所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S9300, S9300X V200R010C00 配置指南(Web网管)

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
ACL

ACL

ACL通过一系列的匹配条件对报文进行分类,这些条件可以是报文的源地址、目的地址、端口号等。

背景信息

根据应用目的,可将ACL分为下面几种:
  • 基本ACL:只根据三层源IP地址制定规则。
  • 高级ACL:根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。
  • 二层ACL:根据源MAC地址、目的MAC地址、802.1P优先级、二层协议类型等二层信息制定规则。

操作步骤

  • 查询ACL
    1. 单击导航栏中ACL > ACL菜单,进入“ACL配置”界面。
    2. 设置查询条件。
    3. 单击“查询”,查询列表区显示出所有符合条件的记录。
  • 新建ACL
    1. 单击导航栏中ACL > ACL菜单,进入“ACL配置”界面。
    2. 单击“新建”,进入“新建ACL”界面。
    3. 单击“ACL”页签。图2-141所示。

      图2-141  新建ACL

      界面信息含义如表2-79所示。

      表2-79  新建ACL

      配置项

      说明

      ACL类型

      选择ACL类型分为以下几种:
      • 基本ACL
      • 高级ACL
      • 二层ACL
      • 用户ACL

      IP版本

      选择其后的IPv4和IPv6单选框,来新建IPv4或IPv6类型的ACL。
      说明:

      用户在选择二层ACL和用户ACL之后,将不能对IP版本进行选择。

      ACL标识

      ACL编号

      输入ACL编号,用来标识ACL。整数形式,取值范围分为以下几种:
      • 基本ACL取值范围是2000~2999
      • 高级ACL取值范围是3000~3999
      • 二层ACL取值范围是4000~4999
      • 用户ACL取值范围是6000~9999
      说明:
      • 修改操作时ACL编号不可修改。
      • ACL编号和ACL名称至少需输入一项,用来唯一识别ACL。
      • NAC配置模式为统一模式时,设备支持配置用户ACL。

      ACL名称

      输入ACL名称,相同的名字不能重复配置。
      说明:
      • 字符串形式,必须以字母开头,不能有空格。
      • ACL编号和ACL名称至少需输入一项,用来唯一识别ACL。
      • 修改操作时ACL名称不可修改。

      规则步长

      表示每个相邻规则编号之间的差值。
      说明:

      用户在选择IP版本为IPv6之后,规则步长输入框灰化显示。

      ACL描述

      可选。对新建的ACL的具体描述信息。
      说明:

      用户在选择IP版本为IPv6之后,ACL描述输入框灰化显示。

    4. 单击“应用”
    5. 单击“规则”页签。

      若对应的ACL为基本ACL,规则界面如图2-142所示。

      图2-142  新建基本ACL规则

      新建基本ACL规则界面信息含义如表2-80所示。

      表2-80  新建基本ACL规则

      配置项

      说明

      规则编号

      输入规则编号。
      说明:

      若不指定规则编号,则系统自动分配,且修改操作时不可修改规则编号。

      动作

      表示允许和拒绝报文的通过。默认是允许。

      记录日志

      表示当报文通过时记录的日志。选择记录日志前的复选框表示选中。

      匹配IP地址

      全部源IP地址

      表示允许全部的源IP地址都可以通过。

      指定源IP地址

      输入指定的IP地址和反掩码。默认是全部源IP地址。
      说明:
      • 如果是新建IPV4 ACL规则,则输入反掩码。
      • 如果是新建IPV6 ACL规则,则输入前缀长度。

      生效时间段名称

      单击“选择”配置生效时间段名称。
      说明:

      生效时间段的名称是在生效时间段界面配置的结果显示。

      分片报文

      指定该规则是否仅对非首片分片报文有效。

      说明:
      • 规则界面列表显示该ACL的所有规则。单击可以选中规则,可以查看和编辑该规则信息。再次单击可以取消选中该规则,可以继续添加新规则。
      • 在修改ACL规则的界面中,ACL标识、规则编号为固定值是不可修改的。

      若对应的ACL为高级ACL,规则界面如图2-143所示。

      图2-143  新建高级ACL规则

      新建高级ACL规则界面信息含义如表2-81所示。

      表2-81  新建高级ACL规则

      配置项

      说明

      规则编号

      输入规则编号。
      说明:

      若不指定规则编号,则系统自动分配,且修改操作时不可修改规则编号。

      动作

      表示允许和拒绝报文的通过。默认是允许。

      记录日志

      表示当报文通过时记录的日志。

      协议类型

      必选,选择协议的类型。高级IPv4 ACL规则的协议类型有:
      • IGMP
      • GRE
      • IP
      • IPINIP
      • OSPF
      • TCP
      • UDP
      • ICMP
      • 自定义
        说明:

        选择自定义类型时,后面的输入框才有效。

      选择协议的类型。高级IPv6 ACL规则的协议类型有:
      • GRE
      • ICMPv6
      • IPv6
      • OSPF
      • TCP
      • UDP
      • 自定义
        说明:

        选择自定义类型时,后面的输入框才有效。

      ICMP参数(类型/编码)

      ICMPv6参数(类型/编码)

      指定ICMP/ICMPv6报文的类型和消息码信息,仅在报文协议是ICMP/ICMPv6的情况下有效。如果不配置,表示任何ICMP/ICMPv6类型的报文都匹配。其中可以采用两种方式表示:
      • 类型:表示根据ICMP/ICMPv6消息类型来进行过滤。
      • 编码:表示ICMP/ICMPv6消息类型的消息码。

      匹配IP地址

      全部源IP地址

      表示允许全部的源IP地址都可以通过。

      指定源IP地址

      输入指定的IP地址和反掩码。默认是全部源IP地址。
      说明:
      • 如果是新建IPV4 ACL规则,则输入反掩码。
      • 如果是新建IPV6 ACL规则,则输入前缀长度。

      全部目的IP地址

      表示允许全部的目的IP地址都可以通过。

      指定目的IP地址

      输入指定的IP地址和反掩码。默认是全部目的IP地址。
      说明:
      • 如果是新建IPv4 ACL规则,则输入反掩码。
      • 如果是新建IPv6 ACL规则,则输入前缀长度。

      匹配端口信息

      源端口

      只有协议类型选择为TCP或UDP时,匹配端口信息才有效。如果不指定,表示TCP/UDP报文的任何源端口都匹配。

      下拉列表框选择源端口的匹配信息。匹配类型:等于、大于、小于、范围内。在输入框中输入用于比较的TCP或UDP端口号。

      目的端口

      只有协议类型选择为TCP或UDP时,匹配端口信息才有效。如果不指定,表示TCP/UDP报文的任何目的端口都匹配。

      下拉列表框选择目的端口的匹配信息。匹配类型:等于、大于、小于、范围内。在输入框中输入用于比较的TCP或UDP端口号。

      匹配优先级

      IP优先级

      表示数据包可以依据优先级字段进行过滤。默认是空。

      DSCP值

      指定区分服务代码点(Differentiated Services Code Point)。

      说明:
      • 如果配置了IP优先级或TOS,则DSCP不可配置。
      • 如果配置了DSCP则IP优先级及TOS都不可以配置。

      TOS

      数据包可以依据服务类型字段进行过滤。

      生效时间段名称

      单击“选择”配置生效时间段名称。
      说明:

      生效时间段的名称是在生效时间段界面配置的结果显示。

      分片报文

      指定该规则是否仅对非首片分片报文有效。

      说明:
      • 规则界面列表显示该ACL的所有规则。单击可以选中规则,可以查看和编辑该规则信息。再次单击可以取消选中该规则,可以继续添加新规则。
      • 在修改ACL规则的界面中,ACL标识、规则编号为固定值是不可修改的。

      若对应的ACL为二层ACL,规则界面如图2-144所示。

      图2-144  新建二层ACL规则

      新建二层ACL规则界面信息含义如表2-82所示。

      表2-82  新建二层ACL规则

      配置项

      说明

      规则编号

      输入规则编号。
      说明:

      若不指定规则编号,则系统自动分配,且修改操作时不可修改规则编号。

      动作

      表示允许和拒绝报文的通过。默认是允许。

      匹配MAC地址

      源MAC地址

      输入ACL规则的源MAC地址。格式为H-H-H。

      掩码

      输入ACL规则的源MAC地址的掩码。格式为H-H-H,默认为全F。

      目的MAC地址

      输入ACL规则的目的MAC地址。格式为H-H-H。

      掩码

      输入ACL规则的目的MAC地址的掩码。格式为H-H-H,默认为全F。

      匹配协议类型

      报文的封装格式

      下拉列表框选择报文的封装格式。有三种格式:Ethernet II、802.3、SNAP。

      二层协议类型

      输入二层协议类型。

      二层协议类型掩码

      输入二层协议类型掩码。

      源VLAN ID

      输入源VLAN ID。

      源VLAN ID掩码

      输入源VLAN ID掩码。十六进制形式,取值范围是0~0xFFF,缺省值为0xFFF。

      802.1p优先级

      输入ACL规则的802.1p优先级。默认是空。

      生效时间段名称

      单击“选择”配置生效时间段名称。
      说明:

      生效时间段的名称是在生效时间段界面配置的结果显示。

      说明:
      • 规则界面列表显示该ACL的所有规则。单击可以选中规则,可以查看和编辑该规则信息。再次单击可以取消选中该规则,可以继续添加新规则。
      • 在修改ACL规则的界面中,ACL标识、规则编号为固定值是不可修改的。

    6. 填写相应页签的配置项。
    7. 单击“确定”,完成配置。

      说明:
      • 若未创建ACL,则单击规则页签应用按钮创建规则时,系统提示请先创建ACL。

  • 编辑ACL
    1. 单击导航栏中ACL > ACL菜单,进入“ACL配置”界面。
    2. 单击数据后对应的“”图标,进入“编辑ACL”界面。
    3. 单击“ACL”页签。图2-145所示。

      图2-145  编辑ACL

      说明:
      • 界面信息含义如表2-79所示。
      • ACL类型、ACL标识为固定的不可修改的。
      • IPv6 ACL不支持修改功能。

    4. 单击“规则”页签。修改规则功能参见新建规则。
    5. 修改相应页签的配置项。
    6. 单击“确定”,完成配置。
  • 删除ACL
    1. 单击导航栏中ACL > ACL菜单,进入“ACL配置”界面。
    2. 选择需要删除的数据,单击“删除”,系统提示是否确认删除。
    3. 单击“确定”,若命令下发成功,系统就返回ACL配置主页面,若命令下发失败,系统提示相应的失败信息。
翻译
下载文档
更新时间:2019-08-21

文档编号:EDOC1000123894

浏览量:7557

下载量:570

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页