H3C通过二层ACL实现报文过滤.doc

H3C通过二层ACL实现报文过滤（包过滤方式）1.7 通过二层ACL实现报文过滤典型配置指导（包过滤方式）二层 ACL 根据报文的源 MAC 地址、目的 MAC 地址、802.1p 优先级、二层协议类型等二层信息制 定匹配规则，对报文进行相应的分析处理。二层 ACL 的序号取值范围为 40004999。1.7.1 组网图图1-7 配置二层 ACL 组网图1.7.2 应用要求研发部和管理部中均部署了网络视频设备，这些视频设备的 MAC 地址为 000f-e2xx-xxxx，现要求 限制这些设备仅有每天的 8:30 到 18:00 才能够向外网发送数据。1.7.3 配置思路在受限设备的 IP 地址不定时，可以通过 MAC 地址来进行匹配；而对于具有相同 MAC 地址前缀的 多台设备，也可以通过 MAC 地址掩码的方式来进行同时匹配。在本例中，只需要通过 MAC 地址掩 码来匹配前缀为 000f-e2 的设备，即可限制所有视频设备的数据发送。相对于匹配源 IP 地址的方式， 匹配 MAC 地址显得更为简单和准确。与 QoS 策略方式不同，包过滤方式只需要在 packet-filter 命令中引用 ACL 编号，就可以根据 ACL规则对报文进行拒绝或允许通过的动作，省去流行为、流分类的制定和关联。1.7.4 适用产品、版本表1-7 配置适用的产品与软件版本关系产品软件版本S7500E 系列以太网交换机Release 6610 系列S7600 系列以太网交换机Release 6610 系列S5800&S5820X 系列以太网交换机Release 1110，Release 1211CE3000-32F 以太网交换机Release 1211S5810 系列以太网交换机Release 1102S5500-EI 系列以太网交换机Release 2202，Release 2208S5500-EI-D 系列以太网交换机Release 2208S5500-SI 系列以太网交换机Release 2202，Release 2208S5120-EI 系列以太网交换机Release 2202，Release 2208S5120-EI-D 系列以太网交换机Release 1505S5120-SI 系列以太网交换机Release 1101，Release 1505S5120-LI 系列以太网交换机Release 1107E552&E528 以太网交换机Release 1103S3100V2-EI 系列以太网交换机Release 51031.7.5 配置过程和解释# 定两个周期时间段 time1 和 time2，时间范围分别为每天的 0:008:30 和 18:0024:00。 system-viewSwitch time-range time1 0:00 to 8:30 dailySwitch time-range time1 18:00 to 24:00 daily# 创建二层 ACL 4000，并定义两条规则，分别为在 time1 和 time2 时间段内拒绝源 MAC 地址前缀 为 000f-e2 的所有报文通过。Switch acl number 4000Switch-acl-ethernetframe-4000 rule deny source-mac 000f-e200-0000 ffff-ff00-0000 time-range time1Switch-acl-ethernetframe-4000 rule deny source-mac 000f-e200-0000 ffff-ff00-0000 time-range time2Switch-acl-ethernetframe-4000 quit# 在端口 GigabitEthernet 1/0/1 的入方向配置包过滤功能，引用 ACL 4000 对报文进行过滤。Switch interface GigabitEthernet 1/0/1Switch-GigabitEthernet1/0/1 packet-filter 4000 inbound1.7.6 完整配置#time-range time1 00:00 to 08:30 dailytime-range time1 18:00 to 24:00 daily#acl number 4000rule 0 deny source-mac 000f-e200-0000 ffff-ff00-0000 time-range time1rule 5 deny source-mac 000f-e200-0000 ffff-ff00-0000 time-range time2#interface GigabitEthernet1/0/1packet-filter 4000 inbound1.7.7 配置注意事项z 当二层 ACL 的匹配顺序为 config 时，用户可以修改该 ACL 中的任何一条已经存在的规则， 在修改 ACL 中的某条规则时，该规则中没有修改到的部分仍旧保持原来的状态；当 ACL 的匹 配顺序为 auto 时，用户不能修改该 ACL 中的任何一条已经存在的规则，否则系统会提示错 误信息。z 新创建或修改后的规则不能和已经存在的规则相同，否则会导致创建或修改不成功，系统会 提示该规则已经存在。z 当二层 ACL 的匹配顺