..
华为ACL配置教程
一、ACL基本配置
1、ACL规则生效时间段配置(需要先配置设备的时间,建议用ntp同步时间)
某些引用ACL的业务或功能需要限制在一定的时间范围内生效,比如,在流
量高峰期时启动设备的QoS功能。用户可以为ACL创建生效时间段,通过在规则
中引用时间段信息限制ACL生效的时间范围,从而达到该业务或功能在一定的时
间范围内生效的目的。
[Huawei]time-rangetest?
fromThebeginningpointofthetimerange
[Huawei]time-rangetest8:00?
toTheendingpointofperiodictime-range
[Huawei]time-rangetest8:00t
[Huawei]time-rangetest8:00to?
[Huawei]time-rangetest8:00to18:05?
<0-6>Dayoftheweek(0isSunday)
FriFriday#星期五
MonMonday#星期一
SatSaturday#星期六
SunSunday#星期天
ThuThursday#星期四
TueTuesday#星期二
..
WedWednesday#星期三
dailyEverydayoftheweek#每天
off-daySaturdayandSunday#星期六和星期日
working-dayMondaytoFriday#工作日每一天
[Huawei]time-rangetestfrom8:002016/1/17to18:002016/11/17
使用同一time-name可以配置多条不同的时间段,以达到这样的效果:各周
期时间段之间以及各绝对时间段之间分别取并集之后,再取二者的交集作为最终
生效的时间范围。
例如,时间段“test”配置了三个生效时段:
从2016年1月1日00:00起到2016年12月31日23:59生效,这是一个绝
对时间段。
在周一到周五每天8:00到18:00生效,这是一个周期时间段。
在周六、周日下午14:00到18:00生效,这是一个周期时间段。
则时间段“test”最终描述的时间范围为:2016年的周一到周五每天8:00
到18:00以及周六和周日下午14:00到18:00。
由于网络延迟等原因,可能造成网络上设备时间不同步,建议配置NTP
(NetworkTimeProtocol),以保证网络上时间的一致。
2、ACL类型配置
2.1、数字型acl配置
[Huawei]acl2000match-order?
autoAutoorder#自动顺序(默认)
configConfigorder
或
[Huawei]aclnumber2000match-order?
autoAutoorder
configConfigorder
..
2.2、命名型acl配置
[Huawei]aclnametest?
advanceSpecifyanadvancednamedACL#设置高级acl
basicSpecifyabasicnamedACL
match-orderSetACL'smatchorder
numberSpecifyanumberforthenamedACL
[Huawei]aclnametestad
[Huawei]aclnametestadvance?
match-orderSetACL'smatchorder
numberSpecifyanumberforthenamedACL
[Huawei]aclnametestnumber?
INTEGER<2000-2999>NumberofthebasicnamedACL
INTEGER<42768-75535>NumberoftheadvancednamedACL
2.3、ACL类型配置
[Huawei]acl?
INTEGER<1000-1999>Interfaceaccess-list(addtocurrentusingrules)
#接口访问列表acl
INTEGER<10000-10999>ApplyMPLSACL#应用MPLSACL
INTEGER<2000-2999>Basicaccess-list(addtocurrentusingrules)
#基本acl
..
INTEGER<3000-3999>Advancedaccess-list(addtocurrentusingrules)
#高级acl
INTEGER<4000-4999>MACaddressaccess-list(addtocurrentusing
rules)#二层acl
ipv6ACLIPv6#基本acl6和高级acl6配置
nameSpecifyanamedACL
numberSpecifyanumberedACL
2.4、ACL描述设置(可选)
[Huawei-acl-basic-2600]description?
TEXT
2.5、ACL步长设置(可选)
[Huawei-acl-basic-test]step?
INTEGER<1-20>Specifyvalueofstep
二、ACL类型规则配置
1、基本ACL规则配置
基本ACL编号acl-number的范围是2000~2999。
基本ACL可以根据报文自身的源IP地址、分片标记和时间段信息对IPv4报
文进行分类。
[Huawei-acl-basic-test]rule1?
denySpecifymatchedpacketdeny
permitSpecifymatchedpacketpermit
[Huawei-acl-basic-test]rule1deny?
..
fragment-typeSpecifythefragmenttypeofpacket#分组片段类型
sourceSpecifysourceaddress
time-rangeSpecifyaspecialtime
vpn-instanceSpecifyaVPN-Instance
[Huawei-acl-basic-test]rule1denysource?
ssofsource
anyAnysource
[Huawei-acl-basic-test]rule1denysource192.168.1.1?
0Wildcardbits:0.0.0.0(ahost)
ardofsource
[Huawei-acl-basic-test]rule1denysource192.168.1.10?
fragment-typeSpecifythefragmenttypeofpacket#对分组片段类型有
效
time-rangeSpecifyaspecialtime#引用生效时间
vpn-instanceSpecifyaVPN-Instance#用于vpn
[Huawei-acl-basic-2600]description?#配置规则描述
TEXTACLdescription(nomorethan127characters)
..
在ACL中配置首条规则时,如果未指定参数rule-id,设备使用步长值作为
规则的起始编号。后续配置规则如仍未指定参数rule-id,设备则使用最后一个
规则的rule-id的下一个步长的整数倍数值作为规则编号。
例如ACL中包含规则rule5和rule7,ACL的步长为5,则系统分配给新配
置的未指定rule-id的规则的编号为10。
当用户指定参数time-range引入ACL规则生效时间段时,如果time-name
不存在,该规则将无法绑定该生效时间段。
如果不指定参数vpn-instancevpn-instance-name,设备会对公网和私网的
报文均进行匹配。
设备在收到报文时,会按照匹配顺序将报文与ACL规则进行逐条匹配,一旦
匹配上规则组内的某条规则,则停止匹配动作。之后,设备将依据匹配的规则对
报文执行相应的动作。
2、高级ACL规则配置
高级ACL编号acl-number的范围是3000~3999。
高级acl主要对源/目的IP地址、端口号、优先级、时间段等报文进行过滤。
[Huawei-acl-adv-3000]rule1permit?
<1-255>Protocolnumber
greGREtunneling(47)
icmpInternetControlMessageProtocol(1)
igmpInternetGroupManagementProtocol(2)
ipAnyIPprotocol
ipinipIPinIPtunneling(4)
ospfOSPFroutingprotocol(89)
tcpTransmissionControlProtocol(6)
udpUrDatagramProtocol(17)
[Huawei-acl-adv-3000]rule1permitudp?
destinationSpecifydestinationaddress
destination-portSpecifydestinationport
dscpSpecifydscp
..
fragment-typeSpecifythefragmenttypeofpacket
precedenceSpecifyprecedence
sourceSpecifysourceaddress
source-portSpecifysourceport
time-rangeSpecifyaspecialtime
tosSpecifytos
vpn-instanceSpecifyaVPN-Instance
[Huawei-acl-adv-3000]rule1permitudpsource?
ssofsource
anyAnysource
[Huawei-acl-adv-3000]rule1permitudpsourceany?
destinationSpecifydestinationaddress
destination-portSpecifydestinationport
dscpSpecifydscp
fragment-typeSpecifythefragmenttypeofpacket
precedenceSpecifyprecedence
source-portSpecifysourceport
time-rangeSpecifyaspecialtime
tosSpecifytos
..
vpn-instanceSpecifyaVPN-Instance
[Huawei-acl-adv-3000]rule1permitudpsourceanydes
[Huawei-acl-adv-3000]rule1permitudpsourceanydestination?
fydestinationaddress
anyAnydestinationIPaddress
[Huawei-acl-adv-3000]rule1permitudpsourceanydestination
192.168.1.1?
0Wildcardbits:0.0.0.0(ahost)
ardofdestination
[Huawei-acl-adv-3000]rule1permitudpsourceanydestination
192.168.1.10?
destination-portSpecifydestinationport
dscpSpecifydscp
fragment-typeSpecifythefragmenttypeofpacket
precedenceSpecifyprecedence
source-portSpecifysourceport
time-rangeSpecifyaspecialtime
tosSpecifytos
vpn-instanceSpecifyaVPN-Instance
..
[Huawei-acl-adv-3000]rule1permitudpsourceanydestination
192.168.1.10destination-port?
eqEqualtogivenportnumber
gtGreaterthangivenportnumber
ltLessthangivenportnumber
neqNotequaltogivenportnumber#不等于指定端口
rangeBetweentwoportnumbers
[Huawei-acl-adv-3000]rule1permitudpsourceanydestination
192.168.1.10destination-porteq?
<0-65535>Protocolnumber
biffMailnotify(512)
bootpcBootstrapProtocolClient(68)
bootpsBootstrapProtocolServer(67)
discardDiscard(9)
dnsDomainNameService(53)
dnsixDNSIXSecurityAttributeTokenMap(90)
echoEcho(7)
mobilip-agMobileIP-Agent(434)
mobilip-mnMobilIP-MN(435)
namerverHostNameServer(42)
netbios-dgmNETBIOSDatagramService(138)
netbios-nsNETBIOSNameService(137)
..
netbios-ssnNETBIOSSessionService(139)
ntpNetworkTimeProtocol(123)
ripRoutingInformationProtocol(520)
snmpSNMP(161)
snmptrapSNMPTRAP(162)
sunrpcSUNRemoteProcedureCall(111)
syslogSyslog(514)
tacacs-dsTACACS-DatabaService(65)
talkTalk(517)
tftpTrivialFileTransfer(69)
timeTime(37)
whoWho(513)
xdmcpXDisplayManagerControlProtocol(177)
[Huawei-acl-adv-3000]rule1permitudpsourceanydestination
192.168.1.10destination-porteq21?
dscpSpecifydscp
fragment-typeSpecifythefragmenttypeofpacket
precedenceSpecifyprecedence
source-portSpecifysourceport
time-rangeSpecifyaspecialtime
tosSpecifytos
vpn-instanceSpecifyaVPN-Instance
..
高级acl可以匹配的功能有:
2.1、高级acl常用协议数值对照表
协议类型数值
ICMP1
IGMP2
IPinIP4
TCP6
UDP17
GRE47
IP
OSPF89
2.2、高级acl常用功能说明
参数说明
deny拒绝符合条件的报文
permit允许符合条件的报文
source{sour-addr
sour-wildcard|any}
sour-addrsour-wildcard:源ip地址源通配
符掩码
any:任意源IP地址
destination{dest-addr
dest-wildcaard|any
dest-addrdest-wildcaard:目的IP地址及
通配符掩码
any:任意目的IP地址
icmp-type{icmp-name|icmp-type
icmp-code}
指定acl规则匹配报文的icmp报文的类型和
消息码信息,仅在报文协议是ICMP的情况下
有效
precedence指定acl匹配报文时依据优先级字段进行过
滤。与tos参数一起共同构成DSCP组成的二
选一参数。
tos指定acl匹配报文时依据服务类型字段进行过
滤。与precedence参数一起共同构成DSCP组
成的二选一参数。
dscp指定acl匹配报文时区分服务代码点,依据IP
包中的DSCP优先级字段进行过滤。
tcp-flag指定acl规则匹配TCP报文中的SYN标志的类
型
..
time-range指定acl规则生效时间段
destination-port{eqprot|gt
port|ltport|rageport-start
portend}
指定acl规则匹配报文的UDP或TCP的目的端
口,仅在报文协议是UDP或TCP时生效。端口
号可用名称或数字表示
eqport:指定等于目的端口
gtport:指定大于目的端口
ltport:指定小于目的端口
rangeport-startport-end:指定目的端口范
围start为起始端口end为结束端口
soure-port{eqprot|gtport|lt
port|rageport-startportend}
指定acl规则匹配报文的UDP或TCP的源端口,
仅在报文协议是UDP或TCP时生效。
loging指定acl匹配的报文信息进行日志记录
fragmen指定acl规则是否仅对非首片分片报文有效,
当包含此参数时仅对非首片分片报文有效。但
此参数不能同时与source-port、
destination-port、icmp-type、tcp-flag参
数同时配置。
ttl-expired指定acl是否依据数据报文中的ttl值是否为
1进行过滤。启用此命令表示过滤。5700SI及
以下版本不支持。
举例:拒绝192.168.1.0网段与主机61.128.128.68进行UDP9090通信
[Huawei-acl-adv-3002]ruledenyudpsource192.168.1.00.0.0.255
ation-porteq9090
3、二层ACL规则配置
二层ACL编号acl-number的范围是4000~4999。
二层acl对源/目的MAC、802.1p优先级、二层协议等二层信息进行过滤。
[Huawei-acl-L2-4000]rule1?
denySpecifymatchedpacketdeny
descriptionSpecifyruledescription
permitSpecifymatchedpacketpermit
[Huawei-acl-L2-4000]rule1denysource-mac1111-1111-1111?
802.3802.3format
..
8021pVlanpriority
H-H-HSourceMACaddressmask,defaultisffff-ffff-ffff
cvlan-8021pVlanpriorityofinnervlan
cvlan-idInnervlanid
destination-macDestination-mac
double-tagDoubletag
ether-iiEthernetIIformat
l2-protocolLayer2protocol
snapSnapformat
time-rangeSpecifyaspecialtime
vlan-idVlanid
[Huawei-acl-L2-4000]rule1denysource-mac1111-1111-1111
destination-mac?
H-H-HDestinationMACaddressvalue
[Huawei-acl-L2-4000]rule1denysource-mac1111-1111-1111
destination-mac2222-2222-2222?
802.3802.3format
8021pVlanpriority
H-H-HDestinationMACaddressmask,defaultisffff-ffff-ffff
cvlan-8021pVlanpriorityofinnervlan
cvlan-idInnervlanid
..
double-tagDoubletag
ether-iiEthernetIIformat
l2-protocolLayer2protocol
snapSnapformat
time-rangeSpecifyaspecialtime
vlan-idVlanid
二层acl支持的常用功能
二层acl支持的常用功能
参数说明
802.3
8021p
指定acl规则匹
配报文的外层
vlan的8021p优
先级
cvlan-8021p
指定acl规则匹
配报文的内层
vlan的8021p优
先级
cvlan-idcvlan-id[cvlan-id-mask]
指定acl规则匹
配报文的内层
vlanID
cvlan-id-mask:
指定内层ID值的
掩码十六进制
destination-mac
指定acl规则匹
配报文的目的
mac地址信息
double-tag
指定acl匹配报
文时匹配带双层
tag的报文
ether-ii
指定acl规则匹
配报文的帧封装
格式
..
l2-protocol
指定acl规则匹
配报文的链路层
协议类型
snap
source-mac
指定acl规则匹
配报文的源mac
地址信息
time-range
vlan-id
指定acl规则匹
配报文的内层
vlanID
4、用户自定义ACL规则配置
用户自定义ACL编号acl-number的范围是5000~5999。
用户自定义acl(简称ucl),可以根据用户自定义的规则对数据报文做出
相应的处理。
用户自定义ACL支持的常用功能有
用户自定义ACL支持的常用功能
参数说明
STRING<3-10>
ipv4-head
指定从ipv4头部开始偏
移
ipv6-head
从ipv6头部开始偏移
l2-head
从报文的二层头部开始
偏移
l4-head
从四层协议头部开始偏
移
time-range
[Huawei-acl-ur-5000]rule1deny?
STRING<3-10>Rulestring,thestringmustbehexadecimalandstartwith
'0x'
ipv4-headOfftfromIP(v4)head
ipv6-headOfftfromIP(v6)head
..
l2-headOfftfroml2head
l4-headOfftfromL4head
time-rangeSpecifyaspecialtime
5、用户ACL规则配置
用户ACL编号acl-number的范围是6000~6999。
使用IPv4报文的源IP地址或源UCL(UrControlList)组、目的地址
或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/
目的端口号等来定义规则。
具体配置及参数同前。
6、基本ACL6规则配置
[Huawei]aclipv6?
INTEGER<2000-2999>SpecifyabasicACL6
INTEGER<3000-3999>SpecifyanadvancedACL6
nameSpecifyanamedACL6
numberSpecifyanumberedACL6
[Huawei-acl6-basic-2000]rule1?
denySpecifymatchedpacketdeny
descriptionSpecifyruledescription
permitSpecifymatchedpacketpermit
..
[Huawei-acl6-basic-2000]rule1deny?
fragmentCheckfragmentpacket
loggingLogmatchedpacket
sourceSpecifysourceaddress
time-rangeSpecifyaspecialtime
[Huawei-acl6-basic-2000]rule1denysource?
X:X::X:XIPv6address
X:X::X:X/MIPv6sourceaddresswithprefix
anyAnysourceIPv6address
[Huawei-acl6-basic-2000]rule1denysourceany?
fragmentCheckfragmentpacket
loggingLogmatchedpacket
time-rangeSpecifyaspecialtime
7、高级ACL6规则配置
[Huawei]aclipv63000
[Huawei-acl6-adv-3000]rule1?
denySpecifymatchedpacketdeny
descriptionSpecifyruledescription
permitSpecifymatchedpacketpermit
..
[Huawei-acl6-adv-3000]rule1?
denySpecifymatchedpacketdeny
descriptionSpecifyruledescription
permitSpecifymatchedpacketpermit
[Huawei-acl6-adv-3000]rule1deny?
<1-255>Protocolnumber
greGREtunneling(47)
icmpv6InternetControlMessageProtocol6(58)
ipv6AnyIPV6protocol
ospfOSPFroutingprotocol(89)
tcpTransmissionControlProtocol(6)
udpUrDatagramProtocol(17)
ACL6相关知识将在后面的IPV6专题详细讲解,敬请关注重庆网管博客。
8、ACL资源告警阈值百分比设置
[Huawei]acl
threshold-alarm{upper-limitupper-limit|lower-limitlower-limit}*
设备运行应用ACL的业务后会占用一部分ACL资源,此时可以配置ACL资源
的告警阈值百分比。
当ACL资源的使用率(即设备上实际存在的ACL表项占设备支持的最大ACL
表项总数的比例)等于或高于上限告警阈值百分比时,设备将会发出超限告警。
..
之后,如果该比例又等于或小于下限告警阈值百分比,设备会再次发出告警,表
明之前的超限告警情况已经恢复正常。
9、扩展ACL表项空间资源模式设置
#查看接口板扩展表项空间资源的配置信息。
[Huawei]assignresource-modemode-idslotslot-id
#配置接口板扩展表项空间资源的分配模式,用来静态分配MAC、ACL和FIB表
项的底层空间大小。
[Huawei]assignacl-modemode-idslotslot-id
#配置接口板ACL规格的资源分配模式。
缺省情况下,扩展表项空间寄存器的资源模式为1,仅扩展MAC表项。
与ACL表项相关的分配模式包括:
1、MACACL:表示同时扩展MAC表项和二层ACL表项。
2、IPV4ACL:表示同时扩展IPV4的IP表项和IPV4的三层ACL表项。
3、IPV6ACL:表示同时扩展IPV6的IP表项和IPV6的三层ACL表项。
4、IPV4NAC:表示同时扩展IPV4的三层ACL表项和NAC特性专用的ACL表
项。
5、L2ACL:表示扩展二层ACL表项。
配置接口板扩展表项空间资源的分配模式后,需要重启接口板才能生效。
当设备处于核心层时,承载的业务量很大,自身的MAC、FIB、ACL表项也会
相应增加,但是设备的表项空间有限,当设备的表项空间满足不了设备的业务要
求时,会降低业务的运行效率。
设备接口板提供扩展表项空间寄存器,通过配置扩展表项空间资源的分配模
式,可以选择性扩大MAC、ACL和FIB表项的底层空间大小。
三、ACL应用配置
1、Telnent中应用ACL配置
[Huawei]tlnetrveracl?
INTEGER<2000-2999>
或
[Huawei-ui-vty0-4]acl?
..
INTEGER<2000-3999>ApplybasicoradvancedACL
ipv6FilterIPv6address
[Huawei-ui-vty0-4]acl2000?
inboundFilterloginconnectionsfromthecurrenturinterface
outboundFilterlogoutconnectionsfromthecurrenturinterface
2、http中应用acl配置
[Huawei]httpacl?
INTEGER<2000-2999>
3、SNMP(v1、v2)中应用ACL配置
[Huawei]snmp-agentcommunitywrite1acl?
INTEGER<2000-2999>ApplybasicACL
或
[Huawei]snmp-agentacl?
4、FTP中应用acl配置
[Huawei]ftpacl?
INTEGER<2000-2999>ApplybasicACL
5、TFTP中应用ACL配置
[Huawei]tftp-rveracl?
INTEGER<2000-2999>ApplybasicACL
6、SFTP中应用ACL配置
[Huawei]sshrveracl?
或
[Huawei-ui-vty0-4]acl?
INTEGER<2000-3999>ApplybasicoradvancedACL
..
ipv6FilterIPv6address
[Huawei-ui-vty0-4]acl2000?
inboundFilterloginconnectionsfromthecurrenturinterface
outboundFilterlogoutconnectionsfromthecurrenturinterface
..
7、其他方式中应用ACL配置表(转自华为官方论坛)
业务模块ACL应用方式可使用的ACL编号范围
流策略
、系统视图下执行命令trafficclassifierclassifier-name[operator{and|or}][precedenceprecedence-value],
进入流分类视图。
b、执行命令if-matchacl{acl-number|acl-name},配置ACL应用于流分类。
c、系统视图下执行命令trafficbehaviorbehavior–name,定义流行为并进入流行为视图。
d、配置流动作。报文过滤有两种流动作:deny或permit。
e、系统视图下执行命令trafficpolicypolicy-name[match-order{auto|config}],定义流策略并进入流策略视图。
f、执行命令classifierclassifier-namebehaviorbehavior-name,在流策略中为指定的流分类配置所需流行为,即绑定流分
类和流行为。在系统视图、接口视图或VLAN视图下,执行命令traffic-policypolicy-name{inbound|outbound},应用
流策略。
ACL:2000~5999
ACL6:2000~3999
NAT方式一:
、系统视图下执行命令nataddress-groupgroup-indexstart-addresnd-address,配置公网地址池。
、执行命令ber,进入子接口视图。
、执行命令natoutboundacl-numberaddress-groupgroup-index[no-pat],,配置带地址池的NATOutbound。
方式二:
2000~3999
..
、系统视图下执行命令ber,进入子接口视图。
、执行命令natoutboundacl-number,配置EasyIP。
IPSEC方式一:
、系统视图下执行命令ipcpolicypolicy-nameq-numbermanual,创建手工方式安全策略,并进入手工方式安全策略视
图。
、执行命令curityaclacl-number,在安全策略中引用ACL。
方式二:
、系统视图下执行命令ipcpolicypolicy-nameq-numberisakmp,创建IKE动态协商方式安全策略,并进入IKE动态协
商方式安全策略视图。
、执行命令curityaclacl-number,在安全策略中引用ACL。
方式三:
、系统视图下执行命令ipcpolicy-templatetemplate-nameq-number,创建策略模板,并进入策略模板视图。
、执行命令curityaclacl-number,在安全策略中引用ACL。
、系统视图下执行命令ipcpolicypolicy-nameq-numberisakmptemplatetemplate-name,在安全策略中引用策略模板。
3000~3999
本机防攻
击策略
白名单
、系统视图下执行命令cpu-defendpolicypolicy-name,创建防攻击策略并进入防攻击策略视图。
2000~4999
..
、执行命令whitelistwhitelist-idaclacl-number,创建自定义白名单。
、系统视图下执行命令cpu-defend-policypolicy-name[global],或槽位视图下执行命令cpu-defend-policypolicy-name,
应用防攻击策略。
黑名单
、系统视图下执行命令cpu-defendpolicypolicy-name,创建防攻击策略并进入防攻击策略视图。
、执行命令blacklistblacklist-idaclacl-number,创建黑名单。
、系统视图下执行命令cpu-defend-policypolicy-name[global],或槽位视图下执行命令cpu-defend-policypolicy-name,
应用防攻击策略。
2000~4999
用户自定义流
、系统视图下执行命令cpu-defendpolicypolicy-name,创建防攻击策略并进入防攻击策略视图。
、执行命令ur-defined-flowflow-idaclacl-number,配置用户自定义流。
、系统视图下执行命令cpu-defend-policypolicy-name[global],或槽位视图下执行命令cpu-defend-policypolicy-name,
应用防攻击策略。
2000~4999
路由RoutePolicy
、系统视图下执行命令route-policyroute-policy-name{permit|deny}nodenode,创建Route-Policy,并进入
Route-Policy视图。
、执行命令if-matchacl{acl-number|acl-name},配置基于ACL的匹配规则;或者配置apply子句为路由策略指定动作,
2000~2999
..
如执行命令applycost[+|-]cost,设置路由的开销值等。
、应用路由策略。路由协议不同,命令行不同。例如针对OSPF协议,可以在OSPF视图下,执行命令
import-route{limitlimit-number|{bgp[permit-ibgp]|direct|unr|rip[process-id-rip]
|static|isis[process-id-isis]|ospf[process-id-ospf]}
[costcost|typetype|tagtag|route-policyroute-policy-name]*},引入其他路由协议学习到的路由信息;针对RIP
协议,可以在RIP视图下,执行命令import-route{{static|direct|unr}|{{rip|ospf|isis}[process-id]}}
[costcost|route-policyroute-policy-name]*。
Filter
Policy
路由协议不同,过滤方向不同,命令行不同。例如针对RIP协议,对引入的路由进行过滤,可以在RIP视图下执行命令
filter-policy{acl-number|acl-nameacl-name|ip-prefixip-prefix-name[gatewayip-prefix-name]}import[in
terface-typeinterface-number];对发布的路由进行过滤,可以在RIP视图下执行命令
filter-policy{acl-number|acl-nameacl-name|ip-prefixip-prefix-name}export[protocol[process-id]
|interface-typeinterface-number]。
2000~2999
组播igmp-snoopin
gssm-policy
VLAN视图下执行命令igmp-snoopingssm-policybasic-acl-number
2000~2999
..
igmp-snoopin
g
group-policy
VLAN视图下执行命令igmp-snoopinggroup-policyacl-number[versionversion-number][default-permit]
2000~3999
..
四、基于简化流策略ACL配置
基于ACL的简化流策略是指通过将报文信息与ACL规则进行匹配,为符合
相同ACL规则的报文提供相同的QoS服务,实现对不同类型业务的差分服务。
当用户希望对进入网络的流量进行控制时,可以配置ACL规则根据报文的源
IP地址、分片标记、目的IP地址、源端口号、源MAC地址等信息对报文进行匹
配,进而配置基于ACL的简化流策略实现对匹配ACL规则的报文过滤、流量监管、
流镜像、重定向、重标记或流量统计。
与流策略相比,基于ACL的简化流策略不需要单独创建流分类、流行为或流
策略,配置更为简洁;但是由于仅基于ACL规则对报文进行匹配,因此匹配规则
没有流策略丰富。
基于ACL的简化流策略配置时要注意:
同一接口、VLAN或全局下配置多条简化流策略,如果其中一条简化流策略引
用的ACL规则发生变化,会导致此视图所有简化流策略短暂失效。
如果配置traffic-redirect命令将流量重定向到接口时,建议ACL规则匹
配二层流量。
1、基于ACL的报文过滤配置
通过配置基于ACL的报文过滤,对匹配ACL规则报文进行禁止/允许动作,
进而实现对网络流量的控制。
可以根据以下原则选用traffic-filter或traffic-cure命令配置报文过
滤:
如果traffic-filter或traffic-cure关联的ACL没有同时被其他基于
ACL的简化流策略所关联(即两个简化流策略关联的不是同一个acl),且报文
不会同时匹配报文过滤和其他简化流策略关联的ACL规则时,traffic-filter
和traffic-cure可以任选其一。
如果traffic-filter或traffic-cure关联的ACL同时被其他基于ACL的
简化流策略所关联,或者报文同时匹配了报文过滤和其他简化流策略关联的ACL
时,traffic-filter和traffic-cure的区别如下:
当traffic-cure和其他基于ACL的简化流策略同时配置,且ACL规则中
的动作为Deny时,仅traffic-cure、traffic-mirror(流量镜像)和
traffic-statistics(流量统计)命令生效(即traffic-cure等命令配置的
应用不生效),报文被过滤。
当traffic-cure和其他基于ACL的简化流策略同时配置,且ACL规则中
的动作为Permit时,traffic-cure命令和其他基于ACL的简化流策略均生效。
当traffic-filter和其他基于ACL的简化流策略同时配置,且ACL规则中
的动作为Deny时,仅traffic-filter、traffic-mirror和traffic-statistics
命令生效,报文被过滤。
当traffic-filter和其他基于ACL的简化流策略同时配置,且ACL规则中
的动作为Permit时,先配置的简化流策略生效。
具体配置
..
1.1、在全局或VLAN上配置基于简化流策略ACL报文过滤
[Huawei]traffic-filter?
inboundApplytheacloninboundpackets
outboundApplytheaclonoutboundpackets
vlanVirtualLAN
[Huawei]traffic-filtervlan?
INTEGER<1-4094>VLANID
[Huawei]traffic-filtervlan2?
inboundApplytheacloninboundpackets
outboundApplytheaclonoutboundpackets
[Huawei]traffic-filtervlan2outbound?
aclSpecifyACLtomatch
[Huawei]traffic-filtervlan2outboundacl?
INTEGER<2000-2999>Basicaccess-list
INTEGER<3000-3999>Advancedaccess-list
INTEGER<4000-4999>L2access-list
ipv6SpecifyIPv6
nameSpecifyanamedACL
[Huawei]traffic-filtervlan2outboundacl3000?
ruleSpecifytheIDofaclrule
..
[Huawei]traffic-filtervlan2outboundacl3000rule?
INTEGER<0-4294967294>IDofaclrule
或
[Huawei]traffic-cure[vlanvlan-id]inboundacl{bas-acl|adv-acl|
l2–acl|nameacl-name}[rulerule-id]
1.2、在接口上配置基于简化流策略ACL报文过滤
[Huawei-GigabitEthernet0/0/2]traffic-filter?
inboundApplytheacloninboundpackets
outboundApplytheaclonoutboundpackets
[Huawei-GigabitEthernet0/0/2]traffic-filteroutbound?
aclSpecifyACLtomatch
[Huawei-GigabitEthernet0/0/2]traffic-filteroutboundacl?
INTEGER<2000-2999>Basicaccess-list
INTEGER<3000-3999>Advancedaccess-list
INTEGER<4000-4999>L2access-list
ipv6SpecifyIPv6
nameSpecifyanamedACL
[Huawei-GigabitEthernet0/0/2]traffic-filteroutboundacl3000?
..
ruleSpecifytheIDofaclrule
[Huawei-GigabitEthernet0/0/2]traffic-filteroutboundacl3000rule?
INTEGER<0-4294967294>IDofaclrule
或
[Huawei-GigabitEthernet0/0/2]traffic-cureinboundacl{bas-acl|adv
-acl|l2–acl|nameacl-name}[rulerule-id]
基于ACL报文过滤traffic-filter和traffic-cure命令参数说明
参数说明
vlanvlan-id
inbound在入方向应用报文过滤
outbound在出方向应用报文过滤
bas-acl基本acl
adv-acl高级acl
l2-acl二层acl
ur-acl用户acl
vlan可选,在特定vlan上应用基于acl的报文过滤
acl基于ipv4acl对报文过滤
ipv6基于ipv6acl对报文进行过滤
name采用基于命名型acl进行报文过滤
rule基于acl中特定规则进行报文过滤
2、基于ACL的流量监管配置
通过配置基于ACL的流量监管,对匹配ACL规则的报文进行限速。
2.1、在全局或VLAN上配置基于简化流策略ACL流量监管
[Huawei]traffic-limit?
inboundApplytheacloninboundpackets
..
outboundApplytheaclonoutboundpackets
vlanVirtualLAN
[Huawei]traffic-limitvlan3?
inboundApplytheacloninboundpackets
outboundApplytheaclonoutboundpackets
[Huawei]traffic-limitvlan3outbound?
aclSpecifyACLtomatch
[Huawei]traffic-limitvlan3outboundacl?
INTEGER<2000-2999>Basicaccess-list
INTEGER<3000-3999>Advancedaccess-list
INTEGER<4000-4999>L2access-list
ipv6SpecifyIPv6
nameSpecifyanamedACL
[Huawei]traffic-limitvlan3outboundacl2000?
cirCommittedinformationrate
ruleSpecifytheIDofaclrule
[Huawei]traffic-limitvlan3outboundacl2000cir?
INTEGER<8-10000000>ValueofCIR(Unit:Kbps)
[Huawei]traffic-limitvlan3outboundacl2000cir10240?
..
cbsCommittedburstsize
greenSpecifybehaviorconductedwhenratenohigherthanCIR
pirPeakinformationrate
redSpecifybehaviorconductedwhenratehigherthanPIR
yellowSpecifybehaviorconductedwhenratehigherthanCIR,nohigher
than
PIR
2.2、在接口上配置基于简化流策略ACL流量监管
命令与在全局或VLAN上配置基于简化流策略ACL流量监管类似,只是需要
在接口视图下配置。
基于ACL的流量监管配置主要参数说明
参数说明
vlan
inbound
outbound
………同上面基于acl的报文过滤参数
circir-value承诺信息速率,即保证能够通过的评价速率
pir峰值信息速率,即能够通过的最大速率
cbs
承诺突发尺寸,即瞬间能够通过的承若突发
流量
pbs
峰值突发尺寸,即瞬间能够通过的峰值突发
流量
gree对绿色报文进行监管,默认允许通过
yellow对黄色报文进行监管,默认允许通过
red对红色报文进行监管,默认被丢弃
remark8021P-value指定重标记报文的8021P优先级
remarkdscp-value指定重标记报文DSCP优先级
drop指定丢弃报文
pass指定允许报文通过
3、基于ACL报文的重定向配置
..
通过配置基于ACL的重定向,将匹配ACL规则的报文重定向到CPU、指定接口或
指定下一跳地址。
3.1、在全局或VLAN上配置基于ACL重定向
[Huawei]traffic-redirect?
inboundApplytheacloninboundpackets
vlanVirtualLAN
[Huawei]traffic-redirectvlan?
INTEGER<1-4094>VLANID
[Huawei]traffic-redirectvlan5?
inboundApplytheacloninboundpackets
[Huawei]traffic-redirectvlan5inbound?
aclSpecifyACLtomatch
[Huawei]traffic-redirectvlan5inboundacl?
INTEGER<2000-2999>Basicaccess-list
INTEGER<3000-3999>Advancedaccess-list
INTEGER<4000-4999>L2access-list
INTEGER<5000-5999>Ur-definedaccess-list
ipv6SpecifyIPv6
nameSpecifyanamedACL
[Huawei]traffic-redirectvlan5inboundacl3000?
cpuRedirecttoCPU
interfaceSpecifytheinterface
..
ip-nexthopSpecifythenexthopIP
ipv6-nexthopSpecifythenexthopIPv6
ruleSpecifytheIDofaclrule
3.2、在接口上配置基于ACL重定向
配置命令与在全局或VLAN上配置基于ACL重定向类似,不同之处是在接口视图
下配置。
基于acl报文重定向参数说明
参数说明
vlan
……
cpu指定将报文重定向到CPU
interface指定将报文重定向到接口
ip-nexthop指定将报文重定向到下一跳ipv4地址
ipv6-nexthop指定将报文重定向到下一跳ipv6地址
4、基于ACL报文的重标记配置
通过配置基于ACL的重标记,对匹配指定ACL规则的报文,重标记其优先级,
如VLAN报文中的802.1p、MAC地址,IP报文中的DSCP等。
4.1、在全局或VLAN上配置基于acl报文重标记
[Huawei]traffic-remark?
inboundApplytheacloninboundpackets
outboundApplytheaclonoutboundpackets
vlanVirtualLAN
[Huawei]traffic-remarkoutbound?
aclSpecifyACLtomatch
[Huawei]traffic-remarkoutboundacl?
INTEGER<2000-2999>Basicaccess-list
INTEGER<3000-3999>Advancedaccess-list
..
INTEGER<4000-4999>L2access-list
ipv6SpecifyIPv6
nameSpecifyanamedACL
[Huawei]traffic-remarkoutboundacl2000?
8021pRemark802.1p
cvlan-idRemarkcvlanid
dscpRemarkDSCP(DiffServCodePoint)
ruleSpecifytheIDofaclrule
vlan-idRemarkvlanid
4.2、在接口上配置基于ACL报文重标记
命令与在全局或VLAN上配置基于acl报文重标记类似,不同之处是在接口视图
下配置。
基于ACL报文重标记配置命令说明
参数说明
vlan
……
8021p指定重标记报文的8021P优先级
cvlan-id指定重标记QinQ报文中的内层vlan标签
destination-mac指定重标记报文的目的MAC地址
DSCP指定重标记报文的DSCP的服务类型
local-precedence指定重标记报文的本地优先级
ip-precednce指定重标记报文的本地优先级
vlan重标记后的vlan编号
5、基于ACL的流量统计配置
通过配置基于ACL的流量统计,对匹配指定ACL规则的报文进行流量统计。
5.1、在全局或VLAN上配置基于acl报文流量统计
[Huawei]traffic-statistic?
inboundApplytheacloninboundpackets
..
outboundApplytheaclonoutboundpackets
vlanVirtualLAN
[Huawei]traffic-statisticinbound?
aclSpecifyACLtomatch
[Huawei]traffic-statisticinboundacl?
INTEGER<2000-2999>Basicaccess-list
INTEGER<3000-3999>Advancedaccess-list
INTEGER<4000-4999>L2access-list
INTEGER<5000-5999>Ur-definedaccess-list
ipv6SpecifyIPv6
nameSpecifyanamedACL
[Huawei]traffic-statisticinboundacl3000?
by-bytesStatisticsbybytes
ruleSpecifytheIDofaclrule
[Huawei]traffic-statisticinboundacl3000by-bytes?
[Huawei]traffic-statisticinboundacl3000rule?
INTEGER<0-4294967294>IDofaclrule
..
[Huawei]traffic-statisticinboundacl3000rule1?
by-bytesStatisticsbybytes
[Huawei]traffic-statisticinboundacl3000rule1by-bytes?
5.2、在接口上配置流量统计配置基于acl报文流量统计
配置命令与在全局或VLAN上配置基于acl报文流量统计类似,不同之处在于在
接口视图下配置。
基于acl报文流量统计参数说明
参数说明
vlan
……
by-byes按照字节数量统计。默认按照报文数据(packets)统计
6、基于ACL的流镜像配置
通过配置基于ACL的流镜像,将匹配ACL规则的报文镜像到指定接口,以便于对
报文进行分析。
6.1、在全局或VLAN上配置基于ACL的流镜像
[Huawei]traffic-mirror?
inboundApplytheacloninboundpackets
vlanVirtualLAN
[Huawei]traffic-mirrorinbound?
aclSpecifyACLtomatch
[Huawei]traffic-mirrorinboundacl?
INTEGER<2000-2999>Basicaccess-list
..
INTEGER<3000-3999>Advancedaccess-list
INTEGER<4000-4999>L2access-list
INTEGER<5000-5999>Ur-definedaccess-list
ipv6SpecifyIPv6
nameSpecifyanamedACL
[Huawei]traffic-mirrorinboundacl2000?
ruleSpecifytheIDofaclrule
toMirrorto
[Huawei]traffic-mirrorinboundacl2000rule?
INTEGER<0-4294967294>IDofaclrule
[Huawei]traffic-mirrorinboundacl2000rule2?
toMirrorto
[Huawei]traffic-mirrorinboundacl2000rule2to?
obrve-portObrveport
[Huawei]traffic-mirrorinboundacl2000rule2toobrve-port?
INTEGER<1-2>Theindexofobrveport
[Huawei]traffic-mirrorinboundacl2000rule2toobrve-port1?
..
6.2、在接口上配置流镜像配置基于ACL的流镜像
命令与在全局或VLAN上配置基于ACL的流镜像类似,不同之处在于需在接口视
图下配置。
本文发布于:2023-01-04 16:07:17,感谢您对本站的认可!
本文链接:http://www.wtabcd.cn/fanwen/fan/90/91570.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |
