H3C上ACL包过滤

H3C上ACL包过滤的基本概念

ACL（Access Control List，访问控制列表）是网络设备上用于控制进出网络流量的一种机制。在H3C设备上，ACL可以直接下发到硬件，用于数据转发过程中的报文过滤和流分类。当交换机的端口接收到报文后，会根据当前端口上应用的ACL规则对报文的字段进行分析，并根据预先设定的策略允许或禁止相应的数据包通过。 

H3C上ACL包过滤的配置步骤

1. 创建ACL：首先需要创建一个ACL，并指定其编号和匹配顺序。基本ACL的编号范围为2000~2999，而高级ACL的编号范围为3000~3999。 

2. 定义ACL规则：在ACL中定义具体的过滤规则，包括允许（permit）或拒绝（deny）的动作，以及匹配条件，如源IP地址、目的IP地址、协议类型等。 

3. 应用ACL到接口：将创建的ACL应用到特定的接口上，并指定是对入方向还是出方向的报文进行过滤。

4. 验证配置：通过显示命令检查ACL的配置状态，确保规则已正确应用到相应的接口上。 

H3C上ACL包过滤的注意事项 

• 匹配顺序：在配置ACL时，需要注意规则的匹配顺序。H3C支持两种匹配顺序：配置顺序和自动排序。配置顺序是按照用户配置规则的先后顺序进行匹配，而自动排序则是按照“深度优先”的顺序进行匹配。 

• 时效性：在配置ACL时，应考虑到时效性，即某些规则可能只在特定的时间段内有效。可以通过配置时间段来限制ACL规则的生效时间。

• 默认规则：在H3C设备上，ACL如果在包过滤防火墙技术中使用，默认规则是permit，但在其他技术中使用，默认规则是deny

H3C路由器上如何查看ACL的配置状态？ 

1. 查看所有ACL配置信息
   使用 display acl config all 命令可以查看路由器上所有ACL的配置信息，包括ACL类型、编号、规则数量、规则内容以及每个规则匹配数据包的次数。 

2. 查看特定ACL的配置信息
   如果您知道想要查看的ACL编号，可以使用 display acl config 命令后跟ACL编号，例如 display acl config 3001，来查看特定编号的ACL配置信息。

3. 查看ACL的统计信息
   使用 display acl config statistics 命令可以查看当前配置的访问控制列表规则统计信息，包括基本、高级、二层以及用户自定义的访问控制列表规则数目，以及系统配置的访问控制列表规则总数。 

4. 查看特定槽位的ACL资源
   使用 display acl remaining entry slot slot-number 命令可以查看指定槽位的剩余ACL资源。 

5. 查看ACL的模式
   使用 display acl mode 命令可以查看设备的流分类规则模式。

6. 查看ACL的规则生效顺序
   使用 display acl order 命令可以查看下发的ACL规则生效顺序。