华为ACL规则问题，我的三层交换机是5700，

Posted 2023-03-31

比如我在同一个ACL下写2个rule deny 10.10.10.1 0 permit 10.10.10.1 0结果如何 原因
问题2deny 10.10.10.0/24 0.0.0.255 permit 10.10.10.1 0
问题3 如果我把上边的2个rule 分别写在2个ACL里会怎么样

先回答问题3
acl是要被应用后才会生效的，一般还需要知道端口、方向。
如：你应用在1/1/1的in方向。顺序是
rule 1 deny 10.10.10.1 0
rule 2 permit 10.10.10.1 0
那所有进入1/1/1的数据会匹配这个acl（出不匹配）。华为应该是不允许在一个端口上应用2条acl的，所以你写2个，还要看你应用在哪。
问题1和2可以一起回答
acl的匹配原则是“顺序命中”，即从最开始一条匹配至最后一条，只要被命中就不再继续匹配。所以你把deny写在前面，那permit就永远不会命中。另外掩码是一定要写的，你的条目都有点问题。
华为交换机还需注意一下，就是别去看它的序列号，较老的华为交换机是无视序列号的。你先写rule10，然后再写rule 1，rule1不会排列到rule10前面的 参考技术A 1.执行第一个，符合，阻止，2阻止