评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置基于MPLS的ACL
配置基于MPLS的ACL,实现对报文的匹配过滤。
应用环境
基于MPLS的ACL通过区分MPLS报文的Exp值、Label值、TTL值,实现对报文的匹配过滤。
如图3-5所示,在路由设备DeviceD上配置应用于QoS业务的基于MPLS的ACL,从网络A发送的MPLS报文的Exp值小于3,为其分配54000bit/s的带宽;从网络B发送的MPLS报文的Exp值大于3时,为其分配8000bit/s的带宽。
创建基于MPLS的ACL
通过该配置任务,可以创建基于MPLS的ACL,并进行相关参数的配置。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令acl { name mpls-acl-name { mpls | [ mpls ] number mpls-acl-number } | [ number ] mpls-acl-number },创建基于MPLS的ACL。
基于MPLS的ACL的编号范围是10000~10999。
- (可选)执行命令step step,配置ACL步长。
为了方便用户在相邻的ACL规则之间插入新规则,可以通过执行该命令为ACL规则组指定步长来实现。如果用户最初对某个ACL配置了4条规则,规则编号依次是:1、2、3、4,但是为了满足业务的需要,用户希望在第一条和第二条规则之间插入一条新的规则。此时,用户可以执行该命令,重新设置ACL规则组的步长。例如可以在该ACL视图下执行step 2命令,将该ACL规则组的步长设置为2,此时最初的4条规则的编号依次变为2、4、6、8,这样用户就可以执行rule 3 xxxx命令在第一条和第二条规则之间插入编号为3的新规则。
- (可选)执行命令description text,配置ACL的描述信息。
ACL的描述信息用于标识该ACL的功能。当遇到如下情况时,建议用户通过description命令为ACL添加描述信息,描述该ACL的功能描述信息:
- 配置的ACL数目较多的情况下,用户不易区分每个ACL的具体功能。
- 两次使用同一个ACL的时间间隔较长,用户不容易记住该ACL的具体功能。
- 命名型ACL的名字不能充分地包含该ACL的具体功能。
- 执行命令commit,提交配置。
配置基于MPLS的ACL的规则
基于MPLS的ACL根据MPLS报文的Exp值、Label值、TTL值定义规则,对报文进行过滤。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令acl { name mpls-acl-name { mpls | [ mpls ] number mpls-acl-number } | [ number ] mpls-acl-number },进入基于MPLS的ACL视图。
- 执行命令rule [ rule-id ] [ name rule-name ] { deny | permit } [ exp { exp-value | any } &<1-4> | label { label-value | any } &<1-4> | ttl { { lt | eq | gt } ttl-value | range ttl-value1 ttl-value2 | any }
&<1-3> ] *,配置基于MPLS的ACL规则。
在ACL中添加新的规则时,不会影响已经存在的规则。
对已经存在的规则进行编辑时,如果新配置的规则内容与原规则内容存在冲突,则冲突的部分由新配置的规则内容代替。
配置基于MPLS的ACL规则时,- 如果用户指定了MPLS报文具体的Exp值(即配置了下面步骤3中的exp参数)、Label值(即配置了下面步骤3中的label参数)、TTL值(即配置了下面步骤3中的ttl参数),则只分别针对该Exp值、Label值、TTL值的MPLS报文进行过滤。
- 如果用户指定了所有Exp值、Label值、TTL值(即配置了下面步骤3中的any参数),则设备不会检查MPLS报文的Exp值、Label值、TTL值,认为所有MPLS报文都匹配,直接执行相应的动作(deny或permit)。
- (可选)执行命令rule description text,配置规则的描述信息。
ACL规则的描述信息用于标识ACL规则的功能,避免造成日后用户对该规则的误解或误用。当遇到如下情况时,建议用户通过该命令为ACL规则添加描述信息,描述该规则的功能:
- 配置的ACL规则的数目较多的情况下,用户不易区分每条规则的具体功能。
- 两次使用同一条规则的时间间隔较长,用户不容易记住该规则的具体功能。
- 执行命令commit,提交配置。
应用基于MPLS的ACL
基于MPLS的ACL可以应用在QoS业务中。
应用基于MPLS的ACL的典型案例
基于MPLS的ACL在QoS中的应用案例
例如,用户在设备上进行了如下配置:
- 防火墙流行为(报文过滤)
acl number 10001 rule 5 permit exp 3 label 2048 ttl eq 23 rule 10 deny traffic classifier acl if-match acl 10001 traffic behavior test permit traffic policy test classifier acl behavior test interface GigabitEthernet0/2/0 traffic-policy test inbound匹配结果:同时满足Exp值为3、Label值为2048和TTL值为23的MPLS报文被设备接收,其他类型的MPLS报文均被设备丢弃。
- 普通流行为
acl number 10001 rule 5 permit exp 3 label 2048 ttl eq 23 rule 10 deny traffic classifier acl if-match acl 10001 traffic behavior test remark mpls-exp 7 traffic policy test classifier acl behavior test interface GigabitEthernet0/2/0 traffic-policy test inbound匹配结果:同时满足Exp值为3、Label值为2048和TTL值为23的MPLS报文被设备接收,并且报文Exp值被标记为7,其他类型的报文均被设备丢弃。
