华为ACL配置教程

来源：尔游网

华为ACL配置教程

一、ACL基本配置

1、ACL规则生效时间段配置（需要先配置设备的时间，建议用ntp同步时间）

某些引用ACL的业务或功能需要在一定的时间范围内生效，比如，在流量高峰期时启动设备的QoS功能。用户可以为ACL创建生效时间段，通过在规则中引用时间段信息ACL生效的时间范围，从而达到该业务或功能在一定的时间范围内生效的目的。 [Huawei]time-range test ? ? Starting time

? from???? The beginning point of the time range [Huawei]time-range test 8:00

? to? The ending point of periodic time-range [Huawei]time-range test 8:00 t?????? [Huawei]time-range test 8:00 to ? ? Ending Time

[Huawei]time-range test 8:00 to 18:05

? <0-6>??????? Day of the week(0 is Sunday) ? Fri????????? Friday?? #星期五 ? Mon????????? Monday #星期一 ? Sat????????? Saturday #星期六 ? Sun????????? Sunday #星期天 ? Thu????????? Thursday #?星期四 ? Tue????????? Tuesday #?星期二 ? Wed????????? Wednesday #星期三

? daily??????? Every day of the week? #?每天

? off-day????? Saturday and Sunday #?星期六和星期日 ? working-day? Monday to Friday #工作日每一天

[Huawei]time-range test from 8:00 2016/1/17 to 18:00 2016/11/17

使用同一time-name可以配置多条不同的时间段，以达到这样的效果：各周期时间段之间以及各绝对时间段之间分别取并集之后，再取二者的交集作为最终生效的时间范围。

例如，时间段“test”配置了三个生效时段：

从2016年1月1日00:00起到2016年12月31日23:59生效，这是一个绝对时间段。

在周一到周五每天8:00到18:00生效，这是一个周期时间段。在周六、周日下午14:00到18:00生效，这是一个周期时间段。

则时间段“test”最终描述的时间范围为：2016年的周一到周五每天8:00到18:00以及周六和周日下午14:00到18:00。

由于网络延迟等原因，可能造成网络上设备时间不同步，建议配置NTP（Network Time Protocol），以保证网络上时间的一致。

2、ACL类型配置

2.1、数字型acl配置

[Huawei]acl 2000 match-order

? auto??? Auto order #自动顺序（默认） ? config? Config order 或

[Huawei]acl number 2000 match-order ? auto??? Auto order ? config? Config order 2.2、命名型acl配置 [Huawei]acl name test

? advance????? Specify an advanced named ACL #?设置高级acl ? basic??????? Specify a basic named ACL ? match-order? Set ACL's match order

? number?????? Specify a number for the named ACL ? ????????

[Huawei]acl name test ad??????? [Huawei]acl name test advance

? match-order? Set ACL's match order

? number?????? Specify a number for the named ACL ? ??

[Huawei]acl name test number

? INTEGER<2000-2999>??? Number of the basic named ACL ? INTEGER<42768-75535>? Number of the advanced named ACL 2.3、ACL类型配置 [Huawei]acl ? INTEGER<1000-1999>??? Interface access-list(add to current using rules) #?接口访问列表acl

? INTEGER<10000-10999>? Apply MPLS ACL? #?应用MPLS ACL

? INTEGER<2000-2999>??? Basic access-list (add to current using rules) #?基本acl ? INTEGER<3000-3999>??? Advanced access-list(add to current using rules) #?高级acl

? INTEGER<4000-4999>??? MAC address access-list(add to current using rules) #?二层acl

? ipv6????????????????? ACL IPv6? #?基本acl6和高级acl6配置 ? name????????????????? Specify a named ACL ? number??????????????? Specify a numbered ACL 2.4、ACL描述设置（可选）

[Huawei-acl-basic-2600]description ???????????? TEXT

2.5、ACL步长设置（可选） [Huawei-acl-basic-test]step

? INTEGER<1-20>? Specify value of step

二、ACL类型规则配置

1、基本ACL规则配置

基本ACL编号acl-number的范围是2000～2999。基本ACL可以根据报文自身的源IP地址、分片标记和时间段信息对IPv4报文进行分类。

[Huawei-acl-basic-test]rule 1

? deny??? Specify matched packet deny ? permit? Specify matched packet permit ?[Huawei-acl-basic-test]rule 1 deny

? fragment-type? Specify the fragment type of packet #?分组片段类型 ? source???????? Specify source address ? time-range???? Specify a special time ? -instance?? Specify a VPN-Instance ? ??????????

?[Huawei-acl-basic-test]rule 1 deny source ?? Address of source ? any????? Any source ? 0???????

?? Wildcard of source

? fragment-type? Specify the fragment type of packet #?对分组片段类型有效

? time-range???? Specify a special time #?引用生效时间 ? -instance?? Specify a VPN-Instance #?用于 ? ?

[Huawei-acl-basic-2600]description #配置规则描述

?????????????????? TEXT? ACL description (no more than 127 characters)

在ACL中配置首条规则时，如果未指定参数rule-id，设备使用步长值作为规则的起始编号。后续配置规则如仍未指定参数rule-id，设备则使用最后一个规则的rule-id的下一个步长的整数倍数值作为规则编号。

例如ACL中包含规则rule 5和rule 7，ACL的步长为5，则系统分配给新配置的未指定rule-id的规则的编号为10。

当用户指定参数time-range引入ACL规则生效时间段时，如果time-name不存在，该规则将无法绑定该生效时间段。

如果不指定参数-instance -instance-name，设备会对公网和私网的报文均进行匹配。

设备在收到报文时，会按照匹配顺序将报文与ACL规则进行逐条匹配，一旦匹配上规则组内的某条规则，则停止匹配动作。之后，设备将依据匹配的规则对报文执行相应的动作。 2、高级ACL规则配置

高级ACL编号acl-number的范围是3000～3999。高级acl主要对源/目的IP地址、端口号、优先级、时间段等报文进行过滤。 [Huawei-acl-adv-3000]rule 1 permit ? <1-255>? Protocol number

? gre????? GRE tunneling(47)

? icmp???? Internet Control Message Protocol(1) ? igmp???? Internet Group Management Protocol(2) ? ip?????? Any IP protocol

? ipinip?? IP in IP tunneling(4) ? ospf???? OSPF routing protocol()

? tcp????? Transmission Control Protocol (6) ? udp????? User Datagram Protocol (17) ?[Huawei-acl-adv-3000]rule 1 permit udp

? destination?????? Specify destination address ? destination-port? Specify destination port ? dscp????????????? Specify dscp

? fragment-type???? Specify the fragment type of packet ? precedence??????? Specify precedence ? source????????? ??Specify source address ? source-port?????? Specify source port ? time-range??????? Specify a special time ? tos?????????????? Specify tos

? -instance????? Specify a VPN-Instance ? ?????????????

?[Huawei-acl-adv-3000]rule 1 permit udp source ?? Address of source ? any????? Any source

?[Huawei-acl-adv-3000]rule 1 permit udp source any ? destination?????? Specify destination address ? destination-port? Specify destination port ? dscp????????????? Specify dscp

? fragment-type???? Specify the fragment type of packet ? precedence??????? Specify precedence ? source-port?????? Specify source port ? time-range??????? Specify a special time ? tos?????????????? Specify tos

? -instance????? Specify a VPN-Instance ? ?????????????

[Huawei-acl-adv-3000]rule 1 permit udp source any des??????? [Huawei-acl-adv-3000]rule 1 permit udp source any destination ?? Specify destination address

? any????? Any destination IP address ? 0???????

?? Wildcard of destination

? destination-port? Specify destination port ? dscp????????????? Specify dscp

? fragment-type???? Specify the fragment type of packet ? precedence??????? Specify precedence

? source-port?????? Specify source port ? time-range??????? Specify a special time ? tos?????????????? Specify tos

? -instance????? Specify a VPN-Instance ? ?????????????

? eq???? Equal to given port number

? gt???? Greater than given port number ? lt???? Less than given port number

? neq??? Not equal to given port number? #?不等于指定端口 ? range? Between two port numbers ??eq

? <0-65535>??? Protocol number ? biff???????? Mail notify (512)

? bootpc?????? Bootstrap Protocol Client (68) ? bootps?????? Bootstrap Protocol Server (67) ? discard????? Discard (9)

? dns????????? Domain Name Service (53)

? dnsix??????? DNSIX Security Attribute Token Map (90) ? echo???????? Echo (7)

? mobilip-ag?? MobileIP-Agent (434) ? mobilip-mn?? MobilIP-MN (435)

? nameserver?? Host Name Server (42)

? netbios-dgm? NETBIOS Datagram Service (138) ? netbios-ns?? NETBIOS Name Service (137) ? netbios-ssn? NETBIOS Session Service (139) ? ntp????????? Network Time Protocol (123)

? rip????????? Routing Information Protocol (520) ? snmp???????? SNMP (161) ? snmptrap???? SNMPTRAP (162)

? sunrpc?????? SUN Remote Procedure Call (111) ? syslog?????? Syslog (514)

? tacacs-ds??? TACACS-Database Service (65) ? talk???????? Talk (517)

? tftp???????? Trivial File Transfer (69) ? time???????? Time (37) ? who????????? Who(513)

? xdmcp??????? X Display Manager Control Protocol (177) ? 21

? dscp???? ??????Specify dscp

? fragment-type? Specify the fragment type of packet ? precedence???? Specify precedence ? source-port??? Specify source port ? time-range???? Specify a special time ? tos??????????? Specify tos

? -instance?? Specify a VPN-Instance ? ?? 高级acl可以匹配的功能有： 2.1、高级acl常用协议数值对照表协议类型数值 ICMP 1 IGMP 2 IPinIP 4 TCP 6 UDP 17 GRE 47 IP OSPF 2.2、高级acl常用功能说明参数说明 deny 拒绝符合条件的报文 permit 允许符合条件的报文 source{sour-addr sour-addr sour-wildcard:源ip地址??源通sour-wildcard|any} 配符掩码 any：任意源IP地址 destination{dest-addr dest-addr dest-wildcaard：目的IP地址及dest-wildcaard|any 通配符掩码 any：任意目的IP地址 icmp-type{icmp-name|icmp-type 指定acl规则匹配报文的icmp报文的类型和icmp-code} 消息码信息，仅在报文协议是ICMP的情况下有效 precedence 指定acl匹配报文时依据优先级字段进行过滤。与tos?参数一起共同构成DSCP组成的二选一参数。 tos 指定acl匹配报文时依据服务类型字段进行过滤。与precedence参数一起共同构成DSCP组成的二选一参数。 dscp 指定acl匹配报文时区分服务代码点，依据IP包中的DSCP优先级字段进行过滤。 tcp-flag 指定acl规则匹配TCP报文中的SYN标志的类型 time-range 指定acl规则生效时间段 destination-port{eq prot|gt 指定acl规则匹配报文的UDP或TCP的目的端port|lt port|rage port-start 口，仅在报文协议是UDP或TCP时生效。端口port end} 号可用名称或数字表示 eq port :指定等于目的端口 gt port:指定大于目的端口 lt port :指定小于目的端口 range port-start port-end:指定目的端口范围?start?为起始端口?end为结束端口 soure-port{eq prot|gt port|lt 指定acl规则匹配报文的UDP或TCP的源端口，port|rage port-start port end} 仅在报文协议是UDP或TCP时生效。 loging 指定acl匹配的报文信息进行日志记录 fragmen 指定acl规则是否仅对非首片分片报文有效，当包含此参数时仅对非首片分片报文有效。但此参数不能同时与source-port、destination-port、icmp-type、tcp-flag参数同时配置。 ttl-expired 指定acl是否依据数据报文中的ttl值是否为1进行过滤。启用此命令表示过滤。5700SI及以下版本不支持。 ? 9090通信 [Huawei-acl-adv-3002]rule deny ? 3、二层ACL规则配置二层ACL编号acl-number的范围是4000～4999。二层acl对源/目的MAC、802.1p优先级、二层协议等二层信息进行过滤。 [Huawei-acl-L2-4000]rule 1 ? deny???????? Specify matched packet deny ? description? Specify rule description ? permit?????? Specify matched packet permit [Huawei-acl-L2-4000]rule 1 deny source-mac 1111-1111-1111 ? 802.3??????????? 802.3 format ? 8021p??????????? Vlan priority ? H-H-H??????????? Source MAC address mask, default is ffff-ffff-ffff ? cvlan-8021p????? Vlan priority of inner vlan ? cvlan-id???????? Inner vlan id ? destination-mac? Destination-mac ? double-tag?????? Double tag ? ether-ii???????? Ethernet II format ? l2-protocol????? Layer 2 protocol ? snap???????????? Snap format ? time-range?????? Specify a special time ? vlan-id????????? Vlan id ? ???????????? [Huawei-acl-L2-4000]rule 1 deny source-mac 1111-1111-1111 destination-mac ? H-H-H? Destination MAC address value [Huawei-acl-L2-4000]rule 1 deny source-mac 1111-1111-1111 destination-mac 2222-2222-2222 ? 802.3??????? 802.3 format ? 8021p??????? Vlan priority ? H-H-H??????? Destination MAC address mask, default is ffff-ffff-ffff ? cvlan-8021p? Vlan priority of inner vlan ? cvlan-id???? Inner vlan id ? double-tag?? Double tag ? ether-ii???? Ethernet II format ? l2-protocol? Layer 2 protocol ? snap???????? Snap format ? time-range?? Specify a special time ? vlan-id????? Vlan id ? ???????? 二层acl支持的常用功能二层acl支持的常用功能参数说明 802.3 指定acl规则匹配报文的外层??8021p??????????? vlan的8021p优先级指定acl规则匹配报文的内层??cvlan-8021p????? vlan的8021p优先级指定acl规则匹配报文的内层vlan ID ??cvlan-id??cvlan-id[cvlan-id-mask]?????? cvlan-id-mask：指定内层ID值的掩码十六进制指定acl规则匹??destination-mac? 配报文的目的mac地址信息指定acl匹配报??double-tag?????? 文时匹配带双层tag的报文指定acl规则匹??ether-ii???????? 配报文的帧封装格式指定acl规则匹??l2-protocol????? 配报文的链路层协议类型 ??snap???????????? ??source-mac?????? ??time-range?????? ??vlan-id 指定acl规则匹配报文的源mac地址信息指定acl规则匹配报文的内层vlan ID 4、用户自定义ACL规则配置用户自定义ACL编号acl-number的范围是5000～5999。用户自定义acl（简称ucl），可以根据用户自定义的规则对数据报文做出相应的处理。用户自定义ACL支持的常用功能有用户自定义ACL支持的常用功能参数 STRING<3-10>? ??ipv4-head???? ??ipv6-head???? ??l2-head?????? ??l4-head?????? ??time-range?? 说明指定从ipv4头部开始偏移从ipv6头部开始偏移从报文的二层头部开始偏移从四层协议头部开始偏移 [Huawei-acl-user-5000]rule 1 deny ? STRING<3-10>? Rule string, the string must be hexadecimal and start with '0x' ? ipv4-head???? Offset from IP(v4) head ? ipv6-head???? Offset from IP(v6) head ? l2-head?????? Offset from l2 head ? l4-head?????? Offset from L4 head ? time-range??? Specify a special time ? ?? 5、用户ACL规则配置用户ACL编号acl-number的范围是6000～6999。使用IPv4报文的源IP地址或源UCL（User Control List）组、目的地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。具体配置及参数同前。 6、基本ACL6规则配置 [Huawei]acl ipv6 ? INTEGER<2000-2999>? Specify a basic ACL6 ? INTEGER<3000-3999>? Specify an advanced ACL6 ? name??????????????? Specify a named ACL6 ? number????????????? Specify a numbered ACL6 [Huawei-acl6-basic-2000]rule 1

? deny???????? Specify matched packet deny ? description? Specify rule description

? permit???? ??Specify matched packet permit [Huawei-acl6-basic-2000]rule 1 deny ? fragment??? Check fragment packet ? logging???? Log matched packet ? source????? Specify source address ? time-range? Specify a special time ? ???????

[Huawei-acl6-basic-2000]rule 1 deny source ? X:X::X:X??? IPv6 address

? X:X::X:X/M? IPv6 source address with prefix ? any???????? Any source IPv6 address

[Huawei-acl6-basic-2000]rule 1 deny source any ? fragment??? Check fragment packet ? logging???? Log matched packet ? time-range? Specify a special time ? ?

7、高级ACL6规则配置 [Huawei]acl ipv6 3000

[Huawei-acl6-adv-3000]rule 1

? deny???????? Specify matched packet deny ? description? Specify rule description

? permit?????? Specify matched packet permit [Huawei-acl6-adv-3000]rule 1

? deny???????? Specify matched packet deny ? description? Specify rule description

? permit?????? Specify matched packet permit [Huawei-acl6-adv-3000]rule 1 deny ? <1-255>? Protocol number ? gre????? GRE tunneling(47)

? icmpv6?? Internet Control Message Protocol6(58) ? ipv6???? Any IPV6 protocol

? ospf???? OSPF routing protocol()

? tcp????? Transmission Control Protocol(6) ? udp????? User Datagram Protocol(17)

ACL6相关知识将在后面的IPV6专题详细讲解，敬请关注重庆网管博客。 8、ACL资源告警阈值百分比设置 [Huawei]?acl

threshold-alarm?{?upper-limit?upper-limit?|?lower-limit?lower-limit?}*

设备运行应用ACL的业务后会占用一部分ACL资源，此时可以配置ACL资源的告警阈值百分比。

当ACL资源的使用率（即设备上实际存在的ACL表项占设备支持的最大ACL表项总数的比例）等于或高于上限告警阈值百分比时，设备将会发出超限告警。之后，如果该比例又等于或小于下限告警阈值百分比，设备会再次发出告警，表明之前的超限告警情况已经恢复正常。 9、扩展ACL表项空间资源模式设置

display resource-assign configuration # 查看接口板扩展表项空间资源的配置信息。

[Huawei]?assign resource-mode?mode-id?slot?slot-id

# 配置接口板扩展表项空间资源的分配模式，用来静态分配MAC、ACL和FIB表项的底层空间大小。

[Huawei]?assign acl-mode?mode-id?slot?slot-id # 配置接口板ACL规格的资源分配模式。

缺省情况下，扩展表项空间寄存器的资源模式为1，仅扩展MAC表项。与ACL表项相关的分配模式包括：

1、MACACL：表示同时扩展MAC表项和二层ACL表项。

2、IPV4ACL：表示同时扩展IPV4的IP表项和IPV4的三层ACL表项。 3、IPV6ACL：表示同时扩展IPV6的IP表项和IPV6的三层ACL表项。 4、IPV4NAC：表示同时扩展IPV4的三层ACL表项和NAC特性专用的ACL表项。

5、L2 ACL：表示扩展二层ACL表项。

配置接口板扩展表项空间资源的分配模式后，需要重启接口板才能生效。当设备处于核心层时，承载的业务量很大，自身的MAC、FIB、ACL表项也会相应增加，但是设备的表项空间有限，当设备的表项空间满足不了设备的业务要求时，会降低业务的运行效率。

设备接口板提供扩展表项空间寄存器，通过配置扩展表项空间资源的分配模式，可以选择性扩大MAC、ACL和FIB表项的底层空间大小。

三、ACL应用配置

1、Telnent中应用ACL配置 [Huawei]tlnet server acl ??INTEGER<2000-2999>? 或

[Huawei-ui-vty0-4]acl

??INTEGER<2000-3999>??Apply basic or advanced ACL ??ipv6????????????????Filter IPv6 addresses [Huawei-ui-vty0-4]acl 2000

??inbound???Filter login connections from the current user interface ??outbound??Filter logout connections from the current user interface 2、http中应用acl配置 [Huawei]http acl

??INTEGER<2000-2999>?

3、SNMP（v1、v2）中应用ACL配置

[Huawei]snmp-agent community write 1 acl ??INTEGER<2000-2999>??Apply basic ACL 或

[Huawei]snmp-agent acl 4、FTP中应用acl配置 [Huawei]ftp acl

??INTEGER<2000-2999>??Apply basic ACL 5、TFTP中应用ACL配置 [Huawei]tftp-server acl

??INTEGER<2000-2999>??Apply basic ACL 6、SFTP中应用ACL配置 [Huawei]ssh server acl 或

[Huawei-ui-vty0-4]acl

??INTEGER<2000-3999>??Apply basic or advanced ACL ??ipv6????????????????Filter IPv6 addresses [Huawei-ui-vty0-4]acl 2000

??inbound???Filter login connections from the current user interface ??outbound??Filter logout connections from the current user interface

7、其他方式中应用ACL配置表（转自华为官方论坛）业务模块流策略 ACL应用方式、??系统视图下执行命令traffic classifier?classifier-name?[?operator?{?and?|?or?} ] [?precedenceprecedence-value?]，进入流分类视图。 b、执行命令if-match acl?{?acl-number?|?acl-name?}，配置ACL应用于流分类。 c、?系统视图下执行命令traffic behavior?behavior–name，定义流行为并进入流行为视图。 d、配置流动作。报文过滤有两种流动作：deny或permit。 e、?系统视图下执行命令traffic policy?policy-name?[match-order?{?auto?|?config?} ]，定义流策略并进入流策略视图。 f、?执行命令classifier?classifier-name?behaviorbehavior-name，在流策略中为指定的流分类配置所需流行为，即绑定流分类和流行为。在系统视图、接口视图或VLAN视图下，执行命令traffic-policy?policy-name?{?inbound?|?outbound?}，应用流策略。 NAT 方式一：、???系统视图下执行命令nat address-group?group-index?start-address?end-address，配置公网地址池。、???执行命令interface?interface-type?interface-number.subnumber，进入子接口视图。、???执行命令nat outbound?acl-number?address-groupgroup-index?[?no-pat?]，，配置带地址池的NAT Outbound。方式二：、???系统视图下执行命令interface?interface-typeinterface-number.subnumber，进入子接口视图。、???执行命令nat outbound?acl-number，配置Easy IP。 IPSEC 方式一：、???系统视图下执行命令ipsec policy?policy-name?seq-number?manual，创建手工方式安全策略，并进入手工方式安全策略视图。、???执行命令security acl?acl-number，在安全策略中引用ACL。方式二：、???系统视图下执行命令ipsec policy?policy-name?seq-number?isakmp，创建IKE动态协商方式安全策略，并进入IKE动态协商方式安全策略视图。 3000～3999 2000～3999 可使用的ACL编号范围 ACL：2000～5999 ACL6：2000～3999 、???执行命令security acl?acl-number，在安全策略中引用ACL。方式三：、???系统视图下执行命令ipsec policy-templatetemplate-name?seq-number，创建策略模板，并进入策略模板视图。、???执行命令security acl?acl-number，在安全策略中引用ACL。、???系统视图下执行命令ipsec policy?policy-name?seq-number?isakmp?template?template-name，在安全策略中引用策略模板。本机防攻白名单击策略、???系统视图下执行命令cpu-defend policy?policy-name，创建防攻击策略并进入防攻击策略视图。、???执行命令whitelist?whitelist-id?acl?acl-number，创建自定义白名单。、???系统视图下执行命令cpu-defend-policy?policy-name[?global?]，或槽位视图下执行命令cpu-defend-policypolicy-name，应用防攻击策略。黑名单、???系统视图下执行命令cpu-defend policy?policy-name，创建防攻击策略并进入防攻击策略视图。、???执行命令blacklist?blacklist-id?acl?acl-number，创建黑名单。、???系统视图下执行命令cpu-defend-policy?policy-name[?global?]，或槽位视图下执行命令cpu-defend-policypolicy-name，应用防攻击策略。用户自定义流、??? 系统视图下执行命令cpu-defend policy?policy-name，创建防攻击策略并进入防攻击策略视图。、???执行命令user-defined-flow?flow-id?acl?acl-number，配置用户自定义流。、???系统视图下执行命令cpu-defend-policy?policy-name[?global?]，或槽位视图下执行命令cpu-defend-policypolicy-name，应用防攻击策略。路由 Route Policy、??? 系统视图下执行命令route-policy?route-policy-name{?permit?|?deny?}?node?node，创建Route-Policy，并进入Route-Policy视图。、???执行命令if-match acl?{?acl-number?|?acl-name?}，配置基于ACL的匹配规则；或者配置apply子句为路由策略指定动作，如执行命令apply cost?[?+?|?-?]?cost，设置路由的开销值等。、???应用路由策略。路由协议不同，命令行不同。例如针对OSPF协议，可以在OSPF视图下，执行命令import-route?{?limit?limit-number?| {?bgp?[?permit-ibgp?] |?direct?|?unr?|?rip?[?process-id-rip?] 2000～2999 2000～4999 2000～4999 2000～4999 |?static?|isis?[?process-id-isis?] |?ospf?[?process-id-ospf?] } [cost?cost?|?type?type?|?tag?tag?|?route-policy?route-policy-name?]?}，引入其他路由协议学习到的路由信息；针对RIP协议，可以在RIP视图下，执行命令import-route?{ {?static?|?direct?|?unr?} | { {?rip?|?ospf?|isis?} *[?process-id?] } } [?cost?cost?|?route-policyroute-policy-name?]?。 Filter Policy 路由协议不同，过滤方向不同，命令行不同。例如针对RIP协议，对引入的路由进行过滤，可以在RIP视图下执行命令filter-policy?{?acl-number?|?acl-name?acl-name?|?ip-prefix?ip-prefix-name?[?gateway?ip-prefix-name?] }import?[?interface-type?interface-number?]；对发布的路由进行过滤，可以在RIP视图下执行命令filter-policy?{acl-number?|?acl-name?acl-name?|?ip-prefix?ip-prefix-name?}?export?[?protocol?[?process-id?] |?interface-typeinterface-number?]?。组播 igmp-snoopinVLAN视图下执行命令igmp-snooping ssm-policy?basic-acl-number g ssm-policy igmp-snoopinVLAN视图下执行命令igmp-snooping group-policy?acl-number?[?version?version-number?] [?default-permit?] g group-policy 2000～3999 2000～2999 2000～2999 *四、基于简化流策略ACL配置

基于ACL的简化流策略是指通过将报文信息与ACL规则进行匹配，为符合相同ACL规则的报文提供相同的QoS服务，实现对不同类型业务的差分服务。

当用户希望对进入网络的流量进行控制时，可以配置ACL规则根据报文的源IP地址、分片标记、目的IP地址、源端口号、源MAC地址等信息对报文进行匹配，进而配置基于ACL的简化流策略实现对匹配ACL规则的报文过滤、流量监管、流镜像、重定向、重标记或流量统计。

与流策略相比，基于ACL的简化流策略不需要单独创建流分类、流行为或流策略，配置更为简洁；但是由于仅基于ACL规则对报文进行匹配，因此匹配规则没有流策略丰富。

基于ACL的简化流策略配置时要注意:

同一接口、VLAN或全局下配置多条简化流策略，如果其中一条简化流策略引用的ACL规则发生变化，会导致此视图所有简化流策略短暂失效。

如果配置traffic-redirect命令将流量重定向到接口时，建议ACL规则匹配二层流量。

1、基于ACL的报文过滤配置

通过配置基于ACL的报文过滤，对匹配ACL规则报文进行禁止/允许动作，进而实现对网络流量的控制。

可以根据以下原则选用traffic-filter或traffic-secure命令配置报文过滤：

如果traffic-filter或traffic-secure关联的ACL没有同时被其他基于ACL的简化流策略所关联（即两个简化流策略关联的不是同一个acl），且报文不会同时匹配报文过滤和其他简化流策略关联的ACL规则时，traffic-filter和traffic-secure可以任选其一。

如果traffic-filter或traffic-secure关联的ACL同时被其他基于ACL的简化流策略所关联，或者报文同时匹配了报文过滤和其他简化流策略关联的ACL时，traffic-filter和traffic-secure的区别如下：

当traffic-secure和其他基于ACL的简化流策略同时配置，且ACL规则中的动作为Deny时，仅traffic-secure、traffic-mirror（流量镜像）和

traffic-statistics（流量统计）命令生效（即traffic-secure?等命令配置的应用不生效），报文被过滤。

当traffic-secure和其他基于ACL的简化流策略同时配置，且ACL规则中的动作为Permit时，traffic-secure命令和其他基于ACL的简化流策略均生效。

当traffic-filter和其他基于ACL的简化流策略同时配置，且ACL规则中的动作为Deny时，仅traffic-filter、traffic-mirror和traffic-statistics命令生效，报文被过滤。

当traffic-filter和其他基于ACL的简化流策略同时配置，且ACL规则中的动作为Permit时，先配置的简化流策略生效。具体配置

1.1、在全局或VLAN上配置基于简化流策略ACL报文过滤 [Huawei]traffic-filter

? inbound?? Apply the acl on inbound packets ? outbound? Apply the acl on outbound packets ? vlan????? Virtual LAN

?[Huawei]traffic-filter vlan ? INTEGER<1-4094>? VLAN ID [Huawei]traffic-filter vlan 2

? inbound?? Apply the acl on inbound packets ? outbound ?Apply the acl on outbound packets [Huawei]traffic-filter vlan 2 outbound ? acl? Specify ACL to match

?[Huawei]traffic-filter vlan 2 outbound acl ? INTEGER<2000-2999>? Basic access-list ? INTEGER<3000-3999>? Advanced access-list ? INTEGER<4000-4999>? L2 access-list ? ipv6??????????????? Specify IPv6

? name??????????????? Specify a named ACL

[Huawei]traffic-filter vlan 2 outbound acl 3000 ? rule? Specify the ID of acl rule ? ?

?[Huawei]traffic-filter vlan 2 outbound acl 3000 rule ?? ID of acl rule 或

[Huawei]traffic-secure?[?vlan?vlan-id?]?inbound?acl?{?bas-acl?|?adv-acl?|?l2–acl?|?name?acl-name?} [?rule?rule-id?] 1.2、在接口上配置基于简化流策略ACL报文过滤 [Huawei-GigabitEthernet0/0/2]traffic-filter ? inbound?? Apply the acl on inbound packets ? outbound? Apply the acl on outbound packets

?[Huawei-GigabitEthernet0/0/2]traffic-filter outbound ? acl? Specify ACL to match

?[Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl ? INTEGER<2000-2999>? Basic access-list ? INTEGER<3000-3999>? Advanced access-list ? INTEGER<4000-4999>? L2 access-list ? ipv6??????????????? Specify IPv6

? name??????????????? Specify a named ACL

[Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl 3000 ? rule? Specify the ID of acl rule ? ?

[Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl 3000 rule ?? ID of acl rule 或

[Huawei-GigabitEthernet0/0/2]traffic-secure?inbound?acl?{?bas-acl?|?adv-acl?|?l2–acl?|?name?acl-name?} [?rule?rule-id?]

基于ACL报文过滤traffic-filter和traffic-secure?命令参数说明参数说明 vlan?vlan-id inbound 在入方向应用报文过滤 outbound 在出方向应用报文过滤 bas-acl 基本acl adv-acl 高级acl l2-acl 二层acl user-acl 用户acl vlan 可选，在特定vlan上应用基于acl的报文过滤 acl 基于ipv4 acl对报文过滤 ipv6 基于ipv6 acl对报文进行过滤 name 采用基于命名型acl进行报文过滤 rule 基于acl中特定规则进行报文过滤 2、基于ACL的流量监管配置通过配置基于ACL的流量监管，对匹配ACL规则的报文进行限速。 2.1、在全局或VLAN上配置基于简化流策略ACL流量监管 [Huawei]traffic-limit ? inbound?? Apply the acl on inbound packets ? outbound? Apply the acl on outbound packets ? vlan????? Virtual LAN [Huawei]traffic-limit vlan 3 ? inbound?? Apply the acl on inbound packets ? outbound? Apply the acl on outbound packets [Huawei]traffic-limit vlan 3 outbound ? acl? Specify ACL to match [Huawei]traffic-limit vlan 3 outbound acl ? INTEGER<2000-2999>? Basic access-list ? INTEGER<3000-3999>? Advanced access-list ? INTEGER<4000-4999>? L2 access-list ? ipv6??????????????? Specify IPv6 ? name??????????????? Specify a named ACL [Huawei]traffic-limit vlan 3 outbound acl 2000 ? cir? ?Committed information rate ? rule? Specify the ID of acl rule [Huawei]traffic-limit vlan 3 outbound acl 2000 cir ?? Value of CIR (Unit: Kbps) [Huawei]traffic-limit vlan 3 outbound acl 2000 cir 10240 ? cbs???? Committed burst size ? green?? Specify behavior conducted when rate no higher than CIR ? pir???? Peak information rate ? red???? Specify behavior conducted when rate higher than PIR ? yellow? Specify behavior conducted when rate higher than CIR, no higher than ????????? PIR ??? 2.2、在接口上配置基于简化流策略ACL流量监管命令与在全局或VLAN上配置基于简化流策略ACL流量监管类似，只是需要在接口视图下配置。基于ACL的流量监管配置主要参数说明参数说明 vlan inbound outbound ……… 同上面基于acl的报文过滤参数 cir cir-value 承诺信息速率，即保证能够通过的评价速率 pir 峰值信息速率，即能够通过的最大速率承诺突发尺寸，即瞬间能够通过的承若突发cbs 流量峰值突发尺寸，即瞬间能够通过的峰值突发pbs 流量 gree 对绿色报文进行监管，默认允许通过 yellow 对黄色报文进行监管，默认允许通过 red 对红色报文进行监管，默认被丢弃 remark?8021P-value 指定重标记报文的8021P优先级 remark?dscp-value 指定重标记报文DSCP优先级 drop 指定丢弃报文 pass 指定允许报文通过 3、基于ACL报文的重定向配置通过配置基于ACL的重定向，将匹配ACL规则的报文重定向到CPU、指定接口或指定下一跳地址。 3.1、在全局或VLAN上配置基于ACL重定向 [Huawei]traffic-redirect ??inbound??Apply the acl on inbound packets ??vlan?????Virtual LAN [Huawei]traffic-redirect vlan ??INTEGER<1-4094>??VLAN ID [Huawei]traffic-redirect vlan 5 ??inbound??Apply the acl on inbound packets [Huawei]traffic-redirect vlan 5 inbound ??acl??Specify ACL to match [Huawei]traffic-redirect vlan 5 inbound acl ??INTEGER<2000-2999>??Basic access-list ??INTEGER<3000-3999>??Advanced access-list ??INTEGER<4000-4999>??L2 access-list ??INTEGER<5000-5999>??User-defined access-list ??ipv6????????????????Specify IPv6 ??name????????????????Specify a named ACL [Huawei]traffic-redirect vlan 5 inbound acl 3000 ??cpu???????????Redirect to CPU ??interface?????Specify the interface ??ip-nexthop????Specify the nexthop IP ??ipv6-nexthop??Specify the nexthop IPv6 ??rule??????????Specify the ID of acl rule 3.2、在接口上配置基于ACL重定向配置命令与在全局或VLAN上配置基于ACL重定向类似，不同之处是在接口视图下配置。基于acl报文重定向参数说明参数 vlan …… cpu interface ip-nexthop ipv6-nexthop 说明指定将报文重定向到CPU 指定将报文重定向到接口指定将报文重定向到下一跳ipv4地址指定将报文重定向到下一跳ipv6地址 4、基于ACL报文的重标记配置通过配置基于ACL的重标记，对匹配指定ACL规则的报文，重标记其优先级，如VLAN报文中的802.1p、MAC地址，IP报文中的DSCP等。 4.1、在全局或VLAN上配置基于acl报文重标记 [Huawei]traffic-remark ??inbound???Apply the acl on inbound packets ??outbound??Apply the acl on outbound packets ??vlan??????Virtual LAN [Huawei]traffic-remark outbound ??acl??Specify ACL to match [Huawei]traffic-remark outbound acl ??INTEGER<2000-2999>??Basic access-list ??INTEGER<3000-3999>??Advanced access-list ??INTEGER<4000-4999>??L2 access-list ??ipv6????????????????Specify IPv6 ??name????????????????Specify a named ACL [Huawei]traffic-remark outbound acl 2000 ??8021p?????Remark 802.1p ??cvlan-id??Remark cvlan id ??dscp??????Remark DSCP (DiffServ CodePoint) ??rule??????Specify the ID of acl rule ??vlan-id???Remark vlan id 4.2、在接口上配置基于ACL报文重标记命令与在全局或VLAN上配置基于acl报文重标记类似，不同之处是在接口视图下配置。基于ACL报文重标记配置命令说明参数 vlan …… 8021p cvlan-id destination-mac DSCP local-precedence ip-precednce vlan 说明指定重标记报文的8021P优先级指定重标记QinQ报文中的内层vlan标签指定重标记报文的目的MAC地址指定重标记报文的DSCP的服务类型指定重标记报文的本地优先级指定重标记报文的本地优先级重标记后的vlan编号 5、基于ACL的流量统计配置通过配置基于ACL的流量统计，对匹配指定ACL规则的报文进行流量统计。 5.1、在全局或VLAN上配置基于acl报文流量统计 [Huawei]traffic-statistic ??inbound???Apply the acl on inbound packets ??outbound??Apply the acl on outbound packets ??vlan??????Virtual LAN [Huawei]traffic-statistic inbound ??acl??Specify ACL to match [Huawei]traffic-statistic inbound acl ??INTEGER<2000-2999>??Basic access-list ??INTEGER<3000-3999>??Advanced access-list ??INTEGER<4000-4999>??L2 access-list ??INTEGER<5000-5999>??User-defined access-list ??ipv6????????????????Specify IPv6 ??name????????????????Specify a named ACL [Huawei]traffic-statistic inbound acl 3000 ??by-bytes??Statistics by bytes ??rule??????Specify the ID of acl rule ????? [Huawei]t?raffic-statistic inbound acl 3000 by-bytes ??? [Huawei]traffic-statistic inbound acl 3000 rule ????ID of acl rule [Huawei]traffic-statistic inbound acl 3000 rule 1 ??by-bytes??Statistics by bytes ???? [Huawei]traffic-statistic inbound acl 3000 rule 1 by-bytes ??? 5.2、在接口上配置流量统计配置基于acl报文流量统计配置命令与在全局或VLAN上配置基于acl报文流量统计类似，不同之处在于在接口视图下配置。

基于acl报文流量统计参数说明

参数 vlan …… by-byes

说明

按照字节数量统计。默认按照报文数据（packets）统计

6、基于ACL的流镜像配置通过配置基于ACL的流镜像，将匹配ACL规则的报文镜像到指定接口，以便于对报文进行分析。

6.1、在全局或VLAN上配置基于ACL的流镜像 [Huawei]traffic-mirror

??inbound??Apply the acl on inbound packets ??vlan?????Virtual LAN

[Huawei]traffic-mirror inbound ??acl??Specify ACL to match

[Huawei]traffic-mirror inbound acl

??INTEGER<2000-2999>??Basic access-list ??INTEGER<3000-3999>??Advanced access-list ??INTEGER<4000-4999>??L2 access-list

??INTEGER<5000-5999>??User-defined access-list ??ipv6????????????????Specify IPv6

??name????????????????Specify a named ACL [Huawei]traffic-mirror inbound acl 2000 ??rule??Specify the ID of acl rule ??to????Mirror to

[Huawei]traffic-mirror inbound acl 2000 rule ????ID of acl rule

[Huawei]traffic-mirror inbound acl 2000 rule 2 ??to??Mirror to

[Huawei]traffic-mirror inbound acl 2000 rule 2 to ??observe-port??Observe port

[Huawei]traffic-mirror inbound acl 2000 rule 2 to observe-port ??INTEGER<1-2>??The index of observe port

[Huawei]traffic-mirror inbound acl 2000 rule 2 to observe-port 1 ??

6.2、在接口上配置流镜像配置基于ACL的流镜像

命令与在全局或VLAN上配置基于ACL的流镜像类似，不同之处在于需在接口视图下配置。

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文