ACL

ACL通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。

背景信息

操作步骤

• 查询ACL
  1. 单击导航栏中“ACL > ACL”菜单，进入“ACL配置”界面。
  2. 设置查询条件。
  3. 点击“查询”，查询列表区显示出所有符合条件的记录。
• 新建ACL
  1. 单击导航栏中“ACL > ACL”菜单，进入“ACL配置”界面。
  2. 单击“新建”，进入“新建ACL”界面。
  3. 单击“ACL”页签。

     界面信息含义如表1所示。

     表1 新建ACL

     配置项		说明
     ACL类型		选择ACL类型分为三种： 基本ACL 高级ACL 二层ACL
     IP版本		选择其后的IPv4和IPv6单选框，来新建IPv4或IPv6类型的ACL。 说明： 用户在选择二层ACL之后，将不能对IP版本进行选择。
     ACL标识	ACL编号	输入ACL编号，用来标识ACL。整数形式，取值范围分为以下几种： 基本ACL取值范围是2000～2999 高级ACL取值范围是3000～3999 二层ACL取值范围是4000～4999 说明： 修改操作时ACL编号不可修改。 ACL编号和ACL名称至少需输入一项，用来唯一识别ACL。
     	ACL名称	输入ACL名称，相同的名字不能重复配置。 说明： 字符串形式，必须以字母开头，不能有空格和引号，不允许使用关键字all。 ACL编号和ACL名称至少需输入一项，用来唯一识别ACL。 修改操作时ACL名称不可修改。
     rule步长		表示每个相邻规则编号之间的差值。 说明： 用户在选择IP版本为IPv6之后，rule步长输入框灰化显示。
     ACL描述		可选。对新建的ACL的具体描述信息。 说明： 用户在选择IP版本为IPv6之后，ACL描述输入框灰化显示。

  4. 单击“规则”页签。

     若对应的ACL为基本ACL，规则界面

     界面信息含义如表2所示。

     表2 新建基本ACL规则

     配置项		说明
     规则编号		输入规则编号。 说明： 若不指定规则编号，则系统自动分配，且修改操作时不可修改规则编号。
     动作		表示允许和拒绝报文的通过。默认是允许。
     记录日志		表示当报文通过时记录的日志。选择记录日志前的复选框表示选中。 说明： S2700EI系列交换机中基本ACL规则和基本IPv6 ACL规则不支持此配置。
     匹配IP地址	全部源IP地址	表示允许全部的IP地址都可以通过。
     	指定源IP地址	输入指定的IP地址和反掩码。默认是全部源IP地址。 说明： 如果是新建IPV4 ACL规则则输入反掩码。 如果是新建IPV6 ACL规则则输入前缀长度。
     生效时间段名称		点击“选择”配置生效时间段名称。 说明： 生效时间段的名称是在生效时间段界面配置的结果显示。
     分片报文		指定该规则是否仅对非首片分片报文有效。 说明： S2700EI系列交换机中基本ACL规则和基本IPv6 ACL规则不支持此配置。

     说明：

     • 规则界面列表显示该ACL的所有规则。单击可以选中规则，可以查看和编辑该规则信息。再次单击可以取消选中该规则，可以继续添加新规则。
     • 在修改ACL规则的界面中，ACL编号、规则编号为固定值是不可修改的。

     若对应的ACL为高级ACL，规则界面

     界面信息含义如表3所示。

     表3 新建高级ACL规则

     配置项		说明
     规则编号		输入规则编号。 说明： 若不指定规则编号，则系统自动分配，且修改操作时不可修改规则编号。
     动作		表示允许和拒绝报文的通过。默认是允许。
     记录日志		表示当报文通过时记录的日志。 说明： S2700EI系列交换机中高级ACL规则和高级IPv6 ACL规则不支持此配置。
     协议类型		选择协议的类型。高级IPv4 ACL规则的协议类型有： IGMP GRE IP IPINIP OSPF TCP UDP ICMP 自定义 说明： 选择自定义类型时，后面的输入框才有效。 选择协议的类型。高级IPv6 ACL规则的协议类型有： GRE ICMPv6 IPv6 OSPF TCP UDP 自定义 说明： 选择自定义类型时，后面的输入框才有效。
     ICMP参数（类型/编码）		指定ICMP报文的类型和消息码信息，仅在报文协议是ICMP的情况下有效。如果不配置，表示任何ICMP类型的报文都匹配。其中可以采用两种方式表示： 类型：表示根据ICMP消息类型来进行过滤。 编码：表示ICMP消息类型的消息码。 说明： S2700EI系列交换机中高级ACL规则和高级IPv6 ACL规则不支持此配置。
     匹配IP地址	全部源IP地址	表示允许全部的IP地址都可以通过。
     	指定源IP地址	输入指定的IP地址和反掩码。默认是全部源IP地址。 说明： 如果是新建IPV4 ACL规则则输入反掩码。 如果是新建IPV6 ACL规则则输入前缀长度。
     	全部目的IP地址	表示允许通过全部的IP地址。
     	指定目的IP地址	输入指定的IP地址和反掩码。默认是全部目的IP地址。 说明： 如果是新建IPv4 ACL规则则输入反掩码。 如果是新建IPv6 ACL规则则输入前缀长度。
     匹配端口信息	源端口	只有协议类型选择为TCP或UDP时，匹配端口信息才有效。如果不指定，表示TCP/UDP报文的任何源端口都匹配。 下拉列表框选择源端口的匹配信息。匹配类型：等于、大于、小于、范围内。在输入框中输入用于比较的TCP或UDP端口号。
     	目的端口	只有协议类型选择为TCP或UDP时，匹配端口信息才有效。如果不指定，表示TCP/UDP报文的任何目的端口都匹配。 下拉列表框选择目的端口的匹配信息。匹配类型：等于、大于、小于、范围内。在输入框中输入用于比较的TCP或UDP端口号。
     匹配优先级	IP优先级	表示数据包可以依据优先级字段进行过滤。默认是空。
     	DSCP值	指定区分服务代码点（Differentiated Services CodePoint）。 说明： 如果配置了IP优先级或TOS，则DSCP不可配置。 如果配置了DSCP则IP优先级及TOS都不可以配置。
     	TOS	数据包可以依据服务类型字段进行过滤，可选参数。
     生效时间段名称		点击“选择”配置生效时间段名称。 说明： 生效时间段的名称是在生效时间段界面配置的结果显示。
     分片报文		指定该规则是否仅对非首片分片报文有效。 说明： S2700EI系列交换机中高级ACL规则和高级IPv6 ACL规则不支持此功能。

     说明：

     • 规则界面列表显示该ACL的所有规则。单击可以选中规则，可以查看和编辑该规则信息。再次单击可以取消选中该规则，可以继续添加新规则。
     • 在修改ACL规则的界面中，ACL编号、规则编号为固定值是不可修改的。

     若对应的ACL为二层ACL，规则界面

     界面信息含义如表4所示。

     表4 新建二层ACL规则

     配置项		说明
     规则编号		输入规则编号。 说明： 若不指定规则编号，则系统自动分配，且修改操作时不可修改规则编号。
     动作		表示允许和拒绝报文的通过。默认是允许。
     匹配MAC地址	源MAC地址	输入ACL规则的源MAC地址。格式为H-H-H。
     	掩码	输入ACL规则的源MAC地址的掩码。格式为H-H-H，默认为全f。
     	目的MAC地址	输入ACL规则的目的MAC地址。格式为H-H-H。
     	掩码	输入ACL规则的目的MAC地址的掩码。格式为H-H-H，默认为全f。
     匹配协议类型	报文的封装格式	下拉列表框选择报文的封装格式。有三种格式：ether-ii、802.3、snap。
     	二层协议类型	输入二层协议类型。
     	二层协议类型掩码	输入二层协议类型掩码。
     源VLAN ID		输入源VLAN ID。
     源VLAN ID掩码		输入源VLAN ID掩码。十六进制形式，取值范围是0～0xFFF，缺省值为0xFFF。
     802.1p优先级		输入ACL规则的802.1p优先级。默认是空。
     生效时间段名称		点击“选择”配置生效时间段名称。 说明： 生效时间段的名称是在生效时间段界面配置的结果显示。

     说明：

     • 规则界面列表显示该ACL的所有规则。单击可以选中规则，可以查看和编辑该规则信息。再次单击可以取消选中该规则，可以继续添加新规则。
     • 在修改ACL规则的界面中，ACL编号、规则编号为固定值是不可修改的。

  5. 单击“动作”页签。

     界面信息含义如表5所示。

     表5 新建ACL动作

     配置项			说明
     流量过滤			可选。选择是否过滤流量。
     流量统计			单选。选择是否使能流量统计。有使能和去使能两种情况，默认是去使能。
     配置流量监管	CIR		指定承诺信息速率（Committed Information Rate），即保证能够通过的速率。
     	PIR		指定峰值信息速率，即能够通过的最大速率。 说明： PIR的值不能小于已经配置的CIR的值。缺省情况下，PIR的值等于CIR的值。 S2700EI系列交换机不支持此配置。
     	CBS		指定承诺突发尺寸（Committed Burst Size），即瞬间能够通过的承诺突发流量。 说明： S2700EI交换机值为8192~4294967295。
     	PBS		指定峰值突发尺寸（Peak Burst Size），即瞬间能够通过的峰值突发流量。 缺省值与配置的pir-value有关。 说明： S2700EI系列交换机不支持此配置。
     	绿色报文 说明： S2700EI系列交换机不支持此配置。	绿色报文	选择是否允许该颜色的报文通过。有pass和discard两种情况，默认是pass。
     		重标记8021P优先级	选择重标8021P优先级。
     		重标记DSCP优先级	选择重标记DSCP优先级。
     	黄色报文 说明： S2700EI系列交换机不支持此配置。	黄色报文	选择是否允许该颜色的报文通过。有pass和discard两种情况，默认是pass。
     		重标记8021P优先级	选择重标8021P优先级。
     		重标记DSCP优先级	选择重标记DSCP优先级。
     	红色报文 说明： S2700EI系列交换机不支持此配置。	红色报文	选择是否允许该颜色的报文通过。有pass和discard两种情况，默认是discard。
     		重标记8021P优先级	选择重标8021P优先级。
     		重标记DSCP优先级	选择重标记DSCP优先级。
     配置重标记	8021P优先级		选择8021P前的复选框配置8021P的优先级。
     	本地优先级		选择本地优先级前的复选框配置本地的优先级。 说明： 不能在一个流行为中同时配置重定向8021P和重定向本地优先级。
     	IP优先级		选择IP优先级前的复选框配置8021P的优先级。 说明： S2700EI系列交换机不支持此配置。
     	DSCP优先级		选择DSCP前的复选框配置DSCP的优先级。
     	目的Mac地址		选择目的Mac地址前的复选框配置目的Mac地址。 格式：H-H-H形式，每个H代表4个16进制数字。 说明： S2700EI系列交换机不支持此配置。
     	VLAN ID		选择VLAN ID前的复选框配置VLAN ID。
     	内层VLAN		选择内层VLAN前的复选框配置内层VLAN。 说明： S2700EI、S2710SI-52P、S2700EI-52P和S3700系列交换机不支持此配置。
     配置流镜像	观察接口索引		配置将满足规则的所有流镜像到观察端口的索引。
     	观察接口		配置将满足规则的所有流镜像到观察接口。如Ethernet0/0/1
     配置重定向 说明： S2700EI系列交换机不支持此配置。	cpu		指定重定向报文到CPU。
     	重定向到接口		选择用于将报文重定向到指定的接口。如：Ethernet0/0/1。
     	重定向下一跳IP地址		选择IP地址类型。IP地址类型包括IPv4和IPv6，支持单选。 根据选择的IP地址类型。配置重定向的下一跳IP地址。 说明： 重定向下一跳IP地址和重标记目的MAC地址不能同时配置。

  6. 单击“应用”页签。
     • 若选择应用对象为“接口”，

       界面信息含义如表6所示。

       表6 新建ACL应用于接口

       配置项		说明
       接口名称		接口包含该设备上的所有接口。
       入方向		支持全选。可以通过选择入方向前面的复选框来全选所有接口的入方向。 支持单选。可以通过选择某个接口对应的入方向的复选框来选定该接口的入方向。 支持多选。可以通过选择多个接口对应的入方向的复选框来选定这些接口的入方向。
       出方向 说明： S2700EI、S2710SI-52P和S3700系列交换机不支持此功能。		支持全选。可以通过选择出方向前面的复选框来全选所有接口的出方向。 支持单选。可以通过选择某个接口对应的出方向的复选框来选定该接口的出方向。 支持多选。可以通过选择多个接口对应的出方向的复选框来选定这些接口的出方向。 说明： 支持同时选择接口的入方向和出方向，也支持单选其中一个方向。

     • 若选择应用对象为“全局”，

       界面信息含义如表7所示。

       表7 新建ACL应用于全局

       配置项		说明
       VLAN ID		不勾选VLAN前面的复选框，VLAN输入框灰化显示，表示不应用于VLAN。 勾选VLAN前面的复选框，表示应用于VLAN.。VLAN输入框为必填项。
       方向 说明： S2700EI，S2710SI-52P和S3700系列交换机不支持此功能。		说明： 支持同时选择入方向和出方向，也支持单选其中一个方向。

  7. 填写相应页签的配置项。
  8. 单击“确定”，完成配置。
     说明：

     • 若未创建ACL，单击规则页签时，系统提示请先建立ACL。
     • 若未创建ACL，单击动作或应用页签时，系统提示请先创建ACL。
     • 若创建了ACL未创建规则，在应用页签填写相应内容后，单击该应用页签的“应用”，系统提示该ACL为空。

• 编辑ACL
  1. 单击导航栏中“ACL > ACL”菜单，进入“ACL配置”界面。
  2. 单击数据后对应的“”图标，进入“编辑ACL”界面。
  3. 单击“ACL”页签。
     说明：

     • 界面信息含义如表1所示。
     • ACL类型、ACL标识为固定的不可修改的。
     • IPv6 ACL不支持修改功能。

  4. 单击“规则”页签。修改规则功能参见新建规则。
  5. 单击“动作”页签。动作界面不回显原先创建的动作信息。修改动作功能参见新建动作。
  6. 单击“应用”页签。应用界面回显原先被应用的对象。
     说明：

     • 应用页签回显该ACL应用的对象。
     • 不创建新的动作，在应用页签点击“应用”，系统会提示“请先创建动作”。
     • 创建了新的动作，在应用页签点击“应用”，会将新的动作覆盖原有动作下发到选择的应用对象中。

  7. 修改相应页签的配置项。
  8. 单击“确定”，完成配置。
     说明：

     若待修改的ACL未创建规则，在应用页签填写相应内容后，单击该应用页签的“应用”，系统提示该ACL为空。

• 删除ACL
  1. 单击导航栏中“ACL > ACL”菜单，进入“ACL配置”界面。
  2. 选择需要删除的数据，单击“删除”，系统提示是否确认删除。
     说明：

     • 选择的方式是在该条数据前的复选框中打钩。
     • 系统支持批量删除。批量删除是在多个复选框中打钩。

  3. 单击“确定”，若命令下发成功，系统就返回ACL配置主页面，若命令下发失败，系统提示相应的失败信息。
• 查看简单ACL应用对象
  1. 单击导航栏中“ACL > ACL”菜单，进入“ACL配置”界面。
  2. 选择需要查看的数据，单击“对象列表”，进入“简单ACL应用对象列表”界面。

     界面信息含义如表8所示。

     表8 查看简单ACL应用对象

     配置项	说明
     对象名称	对象名称包含应用了该ACL的所有对象。
     应用的ACL	应用的ACL包含该对象名称应用的所有ACL。

• 删除简单ACL应用对象
  1. 单击导航栏中“ACL > ACL”菜单，进入“ACL配置”界面。
  2. 选择需要删除应用对象的ACL，单击“对象列表”，进入“简单ACL应用对象列表”界面。
  3. 选择需要删除的对象名称，单击“删除”，系统提示是否确认删除。
     说明：

     • 选择的方式是在该条数据前的复选框中打钩。
     • 系统支持批量删除。批量删除是在多个复选框中打钩。

  4. 单击“确定”，完成配置。