- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-ACL配置
本章節下載: 01-ACL配置 (314.26 KB)
目 錄
本文將用於IPv4和IPv6的ACL分別簡稱為IPv4 ACL和IPv6 ACL。若非特別指明,本文所指的ACL均包括IPv4 ACL和IPv6 ACL。
ACL(Access Control List,訪問控製列表)是用來實現流識別功能的。網絡設備為了過濾報文,需要配置一係列的匹配條件對報文進行分類,這些條件可以是報文的源地址、目的地址、端口號等。
當設備的端口接收到報文後,即根據當前端口上應用的ACL規則對報文的字段進行分析,在識別出特定的報文之後,根據預先設定的策略允許或禁止該報文通過。
由ACL定義的報文匹配規則,可以被其它需要對流量進行區分的場合引用,如包過濾、QoS中流分類規則的定義等。
交換機上定義的ACL支持以下兩種應用方式:
· 基於硬件的應用:ACL被下發到硬件,例如將ACL應用到端口或VLAN接口對報文進行過濾或在配置QoS功能時引用ACL,對報文進行流分類。需要注意的是,當ACL被QoS功能引用時,ACL規則中定義的動作(deny或permit)不起作用,交換機對匹配此ACL的報文采取的動作由QoS中流行為定義的動作決定。關於流行為的詳細介紹請參見“ACL和QoS配置指導”中的“QoS配置方式”。
· 基於軟件的應用:ACL被上層軟件引用,例如配置登錄用戶控製功能時引用ACL,對Telnet、SNMP和WEB用戶進行控製。需要注意的是,當ACL被上層軟件引用時,交換機對匹配此ACL的報文采取的動作由ACL規則中定義的動作(deny或permit)決定。關於登錄用戶控製的詳細介紹請參見“基礎配置指導”中的“登錄交換機”部分。
l 當ACL下發到硬件,被QoS策略引用進行流分類時,如果報文沒有與ACL中的規則匹配,此時交換機不會使用流行為中定義的動作對此類報文進行處理。
l 當ACL被上層軟件引用,對Telnet、SNMP和WEB登錄用戶進行控製時,如果報文沒有與ACL中的規則匹配,此時交換機對此類報文采取的動作為deny,即拒絕報文通過。
l 關於應用ACL對報文進行過濾的介紹和配置,請參見應用ACL進行報文過濾。
根據功能以及規則製訂依據的不同,可以將ACL分為三種類型,如表1-1所示。
表1-1 ACL的分類
|
ACL類型 |
編號範圍 |
適用的IP版本 |
規則製訂依據 |
|
基本ACL |
2000~2999 |
IPv4 |
隻根據報文的源IP地址信息製定匹配規則 |
|
IPv6 |
隻根據報文的源IPv6地址信息製定匹配規則 |
||
|
高級ACL |
3000~3999 |
IPv4 |
根據報文的源IP地址信息、目的IP地址信息、IP承載的協議類型、協議的特性等三、四層信息製定匹配規則 |
|
IPv6 |
根據報文的源IPv6地址信息、目的IPv6地址信息、IPv6承載的協議類型、協議的特性等三、四層信息製定匹配規則 |
||
|
二層ACL |
4000~4999 |
IPv4&IPv6 |
根據報文的源MAC地址、目的MAC地址、802.1p優先級、二層協議類型等二層信息製定匹配規則 |
用戶在創建ACL時必須為其指定編號,係統將根據用戶所指定的編號來創建不同類型的ACL。
通常名稱比編號更易於記憶和識別,因此用戶在創建ACL時,還可以選擇是否為其指定名稱,而且隻能在創建ACL時為其指定名稱。ACL一旦創建,便不允許對其名稱進行修改或刪除。
當ACL創建完成後,用戶可以通過指定編號或名稱的方式來指定該ACL,以便對其進行操作。
二層ACL的編號和名稱對於IPv4和IPv6全局唯一;IPv4基本和高級ACL的編號和名稱隻在IPv4中唯一;IPv6基本和高級ACL的編號和名稱也隻在IPv6中唯一。
一個ACL由一條或多條描述報文匹配選項的判斷語句組成,這樣的判斷語句就稱為“規則”。由於每條規則中的報文匹配選項不同,從而使這些規則之間可能存在重複甚至矛盾的地方,因此在將一個報文與ACL的各條規則進行匹配時,就需要有明確的匹配順序來確定規則執行的優先級。ACL的規則匹配順序有以下兩種:
· 配置順序:按照用戶配置規則的先後順序進行匹配,但由於本質上係統是按照規則編號由小到大進行匹配,因此後插入的規則如果編號較小也有可能先被匹配。
· 自動排序:按照“深度優先”原則由深到淺進行匹配,不同類型ACL的“深度優先”排序法則如表1-2所示。
當報文與各條規則進行匹配時,一旦匹配上某條規則,就不會再繼續匹配下去,係統將依據該規則對該報文執行相應的操作。
表1-2 各類型ACL的“深度優先”排序法則
|
ACL類型 |
“深度優先”排序法則 |
|
IPv4基本ACL |
(1) 先比較源IPv4地址範圍,範圍較小者優先 (2) 如果源IP地址範圍相同,再比較配置順序,配置在前者優先 |
|
IPv4高級ACL |
(1) 先比較協議範圍,指定有IPv4承載的協議類型者優先 (2) 如果協議範圍相同,再比較源IPv4地址範圍,較小者優先 (3) 如果源IPv4地址範圍也相同,再比較目的IPv4地址範圍,較小者優先 (4) 如果目的IPv4地址範圍也相同,再比較四層端口(即TCP/UDP端口)號範圍,較小者優先 (5) 如果四層端口號範圍也相同,再比較配置順序,配置在前者優先 |
|
IPv6基本ACL |
(1) 先比較源IPv6地址範圍,較小者優先 (2) 如果源IPv6地址範圍相同,再比較配置順序,配置在前者優先 |
|
IPv6高級ACL |
(1) 先比較協議範圍,指定有IPv6承載的協議類型者優先 (2) 如果協議範圍相同,再比較源IPv6地址範圍,較小者優先 (3) 如果源IPv6地址範圍也相同,再比較目的IPv6地址範圍,較小者優先 (4) 如果目的IPv6地址範圍也相同,再比較四層端口(即TCP/UDP端口)號範圍,較小者優先 (5) 如果四層端口號範圍也相同,再比較配置順序,配置在前者優先 |
|
二層ACL |
(1) 先比較源MAC地址範圍,較小者優先 (2) 如果源MAC地址範圍相同,再比較目的MAC地址範圍,較小者優先 (3) 如果目的MAC地址範圍也相同,再比較配置順序,配置在前者優先 |
· 比較IPv4地址範圍的大小,就是比較IPv4地址通配符掩碼中“0”位的多少:“0”位越多,範圍越小。通配符掩碼(又稱反向掩碼)以點分十進製表示,並以二進製的“0”表示“匹配”,“1”表示“不關心”,這與子網掩碼恰好相反,譬如子網掩碼255.255.255.0對應的通配符掩碼就是0.0.0.255。此外,通配符掩碼中的“0”或“1”都可以是不連續的,這樣可以更加靈活地進行匹配,譬如0.255.0.255就是一個合法的通配符掩碼。
· 比較IPv6地址範圍的大小,就是比較IPv6地址前綴的長短:前綴越長,範圍越小。
· 比較MAC地址範圍的大小,就是比較MAC地址掩碼中“1”位的多少:“1”位越多,範圍越小。
在一個ACL中用戶可以創建多條規則,為了方便標識這些規則的用途,用戶可以為單條規則添加描述信息,也可以在各條規則之間插入注釋信息來對前一段或後一段規則進行統一描述。
規則描述信息主要用於對單條規則進行單獨標識。當需要對各條規則進行不同的標識或對某條規則進行特別標識時,適用此方式。
規則注釋信息主要用於對一段規則進行統一標識。當需要對一段規則進行相同的標識時,如果采用對每條規則都添加相同描述信息的方式,需要進行大量配置,效率會非常低下。在這種情況下,可以在這段規則的前、後插入注釋信息的方式來提高標識效率,即:在這段規則的首條規則之前以及末條規則之後分別插入一條注釋信息,通過首、尾這兩條注釋信息就可以標識整段規則的用途。
在不同的規則匹配順序下,“首條規則”和“末條規則”的確定方法不同:
· 在配置順序下:規則的顯示將按照規則編號由小到大排列,因此應通過規則的編號來確定;
· 在自動排序下:規則的顯示將按照“深度優先”原則由深到淺排列,因此應通過“深度優先”原則來確定。
ACL內的每條規則都有自己的編號,每個規則的編號在一個ACL中都是唯一的。在創建規則時,可以人為地為其指定一個編號,也可以由係統為其自動分配一個編號。
在自動分配編號時,為了方便後續在已有規則之前插入新的規則,係統通常會在相鄰編號之間留下一定的空間,這個空間的大小(即相鄰編號之間的差值)就稱為ACL的步長。譬如,當步長為5時,係統會將編號0、5、10、15……依次分配給新創建的規則。
係統為規則自動分配編號的方式如下:係統按照步長從0開始,自動分配一個大於現有最大編號的最小編號。譬如原有編號為0、5、9、10和12的五條規則,步長為5,此時如果創建一條規則且不指定編號,那麼係統將自動為其分配編號15。
如果改變步長,ACL內原有全部規則的編號都將自動從0開始按新步長重新排列。譬如,某ACL內原有編號為0、5、9、10和15的五條規則;當修改步長為2之後,這些規則的編號將依次變為0、2、4、6和8。
時間段用於描述一個特定的時間範圍。用戶可能有這樣的需求:一些ACL規則隻需在某個或某些特定的時間段內生效(即進行報文過濾),這也稱為基於時間段的ACL過濾。為此,用戶可以先配置一個或多個時間段,然後在ACL規則下引用這些時間段,那麼該規則將隻在指定的時間段內生效。
此外,如果某ACL規則所引用的時間段尚未配置,係統將給出提示信息,並仍允許該規則成功創建,但該規則將不會在其引用的時間段完成配置前生效。
傳統的報文過濾並不處理所有的IPv4報文分片,而隻對首片分片報文進行匹配處理,而對後續分片一律放行。這樣,網絡攻擊者可能構造後續的分片報文進行流量攻擊,就帶來了安全隱患。
在IPv4 ACL的規則配置項中,通過關鍵字fragment來標識該ACL規則僅對非首片分片報文有效,而對非分片報文和首片分片報文無效。不包含此關鍵字的規則項對非分片報文和分片報文均有效。
IPv4 ACL和IPv6 ACL的配置任務存在差異,二者的配置任務請分別參見表1-3和表1-4。
表1-3 IPv4 ACL配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置ACL的生效時間段 |
可選 |
|
|
配置IPv4基本ACL |
三者至少選其一 |
|
|
配置IPv4高級ACL |
||
|
配置二層ACL |
||
|
複製IPv4 ACL |
可選 |
|
|
應用IPv4 ACL進行報文過濾 |
可選 |
表1-4 IPv6 ACL配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置ACL的生效時間段 |
可選 |
|
|
配置IPv6基本ACL |
三者至少選其一 |
|
|
配置IPv6高級ACL |
||
|
配置二層ACL |
||
|
複製IPv6 ACL |
可選 |
|
|
應用IPv6 ACL進行報文過濾 |
可選 |
時間段可分為以下兩種:
· 周期時間段:該時間段以一周為周期循環生效。
· 絕對時間段:該時間段在指定時間範圍內生效。
表1-5 配置ACL的生效時間段
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建時間段 |
time-range time-range-name { start-time to end-time days [ from time1 date1 ] [ to time2 date2 ] | from time1 date1 [ to time2 date2 ] | to time2 date2 } |
必選 缺省情況下,不存在任何時間段 |
· 使用同一名稱可以配置多條不同的時間段,以達到這樣的效果:各周期時間段之間以及各絕對時間段之間分別取並集之後,再取二者的交集作為最終生效的時間範圍。
· 最多可以創建256個不同名稱的時間段,而同一名稱下最多可以配置32條周期時間段和12條絕對時間段。
IPv4基本ACL隻根據報文的源IP地址信息製定匹配規則,對IPv4報文進行相應的分析處理。
表1-6 配置IPv4基本ACL
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建IPv4基本ACL,並進入IPv4基本ACL視圖 |
acl number acl-number [ name acl-name ] [ match-order { auto | config } ] |
必選 缺省情況下,不存在任何ACL IPv4基本ACL的編號範圍為2000~2999 |
|
配置ACL的描述信息 |
description text |
可選 缺省情況下,ACL沒有任何描述信息 |
|
配置規則編號的步長 |
step step-value |
可選 缺省情況下,規則編號的步長為5 |
|
創建規則 |
rule [ rule-id ] { deny | permit } [ fragment | source { sour-addr sour-wildcard | any } | time-range time-range-name ] * |
必選 缺省情況下,IPv4基本ACL內不存在任何規則 重複執行本命令可以創建多條規則 |
|
配置規則的描述信息 |
rule rule-id comment text |
可選 缺省情況下,規則沒有任何描述信息 |
|
配置規則注釋信息 |
rule [ rule-id ] remark text |
可選 缺省情況下,ACL內沒有任何規則注釋信息 |
如果在創建IPv4基本ACL時為其指定了名稱,則也可以使用acl name acl-name命令通過指定名稱的方式進入其視圖。
IPv6基本ACL隻根據報文的源IPv6地址信息製定匹配規則,對IPv6報文進行相應的分析處理。
表1-7 配置IPv6基本ACL
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建IPv6基本ACL,並進入IPv6基本ACL視圖 |
acl ipv6 number acl6-number [ name acl6-name ] [ match-order { auto | config } ] |
必選 缺省情況下,不存在任何ACL IPv6基本ACL的編號範圍為2000~2999 |
|
配置ACL的描述信息 |
description text |
可選 缺省情況下,ACL沒有任何描述信息 |
|
配置規則編號的步長 |
step step-value |
可選 缺省情況下,規則編號的步長為5 |
|
創建規則 |
rule [ rule-id ] { deny | permit } [ fragment | source { ipv6-address prefix-length | ipv6-address/prefix-length | any } | time-range time-range-name ] * |
必選 缺省情況下,IPv6基本ACL內不存在任何規則 重複執行本命令可以創建多條規則 |
|
配置規則的描述信息 |
rule rule-id comment text |
可選 缺省情況下,規則沒有任何描述信息 |
如果在創建IPv6基本ACL時為其指定了名稱,則也可以使用acl ipv6 name acl6-name命令通過指定名稱的方式進入其視圖。
IPv4高級ACL可以使用報文的源IPv4地址信息、目的IPv4地址信息、IPv4承載的協議類型、協議的特性(例如TCP或UDP的源端口、目的端口,TCP標記,ICMP協議的消息類型、消息碼等)等信息來製定匹配規則。IPv4高級ACL支持對以下三種報文優先級進行分析處理:
· ToS(Type of Service,服務類型)優先級;
· IP優先級;
· DSCP(Differentiated Services Codepoint,差分服務編碼點)優先級。
用戶可以利用IPv4高級ACL定義比IPv4基本ACL更準確、豐富、靈活的匹配規則。
表1-8 配置IPv4高級ACL
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建IPv4高級ACL,並進入IPv4高級ACL視圖 |
acl number acl-number [ name acl-name ] [ match-order { auto | config } ] |
必選 缺省情況下,不存在任何ACL IPv4高級ACL的編號範圍為3000~3999 |
|
配置ACL的描述信息 |
description text |
可選 缺省情況下,ACL沒有任何描述信息 |
|
配置規則編號的步長 |
step step-value |
可選 缺省情況下,規則編號的步長為5 |
|
創建規則 |
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | destination { dest-addr dest-wildcard | any } | destination-port operator port1 [ port2 ] | dscp dscp | fragment | icmp-type { icmp-type icmp-code | icmp-message } | precedence precedence | reflective | source { sour-addr sour-wildcard | any } | source-port operator port1 [ port2 ] | time-range time-range-name | tos tos ] * |
必選 缺省情況下,IPv4高級ACL內不存在任何規則 重複執行本命令可以創建多條規則 目前不支持reflective參數 |
|
配置規則的描述信息 |
rule rule-id comment text |
可選 缺省情況下,規則沒有任何描述信息 |
|
配置規則注釋信息 |
rule [ rule-id ] remark text |
可選 缺省情況下,ACL內沒有任何規則注釋信息 |
如果在創建IPv4高級ACL時為其指定了名稱,則也可以使用acl name acl-name命令通過指定名稱的方式進入其視圖。
IPv6高級ACL可以使用報文的源IPv6地址信息、目的IPv6地址信息、IPv6承載的協議類型、協議的特性(例如TCP或UDP的源端口、目的端口,ICMP協議的消息類型、消息碼等)等信息來製定匹配規則。
用戶可以利用IPv6高級ACL定義比IPv6基本ACL更準確、豐富、靈活的規則。
表1-9 配置IPv6高級ACL
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建IPv6高級ACL,並進入IPv6高級ACL視圖 |
acl ipv6 number acl6-number [ name acl6-name ] [ match-order { auto | config } ] |
必選 缺省情況下,不存在任何ACL IPv6高級ACL的編號範圍3000~3999 |
|
配置ACL的描述信息 |
description text |
可選 缺省情況下,ACL沒有任何描述信息 |
|
配置規則編號的步長 |
step step-value |
可選 缺省情況下,規則編號的步長為5 |
|
創建規則 |
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | destination { dest dest-prefix | dest/dest-prefix | any } | destination-port operator port1 [ port2 ] | dscp dscp | flow-label flow-label-value | fragment | icmpv6-type { icmpv6-type icmpv6-code | icmpv6-message } | source { source source-prefix | source/source-prefix | any } | source-port operator port1 [ port2 ] | time-range time-range-name ] * |
必選 缺省情況下,IPv6高級ACL內不存在任何規則 重複執行本命令可以創建多條規則 需要注意的是,當IPv6高級ACL被QoS策略引用對報文進行流分類時,不支持配置flow-label、fragment參數 |
|
配置規則的描述信息 |
rule rule-id comment text |
可選 缺省情況下,規則沒有任何描述信息 |
如果在創建IPv6高級ACL時為其指定了名稱,則也可以使用acl ipv6 name acl6-name命令通過指定名稱的方式進入其視圖。
二層ACL根據報文的源MAC地址、目的MAC地址、802.1p優先級、二層協議類型等二層信息製定匹配規則,對報文進行相應的分析處理。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建二層ACL,並進入二層ACL視圖 |
acl number acl-number [ name acl-name ] [ match-order { auto | config } ] |
必選 缺省情況下,不存在任何ACL 二層ACL的編號範圍為4000~4999 |
|
配置ACL的描述信息 |
description text |
可選 缺省情況下,ACL沒有任何描述信息 |
|
配置規則編號的步長 |
step step-value |
可選 缺省情況下,規則編號的步長為5 |
|
創建規則 |
rule [ rule-id ] { deny | permit } [ cos vlan-pri | dest-mac dest-addr dest-mask | { lsap lsap-type lsap-type-mask | type protocol-type protocol-type-mask } | source-mac sour-addr source-mask | time-range time-range-name ] * |
必選 重複執行本命令可以創建多條規則 需要注意的是,當二層ACL被QoS策略引用對報文進行流分類時,不支持配置lsap參數 |
|
配置規則的描述信息 |
rule rule-id comment text |
可選 缺省情況下,規則沒有任何描述信息 |
|
配置規則注釋信息 |
rule [ rule-id ] remark text |
可選 缺省情況下,ACL內沒有任何規則注釋信息 |
如果在創建二層ACL時為其指定了名稱,則也可以使用acl name acl-name命令通過指定名稱的方式進入其視圖。
用戶可以通過複製一個已存在的ACL,來生成一個新的同類型ACL。除了ACL的編號和名稱不同外,新生成的ACL(即目的ACL)的匹配順序、規則匹配統計功能的使能情況、規則編號的步長、所包含的規則、規則的描述信息以及ACL的描述信息等都與源ACL的相同。
表1-11 複製IPv4 ACL
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
複製生成一個新的同類型IPv4 ACL |
acl copy { source-acl-number | name source-acl-name } to { dest-acl-number | name dest-acl-name } |
必選 |
目的IPv4 ACL的類型要與源IPv4 ACL的類型相同,且源IPv4 ACL必須存在,目的IPv4 ACL必須不存在。
表1-12 複製IPv6 ACL
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
複製生成一個新的同類型IPv6 ACL |
acl ipv6 copy { source-acl6-number | name source-acl6-name } to { dest-acl6-number | name dest-acl6-name } |
必選 |
目的IPv6 ACL的類型要與源IPv6 ACL的類型相同,且源IPv6 ACL必須存在,目的IPv6 ACL必須不存在。
通過將配置好的不同類型的ACL規則應用到指定以太網端口/VLAN接口的入方向上,可以對該端口/接口收到的相應類型報文(包括IPv4報文和IPv6報文)進行過濾。
在VLAN接口上應用ACL進行報文過濾時,隻能使用IPv4 ACL對報文進行過濾,且隻能對通過該接口進行三層轉發的報文進行過濾,而對純二層轉發的報文不進行過濾。
表1-13 應用IPv4 ACL進行報文過濾
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網端口視圖或VLAN接口視圖 |
interface interface-type interface-number |
- |
|
應用IPv4 ACL對IPv4報文進行過濾 |
packet-filter { acl-number | name acl-name } inbound |
必選 缺省情況下,在端口/接口上不對IPv4報文進行過濾 |
表1-14 應用IPv6 ACL進行報文過濾
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網端口視圖 |
interface interface-type interface-number |
- |
|
應用IPv6 ACL對IPv6報文進行過濾 |
packet-filter ipv6 { acl6-number | name acl6-name } inbound |
必選 缺省情況下,在端口上不對IPv6報文進行過濾 |
在完成上述配置後,在任意視圖下執行display命令可以顯示ACL配置後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除ACL的統計信息。
表1-15 ACL顯示和維護
|
配置 |
命令 |
|
顯示IPv4 ACL的配置和運行情況 |
display acl { acl-number | all | name acl-name } [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示IPv6 ACL的配置和運行情況 |
display acl ipv6 { acl6-number | all | name acl6-name } [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示ACL資源的使用情況 |
display acl resource [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示報文過濾策略的應用情況 |
display packet-filter { { all | interface interface-type interface-number } [ inbound ] | interface vlan-interface vlan-interface-number [ inbound ] [ slot slot-number ] } [ | { begin | exclude | include } regular-expression ] |
|
顯示時間段的配置和狀態信息 |
display time-range { time-range-name | all } [ | { begin | exclude | include } regular-expression ] |
|
清除IPv4 ACL統計信息 |
reset acl counter { acl-number | all | name acl-name } |
|
清除IPv6 ACL統計信息 |
reset acl ipv6 counter { acl6-number | all | name acl6-name } |
要求通過在Device A的端口GigabitEthernet1/0/1上配置IPv4報文過濾功能,實現在每天的8點到18點期間隻允許來自Host A的報文通過。
圖1-1 應用IPv4 ACL進行報文過濾配置組網圖
# 創建名為study的時間段,其時間範圍為每天的8點到18點。
<DeviceA> system-view
[DeviceA] time-range study 8:0 to 18:0 daily
# 創建IPv4基本ACL 2009,並定義如下規則:在名為study的時間段內隻允許來自Host A(192.168.1.2)的報文通過、禁止來自其它IP地址的報文通過。
[DeviceA] acl number 2009
[DeviceA-acl-basic-2009] rule permit source 192.168.1.2 0 time-range study
[DeviceA-acl-basic-2009] rule deny source any time-range study
[DeviceA-acl-basic-2009] quit
# 應用IPv4基本ACL 2009對端口GigabitEthernet1/0/1收到的IPv4報文進行過濾。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] packet-filter 2009 inbound
[DeviceA-GigabitEthernet1/0/1] quit
要求通過在Device A的端口GigabitEthernet1/0/1上配置IPv6報文過濾功能,實現在每天的8點到18點期間隻允許來自Host A的報文通過。
圖1-2 應用IPv6 ACL進行報文過濾配置組網圖
# 創建名為study的時間段,其時間範圍為每天的8點到18點。
<DeviceA> system-view
[DeviceA] time-range study 8:0 to 18:0 daily
# 創建IPv6基本ACL 2009,並定義如下規則:在名為study的時間段內隻允許來自Host A(1001::2)的報文通過、禁止來自其它IPv6地址的報文通過。
[DeviceA] acl ipv6 number 2009
[DeviceA-acl6-basic-2009] rule permit source 1001::2 128 time-range study
[DeviceA-acl6-basic-2009] rule deny source any time-range study
[DeviceA-acl6-basic-2009] quit
# 應用IPv6基本ACL 2009對端口GigabitEthernet1/0/1收到的IPv6報文進行過濾。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] packet-filter ipv6 2009 inbound
[DeviceA-GigabitEthernet1/0/1] quit
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
