配置基于ACL的报文过滤
背景信息
通过配置基于ACL的报文过滤,对匹配ACL规则报文进行禁止/允许动作,进而实现对网络流量的控制。
如果traffic-filter或traffic-secure关联的ACL没有同时被其他基于ACL的简化流策略所关联,且报文不会同时匹配报文过滤和其他简化流策略关联的ACL规则时,traffic-filter和traffic-secure可以任选其一。
如果traffic-filter或traffic-secure关联的ACL同时被其他基于ACL的简化流策略所关联,或者报文同时匹配了报文过滤和其他简化流策略关联的ACL时,traffic-filter和traffic-secure的区别如下:
当traffic-secure和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为deny时,仅traffic-secure、traffic-mirror和traffic-statistics命令生效,且报文被过滤。
当traffic-secure和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为permit时,traffic-secure命令和其他基于ACL的简化流策略均生效。
当traffic-filter和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为deny时,仅traffic-filter、traffic-mirror和traffic-statistics命令生效,且报文被过滤。
当traffic-filter和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为permit时,先配置的简化流策略生效。
如果ACL中rule规则配置为deny且基于该ACL的traffic-filter配置在出方向,当报文匹配该ACL规则时,会导致由CPU发送的ICMP、OSPF、BGP、RIP、SNMP、Telnet等协议控制报文被丢弃,相关协议的功能会受到影响。
在全局或VLAN上实现的基于ACL的报文过滤,ACL范围为2000~5999。在NAC网络中用于对用户访问控制的基于ACL的报文过滤,ACL范围为6000~9999,参考traffic-filter acl。
操作步骤
- 在全局或VLAN上配置报文过滤
- 请根据实际需要选择进行如下配置:
执行命令traffic-filter [ vlan vlan-id ] inbound acl { [ ipv6 ] { bas-acl | adv-acl | name acl-name } | l2-acl | user-acl } [ rule rule-id ],对匹配单个ACL规则的入方向的报文进行过滤。
如果用于报文过滤的ACL引用了UCL组,该UCL组的ID值不能超过48。
执行命令traffic-secure [ vlan vlan-id ] inbound acl { bas-acl | adv-acl | l2–acl | name acl-name } [ rule rule-id ],对匹配单个ACL规则的入方向的报文进行过滤。
执行命令traffic-filter [ vlan vlan-id ] outbound acl { [ ipv6 ] {bas-acl | adv-acl | name acl-name } | l2-acl } [ rule rule-id ],对匹配单个ACL规则的出方向的报文进行过滤。
执行命令traffic-filter [ vlan vlan-id ] { inbound | outbound } acl { l2-acl | name acl-name } [ rule rule-id ] acl { bas-acl | adv-acl | name acl-name } [ rule rule-id ]或traffic-filter [ vlan vlan-id ] { inbound | outbound } acl { bas-acl | adv-acl | name acl-name } [ rule rule-id ] acl { l2-acl | name acl-name } [ rule rule-id ],对同时匹配二层ACL和三层ACL规则的报文进行过滤。
执行命令traffic-secure [ vlan vlan-id ] inbound acl { l2–acl | name acl-name } [ rule rule-id ] acl { bas-acl | adv-acl | name acl-name } [ rule rule-id ],对同时匹配二层ACL和三层ACL规则的入方向的报文进行过滤。
- 请根据实际需要选择进行如下配置:
- 在接口上配置报文过滤
- 请根据实际需要选择进行如下配置:
执行命令traffic-filter inbound acl { [ ipv6 ] { bas-acl | adv-acl | name acl-name } | l2-acl | user-acl } [ rule rule-id ],对匹配单个ACL规则的入方向的报文进行过滤。
如果用于报文过滤的ACL引用了UCL组,该UCL组的ID值不能超过48。
执行命令traffic-secure inbound acl { bas-acl | adv-acl | l2–acl | name acl-name } [ rule rule-id ],对匹配单个ACL规则的入方向的报文进行过滤。
执行命令traffic-filter outbound acl { [ ipv6 ] {bas-acl | adv-acl | name acl-name } | l2-acl } [ rule rule-id ],对匹配单个ACL规则的出方向的报文进行过滤。
执行命令traffic-filter { inbound | outbound } acl { l2-acl | name acl-name } [ rule rule-id ] acl { bas-acl | adv-acl | name acl-name } [ rule rule-id ]或traffic-filter { inbound | outbound } acl { bas-acl | adv-acl | name acl-name } [ rule rule-id ] acl { l2-acl | name acl-name } [ rule rule-id ],对同时匹配二层ACL和三层ACL规则的报文进行过滤。
执行命令traffic-secure inbound acl { l2–acl | name acl-name } [ rule rule-id ] acl { bas-acl | adv-acl | name acl-name } [ rule rule-id ],对同时匹配二层ACL和三层ACL规则的入方向的报文进行过滤。
- 请根据实际需要选择进行如下配置:
