ACL命令——H3C交换机(基本ACL)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ACL命令——H3C交换机(基本ACL)
展开全文
ACL命令——H3C交换机(基本ACL)
1、acl命令用于创建一条ACL,并进入相应的ACL视图。
undo acl命令用于删除指定的ACL,或者删除全部ACL。
ACL支持两种匹配顺序,如下所示:
1、配置顺序:根据配置顺序匹配ACL规则。
2、自动排序:根据“深度优先”规则匹配ACL规则。
“深度优先”规则说明如下:
1、基本ACL的深度优先以源IP地址掩码长度排序,掩码越长的规则位置越靠前。
排序时比较源IP地址掩码长度,若源IP地址掩码长度相等,则先配置的规则匹配位置靠前。
例如,源IP地址掩码为255.255.255.0的规则比源IP地址掩码为255.255.0.0的规则匹配位置靠前。
2、高级ACL的深度优先以源IP地址掩码和目的IP地址掩码长度排序,掩码越长的规则位置越靠前。
排序时先比较源IP地址掩码长度,若源IP地址掩码长度相等,则比较目的IP地址掩码长度;若目的IP地址掩码长度也相等,则先配置的规则匹配位置靠前。
例如,源IP 地址掩码长度相等时,目的IP地址掩码为255.255.255.0的规则比目的IP地址掩码为255.255.0.0的规则匹配位置靠前。
可以使用match-order指定匹配顺序是按照用户配置的顺序还是按照深度优先顺序(优先匹配范围小的规则),如果不指定则缺省为
用户配置顺序。
用户一旦指定一条ACL的匹配顺序后,就不能再更改,除非把该ACL规则全部删除,再重新指定其匹配顺序。
ACL的匹配顺序特性只在该ACL被软件引用进行数据过滤和分类时有效。
【举例】
# 定义ACL 2000的规则,并定义规则匹配顺序为深度优先顺序。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] acl number 2000 match-order auto
[H3C-acl-basic-2000]
2、description命令用来定义ACL的描述信息,描述该ACL的具体用途。
undo description命令用来删除对ACL的描述。
【举例】
# 定义ACL 3000的描述信息。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] acl number 3000
[H3C-acl-adv-3000] description This acl is used in eth 0
3、display acl命令用来显示配置的ACL的信息。
本命令会按照匹配顺序显示ACL的规则。
4、display time-range命令用来显示当前时间段的配置和状态,对于当前处在激活状态的时间段将显示Active,对于非激活状态显示Inactive。
5、rule命令用来定义ACL的规则。
undo rule命令用来删除一个ACL规则或者ACL规则的属性信息。
在删除一条ACL规则时,需要指定该规则的编号。
如果用户不知道ACL规则的编号,可以使用命令display acl来查看。
对于在定义ACL规则时指定编号的情况:
1、当匹配顺序为config时,如果指定编号对应的规则已经存在,系统将编辑该规则,没有编辑的部分仍旧保持原来的状态;当匹配顺序为auto时,用户不能编辑任何一个已经存在的规则,否则系统会提示错误信息。
2、如果指定编号对应的规则不存在,用户将创建并定义一个新的规则。
3、编辑后或新创建的规则不能和已经存在的规则内容完全相同,否则会导致编辑或创建不成功,系统会提示该规则已经存在。
在定义ACL规则时如果不指定编号,用户将创建并定义一个新规则,设备将自动为这个规则分配一个编号。
【举例】
# 配置ACL 2000,禁止源地址为1.1.1.1的用户通过Telnet方式登录到交换机上。
关于配置对登录用户的控制请参见“登录交换机”模块的相关内容。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] acl number 2000
[H3C-acl-basic-2000] rule deny source 1.1.1.1 0
[H3C-acl-basic-2000] display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 1
rule 0 deny source 1.1.1.1 0 (0 times matched)
注:number acl-number:ACL(Access Control List,访问控制列表)的序号,取值范围为2000~3999。
1、2000~2999:基本ACL。
2、3000~3999:高级ACL(ACL 3998与3999是系统为集群管理预留的编号,用户无法配置)。