H3C S5600 ACL Command - 华为技术 - 51CTO技术论坛

新新人类

帖子 100
精华 0
无忧币 68
积分 180
阅读权限 20

注册日期 2007-9-19

最后登录 2008-4-21

离线

[查看资料] [发短消息] [Blog]

发表于:2007-9-29 16:55　　标题：H3C S5600 ACL Command
＜上一帖 | 下一帖＞

H3C S5600 为什么我进不到ACL呢??
<H3C>ACL 不行
<H3C>ACL number 不行
在system-view也不行.为什么呀?
在哪里才行呀?

2007-9-29 16:55

1楼

[ 顶部 ]

fridaymx

副版主

帖子 506
精华 0
无忧币 1240
积分 548
阅读权限 140
来自 (保密)

注册日期 2007-4-26

最后登录 2008-10-14

在线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-9-29 17:06　 ,被系统奖励 2 点无忧币

<H3C>system-view
[H3C]acl number 2000
这样没问题啊。
或者在不行,你先在接口下将ACL应用.
如[h3c]inter eth 0/0
[h3c]nat outbound 2000
然后在配置ACL应该就没问题了吧.

思科资料大全（持续更新ing）

2007-9-29 17:06

2楼

[ 顶部 ]

新新人类

帖子 100
精华 0
无忧币 68
积分 180
阅读权限 20

注册日期 2007-9-19

最后登录 2008-4-21

离线

[查看资料] [发短消息] [Blog]

发表于:2007-9-29 17:11　 ,被系统奖励 2 点无忧币

楼上的兄弟能不能详细解说一下你这几句的意思.
那几个词各代表什么意思呀?

2007-9-29 17:11

3楼

[ 顶部 ]

荣誉会员

帖子 1746
精华 2
无忧币 3340
积分 1995
阅读权限 140
来自 (保密)

注册日期 2006-6-15

最后登录 2008-10-14

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-9-29 17:11　 ,被系统奖励 2 点无忧币

<XJ-MDC-MC-S6506-A>system-view
System View: return to User View with Ctrl+Z.
[XJ-MDC-MC-S6506-A]acl ?
  mode ACL's applying mode
  name Specify a named acl
  number  Specify a numbered acl
  order select the acl match order

[XJ-MDC-MC-S6506-A]acl number ?
  INTEGER<2000-2999>  Specify a basic acl
  INTEGER<3000-3999>  Specify an advanced acl
  INTEGER<4000-4999>  Specify a link acl
  INTEGER<5000-5999>  Specify a user acl

记住设置的ACL,要应用在接口上.
如:
acl name virtus advanced
rule 0 deny udp destination-port eq tftp
rule 1 deny tcp destination-port eq 135
rule 2 deny udp destination-port eq 135
rule 3 deny udp destination-port eq netbios-ns
rule 4 deny udp destination-port eq netbios-dgm
rule 5 deny tcp destination-port eq 139
rule 6 deny udp destination-port eq netbios-ssn
rule 7 deny tcp destination-port eq 445
rule 8 deny udp destination-port eq 445
rule 9 deny udp destination-port eq 539
rule 10 deny tcp destination-port eq 539
rule 11 deny tcp destination-port eq 593
rule 12 deny udp destination-port eq 593
rule 13 deny udp destination-port eq 1434
rule 14 deny tcp destination-port eq 4444
rule 15 deny tcp destination-port eq 5554
rule 16 deny tcp destination-port eq 9996
rule 17 deny tcp destination-port eq 137
rule 18 deny tcp destination-port eq 138
rule 19 deny udp destination-port eq 4444
rule 20 permit ip
#

interface Ethernet6/0/1
description To BGJR-Switch
duplex full
speed 100
port access vlan 102
qos
packet-filter inbound ip-group virtus rule 0 system-index 1
packet-filter inbound ip-group virtus rule 1 system-index 2
packet-filter inbound ip-group virtus rule 2 system-index 3
packet-filter inbound ip-group virtus rule 3 system-index 4
packet-filter inbound ip-group virtus rule 4 system-index 5

[url=http://xiaoxia.blog.51cto.com][color=red]【欢迎访问小侠唐在飞技术博客http://xiaoxia.blog.51cto.com】[/color][/url]

2007-9-29 17:11

4楼

[ 顶部 ]

fridaymx

副版主

帖子 506
精华 0
无忧币 1240
积分 548
阅读权限 140
来自 (保密)

注册日期 2007-4-26

最后登录 2008-10-14

在线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-9-29 17:13　 ,被系统奖励 2 点无忧币

直接[h3c]acl numble (2000-3999)都可以配置ACL了啊。
就象楼上那样啊。.
我下面那个的意思说，如果你实在不行,你先将ACL应用到接口上(我上面是用NAT举例)，在配置ACL看可以不?

[ 本帖最后由 fridaymx 于 2007-9-29 17:15 编辑 ]

思科资料大全（持续更新ing）

2007-9-29 17:13

5楼

[ 顶部 ]

新新人类

帖子 100
精华 0
无忧币 68
积分 180
阅读权限 20

注册日期 2007-9-19

最后登录 2008-4-21

离线

[查看资料] [发短消息] [Blog]

发表于:2007-9-29 17:19　 ,被系统奖励 2 点无忧币

现在可以了..我不知道他是从2000-3999
那如何查看ACL呢? 命令及格式?

2007-9-29 17:19

6楼

[ 顶部 ]

新新人类

帖子 100
精华 0
无忧币 68
积分 180
阅读权限 20

注册日期 2007-9-19

最后登录 2008-4-21

离线

[查看资料] [发短消息] [Blog]

发表于:2007-9-29 17:45　 ,被系统奖励 2 点无忧币

这样一条命令也报错.我要疯了
rule 1 permit ip source 192.168.1.0 destination 172.16.10.2 255.255.240.0
这条有问题吗?

2007-9-29 17:45

7楼

[ 顶部 ]

荣誉会员

帖子 1746
精华 2
无忧币 3340
积分 1995
阅读权限 140
来自 (保密)

注册日期 2006-6-15

最后登录 2008-10-14

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-9-29 17:56　 ,被系统奖励 2 点无忧币

当然有问题了..
应当用反码
rule 1 permit ip source 192.168.1.0 destination 172.16.10.2 0.0.15.255

[url=http://xiaoxia.blog.51cto.com][color=red]【欢迎访问小侠唐在飞技术博客http://xiaoxia.blog.51cto.com】[/color][/url]

2007-9-29 17:56

8楼

[ 顶部 ]

新新人类

帖子 100
精华 0
无忧币 68
积分 180
阅读权限 20

注册日期 2007-9-19

最后登录 2008-4-21

离线

[查看资料] [发短消息] [Blog]

发表于:2007-9-29 18:03　 ,被系统奖励 2 点无忧币

我按照你的写的敲上去结结还是报错
%Too many Parameters found a '~' position.
这又是什么原因呢?
是不是型号不同的设备命也不一样呀?

2007-9-29 18:03

9楼

[ 顶部 ]

荣誉会员

帖子 1746
精华 2
无忧币 3340
积分 1995
阅读权限 140
来自 (保密)

注册日期 2006-6-15

最后登录 2008-10-14

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-9-29 18:26　 ,被系统奖励 2 点无忧币

你用的是ACL的NUMBER是多少?
如果碰见不会的,就打问题?看提示...

[url=http://xiaoxia.blog.51cto.com][color=red]【欢迎访问小侠唐在飞技术博客http://xiaoxia.blog.51cto.com】[/color][/url]

2007-9-29 18:26

10楼

[ 顶部 ]

新新人类

帖子 100
精华 0
无忧币 68
积分 180
阅读权限 20

注册日期 2007-9-19

最后登录 2008-4-21

离线

[查看资料] [发短消息] [Blog]

发表于:2007-9-29 18:33　 ,被系统奖励 2 点无忧币

ACL number是2000呀
打问题?看提示?
在哪里打?在哪里看呢?

2007-9-29 18:33

11楼

[ 顶部 ]

intelboy

高级工程师

帖子 3148
精华 3
无忧币 14845
积分 12608
阅读权限 70
来自 (保密)

注册日期 2006-6-12

最后登录 2008-6-18

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-9-29 22:27　 ,被系统奖励 2 点无忧币

QUOTE:

rule 1 permit ip source 192.168.1.0 destination 172.16.10.2 255.255.240.0

其中192.168.1.0后面缺少子网掩码。

打“？”是指不知道命令后面的参数时，可以通过“？”显示信息。如 display ? ，显示display后面可以用的命令。

To be or not to be.This is the question!

2007-9-29 22:27

12楼

[ 顶部 ]

新新人类

帖子 100
精华 0
无忧币 68
积分 180
阅读权限 20

注册日期 2007-9-19

最后登录 2008-4-21

离线

[查看资料] [发短消息] [Blog]

发表于:2007-9-30 11:15　 ,被系统奖励 2 点无忧币

我要疯了,我最调整为:
"rule 1 permit ip source 192.168.18.0 0.0.0.255 destination 172.16.1.1 0.0.15.255"
这样它也提示我不对.
还有我敲:"Rule ?"
它也提示我不对.我服了华为了
给我的光操作手册上跟没有介结这些命令的字
高人呀.救命呀.一条命令搞了二天.服了.

2007-9-30 11:15

13楼

[ 顶部 ]

荣誉会员

帖子 1746
精华 2
无忧币 3340
积分 1995
阅读权限 140
来自 (保密)

注册日期 2006-6-15

最后登录 2008-10-14

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-9-30 11:47　 ,被系统奖励 2 点无忧币

加我QQ,远程协助,我要上去看看,你那是从哪个土堆里挖出来的

[url=http://xiaoxia.blog.51cto.com][color=red]【欢迎访问小侠唐在飞技术博客http://xiaoxia.blog.51cto.com】[/color][/url]

2007-9-30 11:47

14楼

[ 顶部 ]

新新人类

帖子 100
精华 0
无忧币 68
积分 180
阅读权限 20

注册日期 2007-9-19

最后登录 2008-4-21

离线

[查看资料] [发短消息] [Blog]

发表于:2007-9-30 12:09　

我的QQ号416199848

2007-9-30 12:09

15楼

[ 顶部 ]

wanghaoqd
副版主

帖子 591
精华 0
无忧币 1447
积分 601
阅读权限 140

注册日期 2007-8-28

最后登录 2008-10-14

在线

[查看资料] [发短消息] [Blog]

发表于:2007-9-30 16:33　 ,被系统奖励 2 点无忧币

是不是登录用户的权限不够啊？权限不足有些命令是不可用的。

QQ:11363600，MSN:wanghaoqd@hotmail.com

2007-9-30 16:33

16楼

[ 顶部 ]

新新人类

帖子 100
精华 0
无忧币 68
积分 180
阅读权限 20

注册日期 2007-9-19

最后登录 2008-4-21

离线

[查看资料] [发短消息] [Blog]

发表于:2007-9-30 17:14　 ,被系统奖励 2 点无忧币

我是用Console登上去的.这样也有没有权限吗?

2007-9-30 17:14

17楼

[ 顶部 ]

intelboy

高级工程师

帖子 3148
精华 3
无忧币 14845
积分 12608
阅读权限 70
来自 (保密)

注册日期 2006-6-12

最后登录 2008-6-18

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-9-30 18:28　 ,被系统奖励 2 点无忧币

QUOTE:

原帖由 Gaspar 于 2007-9-30 11:15 发表
我要疯了,我最调整为:
"rule 1 permit ip source 192.168.18.0 0.0.0.255 destination 172.16.1.1 0.0.15.255"
这样它也提示我不对.
还有我敲:"Rule ?"
它也提示我不对.我服了华为了
给 ...

Rule改成小写的"rule ?"试试。为什么首字母要大写呢？？

[ 本帖最后由 intelboy 于 2007-9-30 18:36 编辑 ]

To be or not to be.This is the question!

2007-9-30 18:28

18楼

[ 顶部 ]

sumingcong 性别:男

新新人类

帖子 36
精华 0
无忧币 1
积分 29
阅读权限 20

注册日期 2007-3-1

最后登录 2008-8-25

离线

[查看资料] [发短消息] [Blog]

发表于:2007-9-30 20:20　　标题：gbnnn

2007-9-30 20:20

19楼

[ 顶部 ]

新新人类

帖子 100
精华 0
无忧币 68
积分 180
阅读权限 20

注册日期 2007-9-19

最后登录 2008-4-21

离线

[查看资料] [发短消息] [Blog]

发表于:2007-10-1 09:33　 ,被系统奖励 2 点无忧币

rule ?小写开关的可以看到帮助.但就是两个关键字的解释
deny----
permit----
但下面这句还是执行不了
rule 1 permit ip source 192.168.18.0 0.0.0.255 destination 172.16.1.1 0.0.15.255
如果这句写法没错.肯定是那个细节性的东东错了.
所执行的位置?---------------我是在acl number 2000后执行这句的,有问题吗?
-????????
这句命令是把一个网段充许访问另一段中的一个主机.而H3C S5600默认是充许各VLAN之间是可以访问的.我再加上这一条是不是会有问题呢?

2007-10-1 09:33

20楼

[ 顶部 ]