ACL配置与管理实战——2

最新推荐文章于 2024-05-14 13:19:15 发布
最新推荐文章于 2024-05-14 13:19:15 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: HCSE——构建企业级交换网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kaoa000/article/details/84279550
版权

配置基于ACL的流量监管

通过配置基于ACL的流量监管,对匹配ACL规则的报文进行限速,并配置对不同颜色报文采取的动作,在配置基于ACL的报文过滤之前,需要配置好相应的ACL规则,但每个调用的ACL仅可匹配一个ACL规则,当ACL中包括许多规则时,则必须指出所要应用的具体ACL规则编号。

1、在全局或VLAN上应用基于ACL的流量监管

需要在系统视图下根据不同的交换机选择不同的命令进行:

(1)在S2700-52P-EI/2700-52P-PWR-EI/2710SI/3700SI/3700EI系列交换机上执行:traffic-limit [vlan vlan-id] inbound acl { {[ ipv6 ] { bas-acl | adv-acl | name acl-name } } | l2-acl | user-acl } [rule rule-id] cir cir-value [ pir pir-value] [ cbs cbs-value pbs pbs-value] [ green { drop | pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] [ yellow  { drop| pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] [ red  { drop| pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ]命令对匹配单个ACL规则的入方向报文进行流量监管。

执行traffic-limit [vlan vlan-id] inbound acl { l2-acl | name acl-name }  [rule rule-id] acl { bas-acl | adv-acl | name acl-name } [rule rule-id] cir cir-value[ pir pir-value] [ cbs cbs-value pbs pbs-value] [ green { drop | pass [ remark-8021p 8021p-value | remark-dscp dscp-value ] } ] [ yellow { drop | pass [ remark-8021p 8021p-value | remark-dscp dscp-value ]} ] [ red  { drop| pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ]命令对同时匹配二层ACL和三层ACL的入方向报文进行流量监管。

(2)在除S2700-52P-EI和S2700-52P-PWR-EI之外的其他S2700EI系列交换机上执行:traffic-limit [vlan vlan-id] inbound acl { {[ ipv6 ] { bas-acl | adv-acl | name acl-name } } | l2-acl }  [rule rule-id] cir cir-value [cbs cbs-value]命令对匹配单个ACL规则的入方向报文进行流量监管。

执行:traffic-limit [vlan vlan-id] inbound acl  { l2-acl| name acl-name }  [rule rule-id] acl { bas-acl | adv-acl | name acl-name } [rule rule-id] cir cir-value [cbs cbs-value] 命令对同时匹配二层ACL和三层ACL的入方向报文进行流量监管。

(3)在S5700LI/5700SI/5700EI系列交换机上,执行:traffic-limit [vlan vlan-id] inbound acl { {[ ipv6 ] { bas-acl | adv-acl | name acl-name } } | l2-acl | user-acl } [rule rule-id] cir cir-value [ pir pir-value] [ cbs cbs-value pbs pbs-value] [green pass] [ yellow  { drop| pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] [ red  { drop| pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] 命令对匹配单个ACL规则的入方向报文进行流量监管。

执行:traffic-limit [vlan vlan-id] outbound acl{  [ipv6 ] { bas-acl | adv-acl | name acl-name }  | l2-acl } [rule rule-id] cir cir-value[ pir pir-value] [ cbs cbs-value pbs pbs-value] [green pass] [yellow pass ] [red { drop |pass }]命令对匹配单个ACL规则的出方向报文进行流量监管。

执行:traffic-limit [vlan vlan-id] inbound acl  {l2-acl | name acl-name}  [rule rule-id] acl { bas-acl | adv-acl | name acl-name } [rule rule-id] cir cir-value [ pir pir-value] [ cbs cbs-value pbs pbs-value] [green pass] [yellow { drop | pass [ remark-8021p 8021p-value | remark-dscp dscp-value ]} ] [ red  { drop| pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ]命令对同时匹配二层ACL和三层ACL的入方向报文进行流量监管。

执行:traffic-limit [vlan vlan-id] outbound acl { l2-acl | name acl-name}  [rule rule-id] acl { bas-acl | adv-acl| name acl-name } [rule rule-id] cir cir-value  [ pir pir-value] [ cbs cbs-value pbs pbs-value][green pass] [yellow pass] [red {drop | pass}]命令对同时匹配二层ACL和三层ACL的出方向报文进行流量监管。

(4)其他S5700系列和S6700系列交换机上

执行:traffic-limit [vlan vlan-id] outbound acl {{ [ ipv6 ] { bas-acl | adv-acl | name acl-name } } | l2-acl } [rule rule-id] cir cir-value [ pir pir-value][ cbs cbs-value pbs pbs-value] [ green { drop | pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] [ yellow { drop| pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] [ red  { drop| pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] 命令对匹配单个ACL规则的出方向报文进行流量监管。

执行:traffic-limit [vlan vlan-id] inbound acl  {l2-acl | name acl-name}  [rule rule-id] acl { bas-acl | adv-acl | name acl-name } [rule rule-id] cir cir-value [ pir pir-value] [ cbs cbs-value pbs pbs-value] [ green { drop | pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] [ yellow  { drop| pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] [ red  { drop| pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] 命令对同时匹配二层ACL和三层ACL的入方向报文进行流量监管。

执行:traffic-limit [vlan vlan-id] outbound acl  {l2-acl | name acl-name}  [rule rule-id] acl { bas-acl | adv-acl | name acl-name } [rule rule-id] cir cir-value [ pir pir-value] [ cbs cbs-value pbs pbs-value] [ green { drop | pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] [ yellow  { drop| pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] [ red  { drop| pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] 命令对同时匹配二层ACL和三层ACL的出方向报文进行流量监管。

报文的颜色可以在流量监管中定义

1)报文的突发尺寸﹤cbs-value时,报文被标记为绿色。

2cbs-value≤报文的突发尺寸<pbs-value时,报文被标记为黄色。

3)报文的突发尺寸≥pbs-value时,报文被标记为红色。

缺省情况下,绿色、黄色报文被允许通过,红色报文被丢弃。

流量监管就是对网络的流量进行控制监督,对超出范围的流量采取怎样的处理策略,而acl只是对流量进行一下过滤,确定什么样的报文采取监管,所以这里其实也是acl对报文的过滤,所谓的流量监管,是后边的cir pir cbs pbs green yellow red参数所进行的,cir pir cbs pbs四个参数能够确定报文是什么颜色的,确定出颜色后,在对报文进行处理,是pass 还是drop或是重新标记优先级等。所以,重点需要理解的是cir pir cbs pbs的概念,弄懂8021p、dscp、ip precedence、tos等优先级具体指的是什么。

在端口上应用基于ACL的流量监管

在端口上应用基于ACL的流量监管的配置也要根据不同S系列交换机选择对应的配置命令在具体的接口视图下进行。

(1)在S2700-52P-EI/2700-52P-PWR-EI/2710SI/3700SI/3700EI系列交换机上执行:

traffic-limit inbound acl { { [ ipv6 ] { bas-acl | adv-acl| name acl-name } } | l2-acl | user-acl } [rule rule-id] cir cir-value[ pir pir-value] [ cbs cbs-value pbs pbs-value] [ green { drop | pass [ remark-8021p 8021p-value | remark-dscpdscp-value ] } ] [ yellow { drop | pass [ remark-8021p 8021p-value | remark-dscp dscp-value ]} ] [ red  { drop| pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ]命令对匹配单个ACL规则的入方向报文进行流量监管。

执行traffic-limit inbound acl  { l2-acl | name acl-name }  [rulerule-id] acl { bas-acl | adv-acl | nameacl-name } [rule rule-id] cir cir-value[ pir pir-value] [ cbs cbs-value pbs pbs-value] [ green { drop | pass [ remark-8021p 8021p-value | remark-dscpdscp-value ] } ] [ yellow { drop | pass [ remark-8021p 8021p-value | remark-dscp dscp-value ]} ] [ red  { drop| pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ]命令对同时匹配二层ACL和三层ACL规则的入方向报文进行流量监管。

(2)在除S2700-52P-EI和S2700-52P-PWR-EI之外的其他S2700EI系列交换机上执行:traffic-limit inbound acl { { [ ipv6 ] { bas-acl | adv-acl| name acl-name } } | l2-acl}  [rulerule-id] cir cir-value [cbs cbs-value]命令对匹配单个ACL规则的入方向报文进行流量监管。

执行:traffic-limit inbound acl  { l2-acl | name acl-name }  [rulerule-id] acl { bas-acl | adv-acl | nameacl-name } [rule rule-id] cir cir-value [cbs cbs-value] 命令对同时匹配二层ACL和三层ACL的入方向报文进行流量监管。

(3)在S5700LI/5700SI/5700EI系列交换机上,执行:traffic-limit inbound acl { { [ ipv6 ] { bas-acl | adv-acl| name acl-name } } | l2-acl | user-acl } [rule rule-id] cir cir-value[ pir pir-value] [ cbs cbs-value pbs pbs-value] [green pass] [ yellow  { drop | pass [ remark-8021p 8021p-value | remark-dscp dscp-value ]} ] [ red  { drop| pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] 命令对匹配单个ACL规则的入方向报文进行流量监管。

执行:traffic-limit outbound acl{  [ipv6 ] { bas-acl | adv-acl | name acl-name }  | l2-acl } [rule rule-id] cir cir-value[ pir pir-value] [ cbs cbs-value pbs pbs-value] [green pass] [yellow pass ] [red { drop |pass }]命令对匹配单个ACL规则的出方向报文进行流量监管。

执行:traffic-limit inbound acl { l2-acl | name acl-name}  [rulerule-id] acl { bas-acl | adv-acl| name acl-name } [rule rule-id] cir cir-value  [ pirpir-value] [ cbs cbs-value pbs pbs-value][green pass] [yellow { drop | pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] [ red  { drop| pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ]命令对同时匹配二层ACL和三层ACL的入方向报文进行流量监管。

执行:traffic-limit outbound acl { l2-acl | name acl-name}  [rule rule-id] acl { bas-acl | adv-acl | nameacl-name } [rule rule-id] cir cir-value [ pir pir-value] [ cbs cbs-value pbs pbs-value] [green pass] [yellow pass][red {drop | pass}]命令对同时匹配二层ACL和三层ACL的出方向报文进行流量监管。

(4)其他S5700系列和S6700系列交换机上

执行:traffic-limit inbound acl { { [ ipv6 ] { bas-acl | adv-acl| name acl-name } } | l2-acl |user-acl } [rule rule-id] cir cir-value [ pir pir-value][ cbs cbs-value pbs pbs-value] [ green { drop | pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] [ yellow  { drop| pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] [ red  { drop| pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] 命令对匹配单个ACL规则的入方向报文进行流量监管。

执行:traffic-limit outbound acl { { [ ipv6 ] { bas-acl | adv-acl| name acl-name } } | l2-acl } [rule rule-id] cir cir-value [ pir pir-value] [ cbs cbs-value pbs pbs-value] [ green { drop | pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] [ yellow  { drop| pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] [ red  { drop| pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] 命令对匹配单个ACL规则的出方向报文进行流量监管。

执行:traffic-limit inbound acl  { l2-acl | name acl-name}  [rulerule-id] acl { bas-acl | adv-acl| name acl-name } [rule rule-id] cir cir-value  [ pirpir-value] [ cbs cbs-value pbs pbs-value][ green { drop | pass [ remark-8021p 8021p-value | remark-dscpdscp-value ] } ] [ yellow { drop | pass [ remark-8021p 8021p-value | remark-dscp dscp-value ]} ] [ red  { drop| pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] 命令对同时匹配二层ACL和三层ACL的入方向报文进行流量监管。

执行:traffic-limit outbound acl  { l2-acl | name acl-name}  [rulerule-id] acl { bas-acl | adv-acl| name acl-name } [rule rule-id] cir cir-value  [ pirpir-value] [ cbs cbs-value pbs pbs-value][ green { drop | pass [ remark-8021p 8021p-value | remark-dscpdscp-value ] } ] [ yellow { drop | pass [ remark-8021p 8021p-value | remark-dscp dscp-value ]} ] [ red  { drop| pass [ remark-8021p 8021p-value| remark-dscp dscp-value ] } ] 命令对同时匹配二层ACL和三层ACL的出方向报文进行流量监管。

在端口上进行的流量监管相比全局或VLAN上的流量监管,配置命令上只是缺少了vlan vlan-id选项,同时是在端口视图下进行的。

暂时的一个疑问:报文的颜色是怎么标识的,从报文的什么地方能够判断出报文的颜色?

配置基于ACL的流镜像

通过配置基于ACL的流镜像可将匹配ACL规则的报文镜像到指定观察接口,以便于对报文进行分析(均仅可在入方向上应用ACL)。在配置基于ACL的报文过滤之前需要配置好相应的ACL规则,但每个调用的ACL仅可匹配一个ACL规则,当ACL中包括有许多规则时,必须指出所要应用的具体ACL规则编号。

1、在全局或VLAN上应用基于ACL的流镜像

(1)在S2700-52P-EI/2700-52P-PWR-EI/2710SI/3700SI/3700EI系列交换机上执行:

traffic-mirror [vlan vlan-id] inbound acl {{[ipv6] {bas-acl | adv-acl | name acl-name}} | l2-acl | user-acl } [rule rule-id ] to observe-port o-index命令对匹配单个ACL规则的入方向报文进行流镜像。

执行traffic-mirror [vlan vlan-id] inbound acl { l2-acl | name acl-name }  [rule rule-id ] acl  { bas-acl | adv-acl | name acl-name } [rule rule-id ] to observe-port o-index [ remote vlan-id]命令对同时匹配二层ACL和三层ACL规则的入方向报文进行流镜像。

(2)在除S2700-52P-EI和S2700-52P-PWR-EI之外的其他S2700EI系列交换机上执行:

traffic-mirror [vlan vlan-id] inbound acl {{[ipv6] {bas-acl | adv-acl | name acl-name}} | l2-acl } [rule rule-id ] to observe-port o-index命令对匹配单个ACL规则的入方向报文进行流镜像。

(3)在S5700/6700系列交换机上,执行:

traffic-mirror [vlan vlan-id] inbound acl {{[ipv6] {bas-acl | adv-acl | name acl-name}} | l2-acl | user-acl } [rule rule-id ] to observe-port o-index [ remote vlan-id]命令对匹配单个ACL规则的入方向报文进行流镜像。

根据需要选择以下一个命令对同时匹配二层ACL和三层ACL规则的入方向报文进行流镜像。

(1)traffic-mirror [vlan vlan-id] inbound acl l2-acl [rule rule-id ] acl  { bas-acl| adv-acl | name acl-name } [rule rule-id ] to observe-port o-index [ remote vlan-id]

(2)traffic-mirror [vlan vlan-id] inbound acl acl-name [rule rule-id ] acl  { bas-acl| adv-acl | name acl-name } [rule rule-id ] to observe-port o-index [ remote vlan-id]

这个配置命令主要要搞清楚的是观察端口,即to observe-port o-index以及remote vlan-id

对于observe-port o-index,交换机上有对应的observe-port命令,来设置观察端口,

observe-port 1 interface GigabitEthernet1/0/2   //设置观察端口

这样,GE1/0/2端口就成为了观察端口1,对于remote vlan-id,什么作用不清楚??

在端口上应用基于ACL的流镜像

在端口上应用基于ACL的流镜像的配置也要根据不同系列交换机选择对应的配置命令在具体的接口视图下进行。

(1)(1)在S2700-52P-EI/2700-52P-PWR-EI/2710SI/3700SI/3700EI系列交换机上执行:

traffic-mirror inbound acl {{[ipv6] {bas-acl | adv-acl | name acl-name}} | l2-acl | user-acl } [rule rule-id ] to observe-port o-index命令对匹配单个ACL规则的入方向报文进行流镜像。

执行traffic-mirror inbound acl { l2-acl | name acl-name }  [rule rule-id ] acl  { bas-acl | adv-acl | name acl-name } [rule rule-id ] to observe-port o-index [ remote vlan-id]命令对同时匹配二层ACL和三层ACL规则的入方向报文进行流镜像。

(2)在除S2700-52P-EI和S2700-52P-PWR-EI之外的其他S2700EI系列交换机上执行:

traffic-mirror inbound acl {{[ipv6] {bas-acl | adv-acl | name acl-name}} | l2-acl } [rule rule-id ] to observe-port o-index命令对匹配单个ACL规则的入方向报文进行流镜像。

(3)在S5700/6700系列交换机上,执行:

traffic-mirror inbound acl{{[ipv6] {bas-acl | adv-acl | name acl-name}} | l2-acl | user-acl } [rule rule-id ] to observe-port o-index [ remote vlan-id]命令对匹配单个ACL规则的入方向报文进行流镜像。

根据需要选择以下一个命令对同时匹配二层ACL和三层ACL规则的入方向报文进行流镜像。

(1)traffic-mirror inbound acl l2-acl [rule rule-id ] acl  { bas-acl | adv-acl | name acl-name } [rule rule-id ] to observe-port o-index [ remote vlan-id]

(2)traffic-mirror inbound acl acl-name  [rule rule-id ] acl { bas-acl | adv-acl | name acl-name } [rule rule-id ] to observe-port o-index [remote vlan-id]

实验:

先配置一个观察端口1,对应到具体的GE0/0/1端口,然后在GE0/0/2端口在流镜像,对于匹配的报文镜像到观察端口1,预想是在GE0/0/1和GE0/0/3端口上都能检测到相同的报文,但是经过抓包测试,在PC1上执行ping PC2,相应的报文流并没有在GE0/0/1上出现,原因不明。

配置基于ACL的重定向

通过配置基于ACL的重定向,将匹配ACL规则的报文重定向到CPU、指定接口或指定下一跳地址(均仅可在入方向上应用ACL)。在配置基于ACL的报文过滤前,需要配置好相应的ACL规则,但每个调用的ACL仅可匹配一个ACL规则,当ACL中包含有许多规则时,则必须指出所要应用的具体ACL规则编号。

1、在全局或VLAN上应用基于ACL的重定向

在全局或VLAN上应用基于ACL的重定向配置也是在系统视图下根据不同系列交换机选择以下不同命令进行的。

(1)在S2700-52P-EI/2700-52P-PWR-EI/2710SI/3700SI/3700EI系列交换机上执行:

traffic-redirect [vlan vlan-id] inbound acl { [ ipv6 ] { bas-acl | adv-acl | name acl-name}} | l2-acl | user-acl } [rule rule-id ] { cpu | interface interface-type interface-number | ip-nexthop ip-nexthop | ipv6-nexthop ipv6-nexthop}命令对匹配单个ACL规则的入方向报文进行重定向。

执行:traffic-redirect [vlan vlan-id] inbound acl { l2-acl | name acl-name }  [rule rule-id ] acl  { bas-acl | adv-acl | name acl-name } [rule rule-id ] { cpu | interface interface-type interface-number | ip-nexthop ip-nexthop | ipv6-nexthop ipv6-nexthop}命令对同时匹配二层ACL和三层ACL规则的入方向报文进行重定向。

(2)在S5700SI/5700LI/5700S-LI系列交换机上

执行:traffic-redirect  [vlan vlan-id] inbound acl { [ ipv6 ]{ bas-acl | adv-acl | name acl-name}  | l2-acl| user-acl } } [rule rule-id ] { cpu | interface interface-type interface-number}命令对匹配单个ACL规则的入方向报文进行重定向。

执行traffic-redirect  [vlan vlan-id] inbound acl { l2-acl | name acl-name[rule rule-id ] acl  { bas-acl| adv-acl | name acl-name } [rule rule-id ] { cpu | interface interface-type interface-number }命令对同时匹配二层ACL和三层ACL规则的入方向报文进行重定向。

(3)在其他S5700/6700系列交换机上

执行:traffic-redirect  [vlan vlan-id] inbound acl { [ ipv6 ]{ bas-acl | adv-acl | name acl-name}  | l2-acl| user-acl } } [rule rule-id ] { cpu | interface interface-type interface-number | ip-nexthop ip-nexthop | ipv6-nexthop ipv6-nexthop }命令对匹配单个ACL规则的入方向报文进行重定向。

执行:traffic-redirect  [vlan vlan-id] inbound acl { l2-acl | name acl-name }  [rule rule-id ] acl  { bas-acl| adv-acl | name acl-name } [rule rule-id ] { cpu | interface interface-type interface-number | ip-nexthop ip-nexthop | ipv6-nexthop ipv6-nexthop}}命令对同时匹配二层ACL和三层ACL规则的入方向报文进行重定向。

在端口上应用基于ACL的重定向

在端口上应用基于ACL的重定向的配置要根据不同系列交换机选择对应的配置命令在具体的接口视图下进行

 

关于ACL重定向的应用场景:

在LSW4上的GE0/0/1上配置重定向,默认从GE0/0/2转发,配置基于ACL的重定向,对符合ACL规则的报文从GE0/0/3转发。

配置基于ACL的重标记

通过配置基于ACL的重标记可对匹配指定ACL规则的报文重标记其优先级,如VLAN报文中的802.1p、IP报文中的DSCP等(S2700/3700系列交换机仅可在入方向上应用ACL,S5700/6700系列既可在入方向,又可在出方向上应用ACL)。在配置基于ACL的报文过滤之前也需要配置相应的ACL规则,但每个调用的ACL仅可匹配一个ACL规则,当ACL中包括许多规则时,则必须指出所要应用的具体ACL规则编号。

1、在全局或VLAN上应用基于ACL的重标记

在全局或VLAN上应用基于ACL的重标记配置也是在系统视图下根据不同系列交换机选择以下不同命令进行的。

(1)在S2700-52P-EI/2700-52P-PWR-EI/2710SI/3700SI/3700EI系列交换机上执行:

traffic-remark [vlan vlan-id] inbound acl { [ ipv6 ] { bas-acl | adv-acl | name acl-name} | l2-acl | user-acl } [rule rule-id ] { dscp { dscp-name | dscp-value }| 8021p 8021p-value | destination-mac mac-address | ip-precedence ip-precedence-value| vlan-id vlan-id | local-precedence local-precedence-value }命令对匹配单个ACL规则的入方向报文进行重标记。

执行:traffic-remark [vlan vlan-id] inbound acl { l2-acl | name acl-name }  [rule rule-id ] acl  { bas-acl | adv-acl | name acl-name } [rule rule-id ] { dscp { dscp-name | dscp-value }| 8021p 8021p-value | destination-mac mac-address | ip-precedence ip-precedence-value| vlan-id vlan-id | local-precedence local-precedence-value }命令对同时匹配二层ACL和三层ACL规则的入方向报文进行重标记。

(2)在除S2700-52P-EI和S2700-52P-PWR-EI系列交换机之外的其他S2700EI系列交换机上

执行:traffic-remark  [vlan vlan-id] inbound acl { [ ipv6 ]{ bas-acl | adv-acl | name acl-name}  | l2-acl} [rule rule-id ] { dscp { dscp-name | dscp-value } | 8021p 8021p-value | vlan-id vlan-id | local-precedence local-precedence-value }命令对匹配单个ACL规则的入方向报文进行重标记。

执行traffic-remark  [vlan vlan-id] inbound acl { l2-acl | name acl-name }  [rule rule-id ] acl  { bas-acl| adv-acl | name acl-name } [rule rule-id ] { dscp { dscp-name | dscp-value }| 8021p 8021p-value | vlan-id vlan-id | local-precedence local-precedence-value }命令对同时匹配二层ACL和三层ACL规则的入方向报文进行重标记。

(3)在其他S5700/6700系列交换机上

执行:traffic-remark  [vlan vlan-id] inbound acl { [ ipv6 ]{ bas-acl | adv-acl | name acl-name}  | l2-acl| user-acl  } [rule rule-id ] { 8021p 8021p-value | destination-mac mac-address | dscp { dscp-name | dscp-value } | ip-precedence ip-precedence-value | vlan-id vlan-id | local-precedence local-precedence-value }命令对匹配单个ACL规则的入方向报文进行重标记。

执行:traffic-remark  [vlan vlan-id] outbound acl { [ ipv6 ]{ bas-acl | adv-acl | name acl-name}  | l2-acl} [rule rule-id ] { 8021p 8021p-value | cvlan-id cvlan-id| dscp{ dscp-name | dscp-value } | vlan-id vlan-id }命令对匹配单个ACL规则的出方向报文进行重标记。

执行:traffic-remark  [vlan vlan-id] inbound acl { l2-acl | name acl-name }  [rule rule-id ] acl  { bas-acl| adv-acl | name acl-name } [rule rule-id ] { 8021p 8021p-value | destination-mac mac-address | dscp { dscp-name | dscp-value } | ip-precedence ip-precedence-value| vlan-id vlan-id | local-precedence local-precedence-value } 命令对同时匹配二层ACL和三层ACL规则的入方向报文进行重标记。

执行:traffic-remark  [vlan vlan-id] outbound acl  { l2-acl | name acl-name }  [rule rule-id ] acl  { bas-acl | adv-acl | name acl-name } [rule rule-id ] { 8021p 8021p-value | cvlan-id cvlan-id| dscp { dscp-name | dscp-value } | vlan-id vlan-id }命令对同时匹配二层ACL和三层ACL规则的出方向报文进行重标记。

示例:在VLAN100的入方向,配置基于ACL的重标记功能。将源MAC地址为0-0-1的报文,重标记VLANID为101。

[Huawei]acl 4001

[Huawei-acl-L2-4001]rule 5 permit source-mac 0-0-1

[Huawei-acl-L2-4001]quit

[Huawei]traffic-remark vlan 100 inbound acl 4001 rule 5 vlan-id 101

在端口上应用基于ACL的重标记

在端口上应用基于ACL的重标记的配置要根据不同系列交换机选择对应的配置命令在具体的接口视图下进行

示例:在接口GE0/0/1的入方向,配置基于ACL的重标记功能。将源MAC地址为0-0-1的报文,重标记VLAN ID为100

[Huawei]acl 4001

[Huawei-acl-L2-4001]rule 5 permitsource-mac 0-0-1

[Huawei-acl-L2-4001]quit

[Huawei]interface gigabitethernet 0/0/1

[Huawei-GigabitEthernet0/0/1]traffic-remark inbound acl 4001 rule 5 vlan-id 100

这里的重点还是要搞懂重标记选项,包括优先级:8021pdscplocal-precedenceip-precedencevlan号:vlan是外层vlancvlan是内层vlan号,MAC地址:destination-mac

配置基于ACL的流量统计

通过配置基于ACL的流量统计可对匹配指定ACL规则的报文进行流量统计(S2700/3700系列交换机仅可在入方向上应用ACL,S5700/6700系列既可在入方向,又可在出方向上应用ACL)。在配置基于ACL的报文过滤之前也需要配置相应的ACL规则,但每个调用的ACL仅可匹配一个ACL规则,当ACL中包括许多规则时,则必须指出所要应用的具体ACL规则编号。

1、在全局或VLAN上应用基于ACL的重标记

在全局或VLAN上应用基于ACL的流量统计配置也是在系统视图下根据不同系列交换机选择以下不同命令进行的。

(1)在S2700-52P-EI/2700-52P-PWR-EI/2710SI/3700SI/3700EI系列交换机上执行:

traffic-statistic [vlan vlan-id] inbound acl { [ ipv6 ] { bas-acl | adv-acl | name acl-name} | l2-acl | user-acl } [rule rule-id ] [by-bytes]命令对匹配单个ACL规则的入方向报文进行流量统计。

执行:traffic-statistics [vlan vlan-id] inbound acl { l2-acl | name acl-name }  [rule rule-id ] acl  { bas-acl | adv-acl | name acl-name } [rule rule-id ] [by-bytes] 命令对同时匹配二层ACL和三层ACL规则的入方向报文进行流量统计。

(2)在除S2700-52P-EI和S2700-52P-PWR-EI系列交换机之外的其他S2700EI系列交换机上

执行:traffic-statistic  [vlan vlan-id] inbound acl { [ ipv6 ]{ bas-acl | adv-acl | name acl-name}  | l2-acl} [rule rule-id ]命令对匹配单个ACL规则的入方向报文进行流量统计。

执行traffic-statistic  [vlan vlan-id] inbound acl { l2-acl | name acl-name }  [rule rule-id ] acl  { bas-acl| adv-acl | name acl-name } [rule rule-id ]命令对同时匹配二层ACL和三层ACL规则的入方向报文进行流量统计。

(3)在其他S5700/6700系列交换机上

执行:traffic-statistic  [vlan vlan-id] inbound acl { [ ipv6 ]{ bas-acl | adv-acl | name acl-name}  | l2-acl| user-acl  } [rule rule-id ] [ by-bytes ]命令对匹配单个ACL规则的入方向报文进行流量统计。

执行:traffic- statistic  [vlan vlan-id] outbound acl { [ ipv6 ]{ bas-acl | adv-acl | name acl-name}  | l2-acl} [rule rule-id ]命令对匹配单个ACL规则的出方向报文进行流量统计。

执行:traffic- statistic  [vlan vlan-id] inbound acl { l2-acl | name acl-name }  [rule rule-id ] acl  { bas-acl| adv-acl | name acl-name } [rule rule-id ] [ by-bytes ]命令对同时匹配二层ACL和三层ACL规则的入方向报文进行流量统计。

执行:traffic-statistic  [vlan vlan-id] outbound acl  { l2-acl | name acl-name }  [rule rule-id ] acl  { bas-acl | adv-acl | name acl-name } [rule rule-id ]命令对同时匹配二层ACL和三层ACL规则的出方向报文进行流量统计

在接口上配置流量统计

在端口上应用基于ACL的流量统计要根据不同系列交换机选择对应的配置命令在具体的接口视图下进行

基于ACL的流量统计管理

配置好基于ACL的流量统计后,可执行以下任意视图display traffic-statistics命令查看设备上基于ACL的报文过滤的流量统计信息。

(1)display traffic-statistics[ vlan vlan-id | interface interface-type interface-number ] { inbound | outbound } [ acl { bas-acl | adv-acl | user-acl } [ rule rule-id ] ]

(2)display traffic-statistics[ vlan vlan-id | interface interface-type interface-number ] { inbound | outbound } [ acl { acl-name | l2-acl } [ rule rule-id ] [ acl  { bas-acl| adv-acl | acl-namel} [ rule rule-id ] ]]

(3)display traffic-statistics interface { inbound | outbound}

(4)display traffic-statistics[ vlan vlan-id | interface interface-type interface-number ] { inbound | outbound } [ acl ipv6 {bas-acl | adv-acl | acl-name } [ rule rule-id ] ]

对于基于ACL的简化流策略,主要的基础还是流的过滤,报文过滤、流量监管、流量镜像、流量重定向、报文重标记就是使用不同的配置命令,结合ACL,对符合规则的报文进行相应的处理,前提还是报文过滤,过滤后才进行对应的功能处理,如流量监管,镜像、重定向等。关键是各种配置命令使用的场景。

配置命令也是很有规律的,前面部分基本相同,主要就是ACL的使用,可以单独使用一个二层或三层的ACL,也可以同时使用一个二层和一个三层的ACL,即同时符合二层的ACL规则又符合三层ACL规则。

 

kaoa000
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为设备镜像命令
Tony_long7483的博客
10-23 4998
配置观察端口:配置任何一种镜像功能,都需要先将物理端口配置成观察端口 [HUAWEI] observe-port 1 interface gigabitethernet 1/0/1 //配置本地观察端口,即观察端口与监控设备直连 [HUAWEI] observe-port 1 interface-range gigabitethernet 1/0/1 to gigabitEthernet 1/0/3 [HUAWEI] observe-port 1 interface gigabitethernet 1/0.
华为交换机流量监管(限速)那点事1儿
weixin_33922670的博客
05-01 2423
流量监管(俗称限速)就是对流量进行控制,通过监督网络的流量速率,对超出部分的流量进行“惩罚”,使输入或输出的流量被限制在一个合理的范围之内,以保护网络资源。通过Traffic-policy 进行限速的方式实际使用的是双桶双速率,以下是关于双桶双速率中涉及的一些参数及说明cir 指定承诺信息速率,即保证能够通过的平均速率。 整数形式,取值范围是8~4294967295,单...
ACL配置方法
最新发布
扮瘦人的博客
05-14 894
ACL概述,ACL配置
高级ACL的基础配置命令
qq_23930765的博客
01-11 4732
它的基本原理是:配置ACL的网络设备根据事先设定好的报文匹配规则对经过该设备的报文进行匹配,然后对匹配上的报文执行事先设定好的处理动作。处理动作的不同以及匹配规则的多样性,使得ACL可以发挥出各种各样的功效。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。主要介绍了ACL的相关技术知识,包括:ACL的作用,ACL的组成、匹配和分类、通配符的使用方法,以及ACL的基本配置及应用。在基本ACL视图下,通过此命令来配置基本ACL的规则。
在接口下应用简化流策略
海绵汽水的博客
11-02 1299
在接口下应用简化流策略 可以在接口视图下,执行以下命令: 基于ACL的报文过滤 traffic-filter inbound acl xxx traffic-filter outbound acl xxx traffic-secure inbound acl xxx 基于ACL的流量监管 traffic-limit inbound acl xxx traffic-limit out
HyperLedger Fabric开发实战——快速掌握区块链技术-配套资源.zip
06-26
《Hyperledger Fabric开发实战——快速掌握区块链技术》是一本深入探讨企业级区块链解决方案Hyperledger Fabric的书籍,其配套资源提供了丰富的实践材料,帮助读者更好地理解和应用这一技术。Hyperledger Fabric是...
网络管理实战指南之交换机命令行管理
05-15
### 网络管理实战指南之交换机命令行管理 #### 配置三层EtherChannel:构建高速网络连接 在现代企业网络中,三层EtherChannel是一种关键的技术,它能够实现高速的设备间连接,尤其适用于三层交换机之间的互联,...
网络运维笔记——T221.pdf
07-10
【网络运维笔记——TCP与UDP报文首部详解】 TCP(Transmission Control Protocol...以上内容是网络运维笔记中关于TCP/UDP报文首部、ACL配置、NAT工作原理和动态路由协议的基础知识,对于理解和操作网络环境至关重要。
寒江独钓——Windows内核安全编程
02-16
8. **安全策略与最佳实践**:分享系统安全配置的最佳实践,包括防火墙设置、更新管理、安全审计等,以提高系统的整体安全性。 9. **漏洞分析与防御**:分析已知的Windows内核漏洞,讨论其成因、影响和防御策略,...
计算机网络课设——精品课程网站.zip
06-13
"计算机网络课设——精品课程网站"这个项目,就是一个典型的课程设计实例,涵盖了网络拓扑设计、协议分析以及配置管理等多个方面。 在该项目中,我们主要关注的是Cisco 7.0版本的网络设备配置。Cisco作为全球领先的...
ACL配置大全及命令
01-16
ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。
cisco最完美的ACL配置详解及配置全过程
10-26
cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程
acl 允许同网段访问_交换机配置ACL的本地流镜像详解
weixin_39685578的博客
01-03 647
一、组网需求:如图所示,公司科技部和行政部分别使用10.1.1.0/24和10.1.2.0/24两个网段地址,通过Switch与外部Internet,相互之间进行通信,监控设备Server与Switch直连。现在希望通过Server对科技部下面两类流量进行监控:科技部访问WWW的报文流。科技部发往行政部的报文流。配置基于ACL的本地流镜像组网图二、配置思路:配置接口GE1/0/2为本地观察端口,负...
Ubuntu 20X 版软件管理
临江仙我亦是行人
04-13 236
Ubuntu 软件管理 Debian软件包通常为预编译的二进制格式的扩展名".deb",类似rpm文件,因此安装快速,无需编译软 件。包文件包括特定功能或软件所必需的文件、元数据和指令 dpkg:package manager for Debian,类似于rpm, dpkg是基于Debian的系统的包管理器。可 以安装,删除和构建软件包,但无法自动下载和安装软件包或其依赖项 apt:Advanced Packaging Tool,功能强大的软件管理工具,甚至可升级整个Ubuntu的系统,基 于客户/
路由与交换--ACL基本命令及其实验配置
weixin_30449239的博客
12-23 1261
1 ACL配置 1.1创建 ACL 标准 ACL router(config)#access-list <ACL表号> {permit|deny}{<源IP|host><反掩码>|any} //表号1~99 扩展 ACL router(config)#access-list <ACL表号> {pe...
ACL配置(十分基础)
konna_H的博客
12-06 8617
ACL----------两者都可以以描述性名称和数字命名 使用通配符掩码,和子网掩码不同,它的0表示精确匹配,非0则表示不用精确匹配的位,即1表示可0可1,2表示有00,01,10,11四种,配合Ip地址使用 --------有两种配置方法,一般用access-list 1-99|100-199 源地址范围 目的地址范围 端口号 1.标准访问控制列表(在使用时尽量放在靠近目的地址的位
ACL配置
云计算运维工程师的成长之路
07-19 7137
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换技术,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。......
访问控制列表ACL配置命令
热门推荐
patiencezzz的博客
05-19 2万+
标准访问控制列表 配置标准ACL 实现拒绝pc2(IP地址为192.168.1.3)对Web Server pc3的访问 配置如下: 下面配置路由器端口的IP地址: R1>en R1#conf t R1(config)#int f0/0 R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#no sh R1(conf...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值