中文技術(shù)配置s8500路由交換機(jī)操作手冊v2 006 2 acl

1 1 1 1 2創(chuàng)建 2 3 3 3 4創(chuàng)建 4第2章IPv4ACL配 1 1 2 2 2 2 4 4 4 5 6 6 6 7 8 8 8 9 9 第3章IPv6ACL配 1 1 1 1 2 3 3 3 4 5 5 5 1 1 2 2第1ACLACL通過一系列的匹配條件對報文進(jìn)行分類，這些條件可以是報文的源地址、目的本手冊中，ACLIPv4報文的訪問控制列表，ACL6IPv6報基于時間段的ACLACL中的每條規(guī)則都可選擇一個時間段。如果規(guī)則引用的時間段未配置，則系統(tǒng)給注意：ACLMACMAC地址、VLAN優(yōu)先級、二層ACL：可以以報文的報文頭、IP頭、MPLS頭等為基準(zhǔn)，指定從反掩碼長度排序，反掩碼越短的規(guī)則匹配位置越靠前。排序時，先比較源IP源IP55的規(guī)則比源IP55的規(guī)則二層ACL的深度優(yōu)先以源MAC地址掩碼長度和目的MAC地址掩碼長度排序，MACFFFF-FFFF-0000MAC地址掩碼為FFFF-0000-0000的規(guī)則匹配位置靠前。創(chuàng)建ACL時需要指定如下參數(shù)：ACL的匹配順序，此參數(shù)為可選參數(shù)。創(chuàng)建ACL后可進(jìn)入ACL視圖。[Sysname-basic-2000]ruledenysource55fragment[Sysname-basic-2000]rulepermitsource55[Sysname-adv-3001]rulepermitipdestination0fragment[Sysname-adv-3001]ruledenyipdestionation0ACL6在TCP標(biāo)記、分片報文標(biāo)記上有更豐富的內(nèi)容。ACL6的“深度優(yōu)先”原則是：把指定報文地址范圍最小的規(guī)則排在最前面。這一點可以通過比較前綴長度來實現(xiàn)，越長的前綴指定的地址范圍越小。例如，2050:6070::/96比2050:6070::/64指定的地址范圍小，按照自動排序原則，ACL6中有兩個或兩個以上的規(guī)則包含相同的前綴，就要根據(jù)它們的配創(chuàng)建ACL6時需要指定如下參數(shù)：第2章IPv4ACL表2-1-time2date2]|totime2date2]|fromtime1date1[totime2date2]|totime2date2}displaytime-range{alltime-name#[Sysname]time-rangetest8:00to18:00working-day[Sysname]displaytime-rangetestCurrenttimeis13:27:324/16/2005SaturdayTime-range:test(Inactive)08:00to18:00working-配置基本基本ACL的序號取值范圍為2000～2999。表2-2配置基本-aclnumberacl-[match-order{config|auto}rule[rule-id]{permit|deny}[rule-string]stepstep-descriptionrulerule-idcomment顯示配置的ACLdisplayacl{all|acl-number0step為步長遞step為步長遞增，且大于現(xiàn)有子規(guī)則編號的最小編號。例如：step=5，現(xiàn)有最大子規(guī)則編號為28，那么下次配置子規(guī)則沒有指定編號時，子規(guī)則編號將被自動設(shè)置為30。用戶可以通過命令aclnumberacl-numbermatch-order{config|auto}修改對已經(jīng)有子規(guī)則的ACL是無法修改其匹配順序的。<Sysname>system-view[Sysname]aclnumber2000[Sysname-acl-basic-2000]ruledenysource0[Sysname-acl-basic-2000]displayacl2000BasicACL2000,1Acl'sstepisrule0denysource0(0times配置高級協(xié)議的特性（TCPUDP的源端口、目的端口，TCP標(biāo)記，ICMP協(xié)議的消ToS（TypeOfService，服務(wù)類型）用戶可以利用高級ACL定義比基本ACL更準(zhǔn)確、更豐富、更靈活的規(guī)則。表2-3配置高級-aclnumberacl-[match-order{config|auto}rule[rule-id]{permit|denyprotocol[rule-stringstepstep-descriptionrulerule-idcomment顯示配置的ACLdisplayacl{all|acl-number0step為步長遞step為步長遞增，且大于現(xiàn)有子規(guī)則編號的最小編號。例如：step=5，現(xiàn)有最大子規(guī)則編號為28，那么下次配置子規(guī)則沒有指定編號時，子規(guī)則編號將被自動設(shè)置為30。注意：用戶可以通過命令aclnumberacl-numbermatch-order{config|auto}修改對已經(jīng)有子規(guī)則的ACL是無法修改其匹配順序的。送端口號為80的TCP報文。<Sysname>system-view[Sysname]aclnumber3000[Sysname-acl-adv-3000]rulepermittcpsource55destination55destination-porteq80[Sysname-acl-adv-3000]displayacl3000AdvancedACL3000,1rule,Acl'sstepisrule0permittcpsource55destination55destination-porteqwww(0times配置二層表2-4配置二層-aclnumberacl-[match-order{config|auto}rule[rule-id]{permit|deny}[rule-string]stepstep-descriptionrulerule-idcomment顯示配置的ACLdisplayacl{all|acl-number0step為步長遞step為步長遞增，且大于現(xiàn)有子規(guī)則編號的最小編號。例如：step=5，現(xiàn)有最大子規(guī)則編號為28，那么下次配置子規(guī)則沒有指定編號時，子規(guī)則編號將被自動設(shè)置為30。注意：用戶可以通過命令aclnumberacl-numbermatch-order{config|auto}修改對已經(jīng)有子規(guī)則的ACL是無法修改其匹配順序的。<Sysname>system-view[Sysname]aclnumber4000[Sysname-acl-ethernetframe-4000]ruledenycos3[Sysname-acl-ethernetframe-4000]displayacl4000EthernetframeACL4000,1rule,Acl'sstepisrule0denycosexcellent-effort(0times配置用戶自定義表2-5-aclnumberacl-rule[rule-id]{permit|deny[{ipv4|ipv6|l2|l4|l5]rule-stringrule-maskoffset}&<1-8>][time-rangetime-namedescriptionrulerule-idcomment顯示配置的ACLdisplayacl{all|acl-number注意：<Sysname>system-view[Sysname]aclnumber5500[Sysname-acl-user-5500]rule0permitl20806ffff4time-ranget1[Sysname-acl-user-5500]displayacl5500UserdefinedACL5500,1Acl'sstepisrule0permitl20806ffff4time-ranget1表2-6ACL顯示配置的ACLdisplayacl{all|acl-numberdisplaytime-range{all|time-nameresetaclcounter{all|acl-number圖中的#4接口）接入Switch。器，而總裁辦公室（IP地址為）不受限制，可以隨時訪問?？偛棉k公室總裁辦公室 工資查詢服務(wù)器 財務(wù)部 管理部至路由器總裁辦公室總裁辦公室工資查詢服務(wù)器財務(wù)部門管理部門至路由器[Sysname]time-rangetrname8:00to18:00working-[Sysname]aclnumber##[Sysname-acl-adv-3000]rule2denyipsourceanydestinationtime-rangetrname第3章IPv6ACL時間段的配置請參見“2.1配置基本基本ACL6的序號取值范圍為2000～2999。表3-1配置基本-aclipv6numberacl-[match-order{config|auto}configrule[rule-id]{permit|deny}[rule-stringstepstep-descriptionrulerule-idcommentdisplayaclipv6{all|acl-number0step為步長遞step為步長遞增，且大于現(xiàn)有子規(guī)則編號的最小編號。例如：step=5，現(xiàn)有最大子規(guī)則編號為28，那么下次配置子規(guī)則沒有指定編號時，子規(guī)則編號將被自動設(shè)置為30。注意：aclipv6numberacl-numbermatch-orderconfig|auto}候修改，對已經(jīng)有子規(guī)則的ACL6是無法修改其匹配順序的。IPv6ACL2000fe80:5060::8050/96的報文通過，允許源地址為2030:5060::9050/64的報文通過。<Sysname>system-view[Sysname]aclipv6number2000[Sysname-acl6-basic-2000]rulepermitsource2030:5060::9050/64[Sysname-acl6-basic-2000]ruledenysourcefe80:5060::8050/96[Sysname-acl6-basic-2000]displayaclipv62000BasicIPv6ACL2000,2Acl'sstepisrule0permitsource2030:5060::9050/64(0timesmatched)rule5denysourceFE80:5060::8050/96(0timesmatched)配置高級ACL6IPv6源地址信息、IPv6目的地址信息、IP承載的協(xié)議類型、協(xié)議的特性（TCPUDP的源端口、目的端口，ICMP協(xié)議的消息類高級ACL6的序號取值范圍3000～3999。表3-2配置高級-aclipv6numberacl-[match-order{config|auto}configrule[rule-id]{permit|deny}[rule-stringstepstep-descriptionrulerule-idcommentdisplayaclipv6{all|acl-number0step為步長遞step為步長遞增，且大于現(xiàn)有子規(guī)則編號的最小編號。例如：step=5，現(xiàn)有最大子規(guī)則編號為28，那么下次配置子規(guī)則沒有指定編號時，子規(guī)則編號將被自動設(shè)置為30。注意：aclipv6numberacl-numbermatch-orderconfig|auto}候修改，對已經(jīng)有子規(guī)則的ACL6是無法修改其匹配順序的。<Sysname>system-view[Sysname]aclipv6number3000[Sysname-acl6-adv-3000]rulepermittcpsource[Sysname-acl6-adv-3000]displayaclipv63000AdvancedIPv6ACL3000,1rule,Acl'sstepisrule0permittcpsource2030:5060::9050/64(0times表3-3ACL6displayaclipv6{all|acl-number清除ACL6resetaclipv6counter{all|acl-number在接口Ethernet0/3/1配置IPv6報文過濾，允許接收源地址為4050::9000 <Sysname>system-view[Sysname]aclipv6number2000[Sysname-acl6-basic-2000]rulepermitsource4050::9000/120[Sysname-acl6-basic-2000]ruledenysourceany第4在接口下發(fā)的ACL包含的分類域必須是該接口下發(fā)流模板分類域的子集。ACL規(guī)則可以正確下發(fā)到硬件中，用于包過濾、QoS等功能；否則此ACL規(guī)則將不能下發(fā)到硬件中，導(dǎo)致包過濾、QoSACL規(guī)則。表4-1-flow-templatenameofflowtemplate{sip|dip|sipv6|dipv6|smac|dmac||dport|ethernet-protocol|ip-protocol|ipv6-protocol|customer-vlan-id|service-vlan-id|service-cos|icmp-type|icmp-code|fragments|ipv6-fragment|tcp-flag|tos|ipv6-tos|dscp|ipv6-dscpip-precdence|ipv6-precedenceicmpv6-type|icmpv6-code}板flow-templatenameofflowtemplate{l2offset-max-valuelength-max-value|l4offset-max-valuelength-max-value|l5offset-max-valuelength-max-value|ipv4offset-max-valuelength-max-value|ipv6offset-max-valuelength-max-value}*-flow-templatenameofflow表4-2displayflow-templateuser-defined[nameofflowtemplatedisplayflow-templateinterface[interface-typeinterface-number[Sysname]flow-templateaaabasiccustomer-vlan-id[Sysname]flow-templatebbbextendl424l5107[Sysname]interfaceEthernet4/2/1[Sysname-Ethernet4/2/1]flow-templateaaa[Sysname-Ethernet4/2/1]quit[Sysname]interfaceEthernet3/2/1[Sysname-Ethernet3/2/1]flow-templatebbb[Sysname-Ethernet3/2/1]quit[Sysnam