您的位置:360文档中心› 13-ACL配置 MyPower S4330 V1.0 系列交换机配置手册

13-ACL配置 MyPower S4330 V1.0 系列交换机配置手册

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

ACL配置

本手册著作权属迈普通信技术有限公司所有,未经著作权人书面许可,任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划:研究院资料服务处

* * *

迈普通信技术有限公司

地址:成都市高新区九兴大道16号迈普大厦

技术支持热线:400-886-8669

传真:(+8628)85148948

E-mail:******************.com

网址:

邮编:610041

版本:2011年 8月v1.0版

目录

第1章 ACL配置 (4)

1.1 ACL简介 (4)

1.1.1 ACL的匹配顺序 (4)

1.1.2 支持的ACL (5)

1.2 配置时间段 (6)

1.2.1 配置过程 (6)

1.2.2 配置举例 (7)

1.3 定义基本ACL (8)

1.3.1 配置过程 (8)

1.3.2 配置举例 (9)

1.4 定义扩展ACL (9)

1.4.1 配置过程 (9)

1.4.2 配置举例 (11)

1.5 定义二层ACL (12)

1.5.1 配置二层ACL (12)

1.5.2 配置举例 (13)

1.6 激活ACL (13)

1.6.1 激活ACL (13)

1.6.2 配置举例 (14)

1.7 ACL的显示和调试 (15)

第1章ACL配置

1.1 ACL简介

ACL(Access Control List,访问控制列表)主要用来实现流识别功能。网络设备为了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的对象。在识别出特定的对象之后,才能根据预先设定的策略允许或禁止相应的数据包通过。

ACL根据一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。交换机根据ACL中指定的条件来检测数据包,从而决定是转发还是丢弃该数据包。

由ACL定义的数据包匹配规则,还可以被其它需要对流进行区分的场合引用,如QoS 中流分类规则的定义。

根据应用目的,可将ACL 分为下面几种:

●基本ACL:只根据源IP地址制定规则。

●扩展ACL:根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。

●二层ACL:根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则。

1.1.1 ACL的匹配顺序

由于同一条ACL可以配置多个子项,所以就出现了匹配顺序的问题。ACL支持两种匹配顺序:

●配置顺序:根据配置顺序匹配ACL规则。

●自动排序:根据“深度优先”规则匹配ACL规则。

深度优先指的是最长的子项先匹配。

比如,现在配置同一条ACL的两个子项,配置步骤如下:

Switch(config)#access-list 1 deny any

Config ACL subitem successfully.

Switch(config)#access-list 1 permit 1.1.1.1 0

Config ACL subitem successfully.

如果选择的匹配顺序是配置顺序,那么,按照配置的步骤,先配置的命令就为子项0。通过查看配置可以看到:

Switch(config)#show access-list config 1

Standard IP Access List 1, match-order is config, 2 rule:

0 deny any

1 permit 1.1.1.1 0.0.0.0

如果选择的匹配顺序是自动顺序,那么,最长的ACL匹配规则将为子项0。通过查看配置可以看到:

Switch(config)#show access-list config 1

Standard IP Access List 1, match-order is auto, 2 rule:

0 permit 1.1.1.1 0.0.0.0

1 deny any

还需要注意的是,针对需要激活才能生效的ACL。S2600系列交换机遵守着“先激活先生效”的匹配规则。激活的配置可以参考1.6激活ACL。

1.1.2 支持的ACL

交换机支持的ACL如下:

●基本ACL

●扩展ACL

●二层ACL

1.2 配置时间段

对时间段的配置有如下内容:配置周期时间段和绝对时间段。配置周期时间段采用的是每周的周几的形式,配置绝对时间段采用从起始时间到结束时间的形式。

1.2.1 配置过程

表 1-1配置时间段

操作命令备注进入全局配置模式configure terminal -

创建时间段并进入时间

段配置模式

time-range name -

配置绝对时间段absolute start HH:MM:SS YYYY/MM/DD [ end

HH:MM:SS YYYY/MM/DD ]

必选

配置相对时间段periodic days-of-the-week hh:mm:ss to [ day-of-the-week ] hh:mm:ss

配置时间段需要注意:

如果一个时间段只定义了周期时间段,则只有系统时钟在该周期时间段内,该时间段才进入激活状态。如果一个时间段下定义了多个周期时间段,则这些周期时间段之间是“或”的关系。

如果一个时间段只定义了绝对时间段,则只有系统时钟在该绝对时间段内,该时间段才进入激活状态。如果一个时间段下定义了多个绝对时间段,则这些绝对时间段之间是“或”的关系。

如果一个时间段同时定义了绝对时间段和周期时间段,则只有同时满足绝对时间段和周期时间段的定义时,该时间段才进入激活状态。例如,一个时间段定义了绝对时间段:从2009年1月1日0点0分到2009年12月31日23点59分,同时定义了周期时间段:每周三的12:00到14:00。该时间段只有在2009年内每周三的12:00 到14:00才进入激活状态。

相关文档
最新文档