QACL操作5.doc

1、目 录 目 录 1 第1章 ACL配置 3 1.1 访问控制列表简介 3 1.1.1 访问控制列表概述 3 1.1.2 以太网交换机支持的访问控制列表 4 1.2 S3026的ACL配置 5 1.2.1 时间段配置 5 1.2.2 定义访问控制列表 6 1.2.3 访问控制列表显示和调试 7 1.3 S3026 F系列交换机的ACL配置 7 1.3.1 时间段配置 7 1.3.2 定义访问控制列表 8 1.3.3 激活访问控制列表 10 1.3.4 访问控制列表显示和调试 12 1.4 S3026E系列、S3050C-48的ACL配置 13 1.4.1 时间

2、段配置 13 1.4.2 定义访问控制列表 14 1.4.3 激活访问控制列表 18 1.4.4 访问控制列表显示和调试 18 1.5 S3026F系列交换机访问控制列表典型配置案例 19 1.5.1 基本访问控制列表配置案例 19 1.5.2 二层访问控制列表配置案例 20 1.6 S3026E系列、S3050C-48的访问控制列表典型配置案例 21 1.6.1 高级访问控制列表配置案例 21 1.6.2 基本访问控制列表配置案例 22 1.6.3 二层访问控制列表配置案例 23 1.6.4 用户自定义访问控制列表配置案例 24 第2章 QoS配置 1 2.1 Qo

3、S简介 1 2.2 S3026的QoS配置 5 2.2.1 设置端口的优先级 5 2.2.2 设置交换机信任报文的优先级 6 2.2.3 设置高低优先级队列的报文的轮循处理比值 6 2.2.4 QoS的显示和调试 7 2.2.5 QoS配置举例 7 2.3 S3026 F系列以太网交换机的QoS配置 8 2.3.1 设置端口的优先级 10 2.3.2 设置交换机信任报文的优先级 10 2.3.3 优先级标记配置 11 2.3.4 队列调度配置 11 2.3.5 流镜像配置 12 2.3.6 流量统计配置 13 2.3.7 QoS的显示和调试 13 2.4 S302

4、6E系列、S3050C-48以太网交换机的QoS配置 14 2.4.1 设置端口的优先级 14 2.4.2 设置交换机信任报文的优先级 15 2.4.3 流量监管 15 2.4.4 端口限速 16 2.4.5 报文重定向配置 16 2.4.6 优先级标记配置 17 2.4.7 队列调度配置 18 2.4.8 流镜像配置 19 2.4.9 端口镜像配置 19 2.4.10 流量统计配置 20 2.4.11 QoS的显示和调试 21 2.5 S3026 F系列交换机的QoS配置实例 22 2.5.1 流镜像配置实例 22 2.5.2 优先级标记和队列调度配置实例 23

5、 2.6 S3026E系列、S3050C-48的QoS配置实例 24 2.6.1 流量监管和端口限速配置实例 24 2.6.2 流镜像配置实例 25 2.6.3 优先级标记配置实例 26 2.6.4 报文重定向配置实例 26 2.6.5 队列调度配置实例 27 2.6.6 流量统计实例 28 第3章 配置登录用户的ACL控制 30 3.1 简介 30 3.2 配置对TELNET用户的ACL控制 30 3.2.1 定义访问控制列表 30 3.2.2 引用访问控制列表，对TELNET用户进行控制 31 3.2.3 配置举例 31 3.3 对通过SNMP访问交换机的用户的A

6、CL控制 32 3.3.1 定义访问控制列表 32 3.3.2 引用访问控制列表，对通过SNMP访问交换机的用户进行控制 32 3.3.3 配置举例 33 3.4 对通过HTTP访问交换机的用户的ACL控制 34 3.4.1 定义访问控制列表 34 3.4.2 引用访问控制列表，对通过HTTP访问交换机的用户进行控制 35 3.4.3 配置举例 35 第1章 ACL配置 1.1 访问控制列表简介 1.1.1 访问控制列表概述 网络设备为了过滤数据包，需要配置一系列的匹配规则，以识别需要过滤的对象。在识别出特定的对象之后，才能根据预先设定的策略允许或禁止相应的数

7、据包通过。访问控制列表（Access Control List，ACL）就是用来实现这些功能。 ACL通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。ACL应用在交换机全局或端口，交换机根据ACL中指定的条件来检测数据包，从而决定是转发还是丢弃该数据包。 由ACL定义的数据包匹配规则，还可以被其它需要对流量进行区分的场合引用，如QoS中流分类规则的定义。 一条访问控制规则可以由多条子规则组成，而每一条语句指定的数据包的范围大小有别，在匹配一个访问控制规则的时候就存在匹配顺序的问题。 1. ACL直接下发到硬件中的情况 交换机中ACL可以直接下

8、发到交换机的硬件中用于数据转发过程中的过滤和流分类。此时一条ACL中多个子规则的匹配顺序是由交换机的硬件决定的，用户即使在定义ACL时配置了匹配顺序也不起作用。 由于芯片不同，各款交换机的子规则硬件匹配顺序不同。具体描述见下表。 表1-1 交换机ACL子规则的硬件匹配顺序 交换机 ACL子规则的硬件匹配顺序 S3026E系列、S3050C-48 同一个ACL配置了多个子规则时，硬件匹配顺序是后下发的子规则将会先匹配。 ACL直接下发到硬件的情况包括：交换机实现QoS功能时引用ACL、通过ACL过滤转发数据等。 2. ACL被上层模块引用的情况 交换机也使用ACL来对由软

9、件处理的报文进行过滤和流分类。此时ACL子规则的匹配顺序有两种：config（指定匹配该规则时按用户的配置顺序）和auto（指定匹配该规则时系统自动排序，即按“深度优先”的顺序）。这种情况下用户可以在定义ACL的时候指定一条ACL中多个子规则的匹配顺序。用户一旦指定某一条访问控制规则的匹配顺序，就不能再更改该顺序，除非把该规则的内容全部删除，再重新指定其匹配顺序。 ACL被上层模块引用的情况包括：路由策略引用ACL、对登录用户进行控制时引用ACL等。 & 说明： “深度优先”的原则是指：把指定数据包范围最小的语句排在最前面。这一点可以通过比较地址的通配符来实现，通配符越小，则指定的主机

10、的范围就越小。比如129.102.1.1 0.0.0.0指定了一台主机：129.102.1.1，而129.102.1.1 0.0.255.255则指定了一个网段：129.102.1.1～129.102.255.255。显然前者在访问控制规则中排在前面。具体标准为：对于基本访问控制规则的语句，直接比较源地址通配符，通配符相同的则按配置顺序；对于基于接口过滤的访问控制规则，配置了“any”的规则排在后面，其它按配置顺序；对于高级访问控制规则，首先比较源地址通配符，相同的再比较目的地址通配符，仍相同的则比较端口号的范围，范围小的排在前面，如果端口号范围也相同则按配置顺序。 1.1.2 以太

11、网交换机支持的访问控制列表 在以太网交换机中，访问控制列表分为以下几类： l 基于数字标识的基本访问控制列表。 l 基于名字标识的基本访问控制列表。 l 基于数字标识的高级访问控制列表。 l 基于名字标识的高级访问控制列表。 l 基于数字标识的二层访问控制列表。 l 基于名字标识的二层访问控制列表。 l 基于数字标识的用户自定义型访问控制列表。 l 基于名字标识的用户自定义型访问控制列表。 交换机上对各种访问控制列表的数目限制如下表所示： 表1-2 访问控制列表的数量限制 项目 数字取值范围 最多可以定义的数量 基于数字标识的基本访问控制列表 1～99 99

12、 基于数字标识的高级访问控制列表 100～199 100 基于数字标识的二层访问控制列表 200～299 100 基于数字标识的用户自定义型访问控制列表 300～399 100 基于名字标识的基本访问控制列表 － 1000 基于名字标识的高级访问控制列表 － 1000 基于名字标识的二层访问控制列表 － 1000 基于名字标识的用户自定义型访问控制列表 － 1000 一条访问控制列表可以定义的子规则 0～127 128 交换机最多可以定义的子规则（所有访问控制列表的子规则之和） － 3000 & 说明： S3026只支持基本访问控制

13、列表。S3026的访问控制列表只可以用于被软件引用，如对telnet用户进行ACL控制等。 S3026 F系列交换机包括S3026 FM、S3026 FS，它们支持基本、二层访问控制列表。定义的访问控制列表可以用于硬件过滤报文，如包过滤、流量监管等，也可以用于被软件引用，如对telnet用户进行ACL控制等。 S3026E系列交换机包括S3026E、S3026E FM、S3026E FS。S3026E系列、S3050C-48交换机支持所有的访问控制列表。同时在S3026E上，所有的访问控制列表可以用于硬件过滤报文，如包过滤、流量监管等，也可以用于被软件引用，如对telnet用户进行ACL控

14、制等。 1.2 S3026的ACL配置 访问控制列表配置包括： l 配置时间段 l 定义访问控制列表 l 激活访问控制列表 以上三个步骤最好依次进行，先配置时间段，然后定义访问控制列表（在其中会引用定义好的时间段），最后激活访问控制列表，使其生效。 1.2.1 时间段配置 对时间段的配置有如下内容：配置每天的时分范围、周期范围和日期范围。配置日期范围采用的是年、月、日、时、分的形式，配置周期范围采用的是每周的周几的形式，配置每天的时分范围采用的是每天的几点、几分的形式。 可以使用下面的命令来配置时间范围。 请在系统视图下进行下列配置。 表1-3 创建时间范围

15、 操作 命令 创建时间范围 time-range time-name [ start-time to end-time ] [ days-of-the-week ] [ from start-time start-date] [ to end-time end-date ] 删除时间范围 undo time-range time-name [ start-time to end-time ] [ days-of-the-week ] [ from start-time start-date] [ to end-time end-date ] 如果不配置起始时分和结束

16、时分，时间范围就是一天内所有的时间。 如果不配置结束日期，时间范围就是从配置生效之日起到系统可以表示的最大时间为止。 1.2.2 定义访问控制列表 华为系列交换机支持多种访问控制列表，下面分别介绍如何定义这些访问控制列表。 定义访问控制列表的步骤为： (1) 进入相应的访问控制列表视图 (2) 定义访问控制列表的子规则 & 说明： (1) 如果定义ACL时不使用参数time-range，则此访问控制列表激活后将在任何时刻都生效。 (2) 在定义ACL的子规则时，用户可以多次使用rule命令给同一个访问控制列表定义多条规则。 (3) 如果ACL用于直接下发到硬件中对转发

17、数据进行过滤和流分类，则用户定义的子规则匹配顺序将不起作用。如果ACL用于对由软件处理的报文进行过滤和流分类，用户指定的匹配顺序将会有效，并且用户一旦指定某一条访问控制列表子规则的匹配顺序，就不能再更改该顺序。 (4) 缺省情况下，访问控制列表中子规则的匹配顺序为按用户配置顺序（config）进行匹配。 2. 定义基本访问控制列表 基本访问控制列表只根据三层源IP制定规则，对数据包进行相应的分析处理。 可以使用下面的命令来定义基本访问控制列表。 请在相应视图下进行下列配置。 表1-4 定义基本访问控制列表 操作 命令 进入基本访问控制列表视图（系统视图） acl {

18、number acl-number | name acl-name basic } [ match-order { config | auto } ] 定义子规则（基本访问控制列表视图） rule [ rule-id ] { permit | deny } [ source source-addr wildcard | any ] [ fragment ] [ time-range name ] 删除访问控制列表的一个子规则（基本访问控制列表视图） undo rule rule-id [ source ] [ fragment ] [ time-range ] 删除访问

19、控制列表，或者删除全部访问控制列表（系统视图） undo acl { number acl-number | name acl-name | all } 1.2.3 访问控制列表显示和调试 在完成上述配置后，在所有视图下执行display命令都可以显示配置后访问控制列表的运行情况。用户可以通过查看显示信息验证配置的效果。在用户视图下执行reset命令可以将有关访问控制列表的统计信息清除。 表1-5 访问控制列表的显示和调试 操作 命令 显示时间段状况。 display time-range [ all | name ] 显示访问控制列表的详细配置信息。 displa

20、y acl config { all | acl-number | acl-name } 清除访问控制列表的统计信息。 reset acl counter { all | acl-number | acl-name } 具体的参数说明请参见命令手册。 1.3 S3026 F系列交换机的ACL配置 访问控制列表配置包括： l 配置时间段 l 定义访问控制列表 l 激活访问控制列表 以上三个步骤最好依次进行，先配置时间段，然后定义访问控制列表（在其中会引用定义好的时间段），最后激活访问控制列表，使其生效。 1.3.1 时间段配置 对时间段的配置有如下内容：配置每

21、天的时分范围、周期范围和日期范围。配置日期范围采用的是年、月、日、时、分的形式，配置周期范围采用的是每周的周几的形式，配置每天的时分范围采用的是每天的几点、几分的形式。 可以使用下面的命令来配置时间范围。 请在系统视图下进行下列配置。 表1-6 创建时间范围 操作 命令 创建时间范围 time-range time-name [ start-time to end-time ] [ days-of-the-week ] [ from start-time start-date] [ to end-time end-date ] 删除时间范围 undo time-range

22、 time-name [ start-time to end-time ] [ days-of-the-week ] [ from start-time start-date] [ to end-time end-date ] 如果不配置起始时分和结束时分，时间范围就是一天内所有的时间。 如果不配置结束日期，时间范围就是从配置生效之日起到系统可以表示的最大时间为止。 1.3.2 定义访问控制列表 华为系列交换机支持多种访问控制列表，下面分别介绍如何定义这些访问控制列表。 定义访问控制列表的步骤为： (1) 进入相应的访问控制列表视图 (2) 定义访问控制列表的子规

23、则 & 说明: (1) 如果定义ACL时不使用参数time-range，则此访问控制列表激活后将在任何时刻都生效。 (2) 在定义ACL的子规则时，用户可以多次使用rule命令给同一个访问控制列表定义多条规则。 (3) 如果ACL用于直接下发到硬件中对转发数据进行过滤和流分类，则用户定义的子规则匹配顺序将不起作用。如果ACL用于对由软件处理的报文进行过滤和流分类，用户指定的匹配顺序将会有效，并且用户一旦指定某一条访问控制列表子规则的匹配顺序，就不能再更改该顺序。 (4) 缺省情况下，访问控制列表中子规则的匹配顺序为按用户配置顺序（config）进行匹配。 1. 定义基本访问

24、控制列表 基本访问控制列表只根据三层源IP制定规则，对数据包进行相应的分析处理。 可以使用下面的命令来定义基本访问控制列表。 请在相应视图下进行下列配置。 表1-7 定义基本访问控制列表 操作 命令 进入基本访问控制列表视图（系统视图） acl { number acl-number | name acl-name basic } [ match-order { config | auto } ] 定义子规则（基本访问控制列表视图） rule [ rule-id ] { permit | deny } [ source source-addr wildcard

25、 any ] [ fragment ] [ time-range name ] 删除访问控制列表的一个子规则（基本访问控制列表视图） undo rule rule-id [ source ] [ fragment ] [ time-range ] 删除访问控制列表，或者删除全部访问控制列表（系统视图） undo acl { number acl-number | name acl-name | all } 1. 定义高级访问控制列表 高级访问控制列表根据源IP、目的IP、使用的TCP或UDP端口号、报文优先级等数据包的属性信息制定分类规则，对数据包进行相应的处理。高级访问

26、控制列表支持对三种报文优先级的分析处理：TOS(Type Of Service)优先级、IP优先级和DSCP优先级。 & 说明： 对于S3026 FM、S3026 FS、S3526、S3526 FM、S3526 FS交换机，在配置高级访问控制列表的时候有如下限制： (1) 用户在配置IP-any，any-IP，NET-any，any-NET的规则的时候，（即源地址为主机IP地址或网段地址，目的地址为任意IP地址的规则；源地址为任意IP地址，目的地址为主机IP地址或网段地址的规则），不能配置协议类型（即rule命令中protocol参数）。如果用户配置了协议类型，交换机会返回配置错误信息

27、 (2) 不支持ToS优先级、DSCP优先级参数。 (3) 支持rule命令中icmp-type参数，不支持后面的type code参数。 注意: 基于数字表示的高级访问控制列表198、199号ACL是交换机预留给集群模块的。如果交换机没有启动集群，用户可以对这两条访问控制列表进行配置和修改，但是此后如果用户在交换机上打开了集群特性，集群产生的访问控制列表将自动取代用户配置的访问控制列表。如果交换机上已经启动了集群特性，将禁止用户进行配置和修改，但是用户可以在其它应用中引用198、199号ACL规则，也可以查看这两条规则。 可以使用下面的命令来定义高级访问控制列表。

28、请在相应视图下进行下列配置。 表1-8 定义高级访问控制列表 操作 命令 进入高级访问控制列表视图（系统视图） acl { number acl-number | name acl-name advanced } [ match-order { config | auto } ] 定义子规则（高级访问控制列表视图） rule [ rule-id ] { permit | deny } protocol [ source source-addr wildcard | any ] [ destination dest-addr wildcard | any ] [ source-

29、port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type type code ] [ established ] [ precedence precedence ] [ tos tos ] [ dscp dscp ] [ fragment ] [ time-range name ] 删除访问控制列表的一个子规则（高级访问控制列表视图） undo rule rule-id [ source ] [ destination ] [ source-port ] [ dest

30、ination-port ] [icmp-type ] [ precedence ] [ tos ] [ dscp ] [ fragment ] [ time-range ] 删除访问控制列表，或者删除全部访问控制列表（系统视图） undo acl { number acl-number | name acl-name | all } 高级访问控制列表的数字标识取值范围为100～199。 需要注意的是，上面命令中的port1、port2参数指的是各种高层应用使用的TCP或者UDP的端口号，对于部分常见的端口号，可以用相应的助记符来代替其实际数字，如使用“bgp”来代替BGP协议使

31、用的TCP端口号179。 2. 定义二层访问控制列表 二层访问控制列表根据源MAC地址、源VLAN ID、二层协议类型、报文二层接收端口、报文二层转发端口、目的MAC地址等二层信息制定规则，对数据进行相应处理。 可以使用下面的命令来定义二层访问控制列表。 请在相应视图下进行下列配置。 表1-9 定义二层访问控制列表 操作 命令 进入二层访问控制列表视图（系统视图） acl { number acl-number | name acl-name link } [ match-order { config | auto } ] 定义子规则（二层访问控制列表视图） rul

32、e [ rule-id ] { permit | deny } [ protocol ] [ cos vlan-pri ] [ ingress { [ source-vlan-id ] [ source-mac-addr source-mac-wildcard ] [ interface { interface-name | interface-type interface-num } ] | any } ] [ egress { [ dest-mac-addr dest-mac-wildcard ] [ interface { interface-name | inter

33、face-type interface-num } ] | any } ] [ time-range name ] 删除访问控制列表的一个子规则（二层访问控制列表视图） undo rule rule-id 删除访问控制列表，或者删除全部访问控制列表（系统视图） undo acl { number acl-number | name acl-name | all } 二层访问控制列表的数字标识取值范围为200～299。 1.3.3 激活访问控制列表 将访问控制列表定义好后，必须激活之后才能使之生效。本配置用来激活那些对交换机硬件转发的数据进行过滤或分类的访问控制列表。 可

34、以使用下面的命令来激活定义好的访问控制列表。 请在系统视图下进行下列配置。 表1-10 激活ACL 操作 命令 激活访问控制列表 packet-filter { [ ip-group { acl-number | acl-name } [ rule rule ] ] [ link-group { acl-number | acl-name } [ rule rule ] ] } 取消激活访问控制列表 undo packet-filter { [ ip-group { acl-number | acl-name } [ rule rule ] ] [ link-group

35、 { acl-number | acl-name } [ rule rule ] ] } & 说明： 本命令支持同时激活二层访问控制列表和IP访问控制列表（IP访问控制列表包括基本访问控制列表、高级访问控制列表），但是要求组合项的动作一致，如果动作冲突（一个是permit，而另一个是deny）则不能激活。 S3026 F系列交换机在使用流分类实现各个QoS功能时，对引用的用于流分类的访问控制列表的配置有所限制。具体限制条件的描述见下表。 表1-11 S3026的QoS功能对ACL的配置限制 QoS功能 实现QoS功能的命令 对引用的ACL的配置限制 包过滤 packet

36、filter { [ ip-group { acl-number | acl-name } [ rule rule ] ] [ link-group { acl-number | acl-name } [ rule rule ] ] } 包过滤只支持引用deny操作的访问控制列表。 对于二层访问控制列表，支持引用MAC-MAC、MAC-PORT、PORT-PORT、MAC-ANY、ANY-MAC、PORT-ANY、ANY-PORT的规则。 对于三层访问控制列表，支持引用IP-IP、IP-NET、NET-NET、IP-ANY、ANY-IP、NET-ANY、ANY-NET的规则。 &

37、说明: 下面对表格中的内容进行简要的说明 (1) 三层访问控制列表包括高级访问控制列表。 (2) 在对规则的描述中：MAC表示MAC地址；PORT表示交换机的端口；IP表示主机IP地址；ANY在二层访问控制列表中表示任意MAC地址，在三层访问控制列表中表示任意IP地址；NET表示网段IP地址；字符“-”前面的MAC、IP、ANY、NET、PORT表示源地址或报文的接收端口，后面的表示目的地址或报文的发送端口。 MAC-MAC表示配置的规则是从源MAC地址到目的MAC地址的二层访问控制列表的规则，比如“rule 0 permit ingress 00e0-fc01-0101 1 egre

38、ss 00e0-fc01-0102 1 time-range huawei”。 PORT-PORT表示配置的规则是从报文的接收端口到发送端口的二层访问控制列表的规则，比如“rule 0 permit ingress interface ethernet0/1 egress interface ethernet 0/2 time-range huawei”。 MAC-PORT表示配置的规则是从报文的源MAC地址到发送端口的二层访问控制列表的规则，比如“rule 0 permit ingress 00e0-fc01-0101 1 egress interface ethernet 0/1 ti

39、me-range huawei”。 IP-IP表示配置的规则是从源主机IP地址到目的主机IP地址的三层访问控制列表(wildcard参数取值为0)，比如““rule 0 permit ip source 1.1.1.1 0 destination 2.2.2.2 0 time-range huawei”。 NET-NET表示配置的规则是从源网段IP地址到目的网段IP地址的三层访问控制列表(wildcard参数取值不为0)，比如“rule 0 permit ip source 1.1.1.1 0.0.255.255 destination 2.2.2.2 0.0.255.255 time-r

40、ange huawei”。 MAC-any表示配置的规则是从源MAC地址到报文的发送端口的二层访问控制列表，比如““rule 0 permit ingress 00e0-fc01-0101 1 egress any time-range huawei”。 Any-MAC，IP-any，any-IP，NET-any，any-NET规则与MAC-any类似。 (3) 对于MAC-MAC规则，在定义访问控制列表时，源MAC、目的MAC都必须在同一个VLAN内，即在定义访问控制列表时对源MAC、目的MAC必须配置相同的VLAN ID参数。 (4) 对于IP-any，any-IP，NET-any，

41、any-NET的规则，（即源地址为主机IP地址或网段地址，目的地址为任意IP地址的规则；源地址为任意IP地址，目的地址为主机IP地址或网段地址的规则），交换机不支持对特定协议报文的过滤，因此用户在交换机上定义此类规则时，协议类型只能配置为IP（即rule命令中protocol参数只能取值IP）。如果用户配置了其他协议类型，交换机会在规则下发的时候返回配置错误信息。 (5) IP-IP、MAC-MAC、MAC-PORT、PORT-PORT、PORT-MAC、IP-NET、NET-NET规则将对两个方向起作用，即，用户定义了一个规则过滤从源地址到目的地址的报文，则该规则将同时过滤从目的地址到源地

42、址的报文。IP-any、any-IP、NET-any、any-NET、MAC-any、any-MAC规则只对所定义的一个方向起作用。 (6) S3526、S3526 FM、S3526 FS、S3026 FM、S3026 FS仅仅支持配置icmp-type参数，不支持配置type code参数。 (7) 表格中在各个QoS功能对应的“对引用的ACL的配置限制”中，说明了在配置该QoS功能时可以引用的ACL规则，除此之外的其他ACL规则在S3526、S3526 FM、S3526 FS、S3026 FM、S3026 FS交换机上实现该QoS功能时都不能被引用（此时系统会给出不支持的提示）。 (

43、8) 用户在实现QoS功能时需要首先定义该QoS功能可以引用的ACL规则，避免配置错误。 1.3.4 访问控制列表显示和调试 在完成上述配置后，在所有视图下执行display命令都可以显示配置后访问控制列表的运行情况。用户可以通过查看显示信息验证配置的效果。在用户视图下执行reset命令可以将有关访问控制列表的统计信息清除。 表1-12 访问控制列表的显示和调试 操作 命令 显示时间段状况。 display time-range [ all | name ] 显示访问控制列表的详细配置信息。 display acl config { all | acl-number

44、 acl-name } 显示访问控制列表的下发应用信息。 display acl running-packet-filter all 清除访问控制列表的统计信息。 reset acl counter { all | acl-number | acl-name } display acl config命令显示的匹配信息是由交换机CPU处理的匹配信息。用户可以使用命令display qos-info traffic-statistic显示交换机转发数据的匹配信息。 具体的参数说明请参见命令手册。 1.4 S3026E系列、S3050C-48的ACL配置 访问控制列表配置

45、包括： l 配置时间段 l 定义访问控制列表 l 激活访问控制列表 以上三个步骤最好依次进行，先配置时间段，然后定义访问控制列表（在其中会引用定义好的时间段），最后激活访问控制列表，使其生效。 1.4.1 时间段配置 对时间段的配置有如下内容：配置每天的时分范围、周期范围和日期范围。配置日期范围采用的是年、月、日、时、分的形式，配置周期范围采用的是每周的周几的形式，配置每天的时分范围采用的是每天的几点、几分的形式。 可以使用下面的命令来配置时间范围。 请在系统视图下进行下列配置。 表1-13 创建时间范围 操作 命令 创建时间范围 time-range time-

46、name [ start-time to end-time ] [ days-of-the-week ] [ from start-time start-date] [ to end-time end-date ] 删除时间范围 undo time-range time-name [ start-time to end-time ] [ days-of-the-week ] [ from start-time start-date] [ to end-time end-date ] 如果不配置起始时分和结束时分，时间范围就是一天内所有的时间。 如果不配置结束日期，时间范

47、围就是从配置生效之日起到系统可以表示的最大时间为止。 1.4.2 定义访问控制列表 华为系列交换机支持多种访问控制列表，下面分别介绍如何定义这些访问控制列表。 定义访问控制列表的步骤为： (1) 进入相应的访问控制列表视图 (2) 定义访问控制列表的子规则 & 说明： (1) 如果定义ACL时不使用参数time-range，则此访问控制列表激活后将在任何时刻都生效。 (2) 在定义ACL的子规则时，用户可以多次使用rule命令给同一个访问控制列表定义多条规则。 (3) 如果ACL用于直接下发到硬件中对转发数据进行过滤和流分类，则用户定义的子规则匹配顺序将不起作用。如果A

48、CL用于对由软件处理的报文进行过滤和流分类，用户指定的匹配顺序将会有效，并且用户一旦指定某一条访问控制列表子规则的匹配顺序，就不能再更改该顺序。 (4) 缺省情况下，访问控制列表中子规则的匹配顺序为按用户配置顺序（config）进行匹配。 1. 定义基本访问控制列表 基本访问控制列表只根据三层源IP制定规则，对数据包进行相应的分析处理。 可以使用下面的命令来定义基本访问控制列表。 请在相应视图下进行下列配置。 表1-14 定义基本访问控制列表 操作 命令 进入基本访问控制列表视图（系统视图） acl { number acl-number | name acl-nam

49、e basic } [ match-order { config | auto } ] 定义子规则（基本访问控制列表视图） rule [ rule-id ] { permit | deny } [ source source-addr wildcard | any ] [ fragment ] [ time-range name ] 删除访问控制列表的一个子规则（基本访问控制列表视图） undo rule rule-id [ source ] [ fragment ] [ time-range ] 删除访问控制列表，或者删除全部访问控制列表（系统视图） undo

50、acl { number acl-number | name acl-name | all } 2. 定义高级访问控制列表 高级访问控制列表根据源IP、目的IP、使用的TCP或UDP端口号、报文优先级等数据包的属性信息制定分类规则，对数据包进行相应的处理。高级访问控制列表支持对三种报文优先级的分析处理：TOS(Type Of Service)优先级、IP优先级和DSCP优先级。 注意: 基于数字表示的高级访问控制列表198、199号ACL是交换机预留给集群模块的。如果交换机没有启动集群，用户可以对这两条访问控制列表进行配置和修改，但是此后如果用户在交换机上打开了集群特性，集群