ACL配置

更新时间：2023-03-08 08:18:38 阅读量：综合文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

第21章 ACL配置

ACL 的全称为访问控制表(Access Control List)，简称为访问表（Access List）。ACL是一个有序的规则集，其中包含的规则称为访问控制表项（Access Control Entry：ACE）。

迈普系列交换机中的ACL以及与其相关的对象、动作组、计量器按如下图所示的逻辑关系进行组织，以实现报文过滤、报文分类、流量控制应用。

Global对象ACLACE1（permit ...）ACE2（deny ...）VLAN对象...ACEn（permit ...）deny anyPort对象Action Group 2Action1Action2...Action Group 1Action1Action2...Traffic Meter 2Traffic Meter 1Action Group 3Action1Action2... 迈普系列交换机中可应用ACL的对象有四类：全局对象（Global Object）、VLAN对象（VLAN Object）、端口对象（Interface Object）、三层接口对象（Interface VLAN Object）。全局对象是指本交换机，应用在其上的ACL作用范围是进入本交换机的所有报文。VLAN对象是指本交换机上配置的某个VLAN，应用在其上的ACL作用范围是进入此VLAN的所有报文。而端口对象是指交换机上的端口或汇聚口，应用在其上的ACL作用范围是进入此端口的所有报文。三层接口对象指本交换机上配置的某个Interface VLAN接口，应用在其上的ACL作用范围是进入此Interface VLAN接口的所有上CPU处理的报文和经

过Interface VLAN接口转发的报文。

迈普系列交换机可以把ACL作用于入方向、出方向以及用来实现灵活QINQ，在入方向对进入交换机的报文起作用，在出方向对从交换机上出去的报文起作用，对灵活QINQ的实现，在报文进入交换机时添加VLAN TAG的阶段生效。

由于应用在三种对象（三个对象为端口，VLAN和全局）上的ACL作用范围存在重叠。因此，会产生ACL动作冲突的问题（如：在端口上匹配到一条动作为permit的ACE，而在此端口所属的VLAN上匹配到一条动作为deny的ACE）。对这种冲突配置采用相当于串联的方式来实现，如一个报文既匹配了端口上的那条permit规则，又匹配了VLAN上的那条deny规则，最终的结果就是deny。这种方式能实现对一条流只有所有的对象上都允许通过了才能通过。

为了支持报文分类，一条ACL或ACL中的一条动作为permit的ACE，允许绑定一个动作组（Action Group）。ACL上绑定的动作组指明此ACL的默认动作，对其中所有配置为permit的ACE，会默认使用这个动作组配置。对于每一个动作组，允许绑定一个计量器（Traffic Meter）用于报文着色和限速。

对ACL上绑定动作组和ACE上绑定动作组有一点区别，这个区别就是在ACL上绑定的动作组中如果配置有限速功能，那么对该ACL中没有绑定动作组且为permit的ACE会共同进行限速。而在ACE上绑定的动作组只会对本条流进行限速。如：一条ACL中三条permit的ACE，分别为ACE1,ACE2,ACE3 如果在ACE1上绑定的动作组进行限速的大小为10M，在ACL上绑定的动作组进行限速10M。这时对限速的效果就是匹配ACE1的流被限制成10M，能匹配ACE2和ACE3两条流总共被限制成10M。

迈普系列交换机ACL在应用中，ACL中ACE的语义有一些差别。对于报文过滤应用，ACE中的permit表示允许，deny表示拒绝。对于报文分类和流量控制应用，deny的语义和报文过滤相同，但permit的语义变成了“在某类报文上应用某个动作”。因此，用在这两类应用的ACL或ACL的ACE中，应配置action-group（动作组）参数，以指明对于匹配的报文应该采取什么样的动作。在此需要说明的是，对于流量控制也抽象为一种动作，在动作组的配置参数中按名引用计量器。

ACL动作组分成三类，分别为l2动作组，l3动作组和egr动作组，l2动作组用于MAC ACL作用于入方向，对进入交换机的报文就进行相应的动作。L3动作组用于IP ACL和IPV6 ACL作用于入方向。

Egr动作组用于对出方向的报文进行ACL时需要做的动作，可以关联所有类型的ACL（除Hybrid访问表）。

迈普系列交换机中与ACL功能相关的配置有动作组（Action Group）配置、计量器（Traffic Meter）配置、时间域（Time Range）配置。将在本章的余下的小节中一一进行描述。

本章主要内容有： ? ACL概述

? 配置IP标准访问表 ? 配置IP扩展访问表 ? 配置MAC标准访问表 ? 配置MAC扩展访问表 ? 配置HYBRID访问表 ? 配置IPV6访问表 ? 配置MPLS 标准访问表 ? 配置条目限制

? 配置时间域（Time Range） ? 配置动作组

? 配置计量器（Traffic Meter） ? 应用ACL到对象 ? 应用ACL到三层接口上 ? OUT方向ACL匹配方式配置 ? 监控和调试 ? 应用实例

21.1 ACL概述

本节介绍ACL的一些基本常识和概念，包含两小节：

? ACL基本概念 ? ACL分类

21.1.1 ACL基本概念

一条ACL由一系列的规则组成，每条规则的动作可为permit或deny，声明相应的匹配条件及行为。ACL的规则是根据报文的某些字段来识别报文的，在常用的IP访问表中，这些字段可以包括：

? IP协议号：指定TCP报文、UDP报文，还是所有IP报文，也可以在0～255的范围内选择一

个数值来指定IP协议号。

? 源IP地址：可以指定全部32位源IP地址，也可以指定一个源子网。 ? 目的IP地址：可以指定全部32位目的IP地址，也可以指定一个目的子网。 ? TCP/UDP源端口号：可以指定知名端口的名字，也可以指定端口的数字。 ? TCP/UDP目的端口号：可以指定知名端口的名字，也可以指定端口的数字。在常用的IPV6访问表中，这些字段可以包括：

? IPV6协议号：指定TCP报文、UDP报文，还是所有IPV6报文，也可以在0～255的范围内选

择一个数值来指定IPV6协议号。

? 源IPV6地址：可以指定全部128位源IPV6地址，也可以指定一个源子网。 ? 目的IPV6地址：可以指定全部128位目的IP地址，也可以指定一个目的子网。 ? TCP/UDP源端口号：可以指定知名端口的名字，也可以指定端口的数字。

规则的序号（Sequence）指的是该规则在整条ACL中的顺序编号。一条ACL可以由多条规则组成，每一条规则指定的数据包的范围都不完全相同，它们可能存在重叠或矛盾的地方，为了避免产生歧义，ACL对数据包进行匹配时，严格按照从小序号到大序号的顺序进行，序号小的规则首先生效。当所有的规则都不匹配时，执行默认的丢弃动作，也就是说，一切没有被允许通过的报文都会被拒绝。

在配置规则的时候，可以指定规则的序号，也可以不指定规则的序号。当指定规则的序号时，新增的规则会按其序号的大小被插入到访问表的适当位置；当不指定规则的序号时，新增的规则总是被添加到访问表的末尾，并且系统会自动为它分配一个序号，一般以10为一个步长。

ACL的作用域指的是ACL用于IN方向或OUT方向,以及作用于灵活QINQ。在本文档中IN方向和入方向是一个意思，OUT方向和出方向，EGR是一个概念。 VFP和灵活QINQ是一个意思。

21.1.2 ACL分类

按照访问表的用途，可以分为七种类型： ? IP标准访问表 ? IP扩展访问表 ? IPV6访问表 ? MAC标准访问表 ? MAC扩展访问表 ? HYBRID访问表 ? MPLS 标准访问表

访问表可以用名字来命名，也可以用数字来命名。

如果用名字来命名，这五种访问表共享同一个名字空间，也就是说，如果IP标准访问表使用了某个名字，那么其他的访问表都不能再使用这个名字。

如果用数字来命名，这五种访问表都有固定的数字取值范围。

访问表类型

IP标准访问表 IP扩展访问表 MAC标准访问表 MAC扩展访问表 HYBRID访问表 MPLS 标准访问表 IPV6访问列表

数字取值范围 1～1000 1001～2000 2001～3000 3001～4000 5001～6000 6001～7000 7001～8000

21.2 配置IP标准访问表

IP标准访问表只根据源IP地址制定规则，对数据包进行相应的分析处理。

21.2.1 基本指令描述

命令

access-list access-list-number { permit | deny } {any | source source-wildcard | host source} [time-range time-range-name] l3-action-group-name]

[egr-action-group egr-action-group-name] [vfp-action-group vfp-action-group-name] access-list access-list-number remark comment ip

access-list

standard

{

access-list-number

access-list-name }

[sequence] { permit | deny } { any | source * 配置一条规则。 source-wildcard time-range-name]

[{l3_action-group|egr_action_group|vfp_action_group } action-group-name] [sequence] remark comment

? access-list

定义一条以数字命名的IP标准访问表的规则。

access-list access-list-number { permit | deny } {any | source source-wildcard | host source} [time-range time-range-name] [l3-action-group action-group-name] [egr-action-group action-group-name]

[vfp-action-group action-group-name] access-list access-list-number remark comment

* 配置一条访问表注释

config-std-nacl

host

source

}

[time-range

config-std-nacl

配置一条访问表注释 | * 配置标准访问表

config config

[l3-action-group

* 配置访问表

描述

配置模式 config

语法

access-list access-list-number permit deny any

source | source-wildcard host source

time-range time-range-name l3-action-group action-group-name egr-action-group action-group-name vfp-action-group action-group-name remark comment

配置一条访问表规则。

IP标准访问表的编号，范围<1-1000>。如果条件匹配，就允许访问。如果条件匹配，就拒绝访问。任意源地址。源IP地址及通配符。一个源主机地址。指定规则生效的时间域。

指定规则匹配后采取的动作,作用于IN方向指定规则匹配后采取的动作,作用于OUT方向指定规则匹配后采取的动作,用于灵活QINQ的动作配置一条注释。注释规则，不会参与规则的匹配，仅仅起到规则的注释和分隔作用。

【配置模式】全局配置模式

【缺省情况】没有配置任何访问表和规则。

no格式是删掉一条以数字命名的访问表，包含它里面的所有规则。 no access-list access-list-number ? ip access-list standard

创建一个IP标准访问表，可以用数字命名，也可以是用户自定义名称，该命令将进入IP标准访问表配置模式。

ip access-list standard { access-list-number | access-list-name }

语法

access-list-number access-list-name

【配置模式】全局配置模式

【缺省情况】没有配置任何访问表和规则。

no格式是删掉某个IP标准访问表，包含它里面的所有规则。

描述

标准访问表的编号，范围<1-1000>。访问表的名称，1～31个字符，区分大小写。

描述

no ip access-list standard { access-list-number | access-list-name } ? permit | deny

配置一条permit或deny的IP标准访问表规则。

[sequence] { permit | deny } { any | source source-wildcard | host source } [time-range time-range-name] [vfp-action-group action-group-name]

语法

sequence permit deny any

source source-wildcard host source

time-range time-range-name l3-action-group action-group-name egr-action-group action-group-name vfp-action-group action-group-name 【配置模式】IP标准访问表配置模式【缺省情况】没有配置任何访问表和规则。

no格式是删除指定的规则，可以仅指定规则序号，也可以带上规则的内容。 no sequence

no [sequence] { permit | deny } { any | source source-wildcard | host source } time-range time-range-name]

[vfp-action-group

action-group-name]

[egr-action-group

action-group-name]

规则序号

如果条件匹配，就允许访问。如果条件匹配，就拒绝访问。任意源地址源IP地址及通配符一个源主机地址指定规则生效的时间域

指定规则匹配后采取的动作。作用于IN方向指定规则匹配后采取的动作。作用于OUT方向指定规则匹配后采取的动作。作用于灵活QINQ方向

描述

action-group-name]

[egr-action-group

action-group-name]

[l3-action-group

[l3-action-group action-group-name]

[sequence] remark comment

语法

sequence

规则序号

描述

remark comment

配置一条注释。注释规则，不会参与规则的匹配，仅仅起到规则的注释和分隔作用。

【配置模式】IP标准访问表配置模式【缺省情况】没有配置任何访问表和规则。 no格式是删掉一条注释。 no sequence

no [sequence] remark comment

21.2.2 应用实例

建立标准访问表2，定义了三条规则，它允许子网92.49.0.0上的主机IP地址为92.49.0.3发来的包通过，允许子网92.48.0.0上所有机器发来的包，拒绝接收其它的包。

命令

switch(config)# access-list 2 permit host 92.49.0.3 switch(config)# 0.0.255.255

switch(config)# access-list 2 deny any 以下定义可以起到同样效果：

命令

switch (config)# ip access-list standard 2

switch (config-std-nacl)# 10 permit host 92.49.0.3 switch(config-std-nacl)# 0.0.255.255

switch (config-std-nacl)# 30 deny any switch (config-std-nacl)# exit

当要删除其中的一条规则时应如下操作：

命令

描述

允许主机IP地址为92.49.0.3发来的包通过

access-list 2 permit 92.48.0.0 允许子网92.48.0.0上所有机器发来的包

拒绝接收其它的包

描述

创建标准IP访问表2

允许主机IP地址为92.49.0.3发来的包通过

20 permit 92.48.0.0 允许子网92.48.0.0上所有机器发来的包

拒绝接收其它的包

switch (config)# ip access-list standard 2 switch (config-std-nacl)# no 20 switch (config-std-nacl)# exit

删除序号为20的规则

21.3 配置IP扩展访问表

IP扩展控制表可以根据IP协议号、源IP地址、目的IP地址、源TCP/UDP端口号、目的TCP/UDP端口号、报文优先级、TCP标志等属性制定分类规则，对数据包进行相应的处理。IP扩展访问表比IP标准访问表所定义的内容更丰富，更准确，也更灵活。

21.3.1 基本指令描述

命令

access-list ip access-list extend sequence permit deny remark

show ip access-list ? access-list

定义一条以数字命名的IP扩展访问表的规则。

access-list access-list-number { permit | deny } protocol { any | source source-wildcard | host source } [operator source-port [source-port-wildcard]] { any | destination destination-wildcard | host destination } [operator destination-port [destination-port-wildcard]] [ack / fin / psh / rst / syn / urg] [precedence precedence] [tos tos] [dscp dscp] [time-range time-range-name] [vfp-action-group action-group-name] [egr-action-group action-group-name] [l3-action-group action-group-name]

access-list access-list-number remark comment

描述

* 配置访问表 * 配置IP扩展访问表

* 配置规则的序号，范围<1-2147483647>。 * 配置一条允许通过的规则 * 配置一条拒绝通过的规则 * 配置一条访问表注释 * 显示IP访问表的配置情况

配置模式 config config config-ext-nacl config-ext-nacl config-ext-nacl config-ext-nacl 特权模式

???

语法

access-list-number permit deny protocol

描述

IP扩展访问表的编号，范围<1001-2000>。如果条件匹配，就允许访问。如果条件匹配，就拒绝访问。匹配的协议。可以配置以下值之一： <0-255> 指定协议号的数值

icmp 指定Internet差错与控制报文协议(ICMP) igmp 指定Internet群组管理协议(IGMP) ip 指定所有的Internet协议 tcp 指定传输控制协议(TCP) udp 指定用户数据报协议(UDP) ospf 指定OSPF路由协议 irmp 指定IRMP路由协议 pim 指定PIM多播路由协议 vrrp 指定虚拟路由冗余协议

any

source source-wildcard host source

destination destination-wildcard host destination precedence precedence

任意IP地址源IP地址及通配符。源主机IP地址。目的IP地址及通配符。目的主机IP地址

报文的IP优先级。可以配置以下值之一： <0-7> IP优先级的数值 critical （5） flash （3） flash-override （4） immediate （2） internet （6） network （7） priority （1） routine （0）

tos tos

服务类型。可以配置以下值之一： <0-15> 服务类型的数值 max-reliability 最高可靠性（2）

???

max-throughput 最大吞吐量（4） min-delay 最小时延（8） min-monetary-cost 最小费用（1） normal 一般服务

dscp dscp

区分服务代码点。可以配置以下值之一： <0-63> 区分服务代码点的数值 af11 (10) af12 (12) af13 (14) af21 (18) af22 (20) af23 (22) af31 (26) af32 (28) af33 (30) af41 (34) af42 (36) af43 (38) cs1 (8) cs2 (16) cs3 (24) cs4 (32) cs5 (40) cs6 (48) cs7 (56) ef (46) default (0)

operator

端口比较。可以选择以下之一： eq 匹配某个端口的报文 wildcard 通配符匹配

source-port [source-port-wildcard]

指定源端口。可以是一个具体的数值，也可以是一个常用端口别名字符串。当使用端口通配符匹配时，只能输入数值。

???

destination-port [destination-port-wildcard]

指定目的端口号。可以是一个具体的数值，也可以是一个常用端口别名字符串。当使用端口通配符匹配时，只能输入数值。

ack / fin / psh / rst / syn / urg

用于匹配TCP的标志位。它们分别是：确认标志、结束标志、立即发送标志、复位标志、同步标志、紧急标志。

time-range time-range-name l3-action-group action-group-name egr-action-group action-group-name vfp-action-group action-group-name remark comment

指定规则生效的时间域

指定规则匹配后采取的动作，作用于IN方向指定规则匹配后采取的动作,作用于OUT方向指定规则匹配后采取的动作,用于灵活QINQ的动作配置一条注释。注释规则，不会参与规则的匹配，仅仅起到规则的注释和分隔作用。

【配置模式】全局配置模式

【缺省情况】没有配置任何访问表和规则。

no格式是删掉某个访问表，包含它里面的所有规则。 no access-list access-list-number

ACL中支持的TCP/UDP知名端口见下表。

协议 TCP

bgp chargen daytime discard domain echo exec finger ftp ftp-data gopher hostname ident

端口名称

意义及实际值

Border Gateway Protocol (179) Character generator (19) Daytime (13) Discard (9)

Domain Name Service (53) Echo (7) Exec (rsh, 512) Finger (79)

File Transfer Protocol (21) FTP data connections (20) Gopher (70)

NIC hostname server (101) Ident Protocol (113)

???

irc klogin kshell login lpd nntp pim-auto-rp pop2 pop3 smtp sunrpc syslog tacacs talk telnet time uucp whois www

UDP

bootpc bootps discard dnsix domain echo isakmp mobile-ip nameserver netbios-dgm netbios-ns netbios-ss

Internet Relay Chat (194) Kerberos login (543) Kerberos shell (544) Login (rlogin, 513) Printer service (515)

Network News Transport Protocol (119) PIM Auto-RP (496) Post Office Protocol v2 (109) Post Office Protocol v3 (110) Simple Mail Transport Protocol (25) Sun Remote Procedure Call (111) Syslog (514)

TAC Access Control System (49) Talk (517) Telnet (23) Time (37)

Unix-to-Unix Copy Program (540) Nicname (43)

World Wide Web (HTTP, 80)

Bootstrap Protocol (BOOTP) client (68) Bootstrap Protocol (BOOTP) server (67) Discard (9)

DNSIX security protocol auditing (195) Domain Name Service (DNS, 53) Echo (7)

Internet Security Association and Key Management Protocol (500)

Mobile IP registration (434) IEN116 name service (obsolete, 42) NetBios datagram service (138) NetBios name service (137) NetBios session service (139)

???

non500-isakmp ntp pim-auto-rp rip snmp snmptrap sunrpc syslog tacacs talk tftp time xdmcp

? ip access-list extended

定义一个IP扩展访问表，可以用数字命名，也可以是用户自定义名称，该命令将进入IP扩展访问表配置模式。

ip access-list extended { access-list-number | access-list-name }

语法

access-list-number access-list-name

【配置模式】全局配置模式

【缺省情况】没有配置任何访问表和规则。

no格式是删掉某个访问表，包含它里面的所有规则。 no ip access-list extended { access-list-number | access-list-name } ? permit | deny

配置一条permit或deny的IP扩展访问表规则。

描述

IP扩展访问表的编号，范围<1001-2000>。

IP扩展访问表的名称，1～31个字符，区分大小写。 Internet Security Association and Key Management Protocol (4500)

Network Time Protocol (123) PIM Auto-RP (496)

Routing Information Protocol (router, in.routed, 520) Simple Network Management Protocol (161) SNMP Traps (162)

Sun Remote Procedure Call (111) System Logger (514)

TAC Access Control System (49) Talk (517)

Trivial File Transfer Protocol (69) Time (37)

X Display Manager Control Protocol (177)

???

[sequence] { permit | deny } protocol { any | source source-wildcard | host source } [operator source-port [source-port-wildcard]] { any | destination destination-wildcard | host destination } [operator destination-port [destination-port-wildcard]] [ack / fin / psh / rst / syn / urg] [precedence precedence] [tos tos] [dscp dscp] [time-range time-range-name] [vfp-action-group action-group-name] [egr-action-group action-group-name] [l3-action-group action-group-name]

语法

sequence permit deny protocol

规则序号

如果条件匹配，就允许访问。如果条件匹配，就拒绝访问。匹配的协议。可以配置以下值之一： <0-255> 指定协议号的数值

any

source source-wildcard host source

destination destination-wildcard host destination source source-wildcard destination destination-wildcard precedence precedence

任意IP地址源IP地址及通配符。源主机IP地址。目的IP地址及通配符。目的主机IP地址

报文来自的网络或主机，也即报文的源地址。它有三种表示方法，见前面IP地址表示方法的介绍。报文的目的网络或主机，也即报文的目的地址。它有三种表示方法，见前面IP地址表示方法的介绍。报文的IP优先级。可以配置以下值之一： <0-7> IP优先级的数值

描述

???

critical （5） flash （3） flash-override （4） immediate （2） internet （6） network （7） priority （1） routine （0）

tos tos

服务类型。可以配置以下值之一： <0-15> 服务类型的数值 max-reliability 最高可靠性（2） max-throughput 最大吞吐量（4） min-delay 最小时延（8） min-monetary-cost 最小费用（1） normal 一般服务

dscp dscp

???

cs5 (40) cs6 (48) cs7 (56) ef (46) default (0)

operator

端口比较。可以选择以下之一： eq 匹配某个端口的报文 wildcard 通配符匹配

source-port [source-port-wildcard] destination-port [destination-port-wildcard] ack / fin / psh / rst / syn / urg

指定源端口。可以是一个具体的数值，也可以是一个常用端口别名字符串。

指定目的端口号。可以是一个具体的数值，也可以是一个常用端口别名字符串。

用于匹配TCP的标志位。它们分别是：确认标志、结束标志、立即发送标志、复位标志、同步标志、紧急标志。

time-range time-range-name l3-action-group action-group-name egr-action-group action-group-name vfp-action-group action-group-name 【配置模式】IP扩展访问表配置模式【缺省情况】没有配置任何访问表和规则。

no格式是删除指定的规则，可以仅指定规则序号，也可以带上规则的内容。 no sequence

no [sequence] { permit | deny } protocol { any | source source-wildcard | host source } [operator source-port [source-port-wildcard]] { any | destination destination-wildcard | host destination } [operator destination-port [destination-port-wildcard]] [ack / fin / psh / rst / syn / urg] [precedence precedence] [tos tos] [dscp dscp] time-range time-range-name] [vfp-action-group action-group-name] [egr-action-group action-group-name] [l3-action-group action-group-name]

指定规则生效的时间域。

指定规则匹配后采取的动作, 作用于IN方向指定规则匹配后采取的动作,作用于OUT方向指定规则匹配后采取的动作,用于灵活QINQ的动作

???

? remark

配置一条注释，给访问表规则增加注释。 [sequence] remark comment

语法

sequence remark comment

规则序号

配置一条注释。注释规则，不会参与规则的匹配，仅仅起到规则的注释和分隔作用。

【配置模式】IP扩展访问表配置模式【缺省情况】没有配置任何访问表和规则。 no格式是删掉一条注释。 no sequence

no [sequence] remark comment ? show ip access-list 显示IP访问表的配置情况

show ip access-list [{ access-list-number | access-list-name }]

语法

access-list-number access-list-name 【配置模式】特权模式 ? show access-list 显示访问表的配置情况

show access-list [{ access-list-number | access-list-name }]

语法

access-list-number

描述

访问表的编号，范围<1-8000>，其中范围<1-2000>表示IP访问列表。

描述

IP访问表的编号，范围<1-2000>。

IP访问表的名称，1～31个字符，区分大小写。

描述

???

access-list-name 【配置模式】特权模式

访问表的名称，1～31个字符，区分大小写。

21.4 配置MAC标准访问表

MAC标准访问表只根据以太报文的源MAC地址制定规则，对数据包进行相应的分析处理。

21.4.1 基本指令描述

命令

access-list

mac access-list standard sequence permit deny remark ? access-list

定义一条以数字命名的MAC标准访问表的规则。

access-list access-list-number { permit | deny } {any | mac-source mac-source-wildcard | host mac-source} [time-range time-range-name] [l2-action-group action-group-name] [egr-action-group action-group-name]

[vfp-action-group action-group-name] access-list access-list-number remark comment

语法

access-list access-list-number permit deny

配置一条访问表规则

MAC标准访问表的编号，范围<2001-3000>。如果条件匹配，就允许访问。如果条件匹配，就拒绝访问。

描述

* 配置访问表

* 配置MAC标准访问表

* 配置规则的序号，范围<1-2147483647>。 * 配置一条允许通过的规则 * 配置一条拒绝通过的规则 * 配置一条访问表注释

配置模式 config config

config-std-mac-nacl config-std-mac-nacl config-std-mac-nacl config-std-mac-nacl

描述

???

any

mac-source mac-source-wildcard host mac-source

time-range time-range-name l2-action-group action-group-name egr-action-group action-group-name vfp-action-group action-group-name remark comment

任意源地址

源MAC地址及通配符一个源MAC主机地址指定规则生效的时间域。

【配置模式】全局配置模式

【缺省情况】没有配置任何访问表和规则。

no格式是删掉一条以数字命名的访问表，包含它里面的所有规则。 no access-list access-list-number ? mac access-list standard

创建一个MAC标准访问表，可以用数字命名，也可以是用户自定义名称，该命令将进入MAC标准访问表配置模式。

mac access-list standard { access-list-number | access-list-name }

语法

access-list-number access-list-name

【配置模式】全局配置模式

【缺省情况】没有配置任何访问表和规则。

no格式是删掉某个MAC标准访问表，包含它里面的所有规则。 no mac access-list standard { access-list-number | access-list-name } ? permit | deny

配置一条permit或deny的MAC标准访问表规则。

描述

MAC标准访问表的编号，范围<2001-3000>。 MAC标准访问表的名称，1～31个字符，区分大小写。

???

[sequence] { permit | deny } {any | mac-source mac-source-wildcard | host mac-source} [time-range time-range-name]

[vfp-action-group

action-group-name]

[egr-action-group

action-group-name]

[l2-action-group action-group-name]

语法

sequence permit deny any

mac-source mac-source-wildcard host mac-source

time-range time-range-name l2-action-group action-group-name egr-action-group action-group-name vfp-action-group action-group-name 【配置模式】MAC标准访问表配置模式【缺省情况】没有配置任何访问表和规则。

no格式是删除指定的规则，可以仅指定规则序号，也可以带上规则的内容。 no sequence

no [sequence] { permit | deny } {any | mac-source mac-source-wildcard | host mac-source} [time-range time-range-name]

[vfp-action-group

action-group-name]

[egr-action-group

action-group-name]

规则序号

如果条件匹配，就允许访问。如果条件匹配，就拒绝访问。任意源地址

源MAC地址及通配符一个源MAC主机地址指定规则生效的时间域。

指定规则匹配后采取的动作, 作用于IN方向指定规则匹配后采取的动作,作用于OUT方向指定规则匹配后采取的动作,用于灵活QINQ的动作

描述

[l2-action-group action-group-name]

? remark

配置一条注释，给访问表规则增加注释。 [sequence] remark comment

语法

sequence remark comment

规则序号

配置一条注释。注释规则，不会参与规则的匹配，仅

描述

???

仅起到规则的注释和分隔作用。

【配置模式】MAC标准访问表配置模式【缺省情况】没有配置任何访问表和规则。 no格式是删掉一条注释。 no sequence

no [sequence] remark comment

21.4.2 应用实例

配置MAC访问表2001，允许来至mac地址为0005.5d5e.4129的报文通过。

命令

描述

switch(config)# access-list 2001 permit host 配置一条MAC标准访问表规则，允许MAC源地0005.5d5e.4129 以上命令等价于：

命令

switch(config)# mac access-list standard 2001

描述

定义MAC访问表2001，进入MAC标准访问表配置模式

switch(config-std-mac-nacl)# 10 permit host 配置一条序号为10的MAC访问表规则，允许0005.5d5e.4129

switch(config-std-mac-nacl)# exit

MAC源地址0005.5d5e.4129的报文通过

址0005.5d5e.4129的报文通过

21.5 配置MAC扩展访问表

MAC扩展访问表可以根据以太报文的源MAC地址、目的MAC地址、802.1P优先级、VLAN ID、以太类型来制定规则，对数据包进行相应的分析处理。

21.5.1 基本指令描述

命令

描述

配置模式

???

access-list

mac access-list extended sequence permit deny remark

show mac access-list ? access-list

定义一条以数字命名的MAC扩展访问表的规则。

access-list access-list-number { permit | deny } { any | mac-source mac-source-wildcard | host mac-source } { any | mac-destination mac-destination-wildcard | host mac-destination } [ether-type ether-protocol-type] [cos priority] [vlan-id vlan-id-number] [time-range time-range-name] [vfp-action-group action-group-name] [egr-action-group action-group-name] [l2-action-group action-group-name]

access-list access-list-number remark comment

语法

access-list access-list-number permit deny any

mac-source mac-source-wildcard host mac-source mac-destination mac-destination-wildcard host mac-destination vlan-id vlan-id-number cos priority

ether-type ether-protocol-type

一个目的MAC主机地址报文的VLAN号，范围<1-4094> 报文带的802.1p值，范围<0-7>

以太类型，取值范围为0x0000-0xFFFF。常见的有： IP类型：0x0800 配置一条访问表规则

MAC扩展访问表的编号，范围<3001-4000>。如果条件匹配，就允许访问。如果条件匹配，就拒绝访问。任意地址

源MAC地址及通配符一个源MAC主机地址目的MAC地址及通配符

描述

* 配置访问表

* 配置MAC扩展访问表

* 配置规则的序号，范围<1-2147483647>。 * 配置一条允许通过的规则 * 配置一条拒绝通过的规则 * 配置一条访问表注释 * 显示MAC访问表的配置情况

Config Config

config-ext-mac-nacl config-ext-mac-nacl config-ext-mac-nacl config-ext-mac-nacl 特权模式

???

ARP类型：0x0806

l2-action-group action-group-name egr-action-group action-group-name vfp-action-group action-group-name remark comment

time-range time-range-name 【配置模式】全局配置模式

【缺省情况】没有配置任何访问表和规则。

no格式是删掉一条以数字命名的访问表，包含它里面的所有规则。 no access-list access-list-number ? mac access-list extended

创建一个MAC扩展访问表，可以用数字命名，也可以是用户自定义名称，该命令将进入MAC扩展访问表配置模式。

mac access-list extended { access-list-number | access-list-name }

语法

access-list-number access-list-name

【配置模式】全局配置模式

【缺省情况】没有配置任何访问表和规则。

no格式是删掉某个MAC扩展访问表，包含它里面的所有规则。 no mac access-list extended { access-list-number | access-list-name } ? permit | deny

配置一条permit或deny的MAC扩展访问表规则。

[sequence] { permit | deny } { any | mac-source mac-source-wildcard | host mac-source } { any | mac-destination mac-destination-wildcard | host mac-destination } [ether-type ether-protocol-type] [cos

指定规则匹配后采取的动作,作用于IN方向指定规则匹配后采取的动作,作用于OUT方向指定规则匹配后采取的动作,用于灵活QINQ的动作配置一条注释。注释规则，不会参与规则的匹配，仅仅起到规则的注释和分隔作用。指定规则生效的时间域。

描述

MAC扩展访问表的编号，范围<3001-4000>。访问表的名称，1～31个字符，区分大小写。

???

precedence precedence

tos tos

dscp dscp

区分服务代码点。可以配置以下值之一： <0-63> 区分服务代码点的数值 af11 (10) af12 (12) af13 (14) af21 (18) af22 (20) af23 (22) af31 (26) af32 (28) af33 (30) af41 (34) af42 (36) af43 (38) cs1 (8) cs2 (16)

???

cs3 (24) cs4 (32) cs5 (40) cs6 (48) cs7 (56) ef (46) default (0)

operator

端口比较。可以选择以下之一： eq 匹配某个端口的报文 wildcard 通配符匹配

source-port [source-port-wildcard]

指定源端口。可以是一个具体的数值，也可以是一个常用端口别名字符串。当使用端口通配符匹配时，只能输入数值。

destination-port [destination-port-wildcard]

指定目的端口号。可以是一个具体的数值，也可以是一个常用端口别名字符串。当使用端口通配符匹配时，只能输入数值。

ack / fin / psh / rst / syn / urg

time-range time-range-name l3-action-group action-group-name egr-action-group action-group-name vfp-action-group action-group-name remark comment

用于匹配TCP的标志位。它们分别是：确认标志、结束标志、立即发送标志、复位标志、同步标志、紧急标志。

指定规则生效的时间域

【配置模式】全局配置模式

【缺省情况】没有配置任何访问表和规则。

no格式是删掉某个访问表，包含它里面的所有规则。 no access-list access-list-number

ACL中支持的TCP/UDP知名端口见下表。

协议

端口名称

意义及实际值

???

TCP

bgp chargen daytime discard domain echo exec finger ftp ftp-data gopher hostname ident irc klogin kshell login lpd nntp pim-auto-rp pop2 pop3 smtp sunrpc syslog tacacs talk telnet time uucp whois www

UDP

bootpc

Border Gateway Protocol (179) Character generator (19) Daytime (13) Discard (9)

Domain Name Service (53) Echo (7) Exec (rsh, 512) Finger (79)

File Transfer Protocol (21) FTP data connections (20) Gopher (70)

NIC hostname server (101) Ident Protocol (113) Internet Relay Chat (194) Kerberos login (543) Kerberos shell (544) Login (rlogin, 513) Printer service (515)

Network News Transport Protocol (119) PIM Auto-RP (496) Post Office Protocol v2 (109) Post Office Protocol v3 (110) Simple Mail Transport Protocol (25) Sun Remote Procedure Call (111) Syslog (514)

TAC Access Control System (49) Talk (517) Telnet (23) Time (37)

Unix-to-Unix Copy Program (540) Nicname (43)

World Wide Web (HTTP, 80)

Bootstrap Protocol (BOOTP) client (68)

???

bootps discard dnsix domain echo isakmp mobile-ip nameserver netbios-dgm netbios-ns netbios-ss non500-isakmp ntp pim-auto-rp rip snmp snmptrap sunrpc syslog tacacs talk tftp time xdmcp

? ipv6 access-list extended

定义一个IPv6扩展访问表，可以用数字命名，也可以是用户自定义名称，该命令将进入IPv6扩展访问表配置模式。

Ipv6 access-list extended { access-list-number | access-list-name }

Bootstrap Protocol (BOOTP) server (67) Discard (9)

DNSIX security protocol auditing (195) Domain Name Service (DNS, 53) Echo (7)

Internet Security Association and Key Management Protocol (500)

Mobile IP registration (434) IEN116 name service (obsolete, 42) NetBios datagram service (138) NetBios name service (137) NetBios session service (139)

Internet Security Association and Key Management Protocol (4500)

Network Time Protocol (123) PIM Auto-RP (496)

Routing Information Protocol (router, in.routed, 520) Simple Network Management Protocol (161) SNMP Traps (162)

Sun Remote Procedure Call (111) System Logger (514)

TAC Access Control System (49) Talk (517)

Trivial File Transfer Protocol (69) Time (37)

X Display Manager Control Protocol (177)

???

语法

access-list-number access-list-name

【配置模式】全局配置模式

【缺省情况】没有配置任何访问表和规则。

no格式是删掉某个访问表，包含它里面的所有规则。

no ipv6 access-list extended { access-list-number | access-list-name } ? permit | deny

配置一条permit或deny的IPv6扩展访问表规则。

[sequence] { permit | deny } protocol { any | source source-wildcard | host source } [operator source-port [source-port-wildcard]] { any | destination destination-wildcard | host destination } [operator destination-port [destination-port-wildcard]] [precedence precedence] [tos tos] [dscp dscp] [time-range time-range-name] [egr-action-group action-group-name] [l3-action-group action-group-name]

语法

sequence permit deny protocol

规则序号

如果条件匹配，就允许访问。如果条件匹配，就拒绝访问。匹配的协议。可以配置以下值之一： <0-255> 指定协议号的数值 Ipv6 指定所有的IPV6协议 tcp 指定传输控制协议(TCP) udp 指定用户数据报协议(UDP) ahp 指定AHP协议 esp 指定ESP协议 pcp 指定PCP协议 Icmp 指定ICMP6协议 sctp 指定SCTP协议

any

任意IPv6地址

描述描述

IP扩展访问表的编号，范围<7001-8000>。

IP扩展访问表的名称，1～31个字符，区分大小写。

???

本文来源：https://www.bwwdw.com/article/7dx3.html

相关文章：