1 ACL

1.1?? 职能介绍

1.1.1? ACL概述

ACL（Access Control List，接见节造列表）也称为接见列表，有的文档中还称之为包过滤。ACL通过界说一系列蕴含“允许”或“回绝”的规定语句，并将这些规定利用到设备接口上，对进出接口的数据包进行节造，从而提升网络设备的安全性。

配置ACL可能保险网络安全、靠得住和不变，例如：

l 预防报文攻击：针对IP、TCP或者ICMP报文的攻击，对这些攻击报文做“回绝”处置。

l 网络接见节造：限杜酌户接见服务，例如只允许接见WWW和电子邮件服务，其他服务如Telnet则不容�；蛘咧辉市碓诟ǖ墓Ψ蚨文诮蛹�，或者只允许特定主机接见网络等。

l 网络流量节造：结合QoS可以为沉要的数据流进行优先服务保障。关于QoS的配置请拜见“QoS”。

1.1.2? 工作道理

1. 根基概想

l 接见列表

接见列表有：根基接见列表和动态接见列表。

用户能够凭据必要选择根基接见列表或动态接见列表。通常情况下，使用根基接见列表已经可能满足安全必要。但攻击者可能通过软件假冒源地址糊弄设备，从而接见网络。而动态接见列表在用户接见网络以前，要求通过身份认证，使攻击者难以接见网络。在敏感区域能够使用动态接见列表保障网络安全。

注明

通过假冒源地址糊弄设备即电子糊弄是所有接见列表固有的问题，使用动态列表也会遭逢电子糊弄问题：攻击者可能在用户通过身份认证的有效接见期间，假冒用户的地址接见网络。解决该问题的步骤有两种，一种是尽量设置更短的用户接见空闲功夫；另一种是使用IPsec加密和谈对网络数据进行加密，确保进入设备时，所有的数据都是加密的。

接见列表通常配置在以下地位的网络设备上：

○ 内部网和表部网（如Internet）之间的设备

○ 两个网络接壤部门的设备

○ 接入节造端口的设备

l ACE

ACE（Access Control Entry，接见节造条款）是蕴含“允许（Permit）”或“回绝（Deny）”两种作为，以及过滤规定的一条语句。每个ACE都有一个序号，该序号可由设备自动分配或者手动配置。一条ACL中蕴含一个或者多个ACE。ACL通过ACE对数据包进行标识过滤。

ACL中ACE的挨次决定了该ACE在接见列表中的匹配优先级。网络设备在处置报文时，按ACE的序号从幼到猛进行规定匹配，倒匾到匹配的ACE后则终场查抄后续的ACE。

例如创建一条序号为10的ACE，它回绝所有的数据流通过。

10 deny ip any any

20 permit tcp 192.168.12.0 0.0.0.255 eq telnet any

由于序号为10的ACE回绝了所有的IP报文，即便192.168.12.0/24网络的主机Telnet报文，能够被序号为20的ACE匹配，该报文也将被回绝。由于设备在查抄到报文和序号为10的ACE匹配后，便终场查抄后面序号为20的ACE。

又例如创建一条编号为10的ACE，它允许所有的IPv6数据流通过。

10 permit ipv6 any any

20 deny ipv6 host 200::1 any

由于序号为10的ACE允许所有的IPv6报文通过，主机200::1发出的IPv6报文，即便匹配序号为20的ACE，该报文也将被允许通过。由于设备在查抄到报文和第一条ACE匹配，便终场查抄后面序号为20的ACE。

l 步长

当设备为ACE自动分配序号时，两个相邻ACE序号之间的差值，称为步长。例如，若是将步长设定为5，则设备依照5、10、15…这样的递增挨次自动为ACE分配序号。如下所示。

5 deny ip any any

10 permit tcp 192.168.12.0 0.0.0.255 eq telnet any

当步长扭转后，ACE序号会自动按新步长值沉新分配。例如，当把步长改为10后，原来ACE序号从5、10、15造成5、15、25。

通过扭转步长能够在两个ACE之间插入新的ACE。例如创建了4个ACE，并通过手动配置ACE序号别离为1、2、3和4。若是但愿能在序号1后面插入一条新的ACE，则能够先将步长批改为2，此时原先4个ACE的序号自动变为1、3、5和7，再插入一条手动配置的序号为2的ACE。

l 过滤域模板

过滤域指的是天生一条ACE时，凭据报文中的哪些字段对报文进行鉴别、分类。过滤域模板就是这些字段的组合。ACE凭据以太网报文的某些字段来标识以太网报文，这些字段蕴含：

二层字段（Layer 2 Fields）：

○ 48位的源MAC地址（必须申明所有48位）

○ 48位的主张MAC地址（必须申明所有48位）

○ 16位的二层类型字段

三层字段（Layer 3 Fields）：

○ 源IP地址字段（能够申明全数源IP地址值，或使用子网来界说一类流）

○ 主张IP地址字段（能够申明全数主张IP地址值，或使用子网来界说一类流）

○ 和谈类型字段

四层字段（Layer 4 Fields）：

○ 能够申明一个TCP的源端口、主张端口或者都申明，还能够申明源端口或主张端口的领域。

○ 能够申明一个UDP的源端口、主张端口或者都申明，还能够申明源端口或主张端口的领域。

例如，在创建一条ACE时必要凭据报文的主张IP字段，对报文进行鉴别和分类。而在创建另一条ACE时，必要凭据报文的源IP地址字段和UDP的源端口字段，对报文进行鉴别和分类。这两条ACE就使用了分歧的过滤域模板。

l 规定

规定（Rules）指的是ACE过滤域模板对应的值。例如，一条ACE的内容如下：

10 permit tcp host 192.168.12.2 any eq telnet

在这条ACE中，过滤域模板为以下字段的集中：源IP地址字段、主张IP地址字段、IP和谈字段、TCP主张端口字段。对应的值（即规定）别离为：源IP地址为Host 192.168.12.2、主张IP地址为Any（即所有主机）、IP和谈为TCP、TCP主张端口为Telnet。如图1-1所示。

图1-1 对ACE：permit tcp host 192.168.12.2 any eq telnet的分析

注明

● 过滤域模板可所以三层字段（Layer 3 Field）和四层字段（Layer 4 Field）的集中，也可所以多个二层字段（Layer 2 Field）的集中。但尺度与扩大ACL的过滤域模板不能是二层和三层字段、二层和四层字段、二层和三层字段、四层字段的集中。要使用二层、三层、四层字段集中，能够利用专家级扩大接见节造列表。

● 出方向ACL关联SVI接口（Switch Virtual Interface，互换设备虚构接口）确当苦衷项：支持IP尺度、IP扩大、MAC扩大和专家级ACL利用。

● 若是在MAC扩大和专家级ACL中匹配主张MAC，将这样的ACL利用到SVI接口的出方向时，表项会被设置，但无法生效。若是想要在IP扩大，专家级ACL中匹配主张IP，而主张IP不在所关联的SVI接口的子网IP领域内时，配置的ACL将无法生效。例如VLAN 1的地址为192.168.64.1 255.255.255.0，创建一条IP扩大的ACL，ACE为deny udp any 192.168.65.1 0.0.0.255 eq 255，将该ACL利用到VLAN 1的出口，将无法生效。由于主张IP不在VLAN 1子网IP领域内，若是ACE为deny udp any 192.168.64.1 0.0.0.255 eq 255将能够生效，由于主张IP切合划定。

● 由于ACL资源（TCAM/KEY/端口组/Range等）属动态分配资源，即业务下发时战术整合伙源�？槠揪莸鼻暗�ACL资源情况进行分配，先到的业务先分配ACL资源，后到的业务若是ACL资源不够就会存在ACL资源分配失败，并提醒谬误syslog。设备沉启过程或热拔插等触发数据同步的过程，各业务无法保障按原来的时序将业务同步，有可能触发由于业务时序不一样导致正本能够分配到ACL资源的业务分配不到ACL资源，ACL资源不及会提醒谬误syslog。

产品/版本支持情况

● 作用在物理口和三层聚合接口上的出方向ACL，仅支吃欹配驰名报文（单播、组播），不支吃欹配未驰名单播，即对于未驰名报文或者广播报文，接口上配置的出方向ACL不生效。

● 入方向ACL和802.1x，全局IP和MAC绑定，端口安全，IP Source Guard共用时，Permit和默认Deny的ACE不生效，其他Deny表项的ACE正常生效。

● 入方向ACL和QoS共用时，Permit表项的ACE不生效，其他Deny表项的ACE正常生效；默认Deny表项的ACE在QoS表项后生效。

● 由于硬件容量的限度，作用在多个SVI接口的入方向ACL，若是再增长ACE，保留配置沉启后可能导致部门SVI接口上的ACL无法配置成功。

注明

● 当配置专家级的ACL，并利用在接口的出方向时，若是该ACL中的某些ACE蕴含三层匹配信息（例如IP，L4port等），将导致从利用接口进入的非IP报文无法受该ACL的Permit和Deny规定节造。

● 利用ACL时，若是ACL（蕴含IP ACL和专家级扩大ACL）中的ACE匹配了非二层字段，例如源IP，主张IP时，对于带标签的MPLS报文匹配是无效的。

2. IP ACL

IP ACL重要用于对进出设备的IPv4报文进行精密化节造，用户能够凭据现实必要阻止或允许特定的IPv4报文进入网络，从而实现节造IP用户接见网络资源的主张。

在IP ACL中界说一系列的接见规定，并将接见列表利用在接口的入方向或出方向上，也能够对IP ACL进行全局利用。当IPv4报文进出设备时，设备通过判断报文是否与规定匹配来决定是否转发或阻断报文。

要在设备上配置IP ACL，必须为接见列表指定一个唯一的名称或编号，以便唯一标始个接见列表。

IP ACL分为IP尺度ACL和IP扩大ACL。表1-1列出了IP尺度ACL和IP扩大ACL能够使用的编号领域。

表1-1 IP尺度ACL和IP扩大ACL编号领域

类型	编号领域	匹配域
IP尺度ACL	1~99，1300~1999	源IP地址
IP扩大ACL	100~199，2000~2699	● 源IP地址 ● 主张IP地址 ● IP和谈号 ● 四层源端标语或ICMP type ● 四层主张端标语或ICMP code

类型

编号领域

匹配域

IP尺度ACL

1~99，1300~1999

源IP地址

IP扩大ACL

100~199，2000~2699

● 源IP地址

● 主张IP地址

● IP和谈号

● 四层源端标语或ICMP type

● 四层主张端标语或ICMP code

IP尺度ACL重要凭据源IP地址节造报文的转发或阻断。IP扩大ACL通过对表中匹配域的组合，节造报文的转发或阻断。

对于单一的接见列表来说，能够使用多条独立的接见列表语句来界说多种规定，其中所有的语句引用统一个编号或名字，以便将这些语句绑定到统一个接见列表。

注明

ACL规定中的ICMP code匹配域对ICMP type为3的ICMP报文无效。若是ACL规定中配置了要匹配ICMP报文的code字段，当Type为3的ICMP报文进入设备执行ACL匹配时，匹配了局可能与预期的不一样。

每个IP ACL的末尾隐含着一条“回绝所罕见据流”的规定语句。若是报文与任何规定都不匹配，将被回绝。如下例：

access-list 1 permit host 192.168.4.12

此列表只允许源主机为192.168.4.12的报文通过，其它主机都将被回绝。由于这条接见列表最后蕴含了一条文则语句：

access-list 1 deny any

又例如：

access-list 1 deny host 192.168.4.12

若是列表只蕴含以上这一条语句，则任何主机报文通过该接口时都将被回绝。

把稳

在界说接见列表的时辰，要思考到路由更新的报文。由于接见列表末尾“回绝所罕见据流”，可能导致所有的路由更新报文被阻断。

3. MAC扩大ACL

MAC扩大ACL基于报文的二层信息来对进出设备的报文进行精密化节造。用户能够凭据现实必要阻止或允许特定的二层报文进入网络，从而实现节造�；ね缱试床皇芄セ骰蛘呓谠煊没Ы蛹缱试吹闹髡�。

在MAC扩大ACL中界说一系列的接见规定，将接见列表利用在接口的入方向或出方向上。当报文进出设备时，设备判断报文是否与规定匹配来决定是否转发或阻断报文。

要在设备上配置MAC扩大ACL，必须为接见列表指定一个唯一的名称或编号，以便唯一标始个接见列表。表1-2列出MAC扩大ACL的编号领域。

表1-2 MAC扩大ACL编号领域

和谈	编号领域	匹配域
MAC扩大ACL	700~799	● 源MAC地址 ● 主张MAC地址 ● 以太网和谈类型

和谈

编号领域

匹配域

MAC扩大ACL

700~799

● 源MAC地址

● 主张MAC地址

● 以太网和谈类型

MAC扩大ACL凭据源或主张MAC地址以及报文的以太网类型来节造报文的转发或阻断。

对于单一的MAC扩大ACL来说，能够使用多条独立的接见列表语句来界说多种规定，其中所有的语句引用统一个编号或名字，以便将这些语句绑定到统一个接见列表。

注明

若是MAC扩大ACL规定中没有指定是针对IPv6报文，即没有界说以太网类型字段或界说的以太网类型字段值不是0x86dd，那么MAC扩大ACL不匹配IPv6报文。若是用户想匹配IPv6报文，请使用IPv6 ACL。

每个MAC扩大ACL的末尾隐含着一条“回绝所罕见据流”的规定语句。若是报文与任何规定都不匹配，将被回绝。如下例：

access-list 700 permit host 00d0.f800.0001 any

此列表只允许来自MAC地址为00d0.f800.0001的主机发出的报文通过，来自其它主机的报文都将被回绝。由于这条接见列表最后蕴含了一条文则语句：

access-list 700 deny any any

4. 专家级扩大ACL

专家级扩大ACL基于报文的二层和三层信息对进出设备的报文进行精密化节造�Ｄ芄唤ḿ壹独┐�ACL看作是IP ACL和MAC扩大ACL的一种结合与加强。专家级扩大ACL中的规定不仅能够蕴含IP ACL规定和MAC扩大ACL规定，还能够指定基于VLAN ID来匹配报文。

在专家级扩大ACL中界说一系列的接见规定，并将接见列表利用在接口的入方向或出方向上。报文进出设备时，设备就会通过判断报文是否与接见规定匹配来决定是否转发或阻断报文。

要在设备上配置专家级扩大ACL，必须为和谈的接见列表指定一个唯一的名称或编号，以便在和谈内部可能唯一标始个接见列表。表1-3列出专家级扩大ACL的编号领域。

表1-3 专家级扩大ACL的编号领域

和谈	编号领域	匹配域
专家级扩大ACL	2700~2899	● 源IP地址 ● 主张IP地址 ● IP和谈号 ● 四层源端标语或ICMP type ● 四层主张端标语或ICMP code ● 源MAC地址 ● 主张MAC地址 ● 以太网和谈类型 ● VLAN ID

和谈

编号领域

匹配域

专家级扩大ACL

2700~2899

● 源IP地址

● 主张IP地址

● IP和谈号

● 四层源端标语或ICMP type

● 四层主张端标语或ICMP code

● 源MAC地址

● 主张MAC地址

● 以太网和谈类型

● VLAN ID

专家级扩大ACL通过对表中匹配域进行组合，节造报文的转发或阻断。

对于单一的专家级扩大ACL来说，能够使用多条独立的接见列表语句来界说多种规定，其中所有的语句需引用统一个编号或名字，以便将这些语句绑定到统一个接见列表。

注明

若是专家级扩大ACL规定中没有指定是针对IPv6报文，即没有界说以太网类型字段或以太网类型字段不是0x86dd，那么专家级扩大ACL不匹配IPv6报文。若是用户想匹配IPv6报文，请使用IPv6 ACL。

产品/版本支持情况

● 数据中心产品的专家级扩大ACL中，VXLAN字段选项重要是为了匹配VXLAN的内层报文，因而VXLAN模式下能够利用专家级ACL匹配VXLAN的内层IP字段。

● 当设备必要匹配VXLAN报文时，能够指定VXLAN和谈主张端标语用于确认VXLAN报文，同时能够指定匹配该VXLAN报文是否携带Tag。

产品/版本支持情况

数据中心产品的专家级扩大ACL中UDF选项是用户自界说字段匹配域，由用户指定必要匹配的和谈层、偏移值、数据和掩码。

每个专家级扩大ACL的末尾隐含着一条“回绝所罕见据流”规定语句。若是报文与任何规定都不匹配，将被回绝。如下例：

access-list 2700 permit 0x0806 any any any any any

此列表只允许以太网类型为0x0806（即ARP）的报文通过，其他类型的报文都将被回绝。由于这条接见列表最后蕴含了一条文则语句：

access-list 2700 deny any any any any

5. IPv6 ACL

IPv6 ACL重要用于对进出设备的IPv6报文进行精密化节造。用户能够凭据现实必要阻止或允许特定的IPv6报文进入网络，从而实现节造IPv6用户接见网络资源的主张。

在IPv6 ACL中界说一系列的接见规定，并将接见列表利用在接口的入方向或出方向上。当IPv6报文进出设备时，设备判断报文是否与规定匹配来决定是否转发或阻断报文。

要在设备上配置接见列表，必须为和谈的接见列表指定一个唯一的名称。

每个IPv6 ACL的末尾隐含着一条“回绝所有IPv6数据流”规定语句，因而若是报文与任何规定都不匹配，将被回绝。如下例：

ipv6 access-list ipv6_acl

?10 permit ipv6 host 200::1 any

此列表只允许源主机为200::1的IPv6报文通过，其它主机发出的IPv6报文都将被回绝。由于这条接见列表最后蕴含了一条文则语句：

deny ipv6 any any

6. 专家级高级ACL（ACL80）

专家级高级ACL，即ACL80，也称为自界说ACL。ACL80支持对报文的前80个字节中的指定字节按比特位进行匹配。

ACL80匹配时有三个身分：匹配域内容、匹配域掩码以及匹配的肇始地位（即偏移量offset）。匹配域内容和匹配域掩码两者的比特位是逐一对应的。匹配域内容指明必要匹配的字段值，匹配域掩码指明对应比特位是否必要匹配。当必要匹配某个比特位时，必须将匹配域掩码中对应的比特位设置为1。若是匹配域掩码对应的比特位设置为0，无论匹配域内容中对应的比特位是什么，都不会匹配。例如：

10 permit 00d0f8123456 ffffffffffff 0

20 deny 00d0f8654321 ffffffffffff 6

在序号为10的ACE中，匹配域内容为00d0f8123456，匹配域掩码为ffffffffffff，偏移量为0。这条文则暗示若是报文的主张MAC为00d0f8123456，则允许报文转发。

在序号为20的ACE中，匹配域内容为00d0f8654321，匹配域掩码为ffffffffffff，偏移量为6。这条文则暗示若是报文的源MAC为00d0f8654321，则阻断该报文。

正确使用自界说接见节造列表必要对二层数据帧结构有深刻的相识。二层数据帧前64个字节示意如图1-2所示。图中每个字母代表一个十六进造数，每两个字母代表一个字节。

图1-2 二层数据帧前64个字节示意图

各个字母的寓意及偏移量取值如表1-4所示。

表1-4 字母的寓意及偏移量取值

字母	寓意	偏移量	字母	寓意	偏移量
A	主张MAC	0	O	TTL字段	34
B	源MAC	6	P	和谈号	35
C	VLAN Tag字段	12	Q	IP校验和	36
D	数据帧长度字段	16	R	源IP地址	38
E	DSAP(主张服务接见点)字段	18	S	主张IP地址	42
F	SSAP(源服务接见点)字段	19	T	TCP源端口	46
G	Ctrl字段	20	U	TCP主张端口	48
H	Org Code字段	21	V	序列号	50
I	封装的数据类型	24	W	确认字段	54
J	IP版本号	26	XY	IP头长度和保留比特位	58
K	TOS字段	27	Z	保留比特位和Flags比特位	59
L	IP包的长度	28	a	Windows Size字段	60
M	ID号	30	b	其他	62
N	Flags字段	32

表中各个字段的偏移量是它们在SNAP＋Tag的802.3数据帧中的偏移量。在自界说接见节造列表中，通过匹配域掩码和偏移量，从数据帧的前80个字节中提取指定字节，再和匹配域内容比力，从而对报文作相应的处置。例如，用户允许所有的TCP报文转发，则能够将匹配域内容界说为“06”，匹配域掩码界说为“ff”，偏移量界说为35。创建序号为10的ACE如下。

10 permit 06 ff 35

将接见列表利用在接口的入方向或出方向上。当报文进出设备时，通过匹配域掩码和偏移量，从数据帧中将TCP和谈号字段的内容提取出来，再和匹配域内容比力，匹配出所有的TCP报文并进行转发。

7. ACL沉定向

ACL沉定向的作用是将切合规定的报文沉定向至指定接口转发，或在指定接口上抓取报文加以分析。

ACL沉定向在指定接口上绑定分歧的ACL战术，并给每个战术指定一个输出接口。当该接口收到报文时，将逐条查找绑定在该接口上的ACL战术。若是报文切合某条战术描述的特点，将从该战术所指定的输出接口转发。

8. 全局安全ACL

由于网络中存在各类病毒报文，且各端口下的病毒报文鉴别特点一样或类似。端口安全ACL常被配置作为病毒报文过滤及防备使用，用于过滤切合某些特点的报文，例如：伪造的TCP攻击报文。通过创建ACL并增长匹配各类病毒报文特点的ACE后，将ACL利用到设备各个端口，达到过滤病毒报文的作用。端口安全ACL用于病毒过滤等抗攻击场景时，存在较多不便。

l 端口必要逐个配置。存在沉复配置、操作机能低下及ACL资源过度亏损的情况。

l 安全ACL的接见节造作用被弱化。由于被用于病毒过滤，安全ACL的限度路由更新、限度网络接见等根基职能无法正常使用。

全局安全ACL能够在不影响端口安全ACL的情况下，进行全局抗病毒部署及防御。全局安全ACL只必要一条号令即在所有二层接口上生效。

当全局安全ACL与端口安全ACL同时配置时，两者共同生效。对于匹配全局安全ACL规定的报文将被当作病毒报文直接过滤，对于没有匹配全局安全ACL规定的报文将持续受端口安全ACL节造。若是想让某些端口不受全局安全ACL的节造，能够在这些接口上独立关关全局安全ACL职能。当全局、接口和VLAN的安全ACL同时利用时，优先级接口 > VLAN > 全局。

为了预防全局安全ACL被误配置，新增全局安全ACL无效开关。配置全局安全ACL无效后，再配置全局安全ACL，会提醒配置失败。若是已经配置了全局安全ACL，再配置全局安全ACL无效，那么会将当前所有全局安全ACL删除，并给出日志提醒。

9. SVI Router ACL

利用在SVI接口上的接见列表（即SVI ACL）会同时对VLAN内二层转发的报文及VLAN间的路由报文生效，从而导致统一VLAN内分歧用户之间无法正常通讯等异常景象。使用SVI Router ACL职能能够使利用在SVI接口上的接见列表仅对VLAN间的路由报文生效。

缺省情况下，SVI Router ACL职能默认关关。SVI ACL同时对VLAN间的三层转发报文及VLAN内的桥转发报文生效。SVI Router ACL职能开启后，SVI ACL仅对VLAN间的三层转发报文生效。

10. ?报文匹配日志

报文匹配日志用于监控接见列表规定的运行状态，为日常网络守护以及网络优化提供必要的信息。

为了让用户更好的把握ACL在设备中的运行状态，在增长ACE时能够凭据必要决定是否指定报文匹配日志输出选项。若是指定了该选项，则当ACE匹配到报文时输出匹配日志信息。ACL基于ACE打印日志信息，即设备周期性的打印匹配报文的ACE信息，以及匹配的报文数量。如下：

*Sep　9 16:23:06: %ACL-6-MATCH: ACL 100 ACE 10 permit icmp any any, match 78 packets.

为合理节造日志输出的数量和频率，ACL支持配置日志输出距离的配置。

把稳

● 带日志选项的接见列表规定会使用更多的硬件资源，若是配置的所有规定都带有日志选项，则会导致设备的硬件战术容量减半。

● 默认报文匹配日志输出距离是0分钟，即不输出ACL匹配日志。在配置接见列表规定时指定了日志选项后，还必要配置输出距离，不然不会输出匹配日志。

● 对于带日志选项的规定，若是指定的功夫距离内没有匹配到任何报文，则不会输出与该规定有关的报文匹配日志；若是指定的功夫距离内匹配到报文，则功夫距离到期后，会输出与该规定有关的报文匹配日志。其中的报文射中数量为该功夫距离内该规定匹配到的报文总数，即为该规定上一次输出日志到本次输出日志之间射中的报文数。

产品/版本支持情况

仅支持为IP ACL和IPv6 ACL规定配置日志选项。

11. ?报文匹配计数

出于网络治理的必要，用户可能想知路某条接见列表规定是否匹配到报文以及匹配数量。ACL提供了基于规定的报文匹配计数职能。用户能够基于ACL开启和关关该ACL下的所有规定的报文匹配计数职能。当有报文匹配到了这条文则，对应的匹配计数就相应地增长。用户可通过ACL的统计断根号令将该ACL下所有规定的报文匹配计数清零，以便沉新统计。

把稳

开启ACL的报文匹配计数职能必要更多的硬件表项，极端情况下会使设备能够配置的硬件战术容量减半。

产品/版本支持情况

在IP ACL、MAC扩大ACL、专家级扩大ACL和IPv6 ACL上开启报文匹配计数职能。

12. ?ACL生效功夫段

若是用户必要在指定的功夫段内对某些流量进行节造，例如，不容在工作功夫使用谈天工具�Ｄ芄煌ü渲�ACE的生效功夫段，节造流量通过的功夫。功夫段分为绝对功夫和周期功夫两种。

绝对功夫暗示一个指定肇始功夫以及实现功夫的功夫区间。该功夫区间不会循环出现，也没有周期。例如“2000年1月1日12：00：00至2001年1月1日12：00：00”。

周期功夫暗示一个周期性的功夫区间。例如“每周一8：00到每周五17：00”。

关于功夫段的配置请拜见“基础配置指南”中的“Time Range”。

13. ?吩飕报文匹配模式

使用吩飕报文匹配模式能够使接见列表对吩飕报文进行更精密化的节造。

对于IP报文，在网络传输时中可能会被吩飕。报文产生吩飕时，只有首片报文带有四层信息，例如TCP或UDP端标语、ICMP类型和ICMP编码等，其他的吩飕报文都不带有这些四层信息。在默认的吩飕报文匹配模式下，若是ACL规定带有Fagment标识，则只会匹配非首片报文；若是ACL规定不带有Fragment标识，则匹配所有报文，蕴含首片报文和后续的所有吩飕报文。除了默认的吩飕报文匹配模式表，还提供另一种新的吩飕报文匹配步骤，用户能够凭据必要在指定的ACL上进行切换。在新的吩飕报文匹配模式下，当ACL规定不带有Fragment标识，若是报文被吩飕，首片报文会匹配规定中用户界说的所有匹配域(蕴含三层和四层信息)，而非首片报文则只会匹配规定中的非四层信息。

产品/版本支持情况

● 仅在IP扩大ACL和专家级扩大ACL上支持吩飕报文匹配模式的切换。

14. ?全局节造面安全ACL

在某些利用场景中，必要绑定ACL限度源IP对TCP握手首包进行处置，而不是成立TCP衔接后再进行限度。使用全局节造面ACL实现仅软件过滤，不仅能够削减对硬件资源的亏损，并且可能满足对TCP首包进行处置的需要。将安全ACL通过节造面利用号令利用到全局，暗示该ACL仅软件生效。

全局节造面ACL在所有二层以太网接口上生效，ACL表项不利用到硬件，仅对软件生效，从而削减对硬件资源的损耗；当进行TCP握手时，软件ACL对TCP首包进行查抄，对于射中ACL的TCP报文进行过滤，实现对首包过滤的主张。

注明

● 全局节造面ACL仅对软件过滤生效。

● 全局节造面ACL不受全局ACL例表口配置限度，配置例表口后全局节造面ACL依然生效

● 全局节造面ACL能够在二层接口上生效，也能够在三层接口上生效。即能够在以下类型的接口上都生效：Access口、Trunk口、Hybrid口、三层以太网接口、二层聚合接口或三层聚合接口。在SVI接口和聚合成员接口上不生效。

1.2?? 配置工作概览

ACL配置工作如下：

(1) 配置ACL。以下配置工作请至少选择其中一项进行配置。

○ 配置IPv6 ACL

(2) （可�。�配置ACL沉定向

(3) （可�。�配置全局安全ACL

(4) （可�。�配置吩飕报文匹配模式

(5) （可�。�配置SVI Router ACL

(6) （可�。�配置ACL故障复原

1.3?? 配置IP尺度ACL

1.3.1? 职能简介

创建和利用IP尺度ACL，对接口上进出的IPv4报文进行节造，不容或允许特定的IPv4报文进入网络，从而实现节造IP用户接见网络资源的主张。

1.3.2? 配置限杜纂领导

l 若是只想通过查抄报文的源IP地址来节造用户的网络资源接见权限，那么能够配置IP尺度ACL。

l IP尺度ACL能够凭据用户的散布情况，在接入、汇聚或主题设备上配置。IP尺度ACL只对被配置的设备有效，不会影响网络中的其他设备。

1.3.3? 配置工作简介

IP尺度ACL配置工作如下：

(1) 创建IP尺度ACL

(2) 利用IP尺度ACL

1.3.4? 创建IP尺度ACL

1. 职能简介

创建IP尺度ACL并配置规定。

2. 配置限杜纂领导

l IP尺度ACL中允许无规定。没有配置规定时，ACL隐含一条“回绝所罕见据流”的规定，不容所有IPv4报文进入设备。

l 若是想让ACL的某些规定在指定的功夫生效，或在指定的功夫内失效，例如让ACL在一个星期的某些功夫段内生效等�Ｄ芄慌渲么�time-range选项的ACL规定。

l 配置带time-range选项的ACL规定时，必要配置对应的功夫段选项。关于功夫段的配置请拜见“基础配置指南”中的“Time Range”。

l 配置带log选项的ACL规定会使用更多的硬件资源，若是配置的所有规定都带有log选项，则会导致设备的硬件战术容量减半。

l 默认报文匹配日志输出距离是0分钟，即不输出ACL匹配日志。在配置ACL规定时指定了log选项后，还必要配置输出距离，不然不会输出匹配日志。

l 对于带log选项的规定，若是指定的功夫距离内没有匹配到任何报文，则不会输出与该规定有关的报文匹配日志；若是指定的功夫距离内匹配到报文，则功夫距离到期后，会输出与该规定有关的报文匹配日志。其中的报文射中数量为该功夫距离内该规定匹配到的报文总数，即为该规定上一次输出日志到本次输出日志之间射中的报文数。

l 若是配置了好多ACL或规定，但没有为这些ACL或规定配置注解信息。在现实的网络守护过程中，将难以分辨这些ACL或规定的用处。为ACL或规定配置注解信息，能够方便理解ACL用处。

3. 配置步骤

(1) 进入特权模式。

enable

(2) 进入全局配置模式。

configure terminal

(3) 创建IP尺度ACL和规定。请选择其中一项进行配置。

○ 创建数字索引的IP尺度ACL和规定。

access-list acl-number { deny | permit } { source-ipv4-address source-ipv4-wildcard | host source-ipv4-address | any } [ time-range time-range-name ] [ log ]

缺省情况下，不存在IP尺度ACL和规定。

○ 创建数字索引或者定名的IP尺度ACL和规定。请顺次执行以下号令配置IP尺度ACL和规定。

ip access-list standard { acl-name | acl-number }

缺省情况下，不存在IP尺度ACL。

[ sequence-number ] { deny | permit } { source-ipv4-address source-ipv4-wildcard | host source-ipv4-address | any } [ time-range time-range-name ] [ log ]

缺省情况下，IP尺度ACL中存在一条回绝类型的规定。

(4) （可�。┡渲帽ㄎ钠ヅ淙罩靖戮嗬�。

ip access-list log-update interval time-value

缺省情况下，报文匹配日志更新距离为0分钟，暗示不输出ACL匹配日志。

(5) （可�。┡渲�ACL注解信息。请选择其中一项进行配置。

○ 为数字索引的IP尺度ACL配置注解信息。

access-list acl-number list-remark text

○ 为数字索引或者定名的IP尺度ACL配置注解信息。

list-remark text

缺省情况下，ACL没有配置注解信息。

(6) （可�。┡渲�IP尺度ACL规定注解信息。请选择其中一项进行配置。

○ 为数字索引的IP尺度ACL规定配置注解信息。

access-list acl-number remark text

○ 为数字索引或者定名的IP尺度ACL配置注解信息。

remark text

缺省情况下，ACL规定没有配置注解信息。

(7) （可�。┛�IP尺度ACL的报文匹配统计职能。

ip access-list counter { acl-name | acl-number }

缺省情况下，IP尺度ACL的报文匹配统计职能处于关关状态。

(8) （可�。┡渲�IP尺度ACL规定步长。

ip access-list resequence { acl-name | acl-number } start-value step-value

缺省情况下，IP尺度ACL规定序号肇始值为10，规定序号增量值为10。

1.3.5? 利用IP尺度ACL

1. 职能简介

将IP尺度ACL利用到全局配置模式、接口配置模式、SVI接口配置模式、VXLAN配置模式下，使IP尺度ACL生效。

2. 配置限杜纂领导

l 设备接口的入方向或出方向上只能利用一条IP ACL或一条MAC扩大ACL，或者利用一条专家级ACL。除此之表，还能够再利用一条IPv6 ACL。

l 配置带in或out选项，暗示必要指定是对进入设备的报文生效，还是对从设备转发出去的报文生效。

l 配置带counter-only选项能够对某些特点的报文进行计数统计。计数统计只对该ACL接见类别中的Permit规定生效，Deny规定不生效。

l 当一条ACL被用做counter-only ACL后，该条ACL不能在全局开启计数职能，也不能在全局和接口上利用通常ACL，即一样acl-number或acl-name的ACL不能同时用做counter-only ACL和通常ACL。

l 配置带control-plane选项，暗示仅软件生效ACL，达到节约硬件资源的主张。

l 配置带forward-plane选项，暗示仅硬件生效ACL。

l 配置带forward-control-plane选项，暗示软件和硬件都生效ACL。

3. 配置步骤

(1) 进入特权模式。

enable

(2) 进入全局配置模式。

configure terminal

(3) （可�。┤掷�IP尺度ACL。

ip access-group { acl-name | acl-number } { in | out } [ control-plane | forward-control-plane | forward-plane ]

缺省情况下，全局未利用IP尺度ACL。

(4) 进入接口配置模式。

○ 进入以太网接口配置模式。

interface ethernet-type interface-number

○ 进入SVI接口配置模式。

interface vlan interface-number

○ 进入VXLAN配置模式。

vxlan vni-number

(5) 接口利用IP尺度ACL。

ip access-group { acl-name | acl-number } { in | out } [ control-plane | counter-only | forward-control-plane | forward-plane ]

缺省情况下，接口未利用IP尺度ACL。

1.4?? 配置IP扩大ACL

1.4.1? 职能简介

创建和利用IP扩大ACL，对接口上进出的IPv4报文进行节造，不容或允许特定的IPv4报文进入网络，从而实现节造IP用户接见网络资源的主张。

1.4.2? 配置限杜纂领导

l 若是必要通过查抄报文的源IP地址、主张IP地址、报文的和谈号、TCP/UDP源或主张端标语，来节造用户的网络资源接见权限，可配置IP扩大ACL。

l IP扩大ACL能够凭据用户的散布情况，在接入、汇聚或主题设备配置。IP扩大ACL只对被配置的设备有效，不会影响网络中的其他设备。

1.4.3? 配置工作简介

IP扩大ACL配置工作如下：

(1) 创建IP扩大ACL

(2) 利用IP扩大ACL

1.4.4? 创建IP扩大ACL

1. 职能简介

创建IP扩大ACL并配置其规定。

2. 配置限杜纂领导

l IP扩大ACL中允许无规定。没有配置规定时，ACL隐含一条“回绝所罕见据流”的规定，不容所有IPv4报文进入设备。

l 若是想让ACL的某些规定在指定的功夫生效，或在指定的功夫内失效，例如让ACL在一个星期的某些功夫段内生效等�Ｄ芄慌渲么�time-range选项的ACL规定。

l 配置带time-range选项的ACL规定时，必要配置对应的功夫段选项。关于功夫段的配置请拜见“基础配置指南”中的“Time Range”。

l 配置带log选项的ACL规定会使用更多的硬件资源，若是配置的所有规定都带有log选项，则会导致设备的硬件战术容量减半。

l 默认报文匹配日志输出距离是0分钟，暗示不输出ACL匹配日志。在配置ACL规定时指定了log选项后，还必要配置输出距离，不然不会输出匹配日志。

3. 配置步骤

(1) 进入特权模式。

enable

(2) 进入全局配置模式。

configure terminal

(3) 创建IP扩大ACL和规定。请选择其中一项进行配置。

○ 创建数字索引的IP扩大ACL和规定。

access-list acl-number { deny | permit } protocol { source-ipv4-address source-ipv4-wildcard | host source-ipv4-address | any } [ eq port | gt port | lt port | neq port | range lower upper ] { destination-ipv4-address destination-ipv4-wildcard | host destination-ipv4-address | any } [ eq port | gt port | lt port | neq port | range lower upper ] [ [ precedence precedence ] [ tos tos ] | [ dscp dscp ] [ ecn ecn ] ] [ fragment ] [ time-range time-range-name ] [ log ]

缺省情况下，不存在IP扩大ACL和规定。

○ 创建数字索引或者定名的IP扩大ACL和规定。请顺次执行以下号令配置IP扩大ACL和规定。

ip access-list extended { acl-name | acl-number }

缺省情况下，不存在IP扩大ACL。

[ sequence-number ] { deny | permit } protocol { source-ipv4-address source-ipv4-wildcard | host source-ipv4-address | any } { destination-ipv4-address destination-ipv4-wildcard | host destination-ipv4-address | any } [ [ precedence precedence ] [ tos tos ] | [ dscp dscp ] [ ecn ecn ] ] [ fragment ] [ time-range time-range-name ] [ log ]

缺省情况下，IP扩大ACL中存在一条回绝类型的规定。

(4) （可�。┡渲帽ㄎ钠ヅ淙罩臼涑鼍嗬�。

ip access-list log-update interval time-value

缺省情况下，报文匹配日志更新距离为0分钟，暗示不输出ACL匹配日志。

(5) （可�。┡渲�IP扩大ACL注解信息。请选择其中一项进行配置。

○ 为数字索引的IP扩大ACL配置注解信息。

access-list acl-number list-remark text

○ 为数字索引或者定名的IP扩大ACL配置注解信息。

list-remark text

缺省情况下，ACL没有配置注解信息。

(6) （可�。┡渲�IP扩大ACL规定注解信息。请选择其中一项进行配置。

○ 为数字索引的IP扩大ACL规定配置注解信息。

access-list acl-number remark text

○ 为数字索引或者定名的ACL配置注解信息。

remark text

缺省情况下，ACL规定没有配置注解信息。

(7) （可�。┛�IP扩大ACL的报文匹配统计职能。

ip access-list counter { acl-name | acl-number }

缺省情况下，IP扩大ACL的报文匹配统计职能处于关关状态。

(8) （可�。┡渲�IP扩大ACL规定序号肇始值和步长。

ip access-list resequence { acl-name | acl-number } start-value step-value

缺省情况下，IP扩大ACL的规定序号肇始值为10，步长为10。

1.4.5? 利用IP扩大ACL

1. 职能简介

将IP扩大ACL利用到全局配置模式、接口配置模式、SVI接口配置模式、VXLAN配置模式下，使IP扩大ACL生效。

2. 配置限杜纂领导

l 设备接口的入方向或出方向上只能利用一条IP ACL或一条MAC扩大ACL，或者利用一条专家级ACL。除此之表，还能够再利用一条IPv6 ACL。

l 配置带in或out选项，暗示必要指定是对进入设备的报文生效，还是从设备转发出去的报文生效。

l 配置带counter-only选项能够对某些特点的报文进行计数统计。计数统计只对该ACL接见类别中的Permit规定生效，Deny规定不生效。

l 配置带control-plane选项，暗示仅软件生效ACL，达到节约硬件资源的主张。

l 配置带forward-plane选项，暗示仅硬件生效ACL。

l 配置带forward-control-plane选项，暗示软件和硬件都生效ACL。

3. 配置步骤

(1) 进入特权模式。

enable

(2) 进入全局配置模式。

configure terminal

(3) （可�。┤掷�IP扩大ACL。

ip access-group { acl-name | acl-number } { in | out } [ control-plane | forward-control-plane | forward-plane ]

缺省情况下，全局未利用IP扩大ACL。

(4) 进入接口配置模式。

○ 进入以太网接口配置模式。

interface ethernet-type interface-number

○ 进入SVI接口配置模式。

interface vlan interface-number

○ 进入VXLAN配置模式。

vxlan vni-number

(5) 接口利用IP扩大ACL。

ip access-group { acl-name | acl-number } { in | out } [ control-plane | counter-only | forward-control-plane | forward-plane ]

缺省情况下，接口未利用IP扩大ACL。

1.5?? 配置MAC扩大ACL

1.5.1? 职能简介

创建和利用MAC扩大ACL，对接口上进出的二层报文进行节造，不容或允许特定的二层报文进入网络，从而实现基于二层报文头来节造用户接见网络资源的主张。

1.5.2? 配置限杜纂领导

l 若是必要通过二层报文信息（例如用户PC的MAC地址），来节造用户接见网络资源的权限，能够配置MAC扩大ACL。

l MAC扩大ACL能够凭据用户的散布情况，在接入、汇聚或主题设备配置。MAC扩大ACL只对被配置的设备有效，不会影响网络中的其他设备。

1.5.3? 配置工作简介

MAC扩大ACL配置工作如下：

(1) 创建MAC扩大ACL

(2) 利用MAC扩大ACL

1.5.4? 创建MAC扩大ACL

1. 职能简介

创建MAC扩大ACL并配置其规定。

2. 配置限杜纂领导

l MAC扩大ACL中允许无规定。没有配置规定时，ACL隐含一条“回绝所罕见据流”的规定，不容所有以太网二层报文进入设备。

l 若是想让ACL的某些规定在指定的功夫生效，或在指定的功夫内失效，例如让ACL在一个星期的某些功夫段内生效等�Ｄ芄慌渲么�time-range选项的ACL规定。

l 配置带time-range选项的ACL规定时，必要配置对应的功夫段选项。关于功夫段的配置请拜见“基础配置指南”中的“Time Range”。

3. 配置步骤

(1) 进入特权模式。

enable

(2) 进入全局配置模式。

configure terminal

(3) 创建MAC扩大ACL和规定。请选择其中一项进行配置。

○ 创建数字索引的MAC扩大ACL和规定。

access-list acl-number { deny | permit } { source-mac-address source-mac-wildcard | host source-mac-address | any } { destination-mac-address destination-mac-wildcard | host destination-mac-address | any } [ ethernet-type ] [ cos [ cos-value ] [ inner cos-value ] ] [ time-range time-range-name ]

缺省情况下，不存在MAC扩大ACL和规定。

○ 创建数字索引或者定名的MAC扩大ACL和规定。请顺次执行以下号令配置MAC扩大ACL和规定。

mac access-list extended { acl-name | acl-number }

缺省情况下，不存在MAC扩大ACL。

[ sequence-number ] { deny | permit } { source-mac-address source-mac-wildcard | host source-mac-address | any } { destination-mac-address destination-mac-wildcard | host destination-mac-address | any } [ ethernet-type ] [ cos [ cos-value ] [ inner cos-value ] ] [ time-range time-range-name ]

缺省情况下，MAC扩大ACL中存在一条回绝类型的规定。

(4) （可�。┡渲�ACL注解信息。请选择其中一项进行配置。

○ 为数字索引的ACL配置注解信息。

access-list acl-number list-remark text

○ 为数字索引或者定名的ACL配置注解信息。

list-remark text

缺省情况下，ACL没有配置注解信息。

(5) （可�。┡渲�ACL规定注解信息。请选择其中一项进行配置。

○ 为数字索引的ACL规定配置注解信息。

access-list acl-number remark text

○ 为数字索引或者定名的ACL配置注解信息。

remark text

缺省情况下，ACL规定没有配置注解信息。

(6) （可�。┛�MAC扩大ACL的报文匹配统计职能。

mac access-list counter { acl-name | acl-number }

缺省情况下，MAC扩大ACL的报文匹配统计职能处于关关状态。

(7) （可�。�MAC扩大ACL的规定序号肇始值和步长。

mac access-list resequence { acl-name | acl-number } start-value step-value

缺省情况下，MAC扩大ACL的规定序号肇始值为10，步长为10。

1.5.5? 利用MAC扩大ACL

1. 职能简介

将MAC扩大ACL利用到全局配置模式、接口配置模式、SVI接口配置模式、VXLAN配置模式下，使MAC扩大ACL生效。

2. 配置限杜纂领导

l 设备接口的入方向或出方向上只能利用一条IP ACL或一条MAC扩大ACL，或者利用一条专家级ACL。除此之表，还能够再利用一条IPv6 ACL。

l 配置带in或out选项，暗示必要指定是对进入设备的报文生效，还是从设备转发出去的报文生效。

l 配置带counter-only选项能够对某些特点的报文进行计数统计。计数统计只对该ACL接见类别中的Permit规定生效，Deny规定不生效。

l 配置带control-plane选项，暗示仅软件生效ACL，达到节约硬件资源的主张。

l 配置带forward-plane选项，暗示仅硬件生效ACL。

l 配置带forward-control-plane选项，暗示软件和硬件都生效ACL。

3. 配置步骤

(1) 进入特权模式。

enable

(2) 进入全局配置模式。

configure terminal

(3) （可�。┤掷�MAC扩大ACL。

mac access-group { acl-name | acl-number } { in | out } [ control-plane | forward-control-plane | forward-plane ]

缺省情况下，全局未利用MAC扩大ACL。

(4) 进入接口配置模式。

○ 进入以太网接口配置模式。

interface ethernet-type interface-number

○ 进入SVI接口配置模式。

interface vlan interface-number

○ 进入VXLAN配置模式。

vxlan vni-number

(5) 接口利用MAC扩大ACL。

mac access-group { acl-name | acl-number } { in | out } [ control-plane | counter-only | forward-control-plane | forward-plane ]

缺省情况下，接口未利用MAC扩大ACL。

1.6?? 配置专家级扩大ACL

1.6.1? 职能简介

创建和利用专家级扩大ACL，对接口上进出的报文进行节造，不容或允许特定的报文进入网络。

1.6.2? 配置限杜纂领导

l 若是必要通过混合使用IP ACL规定、MAC扩大ACL规定和VLAN，来节造用户接见网络资源的权限，则能够配置专家级扩大ACL。

l 专家级扩大ACL能够凭据用户的散布情况，在接入、汇聚或主题设备上配置。专家级扩大ACL只对被配置的设备有效，不会影响网络中的其他设备。

1.6.3? 配置工作简介

专家级扩大ACL配置工作如下：

(1) 创建专家级扩大ACL

(2) 利用专家级扩大ACL

1.6.4? 创建专家级扩大ACL

1. 职能简介

创建专家级扩大ACL并配置其规定。

2. 配置限杜纂领导

l 专家级扩大ACL中允许无规定。没有配置规定时，ACL隐含一条“回绝所罕见据流”的规定，不容所有报文进入设备。

l 若是想让ACL的某些规定在指定的功夫生效，或在指定的功夫内失效，例如让ACL在一个星期的某些功夫段内生效等�Ｄ芄慌渲么�time-range选项的ACL规定。

l 配置带time-range选项的ACL规定时，必要配置对应的功夫段选项。关于功夫段的配置请拜见“基础配置指南”中的“Time Range”。

3. 配置步骤

(1) 进入特权模式。

enable

(2) 进入全局配置模式。

configure terminal

(3) 创建专家级扩大ACL和规定。请选择其中一项进行配置。

○ 创建数字索引的专家级扩大ACL和规定。

access-list acl-number { deny | permit } [ protocol | [ ethernet-type ] [ cos [ cos-value ] [ inner cos-value ] ] ] [ VID [ vlan-id ] [ inner vlan-id ] ] { source-ipv4-address source-ipv4-wildcard | host source-ipv4-address | any } { source-mac-address source-mac-wildcard | host source-mac-address | any } { destination-ipv4-address destination-ipv4-wildcard | host destination-ipv4-address | any } { destination-mac-address destination-mac-wildcard | host destination-mac-address | any } [ [ precedence precedence ] [ tos tos ] | [ dscp dscp ] [ ecn ecn ] ] [ fragment ] [ [ udf udf-id header pos value mask ] | [ int-flag ] ] [ time-range time-range-name ]

缺省情况下，不存在专家级扩大ACL和规定。

○ 创建数字索引或者定名的专家级扩大ACL和规定。请顺次执行以下号令配置专家级扩大ACL和规定。

expert access-list extended { acl-name | acl-number }

缺省情况下，不存在专家级扩大ACL。

[ sequence-number ] { deny | permit } [ protocol | [ ethernet-type ] [ cos [ cos-value ] [ inner cos-value ] ] ] [ VID [ vlan-id ] [ inner vlan-id ] ] { source-ipv4-address source-ipv4-wildcard | host source-ipv4-address | any } { source-mac-address source-mac-wildcard | host source-mac-address | any } { destination-ipv4-address destination-ipv4-wildcard | host destination-ipv4-address | any } { destination-mac-address destination-mac-wildcard | host destination-mac-address | any } [ [ precedence precedence ] [ tos tos ] | [ dscp dscp ] [ ecn ecn ] ] [ fragment ] [ [ udf udf-id header pos value mask ] | [ int-flag ] ] [ time-range time-range-name ]

缺省情况下，专家级扩大ACL中存在一条回绝类型的规定。

○ 创建专家级扩大ACL及VXLAN内层五元组规定。请顺次执行以下号令配置专家级扩大ACL及VXLAN内层五元组规定。

expert access-list extended { acl-name | acl-number }

缺省情况下，不存在专家级扩大ACL。

[ sequence-number ] { deny | permit } { vxlan | vxlan-ignore-dport } protocol { source-ipv4-address source-ipv4-wildcard | host source-ipv4-address | any } [ eq port ] { destination-ipv4-address destination-ipv4-wildcard | host destination-ipv4-address | any } [ eq port ] [ tagged ] [ udp-dport dport ] [ match-all tcp-flag | established ] [ time-range time-range-name ]

缺省情况下，专家级扩大ACL中存在一条回绝类型的规定。

(4) （可�。┡渲�ACL注解信息。请选择其中一项进行配置。

○ 为数字索引的ACL配置注解信息。

access-list acl-number list-remark text

○ 为数字索引或者定名的ACL配置注解信息。

list-remark text

缺省情况下，ACL没有配置注解信息。

(5) （可�。┡渲�ACL规定注解信息。请选择其中一项进行配置。

○ 为数字索引的ACL规定配置注解信息。

access-list acl-number remark text

○ 为数字索引或者定名的ACL配置注解信息。

remark text

缺省情况下，ACL规定没有配置注解信息。

(6) （可�。┛糇ḿ壹�ACL的报文匹配统计职能。

expert access-list counter { acl-name | acl-number }

(7) （可�。┡渲米ḿ壹�ACL的规定序号肇始值和步长。

expert access-list resequence { acl-name | acl-number } start-value step-value

缺省情况下，专家级ACL的规定序号肇始值为10，步长为10。

1.6.5? 利用专家级扩大ACL

1. 职能简介

将专家级扩大ACL利用到全局配置模式、接口配置模式、SVI接口配置模式、VXLAN配置模式下，使专家级扩大ACL生效。

2. 配置限杜纂领导

l 设备接口的入方向或出方向上只能利用一条IP ACL或一条MAC扩大ACL，或者利用一条专家级ACL。除此之表，还能够再利用一条IPv6 ACL。

l 配置带in或out选项，暗示必要指定是对进入设备的报文生效，还是从设备转发出去的报文生效。

l 配置带counter-only选项能够对某些特点的报文进行计数统计。计数统计只对该ACL接见类别中的Permit规定生效，Deny规定不生效。

l 当一条ACL被用做counter-only后，该条ACL不能在全局开启计数职能，也不能在全局和接口上利用通常ACL，即一样acl-number或acl-name的ACL不能同时用做counter-only和通常ACL。

l 配置带control-plane选项，暗示仅软件生效ACL，达到节约硬件资源的主张。

l 配置带forward-plane选项，暗示仅硬件生效ACL。

l 配置带forward-control-plane选项，暗示软件和硬件都生效ACL。

3. 配置步骤

(1) 进入特权模式。

enable

(2) 进入全局配置模式。

configure terminal

(3) （可�。┤掷米ḿ壹�ACL。

expert access-group { acl-name | acl-number } { in | out } [ control-plane | forward-control-plane | forward-plane ]

缺省情况下，全局未利用专家级ACL。

(4) 进入接口配置模式。

○ 进入以太网接口配置模式。

interface ethernet-type interface-number

○ 进入SVI接口配置模式。

interface vlan interface-number

○ 进入VXLAN配置模式。

vxlan vni-number

(5) 利用专家级扩大ACL。

expert access-group { acl-name | acl-number } { in | out } [ control-plane | counter-only | forward-control-plane | forward-plane ]

缺省情况下，接口未利用专家级扩大ACL。

1.7?? 配置IPv6 ACL

1.7.1? 职能简介

创建和利用IPv6 ACL，对接口上进出的IPv6报文进行节造，不容或允许特定的IPv6报文进入网络，从而实现节造IPv6用户接见网络资源的主张。

1.7.2? 配置限杜纂领导

l 若是必要对IPv6用户接见网络资源的节造，则能够配置IPv6 ACL。

l IPv6 ACL能够凭据用户的散布情况，在接入、汇聚或主题设备上配置。IPv6 ACL只对被配置的设备有效，不会影响网络中的其他设备。

1.7.3? 配置工作简介

IPv6 ACL配置工作如下：

(1) 创建IPv6 ACL

(2) 利用IPv6 ACL

1.7.4? 创建IPv6 ACL

1. 职能简介

创建IPv6 ACL并配置其规定。

2. 配置限杜纂领导

l 创建IPv6 ACL时只能指定名称，不能指定编号。

l IPv6 ACL中允许无规定。没有配置规定时，IPv6 ACL隐含一条“回绝所罕见据流”的规定，不容除ND报文以表的所有IPv6报文进入设备。

l 若是想让ACL的某些规定在指定的功夫生效，或在指定的功夫内失效，例如让ACL在一个星期的某些功夫段内生效等�Ｄ芄慌渲么�time-range选项的ACL规定。

l 配置带time-range选项的ACL规定时，必要配置对应的功夫段选项。关于功夫段的配置请拜见“基础配置指南”中的“Time Range”。

l 配置带log选项的ACL规定会使用更多的硬件资源，若是配置的所有规定都带有log选项，则会导致设备的硬件战术容量减半。

l 默认报文匹配日志输出距离是0分钟，即不输出ACL匹配日志。在配置ACL规定时指定了log选项后，还必要配置输出距离，不然不会输出匹配日志。

3. 配置步骤

(1) 进入特权模式。

enable

(2) 进入全局配置模式。

configure terminal

(3) 创建IPv6 ACL，并进入IPv6 ACL配置模式。

ipv6 access-list acl-name

缺省情况下，不存在IPv6 ACL。

(4) 配置IPv6 ACL规定。请选择其中一项进行配置。

○ 配置IPv6 ACL规定。

[ sequence-number ] { deny | permit } [ protocol { source-ipv6-prefix / prefix-length | source-ipv6-address source-ipv6-mask | host source-ipv6-address | any } { destination-ipv6-prefix / prefix-length | destination-ipv6-address destination-ipv6-mask | host destination-ipv6-address | any } ] [ cos cos-value [ inner cos-value] ] [ { any | host source-mac-address | source-mac-address source-mac-wildcard } { any | host destination-mac-address | destination-mac-address destination-mac-wildcard } ] [ dscp dscp ] [ flow-label flow-label ] [ fragment ] [ VID [ vlan-id ] [ inner vlan-id ] ] [ udf udf-id header pos value mask ] [ time-range time-range-name ]　[ log ]

缺省情况下，IPv6 ACL存在一条回绝类型的规定。

(5) （可�。┡渲帽ㄎ钠ヅ淙罩臼涑鼍嗬�。

ipv6 access-list log-update interval time-value

缺省情况下，报文匹配日志更新距离为0分钟，暗示不输出ACL匹配日志。

(6) （可�。┡渲�ACL注解信息。

list-remark text

缺省情况下，ACL没有配置注解信息。

(7) （可�。┡渲�ACL规定注解信息。

remark text

缺省情况下，ACL规定没有配置注解信息。

(8) （可�。┛�IPv6 ACL的报文匹配统计职能。

ipv6 access-list counter acl-name

缺省情况下，IPv6 ACL的报文匹配统计职能处于关关状态。

(9) （可�。┡渲�IPv6 ACL的规定序号肇始值和步长。

ipv6 access-list resequence acl-name start-value step-value

缺省情况下，IPv6 ACL的规定序号肇始值为10，步长为10。

1.7.5? 利用IPv6 ACL

1. 职能简介

将IPv6 ACL利用到全局配置模式、接口配置模式、SVI接口配置模式、VXLAN配置模式下，使IPv6 ACL生效。

2. 配置限杜纂领导

l 设备接口的入方向或出方向上只能利用一条IP ACL或一条MAC扩大ACL，或者利用一条专家级ACL。除此之表，还能够再利用一条IPv6 ACL。

l 配置带in或out选项，暗示必要指定是对进入设备的报文生效，还是从设备转发出去的报文生效。

l 配置带counter-only选项能够对某些特点的报文进行计数统计。计数统计只对该ACL接见类别中的Permit规定生效，Deny类型规定不生效。

l 配置带control-plane选项，暗示仅软件生效ACL，达到节约硬件资源的主张。

l 配置带forward-plane选项，暗示仅硬件生效ACL。

l 配置带forward-control-plane选项，暗示软件和硬件都生效ACL。

3. 配置步骤

(1) 进入特权模式。

enable

(2) 进入全局配置模式。

configure terminal

(3) （可�。┤掷�IPv6 ACL。

ipv6 traffic-filter acl-name { in | out } { control-plane | forward-control-plane | forward-plane }

缺省情况下，全局未利用IPv6 ACL。

(4) 进入接口配置模式。

○ 进入以太网接口配置模式。

interface ethernet-type interface-number

○ 进入SVI接口配置模式。

interface vlan interface-number

○ 进入VXLAN配置模式。

vxlan vni-number

(5) 接口利用IPv6 ACL。

ipv6 traffic-filter acl-name { in | out } [ control-plane | counter-only | forward-control-plane | forward-plane ]

缺省情况下，接口未利用IPv6 ACL。

1.8?? 配置专家级高级ACL（ACL80）

1.8.1? 职能简介

当固定匹配域的IP尺度ACL、IP扩大ACL、MAC扩大ACL、专家级扩大ACL以及IPv6 ACL都无法满足要求时，能够通过配置专家级高级ACL，即ACL80，由用户界说必要匹配的报文域，从而实现自界说匹配域的主张。

1.8.2? 配置限杜纂领导

l 专家级高级ACL能够凭据用户的散布情况，在接入、汇聚或主题设备上配置。专家级高级ACL只对被配置的设备有效，不会影响网络中的其他设备。

1.8.3? 配置工作简介

专家级高级ACL配置工作如下：

(1) 创建专家级高级ACL

(2) 利用专家级高级ACL

1.8.4? 创建专家级高级ACL

1. 职能简介

创建ACL80并配置其规定。

2. 配置限杜纂领导

l ACL80能够支吃欹配Ethernet II帧、802.2 LLC帧和802.2 SNAP帧。若是设置DSAP到Cntl字段的值为AAAA03，则暗示匹配802.2 SNAP帧。若是设置DSAP到Cntl字段的值为E0E003，则暗示匹配802.2 LLC帧。若是匹配Ethernet II帧不能设置DSAP到Cntl字段的值。

l 由于硬件的原因，当前ACL80并不能对报文前80个字节的肆意字节匹配，只支持报文中主张MAC、源MAC、VLAN ID、ETYPE、IP和谈号、源IPv4地址、主张IPv4地址、源端口、主张端口、ICMP_TYPE、ICMP_CODE、PPPOE_IPTYPE这些字段地点地位的匹配。

l ACL80匹配IP、ARP等信息时，必要先配置封装的数据类型和数据类型掩码，即必要先配置偏移量为24的字段，并且掩码要为全F。例如放行源IP为192.168.1.2的报文，对应的配置号令为permit 0800 FFFF 24 C0A80102 FFFFFFFF 38。

l 专家级高级ACL中允许无规定。没有配置规定时，ACL隐含一条“回绝所罕见据流”的规定，不容所有报文进入设备。

3. 配置步骤

(1) 进入特权模式。

enable

(2) 进入全局配置模式。

configure terminal

(3) 创建专家级高级ACL，并进入专家级高级ACL配置模式。

expert access-list advanced acl-name

缺省情况下，不存在专家级高级ACL。

(4) （可�。┡渲米ḿ壹陡呒�ACL规定。

[ sequence-number ] { deny | permit } hex hex-mask offset

缺省情况下，未配置专家级高级ACL规定。

(5) （可�。┡渲�ACL注解信息。

list-remark text

缺省情况下，ACL没有配置注解信息。

(6) （可�。┡渲�ACL规定注解信息。

remark text

缺省情况下，ACL规定没有配置注解信息。

1.8.5? 利用专家级高级ACL

1. 职能简介

将专家级高级ACL利用到接口配置模式、SVI接口配置模式、VXLAN配置模式下，使专家级高级ACL生效。

2. 配置限杜纂领导

l 配置带in或out选项，暗示必要指定是对进入设备的报文生效，还是从设备转发出去的报文生效。

3. 配置步骤

(1) 进入特权模式。

enable

(2) 进入全局配置模式。

configure terminal

(3) 进入接口配置模式。

○ 进入以太网接口配置模式。

interface ethernet-type interface-number

○ 进入SVI接口配置模式。

interface vlan interface-number

○ 进入VXLAN配置模式。

vxlan vni-number

(4) 接口利用专家级高级ACL。

expert access-group { acl-name | acl-number } { in | out }

缺省情况下，接口未利用专家级高级ACL。

1.9?? 配置ACL沉定向

1.9.1? 职能简介

在指定接口上配置ACL沉定向职能，对进入该接口的匹配报文，沉定向到指定接口转发出去。

1.9.2? 配置限杜纂领导

l ACL沉定向职能仅在接口入方向生效。

l ACL中没有配置规定时，ACL沉定向职能不生效。

l 只支持在以太网接口、聚合接口上配置ACL沉定向职能。

l 待沉定向的报文必须是二层转发，同时沉定向的主张接口必须和源接口在统一个VLAN能力生效。例如如果报文是从VLAN 2转发到VLAN 3，则不能进行沉定向。

l 能够凭据用户的散布情况，在接入、汇聚或主题设备上配置ACL沉定向职能。配置仅对本设备有效，不会影响网络中的其他设备。

1.9.3? 配置筹备

实现ACL沉定向职能，必要先配置ACL。

1.9.4? 配置步骤

(1) 进入特权模式。

enable

(2) 进入全局配置模式。

configure terminal

(3) 配置ACL沉定向。

○ 配置接口ACL沉定向。请顺次执行以下号令配置接口ACL沉定向。

interface interface-type interface-number

redirect destination interface interface-type interface-number acl { acl-name | acl-number } in

缺省情况下，接口不存在ACL沉定向配置。

1.10?? 配置全局安全ACL

1.10.1? 职能简介

配置全局安全ACL职能，能够阻止企业内部接见犯法网站，或者阻止病毒进入企业内部网络。通过配置全局安全ACL例表口，允许企业内部特殊部门接见表部某些站点。

1.10.2? 配置限杜纂领导

l ACL中没有配置规定时，全局安全ACL职能不存在。

l 由于全局安全ACL重要用于病毒过滤，因而被关联于全局安全ACL的ACE中，只有Deny类型的ACE会生效，Permit类型的ACE不会生效。

l 与端口安全ACL分歧，全局安全ACL没有默认的Deny所有表项，即没射中规定的报文都能够通过。

l 全局安全ACL只支持关联IP尺度ACL、IP扩大ACL、MAC扩大ACL、专家级扩大ACL。

l 全局ACL能够在二层接口上生效，也能够在三层接口上生效。即能够在以下类型的接口上都生效：Access口、Trunk口、Hybrid口、二层以太网接口、三层以太网接口、二层聚合接口或三层聚合接口。在SVI接口上不生效。

l 允许在物理接口、二层聚合接口或三层聚合接口上独立关关全局安全ACL职能，不支持在聚合成员接口上关关全局安全ACL职能。

l 能够凭据用户的散布情况，在接入、汇聚或主题设备上配置全局安全ACL职能。配置仅对本设备有效，不会影响网络中的其他设备。

l 通过配置全局安全ACL无效职能，能够实现不容配置全局安全ACL。

l 将接口配置为例表口，可使全局安全ACL在接口上不生效。

1.10.3? 配置筹备

实现全局安全ACL职能，必要先配置ACL。

1.10.4? 配置步骤

(1) 进入特权模式。

enable

(2) 进入全局配置模式。

configure terminal

(3) （可�。┡渲萌职踩�ACL无效。

global access-group disable

缺省情况下，不存在全局安全ACL无效配置。

1.11?? 配置吩飕报文匹配模式

1.11.1? 职能简介

配置该职能能够使ACL对吩飕报文进行更精密化的节造。

1.11.2? 配置限杜纂领导

l 配置吩飕报文匹配模式切换时，会导致ACL的短时失效。

l 在新的吩飕报文匹配模式下，若是ACL规定不带Fragment标识，且匹配作为是Permit，这样的ACL规定必要占用更多的硬件表项资源，极端情况下会使硬件战术表项容量减半。若是这样的ACE配置了TCP Flag过滤节造的Established，则还会占用更多的硬件战术表项。

l 在新的吩飕报文匹配模式下，若是ACL规定不带Fragment标识并且必要匹配报文的四层信息时，当匹配作为为Permit时，ACL规定会查抄首片报文三层和四层信息，对于非首片报文只会查抄报文的三层信息。当匹配作为为Deny时，ACL规定只会查抄首片报文，不会查抄非首片吩飕报文。

l 在新的吩飕报文新匹配模式下，若是ACL规定带有Fragment标识，不论ACL规定的匹配作为是Permit还是Deny，都只查抄非首片报文，而不会查抄首片报文。

1.11.3? 配置筹备

配置吩飕报文匹配模式切换时，必要先配置ACL。

1.11.4? 配置步骤

(1) 进入特权模式。

enable

(2) 进入全局配置模式。

configure terminal

(3) 配置新的吩飕报文匹配模式。请选择其中一项进行配置。

○ 配置IP ACL新的吩飕报文匹配模式。

ip access-list new-fragment-mode { acl-name | acl-number }

缺省情况下，未配置IP ACL新的吩飕报文匹配模式。

○ 配置专家级扩大ACL新的吩飕报文匹配模式。

expert access-list new-fragment-mode { acl-name | acl-number }

缺省情况下，未配置专家级扩大ACL新的吩飕报文匹配模式。

1.12?? 配置SVI Router ACL

1.12.1? 职能简介

配置该职能，能够使利用在SVI接口上的ACL仅对VLAN间的路由报文生效。

1.12.2? 配置筹备

实现该职能，必要先配置ACL。

1.12.3? 配置步骤

(1) 进入特权模式。

enable

(2) 进入全局配置模式。

configure terminal

(3) 配置SVI Router ACL。

svi router-acls enable

1.13?? 配置ACL故障复原

1.13.1? 职能简介

当设备软件表项容量大于硬件支持的表项容量时，表项增长将失败。当设备表项容量降低到硬件支持的表项容量之下时，原先增长失败的表项也不会沉新增长。通过本号令沉刷配置，触颁发项的沉新增长，从而复原ACL故障。

1.13.2? 配置步骤

(1) 进入特权模式。

enable

(2) 配置ACL故障复原。

acl ref synchronize all

1.14?? 监督与守护

能够通过show号令行查看职能配置后的运行情况以验证配置成效。

能够通过执行clear号令来断根各类信息。

把稳

在设备运行过程中执行clear号令，可能由于沉要信息迷失而导致业务中断。

能够通过debug号令行列举输出的各类调试信息。

把稳

输出调试信息，会占用系统资源。使用结束后，请当即关关调试开关。

表1-5 ACL监督与守护

作用	号令
查看根基ACL	show access-lists [ acl-name \| acl-number ] [ summary ]
查看指定接口上绑定的沉定向表项，不输入接口则查看所有接口上绑定的沉定向表项	show redirect [ interface interface-type interface-number ]
查看接口上利用的ACL配相信息	show access-group [ interface interface-type interface-number \| vlan vlan-id \| vxlan vni-number ]
查看接口上利用的IP尺度ACL和扩大ACL配相信息	show ip access-group [ interface interface-type interface-number \| vlan vlan-id \| vxlan vni-number ]
查看接口上利用的MAC扩大ACL配相信息	show mac access-group [ interface interface-type interface-number \| vlan vlan-id \| vxlan vni-number ]
查看接口上利用的专家级扩大ACL配相信息	show expert access-group [ interface interface-type interface-number \| vlan vlan-id \| vxlan vni-number ]
查看接口上利用的IPv6 ACL配相信息	show ipv6 traffic-filter [ interface interface-type interface-number \| vlan vlan-id ]
查看所有的TCAM信息或指定的TCAM信息	show acl res [ dev dev-number [ slot slot-number ] ]
显示当前设备的能力值情况	show acl capability
查看SVI接口ACL利用的二三层生效情况	show svi router-acls state
查看所有的TCAM具体使用信息或指定的TCAM具体使用信息	show acl res detail [ dev dev-number [ slot slot-number ] ]
断根TCAM资源使用量的汗青峰值数据	clear acl res
断根ACL报文匹配计数	clear counters access-list [ acl-name \| acl-number ]
断根ACL deny报文匹配计数	clear access-list counters [ acl-name \| acl-number ]
打开ACL运行过程调试开关	debug acl acld event
查看ACL客户端信息	debug acl acld client-show
查看所有ACL客户端创建的ACL	debug acl acld acl-show

1.15?? 典型配置举例

1.15.1? IP尺度ACL配置举例

1. 组网需要

通过配置IP尺度ACL，不容财政部以表的部门接见财政数据服务器。

2. 组网图

图1-3 IP尺度ACL利用场景组网图

3. 配置重点

l Device A配置IP尺度ACL并增长接见规定。

l Device A将IP尺度ACL利用在衔接财政数据服务器接口的出方向上。

4. 配置步骤

(1) 配置IP尺度ACL并增长接见规定。

# Device A配置IP尺度ACL并增长接见规定。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# ip access-list standard 1

DeviceA(config-std-nacl)# permit 10.1.1.0 0.0.0.255

DeviceA(config-std-nacl)# deny 11.1.1.1 0.0.0.255

DeviceA(config-std-nacl)# exit

(2) 将IP尺度ACL利用到接口上。

# Device A将ACL利用在衔接财政数据服务器接口的出方向上。

DeviceA(config)# interface gigabitethernet 0/3

DeviceA(config-if-GigabitEthernet 0/3)# ip access-group 1 out

5. 验证配置了局

# 查抄Device A设备ACL配置号令是否正确。

DeviceA# show access-lists

ip access-list standard 1

10 permit 10.1.1.0 0.0.0.255

20 deny 11.1.1.0 0.0.0.255

DeviceA# show access-group

ip access-group 1 out

Applied On interface GigabitEthernet 0/3

# 从开发部的某台PC机上ping财政数据服务器，确认ping不通。

# 从财政部的某台PC机上ping财政数据服务器，确认能ping通。

6. 配置文件

l DeviceA的配置文件

hostname DeviceA

ip access-list standard 1

?10 permit 10.1.1.0 0.0.0.255

?20 deny 11.1.1.0 0.0.0.255

interface GigabitEthernet 0/1

?no switchport

?ip address 10.1.1.1 255.255.255.0

interface GigabitEthernet 0/2

?no switchport

?ip address 11.1.1.1 255.255.255.0

interface GigabitEthernet 0/3

?no switchport

?ip access-group 1 out

?ip address 12.1.1.1 255.255.255.0

1.15.2? IP扩大ACL配置举例

1. 组网需要

Device A（VLAN 1）、Device B（VLAN 2）和Device C（VLAN 3）直连Device D，Device D是所有主机的网关。需要1：VLAN2与VLAN3之间不成以Ping通，VLAN1与VLAN2能够Ping通，VLAN1与VLAN3能够Ping通。需要2：VLAN1与VLAN2的DHCP报文相互不成达，其他正常通讯。需要3：VLAN1不能通过Telnet或者SSH接见VLAN3，其他正常通讯。

2. 组网图

图1-4 IP扩大ACL利用场景组网图

3. 配置重点

l Device D配置IP扩大ACL并增长接见规定，过滤UDP端标语67或者68能够实现需要2。Device C配置IP扩大ACL并增长接见规定，过滤TCP端口23和22能够实现需要3。

l Device D将IP扩大ACL别离利用在VLAN1接口、VLAN2接口和VLAN3接口上。Device C将IP扩大ACL利用在与Device D相线路上。

4. 配置步骤

(1) 配置所有设备接口的IP地址（略）。

(2) 配置IP扩大ACL并增长接见规定。

# Device D配置IP扩大ACL并增长接见规定。

DeviceD> enable

DeviceD# configure terminal

DeviceD(config)# ip access-list extended inter_vlan_access1

DeviceD(config-ext-nacl)# deny udp any eq bootps any eq bootpc

DeviceD(config-ext-nacl)# deny udp any eq bootpc any eq bootps

DeviceD(config-ext-nacl)# remark 回绝DHCP报文

DeviceD(config-ext-nacl)# permit ip any any

DeviceD(config-ext-nacl)# remark允许其他报文通讯

DeviceD(config-ext-nacl)# exit

DeviceD(config)# ip access-list extended inter_vlan_access2

DeviceD(config-ext-nacl)# deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255

DeviceD(config-ext-nacl)# remark 回绝VLNN2和VLAN3之间互ping

DeviceD(config-ext-nacl)# deny udp any eq bootpc any eq bootps

DeviceD(config-ext-nacl)# deny udp any eq bootps any eq bootpc

DeviceD(config-ext-nacl)# remark 回绝DHCP报文

DeviceD(config-ext-nacl)# permit ip any any

DeviceD(config-ext-nacl)# remark允许其他报文通讯

DeviceD(config-ext-nacl)# exit

DeviceD(config)# ip access-list extended inter_vlan_access3

DeviceD(config-ext-nacl)# deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255

DeviceD(config-ext-nacl)# remark 回绝VLNN3和VLAN2之间互ping

DeviceD(config-ext-nacl)# permit ip any any

DeviceD(config-ext-nacl)# remark允许其他报文通讯

DeviceD(config-ext-nacl)# exit

# Device C配置IP扩大ACL并增长接见规定。

DeviceC> enable

DeviceC# configure terminal

DeviceC(config)# ip access-list extended access_deny

DeviceC(config-ext-nacl)# deny tcp 192.168.1.0 0.0.0.255 eq telnet any eq telnet

DeviceC(config-ext-nacl)# remark 回绝VLAN1通过Telnet接见VLAN 3

DeviceC(config-ext-nacl)# deny tcp 192.168.1.0 0.0.0.255 eq 22 any eq 22

DeviceC(config-ext-nacl)# remark 回绝VLAN1通过SSH接见VLAN 3

DeviceC(config-ext-nacl)# exit

(3) 利用IP扩大ACL。

# Device D将IP扩大ACL利用到对应接口上。

DeviceD(config)# interface vlan 1

DeviceD(config-if-VLAN 1)# ip access-group inter_vlan_access1 in

DeviceD(config-if-VLAN 1)# exit

DeviceD(config)# interface vlan 2

DeviceD(config-if-VLAN 2)# ip access-group inter_vlan_access2 in

DeviceD(config-if-VLAN 2)# exit

DeviceD(config)# interface vlan 3

DeviceD(config-if-VLAN 3)# ip access-group inter_vlan_access3 in

DeviceD(config-if-VLAN 3)# exit

# Device C将IP扩大ACL利用到与Device D相连线路上。

DeviceC(config)# line vty 0

DeviceC(config-line)# access-class access_deny in

DeviceC(config-line)# exit

5. 验证配置了局

(1) 验证连通性。

# VLAN 1与VLAN 2之间能够Ping通，VLAN 1与VLAN 3之间能够Ping通。

DeviceA# ping 192.168.2.2

Sending 5, 100-byte ICMP Echoes to 192.168.2.2, timeout is 2 seconds:

　< press Ctrl+C to break >

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/8/10 ms

DeviceA#

DeviceA# ping 192.168.3.2

Sending 5, 100-byte ICMP Echoes to 192.168.3.2, timeout is 2 seconds:

　< press Ctrl+C to break >

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/8/10 ms

# VLAN 2与VLAN 3之间不成以Ping通。

DeviceB# ping 192.168.3.2

Sending 5, 100-byte ICMP Echoes to 192.168.3.2, timeout is 2 seconds:

　< press Ctrl+C to break >

.....

Success rate is 0 percent (0/5)

(2) VLAN 1不能通过Telnet接见VLAN 3。

DeviceA# ping 192.168.3.2

Sending 5, 100-byte ICMP Echoes to 192.168.3.2, timeout is 2 seconds:

　< press Ctrl+C to break >

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/8/10 ms

DeviceA#

DeviceA# telnet 192.168.3.2

Trying 192.168.3.2, 23...

% Destination unreachable; gateway or host down

6. 配置文件

l Device D的配置文件

hostname DeviceD

vlan 1

vlan 2

vlan 3

ip access-list extended inter_vlan_access1

?10 deny udp any eq bootps any eq bootpc

?20 deny udp any eq bootpc any eq bootps

?remark 回绝DHCP报文

?30 permit ip any any

?remark允许其他报文通讯

ip access-list extended inter_vlan_access2

?10 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255

?remark 回绝VLNN2和VLAN3之间互ping

?20 deny udp any eq bootpc any eq bootps

?30 deny udp any eq bootps any eq bootpc

?remark 回绝DHCP报文

?40 permit ip any any

?remark 允许其他报文通讯

ip access-list extended inter_vlan_access3

?10 deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255

?remark 回绝VLNN3和VLAN2之间互ping

?20 permit ip any any

?remark 允许其他报文通讯

interface GigabitEthernet 1/0

?switchport access vlan 1

?description link_to_DeviceA

interface GigabitEthernet 1/1

?switchport access vlan 2

?description link_to_DeviceB

interface GigabitEthernet 1/2

?switchport access vlan 3

?description link_to_DeviceC

interface VLAN 1

?ip access-group inter_vlan_access1 in

?ip address 192.168.1.1 255.255.255.0

interface VLAN 2

?ip access-group inter_vlan_access2 in

?ip address 192.168.2.1 255.255.255.0

interface VLAN 3

?ip access-group inter_vlan_access3 in

?ip address 192.168.3.1 255.255.255.0

l Device A的配置文件

hostname DeviceA

interface GigabitEthernet 0/1

?ip address 192.168.1.2 255.255.255.0

l Device B的配置文件

hostname DeviceB

interface GigabitEthernet 0/1

?ip address 192.168.2.2 255.255.255.0

l Device C的配置文件

hostname DeviceC

ip access-list extended access_deny

?10 deny tcp 192.168.1.0 0.0.0.255 eq telnet any eq telnet

?remark 回绝VLAN1通过Telnet接见VLAN 3

?20 deny tcp 192.168.1.0 0.0.0.255 eq 22 any eq 22

?remark 回绝VLAN1通过SSH接见VLAN 3

interface GigabitEthernet 0/1

?ip address 192.168.3.2 255.255.255.0

line vty 0

?access-class access_deny in

?login

?password abcdef

1.15.3? MAC扩大ACL配置举例

1. 组网需要

通过MAC扩大ACL，限度来访客户可接见的资源。

2. 组网图

图1-5 MAC扩大ACL利用场景组网图

3. 配置重点

l Device A配置MAC扩大ACL并增长接见规定。允许访客区PC接见Internet以及公司内部的公共服务器，但不允许接见公司的财政数据服务器，即不容接见MAC地址为00e0.f800.000d的服务器。

l Device A将MAC扩大ACL利用在衔接访客区接口的入方向上。

4. 配置步骤

(1) 配置MAC扩大ACL并增长接见规定。

# Device A配置MAC扩大ACL并增长接见规定。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# mac access-list extended 700

DeviceA(config-mac-nacl)# deny any host 00e0.f800.000d

DeviceA(config-mac-nacl)# permit any any

DeviceA(config-mac-nacl)# exit

(2) 将MAC扩大ACL利用到接口上。

# Device A将ACL利用在衔接访客区接口的入方向上。

DeviceA(config)# interface gigabitethernet 0/2

DeviceA(config-if-GigabitEthernet 0/2)# mac access-group 700 in

5. 验证配置了局

# 查抄Device A设备ACL配置号令是否正确。

DeviceA# show access-lists

mac access-list extended 700

10 deny any host 00e0.f800.000d etype-any

20 permit any any etype-any

DeviceA# show access-group

mac access-group 700 in

Applied On interface GigabitEthernet 0/2

# 从访客PC机上ping财政数据服务器，确认ping不通。

# 从访客PC机上ping公共资源服务器，确认能够ping得通。

# 在访客PC机上接见Internet，例如接见百度，确认能够打开主页。

6. 配置文件

l DeviceA的配置文件

hostname DeviceA

mac access-list extended 700

?10 deny any host 00e0.f800.000d

?20 permit any any

interface GigabitEthernet 0/1

?no switchport

?ip address 10.1.1.1 255.255.255.0

interface GigabitEthernet 0/2

?no switchport

?mac access-group 700 in

?ip address 11.1.1.1 255.255.255.0

interface GigabitEthernet 0/3

?no switchport

?ip address 12.1.1.1 255.255.255.0

1.15.4? 专家级扩大ACL配置举例

1. 组网需要

通过配置专家级扩大ACL，限度来访客户可接见的资源。要求访客不能接见公司内部员工的PC和公司的财政数据服务器，但能接见公共资源服务器和Internet。

2. 组网图

图1-6 专家级扩大ACL利用场景组网图

3. 配置重点

l Device A配置专家级扩大ACL并增长规定，蕴含：

○ 不容访客区内主机发出指标为公司内部员工网段的报文。

○ 不容访客接见财政数据服务器。

○ 允许其他所有报文通过。

l Device A将ACL利用在衔接访客区接口的入方向上。

4. 配置步骤

(1) 配置专家级扩大ACL并增长接见规定。

# Device A配置专家级扩大ACL并增长接见规定。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# expert access-list extended 2700

DeviceA(config-exp-nacl)# deny ip any any 10.1.1.0 0.0.0.255 any

DeviceA(config-exp-nacl)# deny ip any any host 12.1.1.2 any

DeviceA(config-exp-nacl)# permit any any any any

DeviceA(config-exp-nacl)# exit

(2) 将专家级扩大ACL利用到接口上。

# Device A将ACL利用在与访客区相衔接口的入方向上。

DeviceA(config)# interface gigabitethernet 0/2

DeviceA(config-if-GigabitEthernet 0/2)# expert access-group 2700 in

5. 验证配置了局

# 查抄Device A设备ACL配置号令是否正确。

DeviceA(config)# show access-lists

expert access-list extended 2700

?10 deny ip any any 192.168.1.0 0.0.0.255 any

20 deny ip any any host 10.1.1.1 any

30 permit ip any any any any

DeviceA(config)# show access-group

expert access-group 2700in

Applied On interface GigabitEthernet 0/2

# 从访客PC机上ping财政数据服务器，确认ping不通。

# 从访客PC机上ping公共资源服务器，确认不能ping通。

# 从访客PC机上ping公司内部员工网关192.168.1.1，确定ping不通。

# 在访客PC机上接见Internet，例如接见百度，确认能够打开主页。

6. 配置文件

l DeviceA的配置文件

hostname DeviceA

expert access-list extended 2700

?10 deny ip any any 10.1.1.0 0.0.0.255 any

?20 deny ip any any host 12.1.1.2 any

?30 permit ip any any any any

interface GigabitEthernet 0/1

?no switchport

?ip address 10.1.1.1 255.255.255.0

interface GigabitEthernet 0/2

?no switchport

?expert access-group 2700 in

?ip address 11.1.1.1 255.255.255.0

interface GigabitEthernet 0/3

?no switchport

?ip address 12.1.1.1 255.255.255.0

1.15.5? IPv6 ACL配置举例

1. 组网需要

通过配置IPv6 ACL，不容开发部门接见视频服务器。

2. 组网图

图1-7 IPv6 ACL利用场景组网图

3. 配置重点

l Device A配置IPv6 ACL并增长规定，蕴含：

○ 不容接见视频服务器IPv6地址规定。

○ 在IPv6 ACL中增长允许所有IPv6报文通过规定。

l Device A将IPv6 ACL利用在衔接开发部门接口的入方向上。

4. 配置步骤

(1) 配置IPv6 ACL并增长接见规定。

# Device A配置IPv6 ACL并增长接见规定。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# ipv6 access-list dev_deny_ipv6video

DeviceA(config-ipv6-nacl)# deny ipv6 any host 1002::2

DeviceA(config-ipv6-nacl)# permit ipv6 any any

DeviceA(config-ipv6-nacl)# exit

(2) 将IPv6 ACL利用到接口上。

# Device A将ACL利用在衔接开发部门地点接口的入方向上。

DeviceA(config)# interface gigabitethernet 0/2

DeviceA(config-if-GigabitEthernet 0/2)# ipv6 traffic-filter dev_deny_ipv6video in

5. 验证配置了局

# 查抄Device A设备ACL配置号令是否正确。

DeviceA(config)# show access-lists

ipv6 access-list dev_deny_ipv6video

10 deny ipv6 any host 200::1

20 permit ipv6 any any

DeviceA(config)# show access-group

ipv6 traffic-filter dev_deny_ipv6video in

Applied On interface GigabitEthernet 0/2

# 从开发部的某台PC机上ping视频服务器，确认ping不通。

6. 配置文件

l DeviceA的配置文件

hostname DeviceA

ipv6 access-list dev_deny_ipv6video

?10 deny ipv6 any host 1002::2

?20 permit ipv6 any any

interface GigabitEthernet 0/1

?no switchport

?ipv6 address 1000::1/96

interface GigabitEthernet 0/2

?no switchport

?ipv6 traffic-filter dev_deny_ipv6video in

?ipv6 address 1001::1/96

interface GigabitEthernet 0/3

?no switchport

?ipv6 address 1002::1/96

1.15.6? ACL80配置举例

1. 组网需要

通过ACL80即专家级高级ACL，限度来访客户可接见的资源。要求访客不能接见公司内部员工的PC和公司的财政数据服务器，但能接见公共资源服务器和Internet。

2. 组网图

图1-8 ACL80利用场景组网图

3. 配置重点

l Device A配置专家级高级ACL并增长规定，蕴含：

○ 不容访客区内主机发出指标为内部员工网段的报文。

○ 不容访客接见财政数据服务器。

○ 允许其他所有报文通过。

l Device A将ACL利用在衔接访客区接口的入方向上。

4. 配置步骤

(1) 配置专家级高级ACL并增长接见规定。

# Device A配置专家级高级ACL并增长接见规定。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# expert access-list advanced acl80-guest

DeviceA(config-exp-dacl)# deny 0800 FFFF 24 0A0101 FFFFFF 42

DeviceA(config-exp-dacl)# deny 0800 FFFF 24 0C010102 FFFFFFFF 42

DeviceA(config-exp-dacl)# permit 0806 FFFF 24

DeviceA(config-exp-dacl)# permit 0800 FFFF 24

DeviceA(config-exp-dacl)# exit

(2) 将专家级高级ACL利用到接口上。

# Device A将ACL80利用在衔接访客区接口的入方向上。

DeviceA(config)# interface gigabitethernet 0/2

DeviceA(config-if-GigabitEthernet 0/2)# expert access-group acl80-guest in

5. 验证配置了局

# 查抄Device A设备ACL配置号令是否正确。

DeviceA(config)# show access-lists

expert access-list advanced sss

?10 deny 0800 FFFF 24 0A0101 FFFFFF 42

?20 deny 0800 FFFF 24 0C010102 FFFFFFFF 42

?30 permit 0806 FFFF 24

?40 permit 0800 FFFF 24

expert access-group acl80-guest in

Applied On interface GigabitEthernet 0/2

# 从访客PC机上ping财政数据服务器，确认ping不通。

# 从访客PC机上ping公共资源服务器，确认能够ping得通。

# 从访客PC机上ping公司内部员工网关192.168.1.1，确定ping不通。

# 在访客PC机上接见Internet，例如接见百度，确认能够打开主页。

6. 配置文件

l DeviceA的配置文件

hostname DeviceA

expert access-list advanced acl80-guest

?10 deny 0800 FFFF 24 0A0101 FFFFFF 42

?20 deny 0800 FFFF 24 0C010102 FFFFFFFF 42

?30 permit 0806 FFFF 24

?40 permit 0800 FFFF 24

interface GigabitEthernet 0/1

?no switchport

?ip address 10.1.1.1 255.255.255.0

interface GigabitEthernet 0/2

?no switchport

?expert access-group 2700 in

?ip address 11.1.1.1 255.255.255.0

interface GigabitEthernet 0/3

?no switchport

?ip address 12.1.1.1 255.255.255.0

1.15.7? 基于功夫段的ACL规定配置举例

1. 组网需要

配置基于功夫段的ACL规定，只允许研发部门在每天的12:00到13:30接见Internet。

2. 组网图

图1-9 基于功夫段的ACL规定利用场景组网图

3. 配置重点

l Device A配置功夫段，并增长每天12:00到13:30的功夫段表项。

l Device A配置IP尺度ACL并增长规定，蕴含：

○ 增长允许源IP网段地址为10.1.1.0/24的规定，关联的功夫段为access-internet。

○ 增长不容源IP网段地址为10.1.1.0/24的规定。批注功夫段之表都不允许接见Internet。

○ 增长允许除研发网段地址表，其他所有网段地址的规定。

l Device A将ACL利用在衔接研发部接口的入方向上。

4. 配置步骤

(1) 配置功夫区。

# Device A配置功夫段。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# time-range access-internet

DeviceA(config-time-range)# periodic daily 12:00 to 13:30

DeviceA(config-time-range)# exit

(2) 配置IP尺度ACL并增长接见规定。

# Device A配置IP尺度ACL并增长接见规定。

DeviceA(config)# ip access-list standard ip_std_internet_acl

DeviceA(config-std-nacl)# permit 10.1.1.0 0.0.0.255 time-range access-internet

DeviceA(config-std-nacl)# deny 10.1.1.0 0.0.0.255

DeviceA(config-std-nacl)# permit any

DeviceA(config-std-nacl)# exit

(3) 将IP尺度ACL利用到接口上。

# Device A将ACL利用在衔接研发部接口的入方向上。

DeviceA(config)# interface gigabitethernet 0/1

DeviceA(config-if-GigabitEthernet 0/1)# ip access-group ip_std_internet_acl in

5. 验证配置了局

# 查抄Device A设备ACL配置号令是否正确。

DeviceA# show time-range

time-range entry: access-internet (inactive)

　periodic Daily 12:00 to 13:30

DeviceA# show access-lists

ip access-list standard ip_std_internet_acl

?10 permit 10.1.1.0 0.0.0.255 time-range access-internet (inactive)

?20 deny 10.1.1.0 0.0.0.255

?30 permit any

DeviceA# show access-group

ip access-group ip_std_internet_acl in

Applied On interface GigabitEthernet 0/1

# 在功夫段生效期内（12:00至13:30），从研发部门内的某台PC机接见百度主页，确认能够接见。

# 在功夫段失效期（12:00至13:30时段表），从研发部门内的某台PC机接见百度主页，确认不能接见。

6. 配置文件

l DeviceA的配置文件

hostname DeviceA

ip access-list standard ip_std_internet_acl

?10 permit 10.1.1.0 0.0.0.255 time-range access-internet

?20 deny 10.1.1.0 0.0.0.255

?30 permit any

time-range access-internet

?periodic daily 12:00 to 13:30

interface GigabitEthernet 0/1

?no switchport

?ip access-group ip_std_internet_acl in

?ip address 10.1.1.1 255.255.255.0

1.15.8? SVI Router ACL配置举例

1. 组网需要

配置VRRP+VLAN利用场景，只允许主机与主机之间的三层通讯。配置只允许主机之间接见的ACL，回绝其他所有网段的ACL。

2. 组网图

图1-10 VRRP+VLAN利用场景组网图

3. 配置重点

l DeviceA和DeviceB组成VRRP场景。主机PC1和PC2全数接入到DeviceC。

l 配置天生树和谈，解除DeviceA、DeviceB和DeviceC之间的环路。

l 主机PC1和PC2的网关选取SVI接口的地址。

l 配置只允许主机之间接见的ACL，回绝其他所有网段的ACL，并将ACL利用在SVI接口上。此时会导致VRRP组内DeviceA和DeviceB形成双主。

l 配置svi router-acls enable号令后，VRRP组内DeviceA和DeviceB形成一主一备，VRRP和谈复原正常。

4. 配置步骤

(1) 配置VLAN。

# DeviceA配置VLAN。DeviceA、DeviceB和DeviceC配置齐全一样，以下以DeviceA配置为例。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# vlan 10

DeviceA(config-vlan)# exit

DeviceA(config)# vlan 20

DeviceA(config-vlan)# exit

(2) 配置VRRP组。

# DeviceA配置VRRP。

DeviceA(config)# interface VLAN 10

DeviceA(config-if-VLAN 10)# ip address 172.16.1.3 255.255.255.0

DeviceA(config-if-VLAN 10)# vrrp 10 ip 172.16.1.1

DeviceA(config-if-VLAN 10)# vrrp 10 priority 120

DeviceA(config-if-VLAN 10)# exit

DeviceA(config)# interface VLAN 20

DeviceA(config-if-VLAN 20)# ip address 172.31.1.4 255.255.255.0

DeviceA(config-if-VLAN 20)# vrrp 20 ip 172.31.1.1

# DeviceB配置VRRP。

DeviceB(config)# interface VLAN 10

DeviceB(config-if-VLAN 10)# ip address 172.16.1.4 255.255.255.0

DeviceB(config-if-VLAN 10)# vrrp 10 ip 172.16.1.1

DeviceB(config-if-VLAN 10)# exit

DeviceB(config)# interface VLAN 20

DeviceB(config-if-VLAN 20)# ip address 172.31.1.3 255.255.255.0

DeviceB(config-if-VLAN 20)# vrrp 20 ip 172.31.1.1

DeviceB(config-if-VLAN 20)# vrrp 20 priority 120

DeviceB(config-if-VLAN 20)# exit

(3) 配置天生树和谈，解除环路。

# DeviceA配置天生树和谈。DeviceA、DeviceB和DeviceC配置齐全一样，以下以DeviceA配置为例。

DeviceA(config)# spanning-tree

(4) 配置ACL。

# DeviceA配置ACL。DeviceA和DeviceB配置齐全一样，以下以DeviceA配置为例。

DeviceA(config)# ip access-list standard 10

DeviceA(config-std-nacl)# permit host 3.3.3.3

DeviceA(config-std-nacl)# deny any

DeviceA(config-std-nacl)# exit

(5) 将ACL利用到SVI接口。

# DeviceA利用ACL。DeviceA和DeviceB配置齐全一样，以下以DeviceA配置为例。

DeviceA(config)# int vlan 20

DeviceA(config-if-VLAN 20)# ip access-group 10 in

(6) 配置号令svi router-acls enable。

# DeviceA配置号令svi router-acls enable。DeviceA和DeviceB配置齐全一样，以下以DeviceA配置为例。

DeviceA(config)# svi router-acls enable

5. 验证配置了局

# 查抄DeviceA设备VRRP和谈状态。

DeviceA# show vrrp

Interface　　Grp　Pri　 timer　 Own　Pre　 State　 Master addr　　 Group addr　　　　　　　　　

VLAN 10　　　10　 120　 3.53　　-　　P　　 Master　172.16.1.3　　　172.16.1.1　　　　　　　　　　

VLAN 20　　　20　 100　 3.60　　-　　P　　 Backup　172.31.1.3　　　172.31.1.1

6. 配置文件

l DeviceA的配置文件。

hostname DeviceA

vlan 1

vlan 10

vlan 20

spanning-tree

ip access-list standard 10

?10 permit host 3.3.3.3

?20 deny any

svi router-acls enable

interface GigabitEthernet 0/1

?switchport mode trunk

interface GigabitEthernet 0/3

?switchport mode trunk

interface VLAN 1

?ip address 192.168.1.2 255.255.255.0

interface VLAN 10

?ip address 172.16.1.3 255.255.255.0

?vrrp 10 priority 120

?vrrp 10 ip 172.16.1.1

interface VLAN 20

?ip access-group 10 in

?ip address 172.31.1.4 255.255.255.0

?vrrp 20 ip 172.31.1.1

ip route 3.3.3.0 255.255.255.0 192.168.1.1

l DeviceB的配置文件。

hostname DeviceB

vlan 1

vlan 10

vlan 20

spanning-tree

ip access-list standard 10

?10 permit host 3.3.3.3

?20 deny any

svi router-acls enable

interface GigabitEthernet 0/1

?switchport mode trunk

interface GigabitEthernet 0/3

?switchport mode trunk

interface VLAN 1

?ip address 192.168.2.2 255.255.255.0

interface VLAN 10

?ip access-group 10 in

?ip address 172.16.1.4 255.255.255.0

?vrrp 10 ip 172.16.1.1

interface VLAN 20

?ip address 172.31.1.3 255.255.255.0

?vrrp 20 priority 120

?vrrp 20 ip 172.31.1.1

ip route 3.3.3.0 255.255.255.0 192.168.2.1

l DeviceC的配置文件。

hostname DeviceC

vlan 1

vlan 10

vlan 20

interface GigabitEthernet 0/1

?switchport access vlan 10

interface GigabitEthernet 0/2

?switchport access vlan 20

interface GigabitEthernet 0/3

?switchport mode trunk

interface GigabitEthernet 0/4

?switchport mode trunk

l ServerA的配置文件。

hostname ServerA

interface GigabitEthernet 0/1

?ip address 192.168.1.1 255.255.255.0

interface GigabitEthernet 0/2

?ip address 192.168.2.1 255.255.255.0

interface Loopback 0

?ip address 3.3.3.3 255.255.255.0

ip route 172.16.1.0 255.255.255.0 192.168.1.2

ip route 172.31.1.0 255.255.255.0 192.168.2.2

1.15.9? ACL报文计数统计配置举例

1. 组网需要

利用ACL时若是配置带counter-only选项，能够对某些特点的报文进行计数统计。以PC ping网关抛弃ICMP报文为例进行计数统计，并定位丢包地位。

2. 组网图

3. 配置重点

l Device上G0/1和G0/2的入方向和出方向都要利用ACL，所以Device必要配置4条ACL，别离匹配从PC到Gateway和从Gateway到PC的ICMP报文。

l Gateway设备G0/1的入方向和出方向都要利用ACL，所以Gateway配置2条ACL，别离匹配从PC到Gateway和从Gateway到PC的ICMP报文。

l 利用ACL时配置必要counter-only选项。

l 计数统计只对该ACL中的Permit规定生效，Deny规定不生效。

4. 配置步骤

(1) 配置ACL。

# Device设备配置4条ACL，别离匹配从PC到Gateway的ICMP报文和从Gateway到PC的ICMP报文。

Device> enable

Device# configure terminal

Device(config)# ip access-list extend 100

Device(config-ext-nacl)# permit icmp host 10.10.10.1 host 10.10.10.254

Device(config-ext-nacl)# exit

Device(config)# ip access-list extend 101

Device(config-ext-nacl)# permit icmp host 10.10.10.254 host 10.10.10.1

Device(config-ext-nacl)# exit

Device(config)# ip access-list extend 102

Device(config-ext-nacl)# permit icmp host 10.10.10.1 host 10.10.10.254

Device(config-ext-nacl)# exit

Device(config)# ip access-list extend 103

Device(config-ext-nacl)# permit icmp host 10.10.10.254 host 10.10.10.1

Device(config-ext-nacl)# exit

# Gateway设备配置2条ACL，别离匹配从PC到Gateway的ICMP报文和从Gateway到PC的ICMP报文。

Gateway> enable

Gateway #configure terminal

Gateway(config)# ip access-list extend 100

Gateway(config-ext-nacl)# permit icmp host 10.10.10.1 host 10.10.10.254

Gateway(config-ext-nacl)# exit

Gateway(config)# ip access-list extend 101

Gateway(config-ext-nacl)# permit icmp host 10.10.10.254 host 10.10.10.1

Gateway(config-ext-nacl)# exit

(2) 利用ACL。

# 在Gateway设备和Device设备互联接口G0/1的入方向和出方向利用ACL。

Gateway(config)# interface gigabitEthernet 0/1

Gateway(config-if-GigabitEthernet 0/1)# ip access-group 100 in counter-only

Gateway(config-if-GigabitEthernet 0/1)# ip access-group 101 out counter-only

Gateway(config-if-GigabitEthernet 0/1)# exit

# 在Device设备和Gateway设备互联接口G0/2的入方向和出方向利用ACL。

Device# configure terminal

Device(config)# interface gigabitEthernet 0/2

Device(config-if-GigabitEthernet 0/2)# ip access-group 103 in counter-only

Device(config-if-GigabitEthernet 0/2)# ip access-group 102 out counter-only

Device(config-if-GigabitEthernet 0/2)# exit

# 在Device设备和PC互联接口G0/1的入方向和出方向利用ACL。

Device# configure terminal

Device(config)# interface gigabitEthernet 0/1

Device(config-if-GigabitEthernet 0/1)# ip access-group 100 in counter-only

Device(config-if-GigabitEthernet 0/1)# ip access-group 101 out counter-only

Device(config-if-GigabitEthernet 0/1)# exit

5. 验证配置了局

# 在PC上ping网关地址10.10.10.254，3次共发出15个ICMP报文。别离查看Device设备和Gateway设备上ICMP报文统计计数。查看Device设备上ICMP报文统计计数。

Device# show access-list

ip access-list extended 100

　 10 permit ip host 10.10.10.1 host 10.10.10.254 (15 matches)

ip access-list extended 101

　 10 permit ip host 10.10.10.254 host 10.10.10.1 (10 matches)

ip access-list extended 102　

　 10 permit ip host 10.10.10.1 host 10.10.10.254 (15 matches)

ip access-list extended 103　

　 10 permit ip host 10.10.10.254 host 10.10.10.1 (10 matches)

# 查看Gateway设备上ICMP报文统计计数。

Gateway# show access-list

ip access-list extended 100

　 10 permit ip host 10.10.10.1 host 10.10.10.254 (15 matches)

ip access-list extended 101

　 10 permit ip host 10.10.10.254 host 10.10.10.1 (15 matches)

# 分析报文统计计数，定位报文抛弃地位。

Device设备和PC互联接口G0/1的入方向收到15个报文（Device设备ACL 100）。

Device设备和Gateway设备互联接口G0/2的出方向发出15个报文（Device设备ACL 102）。

Gateway设备和Device设备互联接口G0/1的入方向收到15个报文（Gateway设备ACL 100）。

Gateway设备和Device设备互联接口G0/1的出方向发出15个报文（Gateway设备ACL 101）。

Device设备和Gateway设备互联接口G0/2的入方向收到10个报文（Device设备ACL 103）。

注明报文抛弃在Device设备和Gateway设备之间的链路上。

6. 配置文件

l Device的配置文件。

hostname Device

ip access-list extended 100

?10 permit icmp host 10.10.10.1 host 10.10.10.254

ip access-list extended 101

?10 permit icmp host 10.10.10.254 host 10.10.10.1

ip access-list extended 102

?10 permit icmp host 10.10.10.1 host 10.10.10.254

ip access-list extended 103

?10 permit icmp host 10.10.10.254 host 10.10.10.1

interface GigabitEthernet 0/1

?ip access-group 100 in counter-only

?ip access-group 101 out counter-only

interface GigabitEthernet 0/2

?ip access-group 103 in counter-only

?ip access-group 104 out counter-only

l Gateway的配置文件。

hostname Gateway

ip access-list extended 100

?10 permit icmp host 10.10.10.1 host 10.10.10.254

ip access-list extended 101

?10 permit icmp host 10.10.10.254 host 10.10.10.1

interface GigabitEthernet 0/1

?ip access-group 100 in counter-only

?ip access-group 101 out counter-only

?ip address 10.10.10.254 255.255.255.0