华为中端产品QACL配置案例集(4)

　　acl number 101

　　rule 0 deny ip source 192.168.21.0 0.0.0.255 time-range stunet

　　rule 1 permit ip source 192.168.21.0 0.0.0.255 destination 192.168.31.0 0.0.0.255

　　rule 2 permit ip source 192.168.21.10 0

　　rule 3 permit ip source 192.168.21.9 0

　　acl number 102

　　rule 0 deny ip source 192.168.22.0 0.0.0.255 time-range stunet

　　rule 1 permit ip source 192.168.22.0 0.0.0.255 destination 192.168.31.0 0.0.0.255

　　rule 2 permit ip source 192.168.22.10 0

　　rule 3 permit ip source 192.168.22.9 0

　　time-range stunet 08:00 to 22:00 working-day

　　#

　　【问题分析】

　　防火墙可以配置时间段，这样规则就可以在一段规定的时间内发生作用。这是对防火墙功能的进一步提升。

　　交换机的时间段功能是通过软件中的定时器在规定的时间段范围内下发到硬件中来完成的，在其他时间硬件中没有配置带有时间段的acl。当在规定的时间段之外，软件会将规则从硬件中删除，到达时间后再次下发。但这里会存在一个问题，就是我们已经默认后下发的规则优先，这就人为的提供了带有时间段的规则的优先级。以至使得其它不带有时间段的规则失效。上面的问题就是一例。

　　【解决办法】

　　将同一条acl的所有规则都配上相同的时间段。

　　用户反映，配置了访问控制列表后不知道如何查看是否有匹配上该规则的机器。应该如何查看呢？

　　【解答】

　　可以配置流统计来实现这个功能。命令为接口模式下配置traffic-statics。

　　然后使用dis qos-interface命令来显示统计结果。

　　但可是如果我配置的规则是DENY则不能下发。

　　【案例9】

　　可以通过下面的命令来选择使用L2或L3模式的流分类规则。

　　请在全局配置模式下进行下列配置。

　　表1-7 选择ACL模式

　　操作 命令

　　选择ACL模式 acl mode { l2 | l3 }

　　那么是说

　　缺省情况下，选择使用L3流分类规则。

　　那么是说5516不能同时使用2层和3层的acl吗？

　　换句话说是不是不能同时起用二层和三层的规则，如果已经配置了三层规则，又想再配置二层规则，唯一的方法就是把三层规则取消掉？

　　【解答】

　　5516和6506不能同时使用2层和3层的acl。

　　不需要把三层规则取消掉，只需选择生效模式，硬件会自动选择二层或三层规则进行匹配。

　　【案例10】

　　路由器下面接6506，6506下面挂两个vlan，一边是学生，一边是老师，老师和学生的带宽无论什么时候都各是2M。也就是基于vlan的限速。

　　如果参看配置手册中下面的配置，实现起来应该没有什么问题吧。

　　(1) 定义工资服务器向外发送的流量

　　[Quidway] acl name traffic-of-payserver advanced ip

　　# 定义traffic-of-payserver这条高级访问控制列表的规则。

　　[Quidway-acl-adv-traffic-of-payserver] rule 1 permit ip source 129.110.1.2 0.0.0.0 destination any

　　(2) 对访问工资服务器的流量进行流量限制

　　# 限制工资服务器向外发送报文的平均速率为20M。

　　[Quidway-Ethernet1/0/1] traffic-limit inbound ip-group traffic-of-payserver 20