华为ACL学习和配置 终极手册

7 S2 i4 S5 L% h
一、ACL基本配置

1、ACL规则生效时间段配置（需要先配置设备的时间，建议用ntp同步时间）

某些引用ACL的业务或功能需要限制在一定的时间范围内生效，比如，在流量高峰期时启动设备的QoS功能。用户可以为ACL创建生效时间段，通过在规则中引用时间段信息限制ACL生效的时间范围，从而达到该业务或功能在一定的时间范围内生效的目的。

[Huawei]time-range test ?

    Starting time

  from     The beginning point of the time range

- g: z( m; S/ g3 z3 r) h! G+ }! _

[Huawei]time-range test 8:00 ?

  to  The ending point of periodic time-range

5 G; P: \* _; a" `4 K

[Huawei]time-range test 8:00 t      

[Huawei]time-range test 8:00 to ?

    Ending Time

[Huawei]time-range test 8:00 to 18:05 ?

  <0-6>        Day of the week(0 is Sunday)

  Fri          Friday   #星期五

  Mon          Monday #星期一

  Sat          Saturday #星期六

  Sun          Sunday #星期天

  Thu          Thursday # 星期四

  Tue          Tuesday # 星期二

  Wed          Wednesday #星期三

  daily        Every day of the week  # 每天

  off-day      Saturday and Sunday # 星期六和星期日

  working-day  Monday to Friday #工作日每一天

[Huawei]time-range test from 8:00 2016/1/17 to 18:00 2016/11/17

使用同一time-name可以配置多条不同的时间段，以达到这样的效果：各周期时间段之间以及各绝对时间段之间分别取并集之后，再取二者的交集作为最终生效的时间范围。

例如，时间段“test”配置了三个生效时段：

从2016年1月1日00:00起到2016年12月31日23:59生效，这是一个绝对时间段。

在周一到周五每天8:00到18:00生效，这是一个周期时间段。

在周六、周日下午14:00到18:00生效，这是一个周期时间段。

则时间段“test”最终描述的时间范围为：2016年的周一到周五每天8:00到18:00以及周六和周日下午14:00到18:00。

由于网络延迟等原因，可能造成网络上设备时间不同步，建议配置NTP（Network Time Protocol），以保证网络上时间的一致。

; F8 D( t: ]. q" _) a
# b& V- N0 W3 E, M. S8 |# F

2、ACL类型配置

2.1、数字型acl配置

[Huawei]acl 2000 match-order ?

  auto    Auto order #自动顺序（默认）

  config  Config order

或

[Huawei]acl number 2000 match-order ?

  auto    Auto order

  config  Config order

8 a5 C3 A# C; r; n

2.2、命名型acl配置

[Huawei]acl name test ?

  advance      Specify an advanced named ACL # 设置高级acl

  basic        Specify a basic named ACL

  match-order  Set ACL's match order

  number       Specify a number for the named ACL

         

! P- X0 ~' e& Q9 j% R

[Huawei]acl name test ad      

[Huawei]acl name test advance ?

  match-order  Set ACL's match order

  number       Specify a number for the named ACL

   

[Huawei]acl name test number ?

  INTEGER<2000-2999>    Number of the basic named ACL

  INTEGER<42768-75535>  Number of the advanced named ACL

2.3、ACL类型配置

[Huawei]acl ?

  INTEGER<1000-1999>    Interface access-list(add to current using rules) # 接口访问列表acl

  INTEGER<10000-10999>  Apply MPLS ACL  # 应用MPLS ACL

  INTEGER<2000-2999>    Basic access-list (add to current using rules) # 基本acl

  INTEGER<3000-3999>    Advanced access-list(add to current using rules) # 高级acl

  INTEGER<4000-4999>    MAC address access-list(add to current using rules) # 二层acl

  ipv6                  ACL IPv6  # 基本acl6和高级acl6配置

  name                  Specify a named ACL

  number                Specify a numbered ACL

7 F- P: G* i- k: Z

2.4、ACL描述设置（可选）

[Huawei-acl-basic-2600]description ?

             TEXT

2.5、ACL步长设置（可选）

[Huawei-acl-basic-test]step ?

  INTEGER<1-20>  Specify value of step

二、ACL类型规则配置

1、基本ACL规则配置

基本ACL编号acl-number的范围是2000～2999。

基本ACL可以根据报文自身的源IP地址、分片标记和时间段信息对IPv4报文进行分类。

[Huawei-acl-basic-test]rule 1 ?

  deny    Specify matched packet deny

  permit  Specify matched packet permit

9 u/ h) L" |3 o6 a& l& ?: u0 S# ]

[Huawei-acl-basic-test]rule 1 deny ?

  fragment-type  Specify the fragment type of packet # 分组片段类型

  source         Specify source address

  time-range     Specify a special time

  vpn-instance   Specify a VPN-Instance

            

* z/ a+ x, j. H) j

[Huawei-acl-basic-test]rule 1 deny source ?

  X.X.X.X  Address of source

  any      Any source

[Huawei-acl-basic-test]rule 1 deny source 192.168.1.1 ?

  0        Wildcard bits : 0.0.0.0 ( a host )

  X.X.X.X  Wildcard of source

[Huawei-acl-basic-test]rule 1 deny source 192.168.1.1 0 ?

  fragment-type  Specify the fragment type of packet # 对分组片段类型有效

  time-range     Specify a special time # 引用生效时间

  vpn-instance   Specify a VPN-Instance # 用于vpn

   

[Huawei-acl-basic-2600]description ? #配置规则描述

                   TEXT  ACL description (no more than 127 characters)

在ACL中配置首条规则时，如果未指定参数rule-id，设备使用步长值作为规则的起始编号。后续配置规则如仍未指定参数rule-id，设备则使用最后一个规则的rule-id的下一个步长的整数倍数值作为规则编号。

例如ACL中包含规则rule 5和rule 7，ACL的步长为5，则系统分配给新配置的未指定rule-id的规则的编号为10。

当用户指定参数time-range引入ACL规则生效时间段时，如果time-name不存在，该规则将无法绑定该生效时间段。

如果不指定参数vpn-instance vpn-instance-name，设备会对公网和私网的报文均进行匹配。

设备在收到报文时，会按照匹配顺序将报文与ACL规则进行逐条匹配，一旦匹配上规则组内的某条规则，则停止匹配动作。之后，设备将依据匹配的规则对报文执行相应的动作。

% R. r" J# ?. J; f3 f! b5 b9 h

2、高级ACL规则配置

高级ACL编号acl-number的范围是3000～3999。

高级acl主要对源/目的IP地址、端口号、优先级、时间段等报文进行过滤。

[Huawei-acl-adv-3000]rule 1 permit ?

  <1-255>  Protocol number

  gre      GRE tunneling(47)

  icmp     Internet Control Message Protocol(1)

  igmp     Internet Group Management Protocol(2)

  ip       Any IP protocol

  ipinip   IP in IP tunneling(4)

  ospf     OSPF routing protocol(89)

  tcp      Transmission Control Protocol (6)

  udp      User Datagram Protocol (17)

[Huawei-acl-adv-3000]rule 1 permit udp ?

  destination       Specify destination address

  destination-port  Specify destination port

  dscp              Specify dscp

  fragment-type     Specify the fragment type of packet

  precedence        Specify precedence

  source            Specify source address

  source-port       Specify source port

  time-range        Specify a special time

  tos               Specify tos

  vpn-instance      Specify a VPN-Instance

               

[Huawei-acl-adv-3000]rule 1 permit udp source ?

  X.X.X.X  Address of source

  any      Any source

) [9 z: c$ `. H; c

[Huawei-acl-adv-3000]rule 1 permit udp source any ?

  destination       Specify destination address

  destination-port  Specify destination port

  dscp              Specify dscp

  fragment-type     Specify the fragment type of packet

  precedence        Specify precedence

  source-port       Specify source port

  time-range        Specify a special time

  tos               Specify tos

  vpn-instance      Specify a VPN-Instance

               

[Huawei-acl-adv-3000]rule 1 permit udp source any des      

[Huawei-acl-adv-3000]rule 1 permit udp source any destination ?

  X.X.X.X  Specify destination address

  any      Any destination IP address

[Huawei-acl-adv-3000]rule 1 permit udp source any destination 192.168.1.1 ?

  0        Wildcard bits : 0.0.0.0 ( a host )

  X.X.X.X  Wildcard of destination

[Huawei-acl-adv-3000]rule 1 permit udp source any destination 192.168.1.1 0 ?

  destination-port  Specify destination port

  dscp              Specify dscp

  fragment-type     Specify the fragment type of packet

  precedence        Specify precedence

  source-port       Specify source port

  time-range        Specify a special time

  tos               Specify tos

  vpn-instance      Specify a VPN-Instance

               

[Huawei-acl-adv-3000]rule 1 permit udp source any destination 192.168.1.1 0 destination-port ?

  eq     Equal to given port number

  gt     Greater than given port number

  lt     Less than given port number

  neq    Not equal to given port number  # 不等于指定端口

  range  Between two port numbers

[Huawei-acl-adv-3000]rule 1 permit udp source any destination 192.168.1.1 0 destination-port  eq ?

  <0-65535>    Protocol number

  biff         Mail notify (512)

  bootpc       Bootstrap Protocol Client (68)

  bootps       Bootstrap Protocol Server (67)

  discard      Discard (9)

  dns          Domain Name Service (53)

  dnsix        DNSIX Security Attribute Token Map (90)

  echo         Echo (7)

  mobilip-ag   MobileIP-Agent (434)

  mobilip-mn   MobilIP-MN (435)

  nameserver   Host Name Server (42)

  netbios-dgm  NETBIOS Datagram Service (138)

  netbios-ns   NETBIOS Name Service (137)

  netbios-ssn  NETBIOS Session Service (139)

  ntp          Network Time Protocol (123)

  rip          Routing Information Protocol (520)

  snmp         SNMP (161)

  snmptrap     SNMPTRAP (162)

  sunrpc       SUN Remote Procedure Call (111)

  syslog       Syslog (514)

  tacacs-ds    TACACS-Database Service (65)

  talk         Talk (517)

  tftp         Trivial File Transfer (69)

  time         Time (37)

  who          Who(513)

  xdmcp        X Display Manager Control Protocol (177)

[Huawei-acl-adv-3000]rule 1 permit udp source any destination 192.168.1.1 0 destination-port eq  21 ?

  dscp           Specify dscp

  fragment-type  Specify the fragment type of packet

  precedence     Specify precedence

  source-port    Specify source port

  time-range     Specify a special time

  tos            Specify tos

  vpn-instance   Specify a VPN-Instance

   

! p' @: B, |  l0 S

高级acl可以匹配的功能有：

2.1、高级acl常用协议数值对照表

协议类型	数值
ICMP	1
IGMP	2
IPinIP	4
TCP	6
UDP	17
GRE	47
IP
OSPF	89

2.2、高级acl常用功能说明

参数	说明
deny	拒绝符合条件的报文
permit	允许符合条件的报文
source{sour-addr sour-wildcard|any}	sour-addr sour-wildcard:源ip地址  源通配符掩码
	any：任意源IP地址
destination{dest-addr dest-wildcaard|any	dest-addr dest-wildcaard：目的IP地址及通配符掩码
	any：任意目的IP地址
icmp-type{icmp-name|icmp-type icmp-code}	指定acl规则匹配报文的icmp报文的类型和消息码信息，仅在报文协议是ICMP的情况下有效
precedence	指定acl匹配报文时依据优先级字段进行过滤。与tos 参数一起共同构成DSCP组成的二选一参数。
tos	指定acl匹配报文时依据服务类型字段进行过滤。与precedence参数一起共同构成DSCP组成的二选一参数。
dscp	指定acl匹配报文时区分服务代码点，依据IP包中的DSCP优先级字段进行过滤。
tcp-flag	指定acl规则匹配TCP报文中的SYN标志的类型
time-range	指定acl规则生效时间段
destination-port{eq prot|gt port|lt port|rage port-start port end}	指定acl规则匹配报文的UDP或TCP的目的端口，仅在报文协议是UDP或TCP时生效。端口号可用名称或数字表示
	eq port :指定等于目的端口
	gt port:指定大于目的端口
	lt port :指定小于目的端口
	range port-start port-end:指定目的端口范围 start 为起始端口 end为结束端口
soure-port{eq prot|gt port|lt port|rage port-start port end}	指定acl规则匹配报文的UDP或TCP的源端口，仅在报文协议是UDP或TCP时生效。
loging	指定acl匹配的报文信息进行日志记录
fragmen	指定acl规则是否仅对非首片分片报文有效，当包含此参数时仅对非首片分片报文有效。但此参数不能同时与source-port、destination-port、icmp-type、tcp-flag参数同时配置。
ttl-expired	指定acl是否依据数据报文中的ttl值是否为1进行过滤。启用此命令表示过滤。5700SI及以下版本不支持。

% G% D2 L1 N1 @2 b% }9 w8 M* A$ _

举例：拒绝192.168.1.0网段与主机61.128.128.68进行UDP  9090通信

[Huawei-acl-adv-3002]rule deny  udp source 192.168.1.0 0.0.0.255 destination 61.128.128.68 0. destination-port eq 9090

5 U4 Z  t( m& U' n: X

3、二层ACL规则配置

二层ACL编号acl-number的范围是4000～4999。

二层acl对源/目的MAC、802.1p优先级、二层协议等二层信息进行过滤。

: h# {- v6 v6 a! i6 P( Q

[Huawei-acl-L2-4000]rule 1 ?

  deny         Specify matched packet deny

  description  Specify rule description

  permit       Specify matched packet permit

[Huawei-acl-L2-4000]rule 1 deny source-mac 1111-1111-1111 ?

  802.3            802.3 format

  8021p            Vlan priority

  H-H-H            Source MAC address mask, default is ffff-ffff-ffff

  cvlan-8021p      Vlan priority of inner vlan

  cvlan-id         Inner vlan id

  destination-mac  Destination-mac

  double-tag       Double tag

  ether-ii         Ethernet II format

  l2-protocol      Layer 2 protocol

  snap             Snap format

  time-range       Specify a special time

  vlan-id          Vlan id

              

[Huawei-acl-L2-4000]rule 1 deny source-mac 1111-1111-1111 destination-mac ?

  H-H-H  Destination MAC address value

, M) d8 l. }+ }4 x( [! T3 l

[Huawei-acl-L2-4000]rule 1 deny source-mac 1111-1111-1111 destination-mac 2222-2222-2222 ?

  802.3        802.3 format

  8021p        Vlan priority

  H-H-H        Destination MAC address mask, default is ffff-ffff-ffff

  cvlan-8021p  Vlan priority of inner vlan

  cvlan-id     Inner vlan id

  double-tag   Double tag

  ether-ii     Ethernet II format

  l2-protocol  Layer 2 protocol

  snap         Snap format

  time-range   Specify a special time

  vlan-id      Vlan id

         

二层acl支持的常用功能

7 ?6 ?$ W6 t8 i' k/ S+ d' U" |$ n' o

二层acl支持的常用功能
参数	说明
802.3
8021p	指定acl规则匹配报文的外层vlan的8021p优先级
cvlan-8021p	指定acl规则匹配报文的内层vlan的8021p优先级
cvlan-id  cvlan-id[cvlan-id-mask]	指定acl规则匹配报文的内层vlan ID
	cvlan-id-mask：指定内层ID值的掩码 十六进制
destination-mac	指定acl规则匹配报文的目的mac地址信息
double-tag	指定acl匹配报文时匹配带双层tag的报文
ether-ii	指定acl规则匹配报文的帧封装格式
l2-protocol	指定acl规则匹配报文的链路层协议类型
snap
source-mac	指定acl规则匹配报文的源mac地址信息
time-range	' K2 p: d2 t% I/ R
vlan-id	指定acl规则匹配报文的内层vlan ID

' ]8 E  j9 U/ G" Z/ O; [

4、用户自定义ACL规则配置

用户自定义ACL编号acl-number的范围是5000～5999。

用户自定义acl（简称ucl），可以根据用户自定义的规则对数据报文做出相应的处理。

用户自定义ACL支持的常用功能有

用户自定义ACL支持的常用功能
参数	说明
STRING<3-10>	" T$ f+ T1 h8 X( Y1 m. Q! U
ipv4-head	指定从ipv4头部开始偏移
ipv6-head	从ipv6头部开始偏移
l2-head	从报文的二层头部开始偏移
l4-head	从四层协议头部开始偏移
time-range

/ V4 g" b0 \4 T& P6 v

[Huawei-acl-user-5000]rule 1 deny ?

  STRING<3-10>  Rule string, the string must be hexadecimal and start with '0x'

  ipv4-head     Offset from IP(v4) head

  ipv6-head     Offset from IP(v6) head

  l2-head       Offset from l2 head

  l4-head       Offset from L4 head

  time-range    Specify a special time

   

5、用户ACL规则配置

用户ACL编号acl-number的范围是6000～6999。

使用IPv4报文的源IP地址或源UCL（User Control List）组、目的地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。

具体配置及参数同前。

' L$ o0 k2 @( {) ^" |) b

6、基本ACL6规则配置

[Huawei]acl ipv6 ?

  INTEGER<2000-2999>  Specify a basic ACL6

  INTEGER<3000-3999>  Specify an advanced ACL6

  name                Specify a named ACL6

  number              Specify a numbered ACL6

0 z- e7 g) R# k% M: V! B

[Huawei-acl6-basic-2000]rule 1 ?

  deny         Specify matched packet deny

  description  Specify rule description

  permit       Specify matched packet permit

0 o* d( X2 g: y! H

[Huawei-acl6-basic-2000]rule 1 deny ?

  fragment    Check fragment packet

  logging     Log matched packet

  source      Specify source address

  time-range  Specify a special time

         

- V6 P& F' c" |4 U$ e( l1 z

[Huawei-acl6-basic-2000]rule 1 deny source ?

  X:X::X:X    IPv6 address

  X:X::X:X/M  IPv6 source address with prefix

  any         Any source IPv6 address

[Huawei-acl6-basic-2000]rule 1 deny source any ?

  fragment    Check fragment packet

  logging     Log matched packet

  time-range  Specify a special time

   

3 Z0 K5 z! J+ S5 ?3 i, u
) c, b% {* H$ B

7、高级ACL6规则配置

[Huawei]acl ipv6 3000

[Huawei-acl6-adv-3000]rule 1 ?

  deny         Specify matched packet deny

  description  Specify rule description

  permit       Specify matched packet permit

[Huawei-acl6-adv-3000]rule 1 ?

  deny         Specify matched packet deny

  description  Specify rule description

  permit       Specify matched packet permit

5 \3 S4 W+ o" j* C2 g

[Huawei-acl6-adv-3000]rule 1 deny ?

  <1-255>  Protocol number

  gre      GRE tunneling(47)

  icmpv6   Internet Control Message Protocol6(58)

  ipv6     Any IPV6 protocol

  ospf     OSPF routing protocol(89)

  tcp      Transmission Control Protocol(6)

  udp      User Datagram Protocol(17)

ACL6相关知识将在后面的IPV6专题详细讲解，敬请关注重庆网管博客。

8、ACL资源告警阈值百分比设置

[Huawei] acl threshold-alarm { upper-limit upper-limit | lower-limit lower-limit }*

9 q" Z% |! W& R

设备运行应用ACL的业务后会占用一部分ACL资源，此时可以配置ACL资源的告警阈值百分比。

当ACL资源的使用率（即设备上实际存在的ACL表项占设备支持的最大ACL表项总数的比例）等于或高于上限告警阈值百分比时，设备将会发出超限告警。之后，如果该比例又等于或小于下限告警阈值百分比，设备会再次发出告警，表明之前的超限告警情况已经恢复正常。

9、扩展ACL表项空间资源模式设置

display resource-assign configuration

# 查看接口板扩展表项空间资源的配置信息。

7 a/ i" f; a; T5 P

[Huawei] assign resource-mode mode-id slot slot-id

# 配置接口板扩展表项空间资源的分配模式，用来静态分配MAC、ACL和FIB表项的底层空间大小。

4 P  P$ z) ~6 m) w! o, [

[Huawei] assign acl-mode mode-id slot slot-id

# 配置接口板ACL规格的资源分配模式。

缺省情况下，扩展表项空间寄存器的资源模式为1，仅扩展MAC表项。

与ACL表项相关的分配模式包括：

1、MACACL：表示同时扩展MAC表项和二层ACL表项。

2、IPV4ACL：表示同时扩展IPV4的IP表项和IPV4的三层ACL表项。

3、IPV6ACL：表示同时扩展IPV6的IP表项和IPV6的三层ACL表项。

4、IPV4NAC：表示同时扩展IPV4的三层ACL表项和NAC特性专用的ACL表项。

5、L2 ACL：表示扩展二层ACL表项。

配置接口板扩展表项空间资源的分配模式后，需要重启接口板才能生效。

当设备处于核心层时，承载的业务量很大，自身的MAC、FIB、ACL表项也会相应增加，但是设备的表项空间有限，当设备的表项空间满足不了设备的业务要求时，会降低业务的运行效率。

设备接口板提供扩展表项空间寄存器，通过配置扩展表项空间资源的分配模式，可以选择性扩大MAC、ACL和FIB表项的底层空间大小。

# W) h2 J7 l, L8 Q& x/ p, p! `' C

三、ACL应用配置

1、Telnent中应用ACL配置

[Huawei]tlnet server acl ?

  INTEGER<2000-2999>

或

[Huawei-ui-vty0-4]acl ?

  INTEGER<2000-3999>  Apply basic or advanced ACL

  ipv6                Filter IPv6 addresses

0 {' r; G  O1 K3 @, h, N

[Huawei-ui-vty0-4]acl 2000 ?

  inbound   Filter login connections from the current user interface

  outbound  Filter logout connections from the current user interface

2、http中应用acl配置

[Huawei]http acl ?

  INTEGER<2000-2999>

3、SNMP（v1、v2）中应用ACL配置

[Huawei]snmp-agent community write 1 acl ?

  INTEGER<2000-2999>  Apply basic ACL

或

[Huawei]snmp-agent acl ?

7 ~, i8 E' D6 d8 E& m

4、FTP中应用acl配置

[Huawei]ftp acl ?

  INTEGER<2000-2999>  Apply basic ACL

" L' Z+ Y3 ?9 m  x

5、TFTP中应用ACL配置

[Huawei]tftp-server acl ?

  INTEGER<2000-2999>  Apply basic ACL

; |' R# s, M) g5 L

6、SFTP中应用ACL配置

[Huawei]ssh server acl ?

或

[Huawei-ui-vty0-4]acl ?

  INTEGER<2000-3999>  Apply basic or advanced ACL

  ipv6                Filter IPv6 addresses

" K8 ~% K; V' \- c1 U- b' L$ E

[Huawei-ui-vty0-4]acl 2000 ?

  inbound   Filter login connections from the current user interface

  outbound  Filter logout connections from the current user interface

7、其他方式中应用ACL配置表（转自华为官方论坛）

业务模块		ACL应用方式	可使用的ACL编号范围
流策略		a、  系统视图下执行命令traffic classifier classifier-name [ operator { and | or } ] [ precedenceprecedence-value ]，进入流分类视图。 b、执行命令if-match acl { acl-number | acl-name }，配置ACL应用于流分类。 c、 系统视图下执行命令traffic behavior behavior–name，定义流行为并进入流行为视图。 d、配置流动作。报文过滤有两种流动作：deny或permit。 e、 系统视图下执行命令traffic policy policy-name [match-order { auto | config } ]，定义流策略并进入流策略视图。 f、 执行命令classifier classifier-name behaviorbehavior-name，在流策略中为指定的流分类配置所需流行为，即绑定流分类和流行为。在系统视图、接口视图或VLAN视图下，执行命令traffic-policy policy-name { inbound | outbound }，应用流策略。	ACL：2000～5999 ACL6：2000～3999
NAT		方式一： a、   系统视图下执行命令nat address-group group-index start-address end-address，配置公网地址池。 b、   执行命令interface interface-type interface-number.subnumber，进入子接口视图。 c、   执行命令nat outbound acl-number address-groupgroup-index [ no-pat ]，，配置带地址池的NAT Outbound。 方式二： a、   系统视图下执行命令interface interface-typeinterface-number.subnumber，进入子接口视图。 b、   执行命令nat outbound acl-number，配置Easy IP。	2000～3999
IPSEC		方式一： a、   系统视图下执行命令ipsec policy policy-name seq-number manual，创建手工方式安全策略，并进入手工方式安全策略视图。 b、   执行命令security acl acl-number，在安全策略中引用ACL。 方式二： a、   系统视图下执行命令ipsec policy policy-name seq-number isakmp，创建IKE动态协商方式安全策略，并进入IKE动态协商方式安全策略视图。 b、   执行命令security acl acl-number，在安全策略中引用ACL。 方式三： a、   系统视图下执行命令ipsec policy-templatetemplate-name seq-number，创建策略模板，并进入策略模板视图。 b、   执行命令security acl acl-number，在安全策略中引用ACL。 c、   系统视图下执行命令ipsec policy policy-name seq-number isakmp template template-name，在安全策略中引用策略模板。	3000～3999
本机防攻击策略	白名单	a、   系统视图下执行命令cpu-defend policy policy-name，创建防攻击策略并进入防攻击策略视图。 b、   执行命令whitelist whitelist-id acl acl-number，创建自定义白名单。 c、   系统视图下执行命令cpu-defend-policy policy-name[ global ]，或槽位视图下执行命令cpu-defend-policypolicy-name，应用防攻击策略。	2000～4999
	黑名单	a、   系统视图下执行命令cpu-defend policy policy-name，创建防攻击策略并进入防攻击策略视图。 b、   执行命令blacklist blacklist-id acl acl-number，创建黑名单。 c、   系统视图下执行命令cpu-defend-policy policy-name[ global ]，或槽位视图下执行命令cpu-defend-policypolicy-name，应用防攻击策略。	2000～4999
	用户自定义流	a、   系统视图下执行命令cpu-defend policy policy-name，创建防攻击策略并进入防攻击策略视图。 b、   执行命令user-defined-flow flow-id acl acl-number，配置用户自定义流。 c、   系统视图下执行命令cpu-defend-policy policy-name[ global ]，或槽位视图下执行命令cpu-defend-policypolicy-name，应用防攻击策略。	2000～4999
路由	Route Policy	a、   系统视图下执行命令route-policy route-policy-name{ permit | deny } node node，创建Route-Policy，并进入Route-Policy视图。 b、   执行命令if-match acl { acl-number | acl-name }，配置基于ACL的匹配规则；或者配置apply子句为路由策略指定动作，如执行命令apply cost [ + | - ] cost，设置路由的开销值等。 c、   应用路由策略。路由协议不同，命令行不同。例如针对OSPF协议，可以在OSPF视图下，执行命令import-route { limit limit-number | { bgp [ permit-ibgp ] | direct | unr | rip [ process-id-rip ] | static |IS{过滤}IS [ process-id-IS{过滤}IS ] | ospf [ process-id-ospf ] } [cost cost | type type | tag tag | route-policy route-policy-name ]* }，引入其他路由协议学习到的路由信息；针对RIP协议，可以在RIP视图下，执行命令import-route { { static | direct | unr } | { { rip | ospf |IS{过滤}IS } [ process-id ] } } [ cost cost | route-policyroute-policy-name ] *。	2000～2999
	Filter Policy	路由协议不同，过滤方向不同，命令行不同。例如针对RIP协议，对引入的路由进行过滤，可以在RIP视图下执行命令filter-policy { acl-number | acl-name acl-name | ip-prefix ip-prefix-name [ gateway ip-prefix-name ] }import [ interface-type interface-number ]；对发布的路由进行过滤，可以在RIP视图下执行命令filter-policy {acl-number | acl-name acl-name | ip-prefix ip-prefix-name } export [ protocol [ process-id ] | interface-typeinterface-number ] 。	2000～2999
组播	igmp-snooping ssm-policy	VLAN视图下执行命令igmp-snooping ssm-policy basic-acl-number	2000～2999
	igmp-snooping group-policy	VLAN视图下执行命令igmp-snooping group-policy acl-number [ version version-number ] [ default-permit ]	2000～3999

四、基于简化流策略ACL配置

基于ACL的简化流策略是指通过将报文信息与ACL规则进行匹配，为符合相同ACL规则的报文提供相同的QoS服务，实现对不同类型业务的差分服务。

当用户希望对进入网络的流量进行控制时，可以配置ACL规则根据报文的源IP地址、分片标记、目的IP地址、源端口号、源MAC地址等信息对报文进行匹配，进而配置基于ACL的简化流策略实现对匹配ACL规则的报文过滤、流量监管、流镜像、重定向、重标记或流量统计。

与流策略相比，基于ACL的简化流策略不需要单独创建流分类、流行为或流策略，配置更为简洁；但是由于仅基于ACL规则对报文进行匹配，因此匹配规则没有流策略丰富。

基于ACL的简化流策略配置时要注意:

同一接口、VLAN或全局下配置多条简化流策略，如果其中一条简化流策略引用的ACL规则发生变化，会导致此视图所有简化流策略短暂失效。

如果配置traffic-redirect命令将流量重定向到接口时，建议ACL规则匹配二层流量。

! \. H/ i$ c( Z+ H7 u

1、基于ACL的报文过滤配置

通过配置基于ACL的报文过滤，对匹配ACL规则报文进行禁止/允许动作，进而实现对网络流量的控制。

可以根据以下原则选用traffic-filter或traffic-secure命令配置报文过滤：

如果traffic-filter或traffic-secure关联的ACL没有同时被其他基于ACL的简化流策略所关联（即两个简化流策略关联的不是同一个acl），且报文不会同时匹配报文过滤和其他简化流策略关联的ACL规则时，traffic-filter和traffic-secure可以任选其一。

如果traffic-filter或traffic-secure关联的ACL同时被其他基于ACL的简化流策略所关联，或者报文同时匹配了报文过滤和其他简化流策略关联的ACL时，traffic-filter和traffic-secure的区别如下：

当traffic-secure和其他基于ACL的简化流策略同时配置，且ACL规则中的动作为Deny时，仅traffic-secure、traffic-mirror（流量镜像）和traffic-statistics（流量统计）命令生效（即traffic-secure 等命令配置的应用不生效），报文被过滤。

当traffic-secure和其他基于ACL的简化流策略同时配置，且ACL规则中的动作为Permit时，traffic-secure命令和其他基于ACL的简化流策略均生效。

当traffic-filter和其他基于ACL的简化流策略同时配置，且ACL规则中的动作为Deny时，仅traffic-filter、traffic-mirror和traffic-statistics命令生效，报文被过滤。

当traffic-filter和其他基于ACL的简化流策略同时配置，且ACL规则中的动作为Permit时，先配置的简化流策略生效。

具体配置

1.1、在全局或VLAN上配置基于简化流策略ACL报文过滤

[Huawei]traffic-filter ?

  inbound   Apply the acl on inbound packets

  outbound  Apply the acl on outbound packets

  vlan      Virtual LAN

/ v# r) j- o. B5 t  e! ^& [; E

[Huawei]traffic-filter vlan ?

  INTEGER<1-4094>  VLAN ID

! {  q: t- w9 u

[Huawei]traffic-filter vlan 2 ?

  inbound   Apply the acl on inbound packets

  outbound  Apply the acl on outbound packets

[Huawei]traffic-filter vlan 2 outbound ?

  acl  Specify ACL to match

[Huawei]traffic-filter vlan 2 outbound acl ?

  INTEGER<2000-2999>  Basic access-list

  INTEGER<3000-3999>  Advanced access-list

  INTEGER<4000-4999>  L2 access-list

  ipv6                Specify IPv6

  name                Specify a named ACL

7 f" ?7 Q& B$ k0 t8 S/ L' E8 P/ b

[Huawei]traffic-filter vlan 2 outbound acl 3000 ?

  rule  Specify the ID of acl rule

   

7 Y+ y* X: G0 E4 a% H

[Huawei]traffic-filter vlan 2 outbound acl 3000 rule ?

  INTEGER<0-4294967294>  ID of acl rule

或

[Huawei]traffic-secure [ vlan vlan-id ] inbound acl { bas-acl | adv-acl | l2–acl | name acl-name } [ rule rule-id ]

' X* O0 c$ d& g: v" G

1.2、在接口上配置基于简化流策略ACL报文过滤

[Huawei-GigabitEthernet0/0/2]traffic-filter ?

  inbound   Apply the acl on inbound packets

  outbound  Apply the acl on outbound packets

4 [7 m1 d5 L7 S! x0 Q/ u

[Huawei-GigabitEthernet0/0/2]traffic-filter outbound ?

  acl  Specify ACL to match

[Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl ?

  INTEGER<2000-2999>  Basic access-list

  INTEGER<3000-3999>  Advanced access-list

  INTEGER<4000-4999>  L2 access-list

  ipv6                Specify IPv6

  name                Specify a named ACL

[Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl 3000 ?

  rule  Specify the ID of acl rule

   

! S& u4 M$ P3 T# |: a

[Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl 3000 rule ?

  INTEGER<0-4294967294>  ID of acl rule

或

[Huawei-GigabitEthernet0/0/2]traffic-secure inbound acl { bas-acl | adv-acl | l2–acl | name acl-name } [ rule rule-id ]

基于ACL报文过滤traffic-filter和traffic-secure 命令参数说明

参数	说明
vlan vlan-id
inbound	在入方向应用报文过滤
outbound	在出方向应用报文过滤
bas-acl	基本acl
adv-acl	高级acl
l2-acl	二层acl
user-acl	用户acl
vlan	可选，在特定vlan上应用基于acl的报文过滤
acl	基于ipv4 acl对报文过滤
ipv6	基于ipv6 acl对报文进行过滤
name	采用基于命名型acl进行报文过滤
rule	基于acl中特定规则进行报文过滤

8 ^$ Z7 c+ W( ?+ q! H" \; R

2、基于ACL的流量监管配置

通过配置基于ACL的流量监管，对匹配ACL规则的报文进行限速。

2.1、在全局或VLAN上配置基于简化流策略ACL流量监管

[Huawei]traffic-limit ?

  inbound   Apply the acl on inbound packets

  outbound  Apply the acl on outbound packets

  vlan      Virtual LAN

0 V) E2 d* D. ]

[Huawei]traffic-limit vlan 3 ?

  inbound   Apply the acl on inbound packets

  outbound  Apply the acl on outbound packets

[Huawei]traffic-limit vlan 3 outbound ?

  acl  Specify ACL to match

[Huawei]traffic-limit vlan 3 outbound acl ?

  INTEGER<2000-2999>  Basic access-list

  INTEGER<3000-3999>  Advanced access-list

  INTEGER<4000-4999>  L2 access-list

  ipv6                Specify IPv6

  name                Specify a named ACL

[Huawei]traffic-limit vlan 3 outbound acl 2000 ?

  cir   Committed information rate

  rule  Specify the ID of acl rule

) c6 }$ i) R+ s' P' a

[Huawei]traffic-limit vlan 3 outbound acl 2000 cir ?

  INTEGER<8-10000000>  Value of CIR (Unit: Kbps)

! A9 Q1 Z9 E1 B  v! x

[Huawei]traffic-limit vlan 3 outbound acl 2000 cir 10240 ?

  cbs     Committed burst size

  green   Specify behavior conducted when rate no higher than CIR

  pir     Peak information rate

  red     Specify behavior conducted when rate higher than PIR

  yellow  Specify behavior conducted when rate higher than CIR, no higher than

          PIR

   

7 h" m$ v$ D; R+ {

2.2、在接口上配置基于简化流策略ACL流量监管

命令与在全局或VLAN上配置基于简化流策略ACL流量监管类似，只是需要在接口视图下配置。

基于ACL的流量监管配置主要参数说明

参数	说明
vlan
inbound
outbound
………	同上面基于acl的报文过滤参数
cir cir-value	承诺信息速率，即保证能够通过的评价速率
pir	峰值信息速率，即能够通过的最大速率
cbs	承诺突发尺寸，即瞬间能够通过的承若突发流量
pbs	峰值突发尺寸，即瞬间能够通过的峰值突发流量
gree	对绿色报文进行监管，默认允许通过
yellow	对黄色报文进行监管，默认允许通过
red	对红色报文进行监管，默认被丢弃
remark 8021P-value	指定重标记报文的8021P优先级
remark dscp-value	指定重标记报文DSCP优先级
drop	指定丢弃报文
pass	指定允许报文通过

2 R5 r6 V0 B1 T+ ?3 u

3、基于ACL报文的重定向配置

通过配置基于ACL的重定向，将匹配ACL规则的报文重定向到CPU、指定接口或指定下一跳地址。

3.1、在全局或VLAN上配置基于ACL重定向

[Huawei]traffic-redirect ?

  inbound  Apply the acl on inbound packets

  vlan     Virtual LAN

[Huawei]traffic-redirect vlan ?

  INTEGER<1-4094>  VLAN ID

[Huawei]traffic-redirect vlan 5 ?

  inbound  Apply the acl on inbound packets

. ^8 D' q5 y* k, V1 Z

[Huawei]traffic-redirect vlan 5 inbound ?

  acl  Specify ACL to match

( b9 T7 x' H- [$ ^

[Huawei]traffic-redirect vlan 5 inbound acl ?

  INTEGER<2000-2999>  Basic access-list

  INTEGER<3000-3999>  Advanced access-list

  INTEGER<4000-4999>  L2 access-list

  INTEGER<5000-5999>  User-defined access-list

  ipv6                Specify IPv6

  name                Specify a named ACL

[Huawei]traffic-redirect vlan 5 inbound acl 3000 ?

  cpu           Redirect to CPU

  interface     Specify the interface

  ip-nexthop    Specify the nexthop IP

  ipv6-nexthop  Specify the nexthop IPv6

  rule          Specify the ID of acl rule

3.2、在接口上配置基于ACL重定向

配置命令与在全局或VLAN上配置基于ACL重定向类似，不同之处 是在接口视图下配置。

基于acl报文重定向参数说明

参数	说明
vlan
……
cpu	指定将报文重定向到CPU
interface	指定将报文重定向到接口
ip-nexthop	指定将报文重定向到下一跳ipv4地址
ipv6-nexthop	指定将报文重定向到下一跳ipv6地址

4、基于ACL报文的重标记配置

通过配置基于ACL的重标记，对匹配指定ACL规则的报文，重标记其优先级，如VLAN报文中的802.1p、MAC地址，IP报文中的DSCP等。

4.1、在全局或VLAN上配置基于acl报文重标记

[Huawei]traffic-remark ?

  inbound   Apply the acl on inbound packets

  outbound  Apply the acl on outbound packets

  vlan      Virtual LAN

[Huawei]traffic-remark outbound ?

  acl  Specify ACL to match

! H- ^* l( h  Y/ G3 O3 i' i

[Huawei]traffic-remark outbound acl ?

  INTEGER<2000-2999>  Basic access-list

  INTEGER<3000-3999>  Advanced access-list

  INTEGER<4000-4999>  L2 access-list

  ipv6                Specify IPv6

  name                Specify a named ACL

                  

[Huawei]traffic-remark outbound acl 2000 ?

  8021p     Remark 802.1p

  cvlan-id  Remark cvlan id

  dscp      Remark DSCP (DiffServ CodePoint)

  rule      Specify the ID of acl rule

  vlan-id   Remark vlan id

4.2、在接口上配置基于ACL报文重标记

命令与在全局或VLAN上配置基于acl报文重标记类似，不同之处是在接口视图下配置。

基于ACL报文重标记配置命令说明

参数	说明
vlan
……
8021p	指定重标记报文的8021P优先级
cvlan-id	指定重标记QinQ报文中的内层vlan标签
destination-mac	指定重标记报文的目的MAC地址
DSCP	指定重标记报文的DSCP的服务类型
local-precedence	指定重标记报文的本地优先级
ip-precednce	指定重标记报文的本地优先级
vlan	重标记后的vlan编号

5、基于ACL的流量统计配置

通过配置基于ACL的流量统计，对匹配指定ACL规则的报文进行流量统计。

5.1、在全局或VLAN上配置基于acl报文流量统计

[Huawei]traffic-statistic ?

  inbound   Apply the acl on inbound packets

  outbound  Apply the acl on outbound packets

  vlan      Virtual LAN

[Huawei]traffic-statistic inbound ?

  acl  Specify ACL to match

[Huawei]traffic-statistic inbound acl ?

  INTEGER<2000-2999>  Basic access-list

  INTEGER<3000-3999>  Advanced access-list

  INTEGER<4000-4999>  L2 access-list

  INTEGER<5000-5999>  User-defined access-list

  ipv6                Specify IPv6

  name                Specify a named ACL

[Huawei]traffic-statistic inbound acl 3000 ?

  by-bytes  Statistics by bytes

  rule      Specify the ID of acl rule

  <cr>   

  

[Huawei]t raffic-statistic inbound acl 3000 by-bytes ?

  <cr>

[Huawei]traffic-statistic inbound acl 3000 rule ?

  INTEGER<0-4294967294>  ID of acl rule

[Huawei]traffic-statistic inbound acl 3000 rule 1 ?

  by-bytes  Statistics by bytes

  <cr>  

   

[Huawei]traffic-statistic inbound acl 3000 rule 1 by-bytes ?

  <cr>

5.2、在接口上配置流量统计配置基于acl报文流量统计

配置命令与在全局或VLAN上配置基于acl报文流量统计类似，不同之处在于在接口视图下配置。

基于acl报文流量统计参数说明

参数	说明
vlan
……
by-byes	按照字节数量统计。默认按照报文数据（packets）统计

6、基于ACL的流镜像配置

通过配置基于ACL的流镜像，将匹配ACL规则的报文镜像到指定接口，以便于对报文进行分析。

6.1、在全局或VLAN上配置基于ACL的流镜像

[Huawei]traffic-mirror ?

  inbound  Apply the acl on inbound packets

  vlan     Virtual LAN

[Huawei]traffic-mirror inbound ?

  acl  Specify ACL to match

   

[Huawei]traffic-mirror inbound acl ?

  INTEGER<2000-2999>  Basic access-list

  INTEGER<3000-3999>  Advanced access-list

  INTEGER<4000-4999>  L2 access-list

  INTEGER<5000-5999>  User-defined access-list

  ipv6                Specify IPv6

  name                Specify a named ACL

[Huawei]traffic-mirror inbound acl 2000 ?

  rule  Specify the ID of acl rule

  to    Mirror to

[Huawei]traffic-mirror inbound acl 2000 rule ?

  INTEGER<0-4294967294>  ID of acl rule

[Huawei]traffic-mirror inbound acl 2000 rule 2 ?

  to  Mirror to

        

[Huawei]traffic-mirror inbound acl 2000 rule 2 to ?

  observe-port  Observe port

[Huawei]traffic-mirror inbound acl 2000 rule 2 to observe-port ?

  INTEGER<1-2>  The index of observe port

[Huawei]traffic-mirror inbound acl 2000 rule 2 to observe-port 1 ?

  <cr>

6.2、在接口上配置流镜像配置基于ACL的流镜像

命令与在全局或VLAN上配置基于ACL的流镜像类似，不同之处在于需在接口视图下配置。

感谢楼主分享！