20
2024
10
01:32:38

NE40E V800R023C10SPC500 配置指南 配置二层ACL

https://support.huawei.com/enterprise/zh/doc/EDOC1100367109/9f59f9b2


配置二层ACL

配置二层ACL,实现对报文的匹配过滤。

应用环境

二层ACL通过区分报文的源MAC地址、目的MAC地址、以太帧协议类型、报文的VLAN ID信息,实现对报文的匹配过滤。

图8-10 二层ACL的典型应用环境

图8-10所示,在路由设备DeviceD上创建二层ACL,拒绝DeviceA上MAC地址为1–1–1的主机发往路由设备DeviceC的所有报文,允许DeviceB上MAC地址为2–1–1的主机发往路由设备DeviceC的所有报文。

(可选)创建ACL规则的生效时间段

通过该配置任务可以指定ACL规则的生效时间段,帮助用户在特定时间段实现对网络流量的控制。

背景信息

如果用户需要在指定的时间段对某些流量进行控制操作,比如网络运营商为了在晚上黄金时间段保证视频传输的可靠带宽,需要限制普通上网用户的数据流量,其他时间段则不做限制。则可以通过配置生效时间段,控制流量通过的时间。

此配置任务用来创建一个时间段,然后在配置ACL规则时引用已经创建好的时间段,为ACL规则指定生效的时间范围。

生效的时间可以是:

  • 绝对时间段:即生效的时间是从某一时间点到另一时间点之间的固定时间范围。

  • 相对时间段:即生效的时间是周期性的时间范围。例如每周一生效。

操作步骤

  1. 执行命令system-view,进入系统视图。

  2. 执行命令time-range time-name { start-time to end-time days &amp;<1-7> | from time1 date1 [ to time2 date2 ] },创建一个时间段。



    • 最多可以创建256个名字不同的生效时间段。

    • 在同一个生效时间段(具有同一个时间段名称time-name)中可以指定多个时间范围,最多可以创建32个相对时间段和12个绝对时间段。

  3. 执行命令commit,提交配置。

创建二层ACL

通过该配置任务,可以创建二层ACL,进行相关参数的配置。

操作步骤

  1. 执行命令system-view,进入系统视图。

  2. 执行命令acl { name link-acl-name { link | [ link ] number link-acl-number } | [ number ] link-acl-number } [ match-order { config | auto } ],创建二层ACL。


    二层ACL的编号范围是4000~4999。


  3. (可选)执行命令step step,配置ACL步长。


    为了方便用户在相邻的ACL规则之间插入新规则,可以通过执行该命令为ACL规则组指定步长来实现。

    如果用户最初对某个ACL配置了4条规则,规则编号依次是:1、2、3、4,但是为了满足业务的需要,用户希望在第一条和第二条规则之间插入一条新的规则。此时,用户可以执行该命令,重新设置ACL规则组的步长。例如可以在该ACL视图下执行step 2命令,将该ACL规则组的步长设置为2,此时最初的4条规则的编号依次变为2、4、6、8,这样用户就可以执行rule 3 xxxx命令在第一条和第二条规则之间插入编号为3的新规则。


  4. (可选)执行命令description text,配置ACL的描述信息。


    ACL的描述信息用于标识该ACL的功能。当遇到如下情况时,建议用户通过description命令为ACL添加描述信息,描述该ACL的功能描述信息:


    • 配置的ACL数目较多的情况下,用户不易区分每个ACL的具体功能。

    • 两次使用同一个ACL的时间间隔较长,用户不容易记住该ACL的具体功能。

    • 命名型ACL的名字不能充分地包含该ACL的具体功能。

  5. 执行命令commit,提交配置。

配置二层ACL的规则

二层ACL根据报文的以太网帧头信息定义规则,对报文进行过滤。

操作步骤

  1. 执行命令system-view,进入系统视图。

  2. 执行命令acl { name link-acl-name { link | [ link ] number link-acl-number } | [ number ] link-acl-number } [ match-order { config | auto } ],进入二层ACL视图。

  3. 执行命令rule rule-id ] [ name rule-name ] { permit | deny } [ [ type { type | arp | ip | ipv6 | mpls | rarp } [ type-mask ] ] | source-mac source-mac [ source-mac-mask ] | { dest-mac | destination-mac } dest-mac [ dest-mac-mask ] | 8021p 8021p | { cvlan-8021p | 8021p-inner } cvlan-8021p | time-range time-name ]*,配置二层ACL规则。




    配置二层ACL规则时,


    • 如果用户选择了参数time-range,引入ACL规则生效时间段,time-name必须已经存在,否则该规则配置失败。

    • 在ACL中添加新的规则时,不会影响已经存在的规则。

    • 对已经存在的规则进行编辑时,如果新配置的规则内容与原规则内容存在冲突,则冲突的部分由新配置的规则内容代替。

    • 修改ACL规则为增量式的修改,规则的存量配置会与新增配置合并。

      例如用户在设备上进行了如下两条rule配置:

      acl number 3005  rule 5 permit ip destination 14.14.14.0 0.0.0.255  rule 5 permit ip destination 13.13.13.0 24 display this   acl number 3005  rule 5 permit ip destination 13.13.13.0 0.0.0.255 destination 14.14.14.0 0.0.0.255

      若用户在此基础上再单点修改第二条rule配置,不会对第一条rule造成影响:

       rule 5 permit ip destination 15.15.15.0 24 display this   acl number 3005  rule 5 permit ip destination 15.15.15.0 0.0.0.255 destination 14.14.14.0 0.0.0.255

      用户也可以在此基础上单点删除rule配置:

      undo rule 5 source display this   acl number 3005  rule 5 permit ip destination 14.14.14.0 0.0.0.255

  4. (可选)执行命令rule rule-id description destext,配置规则的描述信息。


    ACL规则的描述信息用于标识ACL规则的功能,避免造成日后用户对该规则的误解或误用。当遇到如下情况时,建议用户通过该命令为ACL规则添加描述信息,描述该规则的功能:


    • 配置的ACL规则的数目较多的情况下,用户不易区分每条规则的具体功能。

    • 两次使用同一条规则的时间间隔较长,用户不容易记住该规则的具体功能。

  5. 执行命令commit,提交配置。

应用二层ACL

二层ACL可以应用在QoS业务和路由策略中。

背景信息

二层ACL的典型应用如表8-9所示。

表8-9 二层ACL典型应用

二层ACL典型应用

应用场景

操作

QoS中二层ACL的应用

当需要对不同类型的流量进行分类操作时,可以通过配置二层ACL实现对满足过滤条件的流量进行流量监管、流量整形、流量分类。

配置对不同类型的流量进行分类操作时,请参考配置流量监管、配置流量整形、配置流行为。

应用二层ACL的典型案例

二层ACL在QoS中的应用案例

例如,用户在设备上进行了如下配置:

  • 防火墙流行为(报文过滤)

    acl number 4001  rule permit 8021p 3 source-mac 1-1-1 ffff-ffff-ffff  rule 10 deny  traffic classifier acl   if-match acl 4001 traffic behavior test  permit traffic policy test  classifier acl behavior test interface GigabitEthernet2/0/0  traffic-policy test inbound

    匹配结果:同时满足外层VLAN的802.1p优先级为3、源MAC地址为1-1-1和源MAC地址掩码为ffff-ffff-ffff的VLAN报文被设备接收,其他类型的VLAN报文均被设备丢弃。

  • 普通流行为

    acl number 4001  rule permit 8021p 3 source-mac 1-1-1 ffff-ffff-ffff  rule 10 deny  traffic classifier acl   if-match acl 4001 traffic behavior test  remark 8021p 7 traffic policy test  classifier acl behavior test interface GigabitEthernet2/0/0  traffic-policy test inbound

    匹配结果:同时满足外层VLAN的802.1p优先级为3、源MAC地址为1-1-1和源MAC地址掩码为ffff-ffff-ffff的VLAN报文被设备接收,并且报文的802.1p优先级被标记为7,其他类型的VLAN报文均被设备丢弃。

检查配置结果

查看二层ACL的配置信息。

前提条件

已经完成二层ACL的所有配置。

操作步骤

  • 使用display acl { acl-number | name acl-name | all }命令查看配置的二层ACL的配置信息。

  • 使用display time-range { time-name | all }命令查看指定或者所有时间段的配置和状态。




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/8205.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


作者:hqy | 分类:Network | 浏览:38 | 评论:0
« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: