所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE20E-S2 V800R010C10SPC500 配置指南 - IP业务 01

本文档是NE20E-S2 V800R010C10SPC500 配置指南 - IP业务
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置用户ACL6

配置用户ACL6

配置用户ACL6,实现对报文的匹配过滤。

应用环境

当需要对不同类型的流量进行分类操作时,可以通过配置用户ACL6实现对满足过滤条件的流量进行流量监管、流量整形、流量分类。

配置流程

图11-7 用户ACL6配置流程图

(可选)创建ACL6规则的生效时间段

通过该配置任务可以指定ACL6规则的生效时间段,帮助用户在特定时间段实现对网络流量的控制。

背景信息

如果用户需要在指定的时间段对某些流量进行控制操作,比如网络运营商为了在晚上黄金时间段保证视频传输的可靠带宽,需要限制普通上网用户的数据流量,其他时间段则不做限制。则可以通过配置生效时间段,控制流量通过的时间。

此配置任务用来创建一个时间段,然后在配置ACL6规则时引用已经创建好的时间段,为ACL6规则指定生效的时间范围。

生效的时间可以是:

  • 绝对时间段:即生效的时间是从某一时间点到另一时间点之间的固定时间范围。

  • 相对时间段:即生效的时间是周期性的时间范围。例如每周一生效。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令time-range time-name { start-time to end-time days &<1-7> | from time1 date1 [ to time2 date2 ] },创建一个时间段。

    • 最多可以创建256个名字不同的生效时间段。
    • 在同一个生效时间段(具有同一个时间段名称time-name)中可以指定多个时间范围,最多可以创建32个相对时间段和12个绝对时间段。

  3. 执行命令commit,提交配置。

创建用户ACL6

通过该配置任务,可以创建用户ACL6,并进行相关参数的配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令acl ipv6 { name ucl-acl6-name ucl | number ucl-acl6-number } [ match-order { auto | config } ],创建用户ACL6。

    用户ACL的编号范围是6000~9999。

  3. (可选)执行命令step step,配置ACL6步长。

    为了方便用户在相邻的ACL6规则之间插入新规则,可以通过执行该命令为ACL6规则组指定步长来实现。
    说明:
    如果用户最初对某个ACL6配置了4条规则,规则编号依次是:1、2、3、4,但是为了满足业务的需要,用户希望在第一条和第二条规则之间插入一条新的规则。此时,用户可以执行该命令,重新设置ACL6规则组的步长。例如可以在该ACL6视图下执行step 2命令,将该ACL6规则组的步长设置为2,此时最初的4条规则的编号依次变为2、4、6、8,这样用户就可以执行rule 3 xxxx命令在第一条和第二条规则之间插入编号为3的新规则。

  4. (可选)执行命令description text,配置ACL6的描述信息。

    ACL6的描述信息用于标识该ACL6的功能。当遇到如下情况时,建议用户通过description命令为ACL6添加描述信息,描述该ACL6的功能描述信息:

    • 配置的ACL6数目较多的情况下,用户不易区分每个ACL6的具体功能。
    • 两次使用同一个ACL6的时间间隔较长,用户不容易记住该ACL6的具体功能。
    • 命名型ACL6的名字不能充分地包含该ACL6的具体功能。

  5. 执行命令commit,提交配置。

配置用户ACL6的规则

用户ACL6根据报文的源IPv6地址、源业务组、源用户组、源端口号、目的IPv6地址、目的业务组、目的用户组、目的端口号、协议类型等内容定义规则,实现对报文的匹配过滤。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令acl ipv6 { name ucl-acl6-name ucl | number ucl-acl6-number } [ match-order { auto | config } ],创建用户ACL6。
  3. 请根据不同的协议类型,分别执行如下的几条命令,配置用户ACL6的规则。

    • protocol为UDP协议时,配置用户ACL6规则。

      rule [ rule-id ] [ name rule-name ] { deny | permit } { protocol | udp } [ [ dscp dscp | [ precedence precedence | tos tos ] * ] | source { ipv6-address { source-ipv6-address { prefix-length | source-wildcard } | source-ipv6-address/prefix-length | any } | any | [ service-group { service-group-name | any } | user-group { user-group-name | any } ] } | destination { ipv6-address { destination-ipv6-address { prefix-length | destination-wildcard } | destination-ipv6-address/prefix-length | any } | any | [ service-group { service-group-name | any } | user-group { user-group-name | any } ] } | source-port operator port-number | destination-port operator port-number | fragment | traffic-class traffic-class | time-range time-name | logging ] *

    • protocol为TCP协议时,配置用户ACL6规则。

      rule [ rule-id ] [ name rule-name ] { deny | permit } { protocol | tcp } [ [ dscp dscp | [ precedence precedence | tos tos ] * ] | source { ipv6-address { source-ipv6-address { prefix-length | source-wildcard } | source-ipv6-address/prefix-length | any } | any | [ service-group { service-group-name | any } | user-group { user-group-name | any } ] } | destination { ipv6-address { destination-ipv6-address { prefix-length | destination-wildcard } | destination-ipv6-address/prefix-length | any } | any | [ service-group { service-group-name | any } | user-group { user-group-name | any } ] } | source-port operator port-number | destination-port operator port-number | fragment | traffic-class traffic-class | time-range time-name | logging ] *

    • protocol为ICMPv6协议时,配置用户ACL6规则。

      rule [ rule-id ] [ name rule-name ] { deny | permit } { protocol | icmpv6 } [ [ dscp dscp | [ precedence precedence | tos tos ] * ] | source { ipv6-address { source-ipv6-address { prefix-length | source-wildcard } | source-ipv6-address/prefix-length | any } | any | [ service-group { service-group-name | any } | user-group { user-group-name | any } ] } | destination { ipv6-address { destination-ipv6-address { prefix-length | destination-wildcard } | destination-ipv6-address/prefix-length | any } | any | [ service-group { service-group-name | any } | user-group { user-group-name | any } ] } | icmp6-type { icmp6-type-name | icmp6-type icmp6-code } | fragment | traffic-class traffic-class | time-range time-name | logging ] *

    • protocol为上述知名协议之外的其他协议时,配置用户ACL6规则。

      rule [ rule-id ] [ name rule-name ] { deny | permit } { protocol | gre | ipv6-esp | ipv6 | ipv6-ah | ospf } [ [ dscp dscp | [ precedence precedence | tos tos ] * ] | source { ipv6-address { source-ipv6-address { prefix-length | source-wildcard } | source-ipv6-address/prefix-length | any } | any | [ service-group { service-group-name | any } | user-group { user-group-name | any } ] } | destination { ipv6-address { destination-ipv6-address { prefix-length | destination-wildcard } | destination-ipv6-address/prefix-length | any } | any | [ service-group { service-group-name | any } | user-group { user-group-name | any } ] } | fragment | traffic-class traffic-class | time-range time-name | logging ] *

    在ACL6中添加新的规则时,不会影响已经存在的规则。

    对已经存在的规则进行编辑时,如果新配置的规则内容与原规则内容存在冲突,则冲突的部分由新配置的规则内容代替。

  4. (可选)执行命令rule description text,配置规则的描述信息。

    ACL6规则的描述信息用于标识ACL6规则的功能,避免造成日后用户对该规则的误解或误用。当遇到如下情况时,建议用户通过该命令为ACL6规则添加描述信息,描述该规则的功能:
    • 配置的ACL6规则的数目较多的情况下,用户不易区分每条规则的具体功能。
    • 两次使用同一条规则的时间间隔较长,用户不容易记住该规则的具体功能。

  5. 执行命令commit,提交配置。

应用用户ACL6

用户ACL6可以应用在QoS业务中。

背景信息

用户ACL6的典型应用如表11-5所示。

表11-5 用户ACL6典型应用

用户ACL6典型应用

应用场景

操作

QoS中用户ACL6的应用

当需要对不同类型的流量进行分类操作时,可以通过配置用户ACL6实现对满足过滤条件的流量进行流量监管、流量整形、流量分类。

配置对不同类型的流量进行分类操作时,请参考配置流量监管、配置流量整形、配置流行为。

检查配置结果

查看用户ACL6的配置信息。

前提条件

已经完成用户ACL6的所有配置。

操作步骤

  • 使用display acl ipv6 { acl6-number | name acl6-name | all }命令查看配置的用户ACL6的配置信息。
  • 使用display time-range { time-name | all }命令查看指定或者所有时间段的配置和状态。

任务示例

执行命令display acl ipv6,可以看到ACL6的编号、规则数量和规则的具体内容。

<HUAWEI> display acl ipv6 6000
UCL IPv6 ACL 6000, 3 rules
IPv6 ACL's step is 5
 rule 1 permit icmp
 rule 5 permit ipv6 source ipv6-address 2001:DB8:100::/48 destination ipv6-address 2001:DB8:200::/48 
 rule 10 deny ipv6 source service-group any destination user-group any 

执行命令display time-range,可以看到当前时间段的配置和状态。

<HUAWEI> display time-range all
Current time is 2015-03-15 10:01:45 Wednesday

Time-range : time1 ( Inactive )
 10:00 to 12:00 daily
Time-range : time2 ( Inactive )
 from 13:00 2006/4/1 to 23:59 2099/12/31  
Time-range : active1 ( Active )
 14:00 to 00:00 daily  
翻译
下载文档
更新时间:2018-12-29

文档编号:EDOC1100057893

浏览量:1596

下载量:11

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页