1、ACL的全称是访问控制列表,本质上是定义一组策略,以便指导报文在交换机内部的转发行为。
2、要配置策略,首先要明确ACL应用的对象,可以是针对端口,也可以是针对特殊的一条流。
针对端口,就是指端口上收发的所有报文。
针对一条流,就是指符合特征的报文。
3、明确了对象后,需要明确策略的行为,即满足了条件后的报文,做什么动作。
动作可以是:限速、转发、丢弃、镜像、重定向、策略路由、修改优先级、修改VLAN ID、报文统计(流统)等。
4、策略都配置好之后,就需要把策略应用到端口上。
5、为了方便管理,根据报文的特征值的地方,对ACL的编号范围进行人为规定。
6、所有的动作可以如下:
7、配置举例:
# 定义基本ACL 2000,对源IP地址为2.1.1.1的报文进行分类。
<DeviceA> system-view
[DeviceA] acl number 2000
[DeviceA-acl-basic-2000] rule permit source 2.1.1.1 0
[DeviceA-acl-basic-2000] quit
# 定义基本ACL 2001,对源IP地址为2.1.1.2的报文进行分类。
[DeviceA] acl number 2001
[DeviceA-acl-basic-2001] rule permit source 2.1.1.2 0
[DeviceA-acl-basic-2001] quit
# 定义类classifier_1,匹配基本ACL 2000。
[DeviceA] traffic classifier classifier_1
[DeviceA-classifier-classifier_1] if-match acl 2000
[DeviceA-classifier-classifier_1] quit
# 定义类classifier_2,匹配基本ACL 2001。
[DeviceA] traffic classifier classifier_2
[DeviceA-classifier-classifier_2] if-match acl 2001
[DeviceA-classifier-classifier_2] quit
# 定义流行为behavior_1,动作为重定向至200.1.1.2。
[DeviceA] traffic behavior behavior_1
[DeviceA-behavior-behavior_1] redirect next-hop 200.1.1.2
[DeviceA-behavior-behavior_1] quit
# 定义流行为behavior_2,动作为重定向至201.1.1.2。
[DeviceA] traffic behavior behavior_2
[DeviceA-behavior-behavior_2] redirect next-hop 201.1.1.2
[DeviceA-behavior-behavior_2] quit
# 定义策略policy,为类classifier_1指定流行为behavior_1,为类classifier_2指定流行为behavior_2。
[DeviceA] qos policy policy
[DeviceA-qospolicy-policy] classifier classifier_1 behavior behavior_1
[DeviceA-qospolicy-policy] classifier classifier_2 behavior behavior_2
[DeviceA-qospolicy-policy] quit
# 将策略policy应用到端口GigabitEthernet 3/0/1的入方向上。
[DeviceA] interface GigabitEthernet 3/0/1
[DeviceA-GigabitEthernet 3/0/1] qos apply policy policy inbound