想問板上有沒有常碰華為交換器的,我想請問幾個關於 acl 的問題.
如果單純只是用 port isolate,只能隔開 port isolate 之間的 port,
但如果我是想讓 port 與 port 之間,有 allow 的 protocol
必須要用 adv ACL, 要設來源或還有目的 ip,
1.
這個 ip 段一定要先設在機器上嗎?
如果接在不定 port 的 client 是 public ip
可以直接寫 rule permit/deny source .. destination .. 就好嗎?
2.
一則 acl 只會抓第一個符合的 rule 就 end,
那麼我可以在某個 port 套用兩個或以上的 acl 嗎?
3.
如果某個 port 開了 isolate,是不是就無法 permit 其它 in 或 out 的 acl?

我先確認 華為所謂的port隔離是否就是vlan因為這牌很多設定跟中文描述都滿奇怪的如果是Vlan那跟ACL無關

不是,是 port-isolate

ACL寫法可能每一家設備都有點差異，不過基本上應該原則都一樣，大多是分為standard 跟extend aclstandard 只能設定來源 extend 可以設來源跟目的設定完ACL以後要套用在port上面(分為input跟output)IP的部分只要設定在ACL內就好了，switch會看封包標頭同一條ACL可以有很多條rule，但是一個port通常只能套用一個ACL，所以你必須把所有想過濾的條件寫成rule放進同一條ACL才行，由於rule先套用到的就先執行，不會往下再比對，所以自己要排好順序(用rule ID)一個原則就是IP範圍越小的放越上面3.你要自己試，理論上兩個不同功能不至於衝突

所謂先套用到,是指每個封包的比對,那一條先 match 嗎?

rule先match到的就先執行

那我有個問題,如果這個 port 不能連 ip1:3306,但可以連 ip1:80, 這樣兩條都會生效對吧?因為兩條同時間只會有一條被 match.

兩條都會生效是什麼意思？照順序一條一條比對，遇到符合條件的就會轉送或丟棄，沒其他動作了

簡單說就是一條 acl 只要 ip & port 不重複就可以對吧

source是這樣寫的? 0跟32?

對,華為的 netmask 寫法是反的.但重點是,找不到在華為上寫過 acl 的人告訴我該怎麼寫我看了一堆網頁上的說明,改了很多種寫法,都沒效...

沒用過華為,想不到是反的看了一下,他的命令https://reurl.cc/xay9z規則跟CISCO差不多阿

因為0/0/1 in收到後，交換機處理後由0/0/17 out出去，所以不會受到限制。你的測試，acl要套用在0/0/1 in或0/0/17out才會成功限制到.20的封包。另外cisco也是用wildcard寫，本來就和遮罩寫法相反

好,我明天試試 0/1/1 in, 但我發現 S3300 沒 outbound也就是我只能套 inbound...怎麼會這樣呢?

L2 Switch的Port ACL只能設定在I/F的Inbound上

我用的是 adv acl,可以設 ip , port 與 protocol 的..我查網上的資料,是有人設 outbound,但我設的時候卻沒.

和standard或extended沒關係，L2 I/F就會有只能套inbound的限制。如果你用的是L3 Switch，把I/F設定為L3 I/F就可以套在outbound了(但要看你整體的規劃和目的是什麼)

用型號、軟體版本去找設定文件來看，不要漫無目的地找

華為是用 acl number 來決定它是 l2 還是 l3,我是用 adv(l3) 的 number range 在設 acl 的.哦~ 華為的 switch port 還有分 l2/l3 嗎?我白天查查.

沒這麼笨吧....ACL修改就直接改了，不必先停用port上的再說應該也可以一次對所有port下指令才對

我在已套用的 acl 上做修改時,會出現應用中,禁修改...至於對所有 port 同時下設定,我要查一下華為怎麼用.要先確定有沒這功能..這牌子的東西還挺難搞的,每個機型、韌體版本的指令都不太一樣...