分类: 系统运维
2011-10-20 08:54:27
在S5600、S7500等高端非专用教育行业的H3C以太网交换机中,还可以配置在端口上应用这些ACL。在端口上应用ACL可以实现报文过滤的功能。
在端口上应用ACL之前需要首先定义ACL。定义ACL的配置请参见19.2节介绍。
1. 配置过程在端口上应用ACL的配置方法如表19-10所示。
表19-10 在端口上应用ACL的步骤
|
命令 |
用途说明 |
Step 1 |
system-view |
进入系统视图 |
Step 2 |
interface interface-type interface-number |
进入以太网端口视图 |
Step 3 |
qos |
进入QoS视图。此步不适用于S5600系列交换机 |
Step 4 |
packet-filter inbound acl-rule |
在端口上应用ACL。适用于S5600系列 |
packet-filter { inbound | outbound } acl-rule [ system-index ] [ not-care-for-interface ] |
在端口上应用ACL。适用于S7500系列A型业务板支持的命令形式 | |
packet-filter inbound acl-rule [ system-index ] |
在端口上应用ACL。适用于S7500系列非A型业务板支持的命令形式 | |
Step 5 |
display packet-filter { interface interface-type interface-number | unitid unit-id } |
(可选)显示ACL的下发信息。适用于S5600系列。display命令可以在任意视图下执行 |
display acl running-packet-filter { all | interface interface-type interface-number } |
(可选)显示ACL的下发信息。适用于S7500系列。display命令可以在任意视图下执行 |
表19-10中适用于S7500系列的qos命令用来进入QoS视图,在此视图下用户可以进行相应的QoS配置。
【注意】S7500交换机不同的业务板支持的QoS功能有所不同,在进入不同的QoS视图后,用户可以使用“?”查询该业务板支持的QoS配置。
下面是一个使用qos命令进入非A型业务板的QoS视图并查询支持的QoS配置的示例。
System View: return to User View with Ctrl+Z.
[H3C] interface GigabitEthernet2/0/1
[H3C-GigabitEthernet2/0/1] qos
[H3C-qosb-GigabitEthernet2/0/1] ?
Qosb view commands:
display Display current system information
line-rate Limit the rate of the outbound packets of the
interface
mirrored-to Mirror the packets
msdp-tracert MSDP traceroute to source RP
packet-filter Filter packets based on acl
ping Send echo messages
queue-scheduler Specify queue scheduling mode and parameters
quit Exit from current command view
reset Reset operation
return Exit to User View
tracert Trace route function
traffic-limit Limit the rate of the packets
traffic-priority Specify new priority of the packets
traffic-redirect Redirect the packets
traffic-remark-vlanid Remark vlan ID of the packets
traffic-statistic Count the packets
undo Cancel current setting
下面是一个使用qos命令进入A型业务板的QoS视图并查询支持的QoS配置的示例。
System View: return to User View with Ctrl+Z.
[H3C] interface Ethernet2/0/1
[H3C-Ethernet2/0/1] qos
[H3C-qoss-Ethernet2/0/1]?
Qoss view commands:
display Display current system information
msdp-tracert MSDP traceroute to source RP
packet-filter Filter packets based on acl
ping Send echo messages
quit Exit from current command view
reset Reset operation
return Exit to User View
tracert Trace route function
traffic-bandwidth Guarantee the bandwidth of the packets
traffic-limit Limit the rate of the packets
traffic-priority Specify new priority of the packets
traffic-red Random early detect the packets
traffic-remark-vlanid Remark vlan ID of the packets
traffic-statistic Count the packets
undo Cancel current setting
表中适用于S7500系列交换机的“packet-filter inbound acl-rule”命令用来在端口上应用ACL,对数据包进行过滤。可用“undo packet-filter inbound acl-rule”命令用来取消ACL在端口上的应用。它们的参数解释如下:
n inbound:表示对端口接收的数据包进行过滤。
n acl-rule:应用的ACL规则,可以是多种ACL的组合。组合方式如表19-11所示。
表19-11 组合应用ACL的方式
组合方式 |
acl-rule的形式 |
单独应用一个IP型ACL(基本ACL或高级ACL)中的所有规则 |
ip-group acl-number |
单独应用一个IP型ACL中的一条规则 |
ip-group acl-number rule rule-id |
单独应用一个二层ACL中的所有规则 |
link-group acl-number |
单独应用一个二层ACL中的一条规则 |
link-group acl-number rule rule-id |
单独应用一个用户自定义ACL中的所有规则 |
user-group acl-number |
单独应用一个用户自定义ACL中的一条规则 |
user-group acl-number rule rule-id |
同时应用IP型ACL中一条规则和二层型ACL的一条规则 |
ip-group acl-number rule rule-id link-group acl-number rule rule-id |
表19-11中的可选项和参数解释如下:
n ip-group acl-number:表示基本或高级ACL序号,取值范围为2000~3999。
n link-group acl-number:表示二层ACL序号,取值范围为4000~4999。
n user-group acl-number:表示用户自定义ACL序号,取值范围为5000~5999。
n rule rule-id:ACL规则编号,取值范围为0~65534。如果不指定规则编号则表示ACL中的所有规则。
表19-10中适用于S7500系列交换机的两个“packet-filter”命令用来激活ACL。可用对应的“undo packet-filter”命令(A型业务板用“undo packet-filter { inbound | outbound } acl-rule [ not-care-for-interface ]”命令;非A型业务板用“undo packet-filter inbound acl-rule”命令)用来取消激活。这几个命令中的可选项和参数解释如下:
n inbound:表示对端口接收的报文进行过滤。
n outbound:表示对端口发送的报文进行过滤。
n acl-rule:应用的ACL,可以是多种ACL的组合。A型业务板的组合方式及相应参数说明如表19-12与表19-14;非A型业务板的组合方式及相应参数说明如表19-13与表19-14。
表19-12 A型业务板的组合应用ACL方式
组合方式 |
acl-rule的形式 |
单独应用一个IP型ACL中所有规则 |
ip-group { acl-number | acl-name } |
单独应用一个IP型ACL中一条规则 |
ip-group { acl-number | acl-name } rule rule-id |
单独应用一个Link型ACL中所有规则 |
link-group { acl-number | acl-name } |
单独应用一个Link型ACL中一条规则 |
link-group { acl-number | acl-name } rule rule-id |
表19-13 非A型业务板的组合应用ACL方式
组合方式 |
acl-rule的形式 |
单独应用一个IP型ACL中所有规则 |
ip-group { acl-number | acl-name } |
单独应用一个IP型ACL中一条规则 |
ip-group { acl-number | acl-name } rule rule-id |
单独应用一个Link型ACL中所有规则 |
link-group { acl-number | acl-name } |
单独应用一个Link型ACL中一条规则 |
link-group { acl-number | acl-name } rule rule-id |
单独应用一个用户自定义ACL中所有规则 |
user-group { acl-number | acl-name } |
单独应用一个用户自定义ACL中一条规则 |
user-group { acl-number | acl-name } rule rule-id |
同时应用IP型ACL中一条规则和一个Link型ACL的一条规则 |
ip-group { acl-number | acl-name } rule rule-id link-group { acl-number | acl-name } rule rule-id |
表19-14 ACL组合方式参数说明
参数 |
说明 |
ip-group { acl-number | acl-name } |
基本及高级ACL。acl-number:ACL序号,2000到3999之间的一个数值。acl-name:ACL名字,最多32个字符,必须以英文字母(即[a-z,A-Z])开始,而且中间不能有空格和引号;不区分大小写。 |
link-group { acl-number | acl-name } |
二层ACL,acl-number:ACL序号,4000到4999之间的一个数值。acl-name:ACL名字,最多32个字符,必须以英文字母(即[a-z,A-Z])开始,而且中间不能有空格和引号;不区分大小写。 |
user-group { acl-number | acl-name } |
用户自定义的ACL,acl-number:ACL序号,5000到5999之间的一个数值。acl-name:ACL名字,最多32个字符,必须以英文字母(即[a-z,A-Z])开始,而且中间不能有空格和引号;不区分大小写。 |
rule-id |
ACL规则序号,取值范围为0~127。如果不指定则表示ACL中的所有规则。 |
n system-index:ACL规则应用到端口时内部使用的一个索引取值,取值范围为0~4294967295。该参数只有在命令中指定了ACL规则序号才可选。
n not-care-for-interface:对于非48端口的A型业务板,使用本参数后,包过滤功能将在当前端口所在的业务板上都生效。对于48端口的A型业务板,使用本参数后,如果当前端口是1~24端口范围内的端口,包过滤功能将在在当前业务板的1~24端口上都生效;如果当前端口是25~48端口范围内的端口,包过滤功能将在在当前业务板的25~48端口上都生效。
【说明】非A型业务板支持IP型ACL和link型ACL组合应用,但是IP型和link型ACL的规则所定义字段的字符数之和不能超过32个字符,否则不能应用成功。
下面是一个在S7500系列交换机上使用“packet-filter inbound”命令在Ethernet 3/0/1端口上应用ACL2000的示例。
System View: return to User View with Ctrl+Z.
[H3C] interface Ethernet3/0/1
[H3C-Ethernet3/0/1] qos
[H3C-qoss-Ethernet3/0/1] packet-filter inbound ip-group 2000
表19-10中的适用于S5600系列交换机的“display packet-filter”命令用来显示包过滤的应用信息。它的参数解释如下:
n interface interface-type interface-number:端口类型和端口编号。
n unitid unit-id:交换机的Unit ID。如果交换机没有形成Fabric,则unit-id参数的取值只能为1,表示显示当前交换机上所有端口的包过滤的应用信息;如果交换机已经形成Fabric,则unit-id参数的取值范围为1~8,表示显示指定Unit上所有端口的包过滤的应用信息。
下面是一个在没有形成Fabric的S5600系列交换机上使用“display packet-filter”命令显示当前交换机所有端口上包过滤的应用信息的示例。显示信息描述如表19-15所示。
GigabitEthernet1/0/1
Inbound:
Acl 2000 rule 0 running
表19-15 “display packet-filter”命令显示信息描述表
字段 |
描述 |
GigabitEthernet1/0/1 |
应用包过滤的端口 |
Inbound |
过滤方向为入方向(Outbound为出方向) |
Acl 2000 rule 0 |
过滤规则为基本ACL 2000的0号规则 |
running |
规则的下发状态,包含以下两种: n running:表示激活 n not running:表示没有激活,通常是由于此规则引用的时间段不生效所致 |
表19-10中适用于S7500系列交换机的“ display acl running-packet-filter”命令用来显示ACL的下发信息,包括下发端口、下发方向、ACL名(或序号)、ACL规则序号和下发状态。它的可选项和参数解释如下:
n all:表示要显示所有的ACL(包括数字标识的和名字标识的)。
n interface interface-type interface-number:交换机的端口。
下面是一个在S7500系列交换机上使用“ display acl running-packet-filter”命令显示所有接口的ACL下发应用信息的示例。
Ethernet3/0/1
Inbound:
Acl 2000 rule 0 running
本示例是在S7500系列交换机的Ethernet 2/0/1的入方向上应用ACL 2100进行包过滤。具体配置命令如下:
[H3C] interface Ethernet 2/0/1
[H3C-Ethernet2/0/1] qos
[H3C-qoss-Ethernet2/0/1] packet-filter inbound ip-group 2100