配置基于ACL的报文过滤

S12700, S12700E V200R019C10 配置指南-QoS

本文档介绍了如何配置QoS功能，主要包括MQC配置、优先级映射配置、流量监管配置、流量整形配置、接口限速配置、拥塞避免配置、拥塞管理配置、报文过滤配置、重定向配置、流量统计配置、基于ACL的简化流策略配置和HQoS配置。

评分并提供意见反馈 :

华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言，希望能帮助您更容易理解此文档的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。华为对于翻译的准确性不承担任何责任，并建议您参考英文文档（已提供链接）。

配置基于ACL的报文过滤

背景信息

通过配置基于ACL的报文过滤，对匹配ACL规则报文进行禁止/允许动作，进而实现对网络流量的控制。

traffic-filter和traffic-secure命令都是用来配置报文过滤功能，不建议在设备上同时配置。可以根据以下原则选用traffic-filter或traffic-secure命令配置报文过滤：

如果traffic-filter或traffic-secure关联的ACL没有同时被其他基于ACL的简化流策略所关联，且报文不会同时匹配报文过滤和其他简化流策略关联的ACL规则时，traffic-filter和traffic-secure可以任选其一。
如果traffic-filter或traffic-secure关联的ACL同时被其他基于ACL的简化流策略所关联，或者报文同时匹配了报文过滤和其他简化流策略关联的ACL时，traffic-filter和traffic-secure的区别如下：
- 当traffic-secure和其他基于ACL的简化流策略同时配置，且ACL规则中的动作为deny时，仅traffic-secure、traffic-mirror和traffic-statistics命令生效，且报文被过滤。
- 当traffic-secure和其他基于ACL的简化流策略同时配置，且ACL规则中的动作为permit时，traffic-secure命令和其他基于ACL的简化流策略均生效。
- 当traffic-filter和其他基于ACL的简化流策略同时配置，且ACL规则中的动作为deny时，仅traffic-filter、traffic-mirror和traffic-statistics命令生效，且报文被过滤。
- 当traffic-filter和其他基于ACL的简化流策略同时配置，且ACL规则中的动作为permit时，先配置的简化流策略生效。

如果ACL中rule规则配置为deny且基于该ACL的traffic-filter配置在出方向，当报文匹配该ACL规则时，会导致由CPU发送的ICMP、OSPF、BGP、RIP、SNMP、Telnet等协议控制报文被丢弃，相关协议的功能会受到影响。

在全局或VLAN上实现的基于ACL的报文过滤，ACL范围为2000～5999。在NAC网络中用于对用户访问控制的基于ACL的报文过滤，ACL范围为6000～9999，参考traffic-filter acl。

操作步骤

在全局或VLAN上配置报文过滤
1. 执行命令system-view，进入系统视图。
2. 请根据实际需要选择进行如下配置：
  - 执行命令traffic-filter [ vlan vlan-id ] inbound acl { [ ipv6 ] { bas-acl | adv-acl | name acl-name } | l2-acl | user-acl } [ rule rule-id ]，对匹配单个ACL规则的入方向的报文进行过滤。
    
    如果用于报文过滤的ACL引用了UCL组，该UCL组的ID值不能超过48。
  - 执行命令traffic-secure [ vlan vlan-id ] inbound acl { bas-acl | adv-acl | l2–acl | name acl-name } [ rule rule-id ]，对匹配单个ACL规则的入方向的报文进行过滤。
  - 执行命令traffic-filter [ vlan vlan-id ] outbound acl { [ ipv6 ] {bas-acl | adv-acl | name acl-name } | l2-acl } [ rule rule-id ]，对匹配单个ACL规则的出方向的报文进行过滤。
  - 执行命令traffic-filter [ vlan vlan-id ] { inbound | outbound } acl { l2-acl | name acl-name } [ rule rule-id ] acl { bas-acl | adv-acl | name acl-name } [ rule rule-id ]或traffic-filter [ vlan vlan-id ] { inbound | outbound } acl { bas-acl | adv-acl | name acl-name } [ rule rule-id ] acl { l2-acl | name acl-name } [ rule rule-id ]，对同时匹配二层ACL和三层ACL规则的报文进行过滤。
  - 执行命令traffic-secure [ vlan vlan-id ] inbound acl { l2–acl | name acl-name } [ rule rule-id ] acl { bas-acl | adv-acl | name acl-name } [ rule rule-id ]，对同时匹配二层ACL和三层ACL规则的入方向的报文进行过滤。
在接口上配置报文过滤
1. 执行命令system-view，进入系统视图。
2. 执行命令interface interface-type interface-number，进入接口视图。
3. 请根据实际需要选择进行如下配置：
  - 执行命令traffic-filter inbound acl { [ ipv6 ] { bas-acl | adv-acl | name acl-name } | l2-acl | user-acl } [ rule rule-id ]，对匹配单个ACL规则的入方向的报文进行过滤。
    
    如果用于报文过滤的ACL引用了UCL组，该UCL组的ID值不能超过48。
  - 执行命令traffic-secure inbound acl { bas-acl | adv-acl | l2–acl | name acl-name } [ rule rule-id ]，对匹配单个ACL规则的入方向的报文进行过滤。
  - 执行命令traffic-filter outbound acl { [ ipv6 ] {bas-acl | adv-acl | name acl-name } | l2-acl } [ rule rule-id ]，对匹配单个ACL规则的出方向的报文进行过滤。
  - 执行命令traffic-filter { inbound | outbound } acl { l2-acl | name acl-name } [ rule rule-id ] acl { bas-acl | adv-acl | name acl-name } [ rule rule-id ]或traffic-filter { inbound | outbound } acl { bas-acl | adv-acl | name acl-name } [ rule rule-id ] acl { l2-acl | name acl-name } [ rule rule-id ]，对同时匹配二层ACL和三层ACL规则的报文进行过滤。
  - 执行命令traffic-secure inbound acl { l2–acl | name acl-name } [ rule rule-id ] acl { bas-acl | adv-acl | name acl-name } [ rule rule-id ]，对同时匹配二层ACL和三层ACL规则的入方向的报文进行过滤。

翻译

English

下载文档

更新时间：2021-10-20

文档编号：EDOC1100127096

浏览量：14555

下载量：253

平均得分:

本文档适用于这些产品

数字签名

数字签名验证工具

背景信息

操作步骤

相关版本

相关文档

数字签名