设置过这样的应用。所有说全都deny掉还是不清楚。我建议你这样配置。
把permit换成deny 而acl最后不做permit全部允许规则。
例：
在一个access端口下。它属于vlan21.只允许访问本网段，而不允许访问vlan25。
acl num 3021
rule 1 deny ip sou 192.168.21.0 0.0.0.255 de 192.168.25.0 0.0.0.255

在端口下
qos
pack ip in acl 3021

一定要在in方向，in方向是从此端口流入的数据，在acl里就是source。如果是ou方向在acl里就de目的地址。
还有就是你说的领导单向访问问题。

这个是没有办法实现的，也很不现实。从数据的角度上来看，数据包是双向的这样才能建立起一个连接，tcp或者udp的。只有去的数

据，在经过端口的时候被acl规则里的deny掉回来的数据。这个连接是建立不起来的。也就无法通信。
说个最简单的例子。我在vlan21里pingvlan25的地址，我把arp请求到mac地址的那部分省略掉。ping是使用icmp报文。首先发送一个

icmp请求报文。经过交换的是三层路由请求到了对方pc，对方pc返回了一个icmp报文，在经过连接他的端口时被acl规则deny掉了。

而我一直也没有收到对方的icmp返回报文，经过计时器时间，确认丢失。返回Request timed out.
如此连最基础的icmp报文都不通，就别说tcp、udp报文了。
所以单向访问是不可行的。

如果还有什么问题可以直接发邮件给我。

---

琼山区15794633252： 问下关于华为交换机ACL的问题 - ？
文盾培元： 官方定义:先匹配acl,如是deny那就直接过滤掉,不再通过qos匹配;如是acl是permit,那么接下来qos流量进行匹配.个人总结:traffic behavior使用permit表示按照acl 的规则来进行数据放行,acl中允许那就允许,禁止那就禁止 traffic behavior但是若使用deny,则无论acl规则中的permit或者deny,一律全都丢弃不进行转发. 组合有如下四种: acl beha 最后的动作 a permit permit permit b permit deny deny c deny permit deny d deny deny deny

琼山区15794633252： 求助 华为 交换机 ACL配置 - ？
文盾培元： 华为交换机常用命令:1、display current-configuration 显示当前配置2、display interface gigabitethernet 1/1/4 显示接口信息3、display packet-filter interface gigabitethernet 1/1/4 显示接口acl应用信息4、display acl all 显示所有acl设置 3900系列...

琼山区15794633252： 华为交换机更改acl - ？
文盾培元： 首先你看这条ACL被那条命令引入了,那么进入那条命令UNDO引入这条ACL的命令.然后再UNDO掉这条ACL

琼山区15794633252： 关于华为交换机ACL - ？
文盾培元： 常规的ACL主要用于包过滤,或者匹配流量(常见应用场景如NAT) 流策略是一整套策略模块:class 用于匹配流量,可以用acl匹配,可以匹配带有某些标记的流量等 behavior 用于对流量做相应动作,常见有策略路由(修改下一跳),打标记,qos policy ,用于应用流策略 纯手打,给个支持^_^

琼山区15794633252： 如何在华为85系列交换机上做拒绝某mac地址的acl - ？
文盾培元： S8500 系列交换机的配套操作手册中就有拒绝某个MAC地址的实例,遇到问题应该先看手册哦.:(pdd_13):在这里举个简单例子——比如要在g9/1/1端口处进行过滤,阻止源MAC地址为0011-2233-4455的数据帧,那么S8500交换机上的操作步骤如下: system-view acl number 4000 rule 1 deny ingress 0011-2233-4455 0-0-0 quit interface GigabitEthernet 9/1/1 flow-template user-defined packet-filter inbound link-group 4001

琼山区15794633252： H3Cs5500三层交换机配置基于端口的acl问题,急急急!!!! - ？
文盾培元： 添加一个acl acl 3001 rule 0 permit tcp destination server1-ip destination-port eq 3000 rule 1 permit tcp destination server2-ip destination-port eq 3001 rule 2 deny tcp 注:tcp或者udp,以服务器上端口为准,检查命令:netstat 进入G0/0接口 packet-filter 3001 inbound

琼山区15794633252： 华为交换机ACL是什么,如何设,请详细说明? - ？
文盾培元： acl 3001 rule 5 permit xxx xxx rule 10 deny xxx xxx 把你的具体需求拿上来.

琼山区15794633252： 关于华为交换机ACL设置 - ？
文盾培元： 首先需要更正下理解,vlan就是为了隔离交换机内广播风暴而产生的,acl是访问控制,相对于问题者提出的需求,使用acl有点杀鸡用牛刀的感觉.对于4个vlan不能互访,只要他们三层没打通,二层中是不会互通的 一般在组网实例中都不会建议在交换机上建立acl,而是通过在防火墙上来实施acl策略.因为交换机就那么个性能,太多的acl会影响交换机处理性能 如果非要使用acl,肯定是在3328上做

琼山区15794633252： 华为的Quidway系列为什么删除不了acl? - ？
文盾培元： 您好!设备中的ACL一般情况下都是允许删除的.通常,ACL无法删除的原因都是正在被应用,建议把应用ACL的部分删除后再试. 另外,当删除失败的时候,设备会给出一个失败的原因,您可以根据提示来判断问题所在.仅供参考.

琼山区15794633252： ACL 在交换机端口上只能in 不能out - ？
文盾培元： 不支持呗 基于IP的访问控制列表不被支持在OUT方向..先报上你的交换机品牌和型号吧.