基于ACL的简化流策略管理
本章节介绍基于ACL的简化流策略管理的配置模型,以及配置的XML报文示例。
数据模型
基于ACL的简化流策略管理的配置模型文件名为huawei-sacl.yang。
节点 |
说明 |
取值范围 |
备注 |
|---|---|---|---|
/huawei-sacl:traffic-filter-apply/directions/direction |
配置全局报文过滤时的方向。 |
枚举类型,取值如下:
|
NA |
/huawei-sacl:traffic-filter-apply/directions/acls/acl |
配置全局报文过滤时基于的ACL。 |
必须是已经通过ietf-acl.yang配置的acl。配置ACL的节点为:/ietf-acl:access-lists/ietf-acl:access-list/ietf-acl:access-control-list-name。 |
只支持IPv4 ACL。 |
/huawei-sacl:traffic-filter-apply/directions/acls/ipv6-flag |
指定ACL是IPv4 ACL或IPv6 ACL。 |
布尔类型,取值如下:
缺省值是false。 |
NA |
/huawei-sacl:traffic-filter-apply/directions/acls/statistic |
指定是否进行全局基于ACL的流量统计。 |
布尔类型,取值如下:
缺省值是false。 |
NA |
/huawei-sacl:traffic-remark-apply/directions/direction |
配置全局报文重标记时的方向。 |
枚举类型,取值如下:
|
NA |
/huawei-sacl:traffic-remark-apply/directions/acl |
配置全局报文重标记时基于的ACL。 |
必须是已经通过ietf-acl.yang配置的acl。配置ACL的节点为:/ietf-acl:access-lists/ietf-acl:access-list/ietf-acl:access-control-list-name。 |
NA |
/huawei-sacl:traffic-remark-apply/directions/local-precedence |
配置重标记报文的本地优先级。 |
整数形式,取值范围是0~7。 |
值越大优先级越高。 |
/huawei-sacl:traffic-secure-apply/directions/direction |
配置全局报文过滤时的方向。 |
枚举类型,取值如下:
|
只支持inbound。 |
/huawei-sacl:traffic-secure-apply/directions/acls/acl |
配置全局报文过滤时基于的ACL。 |
必须是已经通过ietf-acl.yang配置的acl。配置ACL的节点为:/ietf-acl:access-lists/ietf-acl:access-list/ietf-acl:access-control-list-name。 |
只支持IPv4 ACL。 |
/huawei-sacl:traffic-secure-apply/directions/acls/ruleid |
配置全局报文过滤时基于的ACL规则。 |
整数形式,取值范围是0~4294967295。 |
当取值为4294967295时,代表全F,即不配置参数rule。 |
/huawei-sacl:traffic-secure-apply/directions/acls/statistic |
指定是否进行全局基于ACL的流量统计。 |
布尔类型,取值如下:
缺省值是false。 |
NA |
/ietf-interfaces:interfaces/interface/huawei-sacl:traffic-filter-apply/directions/direction |
配置接口上报文过滤时的方向。 |
枚举类型,取值如下:
|
NA |
/ietf-interfaces:interfaces/interface/huawei-sacl:traffic-filter-apply/directions/acls/acl |
配置接口上报文过滤时基于的ACL。 |
必须是已经通过ietf-acl.yang配置的acl。配置ACL的节点为:/ietf-acl:access-lists/ietf-acl:access-list/ietf-acl:access-control-list-name。 |
只支持IPv4 ACL。 |
/ietf-interfaces:interfaces/interface/huawei-sacl:traffic-filter-apply/directions/acls/ipv6-flag |
指定ACL是IPv4 ACL或IPv6 ACL。 |
布尔类型,取值如下:
缺省值是false。 |
NA |
/ietf-interfaces:interfaces/interface/huawei-sacl:traffic-filter-apply/directions/acls/statistic |
指定是否进行接口上基于ACL的流量统计。 |
布尔类型,取值如下:
缺省值是false。 |
NA |
/ietf-interfaces:interfaces/interface/huawei-sacl:traffic-secure-apply/directions/direction |
配置接口上报文过滤时的方向。 |
枚举类型,取值如下:
|
只支持inbound。 |
/ietf-interfaces:interfaces/interface/huawei-sacl:traffic-secure-apply/directions/acls/acl |
配置接口上报文过滤时基于的ACL。 |
必须是已经通过ietf-acl.yang配置的acl。配置ACL的节点为:/ietf-acl:access-lists/ietf-acl:access-list/ietf-acl:access-control-list-name。 |
只支持IPv4 ACL。 |
/ietf-interfaces:interfaces/interface/huawei-sacl:traffic-secure-apply/directions/acls/ruleid |
配置接口上报文过滤时基于的ACL规则。 |
整数形式,取值范围是0~4294967295。 |
当取值为4294967295时,代表全F,即不指定参数rule。 |
/ietf-interfaces:interfaces/interface/huawei-sacl:traffic-secure-apply/directions/acls/statistic |
指定是否进行接口上基于ACL的流量统计。 |
布尔类型,取值如下:
缺省值是false。 |
NA |
/huawei-sacl:get-traffic-apply-status/input/acls/acl |
查看应用的基于ACL的简化流策略时,查询的ACL名称。 |
必须是已经通过ietf-acl.yang配置的acl。配置ACL的节点为:/ietf-acl:access-lists/ietf-acl:access-list/ietf-acl:access-control-list-name。 |
NA |
/huawei-sacl:get-traffic-apply-status/input/acls/ruleid |
查看应用的基于ACL的简化流策略时,查询的ACL规则。 |
整数形式,取值范围是0~4294967295。 |
当取值为4294967295时,代表全F,即不指定参数rule。 |
/huawei-sacl:get-traffic-apply-status/input/acls/application-type |
查看应用的基于ACL的简化流策略时,查询的过滤类型。 |
枚举类型,取值如下:
|
NA |
/huawei-sacl:get-traffic-apply-status/input/acls/application-view |
查看应用的基于ACL的简化流策略时,查询全局还是接口下的信息。 |
枚举类型,取值如下:
|
NA |
/huawei-sacl:get-traffic-apply-status/input/acls/interface-global |
查看应用的基于ACL的简化流策略时,查询接口的接口名称。 |
字符串类型,长度范围为1~256:
|
NA |
/huawei-sacl:get-traffic-apply-status/input/acls/direction |
查看应用的基于ACL的简化流策略时,查询的方向。 |
枚举类型,取值如下:
|
NA |
/huawei-sacl:get-traffic-apply-statistic/input/acls/acl |
查看设备上基于ACL的报文过滤的流量统计信息时,查询的ACL名称。 |
必须是已经通过ietf-acl.yang配置的acl。配置ACL的节点为:/ietf-acl:access-lists/ietf-acl:access-list/ietf-acl:access-control-list-name。 |
NA |
/huawei-sacl:get-traffic-apply-statistic/input/acls/ruleid |
查看应用的基于ACL的报文过滤的流量统计信息时,查询的ACL规则。 |
整数形式,取值范围是0~4294967295。 |
当取值为4294967295时,代表全F,即不指定参数rule。 |
/huawei-sacl:get-traffic-apply-statistic/input/acls/application-type |
查看设备上基于ACL的报文过滤的流量统计信息时,查询的过滤类型。 |
枚举类型,取值如下:
|
NA |
/huawei-sacl:get-traffic-apply-statistic/input/acls/application-view |
查看设备上基于ACL的报文过滤的流量统计信息时,查询全局还是接口的信息。 |
枚举类型,取值如下:
|
NA |
/huawei-sacl:get-traffic-apply-statistic/input/acls/interface-global |
查看设备上基于ACL的报文过滤的流量统计信息时,查询接口的接口名称。 |
字符串类型,长度范围为1~256:
|
NA |
/huawei-sacl:get-traffic-apply-statistic/input/acls/direction |
查看设备上基于ACL的报文过滤的流量统计信息时,查询的方向。 |
枚举类型,取值如下:
|
NA |
/huawei-sacl:get-traffic-apply-statistic/input/clearflag |
是否在查询后清除统计信息。 |
布尔类型,取值如下:
缺省值是false。 |
NA |
配置基于ACL的报文过滤和流量统计示例
本章节主要介绍通过edit-config方法配置基于ACL的报文过滤和流量统计。
操作 |
XPATH |
|---|---|
edit-config |
|
数据需求
配置基于ACL的报文过滤和流量统计。
项目 |
数据 |
描述 |
|---|---|---|
配置全局报文过滤的方向 |
inbound |
配置全局基于IPv4 ACL 3201的入方向的报文过滤和流量统计 |
配置全局报文过滤时基于的ACL |
3201 |
|
指定ACL是IPv4 ACL还是IPv6 ACL |
false |
|
指定是否全局进行基于ACL的流量统计 |
true |
|
配置全局报文过滤的方向 |
inbound |
配置全局基于IPv4 ACL 3201、匹配规则2的入方向的报文过滤和流量统计 |
配置全局报文过滤时基于的ACL |
3201 |
|
配置全局报文过滤时基于的ACL规则 |
2 |
|
指定是否全局进行基于ACL的流量统计 |
true |
项目 |
数据 |
描述 |
|---|---|---|
配置接口上报文过滤的方向 |
inbound |
配置接口GigabitEthernet0/0/1上基于IPv4 ACL 3201的入方向的报文过滤和流量统计 |
配置接口上报文过滤时基于的ACL |
3201 |
|
指定ACL是IPv4 ACL还是IPv6 ACL |
false |
|
指定是否在接口上进行基于ACL的流量统计 |
true |
|
配置接口上报文过滤的方向 |
inbound |
配置接口GigabitEthernet0/0/1上基于IPv4 ACL 3201、匹配规则2的入方向的报文过滤和流量统计 |
配置接口上报文过滤时基于的ACL |
3201 |
|
配置接口上报文过滤时基于的ACL的规则 |
2 |
|
指定是否在接口上进行基于ACL的流量统计 |
true |
请求示例
<?xml version="1.0" encoding="utf-8"?>
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="6">
<edit-config>
<target>
<running/>
</target>
<config xmlns:nc="urn:ietf:params:xml:ns:netconf:base:1.0">
<access-lists xmlns="urn:ietf:params:xml:ns:yang:ietf-acl">
<access-list>
<access-control-list-name>3201</access-control-list-name>
<access-control-list-type xmlns:ietf-acl="urn:ietf:params:xml:ns:yang:ietf-acl">ietf-acl:IP-access-control-list</access-control-list-type>
<access-list-entries>
<access-list-entry>
<rule-name>2</rule-name>
<matches>
<source-port-range>
<lower-port>1</lower-port>
</source-port-range>
<protocol>6</protocol>
</matches>
<actions>
<permit/>
</actions>
</access-list-entry>
</access-list-entries>
<ipv6-flag xmlns="urn:huawei:params:xml:ns:yang:huawei-acl">false</ipv6-flag>
</access-list>
</access-lists>
<hw-sacl:traffic-filter-apply xmlns:hw-sacl="urn:huawei:params:xml:ns:yang:huawei-sacl">
<hw-sacl:directions>
<hw-sacl:direction>inbound</hw-sacl:direction>
<hw-sacl:acls>
<hw-sacl:acl>3201</hw-sacl:acl>
<hw-sacl:ipv6-flag>false</hw-sacl:ipv6-flag>
<hw-sacl:statistic>true</hw-sacl:statistic>
</hw-sacl:acls>
</hw-sacl:directions>
</hw-sacl:traffic-filter-apply>
<hw-sacl:traffic-secure-apply xmlns:hw-sacl="urn:huawei:params:xml:ns:yang:huawei-sacl">
<hw-sacl:directions>
<hw-sacl:direction>inbound</hw-sacl:direction>
<hw-sacl:acls>
<hw-sacl:acl>3201</hw-sacl:acl>
<hw-sacl:ruleid>2</hw-sacl:ruleid>
<hw-sacl:statistic>true</hw-sacl:statistic>
</hw-sacl:acls>
</hw-sacl:directions>
</hw-sacl:traffic-secure-apply>
<if:interfaces xmlns:if="urn:ietf:params:xml:ns:yang:ietf-interfaces">
<if:interface>
<if:name>GigabitEthernet0/0/1</if:name>
<if:type xmlns:iana-if-type="urn:ietf:params:xml:ns:yang:iana-if-type">iana-if-type:ethernetCsmacd</if:type>
<hw-sacl:traffic-filter-apply xmlns:hw-sacl="urn:huawei:params:xml:ns:yang:huawei-sacl">
<hw-sacl:directions>
<hw-sacl:direction>inbound</hw-sacl:direction>
<hw-sacl:acls>
<hw-sacl:acl>3201</hw-sacl:acl>
<hw-sacl:ipv6-flag>false</hw-sacl:ipv6-flag>
<hw-sacl:statistic>true</hw-sacl:statistic>
</hw-sacl:acls>
</hw-sacl:directions>
</hw-sacl:traffic-filter-apply>
<hw-sacl:traffic-secure-apply xmlns:hw-sacl="urn:huawei:params:xml:ns:yang:huawei-sacl">
<hw-sacl:directions>
<hw-sacl:direction>inbound</hw-sacl:direction>
<hw-sacl:acls>
<hw-sacl:acl>3201</hw-sacl:acl>
<hw-sacl:ruleid>2</hw-sacl:ruleid>
<hw-sacl:statistic>true</hw-sacl:statistic>
</hw-sacl:acls>
</hw-sacl:directions>
</hw-sacl:traffic-secure-apply>
</if:interface>
</if:interfaces>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<?xml version='1.0' encoding='UTF-8'?> <rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="9"> <ok/> </rpc-reply>
配置失败响应示例
<?xml version='1.0' encoding='UTF-8'?>
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="10">
<rpc-error>
<error-app-tag>-1</error-app-tag>
<error-message>The traffic-filter does not support ipv6 acl.</error-message>
<error-info>Error on node /huawei-sacl:traffic-filter-apply/directions[direction="inbound"]/acls[acl="3201"]</error-info>
</rpc-error>
</rpc-reply>
查询基于ACL的简化流策略示例
本章节主要介绍通过rpc方法查看基于ACL的简化流策略。
操作 |
XPATH |
|---|---|
rpc |
|
数据需求1
查询基于ACL的简化流策略的状态。
项目 |
数据 |
描述 |
|---|---|---|
查看应用的基于ACL的简化流策略时查询的ACL名称 |
3000 |
ACL名称为3000 |
查看应用的基于ACL的简化流策略时查询的规则 |
1 |
查询的规则为1 |
查看应用的基于ACL的简化流策略时查询的过滤类型 |
filter |
查询过滤类型为filter的基于ACL的简化流策略 |
查看应用的基于ACL的简化流策略时是全局还是接口下的查询 |
global |
查询应用在全局的基于ACL的简化流策略 |
查看应用的基于ACL的简化流策略时查询接口的接口名 |
global |
查询应用在全局的基于ACL的简化流策略 |
查看应用的基于ACL的简化流策略时查询的方向 |
inbound |
查询在入方向应用的基于ACL的简化流策略 |
请求示例
<?xml version="1.0" encoding="UTF-8"?>
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="2">
<hw-sacl:get-traffic-apply-status xmlns:hw-sacl="urn:huawei:params:xml:ns:yang:huawei-sacl">
<hw-sacl:acls>
<hw-sacl:acl>3000</hw-sacl:acl>
<hw-sacl:ruleid>1</hw-sacl:ruleid>
<hw-sacl:application-type>filter</hw-sacl:application-type>
<hw-sacl:application-view>global</hw-sacl:application-view>
<hw-sacl:direction>inbound</hw-sacl:direction>
<hw-sacl:interface-global>global</hw-sacl:interface-global>
</hw-sacl:acls>
</hw-sacl:get-traffic-apply-status>
</rpc>
响应示例
配置成功响应示例
<?xml version='1.0' encoding='UTF-8'?>
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="2">
<data>
<get-traffic-apply-status xmlns="urn:huawei:params:xml:ns:yang:huawei-sacl">
<acls>
<acl>3000</acl>
<ruleid>1</ruleid>
<application-type>filter</application-type>
<application-view>global</application-view>
<interface-global>global</interface-global>
<direction>inbound</direction>
<application-result>
<slot>0</slot>
<status>success</status>
<failure-message/>
</application-result>
</acls>
</get-traffic-apply-status>
</data>
</rpc-reply>
配置失败响应示例
无
数据需求2
查询基于ACL的报文过滤的流量统计信息。
项目 |
数据 |
描述 |
|---|---|---|
查看基于ACL的报文过滤的流量统计信息时查询的ACL名称 |
3000 |
ACL名称为3000 |
查看基于ACL的报文过滤的流量统计信息时查询的规则 |
1 |
查询的规则为1 |
查看基于ACL的报文过滤的流量统计信息时查询的过滤类型 |
secure |
查询的过滤类型为secure |
查看基于ACL的报文过滤的流量统计信息时查询全局信息还是接口信息 |
global |
查询全局信息 |
查看基于ACL的报文过滤的流量统计信息时查询接口的接口名 |
global |
查询全局信息 |
查看基于ACL的报文过滤的流量统计信息时查询的方向 |
inbound |
查询入方向报文的基于ACL的流量统计信息 |
是否在查询后清除统计数据 |
false |
查询后不清除统计数据 |
请求示例
<?xml version="1.0" encoding="UTF-8"?>
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="3">
<hw-sacl:get-traffic-apply-statistic xmlns:hw-sacl="urn:huawei:params:xml:ns:yang:huawei-sacl">
<hw-sacl:acls>
<hw-sacl:acl>3000</hw-sacl:acl>
<hw-sacl:ruleid>1</hw-sacl:ruleid>
<hw-sacl:application-type>secure</hw-sacl:application-type>
<hw-sacl:application-view>global</hw-sacl:application-view>
<hw-sacl:direction>inbound</hw-sacl:direction>
<hw-sacl:interface-global>global</hw-sacl:interface-global>
</hw-sacl:acls>
<hw-sacl:clearflag>false</hw-sacl:clearflag>
</hw-sacl:get-traffic-apply-statistic>
</rpc>
响应示例
配置成功响应示例
<?xml version='1.0' encoding='UTF-8'?>
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="3">
<data>
<get-traffic-apply-statistic xmlns="urn:huawei:params:xml:ns:yang:huawei-sacl">
<acls>
<acl>3000</acl>
<ruleid>1</ruleid>
<application-type>secure</application-type>
<application-view>global</application-view>
<interface-global>global</interface-global>
<direction>inbound</direction>
<statistic>
<statistic-key>
<slot-statistic>0</slot-statistic>
<match-permit-packet>9.767K</match-permit-packet>
<match-permit-byte>1.392M</match-permit-byte>
<match-discarded-packet>0</match-discarded-packet>
<match-discarded-byte>0</match-discarded-byte>
</statistic-key>
</statistic>
</acls>
</get-traffic-apply-statistic>
</data>
</rpc-reply>
配置失败响应示例
无
