二层acl配置

文档名称 文档密级

1 rule（二层ACL视图）

1.1 命令功能

rule命令用来增加或修改二层ACL的规则。

undo rule命令用来删除一个规则。 缺省情况下，未配置规则。 1.2 命令格式

rule [ rule-id ] { permit | deny } [ [ ether-ii | 802.3 | snap ] | l2-protocol type-value [ type-mask ] | destination-mac dest-mac-address [ dest-mac-mask ] | source-mac source-mac-address [ source-mac-mask ] | vlan-id vlan-id [ vlan-id-mask ] | 8021p 802.1p-value | cvlan-id cvlan-id [ cvlan-id-mask ] | cvlan-8021p 802.1p-value | double-tag ] * [ time-range time-name ]（S2700SI和除S2700-52P-EI、S2700-52P-PWR-EI以外的S2700EI系列产品不支持double-tag参数） undo rule rule-id 1.3 参数说明

参数 参数说明 指定ACL的规则ID。  取值 整数形式，取值范围是0～4294967294。 rule-id  如果指定ID的规则已经存在，创建的新规则将会覆盖旧规则；如果指定ID的规则不存在，则使用指定的ID创建一个新规则，并且按照ID的大小决定规则插入的位置。 如果不指定ID，则增加一个新规则时设备自动会为这个规则分配一个ID，ID按照大小排序。系统自动分配ID时会留有一定华为保密信息,未经授权禁止扩散

第1页, 共6页

2016-9-20

文档名称 文档密级

参数 参数说明 的空间，具体的相邻ID范围由step命令指定。 说明： 取值 设备自动生成的规则ID从步长值起始，缺省步长为5，即从5开始并按照5的倍数生成规则序号，序号分别为5、10、15、…… deny permit 指定拒绝符合条件的报文。 - 指定允许符合条件的报文。 - ether-ii | 802.3 | 指定ACL规则匹配报文的封装格- snap 式。其中：    ether-ii表示Ethernet II封装； 802.3表示802.3封装； snap表示SNAP封装。 l2-protocol type-value [ type-mask ] 指定ACL规则匹配报文的类型，对应Ethernet_II类型中的Ethernet type和Ethernet_SNAP类型帧中的type-code域。其中：   type-value如果输入数值，长度范围是3～6，以十六进制表示，取值范围是0x0000～0xFFFF；如果输入协议值，可以输入以type-value表示二层协议类型值； type-mask表示二层协议类型掩码。 下的值：      ARP，对应的数值为0x0806 IP，对应的数值为0x0800 IPv6，对应的数值为0x86dd MPLS，对应的数值为0x8847 RARP，对应的数值为第2页, 共6页

2016-9-20

华为保密信息,未经授权禁止扩散

文档名称 文档密级

参数 参数说明 取值 0x8035 type-mask缺省值为0xffff。 destination-mac dest-mac-address [ dest-mac-mask ] 指定ACL规则匹配报文的目的MAC地址信息。其中： dest-mac-address和dest-mac-mask格式均为H-H-H，其中H为1至4位的十六进制数。 dest-mac-address：报文的dest-mac-mask缺省值为目的MAC地址； ffff-ffff-ffff。  dest-mac-mask：目的MAC地址掩码。 这两个参数共同作用可以得到用户感兴趣的目的MAC地址范围。比如00e0-fc01-0101 ffff-ffff-ffff指定了一个MAC地址：00e0-fc01-0101，而00e0-fc01-0101 ffff-ffff-0000则指定了一个MAC地址范围：00e0-fc01-0000～00e0-fc01-ffff。 source-mac source-mac-address [ source-mac-mask ] MAC地址信息。其中： 指定ACL规则匹配报文的源source-mac-address和source-mac-mask的格式均为H-H-H，其中H为1至4位的十六进制数。 source-mac-address：表示source-mac-mask缺省值报文的源MAC地址； 为ffff-ffff-ffff。  source-mac-mask：表示源MAC地址掩码。如果不这两个参数共同作用可以配置此参数，则掩码相当得到用户感兴趣的源MAC于ffff-ffff-ffff。 地址范围。比如00e0-fc01-0101 ffff-ffff-ffff指定了一个MAC地址：00e0-fc01-0101，而00e0-fc01-0101 ffff-ffff-0000则指定了一个MAC地址范围：2016-9-20

华为保密信息,未经授权禁止扩散

第3页, 共6页

文档名称 文档密级

参数 参数说明 取值 00e0-fc01-0000～00e0-fc01-ffff。 vlan-id vlan-id [ vlan-id-mask ] 指定ACL规则匹配报文的外层VLAN的编号，其中:   vlan-id为整数形式，取值范围是1～4094。 vlan-id表示外层VLAN vlan-id-mask为十六进制ID的值； 形式，取值范围是0x0～vlan-id-mask表示外层0xFFF，缺省值为0xFFF。 VLAN ID值的掩码。如果不配置此参数，则掩码相当于ffff-ffff-ffff。 8021p 802.1p-value 指定ACL规则匹配报文的外整数形式，取值范围是0～层VLAN的802.1p优先级。 7。 cvlan-id cvlan-id [ cvlan-id-mask ] 指定ACL规则匹配报文的内层VLAN的编号。   vlan-id为整数形式，取值范围是1～4094。 vlan-id表示外层VLAN ID的值； vlan-id-mask表示外层VLAN ID值的掩码。 vlan-id-mask为十六进制形式，取值范围是0x0～0xFFF，缺省值为0xFFF。 cvlan-8021p 802.1p-value double-tag time-range time-name 指定ACL规则匹配报文的内整数形式，取值范围是0～层VLAN的802.1p优先级。 7。 指定ACL规则匹配报文时匹配带双层tag的报文。 - 指定ACL规则生效的时间段。time-name为字符串形式，time-name表示时间段的名长度范围是1～32。 称。 说明： 当指定参数time-range引入ACL规则生效时间段时，如果time-name不存在，则该规则配置不生效。 2016-9-20

华为保密信息,未经授权禁止扩散 第4页, 共6页

文档名称 文档密级

1.4 视图 二层ACL视图 1.5 缺省级别 2：配置级 1.6 使用指南 应用场景

二层ACL根据报文的源MAC地址、目的MAC地址、二层协议类型等内容定义规则。 该命令可以应用ACL规则的时间段，灵活地配置ACL规则的生效时间。 前置条件

配置rule时，ACL需要已经创建完成。 注意事项

如果指定的rule-id已存在，无论新规则与原规则是否存在冲突，新规则都会覆盖原规则。

建议用户在编辑一个已存在rule-id的规则前，先将旧的规则删除，再创建新的规则，否则配置结果可能与预期的效果不同。

使用命令undo rule删除规则的时候，rule-id必须是一个已经存在的ACL规则编号，如果不知道规则的编号，可以使用命令display acl来查看。

规则即使被引用，使用undo rule命令行也可以删除该规则，请谨慎操作，评估删除的风险。 1.7 使用实例

# 在ACL 4001中增加一条规则，匹配目的MAC地址是0000-0000-0001，源MAC地址是0000-0000-0002，二层协议类型值为0x0800的报文。 system-view

2016-9-20

华为保密信息,未经授权禁止扩散

第5页, 共6页

文档名称 文档密级

[Quidway] acl 4001

[Quidway-acl-L2-4001] rule permit destination-mac 0000-0000-0001 source-mac 0000-0000-0002 l2-protocol 0x0800

父主题： ACL配置命令 相关主题 acl（系统视图） acl name display acl step

2016-9-20

华为保密信息,未经授权禁止扩散 第6页, 共6页