QACL操作5Word文件下载.docx

1、1.6.3 二层访问控制列表配置案例 231.6.4 用户自定义访问控制列表配置案例 24第2章 QoS配置 12.1 QoS简介 12.2 S3026的QoS配置 52.2.1 设置端口的优先级 52.2.2 设置交换机信任报文的优先级 62.2.3 设置高低优先级队列的报文的轮循处理比值 62.2.4 QoS的显示和调试 72.2.5 QoS配置举例 72.3 S3026 F系列以太网交换机的QoS配置 82.3.1 设置端口的优先级 102.3.2 设置交换机信任报文的优先级 102.3.3 优先级标记配置 112.3.4 队列调度配置 112.3.5 流镜像配置 122.3.6 流量统

2、计配置 132.3.7 QoS的显示和调试 132.4 S3026E系列、S3050C-48以太网交换机的QoS配置 142.4.1 设置端口的优先级 142.4.2 设置交换机信任报文的优先级 152.4.3 流量监管 152.4.4 端口限速 162.4.5 报文重定向配置 162.4.6 优先级标记配置 172.4.7 队列调度配置 182.4.8 流镜像配置 192.4.9 端口镜像配置 192.4.10 流量统计配置 202.4.11 QoS的显示和调试 212.5 S3026 F系列交换机的QoS配置实例 222.5.1 流镜像配置实例 222.5.2 优先级标记和队列调度配置实例

3、 232.6 S3026E系列、S3050C-48的QoS配置实例 242.6.1 流量监管和端口限速配置实例 242.6.2 流镜像配置实例 252.6.3 优先级标记配置实例 262.6.4 报文重定向配置实例 262.6.5 队列调度配置实例 272.6.6 流量统计实例 28第3章 配置登录用户的ACL控制 303.1 简介 303.2 配置对TELNET用户的ACL控制 303.2.1 定义访问控制列表 303.2.2 引用访问控制列表，对TELNET用户进行控制 313.2.3 配置举例 313.3 对通过SNMP访问交换机的用户的ACL控制 323.3.1 定义访问控制列表 32

4、3.3.2 引用访问控制列表，对通过SNMP访问交换机的用户进行控制 323.3.3 配置举例 333.4 对通过HTTP访问交换机的用户的ACL控制 343.4.1 定义访问控制列表 343.4.2 引用访问控制列表，对通过HTTP访问交换机的用户进行控制 353.4.3 配置举例 35第1章 ACL配置1.1 访问控制列表简介1.1.1 访问控制列表概述网络设备为了过滤数据包，需要配置一系列的匹配规则，以识别需要过滤的对象。在识别出特定的对象之后，才能根据预先设定的策略允许或禁止相应的数据包通过。访问控制列表（Access Control List，ACL）就是用来实现这些功能。ACL通过

5、一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。ACL应用在交换机全局或端口，交换机根据ACL中指定的条件来检测数据包，从而决定是转发还是丢弃该数据包。由ACL定义的数据包匹配规则，还可以被其它需要对流量进行区分的场合引用，如QoS中流分类规则的定义。一条访问控制规则可以由多条子规则组成，而每一条语句指定的数据包的范围大小有别，在匹配一个访问控制规则的时候就存在匹配顺序的问题。1. ACL直接下发到硬件中的情况交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类。此时一条ACL中多个子规则的匹配顺序是由交换机的硬件决定的，用户即使在定义

6、ACL时配置了匹配顺序也不起作用。由于芯片不同，各款交换机的子规则硬件匹配顺序不同。具体描述见下表。表1-1 交换机ACL子规则的硬件匹配顺序交换机ACL子规则的硬件匹配顺序S3026E系列、S3050C-48同一个ACL配置了多个子规则时，硬件匹配顺序是后下发的子规则将会先匹配。ACL直接下发到硬件的情况包括：交换机实现QoS功能时引用ACL、通过ACL过滤转发数据等。2. ACL被上层模块引用的情况交换机也使用ACL来对由软件处理的报文进行过滤和流分类。此时ACL子规则的匹配顺序有两种：config（指定匹配该规则时按用户的配置顺序）和auto（指定匹配该规则时系统自动排序，即按“深度优先

7、”的顺序）。这种情况下用户可以在定义ACL的时候指定一条ACL中多个子规则的匹配顺序。用户一旦指定某一条访问控制规则的匹配顺序，就不能再更改该顺序，除非把该规则的内容全部删除，再重新指定其匹配顺序。ACL被上层模块引用的情况包括：路由策略引用ACL、对登录用户进行控制时引用ACL等。 说明：“深度优先”的原则是指：把指定数据包范围最小的语句排在最前面。这一点可以通过比较地址的通配符来实现，通配符越小，则指定的主机的范围就越小。比如129.102.1.1 0.0.0.0指定了一台主机：129.102.1.1，而129.102.1.1 0.0.255.255则指定了一个网段：129.102.1.1

8、129.102.255.255。显然前者在访问控制规则中排在前面。具体标准为：对于基本访问控制规则的语句，直接比较源地址通配符，通配符相同的则按配置顺序；对于基于接口过滤的访问控制规则，配置了“any”的规则排在后面，其它按配置顺序；对于高级访问控制规则，首先比较源地址通配符，相同的再比较目的地址通配符，仍相同的则比较端口号的范围，范围小的排在前面，如果端口号范围也相同则按配置顺序。1.1.2 以太网交换机支持的访问控制列表在以太网交换机中，访问控制列表分为以下几类： 基于数字标识的基本访问控制列表。 基于名字标识的基本访问控制列表。 基于数字标识的高级访问控制列表。 基于名字标识的高级访问控

9、制列表。 基于数字标识的二层访问控制列表。 基于名字标识的二层访问控制列表。 基于数字标识的用户自定义型访问控制列表。 基于名字标识的用户自定义型访问控制列表。交换机上对各种访问控制列表的数目限制如下表所示：表1-1 访问控制列表的数量限制项目数字取值范围最多可以定义的数量基于数字标识的基本访问控制列表19999基于数字标识的高级访问控制列表100199100基于数字标识的二层访问控制列表200299基于数字标识的用户自定义型访问控制列表300399基于名字标识的基本访问控制列表1000基于名字标识的高级访问控制列表基于名字标识的二层访问控制列表基于名字标识的用户自定义型访问控制列表一条访问控

10、制列表可以定义的子规则0127128交换机最多可以定义的子规则（所有访问控制列表的子规则之和）3000S3026只支持基本访问控制列表。S3026的访问控制列表只可以用于被软件引用，如对telnet用户进行ACL控制等。S3026 F系列交换机包括S3026 FM、S3026 FS，它们支持基本、二层访问控制列表。定义的访问控制列表可以用于硬件过滤报文，如包过滤、流量监管等，也可以用于被软件引用，如对telnet用户进行ACL控制等。S3026E系列交换机包括S3026E、S3026E FM、S3026E FS。S3026E系列、S3050C-48交换机支持所有的访问控制列表。同时在S3026

11、E上，所有的访问控制列表可以用于硬件过滤报文，如包过滤、流量监管等，也可以用于被软件引用，如对telnet用户进行ACL控制等。1.2 S3026的ACL配置访问控制列表配置包括： 配置时间段 定义访问控制列表 激活访问控制列表以上三个步骤最好依次进行，先配置时间段，然后定义访问控制列表（在其中会引用定义好的时间段），最后激活访问控制列表，使其生效。1.2.1 时间段配置对时间段的配置有如下内容：配置每天的时分范围、周期范围和日期范围。配置日期范围采用的是年、月、日、时、分的形式，配置周期范围采用的是每周的周几的形式，配置每天的时分范围采用的是每天的几点、几分的形式。可以使用下面的命令来配置时

12、间范围。请在系统视图下进行下列配置。表1-1 创建时间范围操作命令创建时间范围time-range time-name start-time to end-time days-of-the-week from start-time start-date to end-time end-date 删除时间范围undo time-range time-name start-time to end-time days-of-the-week from start-time start-date to end-time end-date 如果不配置起始时分和结束时分，时间范围就是一天内所有的时间。如果

13、不配置结束日期，时间范围就是从配置生效之日起到系统可以表示的最大时间为止。1.2.2 定义访问控制列表华为系列交换机支持多种访问控制列表，下面分别介绍如何定义这些访问控制列表。定义访问控制列表的步骤为：（1） 进入相应的访问控制列表视图（2） 定义访问控制列表的子规则（1） 如果定义ACL时不使用参数time-range，则此访问控制列表激活后将在任何时刻都生效。（2） 在定义ACL的子规则时，用户可以多次使用rule命令给同一个访问控制列表定义多条规则。（3） 如果ACL用于直接下发到硬件中对转发数据进行过滤和流分类，则用户定义的子规则匹配顺序将不起作用。如果ACL用于对由软件处理的报文进行

14、过滤和流分类，用户指定的匹配顺序将会有效，并且用户一旦指定某一条访问控制列表子规则的匹配顺序，就不能再更改该顺序。（4） 缺省情况下，访问控制列表中子规则的匹配顺序为按用户配置顺序（config）进行匹配。2. 定义基本访问控制列表基本访问控制列表只根据三层源IP制定规则，对数据包进行相应的分析处理。可以使用下面的命令来定义基本访问控制列表。请在相应视图下进行下列配置。表1-1 定义基本访问控制列表进入基本访问控制列表视图（系统视图）acl number acl-number | name acl-name basic match-order config | auto 定义子规则（基本访问控

15、制列表视图）rule rule-id permit | deny source source-addr wildcard | any fragment time-range name 删除访问控制列表的一个子规则（基本访问控制列表视图）undo rule rule-id source fragment time-range 删除访问控制列表，或者删除全部访问控制列表（系统视图）undo acl number acl-number | name acl-name | all 1.2.3 访问控制列表显示和调试在完成上述配置后，在所有视图下执行display命令都可以显示配置后访问控制列表的运行情

16、况。用户可以通过查看显示信息验证配置的效果。在用户视图下执行reset命令可以将有关访问控制列表的统计信息清除。表1-1 访问控制列表的显示和调试显示时间段状况。display time-range all | name 显示访问控制列表的详细配置信息。display acl config all | acl-number | acl-name 清除访问控制列表的统计信息。reset acl counter all | acl-number | acl-name 具体的参数说明请参见命令手册。1.3 S3026 F系列交换机的ACL配置1.3.1 时间段配置1.3.2 定义访问控制列表 说明:

17、3. 定义高级访问控制列表高级访问控制列表根据源IP、目的IP、使用的TCP或UDP端口号、报文优先级等数据包的属性信息制定分类规则，对数据包进行相应的处理。高级访问控制列表支持对三种报文优先级的分析处理：TOS（Type Of Service）优先级、IP优先级和DSCP优先级。对于S3026 FM、S3026 FS、S3526、S3526 FM、S3526 FS交换机，在配置高级访问控制列表的时候有如下限制：（1） 用户在配置IP-any，any-IP，NET-any，any-NET的规则的时候，（即源地址为主机IP地址或网段地址，目的地址为任意IP地址的规则；源地址为任意IP地址，目的地

18、址为主机IP地址或网段地址的规则），不能配置协议类型（即rule命令中protocol参数）。如果用户配置了协议类型，交换机会返回配置错误信息。（2） 不支持ToS优先级、DSCP优先级参数。（3） 支持rule命令中icmp-type参数，不支持后面的type code参数。 注意:基于数字表示的高级访问控制列表198、199号ACL是交换机预留给集群模块的。如果交换机没有启动集群，用户可以对这两条访问控制列表进行配置和修改，但是此后如果用户在交换机上打开了集群特性，集群产生的访问控制列表将自动取代用户配置的访问控制列表。如果交换机上已经启动了集群特性，将禁止用户进行配置和修改，但是用户可以

19、在其它应用中引用198、199号ACL规则，也可以查看这两条规则。可以使用下面的命令来定义高级访问控制列表。表1-1 定义高级访问控制列表进入高级访问控制列表视图（系统视图）acl number acl-number | name acl-name advanced match-order config | auto 定义子规则（高级访问控制列表视图）rule rule-id permit | deny protocol source source-addr wildcard | any destination dest-addr wildcard | any source-port oper

20、ator port1 port2 destination-port operator port1 port2 icmp-type type code established precedence precedence tos tos dscp dscp fragment time-range name 删除访问控制列表的一个子规则（高级访问控制列表视图）undo rule rule-id source destination source-port destination-port icmp-type precedence tos dscp fragment time-range 高级访问控制

21、列表的数字标识取值范围为100199。需要注意的是，上面命令中的port1、port2参数指的是各种高层应用使用的TCP或者UDP的端口号，对于部分常见的端口号，可以用相应的助记符来代替其实际数字，如使用“bgp”来代替BGP协议使用的TCP端口号179。4. 定义二层访问控制列表二层访问控制列表根据源MAC地址、源VLAN ID、二层协议类型、报文二层接收端口、报文二层转发端口、目的MAC地址等二层信息制定规则，对数据进行相应处理。可以使用下面的命令来定义二层访问控制列表。表1-1 定义二层访问控制列表进入二层访问控制列表视图（系统视图）acl number acl-number | nam

22、e acl-name link match-order config | auto 定义子规则（二层访问控制列表视图）rule rule-id permit | deny protocol cos vlan-pri ingress source-vlan-id source-mac-addr source-mac-wildcard interface interface-name | interface-type interface-num | any egress dest-mac-addr dest-mac-wildcard interface interface-name | interface-type interface-num | any time-range name 删除访问控制列表的一个子规则（二层访问控制列表视图）undo rule rule-id二层访问控制列表的数字标识取值范围为200299。1.3.3 激活访问控制列表将访问控制列表定义好后，必须激活之后才能使之生效。本配置用来激活那些对交换机硬件转发的数据进行过滤或分类的访问控制列表。可以使用下面的命令来激活定义好的访问控制列表。表1-1 激活ACL激活访问控制列表packet-filter ip-group acl-number | acl-name rule