华为ACL配置教程(三)
首页 > HuaWei > ACL   作者:圈哥  2016年2月4日 12:27 星期四  热度:2012°  字号:   评论:0 条
时间:2016-2-4 12:27   热度:2012°  评论:0 条 

3、二层ACL规则配置

二层ACL编号acl-number的范围是40004999

二层acl/目的MAC802.1p优先级、二层协议等二层信息进行过滤。

 

[Huawei-acl-L2-4000]rule 1 ?

  deny         Specify matched packet deny

  description  Specify rule description

  permit       Specify matched packet permit

 

[Huawei-acl-L2-4000]rule 1 deny source-mac 1111-1111-1111 ?

  802.3            802.3 format

  8021p            Vlan priority

  H-H-H            Source MAC address mask, default is ffff-ffff-ffff

  cvlan-8021p      Vlan priority of inner vlan

  cvlan-id         Inner vlan id

  destination-mac  Destination-mac

  double-tag       Double tag

  ether-ii         Ethernet II format

  l2-protocol      Layer 2 protocol

  snap             Snap format

  time-range       Specify a special time

  vlan-id          Vlan id

  <cr>            

 

[Huawei-acl-L2-4000]rule 1 deny source-mac 1111-1111-1111 destination-mac ?

  H-H-H  Destination MAC address value

 

[Huawei-acl-L2-4000]rule 1 deny source-mac 1111-1111-1111 destination-mac 2222-2222-2222 ?

  802.3        802.3 format

  8021p        Vlan priority

  H-H-H        Destination MAC address mask, default is ffff-ffff-ffff

  cvlan-8021p  Vlan priority of inner vlan

  cvlan-id     Inner vlan id

  double-tag   Double tag

  ether-ii     Ethernet II format

  l2-protocol  Layer 2 protocol

  snap         Snap format

  time-range   Specify a special time

  vlan-id      Vlan id

  <cr>        

 

二层acl支持的常用功能

二层acl支持的常用功能

参数

说明

802.3

 

  8021p           

指定acl规则匹配报文的外层vlan8021p优先级

  cvlan-8021p     

指定acl规则匹配报文的内层vlan8021p优先级

  cvlan-id  cvlan-id[cvlan-id-mask]      

指定acl规则匹配报文的内层vlan ID

cvlan-id-mask:指定内层ID值的掩码 十六进制

  destination-mac 

指定acl规则匹配报文的目的mac地址信息

  double-tag      

指定acl匹配报文时匹配带双层tag的报文

  ether-ii        

指定acl规则匹配报文的帧封装格式

  l2-protocol     

指定acl规则匹配报文的链路层协议类型

  snap            

 

  source-mac      

指定acl规则匹配报文的源mac地址信息

  time-range      

 

  vlan-id

指定acl规则匹配报文的内层vlan ID

 

4、用户自定义ACL规则配置

用户自定义ACL编号acl-number的范围是50005999

用户自定义acl(简称ucl),可以根据用户自定义的规则对数据报文做出相应的处理。

用户自定义ACL支持的常用功能有

用户自定义ACL支持的常用功能

参数

说明

STRING<3-10> 

 

  ipv4-head    

指定从ipv4头部开始偏移

  ipv6-head    

ipv6头部开始偏移

  l2-head      

从报文的二层头部开始偏移

  l4-head      

从四层协议头部开始偏移

  time-range  

 

 

[Huawei-acl-user-5000]rule 1 deny ?

  STRING<3-10>  Rule string, the string must be hexadecimal and start with '0x'

  ipv4-head     Offset from IP(v4) head

  ipv6-head     Offset from IP(v6) head

  l2-head       Offset from l2 head

  l4-head       Offset from L4 head

  time-range    Specify a special time

  <cr>  

 

 

5、用户ACL规则配置

用户ACL编号acl-number的范围是60006999

使用IPv4报文的IP地址或源UCLUser Control List)组、目的地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。

 

具体配置及参数同前。

 

 

6、基本ACL6规则配置

[Huawei]acl ipv6 ?

  INTEGER<2000-2999>  Specify a basic ACL6

  INTEGER<3000-3999>  Specify an advanced ACL6

  name                Specify a named ACL6

  number              Specify a numbered ACL6

 

[Huawei-acl6-basic-2000]rule 1 ?

  deny         Specify matched packet deny

  description  Specify rule description

  permit       Specify matched packet permit

 

[Huawei-acl6-basic-2000]rule 1 deny ?

  fragment    Check fragment packet

  logging     Log matched packet

  source      Specify source address

  time-range  Specify a special time

  <cr>       

 

[Huawei-acl6-basic-2000]rule 1 deny source ?

  X:X::X:X    IPv6 address

  X:X::X:X/M  IPv6 source address with prefix

  any         Any source IPv6 address

 

[Huawei-acl6-basic-2000]rule 1 deny source any ?

  fragment    Check fragment packet

  logging     Log matched packet

  time-range  Specify a special time

  <cr> 

 

 

7、高级ACL6规则配置

[Huawei]acl ipv6 3000

[Huawei-acl6-adv-3000]rule 1 ?

  deny         Specify matched packet deny

  description  Specify rule description

  permit       Specify matched packet permit

        

[Huawei-acl6-adv-3000]rule 1 ?

  deny         Specify matched packet deny

  description  Specify rule description

  permit       Specify matched packet permit

 

[Huawei-acl6-adv-3000]rule 1 deny ?

  <1-255>  Protocol number

  gre      GRE tunneling(47)

  icmpv6   Internet Control Message Protocol6(58)

  ipv6     Any IPV6 protocol

  ospf     OSPF routing protocol(89)

  tcp      Transmission Control Protocol(6)

  udp      User Datagram Protocol(17)

 

ACL6相关知识将在后面的IPV6专题详细讲解,敬请关注重庆网管博客。

 

 

8ACL资源告警阈值百分比设置

[Huawei] acl threshold-alarm { upper-limit upper-limit | lower-limit lower-limit }*

 

设备运行应用ACL的业务后会占用一部分ACL资源,此时可以配置ACL资源的告警阈值百分比。

ACL资源的使用率(即设备上实际存在的ACL表项占设备支持的最大ACL表项总数的比例)等于或高于上限告警阈值百分比时,设备将会发出超限告警。之后,如果该比例又等于或小于下限告警阈值百分比,设备会再次发出告警,表明之前的超限告警情况已经恢复正常。

 

 

9、扩展ACL表项空间资源模式设置

<Huawei>display resource-assign configuration

# 查看接口板扩展表项空间资源的配置信息。

 

[Huawei] assign resource-mode mode-id slot slot-id

# 配置接口板扩展表项空间资源的分配模式,用来静态分配MACACLFIB表项的底层空间大小。

 

[Huawei] assign acl-mode mode-id slot slot-id

# 配置接口板ACL规格的资源分配模式。

 

缺省情况下,扩展表项空间寄存器的资源模式为1,仅扩展MAC表项。

ACL表项相关的分配模式包括:

1、MACACL:表示同时扩展MAC表项和二层ACL表项。

2、IPV4ACL:表示同时扩展IPV4IP表项和IPV4的三层ACL表项。

3、IPV6ACL:表示同时扩展IPV6IP表项和IPV6的三层ACL表项。

4、IPV4NAC:表示同时扩展IPV4的三层ACL表项和NAC特性专用的ACL表项。

5、L2 ACL:表示扩展二层ACL表项。

配置接口板扩展表项空间资源的分配模式后,需要重启接口板才能生效。

当设备处于核心层时,承载的业务量很大,自身的MACFIBACL表项也会相应增加,但是设备的表项空间有限,当设备的表项空间满足不了设备的业务要求时,会降低业务的运行效率。

设备接口板提供扩展表项空间寄存器,通过配置扩展表项空间资源的分配模式,可以选择性扩大MACACLFIB表项的底层空间大小。

 您阅读这篇文章共花了: 
捐赠支持:如果觉得这篇文章对您有帮助,请“扫一扫”鼓励作者!
二维码加载中...
技术交流:欢迎在本文下方留言或加入QQ群:481294053/474079428 互相学习。     
本文地址:http://www.023wg.com/ACL/163.html
版权声明:若无注明,本文皆为“重庆网管”原创,转载请保留文章出处。

返回顶部    首页    捐赠支持   
版权所有:重庆网管    圈哥