评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
ACL配置注意事项
涉及网元
无需其他网元配合。
License支持
ACL属于交换机基础功能,其受基本软件功能License控制。基本软件功能License在设备出厂时已经内置并激活,不需要用户再手动激活。
版本支持
表3-3 支持本特性的最低软件版本
产品 |
最低支持版本 |
|---|---|
CE12804/CE12808/CE12812 |
V100R001C00 |
CE12816 |
V100R003C00 |
CE12804S/CE12808S |
V100R005C00 |
CE12804E/CE12808E/CE12816E |
V200R002C50 |
如果需要了解软件版本与交换机具体型号的配套信息,请查看硬件查询工具。
软件版本演进关系:V100R001C00 -> V100R002C00 -> V100R003C00 -> V100R003C10 -> V100R005C00 -> V100R005C10 -> V100R006C00 -> V200R001C00 -> V200R002C50 -> V200R003C00 -> V200R005C00 -> V200R005C10 -> V200R019C00 -> V200R019C10
特性依赖和限制
在交换机上部署ACL特性时,需要注意:
删除ACL生效时间段,可能会导致某些ACL不生效,请谨慎操作。
- 对于CE12800,在VXLAN场景中,如果UDP报文的目的端口号是4789,则此时ACL规则无法匹配到该报文的目的端口号和源端口号;在非VXLAN场景中,如果UDP报文的目的端口号是65535 ,则此时ACL规则无法匹配到该报文的目的端口号和源端口号。
- 很多没有配置ACL规则的业务也会占用ACL资源,可以通过display system tcam acl resource service brief查看业务占用ACL资源的情况。
- 当ACL规则包含四层端口号时,设备不会匹配分片报文。分片报文有可能被不包含四层端口号的ACL规则丢弃,如果不希望将分片报文丢弃,可以先配置允许分片报文通过的规则。
例如:
rule 5 permit udp x.x.x.x source port xxx
rule 10 deny ip
此规则会把符合rule 5条件的分片报文全部丢弃,可能造成业务故障。
此时可以采用如下规避方案:
rule 5 permit udp x.x.x.x source port xxx
rule 10 permit ip fragment-type fragment
rule 15 deny ip
