分类: 系统运维
2011-10-20 08:47:39
ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。由ACL定义的数据包匹配规则,可以被其它需要对流量进行区分的功能引用,如QoS中流分类规则的定义。
在H3C以太网交换机上同时支持IPv4和IPv6两个版本的IP协议,所以也就是有两种ACL。目前主要应用的还是IPv4 ACL。所以本章在介绍ACL配置时还是以IPv4 ACL为主。
1. IPv4 ACLIPv4 ACL根据ACL序号来区分不同的ACL,可以分为下列四种类型:
n 基本IPv4 ACL(ACL序号为2000~2999):只根据报文的源IP地址信息制定匹配规则。
n 高级IPv4 ACL(ACL序号为3000~3999):根据报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性等三、四层信息制定匹配规则。
n 二层ACL(ACL序号为4000~4999):根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则。
n 用户自定义ACL(ACL序号为5000~5999):可以以报文的二层报文头、IP报文头等为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。
【注意】并不是所有支持ACL的H3C交换机系列都支持用户自定义ACL,如S5500-EI、S7500E等专用于教育行业的以太网交换机系列就不支持用户自定义ACL。
用户在创建IPv4 ACL时,可以为ACL指定一个名称。每个IPv4 ACL最多只能有一个名称。命名的ACL使用户可以通过名称唯一地确定一个IPv4 ACL,并对其进行相应的操作。
在创建ACL时,用户可以选择是否配置名称。ACL创建后,不允许用户修改或者删除ACL名称,也不允许为未命名的ACL添加名称。
【说明】IPv4 ACL的名称对于IPv4 ACL全局唯一,但允许与IPv6 ACL使用相同的名称。
2. IPv6 ACLIPv6 ACL根据ACL序号来区分不同的ACL,可以分为下列两种类型:
n 基本IPv6 ACL(ACL序号为2000~2999):只根据源IPv6地址信息制定匹配规则。
n 高级IPv6 ACL(ACL序号为3000~3999):根据报文的源IPv6地址信息、目的IPv6地址信息、IPv6承载的协议类型、协议的特性等三层、四层信息来制定匹配规则。
用户在创建IPv6 ACL时,可以为ACL指定一个名称。每个IPv6 ACL最多只能有一个名称。命名的ACL使用户可以通过名称唯一地确定一个IPv6 ACL,并对其进行相应的操作。
在创建ACL时,用户可以选择是否配置名称。但ACL创建后,与IPv4 ACL一样,也不允许用户修改或者删除ACL名称,也不允许为未命名的ACL添加名称。
【说明】IPv6 ACL的名称对于IPv6 ACL全局唯一,但允许与IPv4 ACL使用相同的名称。
本文摘自《Catalyst交换机VLAN、VMPS配置与管理》第十九章
