一、access-list 用於建立訪問規則。
(1)建立標準訪問列表
access-list [ normal | special ] listnumber1 source-addr [ source-mask ]
(2)建立擴充套件訪問列表
access-list [ normal | special ] listnumber2 protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
(3)刪除訪問列表
no access-list
【引數說明】
normal 指定規則加入普通時間段。
special 指定規則加入特殊時間段。
listnumber1 是1到99之間的乙個數值,表示規則是標準訪問列表規則。
listnumber2 是100到199之間的乙個數值,表示規則是擴充套件訪問列表規則。
permit 表明允許滿足條件的報文通過。
deny 表明禁止滿足條件的報文通過。
protocol 為協議型別,支援icmp、tcp、udp等,其它的協議也支援,此時沒有埠比較的概念;為ip時有特殊含義,代表所有的ip協議。
source-addr 為源位址。
source-mask 為源位址通配位,在標準訪問列表中是可選項,不輸入則代表通配位為0.0.0.0。
dest-addr 為目的位址。
dest-mask 為目的位址通配位。
operator[可選] 埠操作符,在協議型別為tcp或udp時支援埠比較,支援的比較操作有:等於(eq)、大於(gt)、小於(lt)、不等於(neq)或介於(range);如果操作符為range,則後面需要跟兩個埠。
port1 在協議型別為tcp或udp時出現,可以為關鍵字所設定的預設值(如telnet)或0~65535之間的乙個數值。
port2 在協議型別為tcp或udp且操作型別為range時出現;可以為關鍵字所設定的預設值(如telnet)或0~65535之間的乙個數值。
icmp-type[可選] 在協議為icmp時出現,代表icmp報文型別;可以是關鍵字所設定的預設值(如echo-reply)或者是0~255之間的乙個數值。
icmp-code在協議為icmp且沒有選擇所設定的預設值時出現;代表icmp碼,是0~255之間的乙個數值。
log [可選] 表示如果報文符合條件,需要做日誌。
listnumber 為刪除的規則序號,是1~199之間的乙個數值。
subitem[可選] 指定刪除序號為listnumber的訪問列表中規則的序號。
【預設情況】
系統預設不配置任何訪問規則。
【命令模式】
全域性配置模式
【使用指南】
同乙個序號的規則可以看作一類規則;所定義的規則不僅可以用來在介面上過濾報文,也可以被如ddr等用來判斷乙個報文是否是感興趣的報文,此時,permit與deny表示是感興趣的還是不感興趣的。
使用協議域為ip的擴充套件訪問列表來表示所有的ip協議。
同乙個序號之間的規則按照一定的原則進行排列和選擇,這個順序可以通過 show access-list 命令看到。
【舉例】
允許源位址為10.1.1.0 網路、目的位址為10.1.2.0網路的www訪問,但不允許使用ftp。
quidway(config)#access-list 100 permit tcp 10.1.1.
0 0.0.0.
255 10.1.2.
0 0.0.0.
255 eq www
quidway(config)#access-list 100 deny tcp 10.1.1.
0 0.0.0.
255 10.1.2.
0 0.0.0.
255 eq ftp
【相關命令】
ip access-group
二、clear access-list counters 清除訪問列表規則的統計資訊。
clear access-list counters [ listnumber ]
【引數說明】
listnumber [可選] 要清除統計資訊的規則的序號,如不指定,則清除所有的規則的統計資訊。
【預設情況】
任何時候都不清除統計資訊。
【命令模式】
特權使用者模式
【使用指南】
使用此命令來清除當前所用規則的統計資訊,不指定規則編號則清除所有規則的統計資訊。
【舉例】
例1:清除當前所使用的序號為100的規則的統計資訊。
quidway#clear access-list counters 100
例2:清除當前所使用的所有規則的統計資訊。
quidway#clear access-list counters
【相關命令】
access-list
三、firewall 啟用或禁止防火牆。
firewall
【引數說明】
enable 表示啟用防火牆。
disable 表示禁止防火牆。
【預設情況】
系統預設為禁止防火牆。
【命令模式】
全域性配置模式
【使用指南】
使用此命令來啟用或禁止防火牆,可以通過show firewall命令看到相應結果。如果採用了時間段包過濾,則在防火牆被關閉時也將被關閉;該命令控制防火牆的總開關。在使用 firewall disable 命令關閉防火牆時,防火牆本身的統計資訊也將被清除。
【舉例】
啟用防火牆。
quidway(config)#firewall enable
【相關命令】
access-list,ip access-group
四、firewall default 配置防火牆在沒有相應的訪問規則匹配時,預設的過濾方式。
firewall default
【引數說明】
permit 表示預設過濾屬性設定為「允許」。
deny 表示預設過濾屬性設定為「禁止」。
【預設情況】
在防火牆開啟的情況下,報文被預設允許通過。
【命令模式】
全域性配置模式
【使用指南】
當在介面應用的規則沒有乙個能夠判斷乙個報文是否應該被允許還是禁止時,預設的過濾屬性將起作用;如果預設過濾屬性是「允許」,則報文可以通過,否則報文被丟棄。
【舉例】
設定預設過濾屬性為「允許」。
quidway(config)#firewall default permit
五、ip access-group 使用此命令將規則應用到介面上。使用此命令的no形式來刪除相應的設定。
ip access-group listnumber
[ no ] ip access-group listnumber
【引數說明】
listnumber 為規則序號,是1~199之間的乙個數值。
in 表示規則用於過濾從介面收上來的報文。
out 表示規則用於過濾從介面**的報文。
【預設情況】
沒有規則應用於介面。
【命令模式】
介面配置模式。
【使用指南】
使用此命令來將規則應用到介面上;如果要過濾從介面收上來的報文,則使用 in 關鍵字;如果要過濾從介面**的報文,使用out 關鍵字。乙個介面的乙個方向上最多可以應用20類不同的規則;這些規則之間按照規則序號的大小進行排列,序號大的排在前面,也就是優先順序高。對報文進行過濾時,將採用發現符合的規則即得出過濾結果的方法來加快過濾速度。
所以,建議在配置規則時,盡量將對同乙個網路配置的規則放在同乙個序號的訪問列表中;在同乙個序號的訪問列表中,規則之間的排列和選擇順序可以用show access-list命令來檢視。
【舉例】
將規則101應用於過濾從乙太網口收上來的報文。
quidway(config-if-ethernet0)#ip access-group 101 in
【相關命令】
access-list
六、settr 設定或取消特殊時間段。
settr begin-time end-time
no settr
【引數說明】
begin-time 為乙個時間段的開始時間。
end-time 為乙個時間段的結束時間,應該大於開始時間。
【預設情況】
系統預設沒有設定時間段,即認為全部為普通時間段。
【命令模式】
全域性配置模式
【使用指南】
使用此命令來設定時間段;可以最多同時設定6個時間段,通過show timerange 命令可以看到所設定的時間。如果在已經使用了乙個時間段的情況下改變時間段,則此修改將在一分鐘左右生效(系統查詢時間段的時間間隔)。設定的時間應該是24小時制。
如果要設定類似晚上9點到早上8點的時間段,可以設定成「settr 21:00 23:59 0:
00 8:00」,因為所設定的時間段的兩個端點屬於時間段之內,故不會產生時間段內外的切換。另外這個設定也經過了2000問題的測試。
【舉例】
例1:設定時間段為8:30 ~ 12:00,14:00 ~ 17:00。
quidway(config)#settr 8:30 12:00 14:00 17:00
例2: 設定時間段為晚上9點到早上8點。
quidway(config)#settr 21:00 23:59 0:00 8:0
【相關命令】
timerange,show timerange
七、show access-list 顯示包過濾規則及在介面上的應用。
show access-list [ all | listnumber | inte***ce inte***ce-name]
華為路由器和防火牆配置命令總結
一 access list 用於建立訪問規則。1 建立標準訪問列表 access list normal special listnumber1 source addr source mask 2 建立擴充套件訪問列表 access list normal special listnumber2 p...
華為路由器和防火牆配置命令總結
dest addr 為目的位址。dest mask 為目的位址通配位。operator 可選 埠操作符,在協議型別為tcp或udp時支援埠比較,支援的比較操作有 等於 eq 大於 gt 小於 lt 不等於 neq 或介於 range 如果操作符為range,則後面需要跟兩個埠。port1 在協議型別...
無線防火牆路由器
wpn824 rangemaxtm 無線防火牆路由器 請參考做連線 關鍵特性 rangemax技術 10倍於標準802.11g的無線覆蓋和速度 七根智慧型的內建天線持續的監測,最優化吞吐量 網路無線覆蓋範圍最遠可至400英呎 智慧型mimo技術 多進,多出 讓你無 盲區 之憂 相容性確保了互操作性 ...