ACL命令——H3C交換機(基本ACL)
1、acl命令用于創(chuàng)建一條ACL,并進入相應(yīng)的ACL視圖。undo acl命令用于刪除指定的ACL,或者刪除全部ACL。
ACL支持兩種匹配順序,如下所示:
1、配置順序:根據(jù)配置順序匹配ACL規(guī)則。
2、自動排序:根據(jù)“深度優(yōu)先”規(guī)則匹配ACL規(guī)則。
“深度優(yōu)先”規(guī)則說明如下:
1、 基本ACL的深度優(yōu)先以源IP地址掩碼長度排序,掩碼越長的規(guī)則位置越靠前。排序時比較源IP地址掩碼長度,若源IP地址掩碼長度相等,則先配置的規(guī)則匹配位置靠前。例如,源IP地址掩碼為255.255.255.0的規(guī)則比源IP地址掩碼為255.255.0.0的規(guī)則匹配位置靠前。
2、 高級ACL的深度優(yōu)先以源IP地址掩碼和目的IP地址掩碼長度排序,掩碼越長的規(guī)則位置越靠前。排序時先比較源IP地址掩碼長度,若源IP地址掩碼長度相等,則比較目的IP地址掩碼長度;若目的IP地址掩碼長度也相等,則先配置的規(guī)則匹配位置靠前。例如,源IP地址掩碼長度相等時,目的IP地址掩碼為255.255.255.0的規(guī)則比目的IP地址掩碼為255.255.0.0的規(guī)則匹配位置靠前。
可以使用match-order指定匹配順序是按照用戶配置的順序還是按照深度優(yōu)先順序(優(yōu)先匹配范圍小的規(guī)則),如果不指定則缺省為用戶配置順序。
用戶一旦指定一條ACL的匹配順序后,就不能再更改,除非把該ACL規(guī)則全部刪除,再重新指定其匹配順序。
ACL的匹配順序特性只在該ACL被軟件引用進行數(shù)據(jù)過濾和分類時有效。
【舉例】
# 定義ACL 2000的規(guī)則,并定義規(guī)則匹配順序為深度優(yōu)先順序。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] acl number 2000 match-order auto
[H3C-acl-basic-2000]
2、 description命令用來定義ACL的描述信息,描述該ACL的具體用途。
undo description命令用來刪除對ACL的描述。
【舉例】
# 定義ACL 3000的描述信息。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] acl number 3000
[H3C-acl-adv-3000] description This acl is used in eth 0
3、display acl命令用來顯示配置的ACL的信息。本命令會按照匹配順序顯示ACL的規(guī)則。
4、display time-range命令用來顯示當(dāng)前時間段的配置和狀態(tài),對于當(dāng)前處在激活狀態(tài)的時間段將顯示Active,對于非激活狀態(tài)顯示Inactive。
5、rule命令用來定義ACL的規(guī)則。undo rule命令用來刪除一個ACL規(guī)則或者ACL規(guī)則的屬性信息。
在刪除一條ACL規(guī)則時,需要指定該規(guī)則的編號。如果用戶不知道ACL規(guī)則的編號,可以使用命令display acl來查看。
對于在定義ACL規(guī)則時指定編號的情況:
1、當(dāng)匹配順序為config時,如果指定編號對應(yīng)的規(guī)則已經(jīng)存在,系統(tǒng)將編輯該規(guī)則,沒有編輯的部分仍舊保持原來的狀態(tài);當(dāng)匹配順序為auto時,用戶不能編輯任何一個已經(jīng)存在的規(guī)則,否則系統(tǒng)會提示錯誤信息。
2、如果指定編號對應(yīng)的規(guī)則不存在,用戶將創(chuàng)建并定義一個新的規(guī)則。
3、編輯后或新創(chuàng)建的規(guī)則不能和已經(jīng)存在的規(guī)則內(nèi)容完全相同,否則會導(dǎo)致編輯或創(chuàng)建不成功,系統(tǒng)會提示該規(guī)則已經(jīng)存在。
在定義ACL規(guī)則時如果不指定編號,用戶將創(chuàng)建并定義一個新規(guī)則,設(shè)備將自動為這個規(guī)則分配一個編號。
【舉例】
# 配置ACL 2000,禁止源地址為1.1.1.1的用戶通過Telnet方式登錄到交換機上。關(guān)于配置對登錄用戶的控制請參見“登錄交換機”模塊的相關(guān)內(nèi)容。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] acl number 2000
[H3C-acl-basic-2000] rule deny source 1.1.1.1 0
[H3C-acl-basic-2000] display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 1
rule 0 deny source 1.1.1.1 0 (0 times matched)
注:number acl-number:ACL(Access Control List,訪問控制列表)的序號,取值范圍為2000~3999。
1、2000~2999:基本ACL。
2、3000~3999:高級ACL(ACL 3998與3999是系統(tǒng)為集群管理預(yù)留的編號,用戶無法配置)。
本站僅提供存儲服務(wù),所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請
點擊舉報。