1 ACL

1.1?? 功效先容

1.1.1? ACL概述

ACL（Access Control List，，，，，，，会见控制列表）也称为会见列表，，，，，，，有的文档中还称之为包过滤。。。。。。。ACL通过界说一系列包括“允许”或“拒绝”的规则语句，，，，，，，并将这些规则应用到装备接口上，，，，，，，对收支接口的数据包举行控制，，，，，，，从而提升网络装备的清静性。。。。。。。

设置ACL能够包管网络清静、可靠和稳固，，，，，，，例如：

l 避免报文攻击：针对IP、TCP或者ICMP报文的攻击，，，，，，，对这些攻击报文做“拒绝”处置惩罚。。。。。。。

l 网络会见控制：限制用户会见服务，，，，，，，例如只允许会见WWW和电子邮件服务，，，，，，，其他服务如Telnet则榨取。。。。。。�；；；；；蛘咧辉市碓诟ǖ氖奔涠文诨峒�，，，，，，，或者只允许特定主时机见网络等。。。。。。。

l 网络流量控制：团结QoS可以为主要的数据流举行优先服务包管。。。。。。。关于QoS的设置请拜见“QoS”。。。。。。。

1.1.2? 事情原理

1. 基本看法

l 会见列表

会见列表有：基本会见列表和动态会见列表。。。。。。。

用户可以凭证需要选择基本会见列表或动态会见列表。。。。。。。一样平常情形下，，，，，，，使用基本会见列表已经能够知足清静需要。。。。。。。但攻击者可能通过软件冒充源地点诱骗装备，，，，，，，从而会见网络。。。。。。。而动态会见列表在用户会见网络以前，，，，，，，要求通过身份认证，，，，，，，使攻击者难以会见网络。。。。。。。在敏感区域可以使用动态会见列表包管网络清静。。。。。。。

说明

通过冒充源地点诱骗装备即电子诱骗是所有会见列表固有的问题，，，，，，，使用动态列表也会遭遇电子诱骗问题：攻击者可能在用户通过身份认证的有用会见时代，，，，，，，冒充用户的地点会见网络。。。。。。。解决该问题的要领有两种，，，，，，，一种是只管设置更短的用户会见空闲时间；；；；；另一种是使用IPsec加密协议对网络数据举行加密，，，，，，，确保进入装备时，，，，，，，所有的数据都是加密的。。。。。。。

会见列表一样平常设置在以下位置的网络装备上：

○ 内部网和外部网（如Internet）之间的装备

○ 两个网络接壤部分的装备

○ 接入控制端口的装备

l ACE

ACE（Access Control Entry，，，，，，，会见控制条目）是包括“允许（Permit）”或“拒绝（Deny）”两种行动，，，，，，，以及过滤规则的一条语句。。。。。。。每个ACE都有一个序号，，，，，，，该序号可由装备自动分派或者手动设置。。。。。。。一条ACL中包括一个或者多个ACE。。。。。。。ACL通过ACE对数据包举行标识过滤。。。。。。。

ACL中ACE的顺序决议了该ACE在会见列表中的匹配优先级。。。。。。。网络装备在处置惩罚报文时，，，，，，，按ACE的序号从小到大举行规则匹配，，，，，，，当找到匹配的ACE后则阻止检查后续的ACE。。。。。。。

例如建设一条序号为10的ACE，，，，，，，它拒绝所有的数据流通过。。。。。。。

10 deny ip any any

20 permit tcp 192.168.12.0 0.0.0.255 eq telnet any

由于序号为10的ACE拒绝了所有的IP报文，，，，，，，纵然192.168.12.0/24网络的主机Telnet报文，，，，，，，可以被序号为20的ACE匹配，，，，，，，该报文也将被拒绝。。。。。。。由于装备在检查到报文和序号为10的ACE匹配后，，，，，，，便阻止检查后面序号为20的ACE。。。。。。。

又例如建设一条编号为10的ACE，，，，，，，它允许所有的IPv6数据流通过。。。。。。。

10 permit ipv6 any any

20 deny ipv6 host 200::1 any

由于序号为10的ACE允许所有的IPv6报文通过，，，，，，，主机200::1发出的IPv6报文，，，，，，，纵然匹配序号为20的ACE，，，，，，，该报文也将被允许通过。。。。。。。由于装备在检查到报文和第一条ACE匹配，，，，，，，便阻止检查后面序号为20的ACE。。。。。。。

l 步长

当装备为ACE自动分派序号时，，，，，，，两个相邻ACE序号之间的差值，，，，，，，称为步长。。。。。。。例如，，，，，，，若是将步长设定为5，，，，，，，则装备凭证5、10、15…这样的递增顺序自动为ACE分派序号。。。。。。。如下所示。。。。。。。

5 deny ip any any

10 permit tcp 192.168.12.0 0.0.0.255 eq telnet any

当步长改变后，，，，，，，ACE序号会自动按新步长值重新分派。。。。。。。例如，，，，，，，当把步长改为10后，，，，，，，原来ACE序号从5、10、15酿成5、15、25。。。。。。。

通过改变步长可以在两个ACE之间插入新的ACE。。。。。。。例如建设了4个ACE，，，，，，，并通过手动设置ACE序号划分为1、2、3和4。。。。。。。若是希望能在序号1后面插入一条新的ACE，，，，，，，则可以先将步长修改为2，，，，，，，此时原先4个ACE的序号自动变为1、3、5和7，，，，，，，再插入一条手动设置的序号为2的ACE。。。。。。。

l 过滤域模板

过滤域指的是天生一条ACE时，，，，，，，凭证报文中的哪些字段对报文举行识别、分类。。。。。。。过滤域模板就是这些字段的组合。。。。。。。ACE凭证以太网报文的某些字段来标识以太网报文，，，，，，，这些字段包括：

二层字段（Layer 2 Fields）：

○ 48位的源MAC地点（必需说明所有48位）

○ 48位的目的MAC地点（必需说明所有48位）

○ 16位的二层类型字段

三层字段（Layer 3 Fields）：

○ 源IP地点字段（可以说明所有源IP地点值，，，，，，，或使用子网来界说一类流）

○ 目的IP地点字段（可以说明所有目的IP地点值，，，，，，，或使用子网来界说一类流）

○ 协议类型字段

四层字段（Layer 4 Fields）：

○ 可以说明一个TCP的源端口、目的端口或者都说明，，，，，，，还可以说明源端口或目的端口的规模。。。。。。。

○ 可以说明一个UDP的源端口、目的端口或者都说明，，，，，，，还可以说明源端口或目的端口的规模。。。。。。。

例如，，，，，，，在建设一条ACE时需要凭证报文的目的IP字段，，，，，，，对报文举行识别和分类。。。。。。。而在建设另一条ACE时，，，，，，，需要凭证报文的源IP地点字段和UDP的源端口字段，，，，，，，对报文举行识别和分类。。。。。。。这两条ACE就使用了差别的过滤域模板。。。。。。。

l 规则

规则（Rules）指的是ACE过滤域模板对应的值。。。。。。。例如，，，，，，，一条ACE的内容如下：

10 permit tcp host 192.168.12.2 any eq telnet

在这条ACE中，，，，，，，过滤域模板为以下字段的荟萃：源IP地点字段、目的IP地点字段、IP协议字段、TCP目的端口字段。。。。。。。对应的值（即规则）划分为：源IP地点为Host 192.168.12.2、目的IP地点为Any（即所有主机）、IP协议为TCP、TCP目的端口为Telnet。。。。。。。如图1-1所示。。。。。。。

图1-1 对ACE：permit tcp host 192.168.12.2 any eq telnet的剖析

说明

● 过滤域模板可以是三层字段（Layer 3 Field）和四层字段（Layer 4 Field）的荟萃，，，，，，，也可以是多个二层字段（Layer 2 Field）的荟萃。。。。。。。但标准与扩展ACL的过滤域模板不可是二层和三层字段、二层和四层字段、二层和三层字段、四层字段的荟萃。。。。。。。要使用二层、三层、四层字段荟萃，，，，，，，可以应用专家级扩展会见控制列表。。。。。。。

● 出偏向ACL关联SVI接口（Switch Virtual Interface，，，，，，，交流装备虚拟接口）的注重事项：支持IP标准、IP扩展、MAC扩展和专家级ACL应用。。。。。。。

● 若是在MAC扩展和专家级ACL中匹配目的MAC，，，，，，，将这样的ACL应用到SVI接口的出偏向时，，，，，，，表项会被设置，，，，，，，但无法生效。。。。。。。若是想要在IP扩展，，，，，，，专家级ACL中匹配目的IP，，，，，，，而目的IP不在所关联的SVI接口的子网IP规模内时，，，，，，，设置的ACL将无法生效。。。。。。。例如VLAN 1的地点为192.168.64.1 255.255.255.0，，，，，，，建设一条IP扩展的ACL，，，，，，，ACE为deny udp any 192.168.65.1 0.0.0.255 eq 255，，，，，，，将该ACL应用到VLAN 1的出口，，，，，，，将无法生效。。。。。。。由于目的IP不在VLAN 1子网IP规模内，，，，，，，若是ACE为deny udp any 192.168.64.1 0.0.0.255 eq 255将可以生效，，，，，，，由于目的IP切合划定。。。。。。。

● 由于ACL资源（TCAM/KEY/端口组/Range等）属动态分派资源，，，，，，，即营业下发时战略整合资源模�？？？？？槠局つ拷竦�ACL资源情形举行分派，，，，，，，先到的营业先分派ACL资源，，，，，，，后到的营业若是ACL资源不敷就会保存ACL资源分派失败，，，，，，，并提醒过失syslog。。。。。。。装备重启历程或热拔插等触发数据同步的历程，，，，，，，各营业无法包管按原来的时序将营业同步，，，，，，，有可能触发由于营业时序纷歧样导致原本可以分派到ACL资源的营业分派不到ACL资源，，，，，，，ACL资源缺乏会提醒过失syslog。。。。。。。

产品/版本支持情形

● 作用在物理口和三层聚合接口上的出偏向ACL，，，，，，，仅支持匹配着名报文（单播、组播），，，，，，，不支持匹配未着名单播，，，，，，，即关于未着名报文或者广播报文，，，，，，，接口上设置的出偏向ACL不生效。。。。。。。

● 入偏向ACL和802.1x，，，，，，，全局IP和MAC绑定，，，，，，，端口清静，，，，，，，IP Source Guard共用时，，，，，，，Permit和默认Deny的ACE不生效，，，，，，，其他Deny表项的ACE正常生效。。。。。。。

● 入偏向ACL和QoS共用时，，，，，，，Permit表项的ACE不生效，，，，，，，其他Deny表项的ACE正常生效；；；；；默认Deny表项的ACE在QoS表项后生效。。。。。。。

● 由于硬件容量的限制，，，，，，，作用在多个SVI接口的入偏向ACL，，，，，，，若是再添加ACE，，，，，，，生涯设置重启后可能导致部分SVI接口上的ACL无法设置乐成。。。。。。。

说明

● 当设置专家级的ACL，，，，，，，并应用在接口的出偏向时，，，，，，，若是该ACL中的某些ACE包括三层匹配信息（例如IP，，，，，，，L4port等），，，，，，，将导致从应用接口进入的非IP报文无法受该ACL的Permit和Deny规则控制。。。。。。。

● 应用ACL时，，，，，，，若是ACL（包括IP ACL和专家级扩展ACL）中的ACE匹配了非二层字段，，，，，，，例如源IP，，，，，，，目的IP时，，，，，，，关于带标签的MPLS报文匹配是无效的。。。。。。。

2. IP ACL

IP ACL主要用于对收支装备的IPv4报文举行细腻化控制，，，，，，，用户可以凭证现实需要阻止或允许特定的IPv4报文进入网络，，，，，，，从而实现控制IP用户会见网络资源的目的。。。。。。。

在IP ACL中界说一系列的会见规则，，，，，，，并将会见列表应用在接口的入偏向或出偏向上，，，，，，，也可以对IP ACL举行全局应用。。。。。。。当IPv4报文收支装备时，，，，，，，装备通过判断报文是否与规则匹配来决议是否转发或阻断报文。。。。。。。

要在装备上设置IP ACL，，，，，，，必需为会见列表指定一个唯一的名称或编号，，，，，，，以便唯一标识每个会见列表。。。。。。。

IP ACL分为IP标准ACL和IP扩展ACL。。。。。。。表1-1列出了IP标准ACL和IP扩展ACL可以使用的编号规模。。。。。。。

表1-1 IP标准ACL和IP扩展ACL编号规模

类型	编号规模	匹配域
IP标准ACL	1~99，，，，，，，1300~1999	源IP地点
IP扩展ACL	100~199，，，，，，，2000~2699	● 源IP地点 ● 目的IP地点 ● IP协议号 ● 四层源端口号或ICMP type ● 四层目的端口号或ICMP code

类型

编号规模

匹配域

IP标准ACL

1~99，，，，，，，1300~1999

源IP地点

IP扩展ACL

100~199，，，，，，，2000~2699

● 源IP地点

● 目的IP地点

● IP协议号

● 四层源端口号或ICMP type

● 四层目的端口号或ICMP code

IP标准ACL主要凭证源IP地点控制报文的转发或阻断。。。。。。。IP扩展ACL通过对表中匹配域的组合，，，，，，，控制报文的转发或阻断。。。。。。。

关于简单的会见列表来说，，，，，，，可以使用多条自力的会见列表语句来界说多种规则，，，，，，，其中所有的语句引用统一个编号或名字，，，，，，，以便将这些语句绑定到统一个会见列表。。。。。。。

说明

ACL规则中的ICMP code匹配域对ICMP type为3的ICMP报文无效。。。。。。。若是ACL规则中设置了要匹配ICMP报文的code字段，，，，，，，当Type为3的ICMP报文进入装备执行ACL匹配时，，，，，，，匹配效果可能与预期的纷歧样。。。。。。。

每个IP ACL的末尾隐含着一条“拒绝所有数据流”的规则语句。。。。。。。若是报文与任何规则都不匹配，，，，，，，将被拒绝。。。。。。。如下例：

access-list 1 permit host 192.168.4.12

此列表只允许源主机为192.168.4.12的报文通过，，，，，，，其它主机都将被拒绝。。。。。。。由于这条会见列表最后包括了一条规则语句：

access-list 1 deny any

又例如：

access-list 1 deny host 192.168.4.12

若是列表只包括以上这一条语句，，，，，，，则任何主机报文通过该接口时都将被拒绝。。。。。。。

注重

在界说会见列表的时间，，，，，，，要思量到路由更新的报文。。。。。。。由于会见列表末尾“拒绝所有数据流”，，，，，，，可能导致所有的路由更新报文被阻断。。。。。。。

3. MAC扩展ACL

MAC扩展ACL基于报文的二层信息来对收支装备的报文举行细腻化控制。。。。。。。用户可以凭证现实需要阻止或允许特定的二层报文进入网络，，，，，，，从而实现控制�；；；；；ね缱试床皇芄セ骰蛘呖刂朴没Щ峒缱试吹哪康摹！！！�。。。

在MAC扩展ACL中界说一系列的会见规则，，，，，，，将会见列表应用在接口的入偏向或出偏向上。。。。。。。当报文收支装备时，，，，，，，装备判断报文是否与规则匹配来决议是否转发或阻断报文。。。。。。。

要在装备上设置MAC扩展ACL，，，，，，，必需为会见列表指定一个唯一的名称或编号，，，，，，，以便唯一标识每个会见列表。。。。。。。表1-2列出MAC扩展ACL的编号规模。。。。。。。

表1-2 MAC扩展ACL编号规模

协议	编号规模	匹配域
MAC扩展ACL	700~799	● 源MAC地点 ● 目的MAC地点 ● 以太网协议类型

协议

编号规模

匹配域

MAC扩展ACL

700~799

● 源MAC地点

● 目的MAC地点

● 以太网协议类型

MAC扩展ACL凭证源或目的MAC地点以及报文的以太网类型来控制报文的转发或阻断。。。。。。。

关于简单的MAC扩展ACL来说，，，，，，，可以使用多条自力的会见列表语句来界说多种规则，，，，，，，其中所有的语句引用统一个编号或名字，，，，，，，以便将这些语句绑定到统一个会见列表。。。。。。。

说明

若是MAC扩展ACL规则中没有指定是针对IPv6报文，，，，，，，即没有界说以太网类型字段或界说的以太网类型字段值不是0x86dd，，，，，，，那么MAC扩展ACL不匹配IPv6报文。。。。。。。若是用户想匹配IPv6报文，，，，，，，请使用IPv6 ACL。。。。。。。

每个MAC扩展ACL的末尾隐含着一条“拒绝所有数据流”的规则语句。。。。。。。若是报文与任何规则都不匹配，，，，，，，将被拒绝。。。。。。。如下例：

access-list 700 permit host 00d0.f800.0001 any

此列表只允许来自MAC地点为00d0.f800.0001的主机发出的报文通过，，，，，，，来自其它主机的报文都将被拒绝。。。。。。。由于这条会见列表最后包括了一条规则语句：

access-list 700 deny any any

4. 专家级扩展ACL

专家级扩展ACL基于报文的二层和三层信息对收支装备的报文举行细腻化控制。。。。。。。�？？？？？梢越ḿ壹独┱�ACL看作是IP ACL和MAC扩展ACL的一种团结与增强。。。。。。。专家级扩展ACL中的规则不但可以包括IP ACL规则和MAC扩展ACL规则，，，，，，，还可以指定基于VLAN ID来匹配报文。。。。。。。

在专家级扩展ACL中界说一系列的会见规则，，，，，，，并将会见列表应用在接口的入偏向或出偏向上。。。。。。。报文收支装备时，，，，，，，装备就会通过判断报文是否与会见规则匹配来决议是否转发或阻断报文。。。。。。。

要在装备上设置专家级扩展ACL，，，，，，，必需为协议的会见列表指定一个唯一的名称或编号，，，，，，，以便在协议内部能够唯一标识每个会见列表。。。。。。。表1-3列出专家级扩展ACL的编号规模。。。。。。。

表1-3 专家级扩展ACL的编号规模

协议	编号规模	匹配域
专家级扩展ACL	2700~2899	● 源IP地点 ● 目的IP地点 ● IP协议号 ● 四层源端口号或ICMP type ● 四层目的端口号或ICMP code ● 源MAC地点 ● 目的MAC地点 ● 以太网协议类型 ● VLAN ID

协议

编号规模

匹配域

专家级扩展ACL

2700~2899

● 源IP地点

● 目的IP地点

● IP协议号

● 四层源端口号或ICMP type

● 四层目的端口号或ICMP code

● 源MAC地点

● 目的MAC地点

● 以太网协议类型

● VLAN ID

专家级扩展ACL通过对表中匹配域举行组合，，，，，，，控制报文的转发或阻断。。。。。。。

关于简单的专家级扩展ACL来说，，，，，，，可以使用多条自力的会见列表语句来界说多种规则，，，，，，，其中所有的语句需引用统一个编号或名字，，，，，，，以便将这些语句绑定到统一个会见列表。。。。。。。

说明

若是专家级扩展ACL规则中没有指定是针对IPv6报文，，，，，，，即没有界说以太网类型字段或以太网类型字段不是0x86dd，，，，，，，那么专家级扩展ACL不匹配IPv6报文。。。。。。。若是用户想匹配IPv6报文，，，，，，，请使用IPv6 ACL。。。。。。。

产品/版本支持情形

● 数据中心产品的专家级扩展ACL中，，，，，，，VXLAN字段选项主要是为了匹配VXLAN的内层报文，，，，，，，因此VXLAN模式下可以应用专家级ACL匹配VXLAN的内层IP字段。。。。。。。

● 当装备需要匹配VXLAN报文时，，，，，，，可以指定VXLAN协议目的端口号用于确认VXLAN报文，，，，，，，同时可以指定匹配该VXLAN报文是否携带Tag。。。。。。。

产品/版本支持情形

数据中心产品的专家级扩展ACL中UDF选项是用户自界说字段匹配域，，，，，，，由用户指定需要匹配的协议层、偏移值、数据和掩码。。。。。。。

每个专家级扩展ACL的末尾隐含着一条“拒绝所有数据流”规则语句。。。。。。。若是报文与任何规则都不匹配，，，，，，，将被拒绝。。。。。。。如下例：

access-list 2700 permit 0x0806 any any any any any

此列表只允许以太网类型为0x0806（即ARP）的报文通过，，，，，，，其他类型的报文都将被拒绝。。。。。。。由于这条会见列表最后包括了一条规则语句：

access-list 2700 deny any any any any

5. IPv6 ACL

IPv6 ACL主要用于对收支装备的IPv6报文举行细腻化控制。。。。。。。用户可以凭证现实需要阻止或允许特定的IPv6报文进入网络，，，，，，，从而实现控制IPv6用户会见网络资源的目的。。。。。。。

在IPv6 ACL中界说一系列的会见规则，，，，，，，并将会见列表应用在接口的入偏向或出偏向上。。。。。。。当IPv6报文收支装备时，，，，，，，装备判断报文是否与规则匹配来决议是否转发或阻断报文。。。。。。。

要在装备上设置会见列表，，，，，，，必需为协议的会见列表指定一个唯一的名称。。。。。。。

每个IPv6 ACL的末尾隐含着一条“拒绝所有IPv6数据流”规则语句，，，，，，，因此若是报文与任何规则都不匹配，，，，，，，将被拒绝。。。。。。。如下例：

ipv6 access-list ipv6_acl

?10 permit ipv6 host 200::1 any

此列表只允许源主机为200::1的IPv6报文通过，，，，，，，其它主机发出的IPv6报文都将被拒绝。。。。。。。由于这条会见列表最后包括了一条规则语句：

deny ipv6 any any

6. 专家级高级ACL（ACL80）

专家级高级ACL，，，，，，，即ACL80，，，，，，，也称为自界说ACL。。。。。。。ACL80支持对报文的前80个字节中的指定字节按比特位举行匹配。。。。。。。

ACL80匹配时有三个要素：匹配域内容、匹配域掩码以及匹配的起始位置（即偏移量offset）。。。。。。。匹配域内容和匹配域掩码两者的比特位是逐一对应的。。。。。。。匹配域内容指明需要匹配的字段值，，，，，，，匹配域掩码指明对应比特位是否需要匹配。。。。。。。当需要匹配某个比特位时，，，，，，，必需将匹配域掩码中对应的比特位设置为1。。。。。。。若是匹配域掩码对应的比特位设置为0，，，，，，，无论匹配域内容中对应的比特位是什么，，，，，，，都不会匹配。。。。。。。例如：

10 permit 00d0f8123456 ffffffffffff 0

20 deny 00d0f8654321 ffffffffffff 6

在序号为10的ACE中，，，，，，，匹配域内容为00d0f8123456，，，，，，，匹配域掩码为ffffffffffff，，，，，，，偏移量为0。。。。。。。这条规则体现若是报文的目的MAC为00d0f8123456，，，，，，，则允许报文转发。。。。。。。

在序号为20的ACE中，，，，，，，匹配域内容为00d0f8654321，，，，，，，匹配域掩码为ffffffffffff，，，，，，，偏移量为6。。。。。。。这条规则体现若是报文的源MAC为00d0f8654321，，，，，，，则阻断该报文。。。。。。。

准确使用自界说会见控制列表需要对二层数据帧结构有深入的相识。。。。。。。二层数据帧前64个字节示意如图1-2所示。。。。。。。图中每个字母代表一个十六进制数，，，，，，，每两个字母代表一个字节。。。。。。。

图1-2 二层数据帧前64个字节示意图

各个字母的寄义及偏移量取值如表1-4所示。。。。。。。

表1-4 字母的寄义及偏移量取值

字母	寄义	偏移量	字母	寄义	偏移量
A	目的MAC	0	O	TTL字段	34
B	源MAC	6	P	协议号	35
C	VLAN Tag字段	12	Q	IP校验和	36
D	数据帧长度字段	16	R	源IP地点	38
E	DSAP(目的服务会见点)字段	18	S	目的IP地点	42
F	SSAP(源服务会见点)字段	19	T	TCP源端口	46
G	Ctrl字段	20	U	TCP目的端口	48
H	Org Code字段	21	V	序列号	50
I	封装的数据类型	24	W	确认字段	54
J	IP版本号	26	XY	IP头长度和保存比特位	58
K	TOS字段	27	Z	保存比特位和Flags比特位	59
L	IP包的长度	28	a	Windows Size字段	60
M	ID号	30	b	其他	62
N	Flags字段	32

表中各个字段的偏移量是它们在SNAP＋Tag的802.3数据帧中的偏移量。。。。。。。在自界说会见控制列表中，，，，，，，通过匹配域掩码和偏移量，，，，，，，从数据帧的前80个字节中提取指定字节，，，，，，，再和匹配域内容较量，，，，，，，从而对报文作响应的处置惩罚。。。。。。。例如，，，，，，，用户允许所有的TCP报文转发，，，，，，，则可以将匹配域内容界说为“06”，，，，，，，匹配域掩码界说为“ff”，，，，，，，偏移量界说为35。。。。。。。建设序号为10的ACE如下。。。。。。。

10 permit 06 ff 35

将会见列表应用在接口的入偏向或出偏向上。。。。。。。当报文收支装备时，，，，，，，通过匹配域掩码和偏移量，，，，，，，从数据帧中将TCP协议号字段的内容提取出来，，，，，，，再和匹配域内容较量，，，，，，，匹配出所有的TCP报文并举行转发。。。。。。。

7. ACL重定向

ACL重定向的作用是将切合规则的报文重定向至指定接口转发，，，，，，，或在指定接口上抓取报文加以剖析。。。。。。。

ACL重定向在指定接口上绑定差别的ACL战略，，，，，，，并给每个战略指定一个输出接口。。。。。。。当该接口收到报文时，，，，，，，将逐条查找绑定在该接口上的ACL战略。。。。。。。若是报文切合某条战略形貌的特征，，，，，，，将从该战略所指定的输出接口转发。。。。。。。

8. 全局清静ACL

由于网络中保存州病毒报文，，，，，，，且各端口下的病毒报文识别特征相同或相似。。。。。。。端口清静ACL常被设置作为病毒报文过滤及提防使用，，，，，，，用于过滤切合某些特征的报文，，，，，，，例如：伪造的TCP攻击报文。。。。。。。通过建设ACL并添加匹配州病毒报文特征的ACE后，，，，，，，将ACL应用到装备各个端口，，，，，，，抵达过滤病毒报文的作用。。。。。。。端口清静ACL用于病毒过滤等抗攻击场景时，，，，，，，保存较多未便。。。。。。。

l 端口需要逐个设置。。。。。。。保存重复设置、操作性能低下及ACL资源太过消耗的情形。。。。。。。

l 清静ACL的会见控制作用被弱化。。。。。。。由于被用于病毒过滤，，，，，，，清静ACL的限制路由更新、限制网络会见等基本功效无法正常使用。。。。。。。

全局清静ACL可以在不影响端口清静ACL的情形下，，，，，，，举行全局抗病毒安排及防御。。。。。。。全局清静ACL只需要一条下令即在所有二层接口上生效。。。。。。。

当全局清静ACL与端口清静ACL同时设置时，，，，，，，两者配合生效。。。。。。。关于匹配全局清静ACL规则的报文将被看成病毒报文直接过滤，，，，，，，关于没有匹配全局清静ACL规则的报文将继续受端口清静ACL控制。。。。。。。若是想让某些端口不受全局清静ACL的控制，，，，，，，可以在这些接口上自力关闭全局清静ACL功效。。。。。。。当全局、接口和VLAN的清静ACL同时应用时，，，，，，，优先级接口 > VLAN > 全局。。。。。。。

为了阻止全局清静ACL被误设置，，，，，，，新增全局清静ACL无效开关。。。。。。。设置全局清静ACL无效后，，，，，，，再设置全局清静ACL，，，，，，，会提醒设置失败。。。。。。。若是已经设置了全局清静ACL，，，，，，，再设置全局清静ACL无效，，，，，，，那么会将目今所有全局清静ACL删除，，，，，，，并给出日志提醒。。。。。。。

9. SVI Router ACL

应用在SVI接口上的会见列表（即SVI ACL）会同时对VLAN内二层转发的报文及VLAN间的路由报文生效，，，，，，，从而导致统一VLAN内差别用户之间无法正常通讯等异常征象。。。。。。。使用SVI Router ACL功效可以使应用在SVI接口上的会见列表仅对VLAN间的路由报文生效。。。。。。。

缺省情形下，，，，，，，SVI Router ACL功效默认关闭。。。。。。。SVI ACL同时对VLAN间的三层转发报文及VLAN内的桥转发报文生效。。。。。。。SVI Router ACL功效开启后，，，，，，，SVI ACL仅对VLAN间的三层转发报文生效。。。。。。。

10. ?报文匹配日志

报文匹配日志用于监控会见列表规则的运行状态，，，，，，，为一样平常网络维护以及网络优化提供须要的信息。。。。。。。

为了让用户更好的掌握ACL在装备中的运行状态，，，，，，，在添加ACE时可以凭证需要决议是否指定报文匹配日志输出选项。。。。。。。若是指定了该选项，，，，，，，则当ACE匹配到报文时输出匹配日志信息。。。。。。。ACL基于ACE打印日志信息，，，，，，，即装备周期性的打印匹配报文的ACE信息，，，，，，，以及匹配的报文数目。。。。。。。如下：

*Sep　9 16:23:06: %ACL-6-MATCH: ACL 100 ACE 10 permit icmp any any, match 78 packets.

为合理控制日志输出的数目和频率，，，，，，，ACL支持设置日志输出距离的设置。。。。。。。

注重

● 带日志选项的会见列表规则会使用更多的硬件资源，，，，，，，若是设置的所有规则都带有日志选项，，，，，，，则会导致装备的硬件战略容量减半。。。。。。。

● 默认报文匹配日志输出距离是0分钟，，，，，，，即不输出ACL匹配日志。。。。。。。在设置会见列表规则时指定了日志选项后，，，，，，，还需要设置输出距离，，，，，，，不然不会输出匹配日志。。。。。。。

● 关于带日志选项的规则，，，，，，，若是指定的时间距离内没有匹配到任何报文，，，，，，，则不会输出与该规则有关的报文匹配日志；；；；；若是指定的时间距离内匹配到报文，，，，，，，则时间距离到期后，，，，，，，会输出与该规则有关的报文匹配日志。。。。。。。其中的报文掷中数目为该时间距离内该规则匹配到的报文总数，，，，，，，即为该规则上一次输出日志到本次输出日志之间掷中的报文数。。。。。。。

产品/版本支持情形

仅支持为IP ACL和IPv6 ACL规则设置日志选项。。。。。。。

11. ?报文匹配计数

出于网络治理的需要，，，，，，，用户可能想知道某条会见列表规则是否匹配到报文以及匹配数目。。。。。。。ACL提供了基于规则的报文匹配计数功效。。。。。。。用户可以基于ACL开启和关闭该ACL下的所有规则的报文匹配计数功效。。。。。。。当有报文匹配到了这条规则，，，，，，，对应的匹配计数就响应地增添。。。。。。。用户可通过ACL的统计扫除下令将该ACL下所有规则的报文匹配计数清零，，，，，，，以便重新统计。。。。。。。

注重

开启ACL的报文匹配计数功效需要更多的硬件表项，，，，，，，极端情形下会使装备可以设置的硬件战略容量减半。。。。。。。

产品/版本支持情形

在IP ACL、MAC扩展ACL、专家级扩展ACL和IPv6 ACL上开启报文匹配计数功效。。。。。。。

12. ?ACL生效时间段

若是用户需要在指定的时间段内对某些流量举行控制，，，，，，，例如，，，，，，，榨取在事情时间使用谈天工具。。。。。。。�？？？？？梢酝ü柚�ACE的生效时间段，，，，，，，控制流量通过的时间。。。。。。。时间段分为绝对时间和周期时间两种。。。。。。。

绝对时间体现一个指定起始时间以及竣事时间的时间区间。。。。。。。该时间区间不会循环泛起，，，，，，，也没有周期。。。。。。。例如“2000年1月1日12：00：00至2001年1月1日12：00：00”。。。。。。。

周期时间体现一个周期性的时间区间。。。。。。。例如“每周一8：00到每周五17：00”。。。。。。。

关于时间段的设置请拜见“基础设置指南”中的“Time Range”。。。。。。。

13. ?分片报文匹配模式

使用分片报文匹配模式可以使会见列表对分片报文举行更细腻化的控制。。。。。。。

关于IP报文，，，，，，，在网络传输时中可能会被分片。。。。。。。报文爆发分片时，，，，，，，只有首片报文带有四层信息，，，，，，，例如TCP或UDP端口号、ICMP类型和ICMP编码等，，，，，，，其他的分片报文都不带有这些四层信息。。。。。。。在默认的分片报文匹配模式下，，，，，，，若是ACL规则带有Fagment标识，，，，，，，则只会匹配非首片报文；；；；；若是ACL规则不带有Fragment标识，，，，，，，则匹配所有报文，，，，，，，包括首片报文和后续的所有分片报文。。。。。。。除了默认的分片报文匹配模式外，，，，，，，还提供另一种新的分片报文匹配要领，，，，，，，用户可以凭证需要在指定的ACL上举行切换。。。。。。。在新的分片报文匹配模式下，，，，，，，当ACL规则不带有Fragment标识，，，，，，，若是报文被分片，，，，，，，首片报文会匹配规则中用户界说的所有匹配域(包括三层和四层信息)，，，，，，，而非首片报文则只会匹配规则中的非四层信息。。。。。。。

产品/版本支持情形

● 仅在IP扩展ACL和专家级扩展ACL上支持分片报文匹配模式的切换。。。。。。。

14. ?全局控制面清静ACL

在某些应用场景中，，，，，，，需要绑定ACL限制源IP对TCP握手首包举行处置惩罚，，，，，，，而不是建设TCP毗连后再举行限制。。。。。。。使用全局控制面ACL实现仅软件过滤，，，，，，，不但可以镌汰对硬件资源的消耗，，，，，，，并且能够知足对TCP首包举行处置惩罚的需求。。。。。。。将清静ACL通过控制面应用下令应用到全局，，，，，，，体现该ACL仅软件生效。。。。。。。

全局控制面ACL在所有二层以太网接口上生效，，，，，，，ACL表项不应用到硬件，，，，，，，仅对软件生效，，，，，，，从而镌汰对硬件资源的消耗；；；；；当举行TCP握手时，，，，，，，软件ACL对TCP首包举行检查，，，，，，，关于掷中ACL的TCP报文举行过滤，，，，，，，实现对首包过滤的目的。。。。。。。

说明

● 全局控制面ACL仅对软件过滤生效。。。。。。。

● 全局控制面ACL不受全局ACL破例口设置限制，，，，，，，设置破例口后全局控制面ACL仍然生效

● 全局控制面ACL可以在二层接口上生效，，，，，，，也可以在三层接口上生效。。。。。。。即可以在以下类型的接口上都生效：Access口、Trunk口、Hybrid口、三层以太网接口、二层聚合接口或三层聚合接口。。。。。。。在SVI接口和聚合成员接口上不生效。。。。。。。

1.2?? 设置使命概览

ACL设置使命如下：

(1) 设置ACL。。。。。。。以下设置使命请至少选择其中一项举行设置。。。。。。。

○ 设置IPv6 ACL

(2) （可选！！！�。。。�设置ACL重定向

(3) （可选！！！�。。。�设置全局清静ACL

(4) （可选！！！�。。。�设置分片报文匹配模式

(5) （可选！！！�。。。�设置SVI Router ACL

(6) （可选！！！�。。。�设置ACL故障恢复

1.3?? 设置IP标准ACL

1.3.1? 功效简介

建设和应用IP标准ACL，，，，，，，对接口上收支的IPv4报文举行控制，，，，，，，榨取或允许特定的IPv4报文进入网络，，，，，，，从而实现控制IP用户会见网络资源的目的。。。。。。。

1.3.2? 设置限制与指导

l 若是只想通过检查报文的源IP地点来控制用户的网络资源会见权限，，，，，，，那么可以设置IP标准ACL。。。。。。。

l IP标准ACL可以凭证用户的漫衍情形，，，，，，，在接入、汇聚或焦点装备上设置。。。。。。。IP标准ACL只对被设置的装备有用，，，，，，，不会影响网络中的其他装备。。。。。。。

1.3.3? 设置使命简介

IP标准ACL设置使命如下：

(1) 建设IP标准ACL

(2) 应用IP标准ACL

1.3.4? 建设IP标准ACL

1. 功效简介

建设IP标准ACL并设置规则。。。。。。。

2. 设置限制与指导

l IP标准ACL中允许无规则。。。。。。。没有设置规则时，，，，，，，ACL隐含一条“拒绝所有数据流”的规则，，，，，，，榨取所有IPv4报文进入装备。。。。。。。

l 若是想让ACL的某些规则在指定的时间生效，，，，，，，或在指定的时间内失效，，，，，，，例如让ACL在一个星期的某些时间段内生效等。。。。。。。�？？？？？梢陨柚么�time-range选项的ACL规则。。。。。。。

l 设置带time-range选项的ACL规则时，，，，，，，需要设置对应的时间段选项。。。。。。。关于时间段的设置请拜见“基础设置指南”中的“Time Range”。。。。。。。

l 设置带log选项的ACL规则会使用更多的硬件资源，，，，，，，若是设置的所有规则都带有log选项，，，，，，，则会导致装备的硬件战略容量减半。。。。。。。

l 默认报文匹配日志输出距离是0分钟，，，，，，，即不输出ACL匹配日志。。。。。。。在设置ACL规则时指定了log选项后，，，，，，，还需要设置输出距离，，，，，，，不然不会输出匹配日志。。。。。。。

l 关于带log选项的规则，，，，，，，若是指定的时间距离内没有匹配到任何报文，，，，，，，则不会输出与该规则有关的报文匹配日志；；；；；若是指定的时间距离内匹配到报文，，，，，，，则时间距离到期后，，，，，，，会输出与该规则有关的报文匹配日志。。。。。。。其中的报文掷中数目为该时间距离内该规则匹配到的报文总数，，，，，，，即为该规则上一次输出日志到本次输出日志之间掷中的报文数。。。。。。。

l 若是设置了许多ACL或规则，，，，，，，但没有为这些ACL或规则设置注释信息。。。。。。。在现实的网络维护历程中，，，，，，，将难以区分这些ACL或规则的用途。。。。。。。为ACL或规则设置注释信息，，，，，，，可以利便明确ACL用途。。。。。。。

3. 设置办法

(1) 进入特权模式。。。。。。。

enable

(2) 进入全局设置模式。。。。。。。

configure terminal

(3) 建设IP标准ACL和规则。。。。。。。请选择其中一项举行设置。。。。。。。

○ 建设数字索引的IP标准ACL和规则。。。。。。。

access-list acl-number { deny | permit } { source-ipv4-address source-ipv4-wildcard | host source-ipv4-address | any } [ time-range time-range-name ] [ log ]

缺省情形下，，，，，，，不保存IP标准ACL和规则。。。。。。。

○ 建设数字索引或者命名的IP标准ACL和规则。。。。。。。请依次执行以下下令设置IP标准ACL和规则。。。。。。。

ip access-list standard { acl-name | acl-number }

缺省情形下，，，，，，，不保存IP标准ACL。。。。。。。

[ sequence-number ] { deny | permit } { source-ipv4-address source-ipv4-wildcard | host source-ipv4-address | any } [ time-range time-range-name ] [ log ]

缺省情形下，，，，，，，IP标准ACL中保存一条拒绝类型的规则。。。。。。。

(4) （可选！！！�。。。┥柚帽ㄎ钠ヅ淙罩靖戮嗬搿！！！�。。。

ip access-list log-update interval time-value

缺省情形下，，，，，，，报文匹配日志更新距离为0分钟，，，，，，，体现不输出ACL匹配日志。。。。。。。

(5) （可选！！！�。。。┥柚�ACL注释信息。。。。。。。请选择其中一项举行设置。。。。。。。

○ 为数字索引的IP标准ACL设置注释信息。。。。。。。

access-list acl-number list-remark text

○ 为数字索引或者命名的IP标准ACL设置注释信息。。。。。。。

list-remark text

缺省情形下，，，，，，，ACL没有设置注释信息。。。。。。。

(6) （可选！！！�。。。┥柚�IP标准ACL规则注释信息。。。。。。。请选择其中一项举行设置。。。。。。。

○ 为数字索引的IP标准ACL规则设置注释信息。。。。。。。

access-list acl-number remark text

○ 为数字索引或者命名的IP标准ACL设置注释信息。。。。。。。

remark text

缺省情形下，，，，，，，ACL规则没有设置注释信息。。。。。。。

(7) （可选！！！�。。。┛�IP标准ACL的报文匹配统计功效。。。。。。。

ip access-list counter { acl-name | acl-number }

缺省情形下，，，，，，，IP标准ACL的报文匹配统计功效处于关闭状态。。。。。。。

(8) （可选！！！�。。。┥柚�IP标准ACL规则步长。。。。。。。

ip access-list resequence { acl-name | acl-number } start-value step-value

缺省情形下，，，，，，，IP标准ACL规则序号起始值为10，，，，，，，规则序号增量值为10。。。。。。。

1.3.5? 应用IP标准ACL

1. 功效简介

将IP标准ACL应用到全局设置模式、接口设置模式、SVI接口设置模式、VXLAN设置模式下，，，，，，，使IP标准ACL生效。。。。。。。

2. 设置限制与指导

l 装备接口的入偏向或出偏向上只能应用一条IP ACL或一条MAC扩展ACL，，，，，，，或者应用一条专家级ACL。。。。。。。除此之外，，，，，，，还可以再应用一条IPv6 ACL。。。。。。。

l 设置带in或out选项，，，，，，，体现需要指定是对进入装备的报文生效，，，，，，，照旧对从装备转发出去的报文生效。。。。。。。

l 设置带counter-only选项可以对某些特征的报文举行计数统计。。。。。。。计数统计只对该ACL会见种别中的Permit规则生效，，，，，，，Deny规则不生效。。。。。。。

l 当一条ACL被用做counter-only ACL后，，，，，，，该条ACL不可在全局开启计数功效，，，，，，，也不可在全局和接口上应用通俗ACL，，，，，，，即相同acl-number或acl-name的ACL不可同时用做counter-only ACL和通俗ACL。。。。。。。

l 设置带control-plane选项，，，，，，，体现仅软件生效ACL，，，，，，，抵达节约硬件资源的目的。。。。。。。

l 设置带forward-plane选项，，，，，，，体现仅硬件生效ACL。。。。。。。

l 设置带forward-control-plane选项，，，，，，，体现软件和硬件都生效ACL。。。。。。。

3. 设置办法

(1) 进入特权模式。。。。。。。

enable

(2) 进入全局设置模式。。。。。。。

configure terminal

(3) （可选！！！�。。。┤钟τ�IP标准ACL。。。。。。。

ip access-group { acl-name | acl-number } { in | out } [ control-plane | forward-control-plane | forward-plane ]

缺省情形下，，，，，，，全局未应用IP标准ACL。。。。。。。

(4) 进入接口设置模式。。。。。。。

○ 进入以太网接口设置模式。。。。。。。

interface ethernet-type interface-number

○ 进入SVI接口设置模式。。。。。。。

interface vlan interface-number

○ 进入VXLAN设置模式。。。。。。。

vxlan vni-number

(5) 接口应用IP标准ACL。。。。。。。

ip access-group { acl-name | acl-number } { in | out } [ control-plane | counter-only | forward-control-plane | forward-plane ]

缺省情形下，，，，，，，接口未应用IP标准ACL。。。。。。。

1.4?? 设置IP扩展ACL

1.4.1? 功效简介

建设和应用IP扩展ACL，，，，，，，对接口上收支的IPv4报文举行控制，，，，，，，榨取或允许特定的IPv4报文进入网络，，，，，，，从而实现控制IP用户会见网络资源的目的。。。。。。。

1.4.2? 设置限制与指导

l 若是需要通过检查报文的源IP地点、目的IP地点、报文的协议号、TCP/UDP源或目的端口号，，，，，，，来控制用户的网络资源会见权限，，，，，，，可设置IP扩展ACL。。。。。。。

l IP扩展ACL可以凭证用户的漫衍情形，，，，，，，在接入、汇聚或焦点装备设置。。。。。。。IP扩展ACL只对被设置的装备有用，，，，，，，不会影响网络中的其他装备。。。。。。。

1.4.3? 设置使命简介

IP扩展ACL设置使命如下：

(1) 建设IP扩展ACL

(2) 应用IP扩展ACL

1.4.4? 建设IP扩展ACL

1. 功效简介

建设IP扩展ACL并设置其规则。。。。。。。

2. 设置限制与指导

l IP扩展ACL中允许无规则。。。。。。。没有设置规则时，，，，，，，ACL隐含一条“拒绝所有数据流”的规则，，，，，，，榨取所有IPv4报文进入装备。。。。。。。

l 默认报文匹配日志输出距离是0分钟，，，，，，，体现不输出ACL匹配日志。。。。。。。在设置ACL规则时指定了log选项后，，，，，，，还需要设置输出距离，，，，，，，不然不会输出匹配日志。。。。。。。

3. 设置办法

(1) 进入特权模式。。。。。。。

enable

(2) 进入全局设置模式。。。。。。。

configure terminal

(3) 建设IP扩展ACL和规则。。。。。。。请选择其中一项举行设置。。。。。。。

○ 建设数字索引的IP扩展ACL和规则。。。。。。。

access-list acl-number { deny | permit } protocol { source-ipv4-address source-ipv4-wildcard | host source-ipv4-address | any } [ eq port | gt port | lt port | neq port | range lower upper ] { destination-ipv4-address destination-ipv4-wildcard | host destination-ipv4-address | any } [ eq port | gt port | lt port | neq port | range lower upper ] [ [ precedence precedence ] [ tos tos ] | [ dscp dscp ] [ ecn ecn ] ] [ fragment ] [ time-range time-range-name ] [ log ]

缺省情形下，，，，，，，不保存IP扩展ACL和规则。。。。。。。

○ 建设数字索引或者命名的IP扩展ACL和规则。。。。。。。请依次执行以下下令设置IP扩展ACL和规则。。。。。。。

ip access-list extended { acl-name | acl-number }

缺省情形下，，，，，，，不保存IP扩展ACL。。。。。。。

[ sequence-number ] { deny | permit } protocol { source-ipv4-address source-ipv4-wildcard | host source-ipv4-address | any } { destination-ipv4-address destination-ipv4-wildcard | host destination-ipv4-address | any } [ [ precedence precedence ] [ tos tos ] | [ dscp dscp ] [ ecn ecn ] ] [ fragment ] [ time-range time-range-name ] [ log ]

缺省情形下，，，，，，，IP扩展ACL中保存一条拒绝类型的规则。。。。。。。

(4) （可选！！！�。。。┥柚帽ㄎ钠ヅ淙罩臼涑鼍嗬搿！！！�。。。

ip access-list log-update interval time-value

缺省情形下，，，，，，，报文匹配日志更新距离为0分钟，，，，，，，体现不输出ACL匹配日志。。。。。。。

(5) （可选！！！�。。。┥柚�IP扩展ACL注释信息。。。。。。。请选择其中一项举行设置。。。。。。。

○ 为数字索引的IP扩展ACL设置注释信息。。。。。。。

access-list acl-number list-remark text

○ 为数字索引或者命名的IP扩展ACL设置注释信息。。。。。。。

list-remark text

缺省情形下，，，，，，，ACL没有设置注释信息。。。。。。。

(6) （可选！！！�。。。┥柚�IP扩展ACL规则注释信息。。。。。。。请选择其中一项举行设置。。。。。。。

○ 为数字索引的IP扩展ACL规则设置注释信息。。。。。。。

access-list acl-number remark text

○ 为数字索引或者命名的ACL设置注释信息。。。。。。。

remark text

缺省情形下，，，，，，，ACL规则没有设置注释信息。。。。。。。

(7) （可选！！！�。。。┛�IP扩展ACL的报文匹配统计功效。。。。。。。

ip access-list counter { acl-name | acl-number }

缺省情形下，，，，，，，IP扩展ACL的报文匹配统计功效处于关闭状态。。。。。。。

(8) （可选！！！�。。。┥柚�IP扩展ACL规则序号起始值和步长。。。。。。。

ip access-list resequence { acl-name | acl-number } start-value step-value

缺省情形下，，，，，，，IP扩展ACL的规则序号起始值为10，，，，，，，步长为10。。。。。。。

1.4.5? 应用IP扩展ACL

1. 功效简介

将IP扩展ACL应用到全局设置模式、接口设置模式、SVI接口设置模式、VXLAN设置模式下，，，，，，，使IP扩展ACL生效。。。。。。。

2. 设置限制与指导

l 设置带in或out选项，，，，，，，体现需要指定是对进入装备的报文生效，，，，，，，照旧从装备转发出去的报文生效。。。。。。。

l 设置带control-plane选项，，，，，，，体现仅软件生效ACL，，，，，，，抵达节约硬件资源的目的。。。。。。。

l 设置带forward-plane选项，，，，，，，体现仅硬件生效ACL。。。。。。。

l 设置带forward-control-plane选项，，，，，，，体现软件和硬件都生效ACL。。。。。。。

3. 设置办法

(1) 进入特权模式。。。。。。。

enable

(2) 进入全局设置模式。。。。。。。

configure terminal

(3) （可选！！！�。。。┤钟τ�IP扩展ACL。。。。。。。

ip access-group { acl-name | acl-number } { in | out } [ control-plane | forward-control-plane | forward-plane ]

缺省情形下，，，，，，，全局未应用IP扩展ACL。。。。。。。

(4) 进入接口设置模式。。。。。。。

○ 进入以太网接口设置模式。。。。。。。

interface ethernet-type interface-number

○ 进入SVI接口设置模式。。。。。。。

interface vlan interface-number

○ 进入VXLAN设置模式。。。。。。。

vxlan vni-number

(5) 接口应用IP扩展ACL。。。。。。。

ip access-group { acl-name | acl-number } { in | out } [ control-plane | counter-only | forward-control-plane | forward-plane ]

缺省情形下，，，，，，，接口未应用IP扩展ACL。。。。。。。

1.5?? 设置MAC扩展ACL

1.5.1? 功效简介

建设和应用MAC扩展ACL，，，，，，，对接口上收支的二层报文举行控制，，，，，，，榨取或允许特定的二层报文进入网络，，，，，，，从而实现基于二层报文头来控制用户会见网络资源的目的。。。。。。。

1.5.2? 设置限制与指导

l 若是需要通过二层报文信息（例如用户PC的MAC地点），，，，，，，来控制用户会见网络资源的权限，，，，，，，可以设置MAC扩展ACL。。。。。。。

l MAC扩展ACL可以凭证用户的漫衍情形，，，，，，，在接入、汇聚或焦点装备设置。。。。。。。MAC扩展ACL只对被设置的装备有用，，，，，，，不会影响网络中的其他装备。。。。。。。

1.5.3? 设置使命简介

MAC扩展ACL设置使命如下：

(1) 建设MAC扩展ACL

(2) 应用MAC扩展ACL

1.5.4? 建设MAC扩展ACL

1. 功效简介

建设MAC扩展ACL并设置其规则。。。。。。。

2. 设置限制与指导

l MAC扩展ACL中允许无规则。。。。。。。没有设置规则时，，，，，，，ACL隐含一条“拒绝所有数据流”的规则，，，，，，，榨取所有以太网二层报文进入装备。。。。。。。

3. 设置办法

(1) 进入特权模式。。。。。。。

enable

(2) 进入全局设置模式。。。。。。。

configure terminal

(3) 建设MAC扩展ACL和规则。。。。。。。请选择其中一项举行设置。。。。。。。

○ 建设数字索引的MAC扩展ACL和规则。。。。。。。

access-list acl-number { deny | permit } { source-mac-address source-mac-wildcard | host source-mac-address | any } { destination-mac-address destination-mac-wildcard | host destination-mac-address | any } [ ethernet-type ] [ cos [ cos-value ] [ inner cos-value ] ] [ time-range time-range-name ]

缺省情形下，，，，，，，不保存MAC扩展ACL和规则。。。。。。。

○ 建设数字索引或者命名的MAC扩展ACL和规则。。。。。。。请依次执行以下下令设置MAC扩展ACL和规则。。。。。。。

mac access-list extended { acl-name | acl-number }

缺省情形下，，，，，，，不保存MAC扩展ACL。。。。。。。

[ sequence-number ] { deny | permit } { source-mac-address source-mac-wildcard | host source-mac-address | any } { destination-mac-address destination-mac-wildcard | host destination-mac-address | any } [ ethernet-type ] [ cos [ cos-value ] [ inner cos-value ] ] [ time-range time-range-name ]

缺省情形下，，，，，，，MAC扩展ACL中保存一条拒绝类型的规则。。。。。。。

(4) （可选！！！�。。。┥柚�ACL注释信息。。。。。。。请选择其中一项举行设置。。。。。。。

○ 为数字索引的ACL设置注释信息。。。。。。。

access-list acl-number list-remark text

○ 为数字索引或者命名的ACL设置注释信息。。。。。。。

list-remark text

缺省情形下，，，，，，，ACL没有设置注释信息。。。。。。。

(5) （可选！！！�。。。┥柚�ACL规则注释信息。。。。。。。请选择其中一项举行设置。。。。。。。

○ 为数字索引的ACL规则设置注释信息。。。。。。。

access-list acl-number remark text

○ 为数字索引或者命名的ACL设置注释信息。。。。。。。

remark text

缺省情形下，，，，，，，ACL规则没有设置注释信息。。。。。。。

(6) （可选！！！�。。。┛�MAC扩展ACL的报文匹配统计功效。。。。。。。

mac access-list counter { acl-name | acl-number }

缺省情形下，，，，，，，MAC扩展ACL的报文匹配统计功效处于关闭状态。。。。。。。

(7) （可选！！！�。。。�MAC扩展ACL的规则序号起始值和步长。。。。。。。

mac access-list resequence { acl-name | acl-number } start-value step-value

缺省情形下，，，，，，，MAC扩展ACL的规则序号起始值为10，，，，，，，步长为10。。。。。。。

1.5.5? 应用MAC扩展ACL

1. 功效简介

将MAC扩展ACL应用到全局设置模式、接口设置模式、SVI接口设置模式、VXLAN设置模式下，，，，，，，使MAC扩展ACL生效。。。。。。。

2. 设置限制与指导

l 设置带in或out选项，，，，，，，体现需要指定是对进入装备的报文生效，，，，，，，照旧从装备转发出去的报文生效。。。。。。。

l 设置带control-plane选项，，，，，，，体现仅软件生效ACL，，，，，，，抵达节约硬件资源的目的。。。。。。。

l 设置带forward-plane选项，，，，，，，体现仅硬件生效ACL。。。。。。。

l 设置带forward-control-plane选项，，，，，，，体现软件和硬件都生效ACL。。。。。。。

3. 设置办法

(1) 进入特权模式。。。。。。。

enable

(2) 进入全局设置模式。。。。。。。

configure terminal

(3) （可选！！！�。。。┤钟τ�MAC扩展ACL。。。。。。。

mac access-group { acl-name | acl-number } { in | out } [ control-plane | forward-control-plane | forward-plane ]

缺省情形下，，，，，，，全局未应用MAC扩展ACL。。。。。。。

(4) 进入接口设置模式。。。。。。。

○ 进入以太网接口设置模式。。。。。。。

interface ethernet-type interface-number

○ 进入SVI接口设置模式。。。。。。。

interface vlan interface-number

○ 进入VXLAN设置模式。。。。。。。

vxlan vni-number

(5) 接口应用MAC扩展ACL。。。。。。。

mac access-group { acl-name | acl-number } { in | out } [ control-plane | counter-only | forward-control-plane | forward-plane ]

缺省情形下，，，，，，，接口未应用MAC扩展ACL。。。。。。。

1.6?? 设置专家级扩展ACL

1.6.1? 功效简介

建设和应用专家级扩展ACL，，，，，，，对接口上收支的报文举行控制，，，，，，，榨取或允许特定的报文进入网络。。。。。。。

1.6.2? 设置限制与指导

l 若是需要通过混淆使用IP ACL规则、MAC扩展ACL规则和VLAN，，，，，，，来控制用户会见网络资源的权限，，，，，，，则可以设置专家级扩展ACL。。。。。。。

l 专家级扩展ACL可以凭证用户的漫衍情形，，，，，，，在接入、汇聚或焦点装备上设置。。。。。。。专家级扩展ACL只对被设置的装备有用，，，，，，，不会影响网络中的其他装备。。。。。。。

1.6.3? 设置使命简介

专家级扩展ACL设置使命如下：

(1) 建设专家级扩展ACL

(2) 应用专家级扩展ACL

1.6.4? 建设专家级扩展ACL

1. 功效简介

建设专家级扩展ACL并设置其规则。。。。。。。

2. 设置限制与指导

l 专家级扩展ACL中允许无规则。。。。。。。没有设置规则时，，，，，，，ACL隐含一条“拒绝所有数据流”的规则，，，，，，，榨取所有报文进入装备。。。。。。。

3. 设置办法

(1) 进入特权模式。。。。。。。

enable

(2) 进入全局设置模式。。。。。。。

configure terminal

(3) 建设专家级扩展ACL和规则。。。。。。。请选择其中一项举行设置。。。。。。。

○ 建设数字索引的专家级扩展ACL和规则。。。。。。。

access-list acl-number { deny | permit } [ protocol | [ ethernet-type ] [ cos [ cos-value ] [ inner cos-value ] ] ] [ VID [ vlan-id ] [ inner vlan-id ] ] { source-ipv4-address source-ipv4-wildcard | host source-ipv4-address | any } { source-mac-address source-mac-wildcard | host source-mac-address | any } { destination-ipv4-address destination-ipv4-wildcard | host destination-ipv4-address | any } { destination-mac-address destination-mac-wildcard | host destination-mac-address | any } [ [ precedence precedence ] [ tos tos ] | [ dscp dscp ] [ ecn ecn ] ] [ fragment ] [ [ udf udf-id header pos value mask ] | [ int-flag ] ] [ time-range time-range-name ]

缺省情形下，，，，，，，不保存专家级扩展ACL和规则。。。。。。。

○ 建设数字索引或者命名的专家级扩展ACL和规则。。。。。。。请依次执行以下下令设置专家级扩展ACL和规则。。。。。。。

expert access-list extended { acl-name | acl-number }

缺省情形下，，，，，，，不保存专家级扩展ACL。。。。。。。

[ sequence-number ] { deny | permit } [ protocol | [ ethernet-type ] [ cos [ cos-value ] [ inner cos-value ] ] ] [ VID [ vlan-id ] [ inner vlan-id ] ] { source-ipv4-address source-ipv4-wildcard | host source-ipv4-address | any } { source-mac-address source-mac-wildcard | host source-mac-address | any } { destination-ipv4-address destination-ipv4-wildcard | host destination-ipv4-address | any } { destination-mac-address destination-mac-wildcard | host destination-mac-address | any } [ [ precedence precedence ] [ tos tos ] | [ dscp dscp ] [ ecn ecn ] ] [ fragment ] [ [ udf udf-id header pos value mask ] | [ int-flag ] ] [ time-range time-range-name ]

缺省情形下，，，，，，，专家级扩展ACL中保存一条拒绝类型的规则。。。。。。。

○ 建设专家级扩展ACL及VXLAN内层五元组规则。。。。。。。请依次执行以下下令设置专家级扩展ACL及VXLAN内层五元组规则。。。。。。。

expert access-list extended { acl-name | acl-number }

缺省情形下，，，，，，，不保存专家级扩展ACL。。。。。。。

[ sequence-number ] { deny | permit } { vxlan | vxlan-ignore-dport } protocol { source-ipv4-address source-ipv4-wildcard | host source-ipv4-address | any } [ eq port ] { destination-ipv4-address destination-ipv4-wildcard | host destination-ipv4-address | any } [ eq port ] [ tagged ] [ udp-dport dport ] [ match-all tcp-flag | established ] [ time-range time-range-name ]

缺省情形下，，，，，，，专家级扩展ACL中保存一条拒绝类型的规则。。。。。。。

(4) （可选！！！�。。。┥柚�ACL注释信息。。。。。。。请选择其中一项举行设置。。。。。。。

○ 为数字索引的ACL设置注释信息。。。。。。。

access-list acl-number list-remark text

○ 为数字索引或者命名的ACL设置注释信息。。。。。。。

list-remark text

缺省情形下，，，，，，，ACL没有设置注释信息。。。。。。。

(5) （可选！！！�。。。┥柚�ACL规则注释信息。。。。。。。请选择其中一项举行设置。。。。。。。

○ 为数字索引的ACL规则设置注释信息。。。。。。。

access-list acl-number remark text

○ 为数字索引或者命名的ACL设置注释信息。。。。。。。

remark text

缺省情形下，，，，，，，ACL规则没有设置注释信息。。。。。。。

(6) （可选！！！�。。。┛糇ḿ壹�ACL的报文匹配统计功效。。。。。。。

expert access-list counter { acl-name | acl-number }

(7) （可选！！！�。。。┥柚米ḿ壹�ACL的规则序号起始值和步长。。。。。。。

expert access-list resequence { acl-name | acl-number } start-value step-value

缺省情形下，，，，，，，专家级ACL的规则序号起始值为10，，，，，，，步长为10。。。。。。。

1.6.5? 应用专家级扩展ACL

1. 功效简介

将专家级扩展ACL应用到全局设置模式、接口设置模式、SVI接口设置模式、VXLAN设置模式下，，，，，，，使专家级扩展ACL生效。。。。。。。

2. 设置限制与指导

l 设置带in或out选项，，，，，，，体现需要指定是对进入装备的报文生效，，，，，，，照旧从装备转发出去的报文生效。。。。。。。

l 当一条ACL被用做counter-only后，，，，，，，该条ACL不可在全局开启计数功效，，，，，，，也不可在全局和接口上应用通俗ACL，，，，，，，即相同acl-number或acl-name的ACL不可同时用做counter-only和通俗ACL。。。。。。。

l 设置带control-plane选项，，，，，，，体现仅软件生效ACL，，，，，，，抵达节约硬件资源的目的。。。。。。。

l 设置带forward-plane选项，，，，，，，体现仅硬件生效ACL。。。。。。。

l 设置带forward-control-plane选项，，，，，，，体现软件和硬件都生效ACL。。。。。。。

3. 设置办法

(1) 进入特权模式。。。。。。。

enable

(2) 进入全局设置模式。。。。。。。

configure terminal

(3) （可选！！！�。。。┤钟τ米ḿ壹�ACL。。。。。。。

expert access-group { acl-name | acl-number } { in | out } [ control-plane | forward-control-plane | forward-plane ]

缺省情形下，，，，，，，全局未应用专家级ACL。。。。。。。

(4) 进入接口设置模式。。。。。。。

○ 进入以太网接口设置模式。。。。。。。

interface ethernet-type interface-number

○ 进入SVI接口设置模式。。。。。。。

interface vlan interface-number

○ 进入VXLAN设置模式。。。。。。。

vxlan vni-number

(5) 应用专家级扩展ACL。。。。。。。

expert access-group { acl-name | acl-number } { in | out } [ control-plane | counter-only | forward-control-plane | forward-plane ]

缺省情形下，，，，，，，接口未应用专家级扩展ACL。。。。。。。

1.7?? 设置IPv6 ACL

1.7.1? 功效简介

建设和应用IPv6 ACL，，，，，，，对接口上收支的IPv6报文举行控制，，，，，，，榨取或允许特定的IPv6报文进入网络，，，，，，，从而实现控制IPv6用户会见网络资源的目的。。。。。。。

1.7.2? 设置限制与指导

l 若是需要对IPv6用户会见网络资源的控制，，，，，，，则可以设置IPv6 ACL。。。。。。。

l IPv6 ACL可以凭证用户的漫衍情形，，，，，，，在接入、汇聚或焦点装备上设置。。。。。。。IPv6 ACL只对被设置的装备有用，，，，，，，不会影响网络中的其他装备。。。。。。。

1.7.3? 设置使命简介

IPv6 ACL设置使命如下：

(1) 建设IPv6 ACL

(2) 应用IPv6 ACL

1.7.4? 建设IPv6 ACL

1. 功效简介

建设IPv6 ACL并设置其规则。。。。。。。

2. 设置限制与指导

l 建设IPv6 ACL时只能指命名称，，，，，，，不可指定编号。。。。。。。

l IPv6 ACL中允许无规则。。。。。。。没有设置规则时，，，，，，，IPv6 ACL隐含一条“拒绝所有数据流”的规则，，，，，，，榨取除ND报文以外的所有IPv6报文进入装备。。。。。。。

3. 设置办法

(1) 进入特权模式。。。。。。。

enable

(2) 进入全局设置模式。。。。。。。

configure terminal

(3) 建设IPv6 ACL，，，，，，，并进入IPv6 ACL设置模式。。。。。。。

ipv6 access-list acl-name

缺省情形下，，，，，，，不保存IPv6 ACL。。。。。。。

(4) 设置IPv6 ACL规则。。。。。。。请选择其中一项举行设置。。。。。。。

○ 设置IPv6 ACL规则。。。。。。。

[ sequence-number ] { deny | permit } [ protocol { source-ipv6-prefix / prefix-length | source-ipv6-address source-ipv6-mask | host source-ipv6-address | any } { destination-ipv6-prefix / prefix-length | destination-ipv6-address destination-ipv6-mask | host destination-ipv6-address | any } ] [ cos cos-value [ inner cos-value] ] [ { any | host source-mac-address | source-mac-address source-mac-wildcard } { any | host destination-mac-address | destination-mac-address destination-mac-wildcard } ] [ dscp dscp ] [ flow-label flow-label ] [ fragment ] [ VID [ vlan-id ] [ inner vlan-id ] ] [ udf udf-id header pos value mask ] [ time-range time-range-name ]　[ log ]

缺省情形下，，，，，，，IPv6 ACL保存一条拒绝类型的规则。。。。。。。

(5) （可选！！！�。。。┥柚帽ㄎ钠ヅ淙罩臼涑鼍嗬搿！！！�。。。

ipv6 access-list log-update interval time-value

缺省情形下，，，，，，，报文匹配日志更新距离为0分钟，，，，，，，体现不输出ACL匹配日志。。。。。。。

(6) （可选！！！�。。。┥柚�ACL注释信息。。。。。。。

list-remark text

缺省情形下，，，，，，，ACL没有设置注释信息。。。。。。。

(7) （可选！！！�。。。┥柚�ACL规则注释信息。。。。。。。

remark text

缺省情形下，，，，，，，ACL规则没有设置注释信息。。。。。。。

(8) （可选！！！�。。。┛�IPv6 ACL的报文匹配统计功效。。。。。。。

ipv6 access-list counter acl-name

缺省情形下，，，，，，，IPv6 ACL的报文匹配统计功效处于关闭状态。。。。。。。

(9) （可选！！！�。。。┥柚�IPv6 ACL的规则序号起始值和步长。。。。。。。

ipv6 access-list resequence acl-name start-value step-value

缺省情形下，，，，，，，IPv6 ACL的规则序号起始值为10，，，，，，，步长为10。。。。。。。

1.7.5? 应用IPv6 ACL

1. 功效简介

将IPv6 ACL应用到全局设置模式、接口设置模式、SVI接口设置模式、VXLAN设置模式下，，，，，，，使IPv6 ACL生效。。。。。。。

2. 设置限制与指导

l 设置带in或out选项，，，，，，，体现需要指定是对进入装备的报文生效，，，，，，，照旧从装备转发出去的报文生效。。。。。。。

l 设置带counter-only选项可以对某些特征的报文举行计数统计。。。。。。。计数统计只对该ACL会见种别中的Permit规则生效，，，，，，，Deny类型规则不生效。。。。。。。

l 设置带control-plane选项，，，，，，，体现仅软件生效ACL，，，，，，，抵达节约硬件资源的目的。。。。。。。

l 设置带forward-plane选项，，，，，，，体现仅硬件生效ACL。。。。。。。

l 设置带forward-control-plane选项，，，，，，，体现软件和硬件都生效ACL。。。。。。。

3. 设置办法

(1) 进入特权模式。。。。。。。

enable

(2) 进入全局设置模式。。。。。。。

configure terminal

(3) （可选！！！�。。。┤钟τ�IPv6 ACL。。。。。。。

ipv6 traffic-filter acl-name { in | out } { control-plane | forward-control-plane | forward-plane }

缺省情形下，，，，，，，全局未应用IPv6 ACL。。。。。。。

(4) 进入接口设置模式。。。。。。。

○ 进入以太网接口设置模式。。。。。。。

interface ethernet-type interface-number

○ 进入SVI接口设置模式。。。。。。。

interface vlan interface-number

○ 进入VXLAN设置模式。。。。。。。

vxlan vni-number

(5) 接口应用IPv6 ACL。。。。。。。

ipv6 traffic-filter acl-name { in | out } [ control-plane | counter-only | forward-control-plane | forward-plane ]

缺省情形下，，，，，，，接口未应用IPv6 ACL。。。。。。。

1.8?? 设置专家级高级ACL（ACL80）

1.8.1? 功效简介

当牢靠匹配域的IP标准ACL、IP扩展ACL、MAC扩展ACL、专家级扩展ACL以及IPv6 ACL都无法知足要求时，，，，，，，可以通过设置专家级高级ACL，，，，，，，即ACL80，，，，，，，由用户界说需要匹配的报文域，，，，，，，从而实现自界说匹配域的目的。。。。。。。

1.8.2? 设置限制与指导

l 专家级高级ACL可以凭证用户的漫衍情形，，，，，，，在接入、汇聚或焦点装备上设置。。。。。。。专家级高级ACL只对被设置的装备有用，，，，，，，不会影响网络中的其他装备。。。。。。。

1.8.3? 设置使命简介

专家级高级ACL设置使命如下：

(1) 建设专家级高级ACL

(2) 应用专家级高级ACL

1.8.4? 建设专家级高级ACL

1. 功效简介

建设ACL80并设置其规则。。。。。。。

2. 设置限制与指导

l ACL80可以支持匹配Ethernet II帧、802.2 LLC帧和802.2 SNAP帧。。。。。。。若是设置DSAP到Cntl字段的值为AAAA03，，，，，，，则体现匹配802.2 SNAP帧。。。。。。。若是设置DSAP到Cntl字段的值为E0E003，，，，，，，则体现匹配802.2 LLC帧。。。。。。。若是匹配Ethernet II帧不可设置DSAP到Cntl字段的值。。。。。。。

l 由于硬件的缘故原由，，，，，，，目今ACL80并不可对报文前80个字节的恣意字节匹配，，，，，，，只支持报文中目的MAC、源MAC、VLAN ID、ETYPE、IP协议号、源IPv4地点、目的IPv4地点、源端口、目的端口、ICMP_TYPE、ICMP_CODE、PPPOE_IPTYPE这些字段所在位置的匹配。。。。。。。

l ACL80匹配IP、ARP等信息时，，，，，，，需要先设置封装的数据类型和数据类型掩码，，，，，，，即需要先设置偏移量为24的字段，，，，，，，并且掩码要为全F。。。。。。。例如放行源IP为192.168.1.2的报文，，，，，，，对应的设置下令为permit 0800 FFFF 24 C0A80102 FFFFFFFF 38。。。。。。。

l 专家级高级ACL中允许无规则。。。。。。。没有设置规则时，，，，，，，ACL隐含一条“拒绝所有数据流”的规则，，，，，，，榨取所有报文进入装备。。。。。。。

3. 设置办法

(1) 进入特权模式。。。。。。。

enable

(2) 进入全局设置模式。。。。。。。

configure terminal

(3) 建设专家级高级ACL，，，，，，，并进入专家级高级ACL设置模式。。。。。。。

expert access-list advanced acl-name

缺省情形下，，，，，，，不保存专家级高级ACL。。。。。。。

(4) （可选！！！�。。。┥柚米ḿ壹陡呒�ACL规则。。。。。。。

[ sequence-number ] { deny | permit } hex hex-mask offset

缺省情形下，，，，，，，未设置专家级高级ACL规则。。。。。。。

(5) （可选！！！�。。。┥柚�ACL注释信息。。。。。。。

list-remark text

缺省情形下，，，，，，，ACL没有设置注释信息。。。。。。。

(6) （可选！！！�。。。┥柚�ACL规则注释信息。。。。。。。

remark text

缺省情形下，，，，，，，ACL规则没有设置注释信息。。。。。。。

1.8.5? 应用专家级高级ACL

1. 功效简介

将专家级高级ACL应用到接口设置模式、SVI接口设置模式、VXLAN设置模式下，，，，，，，使专家级高级ACL生效。。。。。。。

2. 设置限制与指导

l 设置带in或out选项，，，，，，，体现需要指定是对进入装备的报文生效，，，，，，，照旧从装备转发出去的报文生效。。。。。。。

3. 设置办法

(1) 进入特权模式。。。。。。。

enable

(2) 进入全局设置模式。。。。。。。

configure terminal

(3) 进入接口设置模式。。。。。。。

○ 进入以太网接口设置模式。。。。。。。

interface ethernet-type interface-number

○ 进入SVI接口设置模式。。。。。。。

interface vlan interface-number

○ 进入VXLAN设置模式。。。。。。。

vxlan vni-number

(4) 接口应用专家级高级ACL。。。。。。。

expert access-group { acl-name | acl-number } { in | out }

缺省情形下，，，，，，，接口未应用专家级高级ACL。。。。。。。

1.9?? 设置ACL重定向

1.9.1? 功效简介

在指定接口上设置ACL重定向功效，，，，，，，对进入该接口的匹配报文，，，，，，，重定向到指定接口转发出去。。。。。。。

1.9.2? 设置限制与指导

l ACL重定向功效仅在接口入偏向生效。。。。。。。

l ACL中没有设置规则时，，，，，，，ACL重定向功效不生效。。。。。。。

l 只支持在以太网接口、聚合接口上设置ACL重定向功效。。。。。。。

l 待重定向的报文必需是二层转发，，，，，，，同时重定向的目的接口必需和源接口在统一个VLAN才华生效。。。。。。。例如假设报文是从VLAN 2转发到VLAN 3，，，，，，，则不可举行重定向。。。。。。。

l 可以凭证用户的漫衍情形，，，，，，，在接入、汇聚或焦点装备上设置ACL重定向功效。。。。。。。设置仅对本装备有用，，，，，，，不会影响网络中的其他装备。。。。。。。

1.9.3? 设置准备

实现ACL重定向功效，，，，，，，需要先设置ACL。。。。。。。

1.9.4? 设置办法

(1) 进入特权模式。。。。。。。

enable

(2) 进入全局设置模式。。。。。。。

configure terminal

(3) 设置ACL重定向。。。。。。。

○ 设置接口ACL重定向。。。。。。。请依次执行以下下令设置接口ACL重定向。。。。。。。

interface interface-type interface-number

redirect destination interface interface-type interface-number acl { acl-name | acl-number } in

缺省情形下，，，，，，，接口不保存ACL重定向设置。。。。。。。

1.10?? 设置全局清静ACL

1.10.1? 功效简介

设置全局清静ACL功效，，，，，，，可以阻止企业内部会见不法网站，，，，，，，或者阻止病毒进入企业内部网络。。。。。。。通过设置全局清静ACL破例口，，，，，，，允许企业内部特殊部分会见外部某些站点。。。。。。。

1.10.2? 设置限制与指导

l ACL中没有设置规则时，，，，，，，全局清静ACL功效不保存。。。。。。。

l 由于全局清静ACL主要用于病毒过滤，，，，，，，因此被关联于全局清静ACL的ACE中，，，，，，，只有Deny类型的ACE会生效，，，，，，，Permit类型的ACE不会生效。。。。。。。

l 与端口清静ACL差别，，，，，，，全局清静ACL没有默认的Deny所有表项，，，，，，，即没掷中规则的报文都可以通过。。。。。。。

l 全局清静ACL只支持关联IP标准ACL、IP扩展ACL、MAC扩展ACL、专家级扩展ACL。。。。。。。

l 全局ACL可以在二层接口上生效，，，，，，，也可以在三层接口上生效。。。。。。。即可以在以下类型的接口上都生效：Access口、Trunk口、Hybrid口、二层以太网接口、三层以太网接口、二层聚合接口或三层聚合接口。。。。。。。在SVI接口上不生效。。。。。。。

l 允许在物理接口、二层聚合接口或三层聚合接口上自力关闭全局清静ACL功效，，，，，，，不支持在聚合成员接口上关闭全局清静ACL功效。。。。。。。

l 可以凭证用户的漫衍情形，，，，，，，在接入、汇聚或焦点装备上设置全局清静ACL功效。。。。。。。设置仅对本装备有用，，，，，，，不会影响网络中的其他装备。。。。。。。

l 通过设置全局清静ACL无效功效，，，，，，，可以实现榨取设置全局清静ACL。。。。。。。

l 将接口设置为破例口，，，，，，，可使全局清静ACL在接口上不生效。。。。。。。

1.10.3? 设置准备

实现全局清静ACL功效，，，，，，，需要先设置ACL。。。。。。。

1.10.4? 设置办法

(1) 进入特权模式。。。。。。。

enable

(2) 进入全局设置模式。。。。。。。

configure terminal

(3) （可选！！！�。。。┥柚萌智寰�ACL无效。。。。。。。

global access-group disable

缺省情形下，，，，，，，不保存全局清静ACL无效设置。。。。。。。

1.11?? 设置分片报文匹配模式

1.11.1? 功效简介

设置该功效可以使ACL对分片报文举行更细腻化的控制。。。。。。。

1.11.2? 设置限制与指导

l 设置分片报文匹配模式切换时，，，，，，，会导致ACL的短时失效。。。。。。。

l 在新的分片报文匹配模式下，，，，，，，若是ACL规则不带Fragment标识，，，，，，，且匹配行动是Permit，，，，，，，这样的ACL规则需要占用更多的硬件表项资源，，，，，，，极端情形下会使硬件战略表项容量减半。。。。。。。若是这样的ACE设置了TCP Flag过滤控制的Established，，，，，，，则还会占用更多的硬件战略表项。。。。。。。

l 在新的分片报文匹配模式下，，，，，，，若是ACL规则不带Fragment标识并且需要匹配报文的四层信息时，，，，，，，当匹配行动为Permit时，，，，，，，ACL规则会检查首片报文三层和四层信息，，，，，，，关于非首片报文只会检查报文的三层信息。。。。。。。当匹配行动为Deny时，，，，，，，ACL规则只会检查首片报文，，，，，，，不会检查非首片分片报文。。。。。。。

l 在新的分片报文新匹配模式下，，，，，，，若是ACL规则带有Fragment标识，，，，，，，岂论ACL规则的匹配行动是Permit照旧Deny，，，，，，，都只检查非首片报文，，，，，，，而不会检查首片报文。。。。。。。

1.11.3? 设置准备

设置分片报文匹配模式切换时，，，，，，，需要先设置ACL。。。。。。。

1.11.4? 设置办法

(1) 进入特权模式。。。。。。。

enable

(2) 进入全局设置模式。。。。。。。

configure terminal

(3) 设置新的分片报文匹配模式。。。。。。。请选择其中一项举行设置。。。。。。。

○ 设置IP ACL新的分片报文匹配模式。。。。。。。

ip access-list new-fragment-mode { acl-name | acl-number }

缺省情形下，，，，，，，未设置IP ACL新的分片报文匹配模式。。。。。。。

○ 设置专家级扩展ACL新的分片报文匹配模式。。。。。。。

expert access-list new-fragment-mode { acl-name | acl-number }

缺省情形下，，，，，，，未设置专家级扩展ACL新的分片报文匹配模式。。。。。。。

1.12?? 设置SVI Router ACL

1.12.1? 功效简介

设置该功效，，，，，，，可以使应用在SVI接口上的ACL仅对VLAN间的路由报文生效。。。。。。。

1.12.2? 设置准备

实现该功效，，，，，，，需要先设置ACL。。。。。。。

1.12.3? 设置办法

(1) 进入特权模式。。。。。。。

enable

(2) 进入全局设置模式。。。。。。。

configure terminal

(3) 设置SVI Router ACL。。。。。。。

svi router-acls enable

1.13?? 设置ACL故障恢复

1.13.1? 功效简介

当装备软件表项容量大于硬件支持的表项容量时，，，，，，，表项添加将失败。。。。。。。当装备表项容量降低到硬件支持的表项容量之下时，，，，，，，原先添加失败的表项也不会重新添加。。。。。。。通过本下令重刷设置，，，，，，，触揭晓项的重新添加，，，，，，，从而恢复ACL故障。。。。。。。

1.13.2? 设置办法

(1) 进入特权模式。。。。。。。

enable

(2) 设置ACL故障恢复。。。。。。。

acl ref synchronize all

1.14?? 监视与维护

可以通过show下令行审查功效设置后的运行情形以验证设置效果。。。。。。。

可以通过执行clear下令来扫除种种信息。。。。。。。

注重

在装备运行历程中执行clear下令，，，，，，，可能由于主要信息丧失而导致营业中止。。。。。。。

可以通过debug下令行枚举输出的种种调试信息。。。。。。。

注重

输出调试信息，，，，，，，会占用系统资源。。。。。。。使用完毕后，，，，，，，请连忙关闭调试开关。。。。。。。

表1-5 ACL监视与维护

作用	下令
审查基本ACL	show access-lists [ acl-name \| acl-number ] [ summary ]
审查指定接口上绑定的重定向表项，，，，，，，不输入接口则审查所有接口上绑定的重定向表项	show redirect [ interface interface-type interface-number ]
审查接口上应用的ACL设置信息	show access-group [ interface interface-type interface-number \| vlan vlan-id \| vxlan vni-number ]
审查接口上应用的IP标准ACL和扩展ACL设置信息	show ip access-group [ interface interface-type interface-number \| vlan vlan-id \| vxlan vni-number ]
审查接口上应用的MAC扩展ACL设置信息	show mac access-group [ interface interface-type interface-number \| vlan vlan-id \| vxlan vni-number ]
审查接口上应用的专家级扩展ACL设置信息	show expert access-group [ interface interface-type interface-number \| vlan vlan-id \| vxlan vni-number ]
审查接口上应用的IPv6 ACL设置信息	show ipv6 traffic-filter [ interface interface-type interface-number \| vlan vlan-id ]
审查所有的TCAM信息或指定的TCAM信息	show acl res [ dev dev-number [ slot slot-number ] ]
显示目今装备的能力值情形	show acl capability
审查SVI接口ACL应用的二三层生效情形	show svi router-acls state
审查所有的TCAM详细使用信息或指定的TCAM详细使用信息	show acl res detail [ dev dev-number [ slot slot-number ] ]
扫除TCAM资源使用量的历史峰值数据	clear acl res
扫除ACL报文匹配计数	clear counters access-list [ acl-name \| acl-number ]
扫除ACL deny报文匹配计数	clear access-list counters [ acl-name \| acl-number ]
翻开ACL运行历程调试开关	debug acl acld event
审查ACL客户端信息	debug acl acld client-show
审查所有ACL客户端建设的ACL	debug acl acld acl-show

1.15?? 典范设置举例

1.15.1? IP标准ACL设置举例

1. 组网需求

通过设置IP标准ACL，，，，，，，榨取财务部以外的部分会见财务数据服务器。。。。。。。

2. 组网图

图1-3 IP标准ACL应用场景组网图

3. 设置要点

l Device A设置IP标准ACL并添加会见规则。。。。。。。

l Device A将IP标准ACL应用在毗连财务数据服务器接口的出偏向上。。。。。。。

4. 设置办法

(1) 设置IP标准ACL并添加会见规则。。。。。。。

# Device A设置IP标准ACL并添加会见规则。。。。。。。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# ip access-list standard 1

DeviceA(config-std-nacl)# permit 10.1.1.0 0.0.0.255

DeviceA(config-std-nacl)# deny 11.1.1.1 0.0.0.255

DeviceA(config-std-nacl)# exit

(2) 将IP标准ACL应用到接口上。。。。。。。

# Device A将ACL应用在毗连财务数据服务器接口的出偏向上。。。。。。。

DeviceA(config)# interface gigabitethernet 0/3

DeviceA(config-if-GigabitEthernet 0/3)# ip access-group 1 out

5. 验证设置效果

# 检查Device A装备ACL设置下令是否准确。。。。。。。

DeviceA# show access-lists

ip access-list standard 1

10 permit 10.1.1.0 0.0.0.255

20 deny 11.1.1.0 0.0.0.255

DeviceA# show access-group

ip access-group 1 out

Applied On interface GigabitEthernet 0/3

# 从开发部的某台PC机上ping财务数据服务器，，，，，，，确认ping欠亨。。。。。。。

# 从财务部的某台PC机上ping财务数据服务器，，，，，，，确认能ping通。。。。。。。

6. 设置文件

l DeviceA的设置文件

hostname DeviceA

ip access-list standard 1

?10 permit 10.1.1.0 0.0.0.255

?20 deny 11.1.1.0 0.0.0.255

interface GigabitEthernet 0/1

?no switchport

?ip address 10.1.1.1 255.255.255.0

interface GigabitEthernet 0/2

?no switchport

?ip address 11.1.1.1 255.255.255.0

interface GigabitEthernet 0/3

?no switchport

?ip access-group 1 out

?ip address 12.1.1.1 255.255.255.0

1.15.2? IP扩展ACL设置举例

1. 组网需求

Device A（VLAN 1）、Device B（VLAN 2）和Device C（VLAN 3）直连Device D，，，，，，，Device D是所有主机的网关。。。。。。。需求1：VLAN2与VLAN3之间不可以Ping通，，，，，，，VLAN1与VLAN2可以Ping通，，，，，，，VLAN1与VLAN3可以Ping通。。。。。。。需求2：VLAN1与VLAN2的DHCP报文相互不可达，，，，，，，其他正常通讯。。。。。。。需求3：VLAN1不可通过Telnet或者SSH会见VLAN3，，，，，，，其他正常通讯。。。。。。。

2. 组网图

图1-4 IP扩展ACL应用场景组网图

3. 设置要点

l Device D设置IP扩展ACL并添加会见规则，，，，，，，过滤UDP端口号67或者68可以实现需求2。。。。。。。Device C设置IP扩展ACL并添加会见规则，，，，，，，过滤TCP端口23和22可以实现需求3。。。。。。。

l Device D将IP扩展ACL划分应用在VLAN1接口、VLAN2接口和VLAN3接口上。。。。。。。Device C将IP扩展ACL应用在与Device D相线路上。。。。。。。

4. 设置办法

(1) 设置所有装备接口的IP地点（略）。。。。。。。

(2) 设置IP扩展ACL并添加会见规则。。。。。。。

# Device D设置IP扩展ACL并添加会见规则。。。。。。。

DeviceD> enable

DeviceD# configure terminal

DeviceD(config)# ip access-list extended inter_vlan_access1

DeviceD(config-ext-nacl)# deny udp any eq bootps any eq bootpc

DeviceD(config-ext-nacl)# deny udp any eq bootpc any eq bootps

DeviceD(config-ext-nacl)# remark 拒绝DHCP报文

DeviceD(config-ext-nacl)# permit ip any any

DeviceD(config-ext-nacl)# remark允许其他报文通讯

DeviceD(config-ext-nacl)# exit

DeviceD(config)# ip access-list extended inter_vlan_access2

DeviceD(config-ext-nacl)# deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255

DeviceD(config-ext-nacl)# remark 拒绝VLNN2和VLAN3之间互ping

DeviceD(config-ext-nacl)# deny udp any eq bootpc any eq bootps

DeviceD(config-ext-nacl)# deny udp any eq bootps any eq bootpc

DeviceD(config-ext-nacl)# remark 拒绝DHCP报文

DeviceD(config-ext-nacl)# permit ip any any

DeviceD(config-ext-nacl)# remark允许其他报文通讯

DeviceD(config-ext-nacl)# exit

DeviceD(config)# ip access-list extended inter_vlan_access3

DeviceD(config-ext-nacl)# deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255

DeviceD(config-ext-nacl)# remark 拒绝VLNN3和VLAN2之间互ping

DeviceD(config-ext-nacl)# permit ip any any

DeviceD(config-ext-nacl)# remark允许其他报文通讯

DeviceD(config-ext-nacl)# exit

# Device C设置IP扩展ACL并添加会见规则。。。。。。。

DeviceC> enable

DeviceC# configure terminal

DeviceC(config)# ip access-list extended access_deny

DeviceC(config-ext-nacl)# deny tcp 192.168.1.0 0.0.0.255 eq telnet any eq telnet

DeviceC(config-ext-nacl)# remark 拒绝VLAN1通过Telnet会见VLAN 3

DeviceC(config-ext-nacl)# deny tcp 192.168.1.0 0.0.0.255 eq 22 any eq 22

DeviceC(config-ext-nacl)# remark 拒绝VLAN1通过SSH会见VLAN 3

DeviceC(config-ext-nacl)# exit

(3) 应用IP扩展ACL。。。。。。。

# Device D将IP扩展ACL应用到对应接口上。。。。。。。

DeviceD(config)# interface vlan 1

DeviceD(config-if-VLAN 1)# ip access-group inter_vlan_access1 in

DeviceD(config-if-VLAN 1)# exit

DeviceD(config)# interface vlan 2

DeviceD(config-if-VLAN 2)# ip access-group inter_vlan_access2 in

DeviceD(config-if-VLAN 2)# exit

DeviceD(config)# interface vlan 3

DeviceD(config-if-VLAN 3)# ip access-group inter_vlan_access3 in

DeviceD(config-if-VLAN 3)# exit

# Device C将IP扩展ACL应用到与Device D相连线路上。。。。。。。

DeviceC(config)# line vty 0

DeviceC(config-line)# access-class access_deny in

DeviceC(config-line)# exit

5. 验证设置效果

(1) 验证连通性。。。。。。。

# VLAN 1与VLAN 2之间可以Ping通，，，，，，，VLAN 1与VLAN 3之间可以Ping通。。。。。。。

DeviceA# ping 192.168.2.2

Sending 5, 100-byte ICMP Echoes to 192.168.2.2, timeout is 2 seconds:

　< press Ctrl+C to break >

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/8/10 ms

DeviceA#

DeviceA# ping 192.168.3.2

Sending 5, 100-byte ICMP Echoes to 192.168.3.2, timeout is 2 seconds:

　< press Ctrl+C to break >

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/8/10 ms

# VLAN 2与VLAN 3之间不可以Ping通。。。。。。。

DeviceB# ping 192.168.3.2

Sending 5, 100-byte ICMP Echoes to 192.168.3.2, timeout is 2 seconds:

　< press Ctrl+C to break >

.....

Success rate is 0 percent (0/5)

(2) VLAN 1不可通过Telnet会见VLAN 3。。。。。。。

DeviceA# ping 192.168.3.2

Sending 5, 100-byte ICMP Echoes to 192.168.3.2, timeout is 2 seconds:

　< press Ctrl+C to break >

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/8/10 ms

DeviceA#

DeviceA# telnet 192.168.3.2

Trying 192.168.3.2, 23...

% Destination unreachable; gateway or host down

6. 设置文件

l Device D的设置文件

hostname DeviceD

vlan 1

vlan 2

vlan 3

ip access-list extended inter_vlan_access1

?10 deny udp any eq bootps any eq bootpc

?20 deny udp any eq bootpc any eq bootps

?remark 拒绝DHCP报文

?30 permit ip any any

?remark允许其他报文通讯

ip access-list extended inter_vlan_access2

?10 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255

?remark 拒绝VLNN2和VLAN3之间互ping

?20 deny udp any eq bootpc any eq bootps

?30 deny udp any eq bootps any eq bootpc

?remark 拒绝DHCP报文

?40 permit ip any any

?remark 允许其他报文通讯

ip access-list extended inter_vlan_access3

?10 deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255

?remark 拒绝VLNN3和VLAN2之间互ping

?20 permit ip any any

?remark 允许其他报文通讯

interface GigabitEthernet 1/0

?switchport access vlan 1

?description link_to_DeviceA

interface GigabitEthernet 1/1

?switchport access vlan 2

?description link_to_DeviceB

interface GigabitEthernet 1/2

?switchport access vlan 3

?description link_to_DeviceC

interface VLAN 1

?ip access-group inter_vlan_access1 in

?ip address 192.168.1.1 255.255.255.0

interface VLAN 2

?ip access-group inter_vlan_access2 in

?ip address 192.168.2.1 255.255.255.0

interface VLAN 3

?ip access-group inter_vlan_access3 in

?ip address 192.168.3.1 255.255.255.0

l Device A的设置文件

hostname DeviceA

interface GigabitEthernet 0/1

?ip address 192.168.1.2 255.255.255.0

l Device B的设置文件

hostname DeviceB

interface GigabitEthernet 0/1

?ip address 192.168.2.2 255.255.255.0

l Device C的设置文件

hostname DeviceC

ip access-list extended access_deny

?10 deny tcp 192.168.1.0 0.0.0.255 eq telnet any eq telnet

?remark 拒绝VLAN1通过Telnet会见VLAN 3

?20 deny tcp 192.168.1.0 0.0.0.255 eq 22 any eq 22

?remark 拒绝VLAN1通过SSH会见VLAN 3

interface GigabitEthernet 0/1

?ip address 192.168.3.2 255.255.255.0

line vty 0

?access-class access_deny in

?login

?password abcdef

1.15.3? MAC扩展ACL设置举例

1. 组网需求

通过MAC扩展ACL，，，，，，，限制来访客户可会见的资源。。。。。。。

2. 组网图

图1-5 MAC扩展ACL应用场景组网图

3. 设置要点

l Device A设置MAC扩展ACL并添加会见规则。。。。。。。允许访客区PC会见Internet以及公司内部的公共服务器，，，，，，，但不允许会见公司的财务数据服务器，，，，，，，即榨取会见MAC地点为00e0.f800.000d的服务器。。。。。。。

l Device A将MAC扩展ACL应用在毗连访客区接口的入偏向上。。。。。。。

4. 设置办法

(1) 设置MAC扩展ACL并添加会见规则。。。。。。。

# Device A设置MAC扩展ACL并添加会见规则。。。。。。。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# mac access-list extended 700

DeviceA(config-mac-nacl)# deny any host 00e0.f800.000d

DeviceA(config-mac-nacl)# permit any any

DeviceA(config-mac-nacl)# exit

(2) 将MAC扩展ACL应用到接口上。。。。。。。

# Device A将ACL应用在毗连访客区接口的入偏向上。。。。。。。

DeviceA(config)# interface gigabitethernet 0/2

DeviceA(config-if-GigabitEthernet 0/2)# mac access-group 700 in

5. 验证设置效果

# 检查Device A装备ACL设置下令是否准确。。。。。。。

DeviceA# show access-lists

mac access-list extended 700

10 deny any host 00e0.f800.000d etype-any

20 permit any any etype-any

DeviceA# show access-group

mac access-group 700 in

Applied On interface GigabitEthernet 0/2

# 从访客PC机上ping财务数据服务器，，，，，，，确认ping欠亨。。。。。。。

# 从访客PC机上ping公共资源服务器，，，，，，，确认可以ping得通。。。。。。。

# 在访客PC机上会见Internet，，，，，，，例如会见百度，，，，，，，确认可以翻开主页。。。。。。。

6. 设置文件

l DeviceA的设置文件

hostname DeviceA

mac access-list extended 700

?10 deny any host 00e0.f800.000d

?20 permit any any

interface GigabitEthernet 0/1

?no switchport

?ip address 10.1.1.1 255.255.255.0

interface GigabitEthernet 0/2

?no switchport

?mac access-group 700 in

?ip address 11.1.1.1 255.255.255.0

interface GigabitEthernet 0/3

?no switchport

?ip address 12.1.1.1 255.255.255.0

1.15.4? 专家级扩展ACL设置举例

1. 组网需求

通过设置专家级扩展ACL，，，，，，，限制来访客户可会见的资源。。。。。。。要求访客不可会见公司内部员工的PC和公司的财务数据服务器，，，，，，，但能会见公共资源服务器和Internet。。。。。。。

2. 组网图

图1-6 专家级扩展ACL应用场景组网图

3. 设置要点

l Device A设置专家级扩展ACL并添加规则，，，，，，，包括：

○ 榨取访客区内主机发出目的为公司内部员工网段的报文。。。。。。。

○ 榨取访客会见财务数据服务器。。。。。。。

○ 允许其他所有报文通过。。。。。。。

l Device A将ACL应用在毗连访客区接口的入偏向上。。。。。。。

4. 设置办法

(1) 设置专家级扩展ACL并添加会见规则。。。。。。。

# Device A设置专家级扩展ACL并添加会见规则。。。。。。。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# expert access-list extended 2700

DeviceA(config-exp-nacl)# deny ip any any 10.1.1.0 0.0.0.255 any

DeviceA(config-exp-nacl)# deny ip any any host 12.1.1.2 any

DeviceA(config-exp-nacl)# permit any any any any

DeviceA(config-exp-nacl)# exit

(2) 将专家级扩展ACL应用到接口上。。。。。。。

# Device A将ACL应用在与访客区相毗连口的入偏向上。。。。。。。

DeviceA(config)# interface gigabitethernet 0/2

DeviceA(config-if-GigabitEthernet 0/2)# expert access-group 2700 in

5. 验证设置效果

# 检查Device A装备ACL设置下令是否准确。。。。。。。

DeviceA(config)# show access-lists

expert access-list extended 2700

?10 deny ip any any 192.168.1.0 0.0.0.255 any

20 deny ip any any host 10.1.1.1 any

30 permit ip any any any any

DeviceA(config)# show access-group

expert access-group 2700in

Applied On interface GigabitEthernet 0/2

# 从访客PC机上ping财务数据服务器，，，，，，，确认ping欠亨。。。。。。。

# 从访客PC机上ping公共资源服务器，，，，，，，确认不可ping通。。。。。。。

# 从访客PC机上ping公司内部员工网关192.168.1.1，，，，，，，确定ping欠亨。。。。。。。

# 在访客PC机上会见Internet，，，，，，，例如会见百度，，，，，，，确认可以翻开主页。。。。。。。

6. 设置文件

l DeviceA的设置文件

hostname DeviceA

expert access-list extended 2700

?10 deny ip any any 10.1.1.0 0.0.0.255 any

?20 deny ip any any host 12.1.1.2 any

?30 permit ip any any any any

interface GigabitEthernet 0/1

?no switchport

?ip address 10.1.1.1 255.255.255.0

interface GigabitEthernet 0/2

?no switchport

?expert access-group 2700 in

?ip address 11.1.1.1 255.255.255.0

interface GigabitEthernet 0/3

?no switchport

?ip address 12.1.1.1 255.255.255.0

1.15.5? IPv6 ACL设置举例

1. 组网需求

通过设置IPv6 ACL，，，，，，，榨取开发部分会见视频服务器。。。。。。。

2. 组网图

图1-7 IPv6 ACL应用场景组网图

3. 设置要点

l Device A设置IPv6 ACL并添加规则，，，，，，，包括：

○ 榨取会见视频服务器IPv6地点规则。。。。。。。

○ 在IPv6 ACL中添加允许所有IPv6报文通过规则。。。。。。。

l Device A将IPv6 ACL应用在毗连开发部分接口的入偏向上。。。。。。。

4. 设置办法

(1) 设置IPv6 ACL并添加会见规则。。。。。。。

# Device A设置IPv6 ACL并添加会见规则。。。。。。。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# ipv6 access-list dev_deny_ipv6video

DeviceA(config-ipv6-nacl)# deny ipv6 any host 1002::2

DeviceA(config-ipv6-nacl)# permit ipv6 any any

DeviceA(config-ipv6-nacl)# exit

(2) 将IPv6 ACL应用到接口上。。。。。。。

# Device A将ACL应用在毗连开发部分所在接口的入偏向上。。。。。。。

DeviceA(config)# interface gigabitethernet 0/2

DeviceA(config-if-GigabitEthernet 0/2)# ipv6 traffic-filter dev_deny_ipv6video in

5. 验证设置效果

# 检查Device A装备ACL设置下令是否准确。。。。。。。

DeviceA(config)# show access-lists

ipv6 access-list dev_deny_ipv6video

10 deny ipv6 any host 200::1

20 permit ipv6 any any

DeviceA(config)# show access-group

ipv6 traffic-filter dev_deny_ipv6video in

Applied On interface GigabitEthernet 0/2

# 从开发部的某台PC机上ping视频服务器，，，，，，，确认ping欠亨。。。。。。。

6. 设置文件

l DeviceA的设置文件

hostname DeviceA

ipv6 access-list dev_deny_ipv6video

?10 deny ipv6 any host 1002::2

?20 permit ipv6 any any

interface GigabitEthernet 0/1

?no switchport

?ipv6 address 1000::1/96

interface GigabitEthernet 0/2

?no switchport

?ipv6 traffic-filter dev_deny_ipv6video in

?ipv6 address 1001::1/96

interface GigabitEthernet 0/3

?no switchport

?ipv6 address 1002::1/96

1.15.6? ACL80设置举例

1. 组网需求

通过ACL80即专家级高级ACL，，，，，，，限制来访客户可会见的资源。。。。。。。要求访客不可会见公司内部员工的PC和公司的财务数据服务器，，，，，，，但能会见公共资源服务器和Internet。。。。。。。

2. 组网图

图1-8 ACL80应用场景组网图

3. 设置要点

l Device A设置专家级高级ACL并添加规则，，，，，，，包括：

○ 榨取访客区内主机发出目的为内部员工网段的报文。。。。。。。

○ 榨取访客会见财务数据服务器。。。。。。。

○ 允许其他所有报文通过。。。。。。。

l Device A将ACL应用在毗连访客区接口的入偏向上。。。。。。。

4. 设置办法

(1) 设置专家级高级ACL并添加会见规则。。。。。。。

# Device A设置专家级高级ACL并添加会见规则。。。。。。。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# expert access-list advanced acl80-guest

DeviceA(config-exp-dacl)# deny 0800 FFFF 24 0A0101 FFFFFF 42

DeviceA(config-exp-dacl)# deny 0800 FFFF 24 0C010102 FFFFFFFF 42

DeviceA(config-exp-dacl)# permit 0806 FFFF 24

DeviceA(config-exp-dacl)# permit 0800 FFFF 24

DeviceA(config-exp-dacl)# exit

(2) 将专家级高级ACL应用到接口上。。。。。。。

# Device A将ACL80应用在毗连访客区接口的入偏向上。。。。。。。

DeviceA(config)# interface gigabitethernet 0/2

DeviceA(config-if-GigabitEthernet 0/2)# expert access-group acl80-guest in

5. 验证设置效果

# 检查Device A装备ACL设置下令是否准确。。。。。。。

DeviceA(config)# show access-lists

expert access-list advanced sss

?10 deny 0800 FFFF 24 0A0101 FFFFFF 42

?20 deny 0800 FFFF 24 0C010102 FFFFFFFF 42

?30 permit 0806 FFFF 24

?40 permit 0800 FFFF 24

expert access-group acl80-guest in

Applied On interface GigabitEthernet 0/2

# 从访客PC机上ping财务数据服务器，，，，，，，确认ping欠亨。。。。。。。

# 从访客PC机上ping公共资源服务器，，，，，，，确认可以ping得通。。。。。。。

# 从访客PC机上ping公司内部员工网关192.168.1.1，，，，，，，确定ping欠亨。。。。。。。

# 在访客PC机上会见Internet，，，，，，，例如会见百度，，，，，，，确认可以翻开主页。。。。。。。

6. 设置文件

l DeviceA的设置文件

hostname DeviceA

expert access-list advanced acl80-guest

?10 deny 0800 FFFF 24 0A0101 FFFFFF 42

?20 deny 0800 FFFF 24 0C010102 FFFFFFFF 42

?30 permit 0806 FFFF 24

?40 permit 0800 FFFF 24

interface GigabitEthernet 0/1

?no switchport

?ip address 10.1.1.1 255.255.255.0

interface GigabitEthernet 0/2

?no switchport

?expert access-group 2700 in

?ip address 11.1.1.1 255.255.255.0

interface GigabitEthernet 0/3

?no switchport

?ip address 12.1.1.1 255.255.255.0

1.15.7? 基于时间段的ACL规则设置举例

1. 组网需求

设置基于时间段的ACL规则，，，，，，，只允许研发部分在天天的12:00到13:30会见Internet。。。。。。。

2. 组网图

图1-9 基于时间段的ACL规则应用场景组网图

3. 设置要点

l Device A设置时间段，，，，，，，并添加天天12:00到13:30的时间段表项。。。。。。。

l Device A设置IP标准ACL并添加规则，，，，，，，包括：

○ 添加允许源IP网段地点为10.1.1.0/24的规则，，，，，，，关联的时间段为access-internet。。。。。。。

○ 添加榨取源IP网段地点为10.1.1.0/24的规则。。。。。。。批注时间段之外都不允许会见Internet。。。。。。。

○ 添加允许除研发网段地点外，，，，，，，其他所有网段地点的规则。。。。。。。

l Device A将ACL应用在毗连研发部接口的入偏向上。。。。。。。

4. 设置办法

(1) 设置时间区。。。。。。。

# Device A设置时间段。。。。。。。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# time-range access-internet

DeviceA(config-time-range)# periodic daily 12:00 to 13:30

DeviceA(config-time-range)# exit

(2) 设置IP标准ACL并添加会见规则。。。。。。。

# Device A设置IP标准ACL并添加会见规则。。。。。。。

DeviceA(config)# ip access-list standard ip_std_internet_acl

DeviceA(config-std-nacl)# permit 10.1.1.0 0.0.0.255 time-range access-internet

DeviceA(config-std-nacl)# deny 10.1.1.0 0.0.0.255

DeviceA(config-std-nacl)# permit any

DeviceA(config-std-nacl)# exit

(3) 将IP标准ACL应用到接口上。。。。。。。

# Device A将ACL应用在毗连研发部接口的入偏向上。。。。。。。

DeviceA(config)# interface gigabitethernet 0/1

DeviceA(config-if-GigabitEthernet 0/1)# ip access-group ip_std_internet_acl in

5. 验证设置效果

# 检查Device A装备ACL设置下令是否准确。。。。。。。

DeviceA# show time-range

time-range entry: access-internet (inactive)

　periodic Daily 12:00 to 13:30

DeviceA# show access-lists

ip access-list standard ip_std_internet_acl

?10 permit 10.1.1.0 0.0.0.255 time-range access-internet (inactive)

?20 deny 10.1.1.0 0.0.0.255

?30 permit any

DeviceA# show access-group

ip access-group ip_std_internet_acl in

Applied On interface GigabitEthernet 0/1

# 在时间段生效期内（12:00至13:30），，，，，，，从研发部分内的某台PC时机见百度主页，，，，，，，确认可以会见。。。。。。。

# 在时间段失效期（12:00至13:30时段外），，，，，，，从研发部分内的某台PC时机见百度主页，，，，，，，确认不可会见。。。。。。。

6. 设置文件

l DeviceA的设置文件

hostname DeviceA

ip access-list standard ip_std_internet_acl

?10 permit 10.1.1.0 0.0.0.255 time-range access-internet

?20 deny 10.1.1.0 0.0.0.255

?30 permit any

time-range access-internet

?periodic daily 12:00 to 13:30

interface GigabitEthernet 0/1

?no switchport

?ip access-group ip_std_internet_acl in

?ip address 10.1.1.1 255.255.255.0

1.15.8? SVI Router ACL设置举例

1. 组网需求

设置VRRP+VLAN应用场景，，，，，，，只允许主机与主机之间的三层通讯。。。。。。。设置只允许主机之间会见的ACL，，，，，，，拒绝其他所有网段的ACL。。。。。。。

2. 组网图

图1-10 VRRP+VLAN应用场景组网图

3. 设置要点

l DeviceA和DeviceB组成VRRP场景。。。。。。。主机PC1和PC2所有接入到DeviceC。。。。。。。

l 设置天生树协议，，，，，，，消除DeviceA、DeviceB和DeviceC之间的环路。。。。。。。

l 主机PC1和PC2的网关接纳SVI接口的地点。。。。。。。

l 设置只允许主机之间会见的ACL，，，，，，，拒绝其他所有网段的ACL，，，，，，，并将ACL应用在SVI接口上。。。。。。。此时会导致VRRP组内DeviceA和DeviceB形成双主。。。。。。。

l 设置svi router-acls enable下令后，，，，，，，VRRP组内DeviceA和DeviceB形成一主一备，，，，，，，VRRP协议恢复正常。。。。。。。

4. 设置办法

(1) 设置VLAN。。。。。。。

# DeviceA设置VLAN。。。。。。。DeviceA、DeviceB和DeviceC设置完全相同，，，，，，，以下以DeviceA设置为例。。。。。。。

DeviceA> enable

DeviceA# configure terminal

DeviceA(config)# vlan 10

DeviceA(config-vlan)# exit

DeviceA(config)# vlan 20

DeviceA(config-vlan)# exit

(2) 设置VRRP组。。。。。。。

# DeviceA设置VRRP。。。。。。。

DeviceA(config)# interface VLAN 10

DeviceA(config-if-VLAN 10)# ip address 172.16.1.3 255.255.255.0

DeviceA(config-if-VLAN 10)# vrrp 10 ip 172.16.1.1

DeviceA(config-if-VLAN 10)# vrrp 10 priority 120

DeviceA(config-if-VLAN 10)# exit

DeviceA(config)# interface VLAN 20

DeviceA(config-if-VLAN 20)# ip address 172.31.1.4 255.255.255.0

DeviceA(config-if-VLAN 20)# vrrp 20 ip 172.31.1.1

# DeviceB设置VRRP。。。。。。。

DeviceB(config)# interface VLAN 10

DeviceB(config-if-VLAN 10)# ip address 172.16.1.4 255.255.255.0

DeviceB(config-if-VLAN 10)# vrrp 10 ip 172.16.1.1

DeviceB(config-if-VLAN 10)# exit

DeviceB(config)# interface VLAN 20

DeviceB(config-if-VLAN 20)# ip address 172.31.1.3 255.255.255.0

DeviceB(config-if-VLAN 20)# vrrp 20 ip 172.31.1.1

DeviceB(config-if-VLAN 20)# vrrp 20 priority 120

DeviceB(config-if-VLAN 20)# exit

(3) 设置天生树协议，，，，，，，消除环路。。。。。。。

# DeviceA设置天生树协议。。。。。。。DeviceA、DeviceB和DeviceC设置完全相同，，，，，，，以下以DeviceA设置为例。。。。。。。

DeviceA(config)# spanning-tree

(4) 设置ACL。。。。。。。

# DeviceA设置ACL。。。。。。。DeviceA和DeviceB设置完全相同，，，，，，，以下以DeviceA设置为例。。。。。。。

DeviceA(config)# ip access-list standard 10

DeviceA(config-std-nacl)# permit host 3.3.3.3

DeviceA(config-std-nacl)# deny any

DeviceA(config-std-nacl)# exit

(5) 将ACL应用到SVI接口。。。。。。。

# DeviceA应用ACL。。。。。。。DeviceA和DeviceB设置完全相同，，，，，，，以下以DeviceA设置为例。。。。。。。

DeviceA(config)# int vlan 20

DeviceA(config-if-VLAN 20)# ip access-group 10 in

(6) 设置下令svi router-acls enable。。。。。。。

# DeviceA设置下令svi router-acls enable。。。。。。。DeviceA和DeviceB设置完全相同，，，，，，，以下以DeviceA设置为例。。。。。。。

DeviceA(config)# svi router-acls enable

5. 验证设置效果

# 检查DeviceA装备VRRP协议状态。。。。。。。

DeviceA# show vrrp

Interface　　Grp　Pri　 timer　 Own　Pre　 State　 Master addr　　 Group addr　　　　　　　　　

VLAN 10　　　10　 120　 3.53　　-　　P　　 Master　172.16.1.3　　　172.16.1.1　　　　　　　　　　

VLAN 20　　　20　 100　 3.60　　-　　P　　 Backup　172.31.1.3　　　172.31.1.1

6. 设置文件

l DeviceA的设置文件。。。。。。。

hostname DeviceA

vlan 1

vlan 10

vlan 20

spanning-tree

ip access-list standard 10

?10 permit host 3.3.3.3

?20 deny any

svi router-acls enable

interface GigabitEthernet 0/1

?switchport mode trunk

interface GigabitEthernet 0/3

?switchport mode trunk

interface VLAN 1

?ip address 192.168.1.2 255.255.255.0

interface VLAN 10

?ip address 172.16.1.3 255.255.255.0

?vrrp 10 priority 120

?vrrp 10 ip 172.16.1.1

interface VLAN 20

?ip access-group 10 in

?ip address 172.31.1.4 255.255.255.0

?vrrp 20 ip 172.31.1.1

ip route 3.3.3.0 255.255.255.0 192.168.1.1

l DeviceB的设置文件。。。。。。。

hostname DeviceB

vlan 1

vlan 10

vlan 20

spanning-tree

ip access-list standard 10

?10 permit host 3.3.3.3

?20 deny any

svi router-acls enable

interface GigabitEthernet 0/1

?switchport mode trunk

interface GigabitEthernet 0/3

?switchport mode trunk

interface VLAN 1

?ip address 192.168.2.2 255.255.255.0

interface VLAN 10

?ip access-group 10 in

?ip address 172.16.1.4 255.255.255.0

?vrrp 10 ip 172.16.1.1

interface VLAN 20

?ip address 172.31.1.3 255.255.255.0

?vrrp 20 priority 120

?vrrp 20 ip 172.31.1.1

ip route 3.3.3.0 255.255.255.0 192.168.2.1

l DeviceC的设置文件。。。。。。。

hostname DeviceC

vlan 1

vlan 10

vlan 20

interface GigabitEthernet 0/1

?switchport access vlan 10

interface GigabitEthernet 0/2

?switchport access vlan 20

interface GigabitEthernet 0/3

?switchport mode trunk

interface GigabitEthernet 0/4

?switchport mode trunk

l ServerA的设置文件。。。。。。。

hostname ServerA

interface GigabitEthernet 0/1

?ip address 192.168.1.1 255.255.255.0

interface GigabitEthernet 0/2

?ip address 192.168.2.1 255.255.255.0

interface Loopback 0

?ip address 3.3.3.3 255.255.255.0

ip route 172.16.1.0 255.255.255.0 192.168.1.2

ip route 172.31.1.0 255.255.255.0 192.168.2.2

1.15.9? ACL报文计数统计设置举例

1. 组网需求

应用ACL时若是设置带counter-only选项，，，，，，，可以对某些特征的报文举行计数统计。。。。。。。以PC ping网关扬弃ICMP报文为例举行计数统计，，，，，，，并定位丢包位置。。。。。。。

2. 组网图

3. 设置要点

l Device上G0/1和G0/2的入偏向和出偏向都要应用ACL，，，，，，，以是Device需要设置4条ACL，，，，，，，划分匹配从PC到Gateway和从Gateway到PC的ICMP报文。。。。。。。

l Gateway装备G0/1的入偏向和出偏向都要应用ACL，，，，，，，以是Gateway设置2条ACL，，，，，，，划分匹配从PC到Gateway和从Gateway到PC的ICMP报文。。。。。。。

l 应用ACL时设置需要counter-only选项。。。。。。。

l 计数统计只对该ACL中的Permit规则生效，，，，，，，Deny规则不生效。。。。。。。

4. 设置办法

(1) 设置ACL。。。。。。。

# Device装备设置4条ACL，，，，，，，划分匹配从PC到Gateway的ICMP报文和从Gateway到PC的ICMP报文。。。。。。。

Device> enable

Device# configure terminal

Device(config)# ip access-list extend 100

Device(config-ext-nacl)# permit icmp host 10.10.10.1 host 10.10.10.254

Device(config-ext-nacl)# exit

Device(config)# ip access-list extend 101

Device(config-ext-nacl)# permit icmp host 10.10.10.254 host 10.10.10.1

Device(config-ext-nacl)# exit

Device(config)# ip access-list extend 102

Device(config-ext-nacl)# permit icmp host 10.10.10.1 host 10.10.10.254

Device(config-ext-nacl)# exit

Device(config)# ip access-list extend 103

Device(config-ext-nacl)# permit icmp host 10.10.10.254 host 10.10.10.1

Device(config-ext-nacl)# exit

# Gateway装备设置2条ACL，，，，，，，划分匹配从PC到Gateway的ICMP报文和从Gateway到PC的ICMP报文。。。。。。。

Gateway> enable

Gateway #configure terminal

Gateway(config)# ip access-list extend 100

Gateway(config-ext-nacl)# permit icmp host 10.10.10.1 host 10.10.10.254

Gateway(config-ext-nacl)# exit

Gateway(config)# ip access-list extend 101

Gateway(config-ext-nacl)# permit icmp host 10.10.10.254 host 10.10.10.1

Gateway(config-ext-nacl)# exit

(2) 应用ACL。。。。。。。

# 在Gateway装备和Device装备互联接口G0/1的入偏向和出偏向应用ACL。。。。。。。

Gateway(config)# interface gigabitEthernet 0/1

Gateway(config-if-GigabitEthernet 0/1)# ip access-group 100 in counter-only

Gateway(config-if-GigabitEthernet 0/1)# ip access-group 101 out counter-only

Gateway(config-if-GigabitEthernet 0/1)# exit

# 在Device装备和Gateway装备互联接口G0/2的入偏向和出偏向应用ACL。。。。。。。

Device# configure terminal

Device(config)# interface gigabitEthernet 0/2

Device(config-if-GigabitEthernet 0/2)# ip access-group 103 in counter-only

Device(config-if-GigabitEthernet 0/2)# ip access-group 102 out counter-only

Device(config-if-GigabitEthernet 0/2)# exit

# 在Device装备和PC互联接口G0/1的入偏向和出偏向应用ACL。。。。。。。

Device# configure terminal

Device(config)# interface gigabitEthernet 0/1

Device(config-if-GigabitEthernet 0/1)# ip access-group 100 in counter-only

Device(config-if-GigabitEthernet 0/1)# ip access-group 101 out counter-only

Device(config-if-GigabitEthernet 0/1)# exit

5. 验证设置效果

# 在PC上ping网关地点10.10.10.254，，，，，，，3次共发出15个ICMP报文。。。。。。。划分审查Device装备和Gateway装备上ICMP报文统计计数。。。。。。。审查Device装备上ICMP报文统计计数。。。。。。。

Device# show access-list

ip access-list extended 100

　 10 permit ip host 10.10.10.1 host 10.10.10.254 (15 matches)

ip access-list extended 101

　 10 permit ip host 10.10.10.254 host 10.10.10.1 (10 matches)

ip access-list extended 102　

　 10 permit ip host 10.10.10.1 host 10.10.10.254 (15 matches)

ip access-list extended 103　

　 10 permit ip host 10.10.10.254 host 10.10.10.1 (10 matches)

# 审查Gateway装备上ICMP报文统计计数。。。。。。。

Gateway# show access-list

ip access-list extended 100

　 10 permit ip host 10.10.10.1 host 10.10.10.254 (15 matches)

ip access-list extended 101

　 10 permit ip host 10.10.10.254 host 10.10.10.1 (15 matches)

# 剖析报文统计计数，，，，，，，定位报文扬弃位置。。。。。。。

Device装备和PC互联接口G0/1的入偏向收到15个报文（Device装备ACL 100）。。。。。。。

Device装备和Gateway装备互联接口G0/2的出偏向发出15个报文（Device装备ACL 102）。。。。。。。

Gateway装备和Device装备互联接口G0/1的入偏向收到15个报文（Gateway装备ACL 100）。。。。。。。

Gateway装备和Device装备互联接口G0/1的出偏向发出15个报文（Gateway装备ACL 101）。。。。。。。

Device装备和Gateway装备互联接口G0/2的入偏向收到10个报文（Device装备ACL 103）。。。。。。。

说明报文扬弃在Device装备和Gateway装备之间的链路上。。。。。。。

6. 设置文件

l Device的设置文件。。。。。。。

hostname Device

ip access-list extended 100

?10 permit icmp host 10.10.10.1 host 10.10.10.254

ip access-list extended 101

?10 permit icmp host 10.10.10.254 host 10.10.10.1

ip access-list extended 102

?10 permit icmp host 10.10.10.1 host 10.10.10.254

ip access-list extended 103

?10 permit icmp host 10.10.10.254 host 10.10.10.1

interface GigabitEthernet 0/1

?ip access-group 100 in counter-only

?ip access-group 101 out counter-only

interface GigabitEthernet 0/2

?ip access-group 103 in counter-only

?ip access-group 104 out counter-only

l Gateway的设置文件。。。。。。。

hostname Gateway

ip access-list extended 100

?10 permit icmp host 10.10.10.1 host 10.10.10.254

ip access-list extended 101

?10 permit icmp host 10.10.10.254 host 10.10.10.1

interface GigabitEthernet 0/1

?ip access-group 100 in counter-only

?ip access-group 101 out counter-only

?ip address 10.10.10.254 255.255.255.0