3、二层ACL规则配置

二层ACL编号acl-number的范围是4000～4999。

二层acl对源/目的MAC、802.1p优先级、二层协议等二层信息进行过滤。

 

[Huawei-acl-L2-4000]rule 1 ?

  deny         Specify matched packet deny

  description  Specify rule description

  permit       Specify matched packet permit

 

[Huawei-acl-L2-4000]rule 1 deny source-mac 1111-1111-1111 ?

  802.3            802.3 format

  8021p            Vlan priority

  H-H-H            Source MAC address mask, default is ffff-ffff-ffff

  cvlan-8021p      Vlan priority of inner vlan

  cvlan-id         Inner vlan id

  destination-mac  Destination-mac

  double-tag       Double tag

  ether-ii         Ethernet II format

  l2-protocol      Layer 2 protocol

  snap             Snap format

  time-range       Specify a special time

  vlan-id          Vlan id

  <cr>            

 

[Huawei-acl-L2-4000]rule 1 deny source-mac 1111-1111-1111 destination-mac ?

  H-H-H  Destination MAC address value

 

[Huawei-acl-L2-4000]rule 1 deny source-mac 1111-1111-1111 destination-mac 2222-2222-2222 ?

  802.3        802.3 format

  8021p        Vlan priority

  H-H-H        Destination MAC address mask, default is ffff-ffff-ffff

  cvlan-8021p  Vlan priority of inner vlan

  cvlan-id     Inner vlan id

  double-tag   Double tag

  ether-ii     Ethernet II format

  l2-protocol  Layer 2 protocol

  snap         Snap format

  time-range   Specify a special time

  vlan-id      Vlan id

  <cr>        

 

二层acl支持的常用功能

二层acl支持的常用功能
参数	说明
802.3
8021p	指定acl规则匹配报文的外层vlan的8021p优先级
cvlan-8021p	指定acl规则匹配报文的内层vlan的8021p优先级
cvlan-id  cvlan-id[cvlan-id-mask]	指定acl规则匹配报文的内层vlan ID
	cvlan-id-mask：指定内层ID值的掩码 十六进制
destination-mac	指定acl规则匹配报文的目的mac地址信息
double-tag	指定acl匹配报文时匹配带双层tag的报文
ether-ii	指定acl规则匹配报文的帧封装格式
l2-protocol	指定acl规则匹配报文的链路层协议类型
snap
source-mac	指定acl规则匹配报文的源mac地址信息
time-range
vlan-id	指定acl规则匹配报文的内层vlan ID

 

4、用户自定义ACL规则配置

用户自定义ACL编号acl-number的范围是5000～5999。

用户自定义acl（简称ucl），可以根据用户自定义的规则对数据报文做出相应的处理。

用户自定义ACL支持的常用功能有

用户自定义ACL支持的常用功能
参数	说明
STRING<3-10>
ipv4-head	指定从ipv4头部开始偏移
ipv6-head	从ipv6头部开始偏移
l2-head	从报文的二层头部开始偏移
l4-head	从四层协议头部开始偏移
time-range

 

[Huawei-acl-user-5000]rule 1 deny ?

  STRING<3-10>  Rule string, the string must be hexadecimal and start with '0x'

  ipv4-head     Offset from IP(v4) head

  ipv6-head     Offset from IP(v6) head

  l2-head       Offset from l2 head

  l4-head       Offset from L4 head

  time-range    Specify a special time

  <cr>  

 

 

5、用户ACL规则配置

用户ACL编号acl-number的范围是6000～6999。

使用IPv4报文的源IP地址或源UCL（User Control List）组、目的地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。

 

具体配置及参数同前。

 

 

6、基本ACL6规则配置

[Huawei]acl ipv6 ?

  INTEGER<2000-2999>  Specify a basic ACL6

  INTEGER<3000-3999>  Specify an advanced ACL6

  name                Specify a named ACL6

  number              Specify a numbered ACL6

 

[Huawei-acl6-basic-2000]rule 1 ?

  deny         Specify matched packet deny

  description  Specify rule description

  permit       Specify matched packet permit

 

[Huawei-acl6-basic-2000]rule 1 deny ?

  fragment    Check fragment packet

  logging     Log matched packet

  source      Specify source address

  time-range  Specify a special time

  <cr>       

 

[Huawei-acl6-basic-2000]rule 1 deny source ?

  X:X::X:X    IPv6 address

  X:X::X:X/M  IPv6 source address with prefix

  any         Any source IPv6 address

 

[Huawei-acl6-basic-2000]rule 1 deny source any ?

  fragment    Check fragment packet

  logging     Log matched packet

  time-range  Specify a special time

  <cr> 

 

 

7、高级ACL6规则配置

[Huawei]acl ipv6 3000

[Huawei-acl6-adv-3000]rule 1 ?

  deny         Specify matched packet deny

  description  Specify rule description

  permit       Specify matched packet permit

        

[Huawei-acl6-adv-3000]rule 1 ?

  deny         Specify matched packet deny

  description  Specify rule description

  permit       Specify matched packet permit

 

[Huawei-acl6-adv-3000]rule 1 deny ?

  <1-255>  Protocol number

  gre      GRE tunneling(47)

  icmpv6   Internet Control Message Protocol6(58)

  ipv6     Any IPV6 protocol

  ospf     OSPF routing protocol(89)

  tcp      Transmission Control Protocol(6)

  udp      User Datagram Protocol(17)

 

ACL6相关知识将在后面的IPV6专题详细讲解，敬请关注重庆网管博客。

 

 

8、ACL资源告警阈值百分比设置

[Huawei] acl threshold-alarm { upper-limit upper-limit | lower-limit lower-limit }^*

 

设备运行应用ACL的业务后会占用一部分ACL资源，此时可以配置ACL资源的告警阈值百分比。

当ACL资源的使用率（即设备上实际存在的ACL表项占设备支持的最大ACL表项总数的比例）等于或高于上限告警阈值百分比时，设备将会发出超限告警。之后，如果该比例又等于或小于下限告警阈值百分比，设备会再次发出告警，表明之前的超限告警情况已经恢复正常。

 

 

9、扩展ACL表项空间资源模式设置

<Huawei>display resource-assign configuration

# 查看接口板扩展表项空间资源的配置信息。

 

[Huawei] assign resource-mode mode-id slot slot-id

# 配置接口板扩展表项空间资源的分配模式，用来静态分配MAC、ACL和FIB表项的底层空间大小。

 

[Huawei] assign acl-mode mode-id slot slot-id

# 配置接口板ACL规格的资源分配模式。

 

缺省情况下，扩展表项空间寄存器的资源模式为1，仅扩展MAC表项。

与ACL表项相关的分配模式包括：

1、MACACL：表示同时扩展MAC表项和二层ACL表项。

2、IPV4ACL：表示同时扩展IPV4的IP表项和IPV4的三层ACL表项。

3、IPV6ACL：表示同时扩展IPV6的IP表项和IPV6的三层ACL表项。

4、IPV4NAC：表示同时扩展IPV4的三层ACL表项和NAC特性专用的ACL表项。

5、L2 ACL：表示扩展二层ACL表项。

配置接口板扩展表项空间资源的分配模式后，需要重启接口板才能生效。

当设备处于核心层时，承载的业务量很大，自身的MAC、FIB、ACL表项也会相应增加，但是设备的表项空间有限，当设备的表项空间满足不了设备的业务要求时，会降低业务的运行效率。

设备接口板提供扩展表项空间寄存器，通过配置扩展表项空间资源的分配模式，可以选择性扩大MAC、ACL和FIB表项的底层空间大小。

 您阅读这篇文章共花了：