华为交换机ACL策略

华为交换机过滤命令一、Telnet登录交换机1. 打开Telnet客户端，输入交换机的管理IP地址，端口默认为23，点击连接按钮进行登录。

2. 在弹出的登录窗口中输入交换机的登录账号和密码，点击确定登录交换机。

二、使用过滤命令配置交换机策略1. 进入系统视图：在命令行界面输入"system-view"，按回车键。

2. 配置ACL（访问控制列表）：输入"acl number ACL-NAME"，其中ACL-NAME是ACL的名称，按回车键。

3. 配置ACL规则：输入"rule Rule-ID deny/permit protocol source-ip destination-ip"，其中Rule-ID是规则编号，deny/permit表示禁止或允许数据包通过，protocol表示协议类型，source-ip表示源IP地址，destination-ip表示目的IP地址。

4. 应用ACL到接口：输入"interface interface-typeinterface-number"，其中interface-type表示接口类型，interface-number表示接口编号，按回车键。

5. 输入"packet-filter ACL-NAME inbound/outbound"，其中ACL-NAME表示之前配置的ACL名称，inbound表示数据包进入接口时应用过滤，outbound表示数据包离开接口时应用过滤，按回车键。

6. 保存配置并退出视图：输入"save"，按回车键，然后输入"quit"，按回车键。

三、查看和验证过滤策略1. 查看已配置的ACL：在命令行界面输入"display acl ACL-NAME"，其中ACL-NAME表示ACL的名称，按回车键。

QoS/ACL 目录目录第1章 ACL命令......................................................................................................................1-11.1 ACL命令.............................................................................................................................1-11.1.1 acl............................................................................................................................1-11.1.2 display acl config.....................................................................................................1-21.1.3 display time-range...................................................................................................1-31.1.4 reset acl counter......................................................................................................1-51.1.5 rule..........................................................................................................................1-51.1.6 time-range...............................................................................................................1-6第2章 QoS命令.....................................................................................................................2-12.1 QoS命令.............................................................................................................................2-12.1.1 display mirror...........................................................................................................2-12.1.2 display port-prioritytrust...........................................................................................2-22.1.3 display priority-trust.................................................................................................2-22.1.4 display qos cos-local-precedence-map...................................................................2-32.1.5 display qos dscp-local-precedence-map.................................................................2-42.1.6 display qos ip-precedence-local-precedence-map.................................................2-52.1.7 display qos-interface line-rate.................................................................................2-52.1.8 display queue-scheduler.........................................................................................2-62.1.9 line-rate...................................................................................................................2-72.1.10 mirroring-port.........................................................................................................2-82.1.11 monitor-port...........................................................................................................2-92.1.12 port-prioritytrust...................................................................................................2-102.1.13 priority..................................................................................................................2-112.1.14 priority-trust.........................................................................................................2-122.1.15 qos cos-local-precedence-map...........................................................................2-132.1.16 qos dscp-local-precedence-map.........................................................................2-142.1.17 qos ip-precedence-local-precedence-map..........................................................2-152.1.18 queue-scheduler.................................................................................................2-17第1章 ACL命令1.1 ACL命令1.1.1 acl【命令】acl { number acl-number | name acl-name basic}[ match-order { config |auto } ]undo acl { number acl-number | name acl-name | all }【视图】系统视图【参数】number acl-number：访问列表序号，取值范围为2000～2999，表示基本访问控制列表。

访问控制列表-细说ACL那些事儿（初步认识ACL）传闻江湖乱世之时，出现了一门奇招妙计名曰“ACL”。

其变化多端、高深莫测，部署在江湖各处的交换机轻松使上这一招，便能平定乱世江湖。

所以，这ACL也被江湖人士一时传为佳话。

ACL到底是何方秘籍？它拥有什么样的魔力能够平定江湖？ACL，是Access Control List的简称，中文名称叫“访问控制列表”，它由一系列规则（即描述报文匹配条件的判断语句）组成。

这些条件，可以是报文的源地址、目的地址、端口号等。

这样解释ACL，大家是不是觉得太抽象了！好，现在小编换一种解释方式。

打个比方，ACL其实是一种报文过滤器，ACL规则就是过滤器的滤芯。

安装什么样的滤芯（即根据报文特征配置相应的ACL规则），ACL就能过滤出什么样的报文了。

基于过滤出的报文，我们能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet 登录/FTP文件下载进行控制等等，从而提高网络环境的安全性和网络传输的可靠性。

说到这，大家一定迫不及待的想看看ACL长啥模样。

话不多说，先上图！围绕这张ACL结构图，介绍ACL的基本概念。

1 ACL分类首先，图中是一个数字型ACL，ACL编号为2000。

这类似于人类的身份证号，用于唯一标识自己的身份。

当然，人类的身份证上不仅有身份证编号，还有每个人自己的名字。

ACL也同样如此，除了数字型ACL，还有一种叫做命名型的ACL，它就能拥有自己的ACL名称。

通过名称代替编号来定义ACL，就像用域名代替IP地址一样，可以方便记忆，也让大家更容易识别此ACL的使用目的。

另外，告诉大家，命名型ACL实际上是“名字+数字”的形式，可以在定义命名型ACL时同时指定ACL编号。

如果不指定编号，则由系统自动分配。

上图就是一个既有名字“deny-telnet-login”又有编号“3998”的ACL。

细心的你，一定会注意到，ACL结构图中的ACL编号是“2000”，而这个例子中的ACL编号是“3998”，两者有什么区别吗？实际上，按照ACL规则功能的不同，ACL被划分为基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL这五种类型。

---------------------------------------------------------------最新资料推荐------------------------------------------------------交换机配置ACL基本配置交换机配置（三）ACL 基本配置 1，二层 ACL . 组网需求: 通过二层访问控制列表，实现在每天 8:00～18:00 时间段内对源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 报文的过滤。

该主机从 GigabitEthernet0/1 接入。

.配置步骤: (1)定义时间段 # 定义 8:00 至 18:00 的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 的 ACL # 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。

[Quidway] acl name traffic-of-link link # 定义源 MAC 为00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 的流分类规则。

[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei (3)激活 ACL。

# 将 traffic-of-link 的 ACL 激活。

[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link 2，三层 ACL a)基本访问控制列表配置案例 . 组网需求: 通过基本访问控制列表，实现在每天 8:00～18:00 时间段内对源 IP 为 10.1.1.1 主机发出报文的过滤。

华为交换机策略路由配置1、本地策略路由具体配置1、创建策略路由和策略点[Huawei]policy-based-route 1 deny node 12、设置本地策略匹配规则[Huawei-policy-based-route-1-1]if-match ?acl Access control list #根据IP报文中的acl匹配packet-length Match packet length #根据IP报文长度匹配-----------[Huawei-policy-based-route-1-1]if-match packet-length ?INTEGER<0-65535> Minimum packet length #最短报文长度[Huawei-policy-based-route-1-1]if-match packet-length 100 ?INTEGER<1-65535> Maximum packet length#最长报文长度3、设置本地路由策略动作3.1、设置报文的出接口[Huawei-policy-based-route-1-1]apply output-interface ? #直接设定出接口Serial Serial interface--------[Huawei-policy-based-route-1-1]apply default output-interface ? #缺省出接口Serial Serial interface#报文的出接口，匹配成功后将从指定接口发出去。

接口不是能以太网等广播类型接口（改为P2P即可），因为多个下一跳可能导致报文转发不成功。

3.2、设置报文的下一跳[Huawei-policy-based-route-1-1]apply ip-address ?default Set default information #缺省下一跳，仅对在路由表中未查到的路由报文起作用next-hop Next hop address# 直接设定下一跳3.3、设置VPN转发实例[Huawei-policy-based-route-1-1]apply access-vpn vpn-instance ?STRING<1-31> VPN instance name3.4设置IP报文优先级[Huawei-policy-based-route-1-1]apply ip-precedence ?INTEGER<0-7> IP precedence valuecritical Set packet precedence to critical(5)（关键）flash Set packet precedence to flash(3)（闪速）flash-override Set packet precedence to flash override(4)（疾速）immediate Set packet precedence to immediate(2)（快速）internet Set packet precedence to Internet control(6)（网间）network Set packet precedence to network control(7)（网内）priority Set packet precedence to priority(1)（优先）routine Set packet precedence to routine(0)（普通）3.5设置本地策略路由刷新LSP信息时间间隔[Huawei]ip policy-based-route refresh-time ?INTEGER<1000-65535> Refresh time value (ms)<cr>3.6应用本地策略路由[Huawei]ip local policy-based-route ?STRING<1-19> Policy name#一台路由器只能使能一个本地策略路由（可以创建多条）2、接口策略路由具体配置1、设置流分类[Huawei]traffic classifier test1 operator ?#逻辑运算符and Rule of matching all of the statements #与关系or Rule of matching one of the statements # 或关系2.1、设置分类匹配规则[Huawei-classifier-test1]if-match ?8021p Specify vlan 802.1p to matchacl Specify ACL to matchany Specify any data packet to matchapp-protocol Specify app-protocol to matchcvlan-8021p Specify inner vlan 802.1p of QinQ packets to match.cvlan-id Specify inner vlan id of QinQ packets to match. #基于内层VLAN ID分类匹配规则destination-mac Specify destination MAC address to matchdlci Specify a DLCI to matchdscp Specify DSCP (DiffServ CodePoint) to matchfr-de Specify FR DE to match.inbound-interface Specify an inbound interface to matchip-precedence Specify IP precedence to matchipv6 Specify IPv6l2-protocol Specify layer-2 protocol to matchmpls-exp Specify MPLS EXP value to matchprotocol Specify ipv4 or ipv6 packets to matchprotocol-group Specify protocol-group to matchpvc Specify a PVC to matchrtp Specify RTP port to matchsource-mac Specify source MAC address to matchtcp Specify TCP parameters to matchvlan-id Specify a vlan id to match #基于外出VLAN ID3、设置流重定向将符合流分类规则的报文重定向到指定的下一跳或指定接口。

华为交换机ACL策略1.1 时间段配置命令1.1.1 display time-range【命令】display time-range{all | time-name }【视图】任意视图【参数】time-name：时间段的名称，为1～32个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。

为避免混淆，时间段的名字不可以使用英文单词all。

all：所有配置的时间段。

【描述】display time-range命令用来显示当前时间段的配置信息和状态，对于当前处在激活状态的时间段将显示Active，对于非激活状态的时间段将显示Inactive。

【举例】# 显示时间段trname的配置信息和状态。

●<Sysname> display time-range trname●Current time is 10:45:15 4/14/2005 Thursday●●Time-range : trname ( Inactive )● from 08:00 12/1/2005 to 24:00 12/31/2100表1-1display time-range命令显示信息描述表1.1.2 time-range【命令】time-range time-name { start-time to end-time days [ from time1 date1 ] [ totime2 date2 ] | from time1 date1 [ to time2 date2 ] | to time2 date2 }undo time-range time-name [ start-time to end-time days [ from time1 date1 ][ to time2 date2 ]| from time1 date1 [ to time2 date2 ] | to time2 date2 ]【视图】系统视图【参数】time-name：时间段的名称，为1～32个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。

华为交换机ACL配置1.说明：1）华为交换机的ACL规则没变，但下发需要通过流策略traffic policy下发；2）流策略⼜包括相应的流分类traffic classifier，流⾏为traffic behavior；3）流分类traffic classifier⽤于绑定相应的ACL规则，流⾏为traffic behavior决定匹配的流分类是否permit或deny；4）ACL规则⾥只需配置匹配的流，使⽤permit标识，⽽deny基本没啥⽤；5）如果有多个ACL number，在流策略traffic policy⾥需要按顺序绑定（根据业务是先允午后禁⽌或先禁⽌后允许）； 6）在接⼝的inbound ⽅向下发。

2.配置举例，限制访客（10.16.16.0/20）访问正式⽹络（10.16.0.0/16）1）根据需求创建流策略即ACLacl number 3200rule 21 permit ip source 10.16.16.00.0.15.255 destination 10.16.16.00.0.15.255rule 31 permit ip source 10.16.16.00.0.15.255 destination 10.16.248.40acl number 3201rule 21 permit ip source 10.16.16.00.0.15.255 destination 10.16.0.00.0.255.2552）创建流分类即traffic classifiertraffic classifier CDG-Guest1 operator and precedence 30if-match acl 3200traffic classifier CDG-Guest2 operator and precedence 40if-match acl 32013）创建流⾏为即traffic behaviortraffic behavior CDG-Guest1permittraffic behavior CDG-Guest2deny4）创建流策略traffic policytraffic policy CDG-Guest match-order configclassifier CDG-Guest1 behavior CDG-Guest1classifier CDG-Guest2 behavior CDG-Guest2。

使用高级ACL限制不同网段的用户互访示例图1 使用高级ACL限制不同网段的用户互访示例组网需求如图1所示，某公司通过Switch实现各部门之间的互连。

为方便管理网络，管理员为公司的研发部和市场部规划了两个网段的IP地址。

同时为了隔离广播域，又将两个部门划分在不同VLAN之中。

现要求Switch能够限制两个网段之间互访，防止公司机密泄露。

配置思路采用如下的思路在Switch上进行配置：1.配置高级ACL和基于ACL的流分类，使设备可以对研发部与市场部互访的报文进行过滤。

2.配置流行为，拒绝匹配上ACL的报文通过。

3.配置并应用流策略，使ACL和流行为生效。

操作步骤1.配置接口所属的VLAN以及接口的IP地址# 创建VLAN10和VLAN20。

<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] vlan batch 10 20# 配置Switch的接口GE0/0/1和GE0/0/2为trunk类型接口，并分别加入VLAN10和VLAN20。

[Switch] interface gigabitethernet 0/0/1[Switch-GigabitEthernet0/0/1] port link-type trunk[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10[Switch-GigabitEthernet0/0/1] quit[Switch] interface gigabitethernet 0/0/2[Switch-GigabitEthernet0/0/2] port link-type trunk[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20[Switch-GigabitEthernet0/0/2] quit# 创建VLANIF10和VLANIF20，并配置各VLANIF接口的IP地址。

华为策略路由配置实例1、组网需求图1 策略路由组网示例图如上图1所示，公司用户通过Switch双归属到外部网络设备。

其中，一条是低速链路，网关为10.1.20.1/24；另外一条是高速链路，网关为10.1.30.1/24。

公司希望上送外部网络的报文中，IP优先级为4、5、6、7的报文通过高速链路传输，而IP优先级为0、1、2、3的报文则通过低速链路传输。

2、配置思路1、创建VLAN并配置各接口，实现公司和外部网络设备互连。

2、配置ACL规则，分别匹配IP优先级4、5、6、7，以及IP优先级0、1、2、3。

3、配置流分类，匹配规则为上述ACL规则，使设备可以对报文进行区分。

4、配置流行为，使满足不同规则的报文分别被重定向到10.1.20.1/24和10.1.30.1/24。

5、配置流策略，绑定上述流分类和流行为，并应用到接口GE2/0/1的入方向上，实现策略路由。

3、操作步骤3.1、创建VLAN并配置各接口# 在Switch上创建VLAN100和VLAN200。

<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] vlan batch 100 200# 配置Switch上接口GE1/0/1、GE1/0/2和GE2/0/1的接口类型为Trunk，并加入VLAN100和VLAN200。

[Switch] interface gigabitethernet 1/0/1[Switch-GigabitEthernet1/0/1] port link-type trunk[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet1/0/1] quit[Switch] interface gigabitethernet 1/0/2[Switch-GigabitEthernet1/0/2] port link-type trunk[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet1/0/2] quit[Switch] interface gigabitethernet 2/0/1[Switch-GigabitEthernet2/0/1] port link-type trunk[Switch-GigabitEthernet2/0/1] port trunk allow-pass vlan 100 200 [Switch-GigabitEthernet2/0/1] quit配置LSW与Switch对接的接口为Trunk类型接口，并加入VLAN100和VLAN200。

华为acl规则网络中经常提到的acl规则是Cisco IOS所提供的一种访问控制技术。

初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。

只不过支持的特性不是那么完善而已。

在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。

本文所有的配置实例均基于Cisco IOS的ACL进行编写。

基本原理：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

功能：网络中的节点有资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。

ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

在实施ACL的过程中，应当遵循如下两个基本原则：1.最小特权原则：只给受控对象完成任务所必须的最小的权限。

2.最靠近受控对象原则：所有的网络层访问权限控制。

3.默认丢弃原则：在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

局限性：由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

因此，要达到end to end的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

acl规则要如何写？1、设置acl ：acl number 3000rule 0 permit ip source 服务器端的子网掩码的反码//允许哪些子网访问服务器rule 5 deny ip destination 服务器端的子网掩码的反码//不允许哪些子网访问服务器2、绑定到端口：interface gig 0/1 //进入服务器所在的交换机端口[GigabitEthernet0/1] firewall packet-filter 3000 inbound //把acl绑定到端口设置下发的ACL规则生效顺序acl match-order { config | auto }命令可以acl规则下发前预先确定其在整个acl内的匹配顺序，而acl order命令用来指定规则下发到硬件后的匹配顺序。

华为交换机ACL控制列表设置交换机配置（三）ACL基本配置1，二层ACL. 组网需求:通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。

该主机从GigabitEthernet0/1接入。

.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL# 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。

[Quidway] acl name traffic-of-link link# 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。

[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress00e0-fc01-0303 0-0-0 time-range huawei (3)激活ACL。

# 将traffic-of-link的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link2 三层ACLa)基本访问控制列表配置案例. 组网需求:通过基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。

该主机从GigabitEthernet0/1接入。

.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily(2)定义源IP为10.1.1.1的ACL# 进入基于名字的基本访问控制列表视图，命名为traffic-of-host。

目录第1章 ACL配置.......................................................................................................................1-11.1 访问控制列表简介..............................................................................................................1-11.1.1 访问控制列表概述...................................................................................................1-11.1.2 S3526E系列S3526C以太网交换机支持的访问控制列表....................................1-31.1.3 S3526系列S3552系列以太网交换机支持的访问控制列表.................................1-41.2 S3526系列交换机的ACL配置..........................................................................................1-41.2.1 时间段配置..............................................................................................................1-51.2.2 定义访问控制列表...................................................................................................1-51.2.3 激活访问控制列表...................................................................................................1-81.2.4 访问控制列表显示和调试.......................................................................................1-111.3 S3526E系列S3526C交换机的ACL配置....................................................................1-111.3.1 时间段配置............................................................................................................1-121.3.2 定义访问控制列表.................................................................................................1-121.3.3 激活访问控制列表.................................................................................................1-171.3.4 访问控制列表显示和调试.......................................................................................1-171.4 S3552系列交换机的ACL配置........................................................................................1-181.4.1 时间段配置............................................................................................................1-181.4.2 定义访问控制列表.................................................................................................1-191.4.3 激活访问控制列表.................................................................................................1-221.4.4 访问控制列表显示和调试.......................................................................................1-221.5 S3526系列交换机访问控制列表典型配置案例................................................................1-231.5.1 高级访问控制列表配置案例...................................................................................1-231.5.2 基本访问控制列表配置案例...................................................................................1-241.5.3 二层访问控制列表配置案例...................................................................................1-251.6 S3526E系列S3526C交换机访问控制列表典型配置案例............................................1-261.6.1 高级访问控制列表配置案例...................................................................................1-261.6.2 基本访问控制列表配置案例...................................................................................1-281.6.3 二层访问控制列表配置案例...................................................................................1-291.6.4 用户自定义访问控制列表配置案例........................................................................1-301.7 S3552系列交换机访问控制列表典型配置案例................................................................1-311.7.1 高级访问控制列表配置案例...................................................................................1-311.7.2 基本访问控制列表配置案例...................................................................................1-321.7.3 二层访问控制列表配置案例...................................................................................1-33第2章 QoS配置......................................................................................................................2-12.1 QoS简介............................................................................................................................2-12.2 S3526系列以太网交换机的QoS配置...............................................................................2-52.2.1 设置端口的优先级...................................................................................................2-82.2.2 设置交换机信任报文的优先级.................................................................................2-82.2.3 优先级标记配置.......................................................................................................2-92.2.4 队列调度配置...........................................................................................................2-92.2.5 流镜像配置............................................................................................................2-102.2.6 流量统计配置.........................................................................................................2-112.2.7 QoS的显示和调试.................................................................................................2-12 2.3 S3526E系列S3526C以太网交换机的QoS配置.........................................................2-122.3.1 设置端口的优先级.................................................................................................2-132.3.2 设置交换机信任报文的优先级...............................................................................2-132.3.3 流量监管................................................................................................................2-142.3.4 端口限速................................................................................................................2-142.3.5 报文重定向配置.....................................................................................................2-152.3.6 优先级标记配置.....................................................................................................2-152.3.7 队列调度配置.........................................................................................................2-162.3.8 流镜像配置............................................................................................................2-172.3.9 流量统计配置.........................................................................................................2-182.3.10 QoS的显示和调试...............................................................................................2-18 2.4 S3552系列以太网交换机的QoS配置.............................................................................2-192.4.1 服务参数分配规则配置..........................................................................................2-202.4.2 流量监管................................................................................................................2-212.4.3 流量整形................................................................................................................2-222.4.4 优先级标记配置.....................................................................................................2-232.4.5 报文重定向配置.....................................................................................................2-242.4.6 队列调度配置.........................................................................................................2-242.4.7 拥塞避免配置.........................................................................................................2-252.4.8 流镜像配置............................................................................................................2-272.4.9 端口镜像配置.........................................................................................................2-272.4.10 流量统计配置.......................................................................................................2-292.4.11 QoS的显示和调试...............................................................................................2-30 2.5 S3526系列交换机的QoS配置实例.................................................................................2-312.5.1 流镜像配置实例.....................................................................................................2-312.5.2 优先级标记和队列调度配置实例............................................................................2-322.5.3 流量统计实例.........................................................................................................2-33 2.6 S3526E系列S3526C交换机的QoS配置实例.............................................................2-342.6.1 流量监管和端口限速配置实例...............................................................................2-342.6.2 流镜像配置实例.....................................................................................................2-352.6.3 优先级标记配置实例..............................................................................................2-362.6.4 报文重定向配置实例..............................................................................................2-372.6.5 队列调度配置实例.................................................................................................2-382.6.6 流量统计实例.........................................................................................................2-392.7 S3552系列交换机的QoS配置实例.................................................................................2-402.7.1 流量监管配置实例.................................................................................................2-40第3章配置登录用户的ACL控制............................................................................................3-13.1 简介....................................................................................................................................3-13.2 配置对TELNET用户的ACL控制......................................................................................3-13.2.1 定义访问控制列表...................................................................................................3-13.2.2 引用访问控制列表对TELNET用户进行控制.......................................................3-23.2.3 配置举例..................................................................................................................3-33.3 对通过SNMP访问交换机的用户的ACL控制...................................................................3-33.3.1 定义访问控制列表...................................................................................................3-43.3.2 引用访问控制列表对通过SNMP访问交换机的用户进行控制.............................3-43.3.3 配置举例..................................................................................................................3-53.4 对通过HTTP访问交换机的用户的ACL控制....................................................................3-63.4.1 定义访问控制列表...................................................................................................3-63.4.2 引用访问控制列表对通过HTTP访问交换机的用户进行控制..............................3-63.4.3 配置举例..................................................................................................................3-7第1章 ACL 配置1.1 访问控制列表简介1.1.1 访问控制列表概述 网络设备为了过滤数据包需要配置一系列的匹配规则以识别需要过滤的对象在识别出特定的对象之后才能根据预先设定的策略允许或禁止相应的数据包通过访问控制列表Access Control List ACL 就是用来实现这些功能ACL 通过一系列的匹配条件对数据包进行分类这些条件可以是数据包的源地址目的地址端口号等ACL 应用在交换机全局或端口交换机根据ACL中指定的条件来检测数据包从而决定是转发还是丢弃该数据包由ACL 定义的数据包匹配规则还可以被其它需要对流量进行区分的场合引用如QoS中流分类规则的定义 一条访问控制规则可以由多条子规则组成而每一条语句指定的数据包的范围大小有别在匹配一个访问控制规则的时候就存在匹配顺序的问题1. ACL 直接下发到硬件中的情况交换机中ACL 可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类此时一条ACL中多个子规则的匹配顺序是由交换机的硬件决定的用户即使在定义ACL 时配置了匹配顺序也不起作用 由于芯片不同各款交换机的子规则硬件匹配顺序不同具体描述见下表表1-1 交换机ACL 子规则的硬件匹配顺序交换机 ACL 子规则的硬件匹配顺序S3526系列同一个ACL 配置了多个子规则时硬件匹配顺序是首先匹配deny 动作的子规则然后匹配permit 动作的子规则在匹配permit 动作的子规则时采用精确匹配优先选择范围最精确的规则进行匹配比如同一个ACL 100有两个子规则rule 0和rule 1rule 0的定义是rule 0 permit ipsource 1.1.1.1 0.0.255.255 destination 2.2.2.20.0.255.255rule 1的定义是rule 1 permit ip source1.1.1.1 0.0.0.255 destination2.2.2.2 0.0.0.255”则rule 1的范围更精确会被首先匹配交换机 ACL子规则的硬件匹配顺序S3526E系列同一个ACL配置了多个子规则时硬件匹配顺序是后下发的子规则将会先匹配S3526C 同一个ACL配置了多个子规则时硬件匹配顺序是后下发的子规则将会先匹配S3552系列同一个ACL配置了多个子规则时硬件匹配顺序是先下发的子规则将会先匹配说明S3526系列交换机包括S3526S3526 FM S3526 FS交换机S3526E系列交换机包括S3526E S3526E FM S3526E FS交换机S3552系列交换机包括S3552S3552F-SI S3528以太网交换机对于S3526系列交换机packet-filter功能只支持引用deny动作的规则其他的QoS功能比如优先级标记流镜像和流统计都只支持引用permit动作的规则但是在某些情况下会出现permit和deny动作同时匹配比如packet-filter功能引用ACL 100 rule 0deny动作流统计功能引用ACL 100 rule 1permit动作这时交换机将首先匹配deny动作的ACL 100 rule 0然后匹配rule 1ACL直接下发到硬件的情况包括交换机实现QoS功能时引用ACL通过ACL过滤转发数据等2. ACL被上层模块引用的情况交换机也使用ACL来对由软件处理的报文进行过滤和流分类此时ACL子规则的匹配顺序有两种config指定匹配该规则时按用户的配置顺序和auto 指定匹配该规则时系统自动排序即按深度优先的顺序这种情况下用户可以在定义ACL的时候指定一条ACL中多个子规则的匹配顺序用户一旦指定某一条访问控制规则的匹配顺序就不能再更改该顺序除非把该规则的内容全部删除再重新指定其匹配顺序ACL被上层模块引用的情况包括路由策略引用ACL对登录用户进行控制时引用ACL等说明深度优先的原则是指把指定数据包范围最小的语句排在最前面这一点可以通过比较地址的通配符来实现通配符越小则指定的主机的范围就越小比如129.102.1.1 0.0.0.0指定了一台主机129.102.1.1而129.102.1.10.0.255.255则指定了一个网段129.102.1.1129.102.255.255显然前者在访问控制规则中排在前面具体标准为对于基本访问控制规则的语句直接比较源地址通配符通配符相同的则按配置顺序对于基于接口过滤的访问控制规则配置了any的规则排在后面其它按配置顺序对于高级访问控制规则首先比较源地址通配符相同的再比较目的地址通配符仍相同的则比较端口号的范围范围小的排在前面如果端口号范围也相同则按配置顺序1.1.2 S3526E系列S3526C以太网交换机支持的访问控制列表在以太网交换机中访问控制列表分为以下几类基于数字标识的基本访问控制列表基于名字标识的基本访问控制列表基于数字标识的高级访问控制列表基于名字标识的高级访问控制列表基于数字标识的二层访问控制列表基于名字标识的二层访问控制列表基于数字标识的用户自定义型访问控制列表基于名字标识的用户自定义型访问控制列表交换机上对各种访问控制列表的数目限制如下表所示表1-2访问控制列表的数量限制项目数字取值范围最多可以定义的数量基于数字标识的基本访问控制列表199 99基于数字标识的高级访问控制列表 100199 100基于数字标识的二层访问控制列表 200299 100基于数字标识的用户自定义型访问控制列表 300399 100基于名字标识的基本访问控制列表1000基于名字标识的高级访问控制列表1000项目数字取值范围最多可以定义的数量基于名字标识的二层访问控制列表1000基于名字标识的用户自定义型访问控制列表1000一条访问控制列表可以定义的子规则0127 128交换机最多可以定义的子规则所有访问控制列表的子规则之和30001.1.3 S3526系列S3552系列以太网交换机支持的访问控制列表在以太网交换机中访问控制列表分为以下几类基于数字标识的基本访问控制列表基于名字标识的基本访问控制列表基于数字标识的高级访问控制列表基于名字标识的高级访问控制列表基于数字标识的二层访问控制列表基于名字标识的二层访问控制列表交换机上对各种访问控制列表的数目限制如下表所示表1-3访问控制列表的数量限制项目数字取值范围最多可以定义的数量基于数字标识的基本访问控制列表199 99基于数字标识的高级访问控制列表 100199 100基于数字标识的二层访问控制列表 200299 100基于名字标识的基本访问控制列表1000基于名字标识的高级访问控制列表1000基于名字标识的二层访问控制列表1000一条访问控制列表可以定义的子规则0127 128交换机最多可以定义的子规则所有访问控制列表的子规则之和30001.2 S3526系列交换机的ACL配置S3526系列交换机包括S3526S3526 FM S3526 FS交换机访问控制列表配置包括配置时间段定义访问控制列表激活访问控制列表以上三个步骤最好依次进行先配置时间段然后定义访问控制列表在其中会引用定义好的时间段最后激活访问控制列表使其生效1.2.1 时间段配置对时间段的配置有如下内容配置每天的时分范围周期范围和日期范围配置日期范围采用的是年月日时分的形式配置周期范围采用的是每周的周几的形式配置每天的时分范围采用的是每天的几点几分的形式可以使用下面的命令来配置时间范围请在系统视图下进行下列配置表1-4创建时间范围操作命令创建时间范围time-range time-name [ start-time to end-time ][days-of-the-week ] [ from start-time start-date][ to end-time end-date ]删除时间范围undo time-range time-name [ start-time to end-time ][days-of-the-week ] [ from start-time start-date][ to end-time end-date ]如果不配置起始时分和结束时分时间范围就是一天内所有的时间如果不配置结束日期时间范围就是从配置生效之日起到系统可以表示的最大时间为止1.2.2 定义访问控制列表华为系列交换机支持多种访问控制列表下面分别介绍如何定义这些访问控制列表定义访问控制列表的步骤为(1) 进入相应的访问控制列表视图(2) 定义访问控制列表的子规则说明(1) 如果定义ACL时不使用参数time-range则此访问控制列表激活后将在任何时刻都生效(2) 在定义ACL的子规则时用户可以多次使用rule命令给同一个访问控制列表定义多条规则(3) 如果ACL用于直接下发到硬件中对转发数据进行过滤和流分类则用户定义的子规则匹配顺序将不起作用如果ACL用于对由软件处理的报文进行过滤和流分类用户指定的匹配顺序将会有效并且用户一旦指定某一条访问控制列表子规则的匹配顺序就不能再更改该顺序(4) 缺省情况下访问控制列表中子规则的匹配顺序为按用户配置顺序config进行匹配1. 定义基本访问控制列表基本访问控制列表只根据三层源IP制定规则对数据包进行相应的分析处理可以使用下面的命令来定义基本访问控制列表请在相应视图下进行下列配置表1-5定义基本访问控制列表操作命令进入基本访问控制列表视图系统视图acl { number acl-number | name acl-name basic } [ match-order { config | auto } ]定义子规则基本访问控制列表视图rule [ rule-id ] { permit | deny } [ source source-addr wildcard | any ] [ fragment ] [ time-range name ]删除访问控制列表的一个子规则基本访问控制列表视图undo rule rule-id[ source ] [ fragment ] [ time-range ]删除访问控制列表或者删除全部访问控制列表系统视图undo acl { number acl-number | name acl-name | all }2. 定义高级访问控制列表高级访问控制列表根据源IP目的IP使用的TCP或UDP端口号报文优先级等数据包的属性信息制定分类规则对数据包进行相应的处理高级访问控制列表支持对三种报文优先级的分析处理TOS(Type Of Service)优先级IP优先级和DSCP优先级说明对于S3526S3526 FM S3526 FS 交换机在配置高级访问控制列表的时候有如下限制(1) 用户在配置IP-any any-IP NET-any any-NET的规则的时候即源地址为主机IP 地址或网段地址目的地址为任意IP 地址的规则源地址为任意IP 地址目的地址为主机IP地址或网段地址的规则不能配置协议类型即rule 命令中protocol参数如果用户配置了协议类型交换机会返回配置错误信息(2) 不支持ToS优先级DSCP 优先级参数(3) 支持rule 命令中icmp-type 参数不支持后面的type code 参数注意基于数字表示的高级访问控制列表198199号ACL 是交换机预留给集群模块的如果交换机没有启动集群用户可以对这两条访问控制列表进行配置和修改但是此后如果用户在交换机上打开了集群特性集群产生的访问控制列表将自动取代用户配置的访问控制列表如果交换机上已经启动了集群特性将禁止用户进行配置和修改但是用户可以在其它应用中引用198199号ACL 规则也可以查看这两条规则可以使用下面的命令来定义高级访问控制列表请在相应视图下进行下列配置表1-6 定义高级访问控制列表操作命令 进入高级访问控制列表视图系统视图 acl { number acl-number | name acl-name advanced } [ match-order { config | auto } ]定义子规则高级访问控制列表视图 rule [ rule-id ] { permit | deny } protocol [ sourcesource-addr wildcard | any ] [ destination dest-addrwildcard | any ] [ source-port operator port1 [ port2 ] ][ destination-port operator port1 [ port2 ] ] [ icmp-typetype code ] [ established ] [ precedence precedence ][ tos tos ] [ dscp dscp ] [ fragment ] [ time-range name ]删除访问控制列表的一个子规则高级访问控制列表视图undo rule rule-id [ source ] [ destination ] [ source-port ][ destination-port ] [icmp-type ] [ precedence ] [ tos ][ dscp ] [ fragment ] [ time-range ] 删除访问控制列表或者删除全部访问控制列表系统视图 undo acl { number acl-number | name acl-name | all }高级访问控制列表的数字标识取值范围为100199需要注意的是上面命令中的port1port2参数指的是各种高层应用使用的TCP 或者UDP 的端口号对于部分常见的端口号可以用相应的助记符来代替其实际数字如使用bgp来代替BGP 协议使用的TCP 端口号1793. 定义二层访问控制列表二层访问控制列表根据源MAC 地址源VLAN ID 二层协议类型报文二层接收端口报文二层转发端口目的MAC 地址等二层信息制定规则对数据进行相应处理可以使用下面的命令来定义二层访问控制列表请在相应视图下进行下列配置表1-7 定义二层访问控制列表操作命令进入二层访问控制列表视图系统视图acl {number acl-number | name acl-name link} [ match-order { config | auto } ]定义子规则二层访问控制列表视图rule [ rule-id ] { permit | deny } [ protocol ] [ cos vlan-pri ] [ ingress { [ source-vlan-id ] [ source-mac-addr source-mac-wildcard ] [ interface { interface-name | interface-typeinterface-num } ] | any } ] [ egress { [ dest-mac-addr dest-mac-wildcard ][ interface { interface-name | interface-type interface-num } ] | any } ] [ time-range name ]删除访问控制列表的一个子规则二层访问控制列表视图undo rule rule-id删除访问控制列表或者删除全部访问控制列表系统视图undo acl { number acl-number | name acl-name | all }二层访问控制列表的数字标识取值范围为2002991.2.3 激活访问控制列表将访问控制列表定义好后必须激活之后才能使之生效本配置用来激活那些对交换机硬件转发的数据进行过滤或分类的访问控制列表 可以使用下面的命令来激活定义好的访问控制列表 请在系统视图下进行下列配置表1-8 激活ACL操作命令激活访问控制列表packet-filter { [ ip-group { acl-number |acl-name } [ rule rule ] ] [ link-group { acl-number | acl-name } [ rulerule ] ] } 取消激活访问控制列表undo packet-filter { [ ip-group{ acl-number | acl-name } [ rule rule ] ] [ link-group { acl-number | acl-name } [ rule rule ] ] }说明本命令支持同时激活二层访问控制列表和IP 访问控制列表IP 访问控制列表包括基本访问控制列表高级访问控制列表但是要求组合项的动作一致如果动作冲突一个是permit 而另一个是deny 则不能激活S3526交换机在使用流分类实现各个QoS功能时对引用的用于流分类的访问控制列表的配置有所限制具体限制条件的描述见下表表1-9 S3526的QoS 功能对ACL 的配置限制QoS 功能实现QoS 功能的命令对引用的ACL 的配置限制 包过滤packet-filter { [ ip-group { acl-number | acl-name } [ rulerule ] ] [ link-group { acl-number| acl-name } [ rule rule ] ] }包过滤只支持引用deny 操作的访问控制列表对于二层访问控制列表支持引用MAC-MACMAC-PORT PORT-PORT MAC-ANY ANY-MAC PORT-ANY ANY-PORT的规则 对于三层访问控制列表支持引用IP-IP IP-NET NET-NET IP-ANY ANY-IP NET-ANY ANY-NET 的规则说明下面对表格中的内容进行简要的说明(1) 三层访问控制列表包括高级访问控制列表(2) 在对规则的描述中MAC表示MAC地址PORT表示交换机的端口IP 表示主机IP地址ANY在二层访问控制列表中表示任意MAC地址在三层访问控制列表中表示任意IP地址NET表示网段IP地址字符-前面的MAC IP ANY NET PORT表示源地址或报文的接收端口后面的表示目的地址或报文的发送端口MAC-MAC表示配置的规则是从源MAC地址到目的MAC地址的二层访问控制列表的规则比如rule 0 permit ingress 00e0-fc01-0101 1 egress00e0-fc01-0102 1 time-range huaweiPORT-PORT表示配置的规则是从报文的接收端口到发送端口的二层访问控制列表的规则比如“rule 0 permit ingress interface ethernet0/1 egressinterface ethernet 0/2 time-range huaweiMAC-PORT表示配置的规则是从报文的源MAC地址到发送端口的二层访问控制列表的规则比如rule 0 permit ingress 00e0-fc01-0101 1 egressinterface ethernet 0/1 time-range huaweiIP-IP表示配置的规则是从源主机IP地址到目的主机IP地址的三层访问控制列表(wildcard参数取值为0)比如“rule 0 permit ip source 1.1.1.1 0destination 2.2.2.2 0 time-range huaweiNET-NET表示配置的规则是从源网段IP地址到目的网段IP地址的三层访问控制列表(wildcard参数取值不为0)比如rule 0 permit ip source 1.1.1.10.0.255.255 destination 2.2.2.2 0.0.255.255 time-range huaweiMAC-any表示配置的规则是从源MAC地址到报文的发送端口的二层访问控制列表比如“rule 0 permit ingress 00e0-fc01-0101 1 egress any time-range huawei Any-MAC IP-any any-IP NET-any any-NET规则与MAC-any类似(3) 对于MAC-MAC规则在定义访问控制列表时源MAC目的MAC都必须在同一个VLAN内即在定义访问控制列表时对源MAC目的MAC必须配置相同的VLAN ID参数(4) 对于IP-any any-IP NET-any any-NET的规则即源地址为主机IP地址或网段地址目的地址为任意IP地址的规则源地址为任意IP地址目的地址为主机IP地址或网段地址的规则S3526交换机不支持对特定协议报文的过滤因此用户在S3526上定义此类规则时协议类型只能配置为IP 即rule命令中protocol参数只能取值IP如果用户配置了其他协议类型交换机会在规则下发的时候返回配置错误信息(5) IP-IP MAC-MAC MAC-PORT PORT-PORT PORT-MAC IP-NETNET-NET规则将对两个方向起作用即用户定义了一个规则过滤从源地址到目的地址的报文则该规则将同时过滤从目的地址到源地址的报文IP-any any-IP NET-any any-NET MAC-any any-MAC规则只对所定义的一个方向起作用(6) S3526S3526 FM S3526 FS仅仅支持配置icmp-type参数不支持配置type code参数(7) 表格中在各个QoS功能对应的对引用的ACL的配置限制中说明了在配置该QoS功能时可以引用的ACL规则除此之外的其他ACL规则在S3526S3026 FM S3026 FS交换机上实现该QoS功能时都不能被引用此时系统会给出不支持的提示(8) 用户在实现QoS功能时需要首先定义该QoS功能可以引用的ACL规则避免配置错误1.2.4 访问控制列表显示和调试在完成上述配置后在所有视图下执行display命令都可以显示配置后访问控制列表的运行情况用户可以通过查看显示信息验证配置的效果在用户视图下执行reset命令可以将有关访问控制列表的统计信息清除表1-10访问控制列表的显示和调试操作命令显示时间段状况display time-range[ all | name ]显示访问控制列表的详细配置信息display acl config { all | acl-number | acl-name }显示访问控制列表的下发应用信息display acl running-packet-filter all清除访问控制列表的统计信息reset acl counter { all | acl-number | acl-name }display acl config命令显示的匹配信息是由交换机CPU处理的匹配信息用户可以使用命令display qos-info traffic-statistic显示交换机转发数据的匹配信息具体的参数说明请参见命令手册1.3 S3526E系列S3526C交换机的ACL配置S3526E系列交换机包括S3526E S3526E FM S3526E FS交换机访问控制列表配置包括配置时间段定义访问控制列表激活访问控制列表以上三个步骤最好依次进行先配置时间段然后定义访问控制列表在其中会引用定义好的时间段最后激活访问控制列表使其生效1.3.1 时间段配置对时间段的配置有如下内容配置每天的时分范围周期范围和日期范围配置日期范围采用的是年月日时分的形式配置周期范围采用的是每周的周几的形式配置每天的时分范围采用的是每天的几点几分的形式可以使用下面的命令来配置时间范围请在系统视图下进行下列配置表1-11创建时间范围操作命令创建时间范围time-range time-name [ start-time to end-time ][days-of-the-week ] [ from start-time start-date][ to end-time end-date ]删除时间范围undo time-range time-name [ start-time to end-time ][days-of-the-week ] [ from start-time start-date][ to end-time end-date ]如果不配置起始时分和结束时分时间范围就是一天内所有的时间如果不配置结束日期时间范围就是从配置生效之日起到系统可以表示的最大时间为止1.3.2 定义访问控制列表华为系列交换机支持多种访问控制列表下面分别介绍如何定义这些访问控制列表定义访问控制列表的步骤为(1) 进入相应的访问控制列表视图(2) 定义访问控制列表的子规则说明(1) 如果定义ACL时不使用参数time-range则此访问控制列表激活后将在任何时刻都生效(2) 在定义ACL的子规则时用户可以多次使用rule命令给同一个访问控制列表定义多条规则(3) 如果ACL用于直接下发到硬件中对转发数据进行过滤和流分类则用户定义的子规则匹配顺序将不起作用如果ACL用于对由软件处理的报文进行过滤和流分类用户指定的匹配顺序将会有效并且用户一旦指定某一条访问控制列表子规则的匹配顺序就不能再更改该顺序(4) 缺省情况下访问控制列表中子规则的匹配顺序为按用户配置顺序config进行匹配1. 定义基本访问控制列表基本访问控制列表只根据三层源IP制定规则对数据包进行相应的分析处理可以使用下面的命令来定义基本访问控制列表请在相应视图下进行下列配置表1-12定义基本访问控制列表操作命令进入基本访问控制列表视图系统视图acl { number acl-number | name acl-name basic } [ match-order { config | auto } ]定义子规则基本访问控制列表视图rule [ rule-id ] { permit | deny } [ source source-addr wildcard | any ] [ fragment ] [ time-range name ]删除访问控制列表的一个子规则基本访问控制列表视图undo rule rule-id[ source ] [ fragment ] [ time-range ]删除访问控制列表或者删除全部访问控制列表系统视图undo acl { number acl-number | name acl-name | all }2. 定义高级访问控制列表高级访问控制列表根据源IP目的IP使用的TCP或UDP端口号报文优先级等数据包的属性信息制定分类规则对数据包进行相应的处理高级访问控制列表支持对三种报文优先级的分析处理TOS(Type Of Service)优先级IP优先级和DSCP优先级注意基于数字表示的高级访问控制列表198199号ACL是交换机预留给集群模块的如果交换机没有启动集群用户可以对这两条访问控制列表进行配置和修改但是此后如果用户在交换机上打开了集群特性集群产生的访问控制列表将自动取代用户配置的访问控制列表如果交换机上已经启动了集群特性将禁止用户进行配置和修改但是用户可以在其它应用中引用198199号ACL规则也可以查看这两条规则。

华为ACL配置教程一、ACL基本配置1、ACL规则生效时间段配置（需要先配置设备的时间，建议用ntp同步时间）某些引用ACL的业务或功能需要限制在一定的时间范围内生效，比如，在流量高峰期时启动设备的QoS功能。

用户可以为ACL创建生效时间段，通过在规则中引用时间段信息限制ACL生效的时间范围，从而达到该业务或功能在一定的时间范围内生效的目的。

[Huawei]time-range test ?<hh:mm> Starting timefrom The beginning point of the time range[Huawei]time-range test 8:00 ?to The ending point of periodic time-range[Huawei]time-range test 8:00 t[Huawei]time-range test 8:00 to ?<hh:mm> Ending Time[Huawei]time-range test 8:00 to 18:05 ?<0-6> Day of the week(0 is Sunday)Fri Friday #星期五Mon Monday #星期一Sat Saturday #星期六Sun Sunday #星期天Thu Thursday #星期四Tue Tuesday #星期二Wed Wednesday #星期三daily Every day of the week #每天off-day Saturday and Sunday #星期六和星期日working-day Monday to Friday #工作日每一天[Huawei]time-range test from 8:00 2016/1/17 to 18:00 2016/11/17使用同一time-name可以配置多条不同的时间段，以达到这样的效果：各周期时间段之间以及各绝对时间段之间分别取并集之后，再取二者的交集作为最终生效的时间范围。

华为策略路由配置实例1、组网需求图1 策略路由组网示例图如上图1所示，公司用户通过Switch双归属到外部网络设备。

其中,一条是低速链路，网关为10.1.20。

1/24；另外一条是高速链路，网关为10.1.30.1/24。

公司希望上送外部网络的报文中，IP优先级为4、5、6、7的报文通过高速链路传输，而IP优先级为0、1、2、3的报文则通过低速链路传输。

2、配置思路1、创建VLAN并配置各接口，实现公司和外部网络设备互连.2、配置ACL规则，分别匹配IP优先级4、5、6、7，以及IP优先级0、1、2、3。

3、配置流分类，匹配规则为上述ACL规则,使设备可以对报文进行区分。

4、配置流行为，使满足不同规则的报文分别被重定向到10。

1。

20.1/24和10。

1.30.1/24。

5、配置流策略，绑定上述流分类和流行为，并应用到接口GE2/0/1的入方向上，实现策略路由。

3、操作步骤3.1、创建VLAN并配置各接口＃在Switch上创建VLAN100和VLAN200.〈HUAWEI> system—view［HUAWEI］sysname Switch[Switch] vlan batch 100 200# 配置Switch上接口GE1/0/1、GE1/0/2和GE2/0/1的接口类型为Trunk,并加入VLAN100和VLAN200.［Switch］interface gigabitethernet 1/0/1［Switch—GigabitEthernet1/0/1] port link—type trunk ［Switch—GigabitEthernet1/0/1] port trunk allow-pass vlan 100 200［Switch-GigabitEthernet1/0/1］quit［Switch］interface gigabitethernet 1/0/2 [Switch—GigabitEthernet1/0/2］port link—type trunk［Switch-GigabitEthernet1/0/2] port trunk allow—pass vlan 100 200［Switch—GigabitEthernet1/0/2］quit[Switch] interface gigabitethernet 2/0/1［Switch-GigabitEthernet2/0/1] port link-type trunk ［Switch—GigabitEthernet2/0/1］port trunk allow-pass vlan 100 200［Switch-GigabitEthernet2/0/1］quit配置LSW与Switch对接的接口为Trunk类型接口，并加入VLAN100和VLAN200。