ACL技术总结

1、ACL的全称是访问控制列表，本质上是定义一组策略，以便指导报文在交换机内部的转发行为。

2、要配置策略，首先要明确ACL应用的对象，可以是针对端口，也可以是针对特殊的一条流。

针对端口，就是指端口上收发的所有报文。

针对一条流，就是指符合特征的报文。

3、明确了对象后，需要明确策略的行为，即满足了条件后的报文，做什么动作。

动作可以是：限速、转发、丢弃、镜像、重定向、策略路由、修改优先级、修改VLAN ID、报文统计（流统）等。

4、策略都配置好之后，就需要把策略应用到端口上。

5、为了方便管理，根据报文的特征值的地方，对ACL的编号范围进行人为规定。

6、所有的动作可以如下：

7、配置举例：

# 定义基本ACL 2000，对源IP地址为2.1.1.1的报文进行分类。

<DeviceA> system-view

[DeviceA] acl number 2000

[DeviceA-acl-basic-2000] rule permit source 2.1.1.1 0

[DeviceA-acl-basic-2000] quit

# 定义基本ACL 2001，对源IP地址为2.1.1.2的报文进行分类。

[DeviceA] acl number 2001

[DeviceA-acl-basic-2001] rule permit source 2.1.1.2 0

[DeviceA-acl-basic-2001] quit

# 定义类classifier_1，匹配基本ACL 2000。

[DeviceA] traffic classifier classifier_1

[DeviceA-classifier-classifier_1] if-match acl 2000

[DeviceA-classifier-classifier_1] quit

# 定义类classifier_2，匹配基本ACL 2001。

[DeviceA] traffic classifier classifier_2

[DeviceA-classifier-classifier_2] if-match acl 2001

[DeviceA-classifier-classifier_2] quit

# 定义流行为behavior_1，动作为重定向至200.1.1.2。

[DeviceA] traffic behavior behavior_1

[DeviceA-behavior-behavior_1] redirect next-hop 200.1.1.2

[DeviceA-behavior-behavior_1] quit

# 定义流行为behavior_2，动作为重定向至201.1.1.2。

[DeviceA] traffic behavior behavior_2

[DeviceA-behavior-behavior_2] redirect next-hop 201.1.1.2

[DeviceA-behavior-behavior_2] quit

# 定义策略policy，为类classifier_1指定流行为behavior_1，为类classifier_2指定流行为behavior_2。

[DeviceA] qos policy policy

[DeviceA-qospolicy-policy] classifier classifier_1 behavior behavior_1

[DeviceA-qospolicy-policy] classifier classifier_2 behavior behavior_2

[DeviceA-qospolicy-policy] quit

# 将策略policy应用到端口GigabitEthernet 3/0/1的入方向上。

[DeviceA] interface GigabitEthernet 3/0/1

[DeviceA-GigabitEthernet 3/0/1] qos apply policy policy inbound