没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![doc](https://img-home.csdnimg.cn/images/20210720083327.png)
![rar](https://img-home.csdnimg.cn/images/20210720083606.png)
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![rar](https://img-home.csdnimg.cn/images/20210720083606.png)
![doc](https://img-home.csdnimg.cn/images/20210720083327.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![doc](https://img-home.csdnimg.cn/images/20210720083327.png)
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![pdf](https://img-home.csdnimg.cn/images/20210720083512.png)
![topo](https://img-home.csdnimg.cn/images/20210720083646.png)
![doc](https://img-home.csdnimg.cn/images/20210720083327.png)
![doc](https://img-home.csdnimg.cn/images/20210720083327.png)
![rar](https://img-home.csdnimg.cn/images/20210720083606.png)
![](https://csdnimg.cn/release/download_crawler_static/9691115/bg1.jpg)
Quidway S3900 系列以太网交换机 操作手册-Release 1510
ACL
目 录
华为所有和机密
版权所有 (c) 华为技术有限公司
i
目 录
第 1 章 ACL 配置.....................................................................................................................1-1
1.1 ACL 简介 ............................................................................................................................ 1-1
1.1.1 ACL 在交换机上的应用方式 .................................................................................... 1-1
1.1.2 ACL 匹配顺序 .......................................................................................................... 1-2
1.1.3 基于时间段的 ACL................................................................................................... 1-2
1.1.4 以太网交换机支持的 ACL........................................................................................ 1-3
1.2 配置时间段......................................................................................................................... 1-3
1.2.1 配置过程 .................................................................................................................. 1-3
1.2.2 配置举例 .................................................................................................................. 1-4
1.3 定义基本 ACL..................................................................................................................... 1-4
1.3.1 配置准备 .................................................................................................................. 1-4
1.3.2 配置过程 .................................................................................................................. 1-5
1.3.3 配置举例 .................................................................................................................. 1-5
1.4 定义高级 ACL..................................................................................................................... 1-5
1.4.1 配置准备 .................................................................................................................. 1-6
1.4.2 配置过程 .................................................................................................................. 1-6
1.4.3 配置举例 ................................................................................................................ 1-11
1.5 定义二层 ACL................................................................................................................... 1-11
1.5.1 配置准备 ................................................................................................................ 1-11
1.5.2 配置过程 ................................................................................................................ 1-12
1.5.3 配置举例 ................................................................................................................ 1-13
1.6 定义用户自定义 ACL........................................................................................................ 1-14
1.6.1 配置准备 ................................................................................................................ 1-14
1.6.2 配置过程 ................................................................................................................ 1-14
1.6.3 配置举例 ................................................................................................................ 1-15
1.7 在端口上应用 ACL ........................................................................................................... 1-15
1.7.1 配置准备 ................................................................................................................ 1-15
1.7.2 配置过程 ................................................................................................................ 1-16
1.7.3 配置举例 ................................................................................................................ 1-16
1.8 ACL 的显示 ...................................................................................................................... 1-16
1.9 ACL 典型配置案例............................................................................................................ 1-17
1.9.1 基本 ACL 配置案例 ................................................................................................ 1-17
1.9.2 高级 ACL 配置案例 ................................................................................................ 1-18
1.9.3 二层 ACL 配置案例 ................................................................................................ 1-19
1.9.4 用户自定义 ACL 配置案例 ..................................................................................... 1-20
#^_^# .版权归原作者所有 本资料只供试读
![](https://csdnimg.cn/release/download_crawler_static/9691115/bg2.jpg)
Quidway S3900 系列以太网交换机 操作手册-Release 1510
ACL
第 1 章 ACL 配置
华为所有和机密
版权所有 (c) 华为技术有限公司
1-1
第1章 ACL 配置
1.1 ACL
简介
ACL(Access Control List,访问控制列表)主要用来实现流识别功能。网络设备为
了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的报文。在识别出特
定的报文之后,才能根据预先设定的策略允许或禁止相应的数据包通过。
ACL 通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、
目的地址、端口号等。
由 ACL 定义的数据包匹配规则,可以被其它需要对流量进行区分的功能引用,如
QoS 中流分类规则的定义。
根据应用目的,可将 ACL 分为下面几种:
z 基本 ACL:只根据三层源 IP 地址制定规则。
z 高级 ACL:根据数据包的源 IP 地址信息、目的 IP 地址信息、IP 承载的协议类
型、协议特性等三、四层信息制定规则。
z 二层 ACL:根据源 MAC 地址、目的 MAC 地址、VLAN 优先级、二层协议类
型等二层信息制定规则。
z 用户自定义 ACL:以数据包的头部为基准,指定从第几个字节开始进行“与”
操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的
报文。
1.1.1 ACL 在交换机上的应用方式
1. ACL 直接下发到硬件中的情况
交换机中 ACL可以直接下发到交换机的硬件中用于数据转发过程中报文的过滤和流
分类。此时一条 ACL 中多个规则的匹配顺序是由交换机的硬件决定的,用户即使在
定义 ACL 时配置了匹配顺序,该匹配顺序也不起作用。
ACL 直接下发到硬件的情况包括:交换机实现 QoS 功能时引用 ACL、通过 ACL 过
滤转发数据等。
2. ACL 被上层模块引用的情况
交换机也使用 ACL 来对由软件处理的报文进行过滤和流分类。此时 ACL 规则的匹
配顺序有两种:config(指定匹配该规则时按用户的配置顺序)和 auto(指定匹配
该规则时系统自动排序,即按“深度优先”的顺序)。这种情况下用户可以在定义
#^_^# .版权归原作者所有 本资料只供试读
![](https://csdnimg.cn/release/download_crawler_static/9691115/bg3.jpg)
第 1 章 ACL 配置
Quidway S3900 系列以太网交换机 操作手册-Release 1510
ACL
1-2
华为所有和机密
版权所有 (c) 华为技术有限公司
ACL 的时候指定一条 ACL 中多个规则的匹配顺序。用户一旦指定某一条 ACL 的匹
配顺序,就不能再更改该顺序。只有把该列表中所有的规则全部删除后,才能重新
指定其匹配顺序。
ACL 被软件引用的情况包括:路由策略引用 ACL、对登录用户进行控制时引用 ACL
等。
1.1.2 ACL 匹配顺序
ACL 可能会包含多个规则,而每个规则都指定不同的报文范围。这样,在匹配报文
时就会出现匹配顺序的问题。
ACL 支持两种匹配顺序:
z 配置顺序:根据配置顺序匹配 ACL 规则。
z 自动排序:根据“深度优先”规则匹配 ACL 规则。
“深度优先”顺序的判断原则如下:
(1) 先比较规则的协议范围。IP 协议的范围为 1~255,其他协议的范围就是自己
的协议号;协议范围小的优先;
(2) 再比较源 IP 地址范围。源 IP 地址范围小(掩码长)的优先;
(3) 然后比较目的 IP 地址范围。目的 IP 地址范围小(掩码长)的优先;
(4) 最后比较四层端口号(TCP/UDP 端口号)范围。四层端口号范围小的优先;
如果规则 A 与规则 B 按照原有匹配顺序进行配置时,协议范围、源 IP 地址范围、
目的 IP 地址范围、四层端口号范围完全相同,并且其它的元素个数相同,将按照加
权规则进行排序。加权规则如下:
z 设备为每个元素设定一个固定的权值,最终的匹配顺序由各个元素的权值和元
素取值来决定。各个元素自身的权值从大到小排列:DSCP、ToS、ICMP、
established、precedence、fragment。
z 设备以一个固定权值依次减去规则各个元素自身的权值,剩余权值越小的规则
越优先。
z 如果各个规则中元素个数、元素种类完全相同,则这些元素取值的累加和越小
越优先。
1.1.3 基于时间段的 ACL
基于时间段的 ACL 使用户可以区分时间段对报文进行 ACL 控制。
ACL 中的每条规则都可选择一个时间段。如果规则引用的时间段未配置,则系统给
出提示信息,并允许这样的规则创建成功。但是规则不能立即生效,直到用户配置
![](https://csdnimg.cn/release/download_crawler_static/9691115/bg4.jpg)
Quidway S3900 系列以太网交换机 操作手册-Release 1510
ACL
第 1 章 ACL 配置
华为所有和机密
版权所有 (c) 华为技术有限公司
1-3
了引用的时间段,并且系统时间在指定时间段范围内才能生效。如果用户手工删除
ACL 规则引用的时间段,则在 ACL 规则定时器刷新后,该规则将失效。
1.1.4 以太网交换机支持的 ACL
Quidway S3900 系列以太网交换机支持的 ACL 如下:
z 基本 ACL
z 高级 ACL
z 二层 ACL
z 用户自定义 ACL
1.2
配置时间段
对时间段的配置有如下内容:配置周期时间段和绝对时间段。配置周期时间段采用
的是每周的周几的形式,配置绝对时间段采用从起始时间到结束时间的形式。
说明:
Quidway S3900 系列以太网交换机支持的绝对时间段范围从 1970/1/1 00:00 起至
2100/12/31 24:00 结束。
1.2.1 配置过程
表1-1 配置时间段
配置步骤 命令 说明
进入系统视图
system-view
-
创建一个时间段
time-range time-name { start-time to
end-time days-of-the-week [ from
start-time start-date ] [ to end-time
end-date ] | from start-time start-date
[ to end-time end-date ] | to end-time
end-date }
必选
需要注意的是:
如果一个时间段只定义了周期时间
段,则只有系统时钟在该周期时间段内,该时间
段才进入激活状态。如果一个时间段下定义了多个周期时间段,则这些周期时间段
之间是“或”的关系。
如果一个时间段只定义了绝对时间段,则只有系统时钟在该绝对时间段内,该时间
段才进入激活状态。如果一个时间段下定义了多个绝对时间段,则这些绝对时间段
之间是“或”的关系。
剩余21页未读,继续阅读
资源评论
![avatar-default](https://csdnimg.cn/release/downloadcmsfe/public/img/lazyLogo2.1882d7f4.png)
![avatar](https://profile-avatar.csdnimg.cn/3df12f625abe4401af1929f8cbdb663b_mapplei.jpg!1)
mapplei
- 粉丝: 128
- 资源: 1292
上传资源 快速赚钱
我的内容管理 展开
我的资源 快来上传第一个资源
我的收益
登录查看自己的收益我的积分 登录查看自己的积分
我的C币 登录后查看C币余额
我的收藏
我的下载
下载帮助
![voice](https://csdnimg.cn/release/downloadcmsfe/public/img/voice.245cc511.png)
![center-task](https://csdnimg.cn/release/downloadcmsfe/public/img/center-task.c2eda91a.png)
最新资源
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
![feedback](https://img-home.csdnimg.cn/images/20220527035711.png)
![feedback](https://img-home.csdnimg.cn/images/20220527035711.png)
![feedback-tip](https://img-home.csdnimg.cn/images/20220527035111.png)
安全验证
文档复制为VIP权益,开通VIP直接复制
![dialog-icon](https://csdnimg.cn/release/downloadcmsfe/public/img/green-success.6a4acb44.png)