想问板上有没有常碰华为交换器的,我想请问几个关于 acl 的问题.
如果单纯只是用 port isolate,只能隔开 port isolate 之间的 port,
但如果我是想让 port 与 port 之间,有 allow 的 protocol
必须要用 adv ACL, 要设来源或还有目的 ip,
1.
这个 ip 段一定要先设在机器上吗?
如果接在不定 port 的 client 是 public ip
可以直接写 rule permit/deny source .. destination .. 就好吗?
2.
一则 acl 只会抓第一个符合的 rule 就 end,
那么我可以在某个 port 套用两个或以上的 acl 吗?
3.
如果某个 port 开了 isolate,是不是就无法 permit 其它 in 或 out 的 acl?

我先确认 华为所谓的port隔离是否就是vlan因为这牌很多设定跟中文描述都满奇怪的如果是Vlan那跟ACL无关

不是,是 port-isolate

ACL写法可能每一家设备都有点差异，不过基本上应该原则都一样，大多是分为standard 跟extend aclstandard 只能设定来源 extend 可以设来源跟目的设定完ACL以后要套用在port上面(分为input跟output)IP的部分只要设定在ACL内就好了，switch会看封包标头同一条ACL可以有很多条rule，但是一个port通常只能套用一个ACL，所以你必须把所有想过滤的条件写成rule放进同一条ACL才行，由于rule先套用到的就先执行，不会往下再比对，所以自己要排好顺序(用rule ID)一个原则就是IP范围越小的放越上面3.你要自己试，理论上两个不同功能不至于冲突

所谓先套用到,是指每个封包的比对,那一条先 match 吗?

rule先match到的就先执行

那我有个问题,如果这个 port 不能连 ip1:3306,但可以连 ip1:80, 这样两条都会生效对吧?因为两条同时间只会有一条被 match.

两条都会生效是什么意思？照顺序一条一条比对，遇到符合条件的就会转送或丢弃，没其他动作了

简单说就是一条 acl 只要 ip & port 不重复就可以对吧

source是这样写的? 0跟32?

对,华为的 netmask 写法是反的.但重点是,找不到在华为上写过 acl 的人告诉我该怎么写我看了一堆网页上的说明,改了很多种写法,都没效...

没用过华为,想不到是反的看了一下,他的命令https://reurl.cc/xay9z规则跟CISCO差不多阿

因为0/0/1 in收到后，交换机处理后由0/0/17 out出去，所以不会受到限制。你的测试，acl要套用在0/0/1 in或0/0/17out才会成功限制到.20的封包。另外cisco也是用wildcard写，本来就和遮罩写法相反

好,我明天试试 0/1/1 in, 但我发现 S3300 没 outbound也就是我只能套 inbound...怎么会这样呢?

L2 Switch的Port ACL只能设定在I/F的Inbound上

我用的是 adv acl,可以设 ip , port 与 protocol 的..我查网上的资料,是有人设 outbound,但我设的时候却没.

和standard或extended没关系，L2 I/F就会有只能套inbound的限制。如果你用的是L3 Switch，把I/F设定为L3 I/F就可以套在outbound了(但要看你整体的规划和目的是什么)

用型号、软件版本去找设定文件来看，不要漫无目的地找

华为是用 acl number 来决定它是 l2 还是 l3,我是用 adv(l3) 的 number range 在设 acl 的.哦~ 华为的 switch port 还有分 l2/l3 吗?我白天查查.

没这么笨吧....ACL修改就直接改了，不必先停用port上的再说应该也可以一次对所有port下指令才对

我在已套用的 acl 上做修改时,会出现应用中,禁修改...至于对所有 port 同时下设定,我要查一下华为怎么用.要先确定有没这功能..这牌子的东西还挺难搞的,每个机型、韧体版本的指令都不太一样...