配置基本ACL6
配置基本ACL6,实现对报文的匹配过滤。
(可选)创建ACL6规则的生效时间段
创建基本ACL6
通过该配置任务,可以创建基本ACL6,并进行相关参数的配置。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令acl ipv6 { name basic-acl6-name [ basic ] | [ number ] basic-acl6-number } [ match-order { config | auto } ],创建基本ACL6。
基本ACL6的编号范围是2000~2999。
- (可选)执行命令step step,配置ACL6步长。
为了方便用户在相邻的ACL6规则之间插入新规则,可以通过执行该命令为ACL6规则组指定步长来实现。如果用户最初对某个ACL6配置了4条规则,规则编号依次是:1、2、3、4,但是为了满足业务的需要,用户希望在第一条和第二条规则之间插入一条新的规则。此时,用户可以执行该命令,重新设置ACL6规则组的步长。例如可以在该ACL6视图下执行step 2命令,将该ACL6规则组的步长设置为2,此时最初的4条规则的编号依次变为2、4、6、8,这样用户就可以执行rule 3 xxxx命令在第一条和第二条规则之间插入编号为3的新规则。
- (可选)执行命令description text,配置ACL6的描述信息。
ACL6的描述信息用于标识该ACL6的功能。当遇到如下情况时,建议用户通过description命令为ACL6添加描述信息,描述该ACL6的功能描述信息:
- 配置的ACL6数目较多的情况下,用户不易区分每个ACL6的具体功能。
- 两次使用同一个ACL6的时间间隔较长,用户不容易记住该ACL6的具体功能。
- 命名型ACL6的名字不能充分地包含该ACL6的具体功能。
- 执行命令commit,提交配置。
配置基本ACL6的规则
基本ACL6根据源地址定义规则,对报文进行过滤。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令acl ipv6 { name basic-acl6-name [ basic ] | [ number ] basic-acl6-number } [ match-order { config | auto } ],进入基本ACL6视图。
- 执行命令rule [ rule-id ] [ name rule-name ] { deny | permit } [ fragment | source { source-ipv6-address { prefix-length | source-wildcard } | source-ipv6-address/prefix-length | any } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] ] *,配置基本ACL6的规则。
在ACL6中添加新的规则时,不会影响已经存在的规则。
对已经存在的规则进行编辑时,如果新配置的规则内容与原规则内容存在冲突,则冲突的部分由新配置的规则内容代替。
配置基本ACL6规则时:
如果用户指定了报文具体的源地址(即配置了上面步骤3中的source参数),则只针对该源地址的报文进行过滤。
如果用户指定了所有源地址(即选择了上面步骤3中的any参数),则设备不会检查报文的源地址,认为所有报文都匹配,直接执行相应的动作(deny或permit)。
如果用户选择了参数time-range,引入ACL6规则生效时间段,time-name必须已经存在,否则该规则配置不生效。
- (可选)执行命令rule description text,配置规则的描述信息。
ACL6规则的描述信息用于标识ACL6规则的功能,避免造成日后用户对该规则的误解或误用。当遇到如下情况时,建议用户通过该命令为ACL6规则添加描述信息,描述该规则的功能:
- 配置的ACL6规则的数目较多的情况下,用户不易区分每条规则的具体功能。
- 两次使用同一条规则的时间间隔较长,用户不容易记住该规则的具体功能。
- 执行命令commit,提交配置。
应用基本ACL6
基本ACL6可以应用在设备管理、组播过滤、QoS业务和路由策略中。
背景信息
基本ACL6的典型应用如表11-3所示。
基本ACL6典型应用 |
应用场景 |
操作 |
---|---|---|
设备管理中基本ACL6的应用 |
当路由设备作为TFTP服务器时,为提高其安全性,可以通过配置基本ACL6实现只允许满足过滤条件的客户端访问服务器。 |
配置对TFTP的访问权限时,请参考配置TFTP访问限制 |
组播过滤中基本ACL6的应用 |
当需要过滤组播报文时,可以通过配置基本ACL6实现只接收或转发满足过滤条件的组播报文。 |
配置对组播报文的过滤时,请参考
|
路由策略中基本ACL6的应用 |
当需要控制路由设备接收、发布的路由信息时,可以通过配置基本ACL6实现只接收或发布满足过滤条件的路由。 |
控制路由设备接收、发布的路由信息时,根据不同的路由协议,请参考
|
QoS中基本ACL6的应用 |
当需要对不同类型的流量进行分类操作时,可以通过配置基本ACL6实现对满足过滤条件的流量进行流量监管、流量整形、流量分类。 |
配置对不同类型的流量进行分类操作时,请参考配置流量监管、配置流量整形、配置流行为。 |