Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2116492
  • 博文数量: 433
  • 博客积分: 4775
  • 博客等级: 上校
  • 技术积分: 8054
  • 用 户 组: 普通用户
  • 注册时间: 2009-10-19 16:15
文章存档

2014年(9)

2013年(20)

2012年(77)

2011年(323)

2009年(4)

分类: 系统运维

2011-10-20 08:54:27

S5600S7500等高端非专用教育行业的H3C以太网交换机中,还可以配置在端口上应用这些ACL。在端口上应用ACL可以实现报文过滤的功能。

在端口上应用ACL之前需要首先定义ACL。定义ACL的配置请参见19.2节介绍。

1. 配置过程

在端口上应用ACL的配置方法如表19-10所示。

19-10   在端口上应用ACL的步骤

 

命令

用途说明

Step 1

system-view

进入系统视图

Step 2

interface interface-type interface-number

进入以太网端口视图

Step 3

qos

进入QoS视图。此步不适用于S5600系列交换机

Step 4

packet-filter inbound acl-rule

在端口上应用ACL。适用于S5600系列

packet-filter { inbound | outbound } acl-rule [ system-index ] [ not-care-for-interface ]

在端口上应用ACL。适用于S7500系列A型业务板支持的命令形式

packet-filter inbound acl-rule [ system-index ]

在端口上应用ACL。适用于S7500系列非A型业务板支持的命令形式

Step 5

display packet-filter { interface  interface-type interface-number | unitid unit-id }

(可选)显示ACL的下发信息。适用于S5600系列。display命令可以在任意视图下执行

display acl running-packet-filter { all | interface  interface-type interface-number }

(可选)显示ACL的下发信息。适用于S7500系列。display命令可以在任意视图下执行

19-10中适用于S7500系列的qos命令用来进入QoS视图,在此视图下用户可以进行相应的QoS配置。

【注意】S7500交换机不同的业务板支持的QoS功能有所不同,在进入不同的QoS视图后,用户可以使用查询该业务板支持的QoS配置。

下面是一个使用qos命令进入非A型业务板的QoS视图并查询支持的QoS配置的示例。

system-view

System View: return to User View with Ctrl+Z.

[H3C] interface GigabitEthernet2/0/1

[H3C-GigabitEthernet2/0/1] qos

[H3C-qosb-GigabitEthernet2/0/1]

Qosb view commands:

  display                Display current system information

  line-rate              Limit the rate of the outbound packets of the

                         interface

  mirrored-to            Mirror the packets

  msdp-tracert           MSDP traceroute to source RP

  packet-filter          Filter packets based on acl

  ping                   Send echo messages

  queue-scheduler        Specify queue scheduling mode and parameters

  quit                   Exit from current command view

  reset                  Reset operation

  return                 Exit to User View

  tracert                Trace route function

  traffic-limit          Limit the rate of the packets

  traffic-priority       Specify new priority of the packets

  traffic-redirect       Redirect the packets

  traffic-remark-vlanid  Remark vlan ID of the packets

  traffic-statistic      Count the packets

  undo                   Cancel current setting

下面是一个使用qos命令进入A型业务板的QoS视图并查询支持的QoS配置的示例。

system-view

System View: return to User View with Ctrl+Z.

[H3C] interface Ethernet2/0/1

[H3C-Ethernet2/0/1] qos

[H3C-qoss-Ethernet2/0/1]?

Qoss view commands:

  display                Display current system information

  msdp-tracert           MSDP traceroute to source RP

  packet-filter          Filter packets based on acl

  ping                   Send echo messages

  quit                   Exit from current command view

  reset                  Reset operation

  return                 Exit to User View

  tracert                Trace route function

  traffic-bandwidth      Guarantee the bandwidth of the packets

  traffic-limit          Limit the rate of the packets

  traffic-priority       Specify new priority of the packets

  traffic-red            Random early detect the packets

  traffic-remark-vlanid  Remark vlan ID of the packets

  traffic-statistic      Count the packets

  undo                   Cancel current setting

表中适用于S7500系列交换机的packet-filter inbound acl-rule命令用来在端口上应用ACL,对数据包进行过滤。可用undo packet-filter inbound acl-rule命令用来取消ACL在端口上的应用。它们的参数解释如下:

n         inbound:表示对端口接收的数据包进行过滤。

n         acl-rule:应用的ACL规则,可以是多种ACL的组合。组合方式如19-11所示。

19-11   组合应用ACL的方式

组合方式

acl-rule的形式

单独应用一个IPACL(基本ACL或高级ACL)中的所有规则

ip-group acl-number

单独应用一个IPACL中的一条规则

ip-group acl-number rule rule-id

单独应用一个二层ACL中的所有规则

link-group acl-number

单独应用一个二层ACL中的一条规则

link-group acl-number rule rule-id

单独应用一个用户自定义ACL中的所有规则

user-group acl-number

单独应用一个用户自定义ACL中的一条规则

user-group acl-number rule rule-id

同时应用IPACL中一条规则和二层型ACL的一条规则

ip-group acl-number rule rule-id link-group acl-number rule rule-id

19-11中的可选项和参数解释如下:

n         ip-group acl-number:表示基本或高级ACL序号,取值范围为20003999

n         link-group acl-number:表示二层ACL序号,取值范围为40004999

n         user-group acl-number:表示用户自定义ACL序号,取值范围为50005999

n         rule rule-idACL规则编号,取值范围为065534。如果不指定规则编号则表示ACL中的所有规则。

19-10中适用于S7500系列交换机的两个packet-filter命令用来激活ACL。可用对应的undo packet-filter命令(A型业务板用undo packet-filter { inbound | outbound } acl-rule [ not-care-for-interface ]”命令;A型业务板用undo packet-filter inbound acl-rule命令)用来取消激活。这几个命令中的可选项和参数解释如下:

n         inbound:表示对端口接收的报文进行过滤。

n         outbound:表示对端口发送的报文进行过滤。

n         acl-rule:应用的ACL,可以是多种ACL的组合。A型业务板的组合方式及相应参数说明如19-1219-14;非A型业务板的组合方式及相应参数说明如19-1319-14

19-12    A型业务板的组合应用ACL方式

组合方式

acl-rule的形式

单独应用一个IPACL中所有规则

ip-group { acl-number | acl-name }

单独应用一个IPACL中一条规则

ip-group { acl-number | acl-name } rule rule-id

单独应用一个LinkACL中所有规则

link-group { acl-number | acl-name }

单独应用一个LinkACL中一条规则

link-group { acl-number | acl-name } rule rule-id

 19-13   A型业务板的组合应用ACL方式

组合方式

acl-rule的形式

单独应用一个IPACL中所有规则

ip-group { acl-number | acl-name }

单独应用一个IPACL中一条规则

ip-group { acl-number | acl-name } rule rule-id

单独应用一个LinkACL中所有规则

link-group { acl-number | acl-name }

单独应用一个LinkACL中一条规则

link-group { acl-number | acl-name } rule rule-id

单独应用一个用户自定义ACL中所有规则

user-group { acl-number | acl-name }

单独应用一个用户自定义ACL中一条规则

user-group { acl-number | acl-name } rule rule-id

同时应用IPACL中一条规则和一个LinkACL的一条规则

ip-group { acl-number | acl-name } rule rule-id link-group { acl-number | acl-name } rule rule-id

 19-14  ACL组合方式参数说明

参数

说明

ip-group { acl-number | acl-name }

基本及高级ACLacl-numberACL序号,20003999之间的一个数值。acl-nameACL名字,最多32个字符,必须以英文字母(即[a-z,A-Z])开始,而且中间不能有空格和引号;不区分大小写。

link-group { acl-number | acl-name }

二层ACLacl-numberACL序号,40004999之间的一个数值。acl-nameACL名字,最多32个字符,必须以英文字母(即[a-z,A-Z])开始,而且中间不能有空格和引号;不区分大小写。

user-group { acl-number | acl-name }

用户自定义的ACLacl-numberACL序号,50005999之间的一个数值。acl-nameACL名字,最多32个字符,必须以英文字母(即[a-z,A-Z])开始,而且中间不能有空格和引号;不区分大小写。

rule-id

ACL规则序号,取值范围为0127。如果不指定则表示ACL中的所有规则。

n         system-indexACL规则应用到端口时内部使用的一个索引取值,取值范围为04294967295。该参数只有在命令中指定了ACL规则序号才可选。

n         not-care-for-interface:对于非48端口的A型业务板,使用本参数后,包过滤功能将在当前端口所在的业务板上都生效。对于48端口的A型业务板,使用本参数后,如果当前端口是124端口范围内的端口,包过滤功能将在在当前业务板的124端口上都生效;如果当前端口是2548端口范围内的端口,包过滤功能将在在当前业务板的2548端口上都生效。

【说明】非A型业务板支持IPACLlinkACL组合应用,但是IP型和linkACL的规则所定义字段的字符数之和不能超过32个字符,否则不能应用成功。

下面是一个在S7500系列交换机上使用packet-filter inbound命令在Ethernet 3/0/1端口上应用ACL2000的示例。

system-view

System View: return to User View with Ctrl+Z.

[H3C] interface Ethernet3/0/1

[H3C-Ethernet3/0/1] qos

[H3C-qoss-Ethernet3/0/1] packet-filter inbound ip-group 2000

19-10中的适用于S5600系列交换机的display packet-filter”命令用来显示包过滤的应用信息。它的参数解释如下:

n         interface interface-type interface-number:端口类型和端口编号。

n         unitid unit-id交换机的Unit ID。如果交换机没有形成Fabric,则unit-id参数的取值只能为1,表示显示当前交换机上所有端口的包过滤的应用信息;如果交换机已经形成Fabric,则unit-id参数的取值范围为18,表示显示指定Unit上所有端口的包过滤的应用信息。

下面是一个在没有形成FabricS5600系列交换机上使用display packet-filter”命令显示当前交换机所有端口上包过滤的应用信息的示例。显示信息描述如表19-15所示。

display packet-filter unitid 1

GigabitEthernet1/0/1

 Inbound:

 Acl 2000 rule 0  running

19-15  “display packet-filter”命令显示信息描述表

字段

描述

GigabitEthernet1/0/1

应用包过滤的端口

Inbound

过滤方向为入方向(Outbound为出方向)

Acl 2000 rule 0

过滤规则为基本ACL 20000号规则

running

规则的下发状态,包含以下两种:

n           running:表示激活

n           not running:表示没有激活,通常是由于此规则引用的时间段不生效所致

19-10中适用于S7500系列交换机的“ display acl running-packet-filter命令用来显示ACL的下发信息,包括下发端口、下发方向、ACL名(或序号)、ACL规则序号和下发状态。它的可选项和参数解释如下:

n         all:表示要显示所有的ACL(包括数字标识的和名字标识的)。

n         interface interface-type interface-number:交换机的端口。

下面是一个在S7500系列交换机上使用“ display acl running-packet-filter命令显示所有接口的ACL下发应用信息的示例。

display acl running-packet-filter all

Ethernet3/0/1

 Inbound:

 Acl 2000 rule 0  running

2. 综合配置举例

本示例是在S7500系列交换机的Ethernet 2/0/1的入方向上应用ACL 2100进行包过滤。具体配置命令如下:

system-view

[H3C] interface Ethernet 2/0/1

[H3C-Ethernet2/0/1] qos

[H3C-qoss-Ethernet2/0/1] packet-filter inbound ip-group 2100

本文摘自《Catalyst交换机VLANVMPS配置与管理》第十九章
阅读(6401) | 评论(0) | 转发(0) |
0

上一篇:用户自定义ACL配置

下一篇:在VLAN上应用ACL

给主人留下些什么吧!~~