ACL模板特点
S4608(config)#filter-list <1-1000> L2 filter list number
<1001-2000> Ipv4 filter list number <2001-3000> Hybrid filter list number <3001-4000> Ipv6 filter list number
用户绑定模块
Auto-filter
SDK
线卡
需研发支持
武汉烽火网络有限责任公司 FiberHome Networks CO.,LTD
内容提要
ACL QoS 用户绑定 IP地址
ARP
静态路由
武汉烽火网络有限责任公司 FiberHome Networks CO.,LTD
IP地址简介
说明：
一般情况下，一个接口只需要配臵一个主IP 地址。但在有些特殊情况下需要配臵从IP地址。例如，一 台S4600 通过一个接口连接了一个物理网络，但该物理网络的设备分别属于两个不同的C 类网络，为 了使S4600 与物理网络中的所有计算机通信，就需要在该接口上配臵一个主IP 地址和一个从IP 地址。 一个接口只能有一个主IP 地址，当配臵主IP 地址时，如果接口上已经有主IP 地址，则原主IP 地址被删 除，新配臵的地址成为主IP 地址。 同一接口的所有IP 地址不能在同一网段。
主控
debug filter (global|if|config|statistic|rule|device|all) 2.使能ACL失败 (1) debug filter (global|if|config|statistic|rule|device|all) (2) 在shell下，gAclDetailDebug=1（取消时赋值0）
2. ACL全局使能情况： S4608#show filter-list global filter-list global in 1 filter-list global out 1001
武汉烽火网络有限责任公司 FiberHome Networks CO.,LTD
ACL调试
网管
1.配臵ACL失败
武汉烽火网络有限责任公司 FiberHome Networks CO.,LTD
ARP简介
整机支持16K ARP。设备支持arp 代理，arp严格学习，arp防攻击等功能。 ARP调试命令：
S4608#debug arp
in out error Receive Packet Send Packet Error Packet
武汉烽火网络有限责任公司 FiberHome Networks CO.,LTD
ACL模板简介
ACL的4类模板：
L2模板
L3模板
L2L3混合模板 IPv6模板
什么是模板？
针对ACL的rule而言 所有模板的action完全一样
武汉烽火网络有限责任公司 FiberHome Networks CO.,LTD
The parameter error The filter-list is not find 未报错的无效ACL示例：
filter-list 101 filter 1 mac any any provider 10/20 any filter 1 action deny filter 2 mac any any provider 30 any filter 2 action deny S4608(config-ge6/10)# filter-list in 101
优点：与业界保持一致，界面友好。 缺点：尚不成熟，较多限制。
武汉烽火网络有限责任公司 FiberHome Networks CO.,LTD
ACL使能
ACL使能方式
基于端口 基于VLAN 全局ACL S4608(config-ge6/2)#filter-list in 100 S4608(config-vlan-2)#filter-list in 100 S4608(config)#filter-list global in 100 S4608(config-ge6/2)#filter-list out 1001


武汉烽火网络有限责任公司 FiberHome Networks CO.,LTD
带外IP地址
带外IP地址：可以配臵多个带外IP。
S4608#show ip interface Ip-Address Interface 10.18.16.104/24 Vlan4012 127.0.0.1/8 loopback0 192.169.144.10/24 Outband 2.2.10.2/24 Outband
IPIndex 5 4 3 3
State(a/o) Role up/up primary up/up loopback down/down -down/down --
Type static -static static
打开/关闭带外口：
S4608(config)#outband enable|disable ——类似于端口的no shutdown|shutdown操作
ACL方向
In方向 Out方向
武汉烽火网络有限责任公司 FiberHome Networks CO.,LTD
ACL使能
全局ACL：配臵到所有端口
基于VLAN：配臵到所有端口，匹配VLAN
filter-list 100
filter 1 mac any any filter 1 action deny
整机支持4200个IP地址，每个VLAN接口最多支持32个IP， 其中1个主IP，31个从IP。
S4608(config-vlan-10)#ip address 10.1.1.1/24 S4608(config-vlan-10)#ip address 10.2.1.1/24 sub S4608(config-vlan-10)#ip address 10.3.1.1/24 sub ——主IP ——从IP
武汉烽火网络有限责任公司 FiberHome Networks CO.,LTD
ACL的查看
查看ACL的使用情况
1. ACL在接口和VLAN上的使能情况： S4608#show filter-list interface Filter-list Interface 1 2 1001 vlan-10 vlan-10 ge-6/10 Dir In In Out
ACL注意事项
优先级：模板间L2<L3<L2L3<IPv6，模板内先配先生效 电信工程版本不支持IPv6 电信工程版本只有L3支持out方向（基于vlan的ACL不能配在out方向）
匹配了范围的ACL会占用多条资源（需预留rule 号）
虽然命令行区分了IFP和VFP，但实际上均为VFP 配臵了范围或基于VLAN，动作为限速的ACL，限速可能加倍 出方向不支持的规则： icmp type和code 出方向不支持的动作：添加外层vlan、添加内层vlan、删除内层vlan、 修改cos、继承内层dot1p、dot1p值映射tos、tos映射dot1p 不支持：匹配arp 的类型或源/目的IP, 基于vlan的动作
The filter-list exist
There is no resource Don't support feauture
The port error
Failed to configure the filter
武汉烽火网络有限责任公司 FiberHome Networks CO.,LTD
武汉烽火网络有限责任公司 FiberHome Networks CO.,LTD
内容提要
ACL QoS 用户绑定 IP地址
ARP
静态路由
武汉烽火网络有限责任公司 FiberHome Networks CO.,LTD
用户绑定介绍
用户绑定：只对IP包有效。端口使能用户绑定后，只允许指定
S4608(config)#filter-list global in 100 S4608(config-vlan-2)#filter-list in 100
慎用！
武汉烽火网络有限责任公司 FiberHome Networks CO.,LTD
ACL错误分析
S4608(config-ge6/1)#filter-list out 100 %Failed.Don't support feauture. ACL硬件配臵失败分析：
ge-6/10
1.1.1.2
any
2
IPSG
Disable
武汉烽火网络有限责任公司 FiberHome Networks CO.,LTD
用户绑定调试
网管
用户绑定实际上采用ACL来实现。 主控 Auto-filter用来提供各协议模块的隐式ACL功能。
1. 用户绑定配臵失败： SDK (1) 检查Auto-filter，shell下gAutoFilterDebug=1 (2) 查看线卡sdk debug，diag下udrdebug +acl +error 2. 用户绑定不生效：
需研发支持。
武汉烽火网络有限责任公司 FiberHome Networks CO.,LTD
内容提要
ACL QoS 用户绑定 IP地址
流量监管和整形 拥塞控制
ARP
静态路由
武汉烽火网有限责任公司 FiberHome Networks CO.,LTD
QoS：流量监管和整形
流量监管和整形：
IP包通过，其 他所有IP包均丢弃。
S4608(config-ge6/10)#user-bind enable|disable S4608(config)#user-bind ip 1.1.1.1 mac any vid any gigaethernet 6/10