ACL配置与管理——2
来源:互联网 发布:linux目录操作 编辑:程序博客网 时间:2024/05/16 16:23
基于ACL的简化流策略
ACL只有在具体位置或功能上得到应用后才会生效。ACL可以在交换机全局、VLAN或具体接口上应用,但在华为S系列交换机中不是直接应用,是通过一种称之为“基于ACL的简化流策略”来进行的。如可把ACL应用于简化流策略中的多种流行为应用中,如报文过滤、流量监管、流量镜像、流量重定向、报文重标记等。
一、基于ACL的简化流策略概述
“基于ACL的简化流策略”是指通过将报文信息与ACL规则进行匹配,为符合ACL规则的报文提供相同的QoS服务,实现对不同类型业务的差分服务。在用户希望对进入网络的流量进行控制时,可以配置根据报文的源IP地址、分片标记、目的IP地址、源端口号、源MAC地址、目的MAC地址等信息的ACL规则对报文进行匹配,进而配置基于ACL的简化流策略实现对匹配ACL规则的报文的过滤监管、重标记、统计、流镜像或重定向。
与QoS中基于流分类的流策略相比,基于ACL的简化流策略不需要单独创建流分类、流行为或流策略,直接通过一条命令把所采用的的基于ACL的流分类和对应的流行为进行关联,达到最终的QoS流策略的目的,配置更为简洁。由于仅基于ACL规则对报文进行匹配,因此,匹配规则没有基于QoS流分类的流策略那样丰富。
华为S系列交换机中的“基于ACL的简化流策略”包括报文过滤、流量监管、流量镜像、流量统计、流量重定向、报文重标记、流量统计等几方面,也可算是ACL在QoS流策略中的几种主要应用。这些基于ACL的简化流策略都可以应用在交换机全局、具体VLAN或具体交换机接口上。
二、配置基于ACL的报文过滤
通过配置基于ACL的报文过滤,可对匹配ACL规则报文进行禁止/允许动作,进而实现对网络流量的控制(S2700/3700系列仅可在入方向应用,S5700/6700系列既可以在入方向应用,又可在出方向上应用)。在基于ACL的简化流策略的报文过滤应用中,用户可以根据以下原则选择使用traffic-filter或traffic-secure命令配置报文过滤。
(1)如果traffic-filter或traffic-secure命令关联的ACL没有同时被其他基于ACL的简化流策略所关联(即两个简化流策略所关联的不是同一个ACL),且报文不会同时匹配本命令中调用的ACL规则和其他简化流策略关联的ACL规则(即报文不同时匹配两个简化流策略所关联的ACL规则)时,这两个命令可以任选其一。
(2)如果traffic-filter或traffic-secure命令关联的ACL同时被其他基于ACL的简化流策略所关联(即两个简化流策略所关联的是同一个ACL),或者报文同时匹配了本命令中调用的ACL规则和其他简化流策略关联的ACL规则(即报文同时匹配两个简化流策略所关联的ACL规则)时,traffic-filter和traffic-secure的区别如下:
①当traffic-secure命令和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为deny时,则仅traffic-secure、traffic-mirror(用来配置根据ACL进行流镜像)和traffic-statistics(用阿里配置根据ACL进行流量统计)命令的配置将生效(即是traffic-filter命令的配置不生效),报文被过滤。
②当traffic-secure和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为permit时,traffic-secure命令和其他基于ACL的简化流策略均生效。
③当traffic-filter和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为deny时,仅traffic-filter、traffic-mirror和traffic-statistics命令的配置生效(即traffic-secure命令的配置不生效),报文被过滤。
④当traffic-filter和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为permit时,先配置的简化流策略生效。
Traffic-secure命令的优先级高于其他简化ACL配置命令,即如果traffic-secure命令和其他简化ACL配置命令的配置相冲突时,最终以traffic-secure命令配置为准。
1、在全局或VLAN上应用基于ACL的报文过滤
ACL可在全局域VLAN上应用,配置报文过滤功能,但每个调用的ACL仅可匹配一个ACL规则,若ACL中包括有许多规则,则必须指出所要应用的具体ACL规则编号。此时需要在系统视图下根据实际需要选择以下对应的命令进行配置:
(1)入方向报文过滤
①在除S2700-52P-EI/2700-52P-PWR-EI系列之外的其他S2700EI交换机上,执行traffic-filter[vlan vlan-id] inbound acl { bas-acl | adv-acl } [ rule rule-id]命令对匹配单个ACL规则的入方向报文进行过滤。
②在S2752P-EI/2752P-PWR-EI/3700SI/3700EI系列交换机上,执行traffic-filter[vlan vlan-id] inbound acl { bas-acl | adv-acl | user-acl } [ rule rule-id]命令对匹配单个ACL规则的入方向报文进行过滤。
③在S5700/6700系列交换机上,执行traffic-filter[vlan vlan-id] inbound acl {[ipv6] { bas-acl | adv-acl | name acl-name} | l2-acl| user-acl | } [ rule rule-id] 命令对匹配单个ACL规则的入方向报文进行过滤。
④在除S7700/9300/9300E/9700系列交换机外的其他所有S系列交换机上,执行traffic-secure[vlan vlan-id] inbound acl { bas-acl | adv-acl | l2-acl | name acl-name } [rule rule-id] 命令对匹配单个ACL规则的入方向报文进行过滤。
⑤在除S7700/9300/9300E/9700系列交换机外的其他所有S系列交换机上,执行traffic-secure[vlan vlan-id] inbound acl { l2-acl | name acl-name } [rule rule-id] acl{bas-acl |adv-acl | name acl-name} [rule rule-id]命令,对同时匹配二层ACL和三层ACL规则的入方向报文进行过滤。
(2)出方向报文过滤
在S5700/6700系列交换机上,执行traffic-filter[vlan vlan-id] outbound acl { [ipv6] {bas-acl | adv-acl | name acl-name} |l2-acl } [rule rule-id]命令对匹配单个ACL规则的出方向报文进行过滤。
(3)入或出方向报文过滤
在S5700/6700系列交换机上,执行traffic-filter[vlan vlan-id] {inbound | outbound} acl { l2-acl | name acl-name} [rulerule-id] acl {bas-acl | adv-acl | name acl-name} [rule rule-id]或traffic-filter[vlan vlan-id] {inbound | outbound} acl {bas-acl | adv-acl | name acl-name} [rule rule-id] acl { l2-acl | nameacl-name} [rule rule-id]命令对同时匹配二层ACL和三层ACL规则的入或出方向报文进行过滤。
示例:在交换机VLAN100中(即将在所有加入了VLAN100的接口上应用)应用基于ACL的报文过滤,仅允许源IP地址为192.168.0.2的主机的IP报文通过,丢弃其他报文。这里需要同时过滤报文协议类型(IP协议)和源IP地址信息,所以采用高级ACL。
<Huawei>system-view
[Huawei]vlan 100
[Huawei-Vlan100]quit
[Huawei]acl name test 3000
[Huawei-acl-adv-test]rule 5 permit sourceip 192.168.0.2 0
[Huawei-acl-adv-test]rule 10 deny ip sourceany
[Huawei-acl-adv-test]quit
[Huawei]traffic-filter vlan 100 inbound aclname test
示例:在交换机去哪聚(所有接口、所有VLAN中)上配置基于ACL的报文过滤功能,将源IP地址为192.168.0.2的IP报文丢弃。
<Huawei>system-view
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule 5 deny ip source192.168.0.20
[Huawei-acl-adv-3000]quit
[Huawei]traffic-secure inbound acl 3000
2、在端口上应用基于ACL的报文过滤
ACL还可以咋具体以太网端口上应用基于ACL的报文过滤功能。
(1)入方向报文过滤
①在除S2700-52P-EI/2700-52P-PWR-EI系列之外的其他S2700EI交换机上,执行traffic-filter inbound acl { bas-acl | adv-acl } [ rule rule-id]命令对匹配单个ACL规则的入方向报文进行过滤。
②在S2752P-EI/2752P-PWR-EI/3700SI/3700EI系列交换机上,执行traffic-filter inbound acl{ bas-acl | adv-acl | user-acl } [ rulerule-id]命令对匹配单个ACL规则的入方向报文进行过滤。
③在S5700/6700系列交换机上,执行traffic-filter inbound acl{[ipv6] { bas-acl | adv-acl |nameacl-name} | l2-acl | user-acl } [ rulerule-id] 命令对匹配单个ACL规则的入方向报文进行过滤。
④在除S7700/9300/9300E/9700系列交换机外的其他所有S系列交换机上,执行traffic-secure inbound acl{ bas-acl | adv-acl | l2-acl |name acl-name } [ rule rule-id] 命令对匹配单个ACL规则的入方向报文进行过滤。
⑤在除S7700/9300/9300E/9700系列交换机外的其他所有S系列交换机上,执行traffic-secure inbound acl{ l2-acl |name acl-name } [rulerule-id]acl {bas-acl |adv-acl | name acl-name} [rulerule-id]命令,对同时匹配二层ACL和三层ACL规则的入方向报文进行过滤。
(2)出方向报文过滤
在S5700/6700系列交换机上,执行traffic-filter outbound acl { [ipv6] {bas-acl | adv-acl| name acl-name} | l2-acl } [rule rule-id]命令对匹配单个ACL规则的出方向报文进行过滤。
(3)入或出方向报文过滤
在S5700/6700系列交换机上,执行traffic-filter {inbound | outbound} acl { l2-acl | name acl-name} [rule rule-id]acl {bas-acl | adv-acl | nameacl-name} [rule rule-id]或traffic-filter {inbound| outbound}acl {bas-acl| adv-acl | name acl-name} [rulerule-id] acl { l2-acl | name acl-name} [rule rule-id]命令对同时匹配二层ACL和三层ACL规则的入或出方向报文进行过滤。
示例:在交换机GE0/0/1接口上应用基于ACL的报文过滤功能,允许源IP为192.168.0.2的主机IP报文通过。
<Huawei>system-view
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule 5 permit ipsource 192.168.0.2 0
[Huawei-acl-adv-3000]quit
[Huawei]interface gigabitethernet 0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-secureinbound acl 3000
三、配置基于ACL的流量监管
通过配置基于ACL的流量监管,对匹配ACL规则的报文进行限速,并配置对不同颜色报文采取的动作(S2700/3700系列交换机中仅可在入方向上应用ACL,S5700/6700系列既可在入方向应用,又可在出方向上应用ACL)。同样,在配置基于ACL的报文过滤之前,需要配置好相应的ACL规则,但每个调用的ACL仅可匹配一个ACL规则,当ACL中包括许多规则时,则必须指出所要应用的具体ACL规则编号。
1、在全局或VLAN上应用基于ACL的流量监管
需要在系统视图下根据不同的交换机选择不同的命令进行:
(1)在S2700-52P-EI/2700-52P-PWR-EI/2710SI/3700SI/3700EI系列交换机上执行:traffic-limit [vlanvlan-id] inbound acl { {[ ipv6 ] { bas-acl | adv-acl | nameacl-name } } | l2-acl |user-acl } [rule rule-id] circir-value [ pir pir-value] [ cbscbs-value pbs pbs-value] [ green { drop |pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] [ yellow { drop| pass [ remark-8021p 8021p-value|remark-dscp dscp-value ] } ] [ red { drop| pass [ remark-8021p 8021p-value|remark-dscp dscp-value ] } ]命令对匹配单个ACL规则的入方向报文进行流量监管。
执行traffic-limit [vlan vlan-id] inbound acl { l2-acl | name acl-name } [rulerule-id] acl { bas-acl | adv-acl |nameacl-name } [rule rule-id]cir cir-value[ pir pir-value] [ cbscbs-value pbs pbs-value] [ green { drop |pass [ remark-8021p 8021p-value | remark-dscpdscp-value ] } ] [ yellow { drop | pass [ remark-8021p 8021p-value |remark-dscp dscp-value ]} ] [ red { drop| pass [ remark-8021p 8021p-value|remark-dscp dscp-value ] } ]命令对同时匹配二层ACL和三层ACL的入方向报文进行流量监管。
(2)在除S2700-52P-EI和S2700-52P-PWR-EI之外的其他S2700EI系列交换机上执行:traffic-limit [vlanvlan-id] inbound acl { {[ ipv6 ] { bas-acl | adv-acl | nameacl-name } } | l2-acl } [rulerule-id] cir cir-value [cbs cbs-value]命令对匹配单个ACL规则的入方向报文进行流量监管。
执行:traffic-limit [vlan vlan-id] inbound acl { l2-acl| name acl-name } [rulerule-id] acl { bas-acl | adv-acl |nameacl-name } [rule rule-id]cir cir-value [cbs cbs-value] 命令对同时匹配二层ACL和三层ACL的入方向报文进行流量监管。
(3)在S5700LI/5700SI/5700EI系列交换机上,执行:traffic-limit [vlanvlan-id] inbound acl { {[ ipv6 ] { bas-acl | adv-acl | nameacl-name } } | l2-acl |user-acl } [rule rule-id] circir-value [ pir pir-value] [ cbscbs-value pbs pbs-value] [green pass] [yellow { drop| pass [ remark-8021p8021p-value| remark-dscp dscp-value ] } ] [ red { drop| pass [ remark-8021p8021p-value| remark-dscp dscp-value ] } ] 命令对匹配单个ACL规则的入方向报文进行流量监管。
执行:traffic-limit [vlan vlan-id] outbound acl{ [ipv6 ] { bas-acl | adv-acl | name acl-name } | l2-acl } [rule rule-id] cir cir-value[ pir pir-value] [ cbscbs-value pbs pbs-value] [green pass] [yellow pass ] [red { drop |pass}]命令对匹配单个ACL规则的出方向报文进行流量监管。
执行:traffic-limit [vlan vlan-id] inbound acl {l2-acl | name acl-name} [rule rule-id] acl { bas-acl | adv-acl |nameacl-name } [rule rule-id]cir cir-value [ pir pir-value] [ cbscbs-value pbs pbs-value] [green pass] [yellow { drop |pass [ remark-8021p 8021p-value | remark-dscp dscp-value ]} ] [ red { drop|pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ]命令对同时匹配二层ACL和三层ACL的入方向报文进行流量监管。
执行:traffic-limit [vlan vlan-id] outbound acl { l2-acl | name acl-name} [rulerule-id] acl { bas-acl | adv-acl|name acl-name } [rule rule-id]cir cir-value [ pirpir-value] [ cbscbs-value pbs pbs-value][green pass] [yellow pass] [red {drop |pass}]命令对同时匹配二层ACL和三层ACL的出方向报文进行流量监管。
(4)其他S5700系列和S6700系列交换机上
执行:traffic-limit [vlan vlan-id] outbound acl {{ [ ipv6 ] { bas-acl | adv-acl |nameacl-name } } | l2-acl } [rulerule-id] cir cir-value [ pir pir-value][ cbs cbs-value pbs pbs-value] [ green { drop | pass [remark-8021p 8021p-value| remark-dscp dscp-value ] } ] [ yellow { drop| pass [ remark-8021p 8021p-value| remark-dscpdscp-value ] } ] [ red { drop| pass [ remark-8021p 8021p-value| remark-dscpdscp-value ] } ] 命令对匹配单个ACL规则的出方向报文进行流量监管。
执行:traffic-limit [vlan vlan-id] inbound acl {l2-acl | name acl-name} [rule rule-id] acl { bas-acl | adv-acl |nameacl-name } [rule rule-id]cir cir-value [ pir pir-value] [ cbscbs-value pbs pbs-value] [ green { drop |pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] [ yellow { drop| pass [ remark-8021p 8021p-value|remark-dscp dscp-value ] } ] [ red { drop| pass [ remark-8021p 8021p-value|remark-dscp dscp-value ] } ] 命令对同时匹配二层ACL和三层ACL的入方向报文进行流量监管。
执行:traffic-limit [vlan vlan-id] outbound acl {l2-acl | name acl-name} [rule rule-id] acl { bas-acl | adv-acl |nameacl-name } [rule rule-id]cir cir-value [ pir pir-value] [ cbscbs-value pbs pbs-value] [ green { drop |pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] [ yellow { drop| pass [ remark-8021p 8021p-value|remark-dscp dscp-value ] } ] [ red { drop| pass [ remark-8021p 8021p-value|remark-dscp dscp-value ] } ] 命令对同时匹配二层ACL和三层ACL的出方向报文进行流量监管。
报文的颜色可以在流量监管中定义。
(1)报文的突发尺寸﹤cbs-value时,报文被标记为绿色。
(2)cbs-value≤报文的突发尺寸<pbs-value时,报文被标记为黄色。
(3)报文的突发尺寸≥pbs-value时,报文被标记为红色。
缺省情况下,绿色、黄色报文被允许通过,红色报文被丢弃。
示例:在VLAN100的入方向,配置基于ACL3000的流量监管功能,其中承若信息速率为10000kbit/s,允许绿色和黄色报文通过,丢弃红色报文。
<Huawei>system-view
[Huawei]traffic-limit vlan 100 inbound acl3000 cir 10000 green pass yello pass red drop
2、在端口上应用基于ACL的流量监管
在端口上应用基于ACL的流量监管的配置也要根据不同S系列交换机选择对应的配置命令在具体的接口视图下进行。
(1)在S2700-52P-EI/2700-52P-PWR-EI/2710SI/3700SI/3700EI系列交换机上执行:
traffic-limit inbound acl { { [ ipv6 ] { bas-acl | adv-acl| name acl-name } } | l2-acl |user-acl } [rule rule-id] circir-value[ pir pir-value] [ cbscbs-value pbs pbs-value] [ green { drop |pass [ remark-8021p 8021p-value | remark-dscpdscp-value ] } ] [ yellow { drop | pass [ remark-8021p 8021p-value |remark-dscp dscp-value ]} ] [ red { drop| pass [ remark-8021p 8021p-value|remark-dscp dscp-value ] } ]命令对匹配单个ACL规则的入方向报文进行流量监管。
执行traffic-limit inbound acl { l2-acl | nameacl-name } [rulerule-id] acl {bas-acl | adv-acl | nameacl-name } [rulerule-id] cir cir-value[ pir pir-value] [ cbs cbs-value pbs pbs-value] [ green { drop | pass [remark-8021p 8021p-value | remark-dscpdscp-value ] } ] [yellow { drop | pass [ remark-8021p8021p-value | remark-dscp dscp-value ]} ] [ red { drop| pass [ remark-8021p8021p-value| remark-dscp dscp-value ] } ]命令对同时匹配二层ACL和三层ACL规则的入方向报文进行流量监管。
(2)在除S2700-52P-EI和S2700-52P-PWR-EI之外的其他S2700EI系列交换机上执行:traffic-limit inbound acl { { [ ipv6 ] {bas-acl | adv-acl| name acl-name } } | l2-acl} [rulerule-id] circir-value [cbs cbs-value]命令对匹配单个ACL规则的入方向报文进行流量监管。
执行:traffic-limit inbound acl { l2-acl | nameacl-name } [rulerule-id] acl {bas-acl | adv-acl | nameacl-name } [rulerule-id] cir cir-value [cbs cbs-value] 命令对同时匹配二层ACL和三层ACL的入方向报文进行流量监管。
(3)在S5700LI/5700SI/5700EI系列交换机上,执行:traffic-limit inbound acl { { [ ipv6 ] {bas-acl | adv-acl| name acl-name } } | l2-acl |user-acl } [rule rule-id] circir-value[ pir pir-value] [ cbscbs-value pbs pbs-value] [green pass] [yellow { drop | pass [ remark-8021p8021p-value | remark-dscp dscp-value ]} ] [ red { drop| pass [ remark-8021p8021p-value| remark-dscp dscp-value ] } ] 命令对匹配单个ACL规则的入方向报文进行流量监管。
执行:traffic-limit outbound acl{ [ipv6 ] { bas-acl | adv-acl | name acl-name } | l2-acl }[rule rule-id] cir cir-value[pir pir-value] [ cbs cbs-valuepbs pbs-value] [green pass] [yellow pass ] [red { drop |pass}]命令对匹配单个ACL规则的出方向报文进行流量监管。
执行:traffic-limit inbound acl { l2-acl | nameacl-name} [rulerule-id] acl {bas-acl | adv-acl| name acl-name } [rulerule-id] cir cir-value [ pirpir-value] [ cbscbs-value pbs pbs-value][green pass] [yellow { drop |pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] [ red { drop| pass [ remark-8021p 8021p-value|remark-dscp dscp-value ] } ]命令对同时匹配二层ACL和三层ACL的入方向报文进行流量监管。
执行:traffic-limit outbound acl { l2-acl | nameacl-name} [rule rule-id] acl {bas-acl | adv-acl | nameacl-name } [rulerule-id] cir cir-value [ pir pir-value] [ cbs cbs-value pbs pbs-value] [green pass] [yellow pass][red {drop |pass}]命令对同时匹配二层ACL和三层ACL的出方向报文进行流量监管。
(4)其他S5700系列和S6700系列交换机上
执行:traffic-limit inbound acl { { [ ipv6 ] { bas-acl | adv-acl| name acl-name } } | l2-acl |user-acl } [rulerule-id] cir cir-value [ pir pir-value][ cbs cbs-value pbs pbs-value] [ green { drop | pass [remark-8021p 8021p-value| remark-dscp dscp-value ] } ] [ yellow { drop| pass [ remark-8021p 8021p-value| remark-dscpdscp-value ] } ] [ red { drop| pass [ remark-8021p 8021p-value| remark-dscpdscp-value ] } ] 命令对匹配单个ACL规则的入方向报文进行流量监管。
执行:traffic-limit outbound acl { { [ ipv6 ] {bas-acl | adv-acl| name acl-name } } | l2-acl} [rule rule-id] cir cir-value [pir pir-value] [ cbs cbs-valuepbs pbs-value] [ green { drop |pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] [ yellow { drop| pass [ remark-8021p 8021p-value|remark-dscp dscp-value ] } ] [ red { drop| pass [ remark-8021p 8021p-value|remark-dscp dscp-value ] } ] 命令对匹配单个ACL规则的出方向报文进行流量监管。
执行:traffic-limit inbound acl { l2-acl | nameacl-name} [rulerule-id] acl {bas-acl | adv-acl| name acl-name } [rulerule-id] cir cir-value [ pirpir-value] [ cbscbs-value pbs pbs-value][ green { drop |pass [ remark-8021p 8021p-value | remark-dscpdscp-value ] } ] [ yellow { drop | pass [ remark-8021p 8021p-value |remark-dscp dscp-value ]} ] [ red { drop| pass [ remark-8021p 8021p-value|remark-dscp dscp-value ] } ] 命令对同时匹配二层ACL和三层ACL的入方向报文进行流量监管。
执行:traffic-limit outbound acl { l2-acl | nameacl-name} [rulerule-id] acl {bas-acl | adv-acl| name acl-name } [rulerule-id] cir cir-value [ pirpir-value] [ cbscbs-value pbs pbs-value][ green { drop |pass [ remark-8021p 8021p-value | remark-dscpdscp-value ] } ] [ yellow { drop | pass [ remark-8021p 8021p-value |remark-dscp dscp-value ]} ] [ red { drop| pass [ remark-8021p 8021p-value|remark-dscp dscp-value ] } ] 命令对同时匹配二层ACL和三层ACL的出方向报文进行流量监管。
示例:在GE0/0/1接口入方向配置基于ACL的流量监管功能。配置匹配ACL3000的报文的承若信息速率为10000kbit/s,允许绿色、黄色、红色报文通过,重新标记红色报文的DSCP优先级为5。
[Huawei]interface gigabitethernet 0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-limitinbound acl 3000 cir 10000 green pass yellow pass red pass remark dscp 5
四、配置基于ACL的流镜像
通过配置基于ACL的流镜像可将匹配ACL规则的报文镜像到指定观察接口,以便于对报文进行分析(均仅可在入方向上应用ACL)。在配置基于ACL的报文过滤之前需要配置好相应的ACL规则,但每个调用的ACL仅可匹配一个ACL规则,当ACL中包括有许多规则时,必须指出所要应用的具体ACL规则编号。
1、在全局或VLAN上应用基于ACL的流镜像
(1)在S2700-52P-EI/2700-52P-PWR-EI/2710SI/3700SI/3700EI系列交换机上执行:
traffic-mirror [vlanvlan-id] inbound acl {{[ipv6] {bas-acl |adv-acl | name acl-name}} | l2-acl | user-acl } [rule rule-id ] to observe-porto-index命令对匹配单个ACL规则的入方向报文进行流镜像。
执行traffic-mirror [vlan vlan-id] inbound acl{ l2-acl | name acl-name } [rulerule-id ]acl { bas-acl | adv-acl | nameacl-name } [rulerule-id ] to observe-port o-index [ remotevlan-id]命令对同时匹配二层ACL和三层ACL规则的入方向报文进行流镜像。
(2)在除S2700-52P-EI和S2700-52P-PWR-EI之外的其他S2700EI系列交换机上执行:
traffic-mirror [vlanvlan-id] inbound acl {{[ipv6] {bas-acl |adv-acl | name acl-name}} | l2-acl } [rulerule-id ] to observe-porto-index命令对匹配单个ACL规则的入方向报文进行流镜像。
(3)在S5700/6700系列交换机上,执行:
traffic-mirror [vlanvlan-id] inbound acl {{[ipv6] {bas-acl |adv-acl | name acl-name}} | l2-acl | user-acl } [rule rule-id ] to observe-porto-index [ remote vlan-id]命令对匹配单个ACL规则的入方向报文进行流镜像。
根据需要选择以下一个命令对同时匹配二层ACL和三层ACL规则的入方向报文进行流镜像。
(1)traffic-mirror [vlanvlan-id] inbound acll2-acl [rule rule-id ] acl {bas-acl| adv-acl | name acl-name } [rulerule-id ] to observe-port o-index [ remotevlan-id]
(2)traffic-mirror [vlanvlan-id] inbound aclacl-name [rule rule-id ] acl {bas-acl| adv-acl | name acl-name } [rulerule-id ] to observe-port o-index [ remotevlan-id]
示例:在VLAN100的入方向配置基于ACL的流镜像功能,将匹配ACL3000的报文镜像到索引为1的观察窗口。
[Huawei]observe-port 1 interfacegigabitethernet 0/0/1
[Huawei]traffic-mirror vlan 100 inbound acl3000 to observe-port 1
2、在端口上应用基于ACL的流镜像
在端口上应用基于ACL的流镜像的配置也要根据不同系列交换机选择对应的配置命令在具体的接口视图下进行。
(1)(1)在S2700-52P-EI/2700-52P-PWR-EI/2710SI/3700SI/3700EI系列交换机上执行:
traffic-mirror inbound acl {{[ipv6] {bas-acl |adv-acl | name acl-name}} | l2-acl | user-acl } [rule rule-id ] to observe-porto-index命令对匹配单个ACL规则的入方向报文进行流镜像。
执行traffic-mirror inbound acl { l2-acl | nameacl-name } [rulerule-id ] acl {bas-acl | adv-acl | nameacl-name } [rulerule-id ] to observe-port o-index [ remotevlan-id]命令对同时匹配二层ACL和三层ACL规则的入方向报文进行流镜像。
(2)在除S2700-52P-EI和S2700-52P-PWR-EI之外的其他S2700EI系列交换机上执行:
traffic-mirror inbound acl {{[ipv6] {bas-acl |adv-acl | name acl-name}} | l2-acl } [rulerule-id ] to observe-port o-index命令对匹配单个ACL规则的入方向报文进行流镜像。
(3)在S5700/6700系列交换机上,执行:
traffic-mirror inbound acl{{[ipv6] {bas-acl |adv-acl | name acl-name}} | l2-acl | user-acl } [rule rule-id ] to observe-porto-index [ remote vlan-id]命令对匹配单个ACL规则的入方向报文进行流镜像。
根据需要选择以下一个命令对同时匹配二层ACL和三层ACL规则的入方向报文进行流镜像。
(1)traffic-mirror inbound acl l2-acl [rule rule-id ] acl { bas-acl | adv-acl | nameacl-name } [rulerule-id ] to observe-port o-index [ remotevlan-id]
(2)traffic-mirror inbound acl acl-name [rulerule-id ] acl { bas-acl | adv-acl | nameacl-name } [rule rule-id ] to observe-porto-index [remote vlan-id]
示例:在接口GE0/0/1的入方向,配置基于ACL的流镜像功能。配置匹配ACL3000的报文,镜像到索引为1的观察窗口。
[Huawei]observe-port 1 interfacegigabitethernet 0/0/1
[Huawei]interface gigabitethernet0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-mirrorinbound acl 3000 to observe-port 1
五、配置基于ACL的重定向
通过配置基于ACL的重定向,将匹配ACL规则的报文重定向到CPU、指定接口或指定下一跳地址(均仅可在入方向上应用ACL)。在配置基于ACL的报文过滤前,需要配置好相应的ACL规则,但每个调用的ACL仅可匹配一个ACL规则,当ACL中包含有许多规则时,则必须指出所要应用的具体ACL规则编号。但在S2700系列中,只有S2700-52P-EI/2700-52P-PWR-EI/2710SI系列交换机支持基于ACL的重定向功能。
1、在全局或VLAN上应用基于ACL的重定向
在全局或VLAN上应用基于ACL的重定向配置也是在系统视图下根据不同系列交换机选择以下不同命令进行的。
(1)在S2700-52P-EI/2700-52P-PWR-EI/2710SI/3700SI/3700EI系列交换机上执行:
traffic-redirect [vlanvlan-id] inbound acl { [ipv6 ] { bas-acl | adv-acl | nameacl-name}} | l2-acl | user-acl } [rulerule-id ] { cpu | interface interface-typeinterface-number |ip-nexthop ip-nexthop | ipv6-nexthop ipv6-nexthop}命令对匹配单个ACL规则的入方向报文进行重定向。
执行:traffic-redirect [vlanvlan-id] inbound acl{ l2-acl | name acl-name } [rulerule-id ]acl { bas-acl | adv-acl | nameacl-name } [rulerule-id ] { cpu | interface interface-typeinterface-number |ip-nexthop ip-nexthop | ipv6-nexthop ipv6-nexthop}命令对同时匹配二层ACL和三层ACL规则的入方向报文进行重定向。
(2)在S5700SI/5700LI/5700S-LI系列交换机上
执行:traffic-redirect [vlan vlan-id] inbound acl { [ipv6 ]{ bas-acl | adv-acl | nameacl-name} | l2-acl| user-acl } } [rulerule-id ] { cpu | interface interface-typeinterface-number}命令对匹配单个ACL规则的入方向报文进行重定向。
执行traffic-redirect [vlan vlan-id] inbound acl{ l2-acl | name acl-name } [rulerule-id ] acl { bas-acl| adv-acl | nameacl-name } [rule rule-id ] { cpu |interface interface-typeinterface-number }命令对同时匹配二层ACL和三层ACL规则的入方向报文进行重定向。
(3)在其他S5700/6700系列交换机上
执行:traffic-redirect [vlan vlan-id] inbound acl { [ipv6 ]{ bas-acl | adv-acl | nameacl-name} | l2-acl| user-acl } } [rulerule-id ] { cpu | interface interface-typeinterface-number |ip-nexthop ip-nexthop | ipv6-nexthop ipv6-nexthop }命令对匹配单个ACL规则的入方向报文进行重定向。
执行:traffic-redirect [vlan vlan-id] inbound acl{ l2-acl | name acl-name } [rulerule-id ] acl { bas-acl| adv-acl | nameacl-name } [rule rule-id ] { cpu |interface interface-typeinterface-number | ip-nexthopip-nexthop | ipv6-nexthop ipv6-nexthop}}命令对同时匹配二层ACL和三层ACL规则的入方向报文进行重定向。
示例:在VLAN100的入方向,配置基于ACL的重定向功能。将匹配ACL3000的报文,重定向到接口GE0/0/1。
[Huawei]traffic-redirect vlan 100 inboundacl 3000 interface gigabitethernet 0/0/1
2、在端口上应用基于ACL的重定向
在端口上应用基于ACL的重定向的配置要根据不同系列交换机选择对应的配置命令在具体的接口视图下进行。
(1)在S2700-52P-EI/2700-52P-PWR-EI/2710SI/3700SI/3700EI系列交换机上执行:
traffic-redirect inbound acl { [ ipv6 ] { bas-acl | adv-acl | name acl-name}} | l2-acl | user-acl } [rule rule-id ] { cpu | interface interface-type interface-number |ip-nexthop ip-nexthop | ipv6-nexthop ipv6-nexthop }命令对匹配单个ACL规则的入方向报文进行重定向。
执行:traffic-redirect inbound acl { l2-acl | nameacl-name } [rulerule-id ] acl {bas-acl | adv-acl | nameacl-name } [rulerule-id ] { cpu | interface interface-typeinterface-number |ip-nexthop ip-nexthop | ipv6-nexthop ipv6-nexthop}命令对同时匹配二层ACL和三层ACL规则的入方向报文进行重定向。
(2)在S5700SI/5700LI/5700S-LI系列交换机上
执行:traffic-redirect inbound acl { [ ipv6 ] {bas-acl | adv-acl | name acl-name} |l2-acl| user-acl } [rulerule-id ] { cpu | interface interface-type interface-number}命令对匹配单个ACL规则的入方向报文进行重定向。
执行traffic-redirect inbound acl { l2-acl | nameacl-name } [rule rule-id ] acl {bas-acl| adv-acl | name acl-name } [rulerule-id ] { cpu | interface interface-typeinterface-number }命令对同时匹配二层ACL和三层ACL规则的入方向报文进行重定向。
(3)在其他S5700/6700系列交换机上
执行:traffic-redirect inbound acl { [ ipv6 ] {bas-acl | adv-acl | name acl-name} |l2-acl| user-acl } [rulerule-id ] { cpu | interface interface-type interface-number |ip-nexthop ip-nexthop | ipv6-nexthop ipv6-nexthop }命令对匹配单个ACL规则的入方向报文进行重定向。
执行:traffic-redirect inbound acl { l2-acl | nameacl-name } [rulerule-id ] acl {bas-acl | adv-acl | nameacl-name } [rulerule-id ] { cpu | interface interface-typeinterface-number |ip-nexthop ip-nexthop | ipv6-nexthop ipv6-nexthop}}命令对同时匹配二层ACL和三层ACL规则的入方向报文进行重定向。
示例:在E0/0/1接口入方向,配置基于接口的报文重定向功能。配置ACL3000的报文,重定向到E0/0/2接口。
[Huawei]interface Ethernet 0/0/1
[Huawei-Ethernet0/0/1]traffic-redirectinbound acl 3000 interface Ethernet 0/0/2
六、配置基于ACL的重标记
通过配置基于ACL的重标记可对匹配指定ACL规则的报文重标记其优先级,如VLAN报文中的802.1p、IP报文中的DSCP等(S2700/3700系列交换机仅可在入方向上应用ACL,S5700/6700系列既可在入方向,又可在出方向上应用ACL)。在配置基于ACL的报文过滤之前也需要配置相应的ACL规则,但每个调用的ACL仅可匹配一个ACL规则,当ACL中包括许多规则时,则必须指出所要应用的具体ACL规则编号。
1、在全局或VLAN上应用基于ACL的重标记
在全局或VLAN上应用基于ACL的重标记配置也是在系统视图下根据不同系列交换机选择以下不同命令进行的。
(1)在S2700-52P-EI/2700-52P-PWR-EI/2710SI/3700SI/3700EI系列交换机上执行:
traffic-remark [vlanvlan-id] inbound acl { [ipv6 ] { bas-acl | adv-acl | nameacl-name} | l2-acl | user-acl } [rulerule-id ] { dscp { dscp-name | dscp-value }|8021p 8021p-value | destination-macmac-address |ip-precedence ip-precedence-value| vlan-idvlan-id | local-precedence local-precedence-value }命令对匹配单个ACL规则的入方向报文进行重标记。
执行:traffic-remark [vlanvlan-id] inbound acl{ l2-acl | name acl-name } [rulerule-id ]acl { bas-acl | adv-acl | nameacl-name } [rulerule-id ] { dscp { dscp-name | dscp-value }|8021p 8021p-value | destination-macmac-address |ip-precedence ip-precedence-value| vlan-idvlan-id | local-precedence local-precedence-value }命令对同时匹配二层ACL和三层ACL规则的入方向报文进行重标记。
(2)在除S2700-52P-EI和S2700-52P-PWR-EI系列交换机之外的其他S2700EI系列交换机上
执行:traffic-remark [vlan vlan-id] inbound acl { [ipv6 ]{ bas-acl | adv-acl | nameacl-name} | l2-acl} [rule rule-id ] {dscp { dscp-name | dscp-value } | 8021p8021p-value | vlan-id vlan-id | local-precedence local-precedence-value }命令对匹配单个ACL规则的入方向报文进行重标记。
执行traffic-remark [vlan vlan-id] inbound acl{ l2-acl | name acl-name } [rulerule-id ] acl { bas-acl| adv-acl | nameacl-name } [rule rule-id ] { dscp {dscp-name | dscp-value }| 8021p 8021p-value |vlan-id vlan-id | local-precedencelocal-precedence-value }命令对同时匹配二层ACL和三层ACL规则的入方向报文进行重标记。
(3)在其他S5700/6700系列交换机上
执行:traffic-remark [vlan vlan-id] inbound acl { [ipv6 ]{ bas-acl | adv-acl | nameacl-name} | l2-acl| user-acl } [rulerule-id ] {8021p 8021p-value | destination-mac mac-address | dscp { dscp-name | dscp-value } |ip-precedenceip-precedence-value | vlan-idvlan-id | local-precedence local-precedence-value }命令对匹配单个ACL规则的入方向报文进行重标记。
执行:traffic-remark [vlan vlan-id] outbound acl { [ipv6 ]{ bas-acl | adv-acl | nameacl-name} | l2-acl} [rule rule-id ] {8021p 8021p-value | cvlan-id cvlan-id|dscp{ dscp-name | dscp-value } | vlan-idvlan-id }命令对匹配单个ACL规则的出方向报文进行重标记。
执行:traffic-remark [vlan vlan-id] inbound acl{ l2-acl | name acl-name } [rulerule-id ] acl { bas-acl| adv-acl | nameacl-name } [rule rule-id ] { 8021p8021p-value | destination-macmac-address | dscp { dscp-name | dscp-value } | ip-precedenceip-precedence-value| vlan-id vlan-id | local-precedence local-precedence-value } 命令对同时匹配二层ACL和三层ACL规则的入方向报文进行重标记。
执行:traffic-remark [vlan vlan-id] outbound acl { l2-acl | name acl-name } [rulerule-id ]acl { bas-acl | adv-acl | nameacl-name } [rulerule-id ] { 8021p 8021p-value | cvlan-idcvlan-id| dscp { dscp-name | dscp-value } |vlan-id vlan-id }命令对同时匹配二层ACL和三层ACL规则的出方向报文进行重标记。
示例:在VLAN100的入方向,配置基于ACL的重标记功能。将源MAC地址为0-0-1的报文,重标记VLANID为101。
[Huawei]acl 4001
[Huawei-acl-L2-4001]rule 5 permitsource-mac 0-0-1
[Huawei-acl-L2-4001]quit
[Huawei]traffic-remark vlan 100 inbound acl4001 rule 5 vlan-id 101
2、在端口上应用基于ACL的重标记
在端口上应用基于ACL的重标记的配置要根据不同系列交换机选择对应的配置命令在具体的接口视图下进行。
(1)在S2700-52P-EI/2700-52P-PWR-EI/2710SI/3700SI/3700EI系列交换机上执行:
traffic-remark inbound acl { [ ipv6 ] { bas-acl | adv-acl | name acl-name} | l2-acl | user-acl } [rule rule-id ] { dscp { dscp-name | dscp-value } | 8021p8021p-value | destination-mac mac-address | ip-precedenceip-precedence-value | vlan-id vlan-id | local-precedence local-precedence-value }命令对匹配单个ACL规则的入方向报文进行重标记。
执行:traffic-remark inbound acl { l2-acl | nameacl-name } [rule rule-id ] acl {bas-acl| adv-acl | name acl-name } [rulerule-id ] { dscp { dscp-name | dscp-value }|8021p 8021p-value | destination-macmac-address |ip-precedence ip-precedence-value| vlan-idvlan-id | local-precedence local-precedence-value }命令对同时匹配二层ACL和三层ACL规则的入方向报文进行重标记。
(2)在除S2700-52P-EI和S2700-52P-PWR-EI系列交换机之外的其他S2700EI系列交换机上
执行:traffic-remark inbound acl { [ ipv6 ] { bas-acl | adv-acl | name acl-name} | l2-acl} [rule rule-id ] { dscp { dscp-name | dscp-value } | 8021p 8021p-value |vlan-id vlan-id | local-precedence local-precedence-value }命令对匹配单个ACL规则的入方向报文进行重标记。
执行traffic-remark inbound acl { l2-acl | nameacl-name } [rule rule-id ] acl {bas-acl| adv-acl | name acl-name } [rulerule-id ] { dscp { dscp-name | dscp-value }|8021p 8021p-value | vlan-id vlan-id |local-precedencelocal-precedence-value }命令对同时匹配二层ACL和三层ACL规则的入方向报文进行重标记。
(3)在其他S5700/6700系列交换机上
执行:traffic-remark inbound acl { [ ipv6 ] { bas-acl | adv-acl | name acl-name} | l2-acl| user-acl } [rule rule-id ] { 8021p 8021p-value | destination-macmac-address |dscp { dscp-name | dscp-value } | ip-precedenceip-precedence-value| vlan-id vlan-id | local-precedence local-precedence-value }命令对匹配单个ACL规则的入方向报文进行重标记。
执行:traffic-remark outbound acl { [ ipv6 ] { bas-acl | adv-acl | name acl-name} | l2-acl} [rule rule-id ] { 8021p 8021p-value | cvlan-id cvlan-id| dscp{dscp-name | dscp-value } | vlan-id vlan-id }命令对匹配单个ACL规则的出方向报文进行重标记。
执行:traffic-remark inbound acl { l2-acl | nameacl-name } [rulerule-id ] acl {bas-acl | adv-acl | nameacl-name } [rulerule-id ] { 8021p 8021p-value | destination-macmac-address |dscp { dscp-name | dscp-value } | ip-precedenceip-precedence-value| vlan-id vlan-id | local-precedence local-precedence-value } 命令对同时匹配二层ACL和三层ACL规则的入方向报文进行重标记。
执行:traffic-remark outbound acl {l2-acl | nameacl-name } [rulerule-id ] acl {bas-acl | adv-acl | nameacl-name } [rulerule-id ] { 8021p 8021p-value | cvlan-idcvlan-id| dscp { dscp-name | dscp-value } |vlan-id vlan-id }命令对同时匹配二层ACL和三层ACL规则的出方向报文进行重标记。
示例:在接口GE0/0/1的入方向,配置基于ACL的重标记功能。将源MAC地址为0-0-1的报文,重标记VLAN ID为100
[Huawei]acl 4001
[Huawei-acl-L2-4001]rule 5 permitsource-mac 0-0-1
[Huawei-acl-L2-4001]quit
[Huawei]interface gigabitethernet 0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-remarkinbound acl 4001 rule 5 vlan-id 100
七、配置基于ACL的流量统计
通过配置基于ACL的流量统计可对匹配指定ACL规则的报文进行流量统计(S2700/3700系列交换机仅可在入方向上应用ACL,S5700/6700系列既可在入方向,又可在出方向上应用ACL)。在配置基于ACL的报文过滤之前也需要配置相应的ACL规则,但每个调用的ACL仅可匹配一个ACL规则,当ACL中包括许多规则时,则必须指出所要应用的具体ACL规则编号。
1、在全局或VLAN上应用基于ACL的重标记
在全局或VLAN上应用基于ACL的流量统计配置也是在系统视图下根据不同系列交换机选择以下不同命令进行的。
(1)在S2700-52P-EI/2700-52P-PWR-EI/2710SI/3700SI/3700EI系列交换机上执行:
traffic-statistic [vlanvlan-id] inbound acl { [ipv6 ] { bas-acl | adv-acl | nameacl-name} | l2-acl | user-acl } [rulerule-id ] [by-bytes]命令对匹配单个ACL规则的入方向报文进行流量统计。
执行:traffic-remark [vlanvlan-id] inbound acl{ l2-acl | name acl-name } [rulerule-id ]acl { bas-acl | adv-acl | nameacl-name } [rulerule-id ] [by-bytes] 命令对同时匹配二层ACL和三层ACL规则的入方向报文进行流量统计。
(2)在除S2700-52P-EI和S2700-52P-PWR-EI系列交换机之外的其他S2700EI系列交换机上
执行:traffic-statistic [vlan vlan-id] inbound acl { [ipv6 ]{ bas-acl | adv-acl | nameacl-name} | l2-acl} [rule rule-id ]命令对匹配单个ACL规则的入方向报文进行流量统计。
执行traffic-statistic [vlan vlan-id] inbound acl{ l2-acl | name acl-name } [rulerule-id ] acl { bas-acl| adv-acl | nameacl-name } [rule rule-id ]命令对同时匹配二层ACL和三层ACL规则的入方向报文进行流量统计。
(3)在其他S5700/6700系列交换机上
执行:traffic-statistic [vlan vlan-id] inbound acl { [ipv6 ]{ bas-acl | adv-acl | nameacl-name} | l2-acl| user-acl } [rulerule-id ] [by-bytes ]命令对匹配单个ACL规则的入方向报文进行流量统计。
执行:traffic- statistic [vlan vlan-id] outbound acl { [ipv6 ]{ bas-acl | adv-acl | nameacl-name} | l2-acl} [rule rule-id ]命令对匹配单个ACL规则的出方向报文进行流量统计。
执行:traffic- statistic [vlan vlan-id] inbound acl{ l2-acl | name acl-name } [rulerule-id ] acl { bas-acl| adv-acl | nameacl-name } [rule rule-id ] [ by-bytes ]命令对同时匹配二层ACL和三层ACL规则的入方向报文进行流量统计。
执行:traffic-statistic [vlan vlan-id] outbound acl { l2-acl | name acl-name } [rulerule-id ]acl { bas-acl | adv-acl | nameacl-name } [rulerule-id ]命令对同时匹配二层ACL和三层ACL规则的出方向报文进行流量统计。
示例:在VLAN100的入方向,配置基于ACL的流量统计,统计匹配ACL3000中rule1规则的报文数量。
[Huawei]traffic-statistic vlan 100 inboundacl 3000 rule 1
2、在接口上配置流量统计
在端口上应用基于ACL的流量统计要根据不同系列交换机选择对应的配置命令在具体的接口视图下进行。
(1)在S2700-52P-EI/2700-52P-PWR-EI/2710SI/3700SI/3700EI系列交换机上执行:
traffic-statistic inbound acl { [ ipv6 ] { bas-acl | adv-acl | name acl-name} | l2-acl | user-acl } [rule rule-id ] [by-bytes]命令对匹配单个ACL规则的入方向报文进行流量统计。
执行:traffic-remark inbound acl { l2-acl | nameacl-name } [rule rule-id ] acl {bas-acl| adv-acl | name acl-name } [rulerule-id ] [by-bytes] 命令对同时匹配二层ACL和三层ACL规则的入方向报文进行流量统计。
(2)在除S2700-52P-EI和S2700-52P-PWR-EI系列交换机之外的其他S2700EI系列交换机上
执行:traffic-statistic inbound acl { [ ipv6 ] {bas-acl | adv-acl | name acl-name} |l2-acl} [rule rule-id ]命令对匹配单个ACL规则的入方向报文进行流量统计。
执行traffic-statistic inbound acl { l2-acl | nameacl-name } [rule rule-id ] acl {bas-acl| adv-acl | name acl-name } [rulerule-id ]命令对同时匹配二层ACL和三层ACL规则的入方向报文进行流量统计。
(3)在其他S5700/6700系列交换机上
执行:traffic-statistic inbound acl { [ ipv6 ] {bas-acl | adv-acl | name acl-name} |l2-acl| user-acl } [rulerule-id ] [ by-bytes ]命令对匹配单个ACL规则的入方向报文进行流量统计。
执行:traffic- statistic outbound acl { [ ipv6 ]{ bas-acl | adv-acl | name acl-name} |l2-acl} [rule rule-id ]命令对匹配单个ACL规则的出方向报文进行流量统计。
执行:traffic- statistic inbound acl { l2-acl | name acl-name } [rulerule-id ] acl { bas-acl | adv-acl | nameacl-name } [rulerule-id ] [ by-bytes ]命令对同时匹配二层ACL和三层ACL规则的入方向报文进行流量统计。
执行:traffic-statistic outbound acl {l2-acl | name acl-name } [rulerule-id ] acl { bas-acl | adv-acl | nameacl-name } [rulerule-id ]命令对同时匹配二层ACL和三层ACL规则的出方向报文进行流量统计。
示例:在接口GE0/0/1的入方向,配置基于ACL的流量统计功能,统计匹配ACL3000中rule 1规则的报文数量。
[Huawei]interface gigabitethernet 0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-statisticinbound acl 3000 rule 1
3、基于ACL的流量统计管理
配置好基于ACL的流量统计后,可执行以下任意视图display traffic-statistics命令查看设备上基于ACL的报文过滤的流量统计信息。
(1)display traffic-statistics[ vlan vlan-id |interface interface-type interface-number ] { inbound | outbound } [acl { bas-acl | adv-acl | user-acl } [ rulerule-id ] ]
(2)display traffic-statistics[ vlan vlan-id |interface interface-type interface-number ] { inbound | outbound } [acl { acl-name | l2-acl } [ rule rule-id ] [acl { bas-acl| adv-acl | ac-namel } [ rulerule-id ] ]]
(3)display traffic-statistics interface { inbound | outbound}
(4)display traffic-statistics[ vlan vlan-id |interface interface-type interface-number ] { inbound | outbound } [acl ipv6 {bas-acl | adv-acl | ac-namel } [ rulerule-id ] ]
示例:查看接口GE0/0/1入方向上基于ACL3009的流量统计信息。
[Huawei]display traffic-statistics inboundacl 3009
ACL:3009 Rule:1
Matched:0packets,passed:0 packets,dropped:0 packets
执行以下reset traffic-statistics用户视图命令清除设备上基于ACL的报文过滤的流量统计信息。
(1)reset traffic-statistics [vlan vlan-id |interface interface-type interface-number ] { inbound | outbound } [acl { bas-acl | adv-acl | user-acl } [ rulerule-id ] ]
(2)reset traffic-statistics [vlan vlan-id |interface interface-type interface-number ] { inbound | outbound } [acl { acl-name | l2-acl } [ rule rule-id ] [acl { bas-acl| adv-acl | ac-namel } [ rulerule-id ] ]]
(3)reset traffic-statistics interface { inbound |outbound }
(4)reset traffic-statistics [vlan vlan-id |interface interface-type interface-number ] { inbound | outbound } [acl ipv6 {bas-acl | adv-acl | ac-namel } [ rulerule-id ] ]
- ACL配置与管理——2
- ACL配置与管理——1
- ACL配置与管理——3
- Linux 账号管理与 ACL 权限配置
- ACL配置与管理(一)
- Linux——Linux账号管理与ACL权限设置
- 第十四章、Linux 账号管理与 ACL 权限配置
- 14 Linux 账号管理与 ACL 权限配置
- 第十四章、Linux 账号管理与 ACL 权限配置
- 第十四章、Linux 账号管理与 ACL 权限配置
- ACL基本原理与配置
- 权限管理——ACL权限
- 「学习笔记——Linux」Linux账号管理与ACL权限设定
- Linux学习笔记(14)——Linux 账号管理与 ACL 权限设定
- linux 创建用户(批量创建用户) 账号管理与 ACL 权限配置
- 鸟哥学习笔记14:Linux账号管理与ACL权限配置
- Linux账号管理与ACL权限设定
- Linux帐号管理与ACL权限
- tp5获取插入的数据的自增id
- 硬盘检测
- autotools工作原理
- 你有什么理由还不选择阿里云服务器呢--从阿里云发布自研商用关系型数据库POLARDB想到的
- selenium使用Xpath+CSS+JavaScript+jQuery的定位方法(治疗selenium各种定位不到,点击不了的并发症)
- ACL配置与管理——2
- spring boot(8)-mybatis三种动态sql
- unity 计时器
- C#学习笔记10-重写、覆盖和重载
- svn locked
- composr 使用注意事项
- Mysql学习之路07-子查询
- 『区块链智能合约』从零构建Ethereum智能合约到实战开发
- AVL算法实现
