评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置用户自定义ACL的规则
背景信息
用户自定义ACL通过rule(规则)匹配报文的信息,实现对报文的分类,因此创建自定义ACL以后,需要配置ACL的规则。
设备在收到报文时,会按照规则配置顺序将报文与ACL规则进行逐条匹配,一旦匹配上规则组内的某条规则,则停止匹配动作。之后,设备将依据匹配的规则对报文执行相应的动作。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令acl { [ number ] acl-number | name acl-name {
[ number ] acl-number | user } },创建自定义ACL,并进入自定义ACL视图。
用户自定义ACL编号acl-number的范围是5000~5999。
缺省情况下,未创建ACL。
- 执行命令rule [ rule-id ] [ name rule-name ] { deny | permit } [ [ l2-head | ipv4-head | l4-head | inner-ipv4-head ] { rule-string rule-mask offset } &<1-4> | time-range time-name ] *,配置用户自定义ACL规则。
CE12800E不支持inner-ipv4-head参数。
CE12800E安装FD-X系列单板后不支持l2-head和ipv4-head参数。
配置用户自定义ACL规则时,- 如果用户不指定偏移位置,默认将以太帧头(相当于选择了参数l2-head)作为偏移位置。
当用户指定参数time-range引入ACL规则生效时间段时,如果time-name不存在,该规则将无法绑定该生效时间段。
- (可选)执行命令rule rule-id description description,配置用户自定义ACL规则的描述信息。
缺省情况下,各规则没有描述信息。
设备仅允许对已存在的规则配置描述信息,不允许先配置规则的描述信息再配置具体的规则内容。
- 执行命令commit,提交配置。
