华为3500系列ACL配置
目录
第1章 ACL配置.......................................................................................................................1-1
1.1 访问控制列表简介..............................................................................................................1-1
1.1.1 访问控制列表概述...................................................................................................1-1
1.1.2 S3526E系列S3526C以太网交换机支持的访问控制列表....................................1-3
1.1.3 S3526系列S3552系列以太网交换机支持的访问控制列表.................................1-4
1.2 S3526系列交换机的ACL配置..........................................................................................1-4
1.2.1 时间段配置..............................................................................................................1-5
1.2.2 定义访问控制列表...................................................................................................1-5
1.2.3 激活访问控制列表...................................................................................................1-8
1.2.4 访问控制列表显示和调试.......................................................................................1-11
1.3 S3526E系列S3526C交换机的ACL配置....................................................................1-11
1.3.1 时间段配置............................................................................................................1-12
1.3.2 定义访问控制列表.................................................................................................1-12
1.3.3 激活访问控制列表.................................................................................................1-17
1.3.4 访问控制列表显示和调试.......................................................................................1-17
1.4 S3552系列交换机的ACL配置........................................................................................1-18
1.4.1 时间段配置............................................................................................................1-18
1.4.2 定义访问控制列表.................................................................................................1-19
1.4.3 激活访问控制列表.................................................................................................1-22
1.4.4 访问控制列表显示和调试.......................................................................................1-22
1.5 S3526系列交换机访问控制列表典型配置案例................................................................1-23
1.5.1 高级访问控制列表配置案例...................................................................................1-23
1.5.2 基本访问控制列表配置案例...................................................................................1-24
1.5.3 二层访问控制列表配置案例...................................................................................1-25
1.6 S3526E系列S3526C交换机访问控制列表典型配置案例............................................1-26
1.6.1 高级访问控制列表配置案例...................................................................................1-26
1.6.2 基本访问控制列表配置案例...................................................................................1-28
1.6.3 二层访问控制列表配置案例...................................................................................1-29
1.6.4 用户自定义访问控制列表配置案例........................................................................1-30
1.7 S3552系列交换机访问控制列表典型配置案例................................................................1-31
1.7.1 高级访问控制列表配置案例...................................................................................1-31
1.7.2 基本访问控制列表配置案例...................................................................................1-32
1.7.3 二层访问控制列表配置案例...................................................................................1-33第2章 QoS配置......................................................................................................................2-1
2.1 QoS简介............................................................................................................................2-1
2.2 S3526系列以太网交换机的QoS配置...............................................................................2-5
2.2.1 设置端口的优先级...................................................................................................2-8
2.2.2 设置交换机信任报文的优先级.................................................................................2-8
2.2.3 优先级标记配置.......................................................................................................2-9
2.2.4 队列调度配置...........................................................................................................2-9
2.2.5 流镜像配置............................................................................................................2-10
2.2.6 流量统计配置.........................................................................................................2-11
2.2.7 QoS的显示和调试.................................................................................................2-12 2.3 S3526E系列S3526C以太网交换机的QoS配置.........................................................2-12
2.3.1 设置端口的优先级.................................................................................................2-13
2.3.2 设置交换机信任报文的优先级...............................................................................2-13
2.3.3 流量监管................................................................................................................2-14
2.3.4 端口限速................................................................................................................2-14
2.3.5 报文重定向配置.....................................................................................................2-15
2.3.6 优先级标记配置.....................................................................................................2-15
2.3.7 队列调度配置.........................................................................................................2-16
2.3.8 流镜像配置............................................................................................................2-17
2.3.9 流量统计配置.........................................................................................................2-18
2.3.10 QoS的显示和调试...............................................................................................2-18 2.4 S3552系列以太网交换机的QoS配置.............................................................................2-19
2.4.1 服务参数分配规则配置..........................................................................................2-20
2.4.2 流量监管................................................................................................................2-21
2.4.3 流量整形................................................................................................................2-22
2.4.4 优先级标记配置.....................................................................................................2-23
2.4.5 报文重定向配置.....................................................................................................2-24
2.4.6 队列调度配置.........................................................................................................2-24
2.4.7 拥塞避免配置.........................................................................................................2-25
2.4.8 流镜像配置............................................................................................................2-27
2.4.9 端口镜像配置.........................................................................................................2-27
2.4.10 流量统计配置.......................................................................................................2-29
2.4.11 QoS的显示和调试...............................................................................................2-30 2.5 S3526系列交换机的QoS配置实例.................................................................................2-31
2.5.1 流镜像配置实例.....................................................................................................2-31
2.5.2 优先级标记和队列调度配置实例............................................................................2-32
2.5.3 流量统计实例.........................................................................................................2-33 2.6 S3526E系列S3526C交换机的QoS配置实例.............................................................2-34
2.6.1 流量监管和端口限速配置实例...............................................................................2-34
2.6.2 流镜像配置实例.....................................................................................................2-35
2.6.3 优先级标记配置实例..............................................................................................2-36
2.6.4 报文重定向配置实例..............................................................................................2-37
2.6.5 队列调度配置实例.................................................................................................2-38
2.6.6 流量统计实例.........................................................................................................2-39
2.7 S3552系列交换机的QoS配置实例.................................................................................2-40
2.7.1 流量监管配置实例.................................................................................................2-40第3章配置登录用户的ACL控制............................................................................................3-1
3.1 简介....................................................................................................................................3-1
3.2 配置对TELNET用户的ACL控制......................................................................................3-1
3.2.1 定义访问控制列表...................................................................................................3-1
3.2.2 引用访问控制列表对TELNET用户进行控制.......................................................3-2
3.2.3 配置举例..................................................................................................................3-3
3.3 对通过SNMP访问交换机的用户的ACL控制...................................................................3-3
3.3.1 定义访问控制列表...................................................................................................3-4
3.3.2 引用访问控制列表对通过SNMP访问交换机的用户进行控制.............................3-4
3.3.3 配置举例..................................................................................................................3-5
3.4 对通过HTTP访问交换机的用户的ACL控制....................................................................3-6
3.4.1 定义访问控制列表...................................................................................................3-6
3.4.2 引用访问控制列表对通过HTTP访问交换机的用户进行控制..............................3-6
3.4.3 配置举例..................................................................................................................3-7
第1章 ACL 配置
1.1 访问控制列表简介
1.1.1 访问控制列表概述
网络设备为了过滤数据包
需要配置一系列的匹配规则
以识别需要过滤的
对象
在识别出特定的对象之后才能根据预先设定的策略允许或禁止相应
的数据包通过访问控制列表Access Control List ACL 就是用来实现这
些功能
ACL 通过一系列的匹配条件对数据包进行分类这些条件可以是数据包的源地址目的地址端口号等ACL 应用在交换机全局或端口交换机根据ACL
中指定的条件来检测数据包
从而决定是转发还是丢弃该数据包
由ACL 定义的数据包匹配规则还可以被其它需要对流量进行区分的场合引
用如QoS
中流分类规则的定义
一条访问控制规则可以由多条子规则组成
而每一条语句指定的数据包的范
围大小有别
在匹配一个访问控制规则的时候就存在匹配顺序的问题 1. ACL 直接下发到硬件中的情况
交换机中ACL 可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类此时一条ACL
中多个子规则的匹配顺序是由交换机的硬件决定的用户即使在定义ACL 时配置了匹配顺序也不起作用 由于芯片不同
各款交换机的子规则硬件匹配顺序不同具体描述见下表
表1-1 交换机ACL 子规则的硬件匹配顺序
交换机 ACL 子规则的硬件匹配顺序
S3526系列
同一个ACL 配置了多个子规则时硬件匹配顺序是首先匹配deny 动作的子规则然后匹配permit 动作的子规则在匹配permit 动作的子规则时采用精确匹配优先选择范围最精确的规则进行匹配比如同一个ACL 100有两个子规则rule 0和rule 1rule 0的定义是rule 0 permit ip source 1.1.1.1 0.0.255.255 destination 2.2.2.2 0.0.255.255rule 1的定义是rule 1 permit ip source 1.1.1.1 0.0.0.255 destination 2.2.2.2 0.0.0.255”则rule 1的范围更精确会被首先匹配
交换机 ACL子规则的硬件匹配顺序
S3526E系列同一个ACL配置了多个子规则时硬件匹配顺序是后下发的子规则将会先匹配
S3526C 同一个ACL配置了多个子规则时硬件匹配顺序是后下发的子规则将会先匹配
S3552系列同一个ACL配置了多个子规则时硬件匹配顺序是先下发的子规则将会先匹配
说明
S3526系列交换机包括S3526S3526 FM S3526 FS交换机
S3526E系列交换机包括S3526E S3526E FM S3526E FS交换机
S3552系列交换机包括S3552S3552F-SI S3528以太网交换机
对于S3526系列交换机packet-filter功能只支持引用deny动作的规则其他的QoS功能比如优先级标记流镜像和流统计都只支持引用permit动作的规则但是在某些情况下会出现permit和deny动作同时匹配比如
packet-filter功能引用ACL 100 rule 0deny动作流统计功能引用ACL 100 rule 1permit动作这时交换机将首先匹配deny动作的ACL 100 rule 0
然后匹配rule 1
ACL直接下发到硬件的情况包括交换机实现QoS功能时引用ACL通过ACL过滤转发数据等
2. ACL被上层模块引用的情况
交换机也使用ACL来对由软件处理的报文进行过滤和流分类此时ACL子规则的匹配顺序有两种config指定匹配该规则时按用户的配置顺序和auto 指定匹配该规则时系统自动排序即按深度优先的顺序这种情况
下用户可以在定义ACL的时候指定一条ACL中多个子规则的匹配顺序用户一旦指定某一条访问控制规则的匹配顺序就不能再更改该顺序除非把该规则的内容全部删除再重新指定其匹配顺序
ACL被上层模块引用的情况包括路由策略引用ACL对登录用户进行控制
时引用ACL等
说明
深度优先的原则是指把指定数据包范围最小的语句排在最前面这一
点可以通过比较地址的通配符来实现通配符越小则指定的主机的范围就
越小比如129.102.1.1 0.0.0.0指定了一台主机129.102.1.1而129.102.1.1
0.0.255.255则指定了一个网段129.102.1.1129.102.255.255显然前者
在访问控制规则中排在前面具体标准为对于基本访问控制规则的语句
直接比较源地址通配符通配符相同的则按配置顺序对于基于接口过滤的
访问控制规则配置了any的规则排在后面其它按配置顺序对于高级
访问控制规则首先比较源地址通配符相同的再比较目的地址通配符仍
相同的则比较端口号的范围范围小的排在前面如果端口号范围也相同则
按配置顺序
1.1.2 S3526E系列S3526C以太网交换机支持的访问控制列表
在以太网交换机中访问控制列表分为以下几类
基于数字标识的基本访问控制列表
基于名字标识的基本访问控制列表
基于数字标识的高级访问控制列表
基于名字标识的高级访问控制列表
基于数字标识的二层访问控制列表
基于名字标识的二层访问控制列表
基于数字标识的用户自定义型访问控制列表
基于名字标识的用户自定义型访问控制列表
交换机上对各种访问控制列表的数目限制如下表所示
表1-2访问控制列表的数量限制
项目数字取值范围最多可以定义的数量基于数字标识的基本访问控制列表199 99
基于数字标识的高级访问控制列表 100199 100
基于数字标识的二层访问控制列表 200299 100
基于数字标识的用户自定义型访问控制列表 300399 100
基于名字标识的基本访问控制列表1000
基于名字标识的高级访问控制列表1000
项目数字取值范围最多可以定义的数量基于名字标识的二层访问控制列表1000
基于名字标识的用户自定义型访问控制列表1000
一条访问控制列表可以定义的子规则0127 128
交换机最多可以定义的子规则所有访问控制列表的子规则之和3000
1.1.3 S3526系列S3552系列以太网交换机支持的访问控制列表
在以太网交换机中访问控制列表分为以下几类
基于数字标识的基本访问控制列表
基于名字标识的基本访问控制列表
基于数字标识的高级访问控制列表
基于名字标识的高级访问控制列表
基于数字标识的二层访问控制列表
基于名字标识的二层访问控制列表
交换机上对各种访问控制列表的数目限制如下表所示
表1-3访问控制列表的数量限制
项目数字取值范围最多可以定义的数量基于数字标识的基本访问控制列表199 99
基于数字标识的高级访问控制列表 100199 100
基于数字标识的二层访问控制列表 200299 100
基于名字标识的基本访问控制列表1000
基于名字标识的高级访问控制列表1000
基于名字标识的二层访问控制列表1000
一条访问控制列表可以定义的子规则0127 128
交换机最多可以定义的子规则所有访
问控制列表的子规则之和
3000
1.2 S3526系列交换机的ACL配置
S3526系列交换机包括S3526S3526 FM S3526 FS交换机
访问控制列表配置包括
配置时间段
定义访问控制列表
激活访问控制列表
以上三个步骤最好依次进行先配置时间段然后定义访问控制列表在其
中会引用定义好的时间段最后激活访问控制列表使其生效
1.2.1 时间段配置
对时间段的配置有如下内容配置每天的时分范围周期范围和日期范围
配置日期范围采用的是年月日时分的形式配置周期范围采用的是
每周的周几的形式配置每天的时分范围采用的是每天的几点几分的形式
可以使用下面的命令来配置时间范围
请在系统视图下进行下列配置
表1-4创建时间范围
操作命令
创建时间范围time-range time-name [ start-time to end-time ][days-of-the-week ] [ from start-time start-date][ to end-time end-date ]
删除时间范围undo time-range time-name [ start-time to end-time ]
[days-of-the-week ] [ from start-time start-date][ to end-time end-date ]
如果不配置起始时分和结束时分时间范围就是一天内所有的时间
如果不配置结束日期时间范围就是从配置生效之日起到系统可以表示的最
大时间为止
1.2.2 定义访问控制列表
华为系列交换机支持多种访问控制列表下面分别介绍如何定义这些访问控
制列表
定义访问控制列表的步骤为
(1) 进入相应的访问控制列表视图
(2) 定义访问控制列表的子规则
说明
(1) 如果定义ACL时不使用参数time-range则此访问控制列表激活后将在任何时刻都生效
(2) 在定义ACL的子规则时用户可以多次使用rule命令给同一个访问控制
列表定义多条规则
(3) 如果ACL用于直接下发到硬件中对转发数据进行过滤和流分类则用户定义的子规则匹配顺序将不起作用如果ACL用于对由软件处理的报文进行过滤和流分类用户指定的匹配顺序将会有效并且用户一旦指定某一条访问
控制列表子规则的匹配顺序就不能再更改该顺序
(4) 缺省情况下访问控制列表中子规则的匹配顺序为按用户配置顺序
config进行匹配
1. 定义基本访问控制列表
基本访问控制列表只根据三层源IP制定规则对数据包进行相应的分析处理
可以使用下面的命令来定义基本访问控制列表
请在相应视图下进行下列配置
表1-5定义基本访问控制列表
操作命令
进入基本访问控制列表视图系统视图acl { number acl-number | name acl-name basic } [ match-order { config | auto } ]
定义子规则基本访问控制列表视图rule [ rule-id ] { permit | deny } [ source source-addr wildcard | any ] [ fragment ] [ time-range name ]
删除访问控制列表的一个子规则基本访问控制列表视图undo rule rule-id[ source ] [ fragment ] [ time-range ]
删除访问控制列表或者
删除全部访问控制列表
系统视图
undo acl { number acl-number | name acl-name | all }
2. 定义高级访问控制列表
高级访问控制列表根据源IP目的IP使用的TCP或UDP端口号报文优先级等数据包的属性信息制定分类规则对数据包进行相应的处理高级访问控制列表支持对三种报文优先级的分析处理TOS(Type Of Service)优先级IP优先级和DSCP优先级
说明
对于S3526S3526 FM S3526 FS 交换机在配置高级访问控制列表的时候有如下限制
(1) 用户在配置IP-any any-IP NET-any any-NET
的规则的时候
即源地址为主机IP 地址或网段地址目的地址为任意IP 地址的规则源地址为任
意IP 地址目的地址为主机IP
地址或网段地址的规则
不能配置协议类型即rule 命令中protocol
参数如果用户配置了协议类型交换机会返回
配置错误信息
(2) 不支持ToS
优先级DSCP 优先级参数
(3) 支持rule 命令中icmp-type 参数不支持后面的type code 参数
注意
基于数字表示的高级访问控制列表198199号ACL 是交换机预留给集群模
块的
如果交换机没有启动集群用户可以对这两条访问控制列表进行配置
和修改
但是此后如果用户在交换机上打开了集群特性集群产生的访问控
制列表将自动取代用户配置的访问控制列表如果交换机上已经启动了集群
特性将禁止用户进行配置和修改但是用户可以在其它应用中引用
198199号ACL 规则
也可以查看这两条规则
可以使用下面的命令来定义高级访问控制列表
请在相应视图下进行下列配置
表1-6 定义高级访问控制列表
操作
命令
进入高级访问控制列表视图系统视图
acl { number acl-number | name acl-name advanced } [ match-order { config | auto } ]
定义子规则高级访问控制列表视图
rule [ rule-id ] { permit | deny } protocol [ source source-addr wildcard | any ] [ destination dest-addr wildcard | any ] [ source-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type type code ] [ established ] [ precedence precedence ] [ tos tos ] [ dscp dscp ] [ fragment ] [ time-range name ] 删除访问控制列表的一个子规则高级访问控制列表视图
undo rule rule-id [ source ] [ destination ] [ source-port ] [ destination-port ] [icmp-type ] [ precedence ] [ tos ] [ dscp ] [ fragment ] [ time-range ]
删除访问控制列表或者删除全部访问控制列表系统视图
undo acl { number acl-number | name acl-name | all }
高级访问控制列表的数字标识取值范围为100
199
需要注意的是上面命令中的port1port2参数指的是各种高层应用使用的TCP 或者UDP 的端口号对于部分常见的端口号可以用相应的助记符来代替其实际数字如使用
bgp
来代替BGP 协议使用的TCP 端口号
179
3. 定义二层访问控制列表
二层访问控制列表根据源MAC 地址源VLAN ID 二层协议类型报文二层接收端口报文二层转发端口目的MAC 地址等二层信息制定规则对数据进行相应处理
可以使用下面的命令来定义二层访问控制列表
请在相应视图下进行下列配置
表1-7 定义二层访问控制列表
操作
命令
进入二层访问控制列表视图系统视图
acl {
number acl-number | name acl-name link
} [ match-order { config | auto } ]
定义子规则
二层访问控制列表视图
rule [ rule-id ] { permit | deny } [ protocol ] [ cos vlan-pri ] [ ingress { [ source-vlan-id ] [ source-mac-addr source-mac-wildcard ] [ interface { interface-name | interface-type
interface-num } ] | any } ] [ egress { [ dest-mac-addr dest-mac-wildcard ]
[ interface { interface-name | interface-type interface-num } ] | any } ] [ time-range name ]
删除访问控制列表的一个子规则二层访问控制列表视图
undo rule rule-id
删除访问控制列表或者删除全部访问控制列表系统视图
undo acl { number acl-number | name acl-name | all }
二层访问控制列表的数字标识取值范围为200
299
1.2.3 激活访问控制列表
将访问控制列表定义好后
必须激活之后才能使之生效
本配置用来激活那
些对交换机硬件转发的数据进行过滤或分类的访问控制列表 可以使用下面的命令来激活定义好的访问控制列表 请在系统视图下进行下列配置
表1-8 激活ACL
操作
命令
激活访问控制列表
packet-filter { [ ip-group { acl-number |
acl-name } [ rule rule ] ] [ link-group { acl-number | acl-name } [ rule
rule ] ] } 取消激活访问控制列表
undo packet-filter { [ ip-group
{ acl-number | acl-name } [ rule rule ] ] [ link-group { acl-number | acl-name } [ rule rule ] ] }
说明
本命令支持同时激活二层访问控制列表和IP 访问控制列表IP 访问控制列表
包括基本访问控制列表高级访问控制列表
但是要求组合项的动作一致如果动作冲突一个是permit 而另一个是deny 则不能激活
S3526交换机在使用流分类实现各个QoS
功能时
对引用的用于流分类的访问控制列表的配置有所限制
具体限制条件的描述见下表
表1-9 S3526的QoS 功能对ACL 的配置限制
QoS 功能
实现QoS 功能的命令
对引用的ACL 的配置限制 包过滤
packet-filter { [ ip-group { acl-number | acl-name } [ rule
rule ] ] [ link-group { acl-number
| acl-name } [ rule rule ] ] }
包过滤只支持引用deny 操作的访问控制列表
对于二层访问控制列表支持引用
MAC-MAC
MAC-PORT PORT-PORT MAC-ANY ANY-MAC PORT-ANY ANY-PORT
的规则 对于三层访问控制列表支持引用IP-IP IP-NET NET-NET IP-ANY ANY-IP NET-ANY ANY-NET 的规则
说明
下面对表格中的内容进行简要的说明
(1) 三层访问控制列表包括高级访问控制列表
(2) 在对规则的描述中MAC表示MAC地址PORT表示交换机的端口IP 表示主机IP地址ANY在二层访问控制列表中表示任意MAC地址在三层访问控制列表中表示任意IP地址NET表示网段IP地址字符-前面的MAC IP ANY NET PORT表示源地址或报文的接收端口后面的表示目的地址或报文的发送端口
MAC-MAC表示配置的规则是从源MAC地址到目的MAC地址的二层访问控制列表的规则比如rule 0 permit ingress 00e0-fc01-0101 1 egress
00e0-fc01-0102 1 time-range huawei
PORT-PORT表示配置的规则是从报文的接收端口到发送端口的二层访问控制列表的规则比如“rule 0 permit ingress interface ethernet0/1 egress
interface ethernet 0/2 time-range huawei
MAC-PORT表示配置的规则是从报文的源MAC地址到发送端口的二层访问控制列表的规则比如rule 0 permit ingress 00e0-fc01-0101 1 egress
interface ethernet 0/1 time-range huawei
IP-IP表示配置的规则是从源主机IP地址到目的主机IP地址的三层访问控制列表(wildcard参数取值为0)比如“rule 0 permit ip source 1.1.1.1 0
destination 2.2.2.2 0 time-range huawei
NET-NET表示配置的规则是从源网段IP地址到目的网段IP地址的三层访问控制列表(wildcard参数取值不为0)比如rule 0 permit ip source 1.1.1.1
0.0.255.255 destination 2.2.2.2 0.0.255.255 time-range huawei
MAC-any表示配置的规则是从源MAC地址到报文的发送端口的二层访问控制列表比如“rule 0 permit ingress 00e0-fc01-0101 1 egress any time-range huawei Any-MAC IP-any any-IP NET-any any-NET规则与MAC-any
类似
(3) 对于MAC-MAC规则在定义访问控制列表时源MAC目的MAC都必须在同一个VLAN内即在定义访问控制列表时对源MAC目的MAC必须配置相同的VLAN ID参数
(4) 对于IP-any any-IP NET-any any-NET的规则即源地址为主机IP
地址或网段地址目的地址为任意IP地址的规则源地址为任意IP地址目的地址为主机IP地址或网段地址的规则S3526交换机不支持对特定协议报文的过滤因此用户在S3526上定义此类规则时协议类型只能配置为IP 即rule命令中protocol参数只能取值IP如果用户配置了其他协议类型
交换机会在规则下发的时候返回配置错误信息
(5) IP-IP MAC-MAC MAC-PORT PORT-PORT PORT-MAC IP-NET
NET-NET规则将对两个方向起作用即用户定义了一个规则过滤从源地址到目的地址的报文则该规则将同时过滤从目的地址到源地址的报文IP-any any-IP NET-any any-NET MAC-any any-MAC规则只对所定义的一个方向起作用
(6) S3526S3526 FM S3526 FS仅仅支持配置icmp-type参数不支持配
置type code参数
(7) 表格中在各个QoS功能对应的对引用的ACL的配置限制中说明了
在配置该QoS功能时可以引用的ACL规则除此之外的其他ACL规则在
S3526S3026 FM S3026 FS交换机上实现该QoS功能时都不能被引用此
时系统会给出不支持的提示
(8) 用户在实现QoS功能时需要首先定义该QoS功能可以引用的ACL规则
避免配置错误
1.2.4 访问控制列表显示和调试
在完成上述配置后在所有视图下执行display命令都可以显示配置后访问控
制列表的运行情况用户可以通过查看显示信息验证配置的效果在用户视
图下执行reset命令可以将有关访问控制列表的统计信息清除
表1-10访问控制列表的显示和调试
操作命令
显示时间段状况display time-range[ all | name ]
显示访问控制列表的详细配置信息display acl config { all | acl-number | acl-name }
显示访问控制列表的下发应用信息display acl running-packet-filter all
清除访问控制列表的统计信息reset acl counter { all | acl-number | acl-name }
display acl config命令显示的匹配信息是由交换机CPU处理的匹配信息
用户可以使用命令display qos-info traffic-statistic显示交换机转发数据的
匹配信息
具体的参数说明请参见命令手册
1.3 S3526E系列S3526C交换机的ACL配置
S3526E系列交换机包括S3526E S3526E FM S3526E FS交换机
访问控制列表配置包括
配置时间段
定义访问控制列表
激活访问控制列表
以上三个步骤最好依次进行先配置时间段然后定义访问控制列表在其
中会引用定义好的时间段最后激活访问控制列表使其生效
1.3.1 时间段配置
对时间段的配置有如下内容配置每天的时分范围周期范围和日期范围
配置日期范围采用的是年月日时分的形式配置周期范围采用的是
每周的周几的形式配置每天的时分范围采用的是每天的几点几分的形式
可以使用下面的命令来配置时间范围
请在系统视图下进行下列配置
表1-11创建时间范围
操作命令
创建时间范围time-range time-name [ start-time to end-time ][days-of-the-week ] [ from start-time start-date][ to end-time end-date ]
删除时间范围undo time-range time-name [ start-time to end-time ]
[days-of-the-week ] [ from start-time start-date][ to end-time end-date ]
如果不配置起始时分和结束时分时间范围就是一天内所有的时间
如果不配置结束日期时间范围就是从配置生效之日起到系统可以表示的最
大时间为止
1.3.2 定义访问控制列表
华为系列交换机支持多种访问控制列表下面分别介绍如何定义这些访问控
制列表
定义访问控制列表的步骤为
(1) 进入相应的访问控制列表视图
(2) 定义访问控制列表的子规则
说明
(1) 如果定义ACL时不使用参数time-range则此访问控制列表激活后将在
任何时刻都生效
(2) 在定义ACL的子规则时用户可以多次使用rule命令给同一个访问控制
列表定义多条规则
(3) 如果ACL用于直接下发到硬件中对转发数据进行过滤和流分类则用户定
义的子规则匹配顺序将不起作用如果ACL用于对由软件处理的报文进行过
滤和流分类用户指定的匹配顺序将会有效并且用户一旦指定某一条访问
控制列表子规则的匹配顺序就不能再更改该顺序
(4) 缺省情况下访问控制列表中子规则的匹配顺序为按用户配置顺序
config进行匹配
1. 定义基本访问控制列表
基本访问控制列表只根据三层源IP制定规则对数据包进行相应的分析处理可以使用下面的命令来定义基本访问控制列表
请在相应视图下进行下列配置
表1-12定义基本访问控制列表
操作命令
进入基本访问控制列表视图系统视图acl { number acl-number | name acl-name basic } [ match-order { config | auto } ]
定义子规则基本访问控制列表视图rule [ rule-id ] { permit | deny } [ source source-addr wildcard | any ] [ fragment ] [ time-range name ]
删除访问控制列表的一个子规则基本访问控制列表视图undo rule rule-id[ source ] [ fragment ] [ time-range ]
删除访问控制列表或者
删除全部访问控制列表
系统视图
undo acl { number acl-number | name acl-name | all }
2. 定义高级访问控制列表
高级访问控制列表根据源IP目的IP使用的TCP或UDP端口号报文优先级等数据包的属性信息制定分类规则对数据包进行相应的处理高级访问控制列表支持对三种报文优先级的分析处理TOS(Type Of Service)优先级IP优先级和DSCP优先级
注意
基于数字表示的高级访问控制列表198199号ACL是交换机预留给集群模块的如果交换机没有启动集群用户可以对这两条访问控制列表进行配置
和修改但是此后如果用户在交换机上打开了集群特性集群产生的访问控
制列表将自动取代用户配置的访问控制列表如果交换机上已经启动了集群
特性将禁止用户进行配置和修改但是用户可以在其它应用中引用198
199号ACL规则也可以查看这两条规则
可以使用下面的命令来定义高级访问控制列表
请在相应视图下进行下列配置
表1-13 定义高级访问控制列表
操作
命令
进入高级访问控制列表视图系统视图
acl { number acl-number | name acl-name advanced } [ match-order {
config | auto
} ]
定义子规则高级访问控制列表视图
rule [ rule-id ] { permit | deny } protocol [ source source-addr wildcard | any ] [ destination dest-addr wildcard | any ] [ source-port operator port1
[ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type type code ] [ established ] [ precedence precedence ] [ tos tos ] [ dscp dscp ] [ fragment ] [ time-range name ] 删除访问控制列表的一个子规则高级访问控制列表视图
undo rule rule-id [ source ] [ destination ] [ source-port ] [ destination-port ] [icmp-type ] [ precedence ] [ tos ] [ dscp ] [ fragment ] [ time-range ]
删除访问控制列表或者删除全部访问控制列表系统视图
undo acl { number acl-number | name acl-name | all }
高级访问控制列表的数字标识取值范围为100
199
需要注意的是上面命令中的port1port2参数指的是各种高层应用使用的TCP 或者UDP 的端口号对于部分常见的端口号可以用相应的助记符来代替其实际数字如使用
bgp
来代替BGP 协议使用的TCP 端口号179
3. 定义二层访问控制列表
二层访问控制列表根据源MAC 地址源VLAN ID 二层协议类型报文二层接收端口报文二层转发端口目的MAC 地址等二层信息制定规则对数据进行相应处理
可以使用下面的命令来定义二层访问控制列表 请在相应视图下进行下列配置
表1-14 定义二层访问控制列表
操作
命令
进入二层访问控制列表视图系统视图
acl { number
acl-number | name acl-name link } [ match-order { config | auto
} ]
定义子规则二层访问控制列
表视图
rule [ rule-id
] { permit | deny } [ protocol ] [ cos vlan-pri ] [ ingress { [ source-vlan-id ]
[ source-mac-addr source-mac-wildcard ] [ interface { interface-name | interface-type interface-num } ] | any } ] [ egress { [ dest-mac-addr dest-mac-wildcard ] [ interface { interface-name | interface-type interface-num } ] | any } ] [ time-range name ] 删除访问控制列表的一个子规则二层访问控制列表视图
undo rule
rule-id
删除访问控制列表或者删除全部访问控制列表系统视图 undo acl { number acl-number | name acl-name | all }
二层访问控制列表的数字标识取值范围为200299
4. 定义用户自定义访问控制列表
用户自定义访问控制列表根据用户的定义对二层数据帧的前64个字节中的任意字节进行匹配
对数据报文作出相应的处理
正确使用用户自定义访问控
制列表需要用户对二层数据帧的构成有深入的了解下图为二层数据帧的前
64个字节的示意图每个字母代表一个16进制数每两个字母代表一个字
节
图1-1 数据帧的前64个字节示意图
在上图中各个字母的含义及偏移量取值如下表所示
表1-15 字母与其含义对照表
字母 含义
偏移量 字母 含义 偏移量 A 目的MAC 地址 0 O TTL 字段
34 B 源MAC 地址 6 P
协议号6代表TCP 17代表UDP 35 C 数据帧的长度字段 12 Q IP 校验和 36 D VLAN tag 字段 14 R 源IP 地址 38 E
DSAP 目的服务访
18 S 目的IP 地址
42
字母
含义 偏移量
字母
含义
偏移量
问点
字段
F SSAP 源服务访问
点字段 19 T TCP 源端口 46 G Ctrl 字段 20 U TCP 目的端口 48 H org code 字段 21 V 序列号 50 I 封装的数据类型 24 W 确认字段 54 J IP 版本号 26 XY IP 头长度和保留比特位
58
K TOS 字段 27 Z 保留比特位和flags 比特位 59 L IP 包的长度 28 a Window Size 字段 60 M ID 号 30 b 其他 62 N
Flags 字段
32
上表中各个字段的偏移量是它们在SNAP tag 的802.3数据帧中的偏移量
在用户自定义访问控制列表中用户可以使用规则掩码和偏移量两个参数共
同从数据帧中提取前64个字节中的任意字节然后和用户定义的规则比较
从而过滤出匹配的数据帧作相应的处理
用户定义的规则可以是数据的某
些固定属性比如用户要将所有的TCP 报文过滤出来
可以将规则定义为
06
规则掩码定义为FF 偏移量定义为35此时规则掩码和偏移量
共同作用把接收到的数据帧中的TCP 协议号字段的内容提取出来和规则比较匹配出所有的TCP 报文
说明
用户自定义访问控制列表只能对802.3标准的SNAP+tag 封装格式的数据帧
进行过滤和处理用户在定义用户自定义访问控制列表时请根据上文中描
述的802.3标准的SNAP+tag 的数据帧格式设置偏移量
可以使用下面的命令来定义用户自定义访问控制列表 请在相应视图下进行下列配置
表1-16 定义用户自定义访问控制列表
操作
命令
进入用户自定义访问控制列表视图系统视图
acl { number acl-number | name acl-name user } [ match-order { config | auto } ] 定义子规则用户自定义访问控制列表视图
rule [ rule-id ] { permit | deny } { rule-string rule-mask offset }&<1-8> [ time-range name ]
操作命令删除访问控制列表的所有子项或其
中一个子项或者删除全部访问控制列表用户自定义访问控制列表视图undo rule rule-id
删除访问控制列表或者删除全部访问控制列表系统视图undo acl { number acl-number | name acl-name | all }
用户自定义访问控制列表的数字标识取值范围为300399
1.3.3 激活访问控制列表
将访问控制列表定义好后必须激活之后才能使之生效本配置用来激活那
些对交换机硬件转发的数据进行过滤或分类的访问控制列表
可以使用下面的命令来激活定义好的访问控制列表
请在系统视图下进行下列配置
表1-17激活ACL
操作命令
激活访问控制列表packet-filter { user-group { acl-number | acl-name } [ rule rule ] | { [ ip-group { acl-number | acl-name } [ rule rule ] ] [ link-group { acl-number | acl-name } [ rule rule ] ] } }
取消激活访问控制列表undo packet-filter { user-group { acl-number | acl-name } [ rule rule ] | { [ ip-group { acl-number | acl-name } [ rule rule ] ] [ link-group { acl-number | acl-name } [ rule rule ] ] } }
说明
本命令支持同时激活二层访问控制列表和IP访问控制列表IP访问控制列表
包括基本访问控制列表高级访问控制列表但是要求组合项的动作一致
如果动作冲突一个是permit而另一个是deny则不能激活
1.3.4 访问控制列表显示和调试
在完成上述配置后在所有视图下执行display命令都可以显示配置后访问控
制列表的运行情况用户可以通过查看显示信息验证配置的效果在用户视
图下执行reset命令可以将有关访问控制列表的统计信息清除