中文技术配置s8500路由交换机操作手册v2 006 2 acl

1 1 1 1 2创建 2 3 3 3 4创建 4第2章IPv4ACL配 1 1 2 2 2 2 4 4 4 5 6 6 6 7 8 8 8 9 9 第3章IPv6ACL配 1 1 1 1 2 3 3 3 4 5 5 5 1 1 2 2第1ACLACL通过一系列的匹配条件对报文进行分类，这些条件可以是报文的源地址、目的本手册中，ACLIPv4报文的访问控制列表，ACL6IPv6报基于时间段的ACLACL中的每条规则都可选择一个时间段。如果规则引用的时间段未配置，则系统给注意：ACLMACMAC地址、VLAN优先级、二层ACL：可以以报文的报文头、IP头、MPLS头等为基准，指定从反掩码长度排序，反掩码越短的规则匹配位置越靠前。排序时，先比较源IP源IP55的规则比源IP55的规则二层ACL的深度优先以源MAC地址掩码长度和目的MAC地址掩码长度排序，MACFFFF-FFFF-0000MAC地址掩码为FFFF-0000-0000的规则匹配位置靠前。创建ACL时需要指定如下参数：ACL的匹配顺序，此参数为可选参数。创建ACL后可进入ACL视图。[Sysname-basic-2000]ruledenysource55fragment[Sysname-basic-2000]rulepermitsource55[Sysname-adv-3001]rulepermitipdestination0fragment[Sysname-adv-3001]ruledenyipdestionation0ACL6在TCP标记、分片报文标记上有更丰富的内容。ACL6的“深度优先”原则是：把指定报文地址范围最小的规则排在最前面。这一点可以通过比较前缀长度来实现，越长的前缀指定的地址范围越小。例如，2050:6070::/96比2050:6070::/64指定的地址范围小，按照自动排序原则，ACL6中有两个或两个以上的规则包含相同的前缀，就要根据它们的配创建ACL6时需要指定如下参数：第2章IPv4ACL表2-1-time2date2]|totime2date2]|fromtime1date1[totime2date2]|totime2date2}displaytime-range{alltime-name#[Sysname]time-rangetest8:00to18:00working-day[Sysname]displaytime-rangetestCurrenttimeis13:27:324/16/2005SaturdayTime-range:test(Inactive)08:00to18:00working-配置基本基本ACL的序号取值范围为2000～2999。表2-2配置基本-aclnumberacl-[match-order{config|auto}rule[rule-id]{permit|deny}[rule-string]stepstep-descriptionrulerule-idcomment显示配置的ACLdisplayacl{all|acl-number0step为步长递step为步长递增，且大于现有子规则编号的最小编号。例如：step=5，现有最大子规则编号为28，那么下次配置子规则没有指定编号时，子规则编号将被自动设置为30。用户可以通过命令aclnumberacl-numbermatch-order{config|auto}修改对已经有子规则的ACL是无法修改其匹配顺序的。<Sysname>system-view[Sysname]aclnumber2000[Sysname-acl-basic-2000]ruledenysource0[Sysname-acl-basic-2000]displayacl2000BasicACL2000,1Acl'sstepisrule0denysource0(0times配置高级协议的特性（TCPUDP的源端口、目的端口，TCP标记，ICMP协议的消ToS（TypeOfService，服务类型）用户可以利用高级ACL定义比基本ACL更准确、更丰富、更灵活的规则。表2-3配置高级-aclnumberacl-[match-order{config|auto}rule[rule-id]{permit|denyprotocol[rule-stringstepstep-descriptionrulerule-idcomment显示配置的ACLdisplayacl{all|acl-number0step为步长递step为步长递增，且大于现有子规则编号的最小编号。例如：step=5，现有最大子规则编号为28，那么下次配置子规则没有指定编号时，子规则编号将被自动设置为30。注意：用户可以通过命令aclnumberacl-numbermatch-order{config|auto}修改对已经有子规则的ACL是无法修改其匹配顺序的。送端口号为80的TCP报文。<Sysname>system-view[Sysname]aclnumber3000[Sysname-acl-adv-3000]rulepermittcpsource55destination55destination-porteq80[Sysname-acl-adv-3000]displayacl3000AdvancedACL3000,1rule,Acl'sstepisrule0permittcpsource55destination55destination-porteqwww(0times配置二层表2-4配置二层-aclnumberacl-[match-order{config|auto}rule[rule-id]{permit|deny}[rule-string]stepstep-descriptionrulerule-idcomment显示配置的ACLdisplayacl{all|acl-number0step为步长递step为步长递增，且大于现有子规则编号的最小编号。例如：step=5，现有最大子规则编号为28，那么下次配置子规则没有指定编号时，子规则编号将被自动设置为30。注意：用户可以通过命令aclnumberacl-numbermatch-order{config|auto}修改对已经有子规则的ACL是无法修改其匹配顺序的。<Sysname>system-view[Sysname]aclnumber4000[Sysname-acl-ethernetframe-4000]ruledenycos3[Sysname-acl-ethernetframe-4000]displayacl4000EthernetframeACL4000,1rule,Acl'sstepisrule0denycosexcellent-effort(0times配置用户自定义表2-5-aclnumberacl-rule[rule-id]{permit|deny[{ipv4|ipv6|l2|l4|l5]rule-stringrule-maskoffset}&<1-8>][time-rangetime-namedescriptionrulerule-idcomment显示配置的ACLdisplayacl{all|acl-number注意：<Sysname>system-view[Sysname]aclnumber5500[Sysname-acl-user-5500]rule0permitl20806ffff4time-ranget1[Sysname-acl-user-5500]displayacl5500UserdefinedACL5500,1Acl'sstepisrule0permitl20806ffff4time-ranget1表2-6ACL显示配置的ACLdisplayacl{all|acl-numberdisplaytime-range{all|time-nameresetaclcounter{all|acl-number图中的#4接口）接入Switch。器，而总裁办公室（IP地址为）不受限制，可以随时访问。总裁办公室总裁办公室 工资查询服务器 财务部 管理部至路由器总裁办公室总裁办公室工资查询服务器财务部门管理部门至路由器[Sysname]time-rangetrname8:00to18:00working-[Sysname]aclnumber##[Sysname-acl-adv-3000]rule2denyipsourceanydestinationtime-rangetrname第3章IPv6ACL时间段的配置请参见“2.1配置基本基本ACL6的序号取值范围为2000～2999。表3-1配置基本-aclipv6numberacl-[match-order{config|auto}configrule[rule-id]{permit|deny}[rule-stringstepstep-descriptionrulerule-idcommentdisplayaclipv6{all|acl-number0step为步长递step为步长递增，且大于现有子规则编号的最小编号。例如：step=5，现有最大子规则编号为28，那么下次配置子规则没有指定编号时，子规则编号将被自动设置为30。注意：aclipv6numberacl-numbermatch-orderconfig|auto}候修改，对已经有子规则的ACL6是无法修改其匹配顺序的。IPv6ACL2000fe80:5060::8050/96的报文通过，允许源地址为2030:5060::9050/64的报文通过。<Sysname>system-view[Sysname]aclipv6number2000[Sysname-acl6-basic-2000]rulepermitsource2030:5060::9050/64[Sysname-acl6-basic-2000]ruledenysourcefe80:5060::8050/96[Sysname-acl6-basic-2000]displayaclipv62000BasicIPv6ACL2000,2Acl'sstepisrule0permitsource2030:5060::9050/64(0timesmatched)rule5denysourceFE80:5060::8050/96(0timesmatched)配置高级ACL6IPv6源地址信息、IPv6目的地址信息、IP承载的协议类型、协议的特性（TCPUDP的源端口、目的端口，ICMP协议的消息类高级ACL6的序号取值范围3000～3999。表3-2配置高级-aclipv6numberacl-[match-order{config|auto}configrule[rule-id]{permit|deny}[rule-stringstepstep-descriptionrulerule-idcommentdisplayaclipv6{all|acl-number0step为步长递step为步长递增，且大于现有子规则编号的最小编号。例如：step=5，现有最大子规则编号为28，那么下次配置子规则没有指定编号时，子规则编号将被自动设置为30。注意：aclipv6numberacl-numbermatch-orderconfig|auto}候修改，对已经有子规则的ACL6是无法修改其匹配顺序的。<Sysname>system-view[Sysname]aclipv6number3000[Sysname-acl6-adv-3000]rulepermittcpsource[Sysname-acl6-adv-3000]displayaclipv63000AdvancedIPv6ACL3000,1rule,Acl'sstepisrule0permittcpsource2030:5060::9050/64(0times表3-3ACL6displayaclipv6{all|acl-number清除ACL6resetaclipv6counter{all|acl-number在接口Ethernet0/3/1配置IPv6报文过滤，允许接收源地址为4050::9000 <Sysname>system-view[Sysname]aclipv6number2000[Sysname-acl6-basic-2000]rulepermitsource4050::9000/120[Sysname-acl6-basic-2000]ruledenysourceany第4在接口下发的ACL包含的分类域必须是该接口下发流模板分类域的子集。ACL规则可以正确下发到硬件中，用于包过滤、QoS等功能；否则此ACL规则将不能下发到硬件中，导致包过滤、QoSACL规则。表4-1-flow-templatenameofflowtemplate{sip|dip|sipv6|dipv6|smac|dmac||dport|ethernet-protocol|ip-protocol|ipv6-protocol|customer-vlan-id|service-vlan-id|service-cos|icmp-type|icmp-code|fragments|ipv6-fragment|tcp-flag|tos|ipv6-tos|dscp|ipv6-dscpip-precdence|ipv6-precedenceicmpv6-type|icmpv6-code}板flow-templatenameofflowtemplate{l2offset-max-valuelength-max-value|l4offset-max-valuelength-max-value|l5offset-max-valuelength-max-value|ipv4offset-max-valuelength-max-value|ipv6offset-max-valuelength-max-value}*-flow-templatenameofflow表4-2displayflow-templateuser-defined[nameofflowtemplatedisplayflow-templateinterface[interface-typeinterface-number[Sysname]flow-templateaaabasiccustomer-vlan-id[Sysname]flow-templatebbbextendl424l5107[Sysname]interfaceEthernet4/2/1[Sysname-Ethernet4/2/1]flow-templateaaa[Sysname-Ethernet4/2/1]quit[Sysname]interfaceEthernet3/2/1[Sysname-Ethernet3/2/1]flow-templatebbb[Sysname-Ethernet3/2/1]quit[Sysnam