华为路由器的配置与防火墙的配置总结

　　一、accesslist用于创建访问规则。
　　（1）创建标准访问列表
　　accesslist〔normalspecial〕listnumber1｛permitdeny｝sourceaddr〔sourcemask〕
　　（2）创建扩展访问列表
　　accesslist〔normalspecial〕listnumber2｛permitdeny｝protocolsourceaddrsourcemask〔operatorport1〔port2〕〕destaddrdestmask〔operatorport1〔port2〕icmptype〔icmpcode〕〕〔log〕
　　（3）删除访问列表
　　noaccesslist｛normalspecial｝｛alllistnumber〔subitem〕｝
　　【参数说明】
　　normal指定规则加入普通时间段。
　　special指定规则加入特殊时间段。
　　listnumber1是1到99之间的一个数值，表示规则是标准访问列表规则。
　　listnumber2是100到199之间的一个数值，表示规则是扩展访问列表规则。
　　permit表明允许满足条件的报文通过。
　　deny表明禁止满足条件的报文通过。
　　protocol为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。
　　sourceaddr为源地址。
　　sourcemask为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0。0。0。0。
　　destaddr为目的地址。
　　destmask为目的地址通配位。
　　operator〔可选〕端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。
　　port1在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值（如telnet）或065535之间的一个数值。
　　port2在协议类型为TCP或UDP且操作类型为range时出现；可以为关键字所设定的预设值（如telnet）或065535之间的一个数值。
　　icmptype〔可选〕在协议为ICMP时出现，代表ICMP报文类型；可以是关键字所设定的预设值（如echoreply）或者是0255之间的一个数值。
　　icmpcode在协议为ICMP且没有选择所设定的预设值时出现；代表ICMP码，是0255之间的一个数值。
　　log〔可选〕表示如果报文符合条件，需要做日志。
　　listnumber为删除的规则序号，是1199之间的一个数值。
　　subitem〔可选〕指定删除序号为listnumber的访问列表中规则的序号。
　　【缺省情况】
　　系统缺省不配置任何访问规则。
　　【命令模式】
　　全局配置模式
　　【使用指南】
　　同一个序号的规则可以看作一类规则；所定义的规则不仅可以用来在接口上过滤报文，也可以被如DDR等用来判断一个报文是否是感兴趣的报文，此时，permit与deny表示是感兴趣的还是不感兴趣的。
　　使用协议域为IP的扩展访问列表来表示所有的IP协议。
　　同一个序号之间的规则按照一定的原则进行排列和选择，这个顺序可以通过showaccesslist命令看到。
　　【举例】
　　允许源地址为10。1。1。0网络、目的地址为10。1。2。0网络的WWW访问，但不允许使用FTP。
　　Quidway（config）accesslist100permittcp10。1。1。00。0。0。25510。1。2。00。0。0。255eqwww
　　Quidway（config）accesslist100denytcp10。1。1。00。0。0。25510。1。2。00。0。0。255eqftp
　　【相关命令】
　　ipaccessgroup
　　二、clearaccesslistcounters清除访问列表规则的统计信息。
　　clearaccesslistcounters〔listnumber〕
　　【参数说明】
　　listnumber〔可选〕要清除统计信息的规则的序号，如不指定，则清除所有的规则的统计信息。
　　【缺省情况】
　　任何时候都不清除统计信息。
　　【命令模式】
　　特权用户模式
　　【使用指南】
　　使用此命令来清除当前所用规则的统计信息，不指定规则编号则清除所有规则的统计信息。
　　【举例】
　　例1：清除当前所使用的序号为100的规则的统计信息。
　　Quidwayclearaccesslistcounters100
　　例2：清除当前所使用的所有规则的统计信息。
　　Quidwayclearaccesslistcounters
　　【相关命令】
　　accesslist
　　三、firewall启用或禁止防火墙。
　　firewall｛enabledisable｝
　　【参数说明】
　　enable表示启用防火墙。
　　disable表示禁止防火墙。
　　【缺省情况】
　　系统缺省为禁止防火墙。
　　【命令模式】
　　全局配置模式
　　【使用指南】
　　使用此命令来启用或禁止防火墙，可以通过showfirewall命令看到相应结果。如果采用了时间段包过滤，则在防火墙被关闭时也将被关闭；该命令控制防火墙的总开关。在使用firewalldisable命令关闭防火墙时，防火墙本身的统计信息也将被清除。
　　【举例】
　　启用防火墙。
　　Quidway（config）firewallenable
　　【相关命令】
　　accesslist，ipaccessgroup
　　四、firewalldefault配置防火墙在没有相应的访问规则匹配时，缺省的过滤方式。
　　firewalldefault｛permitdeny｝
　　【参数说明】
　　permit表示缺省过滤属性设置为允许。
　　deny表示缺省过滤属性设置为禁止。
　　【缺省情况】
　　在防火墙开启的情况下，报文被缺省允许通过。
　　【命令模式】
　　全局配置模式
　　【使用指南】
　　当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时，缺省的过滤属性将起作用；如果缺省过滤属性是允许，则报文可以通过，否则报文被丢弃。
　　【举例】
　　设置缺省过滤属性为允许。
　　Quidway（config）firewalldefaultpermit
　　五、ipaccessgroup使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。
　　ipaccessgrouplistnumber｛inout｝
　　〔no〕ipaccessgrouplistnumber｛inout｝
　　【参数说明】
　　listnumber为规则序号，是1199之间的一个数值。
　　in表示规则用于过滤从接口收上来的报文。
　　out表示规则用于过滤从接口转发的报文。
　　【缺省情况】
　　没有规则应用于接口。
　　【命令模式】
　　接口配置模式。
　　【使用指南】
　　使用此命令来将规则应用到接口上；如果要过滤从接口收上来的报文，则使用in关键字；如果要过滤从接口转发的报文，使用out关键字。一个接口的一个方向上最多可以应用20类不同的规则；这些规则之间按照规则序号的大小进行排列，序号大的排在前面，也就是优先级高。对报文进行过滤时，将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以，建议在配置规则时，尽量将对同一个网络配置的规则放在同一个序号的访问列表中；在同一个序号的访问列表中，规则之间的排列和选择顺序可以用showaccesslist命令来查看。
　　【举例】
　　将规则101应用于过滤从以太网口收上来的报文。
　　Quidway（configifEthernet0）ipaccessgroup101in
　　【相关命令】
　　accesslist
　　六、settr设定或取消特殊时间段。
　　settrbegintimeendtime
　　nosettr
　　【参数说明】
　　begintime为一个时间段的开始时间。
　　endtime为一个时间段的结束时间，应该大于开始时间。
　　【缺省情况】
　　系统缺省没有设置时间段，即认为全部为普通时间段。
　　【命令模式】
　　全局配置模式
　　【使用指南】
　　使用此命令来设置时间段；可以最多同时设置6个时间段，通过showtimerange命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段，则此修改将在一分钟左右生效（系统查询时间段的时间间隔）。设置的时间应该是24小时制。如果要设置类似晚上9点到早上8点的时间段，可以设置成settr21：0023：590：008：00，因为所设置的时间段的两个端点属于时间段之内，故不会产生时间段内外的切换。另外这个设置也经过了2000问题的测试。
　　【举例】
　　例1：设置时间段为8：3012：00，14：0017：00。
　　Quidway（config）settr8：3012：0014：0017：00
　　例2：设置时间段为晚上9点到早上8点。
　　Quidway（config）settr21：0023：590：008：0
　　【相关命令】
　　timerange，showtimerange
　　七、showaccesslist显示包过滤规则及在接口上的应用。
　　showaccesslist〔alllistnumberinterfaceinterfacename〕
　　【参数说明】
　　all表示所有的规则，包括普通时间段内及特殊时间段内的规则。
　　listnumber为显示当前所使用的规则中序号为listnumber的规则。
　　interface表示要显示在指定接口上应用的规则序号。
　　interfacename为接口的名称。
　　【命令模式】
　　特权用户模式
　　【使用指南】
　　使用此命令来显示所指定的规则，同时查看规则过滤报文的情况。每个规则都有一个相应的计数器，如果用此规则过滤了一个报文，则计数器加1；通过对计数器的观察可以看出所配置的规则中，哪些规则是比较有效，而哪些基本无效。可以通过带interface关键字的showaccesslist命令来查看某个接口应用规则的情况。
　　【举例】
　　例1：显示当前所使用的序号为100的规则。
　　Quidwayshowaccesslist100Usingnormalpacketfilteringaccessrulesnow。100denyicmp10。1。0。00。0。255。255anyhostredirect（3matches，252bytesrule1）100permiticmp10。1。0。00。0。255。255anyecho（nomatchesrule2）100denyudpanyanyeqrip（nomatchesrule3）
　　例2：显示接口Serial0上应用规则的情况。
　　Quidwayshowaccesslistinterfaceserial0Serial0：accesslistfilteringInboundpackets：120accesslistfilteringOutboundpackets：None
　　【相关命令】
　　accesslist
　　八、showfirewall显示防火墙状态。
　　showfirewall
　　【命令模式】
　　特权用户模式
　　【使用指南】
　　使用此命令来显示防火墙的状态，包括防火墙是否被启用，启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。
　　【举例】
　　显示防火墙状态。
　　QuidwayshowfirewallFirewallisenable，defaultfilteringmethodispermit。TimeRangepacketfilteringenable。InBoundpackets：None；OutBoundpackets：0packets，0bytes，0permitted，0packets，0bytes，0denied，2packets，104bytes，100permitteddefaultly，0packets，0bytes，100denieddefaultly。From00：13：02to06：13：21：0packets，0bytes，permitted。
　　【相关命令】
　　firewall
　　九、showisintr显示当前时间是否在时间段之内。
　　showisintr
　　【命令模式】
　　特权用户模式
　　【使用指南】
　　使用此命令来显示当前时间是否在时间段之内。
　　【举例】
　　显示当前时间是否在时间段之内。
　　Quidwayshowisintr
　　ItisNOTintimerangesnow。
　　【相关命令】
　　timerange，settr
　　十、showtimerange显示时间段包过滤的信息。
　　showtimerange
　　【命令模式】
　　特权用户模式
　　【使用指南】
　　使用此命令来显示当前是否允许时间段包过滤及所设置的时间段。
　　【举例】
　　显示时间段包过滤的信息。
　　QuidwayshowtimerangeTimeRangepacketfilteringenable。beginningoftimerange：01：0002：0003：0004：00endoftimerange。
　　【相关命令】
　　timerange，settr
　　十一、timerange启用或禁止时间段包过滤功能。
　　timerange｛enabledisable｝
　　【参数说明】
　　enable表示启用时间段包过滤。
　　disable表示禁止采用时间段包过滤。
　　【缺省情况】
　　系统缺省为禁止时间段包过滤功能。
　　【命令模式】
　　全局配置模式
　　【使用指南】
　　使用此命令来启用或禁止时间段包过滤功能，可以通过showfirewall命令看到，也可以通过showtimerange命令看到配置结果。在时间段包过滤功能被启用后，系统将根据当前的时间和设置的时间段来确定使用时间段内（特殊）的规则还是时间段外（普通）的规则。系统查询时间段的精确度为1分钟。所设置的时间段的两个端点属于时间段之内。
　　【举例】
　　启用时间段包过滤功能。
　　Quidway（config）timerangeenable
　　【相关命令】
　　settr，showtimerange