二层acl配置.doc

文档名称 文档密级 TIME \@ yyyy-M-d 2015-1-4 华为保密信息,未经授权禁止扩散 第PAGE1页, 共 NUMPAGES \* Arabic 6页 rule（二层ACL视图） 命令功能 rule命令用来增加或修改二层ACL的规则。 undo rule命令用来删除一个规则。 缺省情况下，未配置规则。 命令格式 rule [ rule-id ] { permit | deny } [ [ ether-ii | 802.3 | snap ] | l2-protocol type-value [ type-mask ] | destination-mac dest-mac-address [ dest-mac-mask ] | source-mac source-mac-address [ source-mac-mask ] | vlan-id vlan-id [ vlan-id-mask ] | 8021p 802.1p-value | cvlan-id cvlan-id [ cvlan-id-mask ] | cvlan-8021p 802.1p-value | double-tag ] * [ time-range time-name ]（S2700SI和除S2700-52P-EI、S2700-52P-PWR-EI以外的S2700EI系列产品不支持double-tag参数） undo rule rule-id 参数说明 参数 参数说明 取值 rule-id 指定ACL的规则ID。 如果指定ID的规则已经存在，创建的新规则将会覆盖旧规则；如果指定ID的规则不存在，则使用指定的ID创建一个新规则，并且按照ID的大小决定规则插入的位置。 如果不指定ID，则增加一个新规则时设备自动会为这个规则分配一个ID，ID按照大小排序。系统自动分配ID时会留有一定的空间，具体的相邻ID范围由 step命令指定。 说明： 设备自动生成的规则ID从步长值起始，缺省步长为5，即从5开始并按照5的倍数生成规则序号，序号分别为5、10、15、…… 整数形式，取值范围是0～4294967294。 deny 指定拒绝符合条件的报文。 - permit 指定允许符合条件的报文。 - ether-ii | 802.3 | snap 指定ACL规则匹配报文的封装格式。其中： ether-ii表示Ethernet II封装； 802.3表示802.3封装； snap表示SNAP封装。 - l2-protocol type-value [ type-mask ] 指定ACL规则匹配报文的类型，对应Ethernet_II类型中的Ethernet type和Ethernet_SNAP类型帧中的type-code域。其中： type-value表示二层协议类型值； type-mask表示二层协议类型掩码。 type-value如果输入数值，长度范围是3～6，以十六进制表示，取值范围是0x0000～0xFFFF；如果输入协议值，可以输入以下的值： ARP，对应的数值为0x0806 IP，对应的数值为0x0800 IPv6，对应的数值为0x86dd MPLS，对应的数值为0x8847 RARP，对应的数值为0x8035 type-mask缺省值为0xffff。 destination-mac dest-mac-address [ dest-mac-mask ] 指定ACL规则匹配报文的目的MAC地址信息。其中： dest-mac-address：报文的目的MAC地址； dest-mac-mask：目的MAC地址掩码。 dest-mac-address和dest-mac-mask格式均为H-H-H，其中H为1至4位的十六进制数。dest-mac-mask缺省值为ffff-ffff-ffff。 这两个参数共同作用可以得到用户感兴趣的目的MAC地址范围。比如00e0-fc01-0101 ffff-ffff-ffff指定了一个MAC地址：00e0-fc01-0101，而00e0-fc01-0101 ffff-ffff-0000则指定了一个MAC地址范围：00e0-fc01-0000～00e0-fc01-ffff。 source-mac source-mac-address [ source-mac-mask ] 指定ACL规则匹配报文的源MAC地址信息。其中： source-mac-address：表示报文的源MAC地址； source-mac-mask：表示源MAC地址掩码。如果不配置此参数，则掩码相当于ffff-ffff-ffff。 source-mac-address和source-mac-mask的格式均为H-H-H