评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
基于ACL的简化流策略配置注意事项
涉及网元
无需其他网元配合。
License支持
基于ACL的简化流策略是交换机的基本特性,无需获得License许可即可应用此功能。
特性依赖和限制
V200R012C00及后续版本的设备支持在VLANIF接口上配置基于ACL的简化流策略。
在V200R019C10之前版本,只能在VLANIF接口的入方向配置基于ACL的简化流策略;从V200R019C10版本开始,支持在VLANIF接口的入方向和出方向配置基于ACL的简化流策略。
VLANIF接口对应的VLAN不能是Super-VLAN或MUX VLAN。
对于X系列单板,应用在VLANIF接口上的基于ACL的简化流策略只对相应VLANIF下的单播报文生效。对于其它单板,应用在VLANIF接口上的流策略只对相应VLANIF下的单播报文及三层组播报文生效。
配置基于ACL的简化流策略时,
当命令中指定name acl-name时,需要通过acl name或者acl ipv6 name命令创建对应的ACL,否则命令配置不成功。
当命令中指定rule rule-id时,需要先创建ACL并且配置对应的rule,否则命令配置不成功。
- X系列单板(除X1E、X2H、X5H、X6H单板以外)上配置的ACL6规则应用为硬件ACL时的约束请参见《S12700, S12700E V200R019C10 配置指南-安全配置》 ACL配置中的配置高级ACL6。
- 配置traffic-limit 、traffic-redirect 、traffic-remark、traffic-statistic或traffic-mirror时,无论报文命中ACL的是permit规则还是deny规则,设备都会按照配置的简化流策略对报文执行相应动作。如果希望设备能过滤掉命中deny规则的报文,则必须同时配置traffic-filter或traffic-secure。
- V200R013C00及之前版本同一接口、VLAN或全局下配置多条基于ACL的简化流策略,如果其中一条基于ACL的流策略引用的ACL规则发生变化,会导致此视图所有已配置的基于ACL的简化流策略短暂失效。
- 对于ET1D2L16QX2H和ET1D2C08HX2H单板,如果同一接口、VLAN或全局下已经配置基于ACL的简化流策略,当在此视图中再配置新的基于ACL的简化流策略时,会导致此视图所有已配置的基于ACL的简化流策略短暂失效。
- 如果配置traffic-redirect(接口视图)或traffic-redirect(系统视图)命令将流量重定向到接口时,建议ACL规则匹配二层流量。
- V200R011C10及后续版本的X系列单板支持基于用户自定义ACL的简化流策略。
- 如果ACL规则匹配了报文的VPN实例名称,则基于ACL的简化流策略下发不成功。
匹配同一个ACL的MQC流策略和基于ACL的简化流策略应用到同一对象时,基于ACL的简化流策略优先生效。以下情况例外:使用traffic-secure命令配置基于ACL的报文过滤,可以与匹配同一个ACL的MQC流策略同时生效。
- 若对入方向报文同时配置VLAN Mapping功能和基于ACL的重标记,且指定重标记报文的802.1p优先级或者VLAN编号,那么基于ACL的重标记匹配映射前VLAN ID。其他情况下,若对报文同时配置VLAN Mapping功能和基于ACL的简化流策略,那么基于ACL的简化流策略匹配映射后的VLAN ID。
- 目的IP是本机的报文会上送CPU,另外一些协议报文对应的功能使能后也会上送CPU,比如BGP、OSPF、LACP使能后也会上送CPU处理。上送CPU的报文同时匹配简化流策略所基于的ACL,如果CPCAR和基于ACL的简化流策略动作冲突,CPCAR生效。
- 对于X系列单板中不支持配置扩展表项空间资源模式的单板,仅支持匹配ACL6规则中的协议号、源端口号、目的端口号、源IPv6地址和目的IPv6地址,且不支持将匹配这些内容的基于ACL6的简化流策略应用在VLANIF接口上。
- X系列单板(除X1E、X2H、X5H、X6H单板以外)只支持在全局、VLAN、物理接口或者Eth-Trunk接口下应用ACL6,不支持在其他逻辑接口上应用ACL6。
