S5130系列交換機ACL和QoS配置指導

1、H3C S5130-HI 系列以太網(wǎng)交換機ACL 和 QoS 配置指導前 言H3C S5130-HI 系列以太網(wǎng)交換機配置指導介紹了 S5130-HI 系列交換機各軟件特性的原理及其配置方法，包含原理簡介、配置任務描述和配置舉例。ACL 和 QoS 配置指導主要介紹 ACL 和 QoS 技術(shù)的原理和配置，包括創(chuàng)建 IPv4 ACL 和 IPv6 ACL，通過 ACL 進行報文過濾、使用 QoS 策略對流量進行控制，以及接口限速、擁塞管理、流量重標記等常用的 QoS 技術(shù)。前言部分包含如下內(nèi)容： HYPERLINK l _bookmark0 讀者對象 HYPERLINK l _bookmark1

2、 本書約定 HYPERLINK l _bookmark2 產(chǎn)品配套資料 HYPERLINK l _bookmark3 資料獲取方式 HYPERLINK l _bookmark4 技術(shù)支持 HYPERLINK l _bookmark5 資料意見反饋讀者對象本手冊主要適用于如下工程師：網(wǎng)絡規(guī)劃人員現(xiàn)場技術(shù)支持與維護人員負責網(wǎng)絡配置和維護的網(wǎng)絡管理員本書約定命令行格式約定格式意義粗體命令行關鍵字（命令中保持不變、必須照輸?shù)牟糠郑┎捎眉哟肿煮w表示。斜體命令行參數(shù)（命令中必須由實際值進行替代的部分）采用斜體表示。 表示用“ ”括起來的部分在命令配置時是可選的。 x | y | . 表示從多個選項中僅選取

3、一個。 x | y | . 表示從多個選項中選取一個或者不選。 x | y | . *表示從多個選項中至少選取一個。 x | y | . *表示從多個選項中選取一個、多個或者不選。&表示符號&前面的參數(shù)可以重復輸入1n次。#由“#”號開始的行表示為注釋行。圖形界面格式約定格式意義帶尖括號“”表示按鈕名，如“單擊按鈕”。 帶方括號“ ”表示窗口名、菜單名和數(shù)據(jù)表，如“彈出新建用戶窗口”。/多級菜單用“/”隔開。如文件/新建/文件夾多級菜單表示文件菜單下的新建子菜單下的文件夾菜單項。各類標志本書還采用各種醒目標志來表示在操作過程中應該特別注意的地方，這些標志的意義如下： 該標志后的注釋需給予格外關

4、注，不當?shù)牟僮骺赡軙θ松碓斐蓚ΑＬ嵝巡僮髦袘⒁獾氖马?，不當?shù)牟僮骺赡軙е聰?shù)據(jù)丟失或者設備損壞。為確保設備配置成功或者正常工作而需要特別關注的操作或信息。對操作內(nèi)容的描述進行必要的補充和說明。配置、操作、或使用設備的技巧、小竅門。圖標約定本書使用的圖標及其含義如下：該圖標及其相關描述文字代表一般網(wǎng)絡設備，如路由器、交換機、防火墻等。該圖標及其相關描述文字代表一般意義下的路由器，以及其他運行了路由協(xié)議的設備。該圖標及其相關描述文字代表二、三層以太網(wǎng)交換機，以及運行了二層協(xié)議的設備。該圖標及其相關描述文字代表無線控制器、無線控制器業(yè)務板和有線無線一體化交換機的無線控制引擎設備。該圖標及其相關

5、描述文字代表無線接入點設備。該圖標及其相關描述文字代表無線Mesh設備。該圖標代表發(fā)散的無線射頻信號。該圖標代表點到點的無線射頻信號。該圖標及其相關描述文字代表防火墻、UTM、多業(yè)務安全網(wǎng)關、負載均衡等安全設備。該圖標及其相關描述文字代表防火墻插卡、負載均衡插卡、NetStream插卡、SSL VPN插卡、IPS插卡、ACG插卡等安全插卡。端口編號示例約定本手冊中出現(xiàn)的端口編號僅作示例，并不代表設備上實際具有此編號的端口，實際使用中請以設備上存在的端口編號為準。產(chǎn)品配套資料H3C S5130-HI 系列以太網(wǎng)交換機的配套資料包括如下部分：大類資料名稱內(nèi)容介紹硬件介紹及安裝安全兼容性手冊列出產(chǎn)品

6、的兼容性聲明，并對兼容性和安全的細節(jié)進行說明快速安裝指南指導您對設備進行初始安裝，通常針對最常用的情況， 減少您的檢索時間安裝指導幫助您詳細了解設備硬件規(guī)格和安裝方法，指導您對設備進行安裝風扇安裝手冊幫助您了解產(chǎn)品支持的可插拔風扇模塊的外觀、功能、規(guī)格、安裝及拆卸方法電源手冊幫助您了解產(chǎn)品支持的可插拔電源模塊的外觀、功能、規(guī)格、安裝及拆卸方法接口模塊擴展卡用戶手冊幫助您了解該接口模塊擴展卡的外觀、規(guī)格、安裝及拆卸方法可插拔模塊手冊幫助您了解產(chǎn)品支持的可插拔模塊類型、外觀和規(guī)格H3C可插拔SFPSFP+XFP模塊安裝指南幫助您掌握SFP/SFP+/XFP模塊的正確安裝方法，避免因操作不當而造成器

7、件損壞業(yè)務配置配置指導幫助您掌握設備軟件功能的配置方法及配置步驟命令參考詳細介紹設備的命令，相當于命令字典，方便您查閱各個命令的功能運行維護MIB Companion與軟件版本配套的MIB Companion版本說明書幫助您了解產(chǎn)品版本的相關信息（包括：版本配套說明、兼容性說明、特性變更說明、技術(shù)支持信息）及軟件升級方法i目 錄 HYPERLINK l _bookmark6 1 ACL HYPERLINK l _bookmark7 1-1 HYPERLINK l _bookmark6 ACL簡介 HYPERLINK l _bookmark8 1-1 HYPERLINK l _bookmark6

8、 ACL在交換機上的應用方式 HYPERLINK l _bookmark9 1-1 HYPERLINK l _bookmark6 ACL的編號和名稱 HYPERLINK l _bookmark10 1-1 HYPERLINK l _bookmark6 ACL的分類 HYPERLINK l _bookmark11 1-1 HYPERLINK l _bookmark12 ACL的規(guī)則匹配順序 HYPERLINK l _bookmark14 1-2 HYPERLINK l _bookmark16 ACL的步長 HYPERLINK l _bookmark17 1-3 HYPERLINK l _book

9、mark16 ACL對分片報文的處理 HYPERLINK l _bookmark18 1-3 HYPERLINK l _bookmark16 ACL配置任務簡介 HYPERLINK l _bookmark19 1-3 HYPERLINK l _bookmark20 配置ACL HYPERLINK l _bookmark21 1-4 HYPERLINK l _bookmark20 配置基本ACL HYPERLINK l _bookmark22 1-4 HYPERLINK l _bookmark23 配置高級ACL HYPERLINK l _bookmark24 1-5 HYPERLINK l _

10、bookmark25 配置二層ACL HYPERLINK l _bookmark26 1-7 HYPERLINK l _bookmark25 復制ACL HYPERLINK l _bookmark27 1-7 HYPERLINK l _bookmark28 應用ACL進行報文過濾 HYPERLINK l _bookmark29 1-8 HYPERLINK l _bookmark30 ACL顯示和維護 HYPERLINK l _bookmark31 1-9 HYPERLINK l _bookmark32 ACL典型配置舉例 HYPERLINK l _bookmark33 1-101- PAGE

11、11ACLACL簡介ACL（Access Control List，訪問控制列表）是一或多條規(guī)則的集合，用于識別報文流。這里的規(guī)則是指描述報文匹配條件的判斷語句，匹配條件可以是報文的源地址、目的地址、端口號等。網(wǎng)絡設備依照這些規(guī)則識別出特定的報文，并根據(jù)預先設定的策略對其進行處理。ACL在交換機上的應用方式當 ACL 被其他功能引用時，根據(jù)設備在實現(xiàn)該功能時的處理方式（硬件處理或者軟件處理），ACL可以被分為基于硬件的應用和基于軟件的應用。典型的基于硬件的應用包括：報文過濾、QoS 策略；基于軟件的應用包括：路由、對登錄用戶（Telnet、SNMP）進行控制等。在某些應用方式下（例如 QoS

12、策略），ACL 僅用于匹配報文，ACL 規(guī)則中的動作（deny 或 permit）被忽略，不作為對報文進行丟棄或轉(zhuǎn)發(fā)的依據(jù)，類似情況請參見相應功能中的說明。當 ACL 被 QoS 策略引用進行流分類時，如果報文沒有與 ACL 中的規(guī)則匹配，此時交換機不會使用流行為中定義的動作對此類報文進行處理。當 ACL 被用于對 Telnet 和 SNMP 登錄用戶進行控制時，如果報文沒有與 ACL 中的規(guī)則匹配， 此時交換機對此類報文采取的動作為 deny，即拒絕報文通過。關于應用ACL對報文進行過濾的介紹和配置，請參見 HYPERLINK l _bookmark29 1.3.5 HYPERLINK l

13、_bookmark29 應用ACL進行報文過濾。ACL的編號和名稱用戶在創(chuàng)建ACL時必須為其指定編號，不同的編號對應不同類型的ACL，如 HYPERLINK l _bookmark13 表 1-1 所示；同時，為了便于記憶和識別，用戶在創(chuàng)建ACL時還可選擇是否為其設置名稱。ACL一旦創(chuàng)建，便不允許用戶再為其設置名稱、修改或刪除其原有名稱。當 ACL 創(chuàng)建完成后，用戶就可以通過指定編號或名稱的方式來指定該 ACL，以便對其進行操作。基本 ACL、高級 ACL 的編號和名稱各在其適用的 IP 版本（IPv4 和 IPv6）中唯一。ACL的分類根據(jù)規(guī)則制訂依據(jù)的不同，可以將ACL分為如 HYPERL

14、INK l _bookmark13 表 1-1 所示的幾種類型。表1-1 ACL 的分類ACL 類型編號范圍適用的IP 版本規(guī)則制訂依據(jù)基本ACL20002999IPv4報文的源IPv4地址IPv6報文的源IPv6地址高級ACL30003999IPv4報文的源IPv4地址、目的IPv4地址、報文優(yōu)先級、IPv4承載的協(xié)議類型及特性等三、四層信息IPv6報文的源IPv6地址、目的IPv6地址、報文優(yōu)先級、IPv6承載的協(xié)議類型及特性等三、四層信息二層ACL40004999IPv4和IPv6報文的源MAC地址、目的MAC地址、802.1p優(yōu)先級、鏈路層協(xié)議類型等二層信息ACL的規(guī)則匹配順序當一個

15、ACL 中包含多條規(guī)則時，報文會按照一定的順序與這些規(guī)則進行匹配，一旦匹配上某條規(guī)則便結(jié)束匹配過程。ACL 的規(guī)則匹配順序有以下兩種：配置順序：按照規(guī)則編號由小到大進行匹配。自動排序：按照“深度優(yōu)先”原則由深到淺進行匹配，各類型ACL的“深度優(yōu)先”排序法則如 HYPERLINK l _bookmark15 表 1-2 所示。表1-2 各類型 ACL 的“深度優(yōu)先”排序法則ACL 類型“深度優(yōu)先”排序法則IPv4基本ACL先比較源 IPv4 地址范圍，較小者優(yōu)先如果源 IPv4 地址范圍也相同，再比較配置的先后次序，先配置者優(yōu)先IPv4高級ACL先比較協(xié)議范圍，指定有 IPv4 承載的協(xié)議類型者

16、優(yōu)先如果協(xié)議范圍也相同，再比較源 IPv4 地址范圍，較小者優(yōu)先如果源 IPv4 地址范圍也相同，再比較目的 IPv4 地址范圍，較小者優(yōu)先如果目的 IPv4 地址范圍也相同，再比較四層端口（即 TCP/UDP 端口）號的覆蓋范圍， 較小者優(yōu)先如果四層端口號的覆蓋范圍無法比較，再比較配置的先后次序，先配置者優(yōu)先IPv6基本ACL先比較源 IPv6 地址范圍，較小者優(yōu)先如果源 IPv6 地址范圍也相同，再比較配置的先后次序，先配置者優(yōu)先IPv6高級ACL先比較協(xié)議范圍，指定有 IPv6 承載的協(xié)議類型者優(yōu)先如果協(xié)議范圍相同，再比較源 IPv6 地址范圍，較小者優(yōu)先如果源 IPv6 地址范圍也相同

17、，再比較目的 IPv6 地址范圍，較小者優(yōu)先如果目的 IPv6 地址范圍也相同，再比較四層端口（即 TCP/UDP 端口）號的覆蓋范圍， 較小者優(yōu)先如果四層端口號的覆蓋范圍無法比較，再比較配置的先后次序，先配置者優(yōu)先二層ACL先比較源 MAC 地址范圍，較小者優(yōu)先如果源 MAC 地址范圍相同，再比較目的 MAC 地址范圍，較小者優(yōu)先如果目的 MAC 地址范圍也相同，再比較配置的先后次序，先配置者優(yōu)先比較 IPv4 地址范圍的大小，就是比較 IPv4 地址通配符掩碼中“0”位的多少：“0”位越多，范圍越小。通配符掩碼（又稱反向掩碼）以點分十進制表示，并以二進制的“0”表示“匹配”，“1”表示“不

18、關心”，這與子網(wǎng)掩碼恰好相反，譬如子網(wǎng)掩碼 對應的通配符掩碼就是55。此外，通配符掩碼中的“0”或“1”可以是不連續(xù)的，這樣可以更加靈活地進行匹配，譬如 55 就是一個合法的通配符掩碼。比較 IPv6 地址范圍的大小，就是比較 IPv6 地址前綴的長短：前綴越長，范圍越小。比較 MAC 地址范圍的大小，就是比較 MAC 地址掩碼中“1”位的多少：“1”位越多，范圍越小。ACL的步長ACL 中的每條規(guī)則都有自己的編號，這個編號在該 ACL 中是唯一的。在創(chuàng)建規(guī)則時，可以手工為其指定一個編號，如未手工指定編號，則由系統(tǒng)為其自動分配一個編號。由于規(guī)則的編號可能影響規(guī)則匹配的順序，因此當由系統(tǒng)自動分配

19、編號時，為了方便后續(xù)在已有規(guī)則之前插入新的規(guī)則，系統(tǒng)通常會在相鄰編號之間留下一定的空間，這個空間的大?。聪噜従幪栔g的差值）就稱為 ACL 的步長。譬如，當步長為 5 時，系統(tǒng)會將編號 0、5、10、15依次分配給新創(chuàng)建的規(guī)則。系統(tǒng)為規(guī)則自動分配編號的方式如下：系統(tǒng)從 0 開始，按照步長自動分配一個大于現(xiàn)有最大編號的最小編號。譬如原有編號為 0、5、9、10 和 12 的五條規(guī)則，步長為 5，此時如果創(chuàng)建一條規(guī)則且不指定編號，那么系統(tǒng)將自動為其分配編號 15。如果步長發(fā)生了改變，ACL 內(nèi)原有全部規(guī)則的編號都將自動從 0 開始按新步長重新排列。譬如，某ACL 內(nèi)原有編號為 0、5、9、10

20、和 15 的五條規(guī)則，當修改步長為 2 之后，這些規(guī)則的編號將依次變?yōu)?0、2、4、6 和 8。ACL對分片報文的處理傳統(tǒng)的報文過濾只對分片報文的首個分片進行匹配過濾，而對后續(xù)分片一律放行。因此，網(wǎng)絡攻擊者通常會構(gòu)造后續(xù)分片進行流量攻擊。為提高網(wǎng)絡安全性，ACL 規(guī)則缺省會匹配所有非分片報文和分片報文的全部分片，但這樣又帶來效率低下的問題。為了兼顧網(wǎng)絡安全和匹配效率，可將過濾規(guī)則配置為僅對后續(xù)分片有效。ACL配置任務簡介表1-3 ACL 配置任務簡介配置任務說明詳細配置配置基本ACL三者至少選其一 HYPERLINK l _bookmark22 1.3.1配置高級ACL HYPERLINK l

21、 _bookmark24 1.3.2配置二層ACL HYPERLINK l _bookmark26 1.3.3復制ACL可選 HYPERLINK l _bookmark27 1.3.4應用ACL進行報文過濾可選 HYPERLINK l _bookmark29 1.3.5配置ACL配置基本ACL配置IPv4 基本ACLIPv4 基本 ACL 根據(jù)報文的源 IP 地址來制訂規(guī)則，對 IPv4 報文進行匹配。表1-4 配置 IPv4 基本 ACL操作命令說明進入系統(tǒng)視圖system-view-創(chuàng)建IPv4基本ACL，并進入IPv4基本ACL視圖acl number acl-number name a

22、cl-name match-order auto | config 缺省情況下，不存在任何ACLIPv4基本ACL的編號范圍為20002999如果在創(chuàng)建IPv4基本ACL時為其設置了名稱，則也可使用acl name acl-name命令進入其視圖（可選）配置ACL的描述信息description text缺省情況下，ACL沒有任何描述信息（可選）配置規(guī)則編號的步長step step-value缺省情況下，規(guī)則編號的步長為5創(chuàng)建規(guī)則rule rule-id deny | permit counting | fragment | logging |source source-addresssour

23、ce-wildcard | any | time-rangetime-range-name *缺省情況下，IPv4基本ACL內(nèi)不存在任何規(guī)則logging參數(shù)需要使用該ACL的模塊支持日志記錄功能，例如報文過濾（可選）為指定規(guī)則配置描述信息rule rule-id comment text缺省情況下，規(guī)則沒有任何描述信息操作命令說明進入系統(tǒng)視圖system-view-缺省情況下，不存在任何ACL創(chuàng)建IPv6基本ACL，并進入IPv6基本ACL視圖acl ipv6 number acl-number name acl-name match-order auto | config IPv6基本AC

24、L的編號范圍為20002999如果在創(chuàng)建IPv6基本ACL時為其設置了名稱， 則也可使用acl ipv6 name acl-name命令進入其視圖（可選）配置ACL的描述信息description text缺省情況下，ACL沒有任何描述信息（可選）配置規(guī)則編號的步長step step-value缺省情況下，規(guī)則編號的步長為5配 置 IPv6 基 本 ACL IPv6 基本 ACL 根據(jù)報文的源 IPv6 地址來制訂規(guī)則，對 IPv6 報文進行匹配。表1-5 配置 IPv6 基本 ACL操作命令說明創(chuàng)建規(guī)則rule rule-id deny | permit counting | fragmen

25、t | logging |routing type routing-type | source source-address source-prefix |source-address/source-prefix | any | time-range time-range-name *缺省情況下，IPv6基本ACL內(nèi)不存在任何規(guī)則logging參數(shù)需要使用該ACL的模塊支持日志記錄功能，例如報文過濾當ACL用于QoS策略的流分類或用于報文過濾功能時，不支持配置fragment參數(shù)（可選）為指定規(guī)則配置描述信息rule rule-id comment text缺省情況下，規(guī)則沒有任何描述信息配置

26、高級ACL配置IPv4 高級ACLIPv4 高級 ACL 可根據(jù)報文的源 IP 地址、目的 IP 地址、報文優(yōu)先級、IP 承載的協(xié)議類型及特性（如TCP/UDP 的源端口和目的端口、TCP 報文標識、ICMP 協(xié)議的消息類型和消息碼等）等信息來制定規(guī)則，對 IPv4 報文進行匹配。用戶可利用 IPv4 高級 ACL 制訂比 IPv4 基本 ACL 更準確、豐富、靈活的規(guī)則。表1-6 配置 IPv4 高級 ACL操作命令說明進入系統(tǒng)視圖system-view-缺省情況下，不存在任何ACLIPv4高級ACL的編號范圍為創(chuàng)建IPv4高級ACL，并進入IPv4高級ACL視圖acl number acl

27、-number name acl-name match-order auto | config 30003999如果在創(chuàng)建IPv4高級ACL時為其設置了名稱，則也可使用acl nameacl-name命令進入其視圖（可選）配置ACL的描述信息description text缺省情況下，ACL沒有任何描述信息（可選）配置規(guī)則編號的步長step step-value缺省情況下，規(guī)則編號的步長為5創(chuàng)建規(guī)則rule rule-id deny | permit protocol ack ack-value | fin fin-value | psh psh-value | rst rst-value |

28、 syn syn-value | urg urg-value * | established | counting | destination dest-address dest-wildcard | any |destination-port operator port1 port2 | dscp dscp | precedence precedence | tostos * | fragment | icmp-type icmp-type icmp-code | icmp-message | logging | source source-address source-wildcard |

29、 any | source-port operator port1 port2 | time-range time-range-name *缺省情況下，IPv4高級ACL內(nèi)不存在任何規(guī)則logging參數(shù)需要使用該ACL的模塊支持日志記錄功能，例如報文過濾當ACL用于QoS策略的流分類或報文過濾功能時，不支持配置操作符operator取值為neq（可選）為指定規(guī)則配置描述信息rule rule-id comment text缺省情況下，規(guī)則沒有任何描述信息配置IPv6 高級ACLIPv6 高級 ACL 可根據(jù)報文的源 IPv6 地址、目的 IPv6 地址、報文優(yōu)先級、IPv6 承載的協(xié)議類型及

30、特性（如 TCP/UDP 的源端口和目的端口、TCP 報文標識、ICMPv6 協(xié)議的消息類型和消息碼等） 等信息來制定規(guī)則，對 IPv6 報文進行匹配。用戶可利用 IPv6 高級 ACL 制訂比 IPv6 基本 ACL 更準確、豐富、靈活的規(guī)則。表1-7 配置 IPv6 高級 ACL操作命令說明進入系統(tǒng)視圖system-view-創(chuàng)建IPv6高級ACL，并進入IPv6高級ACL視圖acl ipv6 number acl-number name acl-name match-order auto | config 缺省情況下，不存在任何ACLIPv6高級ACL的編號范圍30003999如果在創(chuàng)建

31、IPv6高級ACL時為其設置了名稱，則也可使用acl ipv6 name acl-name命令進入其視圖（可選）配置ACL的描述信息description text缺省情況下，ACL沒有任何描述信息（可選）配置規(guī)則編號的步長step step-value缺省情況下，規(guī)則編號的步長為5創(chuàng)建規(guī)則rule rule-id deny | permit protocol ackack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value * | established | countin

32、g | destination dest-address dest-prefix |dest-address/dest-prefix | any |destination-port operator port1 port2 | dscp dscp | flow-label flow-label-value | fragment | icmp6-type icmp6-type icmp6-code |icmp6-message | logging | routing type routing-type | hop-by-hop type hop-type | source source-addr

33、ess source-prefix | source-address/source-prefix | any |source-port operator port1 port2 | time-rangetime-range-name *缺省情況下，IPv6高級ACL內(nèi)不存在任何規(guī)則logging參數(shù)需要使用該ACL的模塊支持日志記錄功能，例如報文過濾當ACL用于QoS策略的流分類或報文過濾功能時：不支持配置 fragment 參數(shù)不支持配置操作符 operator取值為 neq如果 QoS 策略或報文過濾功能應用于出方向，則不支持配置 routing、hop-by-hop、flow-label

34、 參數(shù)，不支持配置 protocol 參數(shù)取值為 0、43、44、51、60 或關鍵字 ipv6-ah。（可選）為指定規(guī)則配置描述信息rule rule-id comment text缺省情況下，規(guī)則沒有任何描述信息如果 IPv6 高級 ACL 匹配的是 IPv6 擴展報文頭內(nèi)層的報文內(nèi)容，則只支持匹配一層擴展報文頭后的內(nèi)容，對兩層或兩層以上擴展報文頭后的內(nèi)容以及包含 Encapsulating Security Payload Header 報文頭的報文，ACL 將無法進行匹配。配置二層ACL二層 ACL 可根據(jù)報文的源 MAC 地址、目的 MAC 地址、802.1p 優(yōu)先級、鏈路層協(xié)議類型

35、等二層信息來制訂規(guī)則，對報文進行匹配。表1-8 配置二層 ACL操作命令說明進入系統(tǒng)視圖system-view-缺省情況下，不存在任何ACL創(chuàng)建二層ACL，并進入二層ACL視圖acl number acl-number name acl-name match-order auto | config 二層ACL的編號范圍為40004999如果在創(chuàng)建二層ACL時為其設置了名 稱，則也可使用acl name acl-name命令進入其視圖（可選）配置ACL的描述信息description text缺省情況下，ACL沒有任何描述信息（可選）配置規(guī)則編號的步長step step-value缺省情況下，規(guī)

36、則編號的步長為5缺省情況下，二層ACL內(nèi)不存在任何規(guī)創(chuàng)建規(guī)則rule rule-id deny | permit cos vlan-pri| counting | dest-mac dest-addressdest-mask | lsap lsap-type lsap-type-mask | type protocol-type protocol-type-mask | source-mac source-address source-mask |time-range time-range-name *則當二層ACL用于QoS策略的流分類或用于報文過濾功能時，如果使用lsap參數(shù)， 則lsap

37、-type必須為AAAA，lsap-type-mask必須為FFFF，否則ACL將無法正常應用（可選）為指定規(guī)則配置描述信息rule rule-id comment text缺省情況下，規(guī)則沒有任何描述信息復制ACL用戶可通過復制一個已存在的 ACL（即源 ACL），來生成一個新的同類型 ACL（即目的 ACL）。除了 ACL 的編號和名稱不同外，目的 ACL 與源 ACL 完全相同。目的 ACL 要與源 ACL 的類型相同，且目的 ACL 必須不存在，否則將導致復制失敗。表1-9 復制 ACL操作命令說明進入系統(tǒng)視圖system-view-復制并生成一個新的ACLacl ipv6 copy

38、source-acl-number | name source-acl-name to dest-acl-number | name dest-acl-name -應用ACL進行報文過濾ACL 最基本的應用就是進行報文過濾，即通過將 ACL 規(guī)則應用到指定接口的入或出方向上，從而對該接口收到或發(fā)出的報文進行過濾。本節(jié)中所指的“接口”包括二層以太網(wǎng)接口、三層以太網(wǎng)接口、VLAN 接口。三層以太網(wǎng)接口是指在以太網(wǎng)接口視圖下通過port link-mode route 命令切換為三層模式的以太網(wǎng)接口，有關以太網(wǎng)接口模式切換的操作，請參見“二層技術(shù)-以太網(wǎng)交換配置指導”中的“以太網(wǎng)接口配置”。在接口上

39、應用ACL進行報文過濾表1-10 在接口上應用 ACL 進行報文過濾操作命令說明進入系統(tǒng)視圖system-view-進入接口視圖interface interface-type interface-number-在接口上應用ACL進行報文過濾packet-filter ipv6 acl-number | name acl-name inbound | outbound hardware-count 缺省情況下，接口不對報文進行過濾一個接口在一個方向上最多可應用一個 ACL 進行報文過濾。配置報文過濾在VLAN接口的生效范圍在 VLAN 接口下應用 ACL 進行報文過濾時，可以通過本功能指定報文

40、過濾的生效范圍：僅對三層轉(zhuǎn)發(fā)的報文生效。對所有報文生效，即通過 VLAN 接口進行三層轉(zhuǎn)發(fā)的報文和通過 VLAN 接口對應的物理接口進行二層轉(zhuǎn)發(fā)的報文均生效。表1-11 配置報文過濾在 VLAN 接口的生效范圍操作命令說明進入系統(tǒng)視圖system-view-創(chuàng)建VLAN接口并進入VLAN接口視圖interface vlan-interface vlan-interface-id如果該VLAN接口已經(jīng)存在，則直接進入該VLAN接口視圖缺省情況下，未創(chuàng)建VLAN接口配置報文過濾的生效范圍packet-filter filter route | all 缺省情況下，報文過濾對所有報文生效缺省情況下，

41、報文過濾僅對通過VLAN接口進行三層轉(zhuǎn)發(fā)的報文生效配置報文過濾日志的生成與發(fā)送周期在配置了報文過濾日志的生成與發(fā)送周期之后，設備將周期性地生成報文過濾日志信息并發(fā)送到信息中心，包括該周期內(nèi)被匹配的報文數(shù)量以及所使用的 ACL 規(guī)則。關于信息中心的詳細介紹請參見“網(wǎng)絡管理和監(jiān)控配置指導”中的“信息中心”。表1-12 配置報文過濾日志的生成與發(fā)送周期操作命令說明進入系統(tǒng)視圖system-view-配置報文過濾日志的生成與發(fā)送周期acl ipv6 logging intervalinterval缺省情況下，報文過濾日志的生成與發(fā)送周期為0分鐘，即不記錄報文過濾的日志配置報文過濾的缺省動作系統(tǒng)缺省的報

42、文過濾動作為 Permit，即允許未匹配上 ACL 規(guī)則的報文通過。通過本配置可更改報文過濾的缺省動作為 Deny，即禁止未匹配上 ACL 規(guī)則的報文通過。表1-13 配置報文過濾的缺省動作為 deny操作命令說明進入系統(tǒng)視圖system-view-配置報文過濾的缺省動作為Denypacket-filter default deny缺省情況下，報文過濾的缺省動作為Permit， 即允許未匹配上ACL規(guī)則的報文通過ACL顯示和維護在完成上述配置后，在任意視圖下執(zhí)行 display 命令可以顯示 ACL 配置后的運行情況，通過查看顯示信息驗證配置的效果。在用戶視圖下執(zhí)行 reset 命令可以清除

43、ACL 的統(tǒng)計信息。表1-14 ACL 顯示和維護配置命令顯示ACL的配置和運行情況display acl ipv6 acl-number | all | name acl-name 顯示ACL在報文過濾中的應用情況display packet-filter interface interface-type interface-number inbound | outbound | interface vlan-interfacevlan-interface-number inbound | outbound slot slot-number 顯示ACL在報文過濾中應用的統(tǒng)計信息display

44、 packet-filter statistics interface interface-type interface-number inbound | outbound ipv6 acl-number | name acl-name brief 顯示ACL在報文過濾中應用的累加統(tǒng)計信息display packet-filter statistics sum inbound | outbound ipv6 acl-number | name acl-name brief 顯示ACL在報文過濾中的詳細應用情況display packet-filter verbose interface int

45、erface-typeinterface-number inbound | outbound ipv6 acl-number |name acl-name slot slot-number 顯示QoS和ACL資源的使用情況display qos-acl resource slot slot-number 配置命令清除ACL的統(tǒng)計信息reset acl ipv6 counter acl-number | all | name acl-name 清除ACL在報文過濾中應用的統(tǒng)計信息（包括累加統(tǒng)計信息）reset packet-filter statistics interface interfac

46、e-typeinterface-number inbound | outbound ipv6 acl-number |name acl-name ACL典型配置舉例組網(wǎng)需求某公司內(nèi)的各部門之間通過 Device A 實現(xiàn)互連，該公司的工作時間為每周工作日的 8 點到 18點。通過配置，允許總裁辦在任意時間、財務部在工作時間訪問財務數(shù)據(jù)庫服務器，禁止其它部門在任何時間、財務部在非工作時間訪問該服務器。組網(wǎng)圖圖1-1 ACL 典型配置組網(wǎng)圖配置步驟# 創(chuàng)建名為 work 的時間段，其時間范圍為每周工作日的 8 點到 18 點。 system-viewDeviceA time-range work

47、08:0 to 18:00 working-day# 創(chuàng)建 IPv4 高級 ACL 3000，并制訂如下規(guī)則：允許總裁辦在任意時間、財務部在工作時間訪問財務數(shù)據(jù)庫服務器，禁止其它部門在任何時間、財務部在非工作時間訪問該服務器。DeviceA acl number 3000DeviceA-acl-adv-3000 rule permit ip source 55 destination 000DeviceA-acl-adv-3000 rule permit ip source 55 destination 000 time-range workDeviceA-acl-adv-3000 rule

48、deny ip source any destination 00 0DeviceA-acl-adv-3000 quit# 應用 IPv4 高級 ACL 3000 對接口 GigabitEthernet1/0/1 出方向上的報文進行過濾。DeviceA interface gigabitethernet 1/0/1DeviceA-GigabitEthernet1/0/1 packet-filter 3000 outbound DeviceA-GigabitEthernet1/0/1 quit驗證配置配置完成后，在各部門的 PC（假設均為 Windows XP 操作系統(tǒng)）上可以使用 ping 命

49、令檢驗配置效果，在 Device A 上可以使用 display acl 命令查看 ACL 的配置和運行情況。例如在工作時間：# 在財務部的 PC 上檢查到財務數(shù)據(jù)庫服務器是否可達。C: ping 00Pinging 00 with 32 bytes of data:Reply from 00: bytes=32 time=1ms TTL=255 Reply from 00: bytes=32 time1ms TTL=255 Reply from 00: bytes=32 time1ms TTL=255 Reply from 00: bytes=32 time ping 00Pinging 0

50、0 with 32 bytes of data: Request timed out.Request timed out. Request timed out. Request timed out.Ping statistics for 00: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),由此可見，市場部的 PC 不能在工作時間訪問財務數(shù)據(jù)庫服務器。# 查看 IPv4 高級 ACL 3000 的配置和運行情況。DeviceA display acl 3000Advanced ACL3000, named -none-, 3 rul

51、es,ACLs step is 5rule 0 permit ip source 55 destination 00 0rule 5 permit ip source 55 destination 00 0 time-range work (Active)rule 10 deny ip destination 00 0由此可見，由于目前是工作時間，因此規(guī)則 5 是生效的。 PAGE * roman iv目 錄 HYPERLINK l _bookmark34 1 QoS簡介 HYPERLINK l _bookmark35 1-1 HYPERLINK l _bookmark34 1.1 概述 HY

52、PERLINK l _bookmark36 1-1 HYPERLINK l _bookmark34 QoS服務模型簡介 HYPERLINK l _bookmark37 1-1 HYPERLINK l _bookmark34 Best-Effort服務模型 HYPERLINK l _bookmark38 1-1 HYPERLINK l _bookmark34 IntServ服務模型 HYPERLINK l _bookmark39 1-1 HYPERLINK l _bookmark34 DiffServ服務模型 HYPERLINK l _bookmark40 1-1 HYPERLINK l _bo

53、okmark41 QoS技術(shù)綜述 HYPERLINK l _bookmark42 1-2 HYPERLINK l _bookmark41 QoS技術(shù)在網(wǎng)絡中的位置 HYPERLINK l _bookmark43 1-2 HYPERLINK l _bookmark45 QoS配置方式 HYPERLINK l _bookmark46 2-1 HYPERLINK l _bookmark45 配置方式介紹 HYPERLINK l _bookmark47 2-1 HYPERLINK l _bookmark45 非QoS策略配置方式 HYPERLINK l _bookmark48 2-1 HYPERLIN

54、K l _bookmark45 QoS策略配置方式 HYPERLINK l _bookmark49 2-1 HYPERLINK l _bookmark45 QoS策略配置方式的步驟 HYPERLINK l _bookmark50 2-1 HYPERLINK l _bookmark51 2.2.1 定義類 HYPERLINK l _bookmark53 2-2 HYPERLINK l _bookmark54 定義流行為 HYPERLINK l _bookmark55 2-4 HYPERLINK l _bookmark54 定義策略 HYPERLINK l _bookmark56 2-4 HYPE

55、RLINK l _bookmark57 應用策略 HYPERLINK l _bookmark58 2-5 HYPERLINK l _bookmark64 QoS策略顯示和維護 HYPERLINK l _bookmark65 2-8 HYPERLINK l _bookmark66 優(yōu)先級映射 HYPERLINK l _bookmark67 3-1 HYPERLINK l _bookmark66 優(yōu)先級映射簡介 HYPERLINK l _bookmark68 3-1 HYPERLINK l _bookmark66 優(yōu)先級介紹 HYPERLINK l _bookmark69 3-1 HYPERLIN

56、K l _bookmark66 優(yōu)先級映射表 HYPERLINK l _bookmark70 3-1 HYPERLINK l _bookmark66 優(yōu)先級信任模式 HYPERLINK l _bookmark71 3-1 HYPERLINK l _bookmark73 優(yōu)先級映射過程 HYPERLINK l _bookmark74 3-3 HYPERLINK l _bookmark76 優(yōu)先級映射配置任務簡介 HYPERLINK l _bookmark77 3-5 HYPERLINK l _bookmark78 配置優(yōu)先級映射 HYPERLINK l _bookmark79 3-6 HYPER

57、LINK l _bookmark78 配置優(yōu)先級映射表 HYPERLINK l _bookmark80 3-6 HYPERLINK l _bookmark78 配置優(yōu)先級信任模式 HYPERLINK l _bookmark81 3-6 HYPERLINK l _bookmark82 配置端口優(yōu)先級 HYPERLINK l _bookmark83 3-7 HYPERLINK l _bookmark82 優(yōu)先級映射顯示和維護 HYPERLINK l _bookmark84 3-7 HYPERLINK l _bookmark82 優(yōu)先級映射典型配置舉例 HYPERLINK l _bookmark85

58、 3-7 HYPERLINK l _bookmark82 優(yōu)先級信任模式和端口優(yōu)先級配置舉例 HYPERLINK l _bookmark86 3-7 HYPERLINK l _bookmark87 優(yōu)先級映射表和重標記配置舉例 HYPERLINK l _bookmark88 3-8 HYPERLINK l _bookmark89 流量監(jiān)管、流量整形和接口限速 HYPERLINK l _bookmark90 4-1 HYPERLINK l _bookmark89 流量監(jiān)管、流量整形和接口限速簡介 HYPERLINK l _bookmark91 4-1 HYPERLINK l _bookmark8

59、9 流量評估與令牌桶 HYPERLINK l _bookmark92 4-1 HYPERLINK l _bookmark93 流量監(jiān)管 HYPERLINK l _bookmark94 4-2 HYPERLINK l _bookmark95 流量整形 HYPERLINK l _bookmark96 4-3 HYPERLINK l _bookmark97 接口限速 HYPERLINK l _bookmark100 4-4 HYPERLINK l _bookmark101 配置流量監(jiān)管 HYPERLINK l _bookmark102 4-5 HYPERLINK l _bookmark103 配置流

60、量整形 HYPERLINK l _bookmark104 4-6 HYPERLINK l _bookmark103 配置接口限速 HYPERLINK l _bookmark105 4-6 HYPERLINK l _bookmark106 流量監(jiān)管、流量整形和接口限速顯示和維護 HYPERLINK l _bookmark107 4-7 HYPERLINK l _bookmark106 流量監(jiān)管與流量整形典型配置舉例 HYPERLINK l _bookmark108 4-7 HYPERLINK l _bookmark106 流量監(jiān)管與流量整形典型配置舉例 HYPERLINK l _bookmark