i
目 录
1 ACL简介 ............................................................................................................................................ 1-1
1.1 ACL概述 ............................................................................................................................................ 1-1
1.1.1 ACL概述 ................................................................................................................................. 1-1
1.1.2 ACL在交换机上的应用方式 .................................................................................................... 1-1
1.2 IPv4 ACL简介.................................................................................................................................... 1-2
1.2.1 IPv4 ACL分类 .........................................................................................................................1-2
1.2.2 IPv4 ACL命名 .........................................................................................................................1-2
1.2.3 IPv4 ACL匹配顺序 ..................................................................................................................1-2
1.2.4 IPv4 ACL步长 .........................................................................................................................1-3
1.2.5 IPv4 ACL生效时间段 ..............................................................................................................1-3
1.2.6 IPv4 ACL对分片报文的处理 ................................................................................................... 1-4
1.3 IPv6 ACL简介.................................................................................................................................... 1-4
1.3.1 IPv6 ACL分类 .........................................................................................................................1-4
1.3.2 IPv6 ACL命名 .........................................................................................................................1-4
1.3.3 IPv6 ACL匹配顺序 ..................................................................................................................1-4
1.3.4 IPv6 ACL步长 .........................................................................................................................1-5
1.3.5 IPv6 ACL生效时间段 ..............................................................................................................1-5
2 IPv4 ACL配置 .................................................................................................................................... 2-1
2.1 配置时间段 ........................................................................................................................................ 2-1
2.1.1 配置时间段..............................................................................................................................2-1
2.1.2 时间段配置举例 ......................................................................................................................2-1
2.2 配置基本IPv4 ACL............................................................................................................................. 2-2
2.2.1 配置准备 ................................................................................................................................. 2-2
2.2.2 配置基本IPv4 ACL..................................................................................................................2-2
2.2.3 基本IPv4 ACL配置举例...........................................................................................................2-3
2.3 配置高级IPv4 ACL............................................................................................................................. 2-3
2.3.1 配置准备 ................................................................................................................................. 2-3
2.3.2 配置高级IPv4 ACL..................................................................................................................2-4
2.3.3 高级IPv4 ACL配置举例...........................................................................................................2-5
2.4 配置二层ACL..................................................................................................................................... 2-5
2.4.1 配置准备 ................................................................................................................................. 2-5
2.4.2 配置二层ACL .......................................................................................................................... 2-5
2.4.3 二层ACL配置举例 ...................................................................................................................2-6
2.5 拷贝IPv4 ACL.................................................................................................................................... 2-6
2.5.1 配置准备 ................................................................................................................................. 2-6
2.5.2 拷贝IPv4 ACL ......................................................................................................................... 2-6
2.6 IPv4 ACL显示和维护 .........................................................................................................................2-7
2.7 IPv4 ACL典型配置举例 .....................................................................................................................2-7
2.7.1 组网需求 ................................................................................................................................. 2-7
2.7.2 组网图 ..................................................................................................................................... 2-7
2.7.3 配置步骤 ................................................................................................................................. 2-8
ii
3 IPv6 ACL配置 .................................................................................................................................... 3-1
3.1 配置时间段 ........................................................................................................................................ 3-1
3.2 配置基本IPv6 ACL............................................................................................................................. 3-1
3.2.1 配置准备 ................................................................................................................................. 3-1
3.2.2 配置基本IPv6 ACL..................................................................................................................3-1
3.2.3 基本IPv6 ACL配置举例...........................................................................................................3-2
3.3 配置高级IPv6 ACL............................................................................................................................. 3-2
3.3.1 配置准备 ................................................................................................................................. 3-2
3.3.2 配置高级IPv6 ACL..................................................................................................................3-3
3.3.3 高级IPv6 ACL配置举例...........................................................................................................3-4
3.4 配置二层ACL..................................................................................................................................... 3-4
3.5 拷贝IPv6 ACL.................................................................................................................................... 3-4
3.5.1 配置准备 ................................................................................................................................. 3-4
3.5.2 拷贝IPv6 ACL ......................................................................................................................... 3-4
3.6 IPv6 ACL显示和维护 .........................................................................................................................3-4
3.7 IPv6 ACL典型配置举例 .....................................................................................................................3-5
3.7.1 组网需求 ................................................................................................................................. 3-5
3.7.2 组网图 ..................................................................................................................................... 3-5
3.7.3 配置步骤 ................................................................................................................................. 3-5
4 应用ACL进行报文过滤....................................................................................................................... 4-1
4.1 配置对IPv4 报文进行过滤..................................................................................................................4-1
4.2 配置对IPv6 报文进行过滤..................................................................................................................4-2
4.3 应用ACL进行报文过滤典型配置举例................................................................................................. 4-2
4.3.1 以太网端口报文过滤典型配置举例 ......................................................................................... 4-2
4.3.2 VLAN接口报文过滤典型配置举例........................................................................................... 4-3
1-1
1 ACL 简介
本章所介绍的 ACL包括 IPv4 ACL和 IPv6 ACL。
1.1 ACL概述
1.1.1 ACL概述
随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。
通过对报文进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。
ACL(Access Control List,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现包
过滤的功能。
ACL 通过一系列的匹配条件对报文进行分类,这些条件可以是报文的源 MAC 地址、目的 MAC 地
址、源 IP 地址、目的 IP 地址、端口号等。
1.1.2 ACL在交换机上的应用方式
交换机上定义的 ACL 支持以下两种应用方式:
z 基于硬件的应用:ACL 被下发到硬件,例如将 ACL 应用到端口或 VLAN 接口对报文进行过滤
或在配置 QoS 功能时引用 ACL,对报文进行流分类。需要注意的是,当 ACL 被 QoS 功能引
用时,ACL 规则中定义的动作(deny 或 permit)不起作用,交换机对匹配此 ACL 的报文采
取的动作由 QoS 中流行为定义的动作决定。关于流行为的详细介绍请参见 QoS 分册的“QoS
配置”部分。
z 基于软件的应用:ACL 被上层软件引用,例如配置登录用户控制功能时引用 ACL,对 Telnet、
SNMP 和 WEB 用户进行控制。需要注意的是,当 ACL 被上层软件引用时,交换机对匹配此
ACL 的报文采取的动作由 ACL 规则中定义的动作(deny 或 permit)决定。关于登录用户控
制的详细介绍请参见系统分册的“登录交换机配置”部分。
1-2
z 当 ACL下发到硬件,被 QoS策略引用进行流分类时,如果报文没有与 ACL中的规则匹配,此时
交换机不会使用流行为中定义的动作对此类报文进行处理。
z 当 ACL被上层软件引用,对 Telnet、SNMP和WEB登录用户进行控制时,如果报文没有与 ACL
中的规则匹配,此时交换机对此类报文采取的动作为 deny,即拒绝报文通过。
z 关于应用ACL对报文进行过滤的介绍和配置,请参见 4 应用ACL进行报文过滤。
1.2 IPv4 ACL简介
1.2.1 IPv4 ACL分类
IPv4 ACL根据ACL序号来区分不同的ACL,可以分为三种类型,如 表 1-1所示。
表1-1 IPv4 ACL分类
IPv4 ACL类型 ACL序号范围 区分报文的依据
基本 IPv4 ACL 2000~2999 只根据报文的源 IP 地址信息制定匹配规则
高级 IPv4 ACL 3000~3999 根据报文的源 IP 地址信息、目的 IP 地址信息、IP 承载的
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
类型、协议的特性等三、四层信息制定匹配规则
二层 ACL 4000~4999 根据报文的源 MAC 地址、目的 MAC 地址、802.1p 优先级、二层协议类型等二层信息制定匹配规则
1.2.2 IPv4 ACL命名
用户在创建 IPv4 ACL 时,可以为 ACL 指定一个名称。每个 IPv4 ACL 最多只能有一个名称。命名
的 ACL 使用户可以通过名称唯一地确定一个 IPv4 ACL,并对其进行相应的操作。
在创建 ACL 时,用户可以选择是否配置名称。ACL 创建后,不允许用户修改或者删除 ACL 名称,
也不允许为未命名的 ACL 添加名称。
IPv4 ACL的名称对于 IPv4 ACL全局唯一,但允许与 IPv6 ACL使用相同的名称。
1.2.3 IPv4 ACL匹配顺序
一个 ACL 中可以包含多个规则,而每个规则都指定不同的报文匹配选项,这些规则可能存在重复或
矛盾的地方,在将一个报文和 ACL 的规则进行匹配的时候,到底采用哪些规则呢?就需要确定规则
的匹配顺序。
IPv4 ACL 支持两种匹配顺序:
z 配置顺序:按照用户配置规则的先后顺序进行规则匹配。
z 自动排序:按照“深度优先”的顺序进行规则匹配。
1. 基本 IPv4 ACL的“深度优先”顺序判断原则如下
(1) 先比较源 IP 地址范围,源 IP 地址范围小(反掩码中“0”位的数量多)的规则优先;
1-3
(2) 如果源 IP 地址范围也相同,则先配置的规则优先。
2. 高级 IPv4 ACL的“深度优先”顺序判断原则如下
(1) 先比较协议范围,指定了 IP 协议承载的协议类型的规则优先;
(2) 如果协议范围相同,则比较源 IP 地址范围,源 IP 地址范围小(反掩码中“0”位的数量多)
的规则优先;
(3) 如果协议范围、源 IP 地址范围相同,则比较目的 IP 地址范围,目的 IP 地址范围小(反掩码
中“0”位的数量多)的规则优先;
(4) 如果协议范围、源 IP 地址范围、目的 IP 地址范围相同,则比较四层端口号(TCP/UDP 端口
号)范围,四层端口号范围小的规则优先;
(5) 如果上述范围都相同,则先配置的规则优先。
3. 二层 ACL的“深度优先”顺序判断原则如下
(1) 先比较源 MAC 地址范围,源 MAC 地址范围小(掩码中“1”位的数量多)的规则优先;
(2) 如果源 MAC 地址范围相同,则比较目的 MAC 地址范围,目的 MAC 地址范围小(掩码中“1”
位的数量多)的规则优先;
(3) 如果源 MAC 地址范围、目的 MAC 地址范围相同,则先配置的规则优先。
在报文匹配规则时,会按照匹配顺序去匹配定义的规则,一旦有一条规则被匹配,报文就不再继续
匹配其它规则了,交换机将对该报文执行第一次匹配的规则指定的动作。
1.2.4 IPv4 ACL步长
1. 步长的含义
步长的含义是:交换机自动为 ACL 规则分配编号的时候,每个相邻规则编号之间的差值。例如,如
果将步长设定为 5,规则编号分配是按照 0、5、10、15…这样的规律分配的。缺省情况下,步长为
5。
当步长改变后,ACL 中的规则编号会自动重新排列。例如,原来规则编号为 0、5、10、15,当通
过命令把步长改为 2 后,则规则编号变成 0、2、4、6。
当使用命令将步长恢复为缺省值后,交换机将立刻按照缺省步长调整 ACL 规则的编号。例如:ACL
3001,步长为 2,下面有 4 个规则,编号为 0、2、4、6。如果此时使用命令将步长恢复为缺省值,
则 ACL 规则编号变成 0、5、10、15,步长为 5。
2. 步长的作用
用户可以使用步长方便地在规则之间插入新的规则。例如配置好了 4 个规则,规则编号为:0、5、
10、15。此时如果用户希望能在第一条规则之后插入一条规则,则可以使用命令在 0 和 5 之间插入
一条编号为 1 的规则。
另外,在定义一条 ACL 规则的时候,用户可以不指定规则编号,这时,系统会从 0 开始,按照步
长,自动为规则分配一个大于现有最大编号的最小编号。假设现有规则的最大编号是 28,步长是 5,
那么系统分配给新定义的规则的编号将是 30。
1.2.5 IPv4 ACL生效时间段
时间段用于描述一个特殊的时间范围。用户可能有这样的需求:一些 ACL 规则需要在某个或某些特
定时间内生效,而在其他时间段则不利用它们进行报文过滤,即通常所说的按时间段过滤。这时,
1-4
用户就可以先配置一个或多个时间段,然后在相应的规则下通过时间段名称引用该时间段,这条规
则只在该指定的时间段内生效,从而实现基于时间段的 ACL 过滤。
如果规则引用的时间段未配置,则系统给出提示信息,并允许这样的规则创建成功,但是规则不能
立即生效,直到用户配置了引用的时间段,并且系统时间在指定时间段范围内 ACL 规则才能生效。
1.2.6 IPv4 ACL对分片报文的处理
传统的报文过滤并不处理所有 IP 报文分片,而是只对第一个(首片)分片报文进行匹配处理,后续
分片一律放行。这样,网络攻击者可能构造后续的分片报文进行流量攻击,就带来了安全隐患。
在 IPv4 ACL 的规则配置项中,通过关键字 fragment 来标识该 ACL 规则仅对非首片分片报文有效,
而对非分片报文和首片分片报文无效。不包含此关键字的规则项对非分片报文和分片报文均有效。
1.3 IPv6 ACL简介
1.3.1 IPv6 ACL分类
IPv6 ACL根据ACL序号来区分不同的ACL,可以分为三种类型,如 表 1-2所示。
表1-2 IPv6 ACL分类
IPv6 ACL类型 ACL序号范围 区分报文的依据
基本 IPv6 ACL 2000~2999 只根据源 IPv6 地址信息制定匹配规则
高级 IPv6 ACL 3000~3999 根据报文的源 IPv6 地址信息、目的 IPv6 地址信息、IPv6 承载的协议类型、协议的特性等三层、四层信息来制定匹配规则
二层 ACL 4000~4999 根据报文的源 MAC 地址、目的 MAC 地址、802.1p 优先级、二层协议类型等二层信息制定匹配规则
1.3.2 IPv6 ACL命名
用户在创建 IPv6 ACL 时,可以为 ACL 指定一个名称。每个 IPv6 ACL 最多只能有一个名称。命名
的 ACL 使用户可以通过名称唯一地确定一个 IPv6 ACL,并对其进行相应的操作。
在创建 ACL 时,用户可以选择是否配置名称。ACL 创建后,不允许用户修改或者删除 ACL 名称,
也不允许为未命名的 ACL 添加名称。
IPv6 ACL的名称对于 IPv6 ACL全局唯一,但允许与 IPv4 ACL使用相同的名称。
1.3.3 IPv6 ACL匹配顺序
一个 ACL 中可以包含多个规则,而每个规则都指定不同的报文匹配选项,这些规则可能存在重复或
矛盾的地方,在将一个报文和 ACL 的规则进行匹配的时候,到底采用哪些规则呢?就需要确定规则
的匹配顺序。
IPv6 ACL 支持两种匹配顺序:
z 配置顺序:按照用户配置规则的先后顺序进行规则匹配。
z 自动排序:按照“深度优先”的顺序进行规则匹配。
1-5
1. 基本 IPv6 ACL的“深度优先”顺序判断原则如下
(1) 先比较源 IPv6 地址范围,源 IPv6 地址范围小(前缀长)的规则优先;
(2) 如果源 IPv6 地址范围相同,则先配置的规则优先。
2. 高级 IPv6 ACL的“深度优先”顺序判断原则如下
(1) 先比较协议范围,指定了 IPv6 协议承载的协议类型的规则优先;
(2) 如果协议范围相同,则比较源 IPv6 地址范围,源 IPv6 地址范围小(前缀长)的规则优先;
(3) 如果协议范围、源 IPv6 地址范围相同,则比较目的 IPv6 地址范围,目的 IPv6 地址范围小(前
缀长)的规则优先;
(4) 如果协议范围、源 IPv6 地址范围、目的 IPv6 地址范围相同,则比较四层端口号(TCP/UDP
端口号)范围,四层端口号范围小的规则优先;
(5) 如果上述范围都相同,则先配置的规则优先。
在报文匹配规则时,会按照匹配顺序去匹配定义的规则,一旦有一条规则被匹配,报文就不再继续
匹配其它规则了,交换机将对该报文执行第一次匹配的规则指定的动作。
1.3.4 IPv6 ACL步长
关于步长的介绍请参见“1.2.4 IPv4 ACL步长”。
1.3.5 IPv6 ACL生效时间段
关于生效时间段的介绍请参见“1.2.5 IPv4 ACL生效时间段”。
2-1
2 IPv4 ACL 配置
2.1 配置时间段
对时间段的配置有如下两种情况:
z 配置周期时间段:采用每个星期固定时间段的形式,例如从星期一至星期五的 8:00 至 18:00。
z 配置绝对时间段:采用从某年某月某日某时某分起至某年某月某日某时某分结束的形式,例
如从 2000 年 1 月 28 日 15:00 起至 2004 年 1 月 28 日 15:00 结束。
2.1.1 配置时间段
表2-1 配置时间段
操作 命令 说明
进入系统视图 system-view -
创建一个时间段
time-range time-range-name { start-time to end-time days
[ from time1 date1 ] [ to time2 date2 ] | from time1 date1 [ to
time2 date2 ] | to time2 date2 }
必选
需要注意的是:
z 如果用户通过命令 time-range time-range-name start-time to end-time days 定义了一个周期
时间段,则只有系统时钟在该周期时间段内,该时间段才进入激活状态。
z 如果用户通过命令 time-range time-range-name { from time1 date1 [ to time2 date2 ] | to
time2 date2 }定义了一个绝对时间段,则只有系统时钟在该绝对时间段内,该时间段才进入激
活状态。
z 如果用户通过命令 time-range time-range-name start-time to end-time days { from time1
date1 [ to time2 date2 ] | to time2 date2 }同时定义了绝对时间段和周期时间段,则只有系统
时钟同时满足绝对时间段和周期时间段的定义时,该时间段才进入激活状态。例如,一个时
间段定义了绝对时间段:从 2004 年 1 月 1 日 0 点 0 分到 2004 年 12 月 31 日 24 点 0 分,同
时定义了周期时间段:每周三的 12:00 到 14:00。该时间段只有在 2004 年内每周三的 12:00
到 14:00 才进入激活状态。
z 在同一个名字下可以配置多个时间段,来共同描述一个特殊时间,通过名字来引用该时间。
在同一个名字下配置的多个周期时间段之间是“或”的关系,多个绝对时间段之间是“或”
的关系,而周期时间段和绝对时间段之间是“与”的关系。
z 如果不配置开始日期,时间段就是从系统可表示的最早时间(即 1970 年 1 月 1 日 0 点 0 分)
起到结束日期为止。如果不配置结束日期,时间段就是从配置生效之日起到系统可以表示的
最晚时间(即 2100 年 12 月 31 日 24 点 0 分)为止。
z 最多可以定义 256 个时间段。
2.1.2 时间段配置举例
# 配置周期时间段,时间范围为每周周一到周五的 8:00 到 18:00。
2-2
system-view
[Sysname] time-range test 8:00 to 18:00 working-day
[Sysname] display time-range test
Current time is 22:17:42 1/5/2006 Thursday
Time-range : test ( Inactive )
08:00 to 18:00 working-day
# 配置绝对时间段,时间范围为 2006 年 1 月 28 日 15:00 起至 2008 年 1 月 28 日 15:00 结束。
system-view
[Sysname] time-range test from 15:00 1/28/2006 to 15:00 1/28/2008
[Sysname] display time-range test
Current time is 22:20:18 1/5/2006 Thursday
Time-range : test ( Inactive )
from 15:00 1/28/2006 to 15:00 1/28/2008
2.2 配置基本 IPv4 ACL
基本 IPv4 ACL 只根据源 IP 地址信息制定匹配规则,对报文进行相应的分析处理。
基本 IPv4 ACL 的序号取值范围为 2000~2999。
2.2.1 配置准备
如果要配置带有时间段参数的规则,则需要定义相应的时间段。
2.2.2 配置基本 IPv4 ACL
表2-2 配置基本 IPv4 ACL
操作 命令 说明
进入系统视图 system-view -
创建基本 IPv4 ACL
并进入基本 IPv4
ACL 视图
acl number acl-number [ name
acl-name ] [ match-order { auto
| config } ]
必选
缺省情况下,匹配顺序为 config
如果用户在创建 IPv4 ACL 时指定了名称,则之后可
以通过 acl name acl-name 命令进入指定名称的
IPv4 ACL 视图
定义规则
rule [ rule-id ] { deny | permit }
[ fragment | logging | source
{ sour-addr sour-wildcard | any } |
time-range time-range-name ] *
必选
可以重复本步骤创建多条规则
需要注意的是,当基本 IPv4 ACL 被 QoS 策略引用
对报文进行流分类时,不支持配置 logging 参数
定义步长 step step-value
可选
缺省情况下,步长为 5
定义基本 IPv4 ACL
的描述信息 description text
可选
缺省情况下,基本 IPv4 ACL 没有描述信息
定义规则的描述信息 rule rule-id comment text
可选
缺省情况下,规则没有描述信息
需要注意的是:
2-3
z 当 ACL 的匹配顺序为 config 时,用户可以修改该 ACL 中的任何一条已经存在的规则,在修
改 ACL 中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当 ACL 的匹配顺
序为 auto 时,用户不能修改该 ACL 中的任何一条已经存在的规则,否则系统会提示错误信
息。
z 新创建或修改后的规则不能和已经存在的规则内容相同,否则会导致创建或修改不成功,系
统会提示该规则已经存在。
z 当 ACL 的匹配顺序为 auto 时,新创建的规则将按照“深度优先”的原则插入到已有的规则
中,但是所有规则对应的编号不会改变。
z 用户可以通过命令 acl number acl-number [ name acl-name ] match-order { auto | config }修
改 IPv4 ACL的匹配顺序为 auto或者 config,但必须在 IPv4 ACL中没有规则的时候修改,对已
经有规则的 IPv4 ACL是无法修改其匹配顺序的。
z 在使用 rule comment命令为规则定义描述信息时,该规则必须存在。
2.2.3 基本 IPv4 ACL配置举例
# 配置基本 IPv4 ACL 2000,禁止源 IP 地址为 1.1.1.1 的报文通过。
system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule deny source 1.1.1.1 0
[Sysname-acl-basic-2000] display acl 2000
Basic ACL 2000, named -none-, 1 rule,
ACL's step is 5
rule 0 deny source 1.1.1.1 0 (5 times matched)
2.3 配置高级 IPv4 ACL
高级 IPv4 ACL 可以使用报文的源 IP 地址信息、目的 IP 地址信息、IP 承载的协议类型、协议的特
性(例如 TCP 或 UDP 的源端口、目的端口,TCP 标记,ICMP 协议的消息类型、消息码等)等信
息来制定匹配规则。
高级 IPv4 ACL 支持对三种报文优先级的分析处理:
z ToS(Type of Service,服务类型)优先级
z IP 优先级
z DSCP(Differentiated Services Codepoint,差分服务编码点)优先级
用户可以利用高级 IPv4 ACL 定义比基本 IPv4 ACL 更准确、更丰富、更灵活的匹配规则。
高级 IPv4 ACL 的序号取值范围为 3000~3999。
2.3.1 配置准备
如果要配置带有时间段参数的规则,则需要定义相应的时间段。
2-4
2.3.2 配置高级 IPv4 ACL
表2-3 配置高级 IPv4 ACL
操作 命令 说明
进入系统视图 system-view -
创建高级 IPv4 ACL
并进入高级 IPv4
ACL 视图
acl number acl-number [ name
acl-name ] [ match-order { auto |
config } ]
必选
缺省情况下,匹配顺序为 config
如果用户在创建 IPv4 ACL 时指定了名称,则
之后可以通过 acl name acl-name 命令进入指
定名称的 IPv4 ACL 视图
定义规则
rule [ rule-id ] { deny | permit } protocol
[ { established | { ack ack-value | fin
fin-value | psh psh-value | rst rst-value |
syn syn-value | urg urg-value } * } |
destination { dest-addr dest-wildcard |
any } | destination-port operator port1
[ port2 ] | dscp dscp | fragment |
icmp-type { icmp-type icmp-code |
icmp-message } | logging |
precedence precedence | reflective |
source { sour-addr sour-wildcard |
any } | source-port operator port1
[ port2 ] | time-range time-range-name |
tos tos ] *
必选
可以重复本步骤创建多条规则
目前不支持在配置 ACL 规则时使用 reflective
参数
需要注意的是,当高级 IPv4 ACL 被 QoS 策略
引用对报文进行流分类时,不支持配置
logging 参数;不支持配置操作符 operator 取
值为 neq
定义步长 step step-value
可选
缺省情况下,步长为 5
定义高级 IPv4 ACL
的描述信息 description text
可选
缺省情况下,IPv4 ACL 没有描述信息
定义规则的描述信
息 rule rule-id comment text
可选
缺省情况下,规则没有描述信息
需要注意的是:
z 当 ACL 的匹配顺序为 config 时,用户可以修改该 ACL 中的任何一条已经存在的规则,在修
改 ACL 中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当 ACL 的匹配顺
序为 auto 时,用户不能修改该 ACL 中的任何一条已经存在的规则,否则系统会提示错误信
息。
z 新创建或修改后的规则不能和已经存在的规则相同,否则会导致创建或修改不成功,系统会
提示该规则已经存在。
z 当 ACL 的匹配顺序为 auto 时,新创建的规则将按照“深度优先”的原则插入到已有的规则
中,但是所有规则对应的编号不会改变。
z 用户可以通过命令 acl number acl-number [ name acl-name ] match-order { auto | config }修
改 IPv4 ACL的匹配顺序为 auto或者 config,但必须在 IPv4 ACL中没有规则的时候修改,对已
经有规则的 IPv4 ACL是无法修改其匹配顺序的。
z 在使用 rule comment命令为规则定义描述信息时,该规则必须存在。
2-5
浙公网安备 33021202002483