ACL配置本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处* * *迈普通信技术有限公司地址：成都市高新区九兴大道16号迈普大厦技术支持热线：400-886-8669传真：（+8628）85148948E-mail：******************.com网址：邮编：610041版本：2011年 8月v1.0版目录第1章 ACL配置 (4)1.1 ACL简介 (4)1.1.1 ACL的匹配顺序 (4)1.1.2 支持的ACL (5)1.2 配置时间段 (6)1.2.1 配置过程 (6)1.2.2 配置举例 (7)1.3 定义基本ACL (8)1.3.1 配置过程 (8)1.3.2 配置举例 (9)1.4 定义扩展ACL (9)1.4.1 配置过程 (9)1.4.2 配置举例 (11)1.5 定义二层ACL (12)1.5.1 配置二层ACL (12)1.5.2 配置举例 (13)1.6 激活ACL (13)1.6.1 激活ACL (13)1.6.2 配置举例 (14)1.7 ACL的显示和调试 (15)第1章ACL配置1.1 ACL简介ACL（Access Control List，访问控制列表）主要用来实现流识别功能。

网络设备为了过滤数据包，需要配置一系列的匹配规则，以识别需要过滤的对象。

在识别出特定的对象之后，才能根据预先设定的策略允许或禁止相应的数据包通过。

ACL根据一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。

交换机根据ACL中指定的条件来检测数据包，从而决定是转发还是丢弃该数据包。

由ACL定义的数据包匹配规则，还可以被其它需要对流进行区分的场合引用，如QoS 中流分类规则的定义。

根据应用目的，可将ACL 分为下面几种：●基本ACL：只根据源IP地址制定规则。

●扩展ACL：根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。

●二层ACL：根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则。

1.1.1 ACL的匹配顺序由于同一条ACL可以配置多个子项，所以就出现了匹配顺序的问题。

ACL支持两种匹配顺序：●配置顺序：根据配置顺序匹配ACL规则。

●自动排序：根据“深度优先”规则匹配ACL规则。

深度优先指的是最长的子项先匹配。

比如，现在配置同一条ACL的两个子项，配置步骤如下：Switch(config)#access-list 1 deny anyConfig ACL subitem successfully.Switch(config)#access-list 1 permit 1.1.1.1 0Config ACL subitem successfully.如果选择的匹配顺序是配置顺序，那么，按照配置的步骤，先配置的命令就为子项0。

通过查看配置可以看到：Switch(config)#show access-list config 1Standard IP Access List 1, match-order is config, 2 rule:0 deny any1 permit 1.1.1.1 0.0.0.0如果选择的匹配顺序是自动顺序，那么，最长的ACL匹配规则将为子项0。

通过查看配置可以看到：Switch(config)#show access-list config 1Standard IP Access List 1, match-order is auto, 2 rule:0 permit 1.1.1.1 0.0.0.01 deny any还需要注意的是，针对需要激活才能生效的ACL。

S2600系列交换机遵守着“先激活先生效”的匹配规则。

激活的配置可以参考1.6激活ACL。

1.1.2 支持的ACL交换机支持的ACL如下：●基本ACL●扩展ACL●二层ACL1.2 配置时间段对时间段的配置有如下内容：配置周期时间段和绝对时间段。

配置周期时间段采用的是每周的周几的形式，配置绝对时间段采用从起始时间到结束时间的形式。

1.2.1 配置过程表 1-1配置时间段操作命令备注进入全局配置模式configure terminal -创建时间段并进入时间段配置模式time-range name -配置绝对时间段absolute start HH:MM:SS YYYY/MM/DD [ endHH:MM:SS YYYY/MM/DD ]必选配置相对时间段periodic days-of-the-week hh:mm:ss to [ day-of-the-week ] hh:mm:ss配置时间段需要注意：如果一个时间段只定义了周期时间段，则只有系统时钟在该周期时间段内，该时间段才进入激活状态。

如果一个时间段下定义了多个周期时间段，则这些周期时间段之间是“或”的关系。

如果一个时间段只定义了绝对时间段，则只有系统时钟在该绝对时间段内，该时间段才进入激活状态。

如果一个时间段下定义了多个绝对时间段，则这些绝对时间段之间是“或”的关系。

如果一个时间段同时定义了绝对时间段和周期时间段，则只有同时满足绝对时间段和周期时间段的定义时，该时间段才进入激活状态。

例如，一个时间段定义了绝对时间段：从2009年1月1日0点0分到2009年12月31日23点59分，同时定义了周期时间段：每周三的12:00到14:00。

该时间段只有在2009年内每周三的12:00 到14:00才进入激活状态。

配置绝对时间段时，如果不配置开始日期，时间段就是从系统支持的最早时间起到配置的结束日期为止。

如果不配置结束日期，时间段就是从配置的开始日期起到2100/12/31 23:59 为止。

1.2.2 配置举例1. 配置绝对时间段，取值为2009年1月3日16:00 起至2009年1月5日16:00结束。

Switch#configure terminalSwitch(config)#time-range bConfig time range successfully.Switch(config-timerange-b)#absolute start 16:00:00 2009/1/3 end 16:00:00 2009/1/5 Config absolute range successfully .Switch(config-timerange-b)#show time-range name bCurrent time is: 02:46:43 2009/01/31 Saturdaytime-range: b ( Inactive )absolute: start 16:00:00 2009/01/03 end 16:00:00 2009/01/052. 配置周期时间段，取值为周一到周五每天8:00到18:00Switch#configure terminalSwitch(config)#time-range bConfig time range successfully.Switch(config-timerange-b)#periodic weekdays 8:00:00 to 18:00:00Config periodic range successfully .Switch(config-timerange-b)#show time-range name bCurrent time is: 02:47:56 2009/01/31 Saturdaytime-range: b ( Inactive )periodic: weekdays 08:00 to 18:001.3 定义基本ACL基本ACL只根据三层源IP制定规则，对数据包进行相应的分析处理。

如果基本ACL以数字标识，那么序号取值范围为1-99，最多可创建99条以数字为标识的基本ACL；如果基本ACL以名字标识，那么最多可以定义1000条。

同时交换机可以为每条ACL最多定义128条子规则。

1.3.1 配置过程如果要配置带有时间段参数的规则，则需要先定义相应的时间段。

定义时间段的配置请参见1.2 配置时间段。

表 1-2定义以数字为标识的基本ACL操作命令备注进入全局配置模式configure terminal-定义子项的匹配规则access-list num match-order { config | auto }可选默认的规则是config匹配规则定义基本ACL access-list num { permit | deny } { source-IPv4/v6source-wildcard | any | ipv6any } [ fragments][ time-range name ]必选表 1-3定义以名字为标识的基本ACL操作命令备注进入全局配置模式configure terminal -定义子项的匹配规则access-list standard name match-order { config |auto }可选默认的规则是config匹配规则定义基本ACL且进入access-list standard name必选ACL配置模式配置ACL规则{ permit | deny } { source-IPv4/v6 source- wildcard |any | ipv6any } [ fragments ] [ time-range name ]必选1.3.2 配置举例！定义一条以数字为标识的基本ACL，禁止源IP地址为10.0.0.1的报文通过Switch#configure terminalSwitch(config)#access-list 1 deny 10.0.0.1 0！定义一条以名字为标识的基本ACL，禁止源IP地址为10.0.0.2的报文通过Switch#configure terminalSwitch(config)#access-list standard stdaclSwitch(config-std-nacl-stdacl)#deny 10.0.0.2 01.4 定义扩展ACL扩展ACL可以根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。

如果扩展ACL以数字标识，那么序号取值范围为100-199，最多可创建100条以数字为标识的扩展ACL；如果扩展ACL以名字标识，那么最多可以定义1000条。

同时交换机可以为每条ACL最多定义128条子规则。