ACLステップ設定【華為華三通用】

4548 ワード

ACLのステップ設定
ステップの意味
ステップ長とは、システムがACLルールに自動的に番号を割り当てたときの、隣接するルール番号ごとの差です.
方法
[S1]acl 3000	//    ACL,3000
[S1-acl-adv-3000]step 5 //     5

システムがACLの最初の手動で番号を指定していないルールに番号を割り当てる場合、ステップ値をルールの開始番号として使用します.後続のルールに番号を割り当てる場合は、現在のACL内の最大ルール番号よりも大きく、ステップの整数倍の最小整数をルール番号として使用します.たとえばACLにはルールrule 5とrule 12が含まれており、ACLのデフォルトステップ長は5であり、12より大きく5の倍数の最小整数は15であるため、システムが新しい構成に割り当てたルールの番号は15である.
≪インスタンス|Instance|emdw≫
[S1]acl 3002 //  ACL 3002
[S1-acl-adv-3002]step 3 //     3
[S1-acl-adv-3002]rule permit ip source 192.168.1.0 0.0.0.255//  192.168.1.0   
[S1-acl-adv-3002]rule permit ip source 192.168.2.0 0.0.0.255//  192.168.2.0   
[S1-acl-adv-3002]display  this //      
#
acl number 3002
 step 3
 rule 3 permit ip source 192.168.1.0 0.0.0.255
 rule 6 permit ip source 192.168.2.0 0.0.0.255
#
return	
[S1-acl-adv-3002]rule 7 permit ip source 192.168.3.0 0.0.0.255 //         7   
[S1-acl-adv-3002]display  this 
#
acl number 3002
 step 3
 rule 3 permit ip source 192.168.1.0 0.0.0.255
 rule 6 permit ip source 192.168.2.0 0.0.0.255
 rule 7 permit ip source 192.168.3.0 0.0.0.255
#
return
[S1-acl-adv-3002]rule permit  ip source 192.168.4.0 0.0.0.255//       ,      
[S1-acl-adv-3002]display  this 
#
acl number 3002
 step 3
 rule 3 permit ip source 192.168.1.0 0.0.0.255
 rule 6 permit ip source 192.168.2.0 0.0.0.255
 rule 7 permit ip source 192.168.3.0 0.0.0.255
 rule 9 permit ip source 192.168.4.0 0.0.0.255 //      ,       9
//  9>7, 9 3    
#
return
[S1-acl-adv-3002]

基本ACL 6とアドバンスドACL 6ではステップ長設定はサポートされておらず、デフォルトのステップ長は1です.
ステップの役割
ステップ長を設定する役割は、古いルールの間に新しいルールを挿入するのを容易にすることです.
1つのACLには、rule 5、rule 10、rule 15の3つのルールが含まれており、ステップ長は5であると仮定します.
rule 5 deny source 10.1.1.1 0  //     IP   10.1.1.1                        
rule 10 deny source 10.1.1.2 0 //     IP   10.1.1.2                         
rule 15 permit source 10.1.1.0 0.0.0.255 //     IP   10.1.1.0/24         

ソースIPアドレスが10.1.1.3のメッセージも拒否された場合、どのように処理しますか?ACLマッチングメッセージは「ヒットするとマッチングを停止する」という原則に従うため、rule 15ルールで定義されたセグメントは10.1.1.3を含むため、ソースIPアドレスが10.1.1.3のメッセージはrule 15にヒットして通過を許可する.ソースIPアドレスが10.1.1.3のメッセージも拒否されるためには、rule 15の前に新しいルールrule 11を挿入しなければならない.これにより、ソースIPアドレスが10.1.1.3のメッセージは、rule 11に先にヒットしたためにシステムに拒否される.このACLのルール間隔が1(rule 1、rule 2、rule 3...)の場合、新しいルールを挿入したい場合は、既存のルールを削除してから新しいルールを構成し、最後に前に削除したルールを再構成するしかありません.
rule 5 deny source 10.1.1.1 0  //     IP   10.1.1.1                        
rule 10 deny source 10.1.1.2 0 //     IP   10.1.1.2                         
rule 11 deny source 10.1.1.3 0 //     IP   10.1.1.3       
rule 15 permit source 10.1.1.0 0.0.0.255 //     IP   10.1.1.0         

 
インスタンス構成
もし私たちの元のスイッチの中にACLルールがあるとしたら、step(ステップ長)は2に設定されています.その結果、ルールを挿入する必要があり、結果が足りない場合は、直接コマンドstep X(Xはアラビア数字を表します)でステップ長を変更することができます.
変更前:
# 
acl number 3000
 step 2
 rule 2 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.19 0
 rule 4 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.21 0
 rule 5 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.22 0
 rule 6 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.31 0
 rule 8 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.88 0
 rule 10 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.85 0
 rule 12 deny ip source 192.168.230.0 0.0.0.255 destination 192.168.251.0 0.0.0.255
 rule 14 deny ip source 192.168.230.0 0.0.0.255 destination 192.168.250.0 0.0.0.255
 rule 16 deny ip source 192.168.230.0 0.0.0.255 destination 192.168.249.0 0.0.0.255
#

コマンドを使用して、直接変更します.
[HY-CORE-A-acl-ipv4-adv-3000]step 5 //  ACL3000    5

変更後:
#
acl number 3000
 rule 0 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.19 0
 rule 5 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.21 0
 rule 10 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.22 0
 rule 15 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.31 0
 rule 20 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.88 0
 rule 25 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.85 0
 rule 30 deny ip source 192.168.230.0 0.0.0.255 destination 192.168.251.0 0.0.0.255
 rule 35 deny ip source 192.168.230.0 0.0.0.255 destination 192.168.250.0 0.0.0.255
 rule 40 deny ip source 192.168.230.0 0.0.0.255 destination 192.168.249.0 0.0.0.255
#

これによりaclに新しいルールを挿入することができます.