mi系列以太网交换机-操作手册v112-acl操作

1、目 录目 录. 1-ACL 简目 录目 录. 1-ACL 简ACL 匹配顺ACL 在交换机上的应用方S2000-MI 系列以太网交换机支持的 ACL 配配置时间定义基本定义高级ACL 的显i ACL 简时也可以控制流量，节约网络资源。s Control ACLACL ACL 简时也可以控制流量，节约网络资源。s Control ACLACL，ACL 通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址目的地址、等。根据应用目的，可将 ACL 分为以下几种基本 ACL：只根据数据包的源 IP 地址制定规则1.1.1 ACLACL。ACL 支持两种匹配顺序1- 1.ACLIPfrag

2、ment 2. 1.ACLIPfragment 2.ACLIPIP IP ）IP IP ABIPIP1.1.2 ACL1.ACLACL 可以直接下发到交换机的硬件，用于数据转发过程中的报文过滤和流分类。ACL 中多个规则的匹配顺序是由交换机的硬件决定的。ACL 直接下发到硬件的情况包括：通过ACL 过滤转发数据、配置QoS 功能ACL 等1- 2.ACLACL 也可以用来对处理的报文进行过滤和流分类。此时 ACL 规则的匹配 2.ACLACL 也可以用来对处理的报文进行过滤和流分类。此时 ACL 规则的匹配某一条 ACL 的匹配顺序，就不能再更改该顺序。只有把该 ACL 中所有的规则全ACL

3、被上ACL 等 S2000-MI 系列以太网交换机支持的 ACL 如下1.2 ACL表1-1 ACL1.2.1 配置时间用户可以根据时间段对报文进行控制。ACL 中的每条规则都可以选择一个时间段8:00 18:00五1-定义基本定义高级 结束的形式，例如从2000 1 28 15:00 起至2004 1 28 结束的形式，例如从2000 1 28 15:00 起至2004 1 28 说明S2000-MI 系列以太网交换机支持的绝对时间段范围从 1970/1/1 00:00 起至1. 表1-2 段定义了绝对时间段：从2004 1 1 0 0 分到2004 12 31 日 23 点 59 分，同时

4、定义了周期时间段：每周三的 12：00 到 14：00。该时段只有在2004 年内每周三的12：00 14：00 才进入激活状态1970/1/100:00起 2. # 1-time-rangetime-namestart-timeto end-time days-of-the-k from start-time start-date to end-time end-date|fromstart-timestart-date toend-timeend-date|toend-time end-date time-rangetest8:00to18:00working-day display ti

5、me-range testCurrenttimeis13:27:32Apr/16/2005Time-range:test( time-rangetest8:00to18:00working-day display time-range testCurrenttimeis13:27:32Apr/16/2005Time-range:test(Inactive) 08:00 to 18:00 working-day# 15:00 结束time-rangetestfrom15:001/28/2006to15:001/28/2008 display time-range testCurrenttimei

6、s13:30:32Apr/16/2005Time-range:test(InactiveFrom15:00Jan/28/2006to15:00 基本 ACL 的序号取值范围为 200029991. 的配置请参见1.2.1 配置时间段IP2. 表1-3 ACL1-system-aclnumberacl-match-orderauto|config定义ACL 规rulerule-iddeny|permit rule-string 定义ACL 的描述信 缺省情况下，ACL 没有描述 当基本ACL 的匹配顺序为config 时，用户可以修改该ACL 中的任何一条已经存在的规则，在修改 ACL 中的 当

7、基本ACL 的匹配顺序为config 时，用户可以修改该ACL 中的任何一条已经存在的规则，在修改 ACL 中的某条规则时，该规则中没有修改到的部分仍 在创建一条 ACL 规则的时候，用户可以不指定规则个规则分配一：如果此ACL 中没有规则0；如果此ACL 中+1；如果此ACL 中现有规则的最为 65534，则系统会提示错误信息，此时用户必须指定规则ACLauto则3. ACL2000system-SystemView:returntoUserViewwithCtrl+Z. Sysname acl number 2000Sysname-acl-basic-2000ruledenysource1

8、92.168.0.1ACLIPIP地址、IP承载的协议类型、针对协议的特性（例如 TCP 或 UDP 的源端口、目的端口，ICMP 协议的消息类型息码等） 号，用户无法配置） 优先级、IPDSCP（Differentiated 点），差分服务编用户可以利用高级 ACL 定义比基本 ACL 更准确、更丰富、更灵活的规则1. 的配置请参见1.2.1 配置时间段1- IP IP、IP 2. 表1-4 ACL当高级ACL 的匹配顺序为config 时，用户可以修改该ACL 中的任何一条已经存在的 IP IP、IP 2. 表1-4 ACL当高级ACL 的匹配顺序为config 时，用户可以修改该ACL

9、中的任何一条已经存在的规则，在修改 ACL 中的某条规则时，该规则中没有修改到的部分仍 在创建一条 ACL 规则的时候，用户可以不指定规则：如果此ACL 中没有规则0；如果此ACL 中为现有规则的最+1；如果此ACL 中现有规则的最为 65534，则系统会提示错误信息，此时用户必须指定规则ACLauto则3. ACL3000 sys t em-vi 1-aclnumberacl-match-orderauto|config定义ACL 规rulerule-idpermit|denyprotocolrule-stringrulerule-idcomment定义ACL 的描述信description缺省情况下，ACL 没有描述 SystemView:returntoUserViewwithCtrl+Z. Sysname acl number 3000Sysname-acl-adv-3000 rule SystemView:returntoUserViewwithCtrl+Z. Sysname acl number 3000Sysname-acl-adv-3000 rule