配置udp是什么意思
udp是什么意思 时间:2021-05-01 阅读:()
H3C低端以太网交换机典型配置指导ACL目录i目录第1章ACL典型配置指导1-11.
1基本ACL典型配置指导.
1-11.
1.
1组网图.
1-11.
1.
2应用要求.
1-11.
1.
3适用产品、版本1-11.
1.
4配置过程和解释1-21.
1.
5完整配置.
1-21.
1.
6配置注意事项.
1-21.
2高级ACL典型配置指导.
1-31.
2.
1组网图.
1-31.
2.
2应用要求.
1-31.
2.
3适用产品、版本1-31.
2.
4配置过程和解释1-41.
2.
5完整配置.
1-41.
2.
6配置注意事项.
1-41.
3二层ACL典型配置指导.
1-51.
3.
1组网图.
1-51.
3.
2应用要求.
1-51.
3.
3适用产品、版本1-51.
3.
4配置过程和解释1-61.
3.
5完整配置.
1-61.
3.
6配置注意事项.
1-71.
4用户自定义ACL典型配置指导1-71.
4.
1组网图.
1-71.
4.
2应用要求.
1-71.
4.
3适用产品、版本1-81.
4.
4配置过程和解释1-81.
4.
5完整配置.
1-81.
4.
6配置注意事项.
1-9H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-1第1章ACL典型配置指导1.
1基本ACL典型配置指导基本ACL只根据源IP地址制定规则,对数据包进行相应的分析处理.
基本ACL的序号取值范围为2000~2999.
1.
1.
1组网图图1-1基本ACL配置组网图1.
1.
2应用要求PC1和PC2通过端口Ethernet1/0/1接入交换机(以S3600系列以太网交换机为例),PC1的IP地址为10.
1.
1.
1.
要求配置基本ACL,实现在每天8:00~18:00的时间段内对PC1发出的IP报文进行过滤.
1.
1.
3适用产品、版本表1-1配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S5100-EI系列Release2200、Release2201软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本S3100-EI系列Release2104、Release2107软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PS2000-EA系列Release2107软件版本全系列硬件版本E352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E152H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-2产品软件版本硬件版本E126ARelease2104、Release2107软件版本E126A1.
1.
4配置过程和解释#定义周期时间段test,时间范围为每天的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00daily#定义基本ACL2000,配置源IP地址为10.
1.
1.
1的访问规则.
[Sysname]aclnumber2000[Sysname-acl-basic-2000]rule1denysource10.
1.
1.
10time-rangetest[Sysname-acl-basic-2000]quit#在端口Ethernet1/0/1上应用ACL2000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinboundip-group20001.
1.
5完整配置#aclnumber2000rule1denysource10.
1.
1.
10time-rangetest#interfaceEthernet1/0/1packet-filterinboundip-group2000rule1#time-rangetest08:00to18:00daily#1.
1.
6配置注意事项需要注意的是:z当报文同时匹配了多条下发到硬件的ACL规则时,如果这些规则中的动作冲突,一般情况下,后下发的规则生效.
z下发多个规则时,建议用户先下发掩码范围大的规则,后下发掩码范围小的规则,同时下发掩码范围相同的规则,以保证规则下发后的实际运行结果与用户的配置意图一致.
H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-3z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
1.
2高级ACL典型配置指导高级ACL可以使用数据包的源IP地址、目的IP地址、IP承载的协议类型、针对协议的特性(例如TCP或UDP的源端口、目的端口,ICMP协议的消息类型、消息码等)内容定义规则.
高级ACL序号取值范围3000~3999.
1.
2.
1组网图Eth1/0/1研发部门Switch至路由器工资查询服务器Eth1/0/2192.
168.
1.
2图1-2高级ACL配置组网图1.
2.
2应用要求公司企业网通过交换机(以S3600系列以太网交换机为例)实现各部门之间的互连.
研发部门由端口Ethernet1/0/1接入交换机,工资查询服务器的地址为192.
168.
1.
2.
要求配置高级ACL,禁止研发部门在工作日8:00~18:00的时间段内访问工资查询服务器.
1.
2.
3适用产品、版本表1-2配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S5100-EI系列Release2200、Release2201软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本S3100-EI系列Release2104、Release2107软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PS2000-EA系列Release2107软件版本全系列硬件版本H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-4产品软件版本硬件版本E352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E152E126ARelease2104、Release2107软件版本E126A1.
2.
4配置过程和解释#定义周期时间段test,时间范围为工作日的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00working-day#定义高级ACL3000,配置目的IP地址为工资查询服务器的访问规则.
[Sysname]aclnumber3000[Sysname-acl-adv-3000]rule1denyipdestination192.
168.
1.
20time-rangetest[Sysname-acl-adv-3000]quit#在端口Ethernet1/0/1上应用ACL3000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinboundip-group30001.
2.
5完整配置#aclnumber3000rule1denyIPdestination192.
168.
1.
20time-rangetest#interfaceEthernet1/0/1packet-filterinboundip-group3000rule1#time-rangetest08:00to18:00working-day#1.
2.
6配置注意事项需要注意的是:z高级ACL3998与3999是设备为集群管理预留的编号,用户无法配置.
z当报文同时匹配了多条下发到硬件的ACL规则时,如果这些规则中的动作冲突,一般情况下,后下发的规则生效.
H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-5z在端口上下发高级ACL时,如果规则中定义了TCP/UDP的端口信息,则只支持配置operator取值为eq的情况.
z下发多个规则时,建议用户先下发掩码范围大的规则,后下发掩码范围小的规则,同时下发掩码范围相同的规则,以保证规则下发后的实际运行结果与用户的配置意图一致.
z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
1.
3二层ACL典型配置指导二层ACL根据源MAC地址、目的MAC地址、802.
1p优先级、二层协议类型等二层信息制定规则,对数据进行相应处理.
二层ACL的序号取值范围为4000~4999.
1.
3.
1组网图图1-3二层ACL配置组网图1.
3.
2应用要求PC1和PC2通过端口Ethernet1/0/1接入交换机(以S3600系列以太网交换机为例),PC1的MAC地址为0011-0011-0011.
要求配置二层ACL,在每天8:00~18:00的时间段内,对PC1发出的目的MAC为0011-0011-0012的报文进行过滤.
1.
3.
3适用产品、版本表1-3配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S5100-EI系列Release2200、Release2201软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-6产品软件版本硬件版本S3100-EI系列Release2104、Release2107软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PS2000-EA系列Release2107软件版本全系列硬件版本E352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E152E126ARelease2104、Release2107软件版本E126A1.
3.
4配置过程和解释#定义周期时间段test,时间范围为每天的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00daily#定义二层ACL4000,配置源MAC为0011-0011-0011,目的MAC为0011-0011-0012的访问规则.
[Sysname]aclnumber4000[Sysname-acl-ethernetframe-4000]rule1denysource0011-0011-0011ffff-ffff-ffffdest0011-0011-0012ffff-ffff-fffftime-rangetest[Sysname-acl-ethernetframe-4000]quit#在端口Ethernet1/0/1上应用ACL4000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinboundlink-group40001.
3.
5完整配置#aclnumber4000rule1denysource0011-0011-0011ffff-ffff-ffffdest0011-0011-0012ffff-ffff-fffftime-rangetest#interfaceEthernet1/0/1packet-filterinboundlink-group4000rule1#time-rangetest08:00to18:00daily#H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-71.
3.
6配置注意事项需要注意的是:z当报文同时匹配了多条下发到硬件的ACL规则时,如果这些规则中的动作冲突,一般情况下,后下发的规则生效.
z在端口上下发二层ACL时,不支持配置format-type(包括802.
3/802.
2、802.
3、ether_ii、snap)参数.
z下发多个规则时,建议用户先下发掩码范围大的规则,后下发掩码范围小的规则,同时下发掩码范围相同的规则,以保证规则下发后的实际运行结果与用户的配置意图一致.
z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
1.
4用户自定义ACL典型配置指导用户自定义ACL以数据包的头部为基准,指定从第几个字节开始与掩码进行"与"操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文,然后进行相应的处理.
用户自定义ACL的序号取值范围为5000~5999.
1.
4.
1组网图图1-4用户自定义ACL配置组网图1.
4.
2应用要求网络环境描述如下:zPC1的IP地址为192.
168.
0.
2,通过端口Ethernet1/0/1接入交换机(以S3600系列以太网交换机为例);PC2的IP地址为192.
168.
0.
3,通过端口Ethernet1/0/2接入交换机.
H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-8zPC1和PC2属于VLAN1,二者的网关都设置为192.
168.
0.
1(交换机VLAN1接口的IP地址),通过交换机访问Internet.
z要求配置用户自定义ACL,在每天8:00~18:00的时间段内,对PC1发出的仿冒网关IP地址的ARP报文进行过滤.
1.
4.
3适用产品、版本表1-4配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PE352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E1521.
4.
4配置过程和解释#定义周期时间段test,时间范围为每天的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00daily#定义用户自定义ACL5000,配置源IP地址为192.
168.
0.
1的ARP报文的访问规则(假设没有端口启动VLAN-VPN功能).
其中0806为ARP协议号,16为交换机内部处理的以太网报文中协议类型字段的偏移量,c0a80001为192.
168.
0.
1的十六进制形式,32为交换机内部处理的ARP报文中源IP地址字段的偏移量.
[Sysname]aclnumber5000[Sysname-acl-user-5000]rule1deny0806ffff16c0a80001ffffffff32time-rangetest#在端口Ethernet1/0/1上应用ACL5000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinbounduser-group50001.
4.
5完整配置#aclnumber5000rule1deny0806ffff16c0a80001ffffffff32time-rangetest#interfaceEthernet1/0/1H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-9packet-filterinbounduser-group5000rule1#time-rangetest08:00to18:00daily#1.
4.
6配置注意事项需要注意的是:z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
z对于S3600系列/E352&E328以太网交换机,如果没有开启VLAN-VPN功能,交换机内部处理的报文都带有1层VLANtag,1层VLANtag占4个字节;如果某一端口上开启了VLAN-VPN功能,交换机内部处理的报文都带有2层VLANtag,2层VLANtag占8个字节.
用户在配置规则匹配报文的特定字段时需要注意以上情况.
z对于S5600系列以太网交换机,交换机内部处理的报文都带有2层VLANtag,2层VLANtag占8个字节.
用户在配置规则匹配报文的特定字段时需要注意以上情况.
z用户自定义ACL规则的命令形式为rule[rule-id]{deny|permit}[rule-stringrule-maskoffset]&[time-rangetime-name].
其中rule-id为ACL规则编号,rule-string为用户自定义的规则字符串,rule-mask为用户自定义的规则掩码,offset为规则掩码的偏移量.
z当用户在一条规则中指定多个规则字符串时,规则掩码的有效长度为128个16进制数(64个字节).
例如,用户指定了规则字符串为aa,偏移量为2个字节,当用户继续指定规则字符串bb时,其偏移量取值范围只能为3~65字节;如果规则字符串aa的偏移量为3个字节,则规则字符串bb的偏移量取值范围为4~66字节;以此类推.
但是规则字符串bb的偏移量取值范围最大不能超过79个字节.
z如表1-5中所示,S3600系列/S5600系列/E352&E328以太网交换机的硬件规则将用户自定义字符串的规则掩码偏移量从逻辑上划分成了若干个偏移量单元,每个偏移量单元为4个字节.
这些规则掩码偏移量单元被划分为8个组,编号为Offset1~Offset8.
z在下发用户自定义ACL时,S3600/S5600/E352&E328的硬件限定了交换机支持用户自定义规则字符串的最大长度为32个字节(这32字节可以是连续的字符串、也可以是多个不连续的字符串),但这32个字节的字符串最多能占H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-10用8个规则掩码偏移量单元,且任意两个偏移量单元不能属于同一个Offset组.
表1-5用户自定义字符串偏移量取值范围偏移量所占用的单元Offset1Offset2Offset3Offset4Offset5Offset6Offset7Offset80~34~78~1112~1516~1920~2324~2728~312~56~910~1314~1718~2122~2526~2930~336~910~1314~1718~2122~2526~2930~3334~3712~1516~1920~2324~2728~3132~3536~3940~4320~2324~2728~3132~3536~3940~4344~4748~5130~3334~3738~4142~4546~4950~5354~5758~6142~4546~4950~5354~5758~6162~6566~6970~7356~5960~6364~6768~7172~7576~790~34~7z用户配置了用户自定义ACL5000,规则字符串长度为32字节,规则掩码为全F,偏移量取值为4,在端口Ethernet1/0/1上下发.
这种情况下,32个字节的字符串占用了表1-5中4~7(Offset2)、8~11(Offset3)、12~15(Offset4)、16~19(Offset5)、20~23(Offset1)、24~27(Offset7)、28~31(Offse8)和32~35(Offset6)共8个单元,此时可以下发成功.
z用户配置了用户自定义ACL5001,规则字符串长度为32字节,规则掩码为全F,偏移量取值为24,在端口Ethernet1/0/1上下发.
这种情况下,32个字节的字符串所占用的偏移量单元不符合前文提到的"最多能占用8个规则掩码偏移量单元,且任意两个偏移量单元不能属于同一个Offset"的要求,此时不能下发成功.
z配置用户自定义ACL匹配协议报文时,常用的协议类型以及其所使用的偏移量如下表所示.
表1-6常用协议类型号以及偏移量协议类型协议号(十六进制)S3600系列以太网交换机没有开启VLAN-VPN功能时的偏移量S3600系列以太网交换机开启VLAN-VPN功能后的偏移量S5600系列以太网交换机的偏移量ARP0x0806162020RARP0x8035162020IP0x0800162020H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-11协议类型协议号(十六进制)S3600系列以太网交换机没有开启VLAN-VPN功能时的偏移量S3600系列以太网交换机开启VLAN-VPN功能后的偏移量S5600系列以太网交换机的偏移量IPX0x8137162020AppleTalk0x809B162020ICMP0x01273131IGMP0x02273131TCP0x06273131UDP0x17273131
1基本ACL典型配置指导.
1-11.
1.
1组网图.
1-11.
1.
2应用要求.
1-11.
1.
3适用产品、版本1-11.
1.
4配置过程和解释1-21.
1.
5完整配置.
1-21.
1.
6配置注意事项.
1-21.
2高级ACL典型配置指导.
1-31.
2.
1组网图.
1-31.
2.
2应用要求.
1-31.
2.
3适用产品、版本1-31.
2.
4配置过程和解释1-41.
2.
5完整配置.
1-41.
2.
6配置注意事项.
1-41.
3二层ACL典型配置指导.
1-51.
3.
1组网图.
1-51.
3.
2应用要求.
1-51.
3.
3适用产品、版本1-51.
3.
4配置过程和解释1-61.
3.
5完整配置.
1-61.
3.
6配置注意事项.
1-71.
4用户自定义ACL典型配置指导1-71.
4.
1组网图.
1-71.
4.
2应用要求.
1-71.
4.
3适用产品、版本1-81.
4.
4配置过程和解释1-81.
4.
5完整配置.
1-81.
4.
6配置注意事项.
1-9H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-1第1章ACL典型配置指导1.
1基本ACL典型配置指导基本ACL只根据源IP地址制定规则,对数据包进行相应的分析处理.
基本ACL的序号取值范围为2000~2999.
1.
1.
1组网图图1-1基本ACL配置组网图1.
1.
2应用要求PC1和PC2通过端口Ethernet1/0/1接入交换机(以S3600系列以太网交换机为例),PC1的IP地址为10.
1.
1.
1.
要求配置基本ACL,实现在每天8:00~18:00的时间段内对PC1发出的IP报文进行过滤.
1.
1.
3适用产品、版本表1-1配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S5100-EI系列Release2200、Release2201软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本S3100-EI系列Release2104、Release2107软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PS2000-EA系列Release2107软件版本全系列硬件版本E352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E152H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-2产品软件版本硬件版本E126ARelease2104、Release2107软件版本E126A1.
1.
4配置过程和解释#定义周期时间段test,时间范围为每天的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00daily#定义基本ACL2000,配置源IP地址为10.
1.
1.
1的访问规则.
[Sysname]aclnumber2000[Sysname-acl-basic-2000]rule1denysource10.
1.
1.
10time-rangetest[Sysname-acl-basic-2000]quit#在端口Ethernet1/0/1上应用ACL2000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinboundip-group20001.
1.
5完整配置#aclnumber2000rule1denysource10.
1.
1.
10time-rangetest#interfaceEthernet1/0/1packet-filterinboundip-group2000rule1#time-rangetest08:00to18:00daily#1.
1.
6配置注意事项需要注意的是:z当报文同时匹配了多条下发到硬件的ACL规则时,如果这些规则中的动作冲突,一般情况下,后下发的规则生效.
z下发多个规则时,建议用户先下发掩码范围大的规则,后下发掩码范围小的规则,同时下发掩码范围相同的规则,以保证规则下发后的实际运行结果与用户的配置意图一致.
H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-3z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
1.
2高级ACL典型配置指导高级ACL可以使用数据包的源IP地址、目的IP地址、IP承载的协议类型、针对协议的特性(例如TCP或UDP的源端口、目的端口,ICMP协议的消息类型、消息码等)内容定义规则.
高级ACL序号取值范围3000~3999.
1.
2.
1组网图Eth1/0/1研发部门Switch至路由器工资查询服务器Eth1/0/2192.
168.
1.
2图1-2高级ACL配置组网图1.
2.
2应用要求公司企业网通过交换机(以S3600系列以太网交换机为例)实现各部门之间的互连.
研发部门由端口Ethernet1/0/1接入交换机,工资查询服务器的地址为192.
168.
1.
2.
要求配置高级ACL,禁止研发部门在工作日8:00~18:00的时间段内访问工资查询服务器.
1.
2.
3适用产品、版本表1-2配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S5100-EI系列Release2200、Release2201软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本S3100-EI系列Release2104、Release2107软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PS2000-EA系列Release2107软件版本全系列硬件版本H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-4产品软件版本硬件版本E352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E152E126ARelease2104、Release2107软件版本E126A1.
2.
4配置过程和解释#定义周期时间段test,时间范围为工作日的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00working-day#定义高级ACL3000,配置目的IP地址为工资查询服务器的访问规则.
[Sysname]aclnumber3000[Sysname-acl-adv-3000]rule1denyipdestination192.
168.
1.
20time-rangetest[Sysname-acl-adv-3000]quit#在端口Ethernet1/0/1上应用ACL3000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinboundip-group30001.
2.
5完整配置#aclnumber3000rule1denyIPdestination192.
168.
1.
20time-rangetest#interfaceEthernet1/0/1packet-filterinboundip-group3000rule1#time-rangetest08:00to18:00working-day#1.
2.
6配置注意事项需要注意的是:z高级ACL3998与3999是设备为集群管理预留的编号,用户无法配置.
z当报文同时匹配了多条下发到硬件的ACL规则时,如果这些规则中的动作冲突,一般情况下,后下发的规则生效.
H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-5z在端口上下发高级ACL时,如果规则中定义了TCP/UDP的端口信息,则只支持配置operator取值为eq的情况.
z下发多个规则时,建议用户先下发掩码范围大的规则,后下发掩码范围小的规则,同时下发掩码范围相同的规则,以保证规则下发后的实际运行结果与用户的配置意图一致.
z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
1.
3二层ACL典型配置指导二层ACL根据源MAC地址、目的MAC地址、802.
1p优先级、二层协议类型等二层信息制定规则,对数据进行相应处理.
二层ACL的序号取值范围为4000~4999.
1.
3.
1组网图图1-3二层ACL配置组网图1.
3.
2应用要求PC1和PC2通过端口Ethernet1/0/1接入交换机(以S3600系列以太网交换机为例),PC1的MAC地址为0011-0011-0011.
要求配置二层ACL,在每天8:00~18:00的时间段内,对PC1发出的目的MAC为0011-0011-0012的报文进行过滤.
1.
3.
3适用产品、版本表1-3配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S5100-EI系列Release2200、Release2201软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-6产品软件版本硬件版本S3100-EI系列Release2104、Release2107软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PS2000-EA系列Release2107软件版本全系列硬件版本E352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E152E126ARelease2104、Release2107软件版本E126A1.
3.
4配置过程和解释#定义周期时间段test,时间范围为每天的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00daily#定义二层ACL4000,配置源MAC为0011-0011-0011,目的MAC为0011-0011-0012的访问规则.
[Sysname]aclnumber4000[Sysname-acl-ethernetframe-4000]rule1denysource0011-0011-0011ffff-ffff-ffffdest0011-0011-0012ffff-ffff-fffftime-rangetest[Sysname-acl-ethernetframe-4000]quit#在端口Ethernet1/0/1上应用ACL4000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinboundlink-group40001.
3.
5完整配置#aclnumber4000rule1denysource0011-0011-0011ffff-ffff-ffffdest0011-0011-0012ffff-ffff-fffftime-rangetest#interfaceEthernet1/0/1packet-filterinboundlink-group4000rule1#time-rangetest08:00to18:00daily#H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-71.
3.
6配置注意事项需要注意的是:z当报文同时匹配了多条下发到硬件的ACL规则时,如果这些规则中的动作冲突,一般情况下,后下发的规则生效.
z在端口上下发二层ACL时,不支持配置format-type(包括802.
3/802.
2、802.
3、ether_ii、snap)参数.
z下发多个规则时,建议用户先下发掩码范围大的规则,后下发掩码范围小的规则,同时下发掩码范围相同的规则,以保证规则下发后的实际运行结果与用户的配置意图一致.
z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
1.
4用户自定义ACL典型配置指导用户自定义ACL以数据包的头部为基准,指定从第几个字节开始与掩码进行"与"操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文,然后进行相应的处理.
用户自定义ACL的序号取值范围为5000~5999.
1.
4.
1组网图图1-4用户自定义ACL配置组网图1.
4.
2应用要求网络环境描述如下:zPC1的IP地址为192.
168.
0.
2,通过端口Ethernet1/0/1接入交换机(以S3600系列以太网交换机为例);PC2的IP地址为192.
168.
0.
3,通过端口Ethernet1/0/2接入交换机.
H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-8zPC1和PC2属于VLAN1,二者的网关都设置为192.
168.
0.
1(交换机VLAN1接口的IP地址),通过交换机访问Internet.
z要求配置用户自定义ACL,在每天8:00~18:00的时间段内,对PC1发出的仿冒网关IP地址的ARP报文进行过滤.
1.
4.
3适用产品、版本表1-4配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PE352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E1521.
4.
4配置过程和解释#定义周期时间段test,时间范围为每天的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00daily#定义用户自定义ACL5000,配置源IP地址为192.
168.
0.
1的ARP报文的访问规则(假设没有端口启动VLAN-VPN功能).
其中0806为ARP协议号,16为交换机内部处理的以太网报文中协议类型字段的偏移量,c0a80001为192.
168.
0.
1的十六进制形式,32为交换机内部处理的ARP报文中源IP地址字段的偏移量.
[Sysname]aclnumber5000[Sysname-acl-user-5000]rule1deny0806ffff16c0a80001ffffffff32time-rangetest#在端口Ethernet1/0/1上应用ACL5000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinbounduser-group50001.
4.
5完整配置#aclnumber5000rule1deny0806ffff16c0a80001ffffffff32time-rangetest#interfaceEthernet1/0/1H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-9packet-filterinbounduser-group5000rule1#time-rangetest08:00to18:00daily#1.
4.
6配置注意事项需要注意的是:z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
z对于S3600系列/E352&E328以太网交换机,如果没有开启VLAN-VPN功能,交换机内部处理的报文都带有1层VLANtag,1层VLANtag占4个字节;如果某一端口上开启了VLAN-VPN功能,交换机内部处理的报文都带有2层VLANtag,2层VLANtag占8个字节.
用户在配置规则匹配报文的特定字段时需要注意以上情况.
z对于S5600系列以太网交换机,交换机内部处理的报文都带有2层VLANtag,2层VLANtag占8个字节.
用户在配置规则匹配报文的特定字段时需要注意以上情况.
z用户自定义ACL规则的命令形式为rule[rule-id]{deny|permit}[rule-stringrule-maskoffset]&[time-rangetime-name].
其中rule-id为ACL规则编号,rule-string为用户自定义的规则字符串,rule-mask为用户自定义的规则掩码,offset为规则掩码的偏移量.
z当用户在一条规则中指定多个规则字符串时,规则掩码的有效长度为128个16进制数(64个字节).
例如,用户指定了规则字符串为aa,偏移量为2个字节,当用户继续指定规则字符串bb时,其偏移量取值范围只能为3~65字节;如果规则字符串aa的偏移量为3个字节,则规则字符串bb的偏移量取值范围为4~66字节;以此类推.
但是规则字符串bb的偏移量取值范围最大不能超过79个字节.
z如表1-5中所示,S3600系列/S5600系列/E352&E328以太网交换机的硬件规则将用户自定义字符串的规则掩码偏移量从逻辑上划分成了若干个偏移量单元,每个偏移量单元为4个字节.
这些规则掩码偏移量单元被划分为8个组,编号为Offset1~Offset8.
z在下发用户自定义ACL时,S3600/S5600/E352&E328的硬件限定了交换机支持用户自定义规则字符串的最大长度为32个字节(这32字节可以是连续的字符串、也可以是多个不连续的字符串),但这32个字节的字符串最多能占H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-10用8个规则掩码偏移量单元,且任意两个偏移量单元不能属于同一个Offset组.
表1-5用户自定义字符串偏移量取值范围偏移量所占用的单元Offset1Offset2Offset3Offset4Offset5Offset6Offset7Offset80~34~78~1112~1516~1920~2324~2728~312~56~910~1314~1718~2122~2526~2930~336~910~1314~1718~2122~2526~2930~3334~3712~1516~1920~2324~2728~3132~3536~3940~4320~2324~2728~3132~3536~3940~4344~4748~5130~3334~3738~4142~4546~4950~5354~5758~6142~4546~4950~5354~5758~6162~6566~6970~7356~5960~6364~6768~7172~7576~790~34~7z用户配置了用户自定义ACL5000,规则字符串长度为32字节,规则掩码为全F,偏移量取值为4,在端口Ethernet1/0/1上下发.
这种情况下,32个字节的字符串占用了表1-5中4~7(Offset2)、8~11(Offset3)、12~15(Offset4)、16~19(Offset5)、20~23(Offset1)、24~27(Offset7)、28~31(Offse8)和32~35(Offset6)共8个单元,此时可以下发成功.
z用户配置了用户自定义ACL5001,规则字符串长度为32字节,规则掩码为全F,偏移量取值为24,在端口Ethernet1/0/1上下发.
这种情况下,32个字节的字符串所占用的偏移量单元不符合前文提到的"最多能占用8个规则掩码偏移量单元,且任意两个偏移量单元不能属于同一个Offset"的要求,此时不能下发成功.
z配置用户自定义ACL匹配协议报文时,常用的协议类型以及其所使用的偏移量如下表所示.
表1-6常用协议类型号以及偏移量协议类型协议号(十六进制)S3600系列以太网交换机没有开启VLAN-VPN功能时的偏移量S3600系列以太网交换机开启VLAN-VPN功能后的偏移量S5600系列以太网交换机的偏移量ARP0x0806162020RARP0x8035162020IP0x0800162020H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-11协议类型协议号(十六进制)S3600系列以太网交换机没有开启VLAN-VPN功能时的偏移量S3600系列以太网交换机开启VLAN-VPN功能后的偏移量S5600系列以太网交换机的偏移量IPX0x8137162020AppleTalk0x809B162020ICMP0x01273131IGMP0x02273131TCP0x06273131UDP0x17273131
DiyVM:499元/月香港沙田服务器,L5630*2/16G内存/120G SSD硬盘/5M CN2线路
DiyVM是一家成立于2009年的国人主机商,提供的产品包括VPS主机、独立服务器租用等,产品数据中心包括中国香港、日本大阪和美国洛杉矶等,其中VPS主机基于XEN架构,支持异地备份与自定义镜像,VPS和独立服务器均可提供内网IP功能。商家VPS主机均2GB内存起步,三个地区机房可选,使用优惠码后每月69元起;独立服务器开设在香港沙田电信机房,CN2线路,自动化开通上架,最低499元/月起。下面以...
Virmach款低价VPS可选可以选择多个机房,新增多款低价便宜VPS主机7.2美元起
Virmach商家我们是不是比较熟悉?速度一般,但是人家价格低,而且机房是比较多的。早年的时候有帮助一个有做外贸也许需要多个机房且便宜服务商的时候接触到这个商家,有曾经帮助够买过上百台这样的低价机器。这里需要提醒的,便宜但是速度一般,尤其是中文业务速度确实不快,如果是外贸业务,那肯定是没有问题。这几天,我们有看到Virmach推出了夏季优惠促销,VPS首年8折,最低年付仅7.2美元,多机房可选,如...
VirMach:$27.3/月-E3-1240v1/16GB/1TB/10TB/洛杉矶等多机房
上次部落分享过VirMach提供的End of Life Plans系列的VPS主机,最近他们又发布了DEDICATED MIGRATION SPECIALS产品,并提供6.5-7.5折优惠码,优惠后最低每月27.3美元起。同样的这些机器现在订购,将在2021年9月30日至2022年4月30日之间迁移,目前这些等待迁移机器可以在洛杉矶、达拉斯、亚特兰大、纽约、芝加哥等5个地区机房开设,未来迁移的时...
udp是什么意思为你推荐
-
副刊2016年8月30日360免费建站搭建卡盟分站(卡乐购系统,免费360网站收录)只要29元,想建的找2208647548!购物车通过自己的体会总结购物车的作用123456hdAPP上面带有HD是啥意思powerbydedecms如何去掉dedecms自带广告以及Power by dedecmsoscommercewedopay的通道怎么样?403forbidden403forbidden怎么解决dz论坛DZ论坛与PW论坛有什么区别?管理员密码路由器管理员密码6位广告管理系统广告代理公司找专业的项目管理软件,求推荐。