ACLステップ設定【華為華三通用】
4548 ワード
ACLのステップ設定
ステップの意味
ステップ長とは、システムがACLルールに自動的に番号を割り当てたときの、隣接するルール番号ごとの差です.
方法
システムがACLの最初の手動で番号を指定していないルールに番号を割り当てる場合、ステップ値をルールの開始番号として使用します.後続のルールに番号を割り当てる場合は、現在のACL内の最大ルール番号よりも大きく、ステップの整数倍の最小整数をルール番号として使用します.たとえばACLにはルールrule 5とrule 12が含まれており、ACLのデフォルトステップ長は5であり、12より大きく5の倍数の最小整数は15であるため、システムが新しい構成に割り当てたルールの番号は15である.
≪インスタンス|Instance|emdw≫
基本ACL 6とアドバンスドACL 6ではステップ長設定はサポートされておらず、デフォルトのステップ長は1です.
ステップの役割
ステップ長を設定する役割は、古いルールの間に新しいルールを挿入するのを容易にすることです.
1つのACLには、rule 5、rule 10、rule 15の3つのルールが含まれており、ステップ長は5であると仮定します.
ソースIPアドレスが10.1.1.3のメッセージも拒否された場合、どのように処理しますか?ACLマッチングメッセージは「ヒットするとマッチングを停止する」という原則に従うため、rule 15ルールで定義されたセグメントは10.1.1.3を含むため、ソースIPアドレスが10.1.1.3のメッセージはrule 15にヒットして通過を許可する.ソースIPアドレスが10.1.1.3のメッセージも拒否されるためには、rule 15の前に新しいルールrule 11を挿入しなければならない.これにより、ソースIPアドレスが10.1.1.3のメッセージは、rule 11に先にヒットしたためにシステムに拒否される.このACLのルール間隔が1(rule 1、rule 2、rule 3...)の場合、新しいルールを挿入したい場合は、既存のルールを削除してから新しいルールを構成し、最後に前に削除したルールを再構成するしかありません.
インスタンス構成
もし私たちの元のスイッチの中にACLルールがあるとしたら、step(ステップ長)は2に設定されています.その結果、ルールを挿入する必要があり、結果が足りない場合は、直接コマンドstep X(Xはアラビア数字を表します)でステップ長を変更することができます.
変更前:
コマンドを使用して、直接変更します.
変更後:
これによりaclに新しいルールを挿入することができます.
ステップの意味
ステップ長とは、システムがACLルールに自動的に番号を割り当てたときの、隣接するルール番号ごとの差です.
方法
[S1]acl 3000 // ACL,3000
[S1-acl-adv-3000]step 5 // 5システムがACLの最初の手動で番号を指定していないルールに番号を割り当てる場合、ステップ値をルールの開始番号として使用します.後続のルールに番号を割り当てる場合は、現在のACL内の最大ルール番号よりも大きく、ステップの整数倍の最小整数をルール番号として使用します.たとえばACLにはルールrule 5とrule 12が含まれており、ACLのデフォルトステップ長は5であり、12より大きく5の倍数の最小整数は15であるため、システムが新しい構成に割り当てたルールの番号は15である.
≪インスタンス|Instance|emdw≫
[S1]acl 3002 // ACL 3002
[S1-acl-adv-3002]step 3 // 3
[S1-acl-adv-3002]rule permit ip source 192.168.1.0 0.0.0.255// 192.168.1.0
[S1-acl-adv-3002]rule permit ip source 192.168.2.0 0.0.0.255// 192.168.2.0
[S1-acl-adv-3002]display this //
#
acl number 3002
step 3
rule 3 permit ip source 192.168.1.0 0.0.0.255
rule 6 permit ip source 192.168.2.0 0.0.0.255
#
return
[S1-acl-adv-3002]rule 7 permit ip source 192.168.3.0 0.0.0.255 // 7
[S1-acl-adv-3002]display this
#
acl number 3002
step 3
rule 3 permit ip source 192.168.1.0 0.0.0.255
rule 6 permit ip source 192.168.2.0 0.0.0.255
rule 7 permit ip source 192.168.3.0 0.0.0.255
#
return
[S1-acl-adv-3002]rule permit ip source 192.168.4.0 0.0.0.255// ,
[S1-acl-adv-3002]display this
#
acl number 3002
step 3
rule 3 permit ip source 192.168.1.0 0.0.0.255
rule 6 permit ip source 192.168.2.0 0.0.0.255
rule 7 permit ip source 192.168.3.0 0.0.0.255
rule 9 permit ip source 192.168.4.0 0.0.0.255 // , 9
// 9>7, 9 3
#
return
[S1-acl-adv-3002]基本ACL 6とアドバンスドACL 6ではステップ長設定はサポートされておらず、デフォルトのステップ長は1です.
ステップの役割
ステップ長を設定する役割は、古いルールの間に新しいルールを挿入するのを容易にすることです.
1つのACLには、rule 5、rule 10、rule 15の3つのルールが含まれており、ステップ長は5であると仮定します.
rule 5 deny source 10.1.1.1 0 // IP 10.1.1.1
rule 10 deny source 10.1.1.2 0 // IP 10.1.1.2
rule 15 permit source 10.1.1.0 0.0.0.255 // IP 10.1.1.0/24 ソースIPアドレスが10.1.1.3のメッセージも拒否された場合、どのように処理しますか?ACLマッチングメッセージは「ヒットするとマッチングを停止する」という原則に従うため、rule 15ルールで定義されたセグメントは10.1.1.3を含むため、ソースIPアドレスが10.1.1.3のメッセージはrule 15にヒットして通過を許可する.ソースIPアドレスが10.1.1.3のメッセージも拒否されるためには、rule 15の前に新しいルールrule 11を挿入しなければならない.これにより、ソースIPアドレスが10.1.1.3のメッセージは、rule 11に先にヒットしたためにシステムに拒否される.このACLのルール間隔が1(rule 1、rule 2、rule 3...)の場合、新しいルールを挿入したい場合は、既存のルールを削除してから新しいルールを構成し、最後に前に削除したルールを再構成するしかありません.
rule 5 deny source 10.1.1.1 0 // IP 10.1.1.1
rule 10 deny source 10.1.1.2 0 // IP 10.1.1.2
rule 11 deny source 10.1.1.3 0 // IP 10.1.1.3
rule 15 permit source 10.1.1.0 0.0.0.255 // IP 10.1.1.0 インスタンス構成
もし私たちの元のスイッチの中にACLルールがあるとしたら、step(ステップ長)は2に設定されています.その結果、ルールを挿入する必要があり、結果が足りない場合は、直接コマンドstep X(Xはアラビア数字を表します)でステップ長を変更することができます.
変更前:
#
acl number 3000
step 2
rule 2 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.19 0
rule 4 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.21 0
rule 5 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.22 0
rule 6 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.31 0
rule 8 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.88 0
rule 10 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.85 0
rule 12 deny ip source 192.168.230.0 0.0.0.255 destination 192.168.251.0 0.0.0.255
rule 14 deny ip source 192.168.230.0 0.0.0.255 destination 192.168.250.0 0.0.0.255
rule 16 deny ip source 192.168.230.0 0.0.0.255 destination 192.168.249.0 0.0.0.255
#
コマンドを使用して、直接変更します.
[HY-CORE-A-acl-ipv4-adv-3000]step 5 // ACL3000 5変更後:
#
acl number 3000
rule 0 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.19 0
rule 5 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.21 0
rule 10 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.22 0
rule 15 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.31 0
rule 20 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.88 0
rule 25 permit ip source 192.168.230.0 0.0.0.255 destination 192.168.250.85 0
rule 30 deny ip source 192.168.230.0 0.0.0.255 destination 192.168.251.0 0.0.0.255
rule 35 deny ip source 192.168.230.0 0.0.0.255 destination 192.168.250.0 0.0.0.255
rule 40 deny ip source 192.168.230.0 0.0.0.255 destination 192.168.249.0 0.0.0.255
#これによりaclに新しいルールを挿入することができます.