ACL配置(5)

any

mac-source mac-source-wildcard host mac-source

time-range time-range-name l2-action-group action-group-name egr-action-group action-group-name vfp-action-group action-group-name remark comment

任意源地址

源MAC地址及通配符 一个源MAC主机地址 指定规则生效的时间域。

指定规则匹配后采取的动作,作用于IN方向 指定规则匹配后采取的动作,作用于OUT方向 指定规则匹配后采取的动作,用于灵活QINQ的动作 配置一条注释。注释规则，不会参与规则的匹配，仅仅起到规则的注释和分隔作用。

【配置模式】全局配置模式

【缺省情况】没有配置任何访问表和规则。

no格式是删掉一条以数字命名的访问表，包含它里面的所有规则。 no access-list access-list-number ? mac access-list standard

创建一个MAC标准访问表，可以用数字命名，也可以是用户自定义名称，该命令将进入MAC标准访问表配置模式。

mac access-list standard { access-list-number | access-list-name }

语法

access-list-number access-list-name

【配置模式】全局配置模式

【缺省情况】没有配置任何访问表和规则。

no格式是删掉某个MAC标准访问表，包含它里面的所有规则。 no mac access-list standard { access-list-number | access-list-name } ? permit | deny

配置一条permit或deny的MAC标准访问表规则。

描述

MAC标准访问表的编号，范围<2001-3000>。 MAC标准访问表的名称，1～31个字符，区分大小写。

版权所有?2013，迈普通信技术股份有限公司，保留所有权利 .

???

[sequence] { permit | deny } {any | mac-source mac-source-wildcard | host mac-source} [time-range time-range-name]

[vfp-action-group

action-group-name]

[egr-action-group

action-group-name]

[l2-action-group action-group-name]

语法

sequence permit deny any

mac-source mac-source-wildcard host mac-source

time-range time-range-name l2-action-group action-group-name egr-action-group action-group-name vfp-action-group action-group-name 【配置模式】MAC标准访问表配置模式 【缺省情况】没有配置任何访问表和规则。

no格式是删除指定的规则，可以仅指定规则序号，也可以带上规则的内容。 no sequence

no [sequence] { permit | deny } {any | mac-source mac-source-wildcard | host mac-source} [time-range time-range-name]

[vfp-action-group

action-group-name]

[egr-action-group

action-group-name]

规则序号

如果条件匹配，就允许访问。 如果条件匹配，就拒绝访问。 任意源地址

源MAC地址及通配符 一个源MAC主机地址 指定规则生效的时间域。

指定规则匹配后采取的动作, 作用于IN方向 指定规则匹配后采取的动作,作用于OUT方向 指定规则匹配后采取的动作,用于灵活QINQ的动作

描述

[l2-action-group action-group-name]

? remark

配置一条注释，给访问表规则增加注释。 [sequence] remark comment

语法

sequence remark comment

规则序号

配置一条注释。注释规则，不会参与规则的匹配，仅

描述

版权所有?2013，迈普通信技术股份有限公司，保留所有权利 .

???

仅起到规则的注释和分隔作用。

【配置模式】MAC标准访问表配置模式 【缺省情况】没有配置任何访问表和规则。 no格式是删掉一条注释。 no sequence

no [sequence] remark comment

21.4.2 应用实例

配置MAC访问表2001，允许来至mac地址为0005.5d5e.4129的报文通过。

命令

描述

switch(config)# access-list 2001 permit host 配置一条MAC标准访问表规则，允许MAC源地0005.5d5e.4129 以上命令等价于：

命令

switch(config)# mac access-list standard 2001

描述

定义MAC访问表2001，进入MAC标准访问表配置模式

switch(config-std-mac-nacl)# 10 permit host 配置一条序号为10的MAC访问表规则，允许0005.5d5e.4129

switch(config-std-mac-nacl)# exit

MAC源地址0005.5d5e.4129的报文通过

址0005.5d5e.4129的报文通过

21.5 配置MAC扩展访问表

MAC扩展访问表可以根据以太报文的源MAC地址、目的MAC地址、802.1P优先级、VLAN ID、以太类型来制定规则，对数据包进行相应的分析处理。

21.5.1 基本指令描述

命令

描述

配置模式

版权所有?2013，迈普通信技术股份有限公司，保留所有权利 .

???

access-list

mac access-list extended sequence permit deny remark

show mac access-list ? access-list

定义一条以数字命名的MAC扩展访问表的规则。

access-list access-list-number { permit | deny } { any | mac-source mac-source-wildcard | host mac-source } { any | mac-destination mac-destination-wildcard | host mac-destination } [ether-type ether-protocol-type] [cos priority] [vlan-id vlan-id-number] [time-range time-range-name] [vfp-action-group action-group-name] [egr-action-group action-group-name] [l2-action-group action-group-name]

access-list access-list-number remark comment

语法

access-list access-list-number permit deny any

mac-source mac-source-wildcard host mac-source mac-destination mac-destination-wildcard host mac-destination vlan-id vlan-id-number cos priority

ether-type ether-protocol-type

一个目的MAC主机地址 报文的VLAN号，范围<1-4094> 报文带的802.1p值，范围<0-7>

以太类型，取值范围为0x0000-0xFFFF。常见的有： IP类型：0x0800 配置一条访问表规则

MAC扩展访问表的编号，范围<3001-4000>。 如果条件匹配，就允许访问。 如果条件匹配，就拒绝访问。 任意地址

源MAC地址及通配符 一个源MAC主机地址 目的MAC地址及通配符

描述

* 配置访问表

* 配置MAC扩展访问表

* 配置规则的序号，范围<1-2147483647>。 * 配置一条允许通过的规则 * 配置一条拒绝通过的规则 * 配置一条访问表注释 * 显示MAC访问表的配置情况

Config Config

config-ext-mac-nacl config-ext-mac-nacl config-ext-mac-nacl config-ext-mac-nacl 特权模式

版权所有?2013，迈普通信技术股份有限公司，保留所有权利 .

???

ARP类型 ：0x0806

l2-action-group action-group-name egr-action-group action-group-name vfp-action-group action-group-name remark comment

time-range time-range-name 【配置模式】全局配置模式

【缺省情况】没有配置任何访问表和规则。

no格式是删掉一条以数字命名的访问表，包含它里面的所有规则。 no access-list access-list-number ? mac access-list extended

创建一个MAC扩展访问表，可以用数字命名，也可以是用户自定义名称，该命令将进入MAC扩展访问表配置模式。

mac access-list extended { access-list-number | access-list-name }

语法

access-list-number access-list-name

【配置模式】全局配置模式

【缺省情况】没有配置任何访问表和规则。

no格式是删掉某个MAC扩展访问表，包含它里面的所有规则。 no mac access-list extended { access-list-number | access-list-name } ? permit | deny

配置一条permit或deny的MAC扩展访问表规则。

[sequence] { permit | deny } { any | mac-source mac-source-wildcard | host mac-source } { any | mac-destination mac-destination-wildcard | host mac-destination } [ether-type ether-protocol-type] [cos

版权所有?2013，迈普通信技术股份有限公司，保留所有权利 .

指定规则匹配后采取的动作,作用于IN方向 指定规则匹配后采取的动作,作用于OUT方向 指定规则匹配后采取的动作,用于灵活QINQ的动作 配置一条注释。注释规则，不会参与规则的匹配，仅仅起到规则的注释和分隔作用。 指定规则生效的时间域。

描述

MAC扩展访问表的编号，范围<3001-4000>。 访问表的名称，1～31个字符，区分大小写。

???