基于ACL的简化流策略配置注意事项
涉及网元
无需其他网元配合。
License支持
基于ACL的简化流策略是交换机的基本特性,无需获得License许可即可应用此功能。
特性依赖和限制
V200R012C00及后续版本的设备支持在VLANIF接口上配置基于ACL的简化流策略。
在V200R019C10之前版本,只能在VLANIF接口的入方向配置基于ACL的简化流策略;从V200R019C10版本开始,支持在VLANIF接口的入方向和出方向配置基于ACL的简化流策略。
VLANIF接口对应的VLAN不能是Super-VLAN或MUX VLAN。
对于X系列单板,应用在VLANIF接口上的基于ACL的简化流策略只对相应VLANIF下的单播报文生效。对于其它单板,应用在VLANIF接口上的流策略只对相应VLANIF下的单播报文及三层组播报文生效。
配置基于ACL的简化流策略时,
当命令中指定name acl-name时,需要通过acl name或者acl ipv6 name命令创建对应的ACL,否则命令配置不成功。
当命令中指定rule rule-id时,需要先创建ACL并且配置对应的rule,否则命令配置不成功。
- X系列单板(除X1E、X2H、X5H、X6H单板以外)上配置的ACL6规则应用为硬件ACL时的约束请参见《S12700, S12700E V200R019C10 配置指南-安全配置》 ACL配置中的配置高级ACL6。
- 配置traffic-limit 、traffic-redirect 、traffic-remark、traffic-statistic或traffic-mirror时,无论报文命中ACL的是permit规则还是deny规则,设备都会按照配置的简化流策略对报文执行相应动作。如果希望设备能过滤掉命中deny规则的报文,则必须同时配置traffic-filter或traffic-secure。
- V200R013C00及之前版本同一接口、VLAN或全局下配置多条基于ACL的简化流策略,如果其中一条基于ACL的流策略引用的ACL规则发生变化,会导致此视图所有已配置的基于ACL的简化流策略短暂失效。
- 对于ET1D2L16QX2H和ET1D2C08HX2H单板,如果同一接口、VLAN或全局下已经配置基于ACL的简化流策略,当在此视图中再配置新的基于ACL的简化流策略时,会导致此视图所有已配置的基于ACL的简化流策略短暂失效。
- 如果配置traffic-redirect(接口视图)或traffic-redirect(系统视图)命令将流量重定向到接口时,建议ACL规则匹配二层流量。
- V200R011C10及后续版本的X系列单板支持基于用户自定义ACL的简化流策略。
- 如果ACL规则匹配了报文的VPN实例名称,则基于ACL的简化流策略下发不成功。
匹配同一个ACL的MQC流策略和基于ACL的简化流策略应用到同一对象时,基于ACL的简化流策略优先生效。以下情况例外:使用traffic-secure命令配置基于ACL的报文过滤,可以与匹配同一个ACL的MQC流策略同时生效。
- 若对入方向报文同时配置VLAN Mapping功能和基于ACL的重标记,且指定重标记报文的802.1p优先级或者VLAN编号,那么基于ACL的重标记匹配映射前VLAN ID。其他情况下,若对报文同时配置VLAN Mapping功能和基于ACL的简化流策略,那么基于ACL的简化流策略匹配映射后的VLAN ID。
- 目的IP是本机的报文会上送CPU,另外一些协议报文对应的功能使能后也会上送CPU,比如BGP、OSPF、LACP使能后也会上送CPU处理。上送CPU的报文同时匹配简化流策略所基于的ACL,如果CPCAR和基于ACL的简化流策略动作冲突,CPCAR生效。
- 对于X系列单板中不支持配置扩展表项空间资源模式的单板,仅支持匹配ACL6规则中的协议号、源端口号、目的端口号、源IPv6地址和目的IPv6地址,且不支持将匹配这些内容的基于ACL6的简化流策略应用在VLANIF接口上。
- X系列单板(除X1E、X2H、X5H、X6H单板以外)只支持在全局、VLAN、物理接口或者Eth-Trunk接口下应用ACL6,不支持在其他逻辑接口上应用ACL6。