FAQ-如何在MA5200G上配置ACL以及配置时候各个参数的解释

发布时间:  2012-07-26 浏览次数:  68 下载次数:  0
问题描述
Q:
如何在MA5200G上配置ACL,以及配置时候各个参数的解释和注意事项。



告警信息




处理过程

A:

首先要知道现在MA5200G一般都是采用eacl来限制用户的上网的。

1、配置一个规则:rule-map,rule-map只是一个规则,用来匹配报文。

2、配置一个动作:flow-action,flow-action指定采取什么样的操作。系统中有三个默认且不能更改的flow-action:deny、permit或是sampling。deny,permit这都很清楚了,还有一个是sampling,其作用是报文进行采样,在采样之前还需要利用命令:sampling s1 smu rate 100 run-length 20 这里的s1是自己定义的sampling的名字,后面的参数表示采样率是20%。定义好了sampling之后就可以将这里的名字s1引用到eacl的配置中了:eacl global test sampling s1 所以这条命令的意思就是按照定义好的rule-map为test里面的规则进行采样,采样的方式采用s1定义的方式。

flow-action也可以自己定义为其它的动作,此时需要给flow-action取一个相应的名称。

说明一下:采样的意思是按照定义好的规则将报文采集下来,这里的规则有两方面,一个是采样的规则(采样结果输出的地方(可以是5200g上的文件或者是输出到另外一台计算机上),采样率),一个是被采样的规则(即:哪些报文需要采样,用rule-map来定义)。

2、配置eacl,eacl下面有两个选项一个是自己指定名字,这样的eacl是需要应用到端口下面的,一个是global的参数,是需要应用到全局的。
  在配置eacl的时候需要指定rule-map的名字和flow-action的名字,这里rule-map名字就是第1)步里面配置的rule-map的名字,也就是要过滤出哪些报文符合“规则”。flow-action名字就是第2)步里配置的flow-action的名字(也可以是默认的permit、deny、sampling),也就是要采取什么样的动作。综合起来就是要让符合某条规则(rule-map)的报文采样特定的动作(flow-action)。

    EACL可以配置多条,这样就形成了一个集合,对不同的报文采取不同的动作,以达到访问控制的目的。

5、最后不要忘记将配置好的eacl引用到全局或者端口上面。
引用到全局:access-group eacl global 或
引用到端口:[MA5200G-Ethernet4/0/0]access-group eacl deny-335

  这条命令就是要定义,EACL在哪些端口上有效。

综上所述,EACL的使用就是定义从哪些端口(通过access-group定义)通过的某些报文(通过rule-map定义)采取某些特定的动作(用flow-action定义)。




根因




END