配置udp是什么意思
udp是什么意思 时间:2021-05-01 阅读:()
H3C低端以太网交换机典型配置指导ACL目录i目录第1章ACL典型配置指导1-11.
1基本ACL典型配置指导.
1-11.
1.
1组网图.
1-11.
1.
2应用要求.
1-11.
1.
3适用产品、版本1-11.
1.
4配置过程和解释1-21.
1.
5完整配置.
1-21.
1.
6配置注意事项.
1-21.
2高级ACL典型配置指导.
1-31.
2.
1组网图.
1-31.
2.
2应用要求.
1-31.
2.
3适用产品、版本1-31.
2.
4配置过程和解释1-41.
2.
5完整配置.
1-41.
2.
6配置注意事项.
1-41.
3二层ACL典型配置指导.
1-51.
3.
1组网图.
1-51.
3.
2应用要求.
1-51.
3.
3适用产品、版本1-51.
3.
4配置过程和解释1-61.
3.
5完整配置.
1-61.
3.
6配置注意事项.
1-71.
4用户自定义ACL典型配置指导1-71.
4.
1组网图.
1-71.
4.
2应用要求.
1-71.
4.
3适用产品、版本1-81.
4.
4配置过程和解释1-81.
4.
5完整配置.
1-81.
4.
6配置注意事项.
1-9H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-1第1章ACL典型配置指导1.
1基本ACL典型配置指导基本ACL只根据源IP地址制定规则,对数据包进行相应的分析处理.
基本ACL的序号取值范围为2000~2999.
1.
1.
1组网图图1-1基本ACL配置组网图1.
1.
2应用要求PC1和PC2通过端口Ethernet1/0/1接入交换机(以S3600系列以太网交换机为例),PC1的IP地址为10.
1.
1.
1.
要求配置基本ACL,实现在每天8:00~18:00的时间段内对PC1发出的IP报文进行过滤.
1.
1.
3适用产品、版本表1-1配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S5100-EI系列Release2200、Release2201软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本S3100-EI系列Release2104、Release2107软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PS2000-EA系列Release2107软件版本全系列硬件版本E352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E152H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-2产品软件版本硬件版本E126ARelease2104、Release2107软件版本E126A1.
1.
4配置过程和解释#定义周期时间段test,时间范围为每天的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00daily#定义基本ACL2000,配置源IP地址为10.
1.
1.
1的访问规则.
[Sysname]aclnumber2000[Sysname-acl-basic-2000]rule1denysource10.
1.
1.
10time-rangetest[Sysname-acl-basic-2000]quit#在端口Ethernet1/0/1上应用ACL2000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinboundip-group20001.
1.
5完整配置#aclnumber2000rule1denysource10.
1.
1.
10time-rangetest#interfaceEthernet1/0/1packet-filterinboundip-group2000rule1#time-rangetest08:00to18:00daily#1.
1.
6配置注意事项需要注意的是:z当报文同时匹配了多条下发到硬件的ACL规则时,如果这些规则中的动作冲突,一般情况下,后下发的规则生效.
z下发多个规则时,建议用户先下发掩码范围大的规则,后下发掩码范围小的规则,同时下发掩码范围相同的规则,以保证规则下发后的实际运行结果与用户的配置意图一致.
H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-3z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
1.
2高级ACL典型配置指导高级ACL可以使用数据包的源IP地址、目的IP地址、IP承载的协议类型、针对协议的特性(例如TCP或UDP的源端口、目的端口,ICMP协议的消息类型、消息码等)内容定义规则.
高级ACL序号取值范围3000~3999.
1.
2.
1组网图Eth1/0/1研发部门Switch至路由器工资查询服务器Eth1/0/2192.
168.
1.
2图1-2高级ACL配置组网图1.
2.
2应用要求公司企业网通过交换机(以S3600系列以太网交换机为例)实现各部门之间的互连.
研发部门由端口Ethernet1/0/1接入交换机,工资查询服务器的地址为192.
168.
1.
2.
要求配置高级ACL,禁止研发部门在工作日8:00~18:00的时间段内访问工资查询服务器.
1.
2.
3适用产品、版本表1-2配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S5100-EI系列Release2200、Release2201软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本S3100-EI系列Release2104、Release2107软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PS2000-EA系列Release2107软件版本全系列硬件版本H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-4产品软件版本硬件版本E352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E152E126ARelease2104、Release2107软件版本E126A1.
2.
4配置过程和解释#定义周期时间段test,时间范围为工作日的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00working-day#定义高级ACL3000,配置目的IP地址为工资查询服务器的访问规则.
[Sysname]aclnumber3000[Sysname-acl-adv-3000]rule1denyipdestination192.
168.
1.
20time-rangetest[Sysname-acl-adv-3000]quit#在端口Ethernet1/0/1上应用ACL3000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinboundip-group30001.
2.
5完整配置#aclnumber3000rule1denyIPdestination192.
168.
1.
20time-rangetest#interfaceEthernet1/0/1packet-filterinboundip-group3000rule1#time-rangetest08:00to18:00working-day#1.
2.
6配置注意事项需要注意的是:z高级ACL3998与3999是设备为集群管理预留的编号,用户无法配置.
z当报文同时匹配了多条下发到硬件的ACL规则时,如果这些规则中的动作冲突,一般情况下,后下发的规则生效.
H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-5z在端口上下发高级ACL时,如果规则中定义了TCP/UDP的端口信息,则只支持配置operator取值为eq的情况.
z下发多个规则时,建议用户先下发掩码范围大的规则,后下发掩码范围小的规则,同时下发掩码范围相同的规则,以保证规则下发后的实际运行结果与用户的配置意图一致.
z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
1.
3二层ACL典型配置指导二层ACL根据源MAC地址、目的MAC地址、802.
1p优先级、二层协议类型等二层信息制定规则,对数据进行相应处理.
二层ACL的序号取值范围为4000~4999.
1.
3.
1组网图图1-3二层ACL配置组网图1.
3.
2应用要求PC1和PC2通过端口Ethernet1/0/1接入交换机(以S3600系列以太网交换机为例),PC1的MAC地址为0011-0011-0011.
要求配置二层ACL,在每天8:00~18:00的时间段内,对PC1发出的目的MAC为0011-0011-0012的报文进行过滤.
1.
3.
3适用产品、版本表1-3配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S5100-EI系列Release2200、Release2201软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-6产品软件版本硬件版本S3100-EI系列Release2104、Release2107软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PS2000-EA系列Release2107软件版本全系列硬件版本E352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E152E126ARelease2104、Release2107软件版本E126A1.
3.
4配置过程和解释#定义周期时间段test,时间范围为每天的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00daily#定义二层ACL4000,配置源MAC为0011-0011-0011,目的MAC为0011-0011-0012的访问规则.
[Sysname]aclnumber4000[Sysname-acl-ethernetframe-4000]rule1denysource0011-0011-0011ffff-ffff-ffffdest0011-0011-0012ffff-ffff-fffftime-rangetest[Sysname-acl-ethernetframe-4000]quit#在端口Ethernet1/0/1上应用ACL4000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinboundlink-group40001.
3.
5完整配置#aclnumber4000rule1denysource0011-0011-0011ffff-ffff-ffffdest0011-0011-0012ffff-ffff-fffftime-rangetest#interfaceEthernet1/0/1packet-filterinboundlink-group4000rule1#time-rangetest08:00to18:00daily#H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-71.
3.
6配置注意事项需要注意的是:z当报文同时匹配了多条下发到硬件的ACL规则时,如果这些规则中的动作冲突,一般情况下,后下发的规则生效.
z在端口上下发二层ACL时,不支持配置format-type(包括802.
3/802.
2、802.
3、ether_ii、snap)参数.
z下发多个规则时,建议用户先下发掩码范围大的规则,后下发掩码范围小的规则,同时下发掩码范围相同的规则,以保证规则下发后的实际运行结果与用户的配置意图一致.
z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
1.
4用户自定义ACL典型配置指导用户自定义ACL以数据包的头部为基准,指定从第几个字节开始与掩码进行"与"操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文,然后进行相应的处理.
用户自定义ACL的序号取值范围为5000~5999.
1.
4.
1组网图图1-4用户自定义ACL配置组网图1.
4.
2应用要求网络环境描述如下:zPC1的IP地址为192.
168.
0.
2,通过端口Ethernet1/0/1接入交换机(以S3600系列以太网交换机为例);PC2的IP地址为192.
168.
0.
3,通过端口Ethernet1/0/2接入交换机.
H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-8zPC1和PC2属于VLAN1,二者的网关都设置为192.
168.
0.
1(交换机VLAN1接口的IP地址),通过交换机访问Internet.
z要求配置用户自定义ACL,在每天8:00~18:00的时间段内,对PC1发出的仿冒网关IP地址的ARP报文进行过滤.
1.
4.
3适用产品、版本表1-4配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PE352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E1521.
4.
4配置过程和解释#定义周期时间段test,时间范围为每天的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00daily#定义用户自定义ACL5000,配置源IP地址为192.
168.
0.
1的ARP报文的访问规则(假设没有端口启动VLAN-VPN功能).
其中0806为ARP协议号,16为交换机内部处理的以太网报文中协议类型字段的偏移量,c0a80001为192.
168.
0.
1的十六进制形式,32为交换机内部处理的ARP报文中源IP地址字段的偏移量.
[Sysname]aclnumber5000[Sysname-acl-user-5000]rule1deny0806ffff16c0a80001ffffffff32time-rangetest#在端口Ethernet1/0/1上应用ACL5000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinbounduser-group50001.
4.
5完整配置#aclnumber5000rule1deny0806ffff16c0a80001ffffffff32time-rangetest#interfaceEthernet1/0/1H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-9packet-filterinbounduser-group5000rule1#time-rangetest08:00to18:00daily#1.
4.
6配置注意事项需要注意的是:z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
z对于S3600系列/E352&E328以太网交换机,如果没有开启VLAN-VPN功能,交换机内部处理的报文都带有1层VLANtag,1层VLANtag占4个字节;如果某一端口上开启了VLAN-VPN功能,交换机内部处理的报文都带有2层VLANtag,2层VLANtag占8个字节.
用户在配置规则匹配报文的特定字段时需要注意以上情况.
z对于S5600系列以太网交换机,交换机内部处理的报文都带有2层VLANtag,2层VLANtag占8个字节.
用户在配置规则匹配报文的特定字段时需要注意以上情况.
z用户自定义ACL规则的命令形式为rule[rule-id]{deny|permit}[rule-stringrule-maskoffset]&[time-rangetime-name].
其中rule-id为ACL规则编号,rule-string为用户自定义的规则字符串,rule-mask为用户自定义的规则掩码,offset为规则掩码的偏移量.
z当用户在一条规则中指定多个规则字符串时,规则掩码的有效长度为128个16进制数(64个字节).
例如,用户指定了规则字符串为aa,偏移量为2个字节,当用户继续指定规则字符串bb时,其偏移量取值范围只能为3~65字节;如果规则字符串aa的偏移量为3个字节,则规则字符串bb的偏移量取值范围为4~66字节;以此类推.
但是规则字符串bb的偏移量取值范围最大不能超过79个字节.
z如表1-5中所示,S3600系列/S5600系列/E352&E328以太网交换机的硬件规则将用户自定义字符串的规则掩码偏移量从逻辑上划分成了若干个偏移量单元,每个偏移量单元为4个字节.
这些规则掩码偏移量单元被划分为8个组,编号为Offset1~Offset8.
z在下发用户自定义ACL时,S3600/S5600/E352&E328的硬件限定了交换机支持用户自定义规则字符串的最大长度为32个字节(这32字节可以是连续的字符串、也可以是多个不连续的字符串),但这32个字节的字符串最多能占H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-10用8个规则掩码偏移量单元,且任意两个偏移量单元不能属于同一个Offset组.
表1-5用户自定义字符串偏移量取值范围偏移量所占用的单元Offset1Offset2Offset3Offset4Offset5Offset6Offset7Offset80~34~78~1112~1516~1920~2324~2728~312~56~910~1314~1718~2122~2526~2930~336~910~1314~1718~2122~2526~2930~3334~3712~1516~1920~2324~2728~3132~3536~3940~4320~2324~2728~3132~3536~3940~4344~4748~5130~3334~3738~4142~4546~4950~5354~5758~6142~4546~4950~5354~5758~6162~6566~6970~7356~5960~6364~6768~7172~7576~790~34~7z用户配置了用户自定义ACL5000,规则字符串长度为32字节,规则掩码为全F,偏移量取值为4,在端口Ethernet1/0/1上下发.
这种情况下,32个字节的字符串占用了表1-5中4~7(Offset2)、8~11(Offset3)、12~15(Offset4)、16~19(Offset5)、20~23(Offset1)、24~27(Offset7)、28~31(Offse8)和32~35(Offset6)共8个单元,此时可以下发成功.
z用户配置了用户自定义ACL5001,规则字符串长度为32字节,规则掩码为全F,偏移量取值为24,在端口Ethernet1/0/1上下发.
这种情况下,32个字节的字符串所占用的偏移量单元不符合前文提到的"最多能占用8个规则掩码偏移量单元,且任意两个偏移量单元不能属于同一个Offset"的要求,此时不能下发成功.
z配置用户自定义ACL匹配协议报文时,常用的协议类型以及其所使用的偏移量如下表所示.
表1-6常用协议类型号以及偏移量协议类型协议号(十六进制)S3600系列以太网交换机没有开启VLAN-VPN功能时的偏移量S3600系列以太网交换机开启VLAN-VPN功能后的偏移量S5600系列以太网交换机的偏移量ARP0x0806162020RARP0x8035162020IP0x0800162020H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-11协议类型协议号(十六进制)S3600系列以太网交换机没有开启VLAN-VPN功能时的偏移量S3600系列以太网交换机开启VLAN-VPN功能后的偏移量S5600系列以太网交换机的偏移量IPX0x8137162020AppleTalk0x809B162020ICMP0x01273131IGMP0x02273131TCP0x06273131UDP0x17273131
1基本ACL典型配置指导.
1-11.
1.
1组网图.
1-11.
1.
2应用要求.
1-11.
1.
3适用产品、版本1-11.
1.
4配置过程和解释1-21.
1.
5完整配置.
1-21.
1.
6配置注意事项.
1-21.
2高级ACL典型配置指导.
1-31.
2.
1组网图.
1-31.
2.
2应用要求.
1-31.
2.
3适用产品、版本1-31.
2.
4配置过程和解释1-41.
2.
5完整配置.
1-41.
2.
6配置注意事项.
1-41.
3二层ACL典型配置指导.
1-51.
3.
1组网图.
1-51.
3.
2应用要求.
1-51.
3.
3适用产品、版本1-51.
3.
4配置过程和解释1-61.
3.
5完整配置.
1-61.
3.
6配置注意事项.
1-71.
4用户自定义ACL典型配置指导1-71.
4.
1组网图.
1-71.
4.
2应用要求.
1-71.
4.
3适用产品、版本1-81.
4.
4配置过程和解释1-81.
4.
5完整配置.
1-81.
4.
6配置注意事项.
1-9H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-1第1章ACL典型配置指导1.
1基本ACL典型配置指导基本ACL只根据源IP地址制定规则,对数据包进行相应的分析处理.
基本ACL的序号取值范围为2000~2999.
1.
1.
1组网图图1-1基本ACL配置组网图1.
1.
2应用要求PC1和PC2通过端口Ethernet1/0/1接入交换机(以S3600系列以太网交换机为例),PC1的IP地址为10.
1.
1.
1.
要求配置基本ACL,实现在每天8:00~18:00的时间段内对PC1发出的IP报文进行过滤.
1.
1.
3适用产品、版本表1-1配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S5100-EI系列Release2200、Release2201软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本S3100-EI系列Release2104、Release2107软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PS2000-EA系列Release2107软件版本全系列硬件版本E352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E152H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-2产品软件版本硬件版本E126ARelease2104、Release2107软件版本E126A1.
1.
4配置过程和解释#定义周期时间段test,时间范围为每天的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00daily#定义基本ACL2000,配置源IP地址为10.
1.
1.
1的访问规则.
[Sysname]aclnumber2000[Sysname-acl-basic-2000]rule1denysource10.
1.
1.
10time-rangetest[Sysname-acl-basic-2000]quit#在端口Ethernet1/0/1上应用ACL2000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinboundip-group20001.
1.
5完整配置#aclnumber2000rule1denysource10.
1.
1.
10time-rangetest#interfaceEthernet1/0/1packet-filterinboundip-group2000rule1#time-rangetest08:00to18:00daily#1.
1.
6配置注意事项需要注意的是:z当报文同时匹配了多条下发到硬件的ACL规则时,如果这些规则中的动作冲突,一般情况下,后下发的规则生效.
z下发多个规则时,建议用户先下发掩码范围大的规则,后下发掩码范围小的规则,同时下发掩码范围相同的规则,以保证规则下发后的实际运行结果与用户的配置意图一致.
H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-3z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
1.
2高级ACL典型配置指导高级ACL可以使用数据包的源IP地址、目的IP地址、IP承载的协议类型、针对协议的特性(例如TCP或UDP的源端口、目的端口,ICMP协议的消息类型、消息码等)内容定义规则.
高级ACL序号取值范围3000~3999.
1.
2.
1组网图Eth1/0/1研发部门Switch至路由器工资查询服务器Eth1/0/2192.
168.
1.
2图1-2高级ACL配置组网图1.
2.
2应用要求公司企业网通过交换机(以S3600系列以太网交换机为例)实现各部门之间的互连.
研发部门由端口Ethernet1/0/1接入交换机,工资查询服务器的地址为192.
168.
1.
2.
要求配置高级ACL,禁止研发部门在工作日8:00~18:00的时间段内访问工资查询服务器.
1.
2.
3适用产品、版本表1-2配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S5100-EI系列Release2200、Release2201软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本S3100-EI系列Release2104、Release2107软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PS2000-EA系列Release2107软件版本全系列硬件版本H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-4产品软件版本硬件版本E352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E152E126ARelease2104、Release2107软件版本E126A1.
2.
4配置过程和解释#定义周期时间段test,时间范围为工作日的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00working-day#定义高级ACL3000,配置目的IP地址为工资查询服务器的访问规则.
[Sysname]aclnumber3000[Sysname-acl-adv-3000]rule1denyipdestination192.
168.
1.
20time-rangetest[Sysname-acl-adv-3000]quit#在端口Ethernet1/0/1上应用ACL3000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinboundip-group30001.
2.
5完整配置#aclnumber3000rule1denyIPdestination192.
168.
1.
20time-rangetest#interfaceEthernet1/0/1packet-filterinboundip-group3000rule1#time-rangetest08:00to18:00working-day#1.
2.
6配置注意事项需要注意的是:z高级ACL3998与3999是设备为集群管理预留的编号,用户无法配置.
z当报文同时匹配了多条下发到硬件的ACL规则时,如果这些规则中的动作冲突,一般情况下,后下发的规则生效.
H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-5z在端口上下发高级ACL时,如果规则中定义了TCP/UDP的端口信息,则只支持配置operator取值为eq的情况.
z下发多个规则时,建议用户先下发掩码范围大的规则,后下发掩码范围小的规则,同时下发掩码范围相同的规则,以保证规则下发后的实际运行结果与用户的配置意图一致.
z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
1.
3二层ACL典型配置指导二层ACL根据源MAC地址、目的MAC地址、802.
1p优先级、二层协议类型等二层信息制定规则,对数据进行相应处理.
二层ACL的序号取值范围为4000~4999.
1.
3.
1组网图图1-3二层ACL配置组网图1.
3.
2应用要求PC1和PC2通过端口Ethernet1/0/1接入交换机(以S3600系列以太网交换机为例),PC1的MAC地址为0011-0011-0011.
要求配置二层ACL,在每天8:00~18:00的时间段内,对PC1发出的目的MAC为0011-0011-0012的报文进行过滤.
1.
3.
3适用产品、版本表1-3配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S5100-EI系列Release2200、Release2201软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-6产品软件版本硬件版本S3100-EI系列Release2104、Release2107软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PS2000-EA系列Release2107软件版本全系列硬件版本E352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E152E126ARelease2104、Release2107软件版本E126A1.
3.
4配置过程和解释#定义周期时间段test,时间范围为每天的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00daily#定义二层ACL4000,配置源MAC为0011-0011-0011,目的MAC为0011-0011-0012的访问规则.
[Sysname]aclnumber4000[Sysname-acl-ethernetframe-4000]rule1denysource0011-0011-0011ffff-ffff-ffffdest0011-0011-0012ffff-ffff-fffftime-rangetest[Sysname-acl-ethernetframe-4000]quit#在端口Ethernet1/0/1上应用ACL4000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinboundlink-group40001.
3.
5完整配置#aclnumber4000rule1denysource0011-0011-0011ffff-ffff-ffffdest0011-0011-0012ffff-ffff-fffftime-rangetest#interfaceEthernet1/0/1packet-filterinboundlink-group4000rule1#time-rangetest08:00to18:00daily#H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-71.
3.
6配置注意事项需要注意的是:z当报文同时匹配了多条下发到硬件的ACL规则时,如果这些规则中的动作冲突,一般情况下,后下发的规则生效.
z在端口上下发二层ACL时,不支持配置format-type(包括802.
3/802.
2、802.
3、ether_ii、snap)参数.
z下发多个规则时,建议用户先下发掩码范围大的规则,后下发掩码范围小的规则,同时下发掩码范围相同的规则,以保证规则下发后的实际运行结果与用户的配置意图一致.
z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
1.
4用户自定义ACL典型配置指导用户自定义ACL以数据包的头部为基准,指定从第几个字节开始与掩码进行"与"操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文,然后进行相应的处理.
用户自定义ACL的序号取值范围为5000~5999.
1.
4.
1组网图图1-4用户自定义ACL配置组网图1.
4.
2应用要求网络环境描述如下:zPC1的IP地址为192.
168.
0.
2,通过端口Ethernet1/0/1接入交换机(以S3600系列以太网交换机为例);PC2的IP地址为192.
168.
0.
3,通过端口Ethernet1/0/2接入交换机.
H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-8zPC1和PC2属于VLAN1,二者的网关都设置为192.
168.
0.
1(交换机VLAN1接口的IP地址),通过交换机访问Internet.
z要求配置用户自定义ACL,在每天8:00~18:00的时间段内,对PC1发出的仿冒网关IP地址的ARP报文进行过滤.
1.
4.
3适用产品、版本表1-4配置适用的产品与软硬件版本关系产品软件版本硬件版本S5600系列Release1510、Release1602软件版本全系列硬件版本S3600-SI/EI系列Release1510、Release1602软件版本全系列硬件版本S3100-52PRelease1500、Release1602软件版本S3100-52PE352&E328Release1510、Release1602软件版本E352&E328E152Release1500、Release1602软件版本E1521.
4.
4配置过程和解释#定义周期时间段test,时间范围为每天的8:00~18:00.
system-view[Sysname]time-rangetest8:00to18:00daily#定义用户自定义ACL5000,配置源IP地址为192.
168.
0.
1的ARP报文的访问规则(假设没有端口启动VLAN-VPN功能).
其中0806为ARP协议号,16为交换机内部处理的以太网报文中协议类型字段的偏移量,c0a80001为192.
168.
0.
1的十六进制形式,32为交换机内部处理的ARP报文中源IP地址字段的偏移量.
[Sysname]aclnumber5000[Sysname-acl-user-5000]rule1deny0806ffff16c0a80001ffffffff32time-rangetest#在端口Ethernet1/0/1上应用ACL5000.
[Sysname]interfaceEthernet1/0/1[Sysname-Ethernet1/0/1]packet-filterinbounduser-group50001.
4.
5完整配置#aclnumber5000rule1deny0806ffff16c0a80001ffffffff32time-rangetest#interfaceEthernet1/0/1H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-9packet-filterinbounduser-group5000rule1#time-rangetest08:00to18:00daily#1.
4.
6配置注意事项需要注意的是:z设备在启动了某些功能和运行某些协议的时候,会占用ACL规则资源,具体的情况与启动的功能和运行的协议有关.
z对于S3600系列/E352&E328以太网交换机,如果没有开启VLAN-VPN功能,交换机内部处理的报文都带有1层VLANtag,1层VLANtag占4个字节;如果某一端口上开启了VLAN-VPN功能,交换机内部处理的报文都带有2层VLANtag,2层VLANtag占8个字节.
用户在配置规则匹配报文的特定字段时需要注意以上情况.
z对于S5600系列以太网交换机,交换机内部处理的报文都带有2层VLANtag,2层VLANtag占8个字节.
用户在配置规则匹配报文的特定字段时需要注意以上情况.
z用户自定义ACL规则的命令形式为rule[rule-id]{deny|permit}[rule-stringrule-maskoffset]&[time-rangetime-name].
其中rule-id为ACL规则编号,rule-string为用户自定义的规则字符串,rule-mask为用户自定义的规则掩码,offset为规则掩码的偏移量.
z当用户在一条规则中指定多个规则字符串时,规则掩码的有效长度为128个16进制数(64个字节).
例如,用户指定了规则字符串为aa,偏移量为2个字节,当用户继续指定规则字符串bb时,其偏移量取值范围只能为3~65字节;如果规则字符串aa的偏移量为3个字节,则规则字符串bb的偏移量取值范围为4~66字节;以此类推.
但是规则字符串bb的偏移量取值范围最大不能超过79个字节.
z如表1-5中所示,S3600系列/S5600系列/E352&E328以太网交换机的硬件规则将用户自定义字符串的规则掩码偏移量从逻辑上划分成了若干个偏移量单元,每个偏移量单元为4个字节.
这些规则掩码偏移量单元被划分为8个组,编号为Offset1~Offset8.
z在下发用户自定义ACL时,S3600/S5600/E352&E328的硬件限定了交换机支持用户自定义规则字符串的最大长度为32个字节(这32字节可以是连续的字符串、也可以是多个不连续的字符串),但这32个字节的字符串最多能占H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-10用8个规则掩码偏移量单元,且任意两个偏移量单元不能属于同一个Offset组.
表1-5用户自定义字符串偏移量取值范围偏移量所占用的单元Offset1Offset2Offset3Offset4Offset5Offset6Offset7Offset80~34~78~1112~1516~1920~2324~2728~312~56~910~1314~1718~2122~2526~2930~336~910~1314~1718~2122~2526~2930~3334~3712~1516~1920~2324~2728~3132~3536~3940~4320~2324~2728~3132~3536~3940~4344~4748~5130~3334~3738~4142~4546~4950~5354~5758~6142~4546~4950~5354~5758~6162~6566~6970~7356~5960~6364~6768~7172~7576~790~34~7z用户配置了用户自定义ACL5000,规则字符串长度为32字节,规则掩码为全F,偏移量取值为4,在端口Ethernet1/0/1上下发.
这种情况下,32个字节的字符串占用了表1-5中4~7(Offset2)、8~11(Offset3)、12~15(Offset4)、16~19(Offset5)、20~23(Offset1)、24~27(Offset7)、28~31(Offse8)和32~35(Offset6)共8个单元,此时可以下发成功.
z用户配置了用户自定义ACL5001,规则字符串长度为32字节,规则掩码为全F,偏移量取值为24,在端口Ethernet1/0/1上下发.
这种情况下,32个字节的字符串所占用的偏移量单元不符合前文提到的"最多能占用8个规则掩码偏移量单元,且任意两个偏移量单元不能属于同一个Offset"的要求,此时不能下发成功.
z配置用户自定义ACL匹配协议报文时,常用的协议类型以及其所使用的偏移量如下表所示.
表1-6常用协议类型号以及偏移量协议类型协议号(十六进制)S3600系列以太网交换机没有开启VLAN-VPN功能时的偏移量S3600系列以太网交换机开启VLAN-VPN功能后的偏移量S5600系列以太网交换机的偏移量ARP0x0806162020RARP0x8035162020IP0x0800162020H3C低端以太网交换机典型配置指导ACL第1章ACL典型配置指导1-11协议类型协议号(十六进制)S3600系列以太网交换机没有开启VLAN-VPN功能时的偏移量S3600系列以太网交换机开启VLAN-VPN功能后的偏移量S5600系列以太网交换机的偏移量IPX0x8137162020AppleTalk0x809B162020ICMP0x01273131IGMP0x02273131TCP0x06273131UDP0x17273131
BGP.TO日本和新加坡服务器进行促销,日本服务器6.5折
BGP.TO目前针对日本和新加坡服务器进行促销,其中日本东京服务器6.5折,而新加坡服务器7.5折起。这是一家专门的独立服务器租售网站,提供包括中国香港、日本、新加坡和洛杉矶的服务器租用业务,基本上都是自有硬件、IP资源等,国内优化直连线路,机器自动化部署上架,并提供产品的基本管理功能(自助开关机重启重装等)。新加坡服务器 $93.75/月CPU:E3-1230v3内存:16GB硬盘:480GB ...
GreenCloudVPS$20/年,新加坡/美国/荷兰vps/1核/1GB/30GB,NVMe/1TB流量/10Gbps端口/KVM
greencloudvps怎么样?greencloudvps是一家国外主机商,VPS数据中心多,之前已经介绍过多次了。现在有几款10Gbps带宽的特价KVM VPS,Ryzen 3950x处理器,NVMe硬盘,性价比高。支持Paypal、支付宝、微信付款。GreenCloudVPS:新加坡/美国/荷兰vps,1核@Ryzen 3950x/1GB内存/30GB NVMe空间/1TB流量/10Gbps...
PIGYun月付14.4元起,美国洛杉矶/韩国VPS七月6折
PIGYun是成立于2019年的国人商家,提供香港、韩国和美西CUVIP-9929等机房线路基于KVM架构的VPS主机,本月商家针对韩国首尔、美国洛杉矶CUVIP-AS29、GIA回程带防御等多条线路VPS提供6-8.5折优惠码,优惠后韩国首尔CN2混合BGP特惠型/美国洛杉矶GIA回程带10Gbps攻击防御VPS主机最低每月14.4元起。下面列出几款不同机房VPS主机配置信息,请留意不同优惠码。...
udp是什么意思为你推荐
-
空间文章空间的文章被人推荐有什么好处aspweb服务器如何搭建简易Asp Web服务器德国iphone禁售令德国买iPhone现在多少钱?苹果appstore宕机apple id登陆不了app store怎么办全国企业信息查询想查一个企业的信息,哪个网站提供信息查询?163yeah请问网易的163,126,yeah,VIP,188邮箱各有什么特点?申请支付宝账户怎样申请支付宝账户?要填写什么信息?申请支付宝账户怎么申请支付宝的账号?ldapserver怎样打开DWA文件?请说详细点?加多宝和王老吉王老吉和加多宝的关系?