配置udp是什么意思
udp是什么意思 时间:2021-05-01 阅读:()
H3C低端以太网交换机典型配置指导ACL目录i目录第1章ACL典型配置指导1-11.
1基本ACL典型配置指导.
1-11.
1.
1组网图.
1-11.
1.
2应用要求.
1-11.
1.
3适用产品、版本1-11.
1.
4配置过程和解释1-21.
1.
5完整配置.
1-21.
1.
6配置注意事项.
1-21.
2高级ACL典型配置指导.
1-31.
2.
1组网图.
1-31.
2.
2应用要求.
1-31.
2.
3适用产品、版本1-31.
2.
4配置过程和解释1-41.
2.
5完整配置.
1-41.
2.
6配置注意事项.
1-41.
3二层ACL典型配置指导.
1-51.
3.
1组网图.
1-51.
3.
2应用要求.
1-51.
3.
3适用产品、版本1-51.
3.
4配置过程和解释1-61.
3.
5完整配置.
1-61.
3.
6配置注意事项.
1-71.
4用户自定义ACL典型配置指导1-71.
4.
1组网图.
1-71.
4.
2应用要求.
1-71.
4.
3适用产品、版本1-81.
4.
4配置过程和解释1-81.
4.
5完整配置.
1-81.
4.
6配置注意事项.
1-9H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-1第1章ACL典型配置指导1.
1基本ACL典型配置指导基本ACL只根据源IP地址制定规则,对数据包进行相应的分析处理.
基本ACL的序号取值范围为2000~2999.
1.
1.
1组网图图1-1基本ACL配置组网图1.
1.
2应用要求PC1和PC2通过端口Ethernet1/0/1接入交换机(以S3600系列以太网交换机为例),PC1的IP地址为10.
1.
1.
1.
要求配置基本ACL,实现在每天8:00~18:00的时间段内对PC1发出的IP报文进行过滤.
1.
1.
3适用产品、版本表1-1配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S5100-EI系列Release2200、Release2201软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本S3100-EI系列Release2104、Release2107软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PS2000-EA系列Release2107软件版本全系列硬件版本E352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E152H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-2产品软件版本硬件版本E126ARelease2104、Release2107软件版本E126A1.
1.
4配置过程和解释#定义周期时间段test,时间范围为每天的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00daily#定义基本ACL2000,配置源IP地址为10.
1.
1.
1的访问规则.
[Sysname]aclnumber2000[Sysname-acl-basic-2000]rule1denysource10.
1.
1.
10time-rangetest[Sysname-acl-basic-2000]quit#在端口Ethernet1/0/1上应用ACL2000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinboundip-group20001.
1.
5完整配置#aclnumber2000rule1denysource10.
1.
1.
10time-rangetest#interfaceEthernet1/0/1packet-filterinboundip-group2000rule1#time-rangetest08:00to18:00daily#1.
1.
6配置注意事项需要注意的是:z当报文同时匹配了多条下发到硬件的ACL规则时,如果这些规则中的动作冲突,一般情况下,后下发的规则生效.
z下发多个规则时,建议用户先下发掩码范围大的规则,后下发掩码范围小的规则,同时下发掩码范围相同的规则,以保证规则下发后的实际运行结果与用户的配置意图一致.
H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-3z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
1.
2高级ACL典型配置指导高级ACL可以使用数据包的源IP地址、目的IP地址、IP承载的协议类型、针对协议的特性(例如TCP或UDP的源端口、目的端口,ICMP协议的消息类型、消息码等)内容定义规则.
高级ACL序号取值范围3000~3999.
1.
2.
1组网图Eth1/0/1研发部门Switch至路由器工资查询服务器Eth1/0/2192.
168.
1.
2图1-2高级ACL配置组网图1.
2.
2应用要求公司企业网通过交换机(以S3600系列以太网交换机为例)实现各部门之间的互连.
研发部门由端口Ethernet1/0/1接入交换机,工资查询服务器的地址为192.
168.
1.
2.
要求配置高级ACL,禁止研发部门在工作日8:00~18:00的时间段内访问工资查询服务器.
1.
2.
3适用产品、版本表1-2配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S5100-EI系列Release2200、Release2201软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本S3100-EI系列Release2104、Release2107软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PS2000-EA系列Release2107软件版本全系列硬件版本H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-4产品软件版本硬件版本E352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E152E126ARelease2104、Release2107软件版本E126A1.
2.
4配置过程和解释#定义周期时间段test,时间范围为工作日的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00working-day#定义高级ACL3000,配置目的IP地址为工资查询服务器的访问规则.
[Sysname]aclnumber3000[Sysname-acl-adv-3000]rule1denyipdestination192.
168.
1.
20time-rangetest[Sysname-acl-adv-3000]quit#在端口Ethernet1/0/1上应用ACL3000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinboundip-group30001.
2.
5完整配置#aclnumber3000rule1denyIPdestination192.
168.
1.
20time-rangetest#interfaceEthernet1/0/1packet-filterinboundip-group3000rule1#time-rangetest08:00to18:00working-day#1.
2.
6配置注意事项需要注意的是:z高级ACL3998与3999是设备为集群管理预留的编号,用户无法配置.
z当报文同时匹配了多条下发到硬件的ACL规则时,如果这些规则中的动作冲突,一般情况下,后下发的规则生效.
H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-5z在端口上下发高级ACL时,如果规则中定义了TCP/UDP的端口信息,则只支持配置operator取值为eq的情况.
z下发多个规则时,建议用户先下发掩码范围大的规则,后下发掩码范围小的规则,同时下发掩码范围相同的规则,以保证规则下发后的实际运行结果与用户的配置意图一致.
z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
1.
3二层ACL典型配置指导二层ACL根据源MAC地址、目的MAC地址、802.
1p优先级、二层协议类型等二层信息制定规则,对数据进行相应处理.
二层ACL的序号取值范围为4000~4999.
1.
3.
1组网图图1-3二层ACL配置组网图1.
3.
2应用要求PC1和PC2通过端口Ethernet1/0/1接入交换机(以S3600系列以太网交换机为例),PC1的MAC地址为0011-0011-0011.
要求配置二层ACL,在每天8:00~18:00的时间段内,对PC1发出的目的MAC为0011-0011-0012的报文进行过滤.
1.
3.
3适用产品、版本表1-3配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S5100-EI系列Release2200、Release2201软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-6产品软件版本硬件版本S3100-EI系列Release2104、Release2107软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PS2000-EA系列Release2107软件版本全系列硬件版本E352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E152E126ARelease2104、Release2107软件版本E126A1.
3.
4配置过程和解释#定义周期时间段test,时间范围为每天的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00daily#定义二层ACL4000,配置源MAC为0011-0011-0011,目的MAC为0011-0011-0012的访问规则.
[Sysname]aclnumber4000[Sysname-acl-ethernetframe-4000]rule1denysource0011-0011-0011ffff-ffff-ffffdest0011-0011-0012ffff-ffff-fffftime-rangetest[Sysname-acl-ethernetframe-4000]quit#在端口Ethernet1/0/1上应用ACL4000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinboundlink-group40001.
3.
5完整配置#aclnumber4000rule1denysource0011-0011-0011ffff-ffff-ffffdest0011-0011-0012ffff-ffff-fffftime-rangetest#interfaceEthernet1/0/1packet-filterinboundlink-group4000rule1#time-rangetest08:00to18:00daily#H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-71.
3.
6配置注意事项需要注意的是:z当报文同时匹配了多条下发到硬件的ACL规则时,如果这些规则中的动作冲突,一般情况下,后下发的规则生效.
z在端口上下发二层ACL时,不支持配置format-type(包括802.
3/802.
2、802.
3、ether_ii、snap)参数.
z下发多个规则时,建议用户先下发掩码范围大的规则,后下发掩码范围小的规则,同时下发掩码范围相同的规则,以保证规则下发后的实际运行结果与用户的配置意图一致.
z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
1.
4用户自定义ACL典型配置指导用户自定义ACL以数据包的头部为基准,指定从第几个字节开始与掩码进行"与"操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文,然后进行相应的处理.
用户自定义ACL的序号取值范围为5000~5999.
1.
4.
1组网图图1-4用户自定义ACL配置组网图1.
4.
2应用要求网络环境描述如下:zPC1的IP地址为192.
168.
0.
2,通过端口Ethernet1/0/1接入交换机(以S3600系列以太网交换机为例);PC2的IP地址为192.
168.
0.
3,通过端口Ethernet1/0/2接入交换机.
H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-8zPC1和PC2属于VLAN1,二者的网关都设置为192.
168.
0.
1(交换机VLAN1接口的IP地址),通过交换机访问Internet.
z要求配置用户自定义ACL,在每天8:00~18:00的时间段内,对PC1发出的仿冒网关IP地址的ARP报文进行过滤.
1.
4.
3适用产品、版本表1-4配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PE352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E1521.
4.
4配置过程和解释#定义周期时间段test,时间范围为每天的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00daily#定义用户自定义ACL5000,配置源IP地址为192.
168.
0.
1的ARP报文的访问规则(假设没有端口启动VLAN-VPN功能).
其中0806为ARP协议号,16为交换机内部处理的以太网报文中协议类型字段的偏移量,c0a80001为192.
168.
0.
1的十六进制形式,32为交换机内部处理的ARP报文中源IP地址字段的偏移量.
[Sysname]aclnumber5000[Sysname-acl-user-5000]rule1deny0806ffff16c0a80001ffffffff32time-rangetest#在端口Ethernet1/0/1上应用ACL5000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinbounduser-group50001.
4.
5完整配置#aclnumber5000rule1deny0806ffff16c0a80001ffffffff32time-rangetest#interfaceEthernet1/0/1H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-9packet-filterinbounduser-group5000rule1#time-rangetest08:00to18:00daily#1.
4.
6配置注意事项需要注意的是:z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
z对于S3600系列/E352&E328以太网交换机,如果没有开启VLAN-VPN功能,交换机内部处理的报文都带有1层VLANtag,1层VLANtag占4个字节;如果某一端口上开启了VLAN-VPN功能,交换机内部处理的报文都带有2层VLANtag,2层VLANtag占8个字节.
用户在配置规则匹配报文的特定字段时需要注意以上情况.
z对于S5600系列以太网交换机,交换机内部处理的报文都带有2层VLANtag,2层VLANtag占8个字节.
用户在配置规则匹配报文的特定字段时需要注意以上情况.
z用户自定义ACL规则的命令形式为rule[rule-id]{deny|permit}[rule-stringrule-maskoffset]&[time-rangetime-name].
其中rule-id为ACL规则编号,rule-string为用户自定义的规则字符串,rule-mask为用户自定义的规则掩码,offset为规则掩码的偏移量.
z当用户在一条规则中指定多个规则字符串时,规则掩码的有效长度为128个16进制数(64个字节).
例如,用户指定了规则字符串为aa,偏移量为2个字节,当用户继续指定规则字符串bb时,其偏移量取值范围只能为3~65字节;如果规则字符串aa的偏移量为3个字节,则规则字符串bb的偏移量取值范围为4~66字节;以此类推.
但是规则字符串bb的偏移量取值范围最大不能超过79个字节.
z如表1-5中所示,S3600系列/S5600系列/E352&E328以太网交换机的硬件规则将用户自定义字符串的规则掩码偏移量从逻辑上划分成了若干个偏移量单元,每个偏移量单元为4个字节.
这些规则掩码偏移量单元被划分为8个组,编号为Offset1~Offset8.
z在下发用户自定义ACL时,S3600/S5600/E352&E328的硬件限定了交换机支持用户自定义规则字符串的最大长度为32个字节(这32字节可以是连续的字符串、也可以是多个不连续的字符串),但这32个字节的字符串最多能占H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-10用8个规则掩码偏移量单元,且任意两个偏移量单元不能属于同一个Offset组.
表1-5用户自定义字符串偏移量取值范围偏移量所占用的单元Offset1Offset2Offset3Offset4Offset5Offset6Offset7Offset80~34~78~1112~1516~1920~2324~2728~312~56~910~1314~1718~2122~2526~2930~336~910~1314~1718~2122~2526~2930~3334~3712~1516~1920~2324~2728~3132~3536~3940~4320~2324~2728~3132~3536~3940~4344~4748~5130~3334~3738~4142~4546~4950~5354~5758~6142~4546~4950~5354~5758~6162~6566~6970~7356~5960~6364~6768~7172~7576~790~34~7z用户配置了用户自定义ACL5000,规则字符串长度为32字节,规则掩码为全F,偏移量取值为4,在端口Ethernet1/0/1上下发.
这种情况下,32个字节的字符串占用了表1-5中4~7(Offset2)、8~11(Offset3)、12~15(Offset4)、16~19(Offset5)、20~23(Offset1)、24~27(Offset7)、28~31(Offse8)和32~35(Offset6)共8个单元,此时可以下发成功.
z用户配置了用户自定义ACL5001,规则字符串长度为32字节,规则掩码为全F,偏移量取值为24,在端口Ethernet1/0/1上下发.
这种情况下,32个字节的字符串所占用的偏移量单元不符合前文提到的"最多能占用8个规则掩码偏移量单元,且任意两个偏移量单元不能属于同一个Offset"的要求,此时不能下发成功.
z配置用户自定义ACL匹配协议报文时,常用的协议类型以及其所使用的偏移量如下表所示.
表1-6常用协议类型号以及偏移量协议类型协议号(十六进制)S3600系列以太网交换机没有开启VLAN-VPN功能时的偏移量S3600系列以太网交换机开启VLAN-VPN功能后的偏移量S5600系列以太网交换机的偏移量ARP0x0806162020RARP0x8035162020IP0x0800162020H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-11协议类型协议号(十六进制)S3600系列以太网交换机没有开启VLAN-VPN功能时的偏移量S3600系列以太网交换机开启VLAN-VPN功能后的偏移量S5600系列以太网交换机的偏移量IPX0x8137162020AppleTalk0x809B162020ICMP0x01273131IGMP0x02273131TCP0x06273131UDP0x17273131
1基本ACL典型配置指导.
1-11.
1.
1组网图.
1-11.
1.
2应用要求.
1-11.
1.
3适用产品、版本1-11.
1.
4配置过程和解释1-21.
1.
5完整配置.
1-21.
1.
6配置注意事项.
1-21.
2高级ACL典型配置指导.
1-31.
2.
1组网图.
1-31.
2.
2应用要求.
1-31.
2.
3适用产品、版本1-31.
2.
4配置过程和解释1-41.
2.
5完整配置.
1-41.
2.
6配置注意事项.
1-41.
3二层ACL典型配置指导.
1-51.
3.
1组网图.
1-51.
3.
2应用要求.
1-51.
3.
3适用产品、版本1-51.
3.
4配置过程和解释1-61.
3.
5完整配置.
1-61.
3.
6配置注意事项.
1-71.
4用户自定义ACL典型配置指导1-71.
4.
1组网图.
1-71.
4.
2应用要求.
1-71.
4.
3适用产品、版本1-81.
4.
4配置过程和解释1-81.
4.
5完整配置.
1-81.
4.
6配置注意事项.
1-9H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-1第1章ACL典型配置指导1.
1基本ACL典型配置指导基本ACL只根据源IP地址制定规则,对数据包进行相应的分析处理.
基本ACL的序号取值范围为2000~2999.
1.
1.
1组网图图1-1基本ACL配置组网图1.
1.
2应用要求PC1和PC2通过端口Ethernet1/0/1接入交换机(以S3600系列以太网交换机为例),PC1的IP地址为10.
1.
1.
1.
要求配置基本ACL,实现在每天8:00~18:00的时间段内对PC1发出的IP报文进行过滤.
1.
1.
3适用产品、版本表1-1配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S5100-EI系列Release2200、Release2201软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本S3100-EI系列Release2104、Release2107软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PS2000-EA系列Release2107软件版本全系列硬件版本E352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E152H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-2产品软件版本硬件版本E126ARelease2104、Release2107软件版本E126A1.
1.
4配置过程和解释#定义周期时间段test,时间范围为每天的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00daily#定义基本ACL2000,配置源IP地址为10.
1.
1.
1的访问规则.
[Sysname]aclnumber2000[Sysname-acl-basic-2000]rule1denysource10.
1.
1.
10time-rangetest[Sysname-acl-basic-2000]quit#在端口Ethernet1/0/1上应用ACL2000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinboundip-group20001.
1.
5完整配置#aclnumber2000rule1denysource10.
1.
1.
10time-rangetest#interfaceEthernet1/0/1packet-filterinboundip-group2000rule1#time-rangetest08:00to18:00daily#1.
1.
6配置注意事项需要注意的是:z当报文同时匹配了多条下发到硬件的ACL规则时,如果这些规则中的动作冲突,一般情况下,后下发的规则生效.
z下发多个规则时,建议用户先下发掩码范围大的规则,后下发掩码范围小的规则,同时下发掩码范围相同的规则,以保证规则下发后的实际运行结果与用户的配置意图一致.
H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-3z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
1.
2高级ACL典型配置指导高级ACL可以使用数据包的源IP地址、目的IP地址、IP承载的协议类型、针对协议的特性(例如TCP或UDP的源端口、目的端口,ICMP协议的消息类型、消息码等)内容定义规则.
高级ACL序号取值范围3000~3999.
1.
2.
1组网图Eth1/0/1研发部门Switch至路由器工资查询服务器Eth1/0/2192.
168.
1.
2图1-2高级ACL配置组网图1.
2.
2应用要求公司企业网通过交换机(以S3600系列以太网交换机为例)实现各部门之间的互连.
研发部门由端口Ethernet1/0/1接入交换机,工资查询服务器的地址为192.
168.
1.
2.
要求配置高级ACL,禁止研发部门在工作日8:00~18:00的时间段内访问工资查询服务器.
1.
2.
3适用产品、版本表1-2配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S5100-EI系列Release2200、Release2201软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本S3100-EI系列Release2104、Release2107软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PS2000-EA系列Release2107软件版本全系列硬件版本H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-4产品软件版本硬件版本E352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E152E126ARelease2104、Release2107软件版本E126A1.
2.
4配置过程和解释#定义周期时间段test,时间范围为工作日的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00working-day#定义高级ACL3000,配置目的IP地址为工资查询服务器的访问规则.
[Sysname]aclnumber3000[Sysname-acl-adv-3000]rule1denyipdestination192.
168.
1.
20time-rangetest[Sysname-acl-adv-3000]quit#在端口Ethernet1/0/1上应用ACL3000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinboundip-group30001.
2.
5完整配置#aclnumber3000rule1denyIPdestination192.
168.
1.
20time-rangetest#interfaceEthernet1/0/1packet-filterinboundip-group3000rule1#time-rangetest08:00to18:00working-day#1.
2.
6配置注意事项需要注意的是:z高级ACL3998与3999是设备为集群管理预留的编号,用户无法配置.
z当报文同时匹配了多条下发到硬件的ACL规则时,如果这些规则中的动作冲突,一般情况下,后下发的规则生效.
H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-5z在端口上下发高级ACL时,如果规则中定义了TCP/UDP的端口信息,则只支持配置operator取值为eq的情况.
z下发多个规则时,建议用户先下发掩码范围大的规则,后下发掩码范围小的规则,同时下发掩码范围相同的规则,以保证规则下发后的实际运行结果与用户的配置意图一致.
z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
1.
3二层ACL典型配置指导二层ACL根据源MAC地址、目的MAC地址、802.
1p优先级、二层协议类型等二层信息制定规则,对数据进行相应处理.
二层ACL的序号取值范围为4000~4999.
1.
3.
1组网图图1-3二层ACL配置组网图1.
3.
2应用要求PC1和PC2通过端口Ethernet1/0/1接入交换机(以S3600系列以太网交换机为例),PC1的MAC地址为0011-0011-0011.
要求配置二层ACL,在每天8:00~18:00的时间段内,对PC1发出的目的MAC为0011-0011-0012的报文进行过滤.
1.
3.
3适用产品、版本表1-3配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S5100-EI系列Release2200、Release2201软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-6产品软件版本硬件版本S3100-EI系列Release2104、Release2107软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PS2000-EA系列Release2107软件版本全系列硬件版本E352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E152E126ARelease2104、Release2107软件版本E126A1.
3.
4配置过程和解释#定义周期时间段test,时间范围为每天的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00daily#定义二层ACL4000,配置源MAC为0011-0011-0011,目的MAC为0011-0011-0012的访问规则.
[Sysname]aclnumber4000[Sysname-acl-ethernetframe-4000]rule1denysource0011-0011-0011ffff-ffff-ffffdest0011-0011-0012ffff-ffff-fffftime-rangetest[Sysname-acl-ethernetframe-4000]quit#在端口Ethernet1/0/1上应用ACL4000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinboundlink-group40001.
3.
5完整配置#aclnumber4000rule1denysource0011-0011-0011ffff-ffff-ffffdest0011-0011-0012ffff-ffff-fffftime-rangetest#interfaceEthernet1/0/1packet-filterinboundlink-group4000rule1#time-rangetest08:00to18:00daily#H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-71.
3.
6配置注意事项需要注意的是:z当报文同时匹配了多条下发到硬件的ACL规则时,如果这些规则中的动作冲突,一般情况下,后下发的规则生效.
z在端口上下发二层ACL时,不支持配置format-type(包括802.
3/802.
2、802.
3、ether_ii、snap)参数.
z下发多个规则时,建议用户先下发掩码范围大的规则,后下发掩码范围小的规则,同时下发掩码范围相同的规则,以保证规则下发后的实际运行结果与用户的配置意图一致.
z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
1.
4用户自定义ACL典型配置指导用户自定义ACL以数据包的头部为基准,指定从第几个字节开始与掩码进行"与"操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文,然后进行相应的处理.
用户自定义ACL的序号取值范围为5000~5999.
1.
4.
1组网图图1-4用户自定义ACL配置组网图1.
4.
2应用要求网络环境描述如下:zPC1的IP地址为192.
168.
0.
2,通过端口Ethernet1/0/1接入交换机(以S3600系列以太网交换机为例);PC2的IP地址为192.
168.
0.
3,通过端口Ethernet1/0/2接入交换机.
H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-8zPC1和PC2属于VLAN1,二者的网关都设置为192.
168.
0.
1(交换机VLAN1接口的IP地址),通过交换机访问Internet.
z要求配置用户自定义ACL,在每天8:00~18:00的时间段内,对PC1发出的仿冒网关IP地址的ARP报文进行过滤.
1.
4.
3适用产品、版本表1-4配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PE352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E1521.
4.
4配置过程和解释#定义周期时间段test,时间范围为每天的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00daily#定义用户自定义ACL5000,配置源IP地址为192.
168.
0.
1的ARP报文的访问规则(假设没有端口启动VLAN-VPN功能).
其中0806为ARP协议号,16为交换机内部处理的以太网报文中协议类型字段的偏移量,c0a80001为192.
168.
0.
1的十六进制形式,32为交换机内部处理的ARP报文中源IP地址字段的偏移量.
[Sysname]aclnumber5000[Sysname-acl-user-5000]rule1deny0806ffff16c0a80001ffffffff32time-rangetest#在端口Ethernet1/0/1上应用ACL5000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinbounduser-group50001.
4.
5完整配置#aclnumber5000rule1deny0806ffff16c0a80001ffffffff32time-rangetest#interfaceEthernet1/0/1H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-9packet-filterinbounduser-group5000rule1#time-rangetest08:00to18:00daily#1.
4.
6配置注意事项需要注意的是:z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
z对于S3600系列/E352&E328以太网交换机,如果没有开启VLAN-VPN功能,交换机内部处理的报文都带有1层VLANtag,1层VLANtag占4个字节;如果某一端口上开启了VLAN-VPN功能,交换机内部处理的报文都带有2层VLANtag,2层VLANtag占8个字节.
用户在配置规则匹配报文的特定字段时需要注意以上情况.
z对于S5600系列以太网交换机,交换机内部处理的报文都带有2层VLANtag,2层VLANtag占8个字节.
用户在配置规则匹配报文的特定字段时需要注意以上情况.
z用户自定义ACL规则的命令形式为rule[rule-id]{deny|permit}[rule-stringrule-maskoffset]&[time-rangetime-name].
其中rule-id为ACL规则编号,rule-string为用户自定义的规则字符串,rule-mask为用户自定义的规则掩码,offset为规则掩码的偏移量.
z当用户在一条规则中指定多个规则字符串时,规则掩码的有效长度为128个16进制数(64个字节).
例如,用户指定了规则字符串为aa,偏移量为2个字节,当用户继续指定规则字符串bb时,其偏移量取值范围只能为3~65字节;如果规则字符串aa的偏移量为3个字节,则规则字符串bb的偏移量取值范围为4~66字节;以此类推.
但是规则字符串bb的偏移量取值范围最大不能超过79个字节.
z如表1-5中所示,S3600系列/S5600系列/E352&E328以太网交换机的硬件规则将用户自定义字符串的规则掩码偏移量从逻辑上划分成了若干个偏移量单元,每个偏移量单元为4个字节.
这些规则掩码偏移量单元被划分为8个组,编号为Offset1~Offset8.
z在下发用户自定义ACL时,S3600/S5600/E352&E328的硬件限定了交换机支持用户自定义规则字符串的最大长度为32个字节(这32字节可以是连续的字符串、也可以是多个不连续的字符串),但这32个字节的字符串最多能占H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-10用8个规则掩码偏移量单元,且任意两个偏移量单元不能属于同一个Offset组.
表1-5用户自定义字符串偏移量取值范围偏移量所占用的单元Offset1Offset2Offset3Offset4Offset5Offset6Offset7Offset80~34~78~1112~1516~1920~2324~2728~312~56~910~1314~1718~2122~2526~2930~336~910~1314~1718~2122~2526~2930~3334~3712~1516~1920~2324~2728~3132~3536~3940~4320~2324~2728~3132~3536~3940~4344~4748~5130~3334~3738~4142~4546~4950~5354~5758~6142~4546~4950~5354~5758~6162~6566~6970~7356~5960~6364~6768~7172~7576~790~34~7z用户配置了用户自定义ACL5000,规则字符串长度为32字节,规则掩码为全F,偏移量取值为4,在端口Ethernet1/0/1上下发.
这种情况下,32个字节的字符串占用了表1-5中4~7(Offset2)、8~11(Offset3)、12~15(Offset4)、16~19(Offset5)、20~23(Offset1)、24~27(Offset7)、28~31(Offse8)和32~35(Offset6)共8个单元,此时可以下发成功.
z用户配置了用户自定义ACL5001,规则字符串长度为32字节,规则掩码为全F,偏移量取值为24,在端口Ethernet1/0/1上下发.
这种情况下,32个字节的字符串所占用的偏移量单元不符合前文提到的"最多能占用8个规则掩码偏移量单元,且任意两个偏移量单元不能属于同一个Offset"的要求,此时不能下发成功.
z配置用户自定义ACL匹配协议报文时,常用的协议类型以及其所使用的偏移量如下表所示.
表1-6常用协议类型号以及偏移量协议类型协议号(十六进制)S3600系列以太网交换机没有开启VLAN-VPN功能时的偏移量S3600系列以太网交换机开启VLAN-VPN功能后的偏移量S5600系列以太网交换机的偏移量ARP0x0806162020RARP0x8035162020IP0x0800162020H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-11协议类型协议号(十六进制)S3600系列以太网交换机没有开启VLAN-VPN功能时的偏移量S3600系列以太网交换机开启VLAN-VPN功能后的偏移量S5600系列以太网交换机的偏移量IPX0x8137162020AppleTalk0x809B162020ICMP0x01273131IGMP0x02273131TCP0x06273131UDP0x17273131
易探云2核2G5M仅330元/年起,国内挂机宝云服务器,独立ip
易探云怎么样?易探云是国内一家云计算服务商家,致力香港服务器、国内外服务器租用及托管等互联网业务,目前主要地区为运作香港BGP、香港CN2、广东、北京、深圳等地区。目前,易探云推出深圳或北京地区的适合挂机和建站的云服务器,国内挂机宝云服务器(可选深圳或北京地区),独立ip;2核2G5M挂机云服务器仅330元/年起!点击进入:易探云官方网站地址易探云国内挂机宝云服务器推荐:1、国内入门型挂机云服务器...
PacificRack 下架旧款方案 续费涨价 谨慎自动续费
前几天看到网友反馈到PacificRack商家关于处理问题的工单速度慢,于是也有后台提交个工单问问,没有得到答复导致工单自动停止,不清楚商家最近在调整什么。而且看到有网友反馈到,PacificRack 商家的之前年付低价套餐全部下架,而且如果到期续费的话账单中的产品价格会涨价不少。所以,如果我们有需要续费产品的话,谨慎选择。1、特价产品下架我们看到他们的所有原来发布的特价方案均已下架。如果我们已有...
香港 E5-2650 16G 10M 900元首月 美国 E5-2660 V2 16G 100M 688元/月 华纳云
华纳云双11钜惠出海:CN2海外物理服务器终身价688元/月,香港/美国机房,免费送20G DDos防御,50M CN2或100M国际带宽可选,(文内附带测评)华纳云作为一家专业的全球数据中心基础服务提供商,总部在香港,拥有香港政府颁发的商业登记证明,APNIC 和 ARIN 会员单位。主营香港服务器、美国服务器、香港/美国OpenStack云服务器、香港高防物理服务器、美国高防服务器、香港高防I...
udp是什么意思为你推荐
-
flashfxp那位大侠能通俗易懂的告诉我FlashFXP到底是个什么东西。到底有什么作用?到底怎么操作?建企业网站建立一个企业网站要多少钱字节跳动回应TikTok易主每天每夜要结束了主持人问关于抄袭的问题,权志龙很认真的回答不想说的,想在以后做好的那段话的音乐叫什支持http三五互联股票三五互联是干什么的?discuz教程Discuz! Database Error怎么解决啊?我的电脑打不开这个网啊很久了。其他电脑可以。zencartzencart opencart 哪个好安与骑士关于安与骑兵的三年三天,想知道所唱的故事有没有出处,或者是曲子的。w3c验证看不懂W3C验证错误密码丢失密码丢了怎么找