评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置二层ACL的规则
背景信息
二层ACL通过rule(规则)匹配报文的信息,实现对报文的分类,因此创建ACL以后,需要配置ACL的规则。
设备在收到报文时,会按照规则配置顺序将报文与ACL规则进行逐条匹配,一旦匹配上规则组内的某条规则,则停止匹配动作。之后,设备将依据匹配的规则对报文执行相应的动作。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令acl { [ number ] acl-number | name acl-name { [ number ] acl-number | link } },创建二层ACL,并进入二层ACL视图。
二层ACL编号acl-number的范围是4000~4999。
缺省情况下,未创建ACL。
- 执行命令rule [ rule-id ] [ name rule-name ] { deny | permit } [ type type [ type-mask ] | source-mac source-mac [ source-mac-mask ] | destination-mac dest-mac [ dest-mac-mask ] | [ ether-ii | 802.3 | snap ] | vlan vlan-id | 8021p 8021p | inner-vlan inner-vlan-id [ inner-vlan-mask ] | inner-8021p inner-8021p | double-tag | time-range time-name ] *,配置二层ACL规则。配置二层ACL规则时,
- 对于安装ED-E/EG-E/EGA-E系列单板的CE12800E,不支持802.3参数。
- 如果用户选择了参数ether-ii | 802.3 | snap,指定了报文的封装格式,则只对指定了封装类型的报文进行过滤。
- 如果用户不选择参数ether-ii | 802.3 | snap,则对所有封装类型的报文都进行过滤。
当用户指定参数time-range引入ACL规则生效时间段时,如果time-name不存在,该规则将无法绑定该生效时间段。
- (可选)执行命令rule rule-id description description,配置二层ACL规则的描述信息。
缺省情况下,各规则没有描述信息。
设备仅允许对已存在的规则配置描述信息,不允许先配置规则的描述信息再配置具体的规则内容。
- 执行命令commit,提交配置。
