https://support.huawei.com/enterprise/zh/doc/EDOC1100367109/9f59f9b2

配置二层ACL

配置二层ACL，实现对报文的匹配过滤。

应用环境

二层ACL通过区分报文的源MAC地址、目的MAC地址、以太帧协议类型、报文的VLAN ID信息，实现对报文的匹配过滤。

图8-10 二层ACL的典型应用环境

如图8-10所示，在路由设备DeviceD上创建二层ACL，拒绝DeviceA上MAC地址为1–1–1的主机发往路由设备DeviceC的所有报文，允许DeviceB上MAC地址为2–1–1的主机发往路由设备DeviceC的所有报文。

• （可选）创建ACL规则的生效时间段

• 创建二层ACL

• 配置二层ACL的规则

• 应用二层ACL

• 检查配置结果

（可选）创建ACL规则的生效时间段

通过该配置任务可以指定ACL规则的生效时间段，帮助用户在特定时间段实现对网络流量的控制。

背景信息

如果用户需要在指定的时间段对某些流量进行控制操作，比如网络运营商为了在晚上黄金时间段保证视频传输的可靠带宽，需要限制普通上网用户的数据流量，其他时间段则不做限制。则可以通过配置生效时间段，控制流量通过的时间。

此配置任务用来创建一个时间段，然后在配置ACL规则时引用已经创建好的时间段，为ACL规则指定生效的时间范围。

生效的时间可以是：

• 绝对时间段：即生效的时间是从某一时间点到另一时间点之间的固定时间范围。

• 相对时间段：即生效的时间是周期性的时间范围。例如每周一生效。

操作步骤

1. 执行命令system-view，进入系统视图。

2. 执行命令time-range time-name { start-time to end-time days &<1-7> | from time1 date1 [ to time2 date2 ] }，创建一个时间段。

   
   

   
   

• 最多可以创建256个名字不同的生效时间段。

• 在同一个生效时间段（具有同一个时间段名称time-name）中可以指定多个时间范围，最多可以创建32个相对时间段和12个绝对时间段。

3. 执行命令commit，提交配置。

创建二层ACL

通过该配置任务，可以创建二层ACL，进行相关参数的配置。

操作步骤

1. 执行命令system-view，进入系统视图。

2. 执行命令acl { name link-acl-name { link | [ link ] number link-acl-number } | [ number ] link-acl-number } [ match-order { config | auto } ]，创建二层ACL。

   
   

   二层ACL的编号范围是4000～4999。

   
   

3. （可选）执行命令step step，配置ACL步长。

   
   

   为了方便用户在相邻的ACL规则之间插入新规则，可以通过执行该命令为ACL规则组指定步长来实现。

   如果用户最初对某个ACL配置了4条规则，规则编号依次是：1、2、3、4，但是为了满足业务的需要，用户希望在第一条和第二条规则之间插入一条新的规则。此时，用户可以执行该命令，重新设置ACL规则组的步长。例如可以在该ACL视图下执行step 2命令，将该ACL规则组的步长设置为2，此时最初的4条规则的编号依次变为2、4、6、8，这样用户就可以执行rule 3 xxxx命令在第一条和第二条规则之间插入编号为3的新规则。

   
   

4. （可选）执行命令description text，配置ACL的描述信息。

   
   

   ACL的描述信息用于标识该ACL的功能。当遇到如下情况时，建议用户通过description命令为ACL添加描述信息，描述该ACL的功能描述信息：

   
   

• 配置的ACL数目较多的情况下，用户不易区分每个ACL的具体功能。

• 两次使用同一个ACL的时间间隔较长，用户不容易记住该ACL的具体功能。

• 命名型ACL的名字不能充分地包含该ACL的具体功能。

5. 执行命令commit，提交配置。

配置二层ACL的规则

二层ACL根据报文的以太网帧头信息定义规则，对报文进行过滤。

操作步骤

1. 执行命令system-view，进入系统视图。

2. 执行命令acl { name link-acl-name { link | [ link ] number link-acl-number } | [ number ] link-acl-number } [ match-order { config | auto } ]，进入二层ACL视图。

3. 执行命令rule [ rule-id ] [ name rule-name ] { permit | deny } [ [ type { type | arp | ip | ipv6 | mpls | rarp } [ type-mask ] ] | source-mac source-mac [ source-mac-mask ] | { dest-mac | destination-mac } dest-mac [ dest-mac-mask ] | 8021p 8021p | { cvlan-8021p | 8021p-inner } cvlan-8021p | time-range time-name ]*，配置二层ACL规则。

   
   

   
   

   
   

   配置二层ACL规则时，

   
   

• 如果用户选择了参数time-range，引入ACL规则生效时间段，time-name必须已经存在，否则该规则配置失败。

• 在ACL中添加新的规则时，不会影响已经存在的规则。

• 对已经存在的规则进行编辑时，如果新配置的规则内容与原规则内容存在冲突，则冲突的部分由新配置的规则内容代替。

• 修改ACL规则为增量式的修改，规则的存量配置会与新增配置合并。

  例如用户在设备上进行了如下两条rule配置：

  acl number 3005  rule 5 permit ip destination 14.14.14.0 0.0.0.255  rule 5 permit ip destination 13.13.13.0 24 display this   acl number 3005  rule 5 permit ip destination 13.13.13.0 0.0.0.255 destination 14.14.14.0 0.0.0.255

  若用户在此基础上再单点修改第二条rule配置，不会对第一条rule造成影响：

   rule 5 permit ip destination 15.15.15.0 24 display this   acl number 3005  rule 5 permit ip destination 15.15.15.0 0.0.0.255 destination 14.14.14.0 0.0.0.255

  用户也可以在此基础上单点删除rule配置：

  undo rule 5 source display this   acl number 3005  rule 5 permit ip destination 14.14.14.0 0.0.0.255

4. （可选）执行命令rule rule-id description destext，配置规则的描述信息。

   
   

   ACL规则的描述信息用于标识ACL规则的功能，避免造成日后用户对该规则的误解或误用。当遇到如下情况时，建议用户通过该命令为ACL规则添加描述信息，描述该规则的功能：

   
   

• 配置的ACL规则的数目较多的情况下，用户不易区分每条规则的具体功能。

• 两次使用同一条规则的时间间隔较长，用户不容易记住该规则的具体功能。

5. 执行命令commit，提交配置。

应用二层ACL

二层ACL可以应用在QoS业务和路由策略中。

背景信息

二层ACL的典型应用如表8-9所示。

表8-9 二层ACL典型应用

二层ACL典型应用	应用场景	操作
QoS中二层ACL的应用	当需要对不同类型的流量进行分类操作时，可以通过配置二层ACL实现对满足过滤条件的流量进行流量监管、流量整形、流量分类。	配置对不同类型的流量进行分类操作时，请参考配置流量监管、配置流量整形、配置流行为。

应用二层ACL的典型案例

二层ACL在QoS中的应用案例

例如，用户在设备上进行了如下配置：

• 防火墙流行为（报文过滤）

  acl number 4001  rule permit 8021p 3 source-mac 1-1-1 ffff-ffff-ffff  rule 10 deny  traffic classifier acl   if-match acl 4001 traffic behavior test  permit traffic policy test  classifier acl behavior test interface GigabitEthernet2/0/0  traffic-policy test inbound

  匹配结果：同时满足外层VLAN的802.1p优先级为3、源MAC地址为1-1-1和源MAC地址掩码为ffff-ffff-ffff的VLAN报文被设备接收，其他类型的VLAN报文均被设备丢弃。

• 普通流行为

  acl number 4001  rule permit 8021p 3 source-mac 1-1-1 ffff-ffff-ffff  rule 10 deny  traffic classifier acl   if-match acl 4001 traffic behavior test  remark 8021p 7 traffic policy test  classifier acl behavior test interface GigabitEthernet2/0/0  traffic-policy test inbound

  匹配结果：同时满足外层VLAN的802.1p优先级为3、源MAC地址为1-1-1和源MAC地址掩码为ffff-ffff-ffff的VLAN报文被设备接收，并且报文的802.1p优先级被标记为7，其他类型的VLAN报文均被设备丢弃。

检查配置结果

查看二层ACL的配置信息。

前提条件

已经完成二层ACL的所有配置。

操作步骤

• 使用display acl { acl-number | name acl-name | all }命令查看配置的二层ACL的配置信息。

• 使用display time-range { time-name | all }命令查看指定或者所有时间段的配置和状态。

推荐本站淘宝优惠价购买喜欢的宝贝:

本文链接：https://hqyman.cn/post/8205.html 非本站原创文章欢迎转载，原创文章需保留本站地址！

休息一下~~