ACL命令——H3C交换机（基本ACL）

depsyq 2011-12-09

展开全文

ACL命令——H3C交换机（基本ACL）

1、acl命令用于创建一条ACL，并进入相应的ACL视图。undo acl命令用于删除指定的ACL，或者删除全部ACL。

ACL支持两种匹配顺序，如下所示：

1、配置顺序：根据配置顺序匹配ACL规则。

2、自动排序：根据“深度优先”规则匹配ACL规则。

“深度优先”规则说明如下：

1、基本ACL的深度优先以源IP地址掩码长度排序，掩码越长的规则位置越靠前。排序时比较源IP地址掩码长度，若源IP地址掩码长度相等，则先配置的规则匹配位置靠前。例如，源IP地址掩码为255.255.255.0的规则比源IP地址掩码为255.255.0.0的规则匹配位置靠前。

2、高级ACL的深度优先以源IP地址掩码和目的IP地址掩码长度排序，掩码越长的规则位置越靠前。排序时先比较源IP地址掩码长度，若源IP地址掩码长度相等，则比较目的IP地址掩码长度；若目的IP地址掩码长度也相等，则先配置的规则匹配位置靠前。例如，源IP地址掩码长度相等时，目的IP地址掩码为255.255.255.0的规则比目的IP地址掩码为255.255.0.0的规则匹配位置靠前。

可以使用match-order指定匹配顺序是按照用户配置的顺序还是按照深度优先顺序（优先匹配范围小的规则），如果不指定则缺省为用户配置顺序。

用户一旦指定一条ACL的匹配顺序后，就不能再更改，除非把该ACL规则全部删除，再重新指定其匹配顺序。

ACL的匹配顺序特性只在该ACL被软件引用进行数据过滤和分类时有效。

【举例】

# 定义ACL 2000的规则，并定义规则匹配顺序为深度优先顺序。

<H3C> system-view

System View: return to User View with Ctrl+Z.

[H3C] acl number 2000 match-order auto

[H3C-acl-basic-2000]

2、 description命令用来定义ACL的描述信息，描述该ACL的具体用途。

undo description命令用来删除对ACL的描述。

【举例】

# 定义ACL 3000的描述信息。

<H3C> system-view

System View: return to User View with Ctrl+Z.

[H3C] acl number 3000

[H3C-acl-adv-3000] description This acl is used in eth 0

3、display acl命令用来显示配置的ACL的信息。本命令会按照匹配顺序显示ACL的规则。

4、display time-range命令用来显示当前时间段的配置和状态，对于当前处在激活状态的时间段将显示Active，对于非激活状态显示Inactive。

5、rule命令用来定义ACL的规则。undo rule命令用来删除一个ACL规则或者ACL规则的属性信息。

在删除一条ACL规则时，需要指定该规则的编号。如果用户不知道ACL规则的编号，可以使用命令display acl来查看。

对于在定义ACL规则时指定编号的情况：

1、当匹配顺序为config时，如果指定编号对应的规则已经存在，系统将编辑该规则，没有编辑的部分仍旧保持原来的状态；当匹配顺序为auto时，用户不能编辑任何一个已经存在的规则，否则系统会提示错误信息。

2、如果指定编号对应的规则不存在，用户将创建并定义一个新的规则。

3、编辑后或新创建的规则不能和已经存在的规则内容完全相同，否则会导致编辑或创建不成功，系统会提示该规则已经存在。

在定义ACL规则时如果不指定编号，用户将创建并定义一个新规则，设备将自动为这个规则分配一个编号。

【举例】

# 配置ACL 2000，禁止源地址为1.1.1.1的用户通过Telnet方式登录到交换机上。关于配置对登录用户的控制请参见“登录交换机”模块的相关内容。

<H3C> system-view

System View: return to User View with Ctrl+Z.

[H3C] acl number 2000

[H3C-acl-basic-2000] rule deny source 1.1.1.1 0

[H3C-acl-basic-2000] display acl 2000

Basic ACL 2000, 1 rule

Acl's step is 1

rule 0 deny source 1.1.1.1 0 (0 times matched)

注：number acl-number：ACL（Access Control List，访问控制列表）的序号，取值范围为2000～3999。

1、2000～2999：基本ACL。

2、3000～3999：高级ACL（ACL 3998与3999是系统为集群管理预留的编号，用户无法配置）。