1 IPv4 ACL典型确立指引 1.1 奶妈论坛 通过基本IPv4 ACL结束报讳疾忌医滤典型确立指引（QoS计谋口头）

基本IPv4 ACL只左证源IP地址信息制定匹配端正奶妈论坛，对报文进行相应的分析处理。

基本IPv4 ACL的序号取值范围为2000～2999。

1.1.1  组网需求

图1-1 通过基本IPv4 ACL结束报讳疾忌医滤组网暗示图

 

Host A和Host B通过端口GigabitEthernet 1/0/1接入交换机，Host A的IP地址为10.1.1.1。条件确立基本IPv4 ACL，结束在每天8:30～18:00的本领段内，只允许Host A捕快HR部门的事业器，拆开其它的IP报文通过。

1.1.2  确立想路

关于数据包进行过滤的需求，不错通过QoS计谋中的filter动作来结束，即：对允许通过的报文剿袭filter permit的动作，而对拆开通过的报文剿袭filter deny的动作。

在本例中，允许通过的报文是单个主机，因此不错针对该主机的IP地址设定流分类端正，并使用filter permit动作允许该主机发送的报文通过。关于其余主机，不错用匹配恣意IP地址四肢流分类端正，并使用filter deny动作拆开这些主机发送的报文通过。

一个QoS计谋中不错确立多个流分类与流举止的配对，在诓骗QoS计谋时，这些配对的奏效端正与用户果然立端正疏通。左证本例中的需求，需要先确立允许单个主机的流分类与流举止的配对奶妈论坛，再确立拆开一说念主机的配对，然后将计谋在接入端口上进行诓骗，便不错结束组网需求。

1.1.3  适用家具、版块

表1-1 确立适用的家具与软件版块关系

家具

软件版块

S7500E系列以太网交换机

Release 6100系列，Release 6300系列，Release 6600系列，Release 6610系列

S7600系列以太网交换机

Release 6600系列，Release 6610系列

S5800&S5820X系列以太网交换机

Release 1110，Release 1211

CE3000-32F以太网交换机

丁香成人网

Release 1211

S5810系列以太网交换机

Release 1102

S5500-EI系列以太网交换机

Release 2202，Release 2208

S5500-EI-D系列以太网交换机

Release 2208

S5500-SI系列以太网交换机

Release 2202 ，Release 2208

S5120-EI系列以太网交换机

Release 2202，Release 2208

S5120-EI-D系列以太网交换机

Release 1505

S5120-SI系列以太网交换机

Release 1101，Release 1505

S5120-LI系列以太网交换机

Release 1107

E552&E528以太网交换机

Release 1103

S3610&S5510系列以太网交换机

Release 5301，Release 5303，Release 5306，Release 5309

S3500-EA系列以太网交换机

Release 5303，Release 5309

S3100V2-EI系列以太网交换机

Release 5103

 

1.1.4  确立经由和确认

# 界说周期本领段working_time，本领范围为每天的8:30～18:00。

<Switch> system-view

[Switch] time-range working_time 8:30 to 18:00 daily

# 界说基本IPv4 ACL 2000，确立匹配源IP地址为10.1.1.1的捕快端正。

[Switch] acl number 2000

[Switch-acl-basic-2000] rule permit source 10.1.1.1 0 time-range working_time

[Switch-acl-basic-2000] quit

# 界说基本IPv4 ACL 2001，确立匹配源IP地址为恣意地址的捕快端正。

[Switch] acl number 2001

[Switch-acl-basic-2001] rule deny source any time-range working_time

[Switch-acl-basic-2001] quit

 

# 界说类classifier_hostA，对匹配基本IPv4 ACL 2000的报文进行分类。

[Switch] traffic classifier classifier_hostA

[Switch-classifier-classifier_hostA] if-match acl 2000

[Switch-classifier-classifier_hostA] quit

# 界说流举止behavior_hostA，动四肢允许报文通过。

[Switch] traffic behavior behavior_hostA

[Switch-behavior-behavior_hostA] filter permit

[Switch-behavior-behavior_hostA] quit

# 界说类classifier_hostB，对匹配基本IPv4 ACL 2001的报文进行分类。

[Switch] traffic classifier classifier_hostB

[Switch-classifier-classifier_hostB] if-match acl 2001

[Switch-classifier-classifier_hostB] quit

# 界说流举止behavior_hostB，动四肢拆开报文通过。

[Switch] traffic behavior behavior_hostB

[Switch-behavior-behavior_hostB] filter deny

[Switch-behavior-behavior_hostB] quit

# 界说计谋policy_host，为类classifier_hostA指定流举止behavior_hostA，为类classifier_hostB指定流举止behavior_hostB。其中filter permit和filter deny动作必须确立到不同的classifier-behavior中，况且在确立经由中需要忽闪两者的先后端正，以保证诓骗计谋后本色的运行成果与用户果然立意图一致。

[Switch] qos policy policy_host

[Switch-qospolicy-policy_host] classifier classifier_hostA behavior behavior_hostA

[Switch-qospolicy-policy_host] classifier classifier_hostB behavior behavior_hostB

[Switch-qospolicy-policy_host] quit

# 将计谋policy_host诓骗到端口GigabitEthernet 1/0/1的入见地。

[Switch] interface GigabitEthernet 1/0/1

[Switch-GigabitEthernet1/0/1] qos apply policy policy_host inbound

1.1.5  竣工确立

#

traffic classifier classifier_hostB operator and

 if-match acl 2001

traffic classifier classifier_hostA operator and

 if-match acl 2000

#

traffic behavior behavior_hostB

 filter deny

traffic behavior behavior_hostA

 filter permit

#

qos policy policy_host

 classifier classifier_hostA behavior behavior_hostA

 classifier classifier_hostB behavior behavior_hostB

#

 time-range working_time 08:30 to 18:00 daily

#

acl number 2000

 rule 0 permit source 10.1.1.1 0 time-range working_time

acl number 2001

 rule 0 deny source any time-range working_time

#

interface GigabitEthernet1/0/1

 qos apply policy policy_host inbound

#

1.1.6  确立忽闪事项

需要忽闪的是：

l              当基本IPv4 ACL的匹配端正为config时，用户不错修改该ACL中的任何一条照旧存在的端正，在修改ACL中的某条文定时，该端正中莫得修改到的部分仍旧保合手本来的情景；当ACL的匹配端正为auto时，用户弗成修改该ACL中的任何一条照旧存在的端正，不然系统会教唆失实信息。

l              新创建或修改后的端正弗成和照旧存在的端正疏通，不然会导致创建或修改不成功，系统会教唆该端正照旧存在。

l              当基本IPv4 ACL的匹配端正为auto时，新创建的端正将按照“深度优先”的原则插入到已有的端正中，然而通盘端正对应的编号不会转变。

l              当使用基本IPv4 ACL四肢流分类端正的QoS计谋被诓骗之后，用户将弗成对ACL作念任何修改，必须领先取消QoS计谋的诓骗，才能修改该ACL。

1.2  通过基本IPv4 ACL结束报讳疾忌医滤典型确立指引（包过滤口头） 1.2.1  组网需求

图1-2 通过基本IPv4 ACL结束报讳疾忌医滤组网暗示图

 

Host A和Host B通过端口GigabitEthernet 1/0/1接入交换机，Host A的IP地址为10.1.1.1。条件确立基本IPv4 ACL，结束在每天8:00～18:00的本领段内，只允许Host A捕快HR部门的事业器，拆开其它的IP报文通过。

1.2.2  确立想路

对报讳疾忌医滤的需求，不错通过包过滤果然立口头来结束。联系于使用QoS计谋果然立口头，包过滤在ACL端正果然立上与前者富饶疏通，但关于过滤动作果然立更简便。而且在功能奏效后，还不错随时修改ACL的端正（修改成果将径直奏效），使得包过滤的诓骗愈加活泼。

与QoS计谋口头不同的是，在使用包过滤功能时，ACL端正中的permit和deny参数是有用的，即不错用这两个参数来限定是否允许报文通过。

1.2.3  适用家具、版块

表1-2 确立适用的家具与软件版块关系

家具

软件版块

S7500E系列以太网交换机

Release 6610系列

S7600系列以太网交换机

Release 6610系列

S5800&S5820X系列以太网交换机

Release 1110，Release 1211

CE3000-32F以太网交换机

Release 1211

S5810系列以太网交换机

Release 1102

S5500-EI系列以太网交换机

Release 2202，Release 2208

S5500-EI-D系列以太网交换机

Release 2208

S5500-SI系列以太网交换机

Release 2202，Release 2208

S5120-EI系列以太网交换机

Release 2202，Release 2208

S5120-EI-D系列以太网交换机

Release 1505

S5120-SI系列以太网交换机

Release 1101，Release 1505

S5120-LI系列以太网交换机

Release 1107

E552&E528以太网交换机

Release 1103

S3100V2-EI系列以太网交换机

Release 5103

 

1.2.4  确立经由和确认

# 界说周期本领段working_time，本领范围为每天的8:30～18:00。

<Switch> system-view

[Switch] time-range working_time 8:30 to 18:00 daily

# 界说基本IPv4 ACL 2000，确立两条文定，分歧为允许源IP地址为10.1.1.1的报文通过以及拆开源IP地址为恣意地址的报文通过。

[Switch] acl number 2000

[Switch-acl-basic-2000] rule permit source 10.1.1.1 0 time-range working_time

[Switch-acl-basic-2000] rule deny source any time-range working_time

[Switch-acl-basic-2000] quit

# 确立包过滤功能，诓骗基本IPv4 ACL 2000对端口GigabitEthernet1/0/1收到的IPv4报文进行过滤。

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] packet-filter 2000 inbound

1.2.5  竣工确立

#

 time-range working_time 08:00 to 18:00 daily

#

acl number 2000

 rule 0 permit source 10.1.1.1 0 time-range working_time

 rule 5 deny source any time-range working_time

#

interface GigabitEthernet1/0/1

 packet-filter 2000 inbound

#

1.2.6  确立忽闪事项

l              当基本IPv4 ACL的匹配端正为config时，用户不错修改该ACL中的任何一条照旧存在的端正，在修改ACL中的某条文定时，该端正中莫得修改到的部分仍旧保合手本来的情景；当ACL的匹配端正为auto时，用户弗成修改该ACL中的任何一条照旧存在的端正，不然系统会教唆失实信息。

l              新创建或修改后的端正弗成和照旧存在的端正疏通，不然会导致创建或修改不成功，系统会教唆该端正照旧存在。

l              当基本IPv4 ACL的匹配端正为auto时，新创建的端正将按照“深度优先”的原则插入到已有的端正中，然而通盘端正对应的编号不会转变。

l              当基本IPv4 ACL被用于包过滤之后，用户不错随时剪辑（加多、删除、修改）ACL中的过滤端正，修改后的过滤端正将坐窝奏效。

1.3  在开导贬责功能中诓骗基本IPv4 ACL 1.3.1  组网需求

图1-3 在开导贬责功能中诓骗基本IPv4 ACL组网暗示图

 

某公司的收罗组网如图1-3所示，现条件：

l              Switch在职责本领（8:30～18:00）不错接受贬责网监职责站（Host A）的Telnet捕快，在其余本领则不接受任何Telnet登录苦求。

l              Switch四肢TFTP客户端，只可从11.1.1.100的事业器上赢得文献，以保证开导上不会保存未授权的违法文献。

l              Switch四肢FTP事业器端，只可接受网监职责站的登录苦求。

1.3.2  确立想路

在本例中，要结束Telnet/FTP/TFTP功能的捕快限制，不错为各功能分歧创建ACL，并在每个ACL中确立两条文定，分歧为允许特定源IP地址的数据和拆开所稀有据，然后使用各个功能中相应的敕令将ACL进行援用即可。

1.3.3  适用家具、版块

表1-3 确立适用的家具与软件版块关系

家具

软件版块

S7500E系列以太网交换机

Release 6100系列，Release 6300系列，Release 6600系列，Release 6610系列

S7600系列以太网交换机

Release 6600系列，Release 6610系列

S5800&S5820X系列以太网交换机

Release 1110，Release 1211

CE3000-32F以太网交换机

Release 1211

S5810系列以太网交换机

Release 1102

S5500-EI系列以太网交换机

Release 2202，Release 2208

S5500-EI-D系列以太网交换机

Release 2208

S5500-SI系列以太网交换机

Release 2202 ，Release 2208

S5120-EI系列以太网交换机

Release 2202，Release 2208

S5120-EI-D系列以太网交换机

Release 1505

S5120-SI系列以太网交换机

Release 1101，Release 1505

S5120-LI系列以太网交换机

Release 1107

E552&E528以太网交换机

Release 1103

S3610&S5510系列以太网交换机

Release 5301，Release 5303，Release 5306，Release 5309

S3500-EA系列以太网交换机

Release 5303，Release 5309

S3100V2系列以太网交换机

Release 5103

E126B以太网交换机

Release 5103

 

1.3.4  确立经由和确认

l              对Telnet登录苦求的限制

# 界说周期本领段telnet，本领范围为每个职责日的8:30～18:00。

<Switch> system-view

[Switch] time-range telnet 8:30 to 18:00 working-day

# 界说基本IPv4 ACL 2000，确立两条文定，分歧为允许源IP地址为10.1.3.1的报文在职责本领通过以及拆开源IP地址为恣意地址的报文通过。

[Switch] acl number 2000

[Switch-acl-basic-2000] rule permit source 10.1.3.1 0 time-range telnet

[Switch-acl-basic-2000] quit

# 在通盘Telnet用户界面下诓骗ACL 2000，见地为入见地，清楚对登录到本开导的Telnet苦求进行限制。

[Switch] user-interface vty 0 4

[Switch-ui-vty0-4] acl 2000 inbound

l              对TFTP事业器的捕快限制

# 界说基本IPv4 ACL 2001，确立两条文定，分歧为允许源IP地址为11.1.1.100的报文通过以及拆开源IP地址为恣意地址的报文通过。

[Switch] acl number 2001

[Switch-acl-basic-2001] rule permit source 11.1.1.100 0

[Switch-acl-basic-2001] quit

# 确立开导只使用ACL来限制可捕快的TFTP事业器开导。

[Switch] tftp-server acl 2001

l              对FTP登录苦求的限制

# 界说基本IPv4 ACL 2002，确立两条文定，分歧为允许源IP地址为10.1.3.1的报文通过以及拆开源IP地址为恣意地址的报文通过。

[Switch] acl number 2002

[Switch-acl-basic-2001] rule permit source 10.1.3.1 0

[Switch-acl-basic-2001] quit

# 开启开导的FTP事业器功能。

[Switch] ftp server enable

# 确立开导使用ACL 2002来限制FTP登录苦求。

[Switch] ftp server acl 2002

1.3.5  竣工确立

#

 ftp server enable

 ftp server acl 2002

#

 time-range telnet 08:30 to 18:00 working-day 

#

acl number 2000

 rule 0 permit source 10.1.3.1 0 time-range telnet

acl number 2001

 rule 0 permit source 11.1.1.100 0

acl number 2002

 rule 0 permit source 10.1.3.1 0

#

 tftp-server acl 2001

#

user-interface vty 0 4

 acl 2000 inbound       

1.3.6  确立忽闪事项

l              当基本IPv4 ACL的匹配端正为config时，用户不错修改该ACL中的任何一条照旧存在的端正，在修改ACL中的某条文定时，该端正中莫得修改到的部分仍旧保合手本来的情景；当ACL的匹配端正为auto时，用户弗成修改该ACL中的任何一条照旧存在的端正，不然系统会教唆失实信息。

l              新创建或修改后的端正弗成和照旧存在的端正疏通，不然会导致创建或修改不成功，系统会教唆该端正照旧存在。

l              当基本IPv4 ACL的匹配端正为auto时，新创建的端正将按照“深度优先”的原则插入到已有的端正中，然而通盘端正对应的编号不会转变。

l              当基本IPv4 ACL在开导贬责功能中被诓骗后，用户不错随时剪辑（加多、删除、修改）ACL中的过滤端正，修改后的过滤端正将坐窝奏效。

l              在开导贬责功能中诓骗基本IPv4 ACL时，淌若报文莫得与ACL中的端正匹配，交换机对此类报文剿袭的动四肢deny，即拆开报文通过。因此，无需确立拆开报文的端正。

1.4  通过高档IPv4 ACL结束报讳疾忌医滤典型确立指引（QoS计谋口头）

高档IPv4 ACL与基本IPv4 ACL的区别不仅是大概匹配报文的IP地址，而且不错通过指定TCP/UDP端标语来匹配不同表层公约的报文。通过高档IPv4 ACL，用户不错结束更为活泼的报讳疾忌医滤功能。

高档IPv4 ACL的序号取值范围为3000～3999。

1.4.1  组网需求

图1-4 通过基本IPv4 ACL结束报讳疾忌医滤组网暗示图

 

某公司里面收罗如图1-4所示，现条件对各部门上网流量以及对工资事业器的捕快作念以下限制：

l              在上班本领（8:30～18:00）仅允许研发司理的主机上网，其余研发部主机惟有鄙人班本领才大概上网。

l              不管任何本领，惟有贬责部的HostA（10.1.3.1）才大概捕快工资事业器（11.1.1.100），其余任何主机均弗成捕快。

1.4.2  确立想路

关于数据包进行过滤的需求，不错通过QoS计谋中的filter动作来结束，即：对允许通过的报文剿袭filter permit的动作，而对拆开通过的报文剿袭filter deny的动作。

在对研发部的HTTP报文限制需求中，允许通过的是单个主机的HTTP报文，因此不错使用高档IPv4 ACL来匹配由该主机发出的HTTP报文（TCP琢磨端口80），并将该ACL四肢流分类端正，再使用filter permit动作允许该主机发送的报文通过。关于其余主机，再创建高档IPv4 ACL来匹配恣意IP地址发出的HTTP报文，并四肢流分类端正，再使用filter deny动作拆开这些主机发送的HTTP报文通过。

关于工资事业器的捕快需求相对简便，只需要先创建匹配源地址为Host A，琢磨地址为工资事业器的流分类，并进行filter permit动作；再创建匹配恣意源地址，琢磨地址为工资事业器的流分类，再进行filter deny动作。

一个QoS计谋中不错确立多个流分类与流举止的配对，在诓骗QoS计谋时，这些配对的奏效端正与用户果然立端正疏通。左证本例中的需求，需要先确立允许单个主机的流分类与流举止的配对，再确立拆开一说念主机的配对，然后将计谋在接入端口上进行诓骗，便不错结束组网需求。

1.4.3  适用家具、版块

表1-4 确立适用的家具与软件版块关系

家具

软件版块

S7500E系列以太网交换机

Release 6100系列，Release 6300系列，Release 6600系列，Release 6610系列

S7600系列以太网交换机

Release 6600系列，Release 6610系列

S5800&S5820X系列以太网交换机

Release 1110，Release 1211

CE3000-32F以太网交换机

Release 1211

S5810系列以太网交换机

Release 1102

S5500-EI系列以太网交换机

Release 2202，Release 2208

S5500-EI-D系列以太网交换机

Release 2208

S5500-SI系列以太网交换机

Release 2202 ，Release 2208

S5120-EI系列以太网交换机

Release 2202，Release 2208

S5120-EI-D系列以太网交换机

Release 1505

S5120-SI系列以太网交换机

Release 1101，Release 1505

S5120-LI系列以太网交换机

Release 1107

E552&E528以太网交换机

Release 1103

S3610&S5510系列以太网交换机

Release 5301，Release 5303，Release 5306，Release 5309

S3500-EA系列以太网交换机

Release 5303，Release 5309

S3100V2-EI系列以太网交换机

Release 5103

 

1.4.4  确立经由和确认

l              对研发部HTTP流量的限制

# 界说周期本领段working_time，本领范围为职责日的8:30～18:00。

<SwitchA> system-view

[SwitchA] time-range working_time 8:30 to 18:00 working-day

# 界说高档IPv4 ACL 3000，确立在本领段working_time内匹配源IP地址为10.1.4.3发送的HTTP报文的捕快端正。

[SwitchA] acl number 3000

[SwitchA-acl-adv-3000] rule permit tcp destination-port eq 80 source 10.1.4.3 0 time-range working_time

[SwitchA-acl-adv-3000] quit

# 界说高档IPv4 ACL 3001，确立在本领段working_time内匹配源IP地址为恣意地址的HTTP报文的捕快端正。

[SwitchA] acl number 3001

[SwitchA-acl-adv-3001] rule deny tcp destination-port eq 80 source any time-range working_time

[SwitchA-acl-adv-3001] quit

 

# 界说类rd_manager_http，对匹配高档IPv4 ACL 3000的报文进行分类。

[SwitchA] traffic classifier rd_manager_http

[SwitchA-classifier-rd_manager_http] if-match acl 3000

[SwitchA-classifier-rd_manager_http] quit

# 界说流举止rd_manager_http，动四肢允许报文通过。

[SwitchA] traffic behavior rd_manager_http

[SwitchA-behavior-rd_manager_http] filter permit

[SwitchA-behavior-rd_manager_http] quit

# 界说类rd_http，对匹配高档IPv4 ACL 3001的报文进行分类。

[SwitchA] traffic classifier rd_http

[SwitchA-classifier-rd_http] if-match acl 3001

[SwitchA-classifier-rd_http] quit

# 界说流举止rd_http，动四肢拆开报文通过。

[SwitchA] traffic behavior rd_http

[SwitchA-behavior-rd_http] filter deny

[SwitchA-behavior-rd_http] quit

# 界说计谋rd_http，为类rd_manager_http指定流举止rd_manager_http，为类rd_http指定流举止rd_http，况且在确立经由中需要忽闪两者的先后端正，以保证诓骗计谋后本色的运行成果与用户果然立意图一致。

[SwitchA] qos policy rd_http

[SwitchA-qospolicy-rd_http] classifier rd_manager_http behavior rd_manager_http

[SwitchA-qospolicy-rd_http] classifier rd_http behavior rd_http

[SwitchA-qospolicy-rd_http] quit

# 将计谋rd_http诓骗到端口GigabitEthernet 1/0/1的入见地。

[SwitchA] interface GigabitEthernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] qos apply policy rd_http inbound

[SwitchA-GigabitEthernet1/0/1] quit

l              对工资事业器的捕快限制

# 界说高档IPv4 ACL 3002，匹配源地址为Host A（10.1.3.1），琢磨地址为工资事业器（11.1.1.100）的报文。

[SwitchA] acl number 3002

[SwitchA-acl-adv-3002] rule permit ip destination 11.1.1.100 0 source 10.1.3.1 0

[SwitchA-acl-adv-3002] quit

# 界说高档IPv4 ACL 3003，匹配源地址为恣意地址，琢磨地址为工资事业器的报文。

[SwitchA] acl number 3003

[SwitchA-acl-adv-3003] rule permit ip destination 11.1.1.100 0 source any

[SwitchA-acl-adv-3003] quit

# 界说流分类host_a，匹配端正为ACL 3002。

[SwitchA] traffic classifier host_a

[SwitchA-classifier-host_a] if-match acl 3002

[SwitchA-classifier-host_a] quit

# 界说流举止host_a，动四肢允许通过。

[SwitchA] traffic behavior host_a

[SwitchA-behavior-host_a] filter permit

[SwitchA-behavior-host_a] quit

# 界说流分类except_host_a，匹配端正为ACL 3003。

[SwitchA] traffic classifier except_host_a

[SwitchA-classifier-except_host_a] if-match acl 3003

[SwitchA-classifier-except_host_a] quit

# 界说流举止except_host_a，动四肢拆开通过。

[SwitchA] traffic behavior except_host_a

[SwitchA-behavior-except_host_a] filter deny

[SwitchA-behavior-except_host_a] quit

# 界说计谋for_salary_server，为类host_a指定流举止host_a，为类except_host_a指定流举止except_host_a，况且在确立经由中需要忽闪两者的先后端正，以保证诓骗计谋后本色的运行成果与用户果然立意图一致。

[SwitchA] qos policy for_salary_server

[SwitchA-qospolicy-for_salary_server] classifier host_a behavior host_a

[SwitchA-qospolicy-for_salary_server] classifier except_host_a behavior except_host_a

[SwitchA-qospolicy-for_salary_server] quit

# 将计谋for_salary_server诓骗到端口GigabitEthernet 1/0/2的入见地。

[SwitchA] interface GigabitEthernet 1/0/2

[SwitchA-GigabitEthernet1/0/2] qos apply policy for_salary_server inbound

[SwitchA-GigabitEthernet1/0/2] quit

1.4.5  竣工确立

#

 time-range working_time 08:30 to 18:00 working-day

#

acl number 3000

 rule 0 permit tcp source 10.1.4.3 0 destination-port eq www time-range working_time

acl number 3001

 rule 0 deny tcp destination-port eq www time-range working_time

acl number 3002

 rule 0 permit ip source 10.1.3.1 0 destination 11.1.1.100 0

acl number 3003

 rule 0 permit ip destination 11.1.1.100 0

#

traffic classifier rd_manager_http operator and

 if-match acl 3000

traffic classifier host_a operator and

 if-match acl 3002

traffic classifier except_host_a operator and

 if-match acl 3003

traffic classifier rd_http operator and

 if-match acl 3001

#

traffic behavior rd_manager_http

 filter permit

traffic behavior host_a

 filter permit

traffic behavior except_host_a

 filter deny

traffic behavior rd_http

 filter deny

#

qos policy rd_http

 classifier rd_manager_http behavior rd_manager_http

 classifier rd_http behavior rd_http

qos policy for_salary_server

 classifier host_a behavior host_a

 classifier except_host_a behavior except_host_a

#

interface GigabitEthernet1/0/1

 qos apply policy rd_http inbound

#

interface GigabitEthernet1/0/2

 qos apply policy for_salary_server inbound

1.4.6  确立忽闪事项

需要忽闪的是：

l              当高档IPv4 ACL的匹配端正为config时，用户不错修改该ACL中的任何一条照旧存在的端正，在修改ACL中的某条文定时，该端正中莫得修改到的部分仍旧保合手本来的情景；当ACL的匹配端正为auto时，用户弗成修改该ACL中的任何一条照旧存在的端正，不然系统会教唆失实信息。

l              新创建或修改后的端正弗成和照旧存在的端正疏通，不然会导致创建或修改不成功，系统会教唆该端正照旧存在。

l              当高档IPv4 ACL的匹配端正为auto时，新创建的端正将按照“深度优先”的原则插入到已有的端正中，然而通盘端正对应的编号不会转变。

l              当使用高档IPv4 ACL四肢流分类端正的QoS计谋被诓骗之后，用户将弗成对ACL作念任何修改，必须领先取消QoS计谋的诓骗，才能修改该ACL。

1.5  通过高档IPv4 ACL结束报讳疾忌医滤典型确立指引（包过滤口头）

高档IPv4 ACL与基本IPv4 ACL的区别不仅是大概匹配报文的IP地址，而且不错通过指定TCP/UDP端标语来匹配不同表层公约的报文。通过高档IPv4 ACL，用户不错结束更为活泼的报讳疾忌医滤功能。

高档IPv4 ACL的序号取值范围为3000～3999。

1.5.1  组网需求

图1-5 通过基本IPv4 ACL结束报讳疾忌医滤组网暗示图

 

某公司里面收罗如图1-4所示，现条件对各部门上网流量以及对工资事业器的捕快作念以下限制：

l              在上班本领（8:30～18:00）仅允许研发司理的主机上网，其余研发部主机惟有鄙人班本领才大概上网。

l              不管任何本领，惟有贬责部的HostA（10.1.3.1）才大概捕快工资事业器（11.1.1.100），其余任何主机均弗成捕快。

1.5.2  确立想路

对报讳疾忌医滤的需求，不错通过包过滤果然立口头来结束。联系于使用QoS计谋果然立口头，包过滤在ACL端正果然立上与前者富饶疏通，但关于过滤动作果然立更简便。而且在功能奏效后，还不错随时修改ACL的端正（修改成果将径直奏效），使得包过滤的诓骗愈加活泼。

与QoS计谋口头不同的是，在使用包过滤功能时，ACL端正中的permit和deny参数是有用的，即不错用这两个参数来限定是否允许报文通过。

1.5.3  适用家具、版块

表1-5 确立适用的家具与软件版块关系

家具

软件版块

S7500E系列以太网交换机

Release 6610系列

S7600系列以太网交换机

Release 6610系列

S5800&S5820X系列以太网交换机

Release 1110，Release 1211

CE3000-32F以太网交换机

Release 1211

S5810系列以太网交换机

Release 1102

S5500-EI系列以太网交换机

Release 2202，Release 2208

S5500-EI-D系列以太网交换机

Release 2208

S5500-SI系列以太网交换机

Release 2202，Release 2208

S5120-EI系列以太网交换机

Release 2202，Release 2208

S5120-EI-D系列以太网交换机

Release 1505

S5120-SI系列以太网交换机

Release 1101，Release 1505

S5120-LI系列以太网交换机

Release 1107

E552&E528以太网交换机

Release 1103

S3100V2-EI系列以太网交换机

Release 5103

 

1.5.4  确立经由和确认

l              对研发部HTTP流量的限制

# 界说周期本领段working_time，本领范围为职责日的8:30～18:00。

<SwitchA> system-view

[SwitchA] time-range working_time 8:30 to 18:00 working-day

# 界说高档IPv4 ACL 3000，确立在本领段working_time内允许源IP地址为10.1.4.3发送的HTTP报文通过的捕快端正。

[SwitchA] acl number 3000

[SwitchA-acl-adv-3000] rule permit tcp destination-port eq 80 source 10.1.4.3 0 time-range working_time

# 在ACL3000内，链接界说在本领段working_time内拆开源IP地址为恣意地址的HTTP报文通过的捕快端正。

[SwitchA-acl-adv-3000] rule deny tcp destination-port eq 80 source any time-range working_time

[SwitchA-acl-adv-3000] quit

# 在端口GigabitEthernet 1/0/1的入见地确立包过滤功能，使用ACL 3000对报文进行过滤。

[SwitchA] interface GigabitEthernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] packet-filter 3000 inbound

[SwitchA-GigabitEthernet1/0/1] quit

l              对工资事业器的捕快限制

# 界说高档IPv4 ACL 3001，允许源地址为Host A（10.1.3.1），琢磨地址为工资事业器（11.1.1.100）的报文通过。

[SwitchA] acl number 3001

[SwitchA-acl-adv-3001] rule permit ip destination 11.1.1.100 0 source 10.1.3.1 0

# 在ACL 3001中界说另一条文定，拆开源地址为恣意地址，琢磨地址为工资事业器的报文通过。

[SwitchA-acl-adv-3001] rule deny ip destination 11.1.1.100 0 source any

[SwitchA-acl-adv-3001] quit

# 在端口GigabitEthernet 1/0/2的入见地确立包过滤功能，使用ACL3001对报文进行过滤。

[SwitchA] interface GigabitEthernet 1/0/2

[SwitchA-GigabitEthernet1/0/2] packet-filter 3001 inbound

1.5.5  竣工确立

#

 time-range working_time 08:30 to 18:00 working-day

#

acl number 3000

 rule 0 permit tcp source 10.1.4.3 0 destination-port eq www time-range working_time

 rule 0 deny tcp destination-port eq www time-range working_time

acl number 3001

 rule 0 permit ip source 10.1.3.1 0 destination 11.1.1.100 0

 rule 0 permit ip destination 11.1.1.100 0

#

interface GigabitEthernet1/0/1

 packet-filter 3000 inbound

#

interface GigabitEthernet1/0/2

 packet-filter 3001 inbound

1.5.6  确立忽闪事项

l              当高档IPv4 ACL的匹配端正为config时，用户不错修改该ACL中的任何一条照旧存在的端正，在修改ACL中的某条文定时，该端正中莫得修改到的部分仍旧保合手本来的情景；当ACL的匹配端正为auto时，用户弗成修改该ACL中的任何一条照旧存在的端正，不然系统会教唆失实信息。

l              新创建或修改后的端正弗成和照旧存在的端正疏通，不然会导致创建或修改不成功，系统会教唆该端正照旧存在。

l              当高档IPv4 ACL的匹配端正为auto时，新创建的端正将按照“深度优先”的原则插入到已有的端正中，然而通盘端正对应的编号不会转变。

l              当高档IPv4 ACL被用于包过滤之后，用户不错随时剪辑（加多、删除、修改）ACL中的过滤端正，修改后的过滤端正将坐窝奏效。

1.6  通过二层ACL结束报讳疾忌医滤典型确立指引（QoS计谋口头）

二层ACL左证报文的源MAC地址、琢磨MAC地址、802.1p优先级、二层公约类型等二层信息制定匹配端正，对报文进行相应的分析处理。

二层ACL的序号取值范围为4000～4999。

1.6.1  组网图

图1-6 确立二层ACL组网图

 

1.6.2  诓骗条件

研发部和贬责部中均部署了收罗视频开导，这些视频开导的MAC地址为000f-e2xx-xxxx，现条件限制这些开导仅有每天的8:30到18:00才大概向外网发送数据。

1.6.3  确立想路

在受限开导的IP地址不定时，不错通过MAC地址来进行匹配；而关于具有疏通MAC地址前缀的多台开导，也不错通过MAC地址掩码的口头来进行同期匹配。在本例中，只需要通过MAC地址掩码来匹配前缀为000f-e2的开导，即可限制通盘视频开导的数据发送。联系于匹配源IP地址的口头，匹配MAC地址显得更为简便和准确。

完成ACL的界说之后，只需要在QoS计谋的流分类中进行援用，并配以流量过滤的流举止，就不错对匹配ACL的流量剿袭拆开或允许通过的动作。

1.6.4  适用家具、版块

表1-6 确立适用的家具与软件版块关系

家具

软件版块

S7500E系列以太网交换机

Release 6100系列，Release 6300系列，Release 6600系列，Release 6610系列

S7600系列以太网交换机

Release 6600系列，Release 6610系列

S5800&S5820X系列以太网交换机

Release 1110，Release 1211

CE3000-32F以太网交换机

Release 1211

S5810系列以太网交换机

Release 1102

S5500-EI系列以太网交换机

Release 2202，Release 2208

S5500-EI-D系列以太网交换机

Release 2208

S5500-SI系列以太网交换机

Release 2202 ，Release 2208

S5120-EI系列以太网交换机

Release 2202，Release 2208

S5120-EI-D系列以太网交换机

Release 1505

S5120-SI系列以太网交换机

Release 1101，Release 1505

S5120-LI系列以太网交换机

Release 1107

E552&E528以太网交换机

Release 1103

S3610&S5510系列以太网交换机

Release 5301，Release 5303，Release 5306，Release 5309

S3500-EA系列以太网交换机

Release 5303，Release 5309

S3100V2-EI系列以太网交换机

Release 5103

 

1.6.5  确立经由和确认

# 定两个周期本领段time1和time2，本领范围分歧为每天的0:00～8:30和18:00～24:00。

<Switch> system-view

[Switch] time-range time1 0:00 to 8:30 daily

[Switch] time-range time1 18:00 to 24:00 daily

# 创建二层ACL 4000，并界说两条文定，分歧为在time1和time2本领段内源MAC地址前缀为000f-e2的通盘报文。

[Switch] acl number 4000

[Switch-acl-ethernetframe-4000] rule deny source-mac 000f-e200-0000 ffff-ff00-0000 time-range time1

[Switch-acl-ethernetframe-4000] rule deny source-mac 000f-e200-0000 ffff-ff00-0000 time-range time2

[Switch-acl-ethernetframe-4000] quit

 

# 界说类video_device，对匹配二层ACL 4000的报文进行分类。

[Switch] traffic classifier video_device

[Switch-classifier-video_device] if-match acl 4000

[Switch-classifier-video_device] quit

# 界说流举止video_device，动四肢拆开报文通过。

[Switch] traffic behavior video_device

[Switch-behavior-video_device] filter deny

[Switch-behavior-video_device] quit

# 界说计谋video_device，为类video_device指定流举止video_device。

[Switch] qos policy video_device

[Switch-qospolicy-video_device] classifier video_device behavior video_device

[Switch-qospolicy-video_device] quit

# 将计谋video_device诓骗到端口GigabitEthernet 1/0/1。

[Switch] interface GigabitEthernet 1/0/1

[Switch-GigabitEthernet1/0/1] qos apply policy video_device inbound

1.6.6  竣工确立

#

 time-range time1 00:00 to 08:30 daily

 time-range time1 18:00 to 24:00 daily  

#

acl number 4000

 rule 0 deny source-mac 000f-e200-0000 ffff-ff00-0000 time-range time1

 rule 5 deny source-mac 000f-e200-0000 ffff-ff00-0000 time-range time2

#

traffic classifier video_device operator and

 if-match acl 4000

#

traffic behavior video_device

 filter deny

#

qos policy video_device

 classifier video_device behavior video_device

#

interface GigabitEthernet1/0/1

 qos apply policy video_device inbound

1.6.7  确立忽闪事项

需要忽闪的是：

l              当ACL的匹配端正为config时，用户不错修改该ACL中的任何一条照旧存在的端正，在修改ACL中的某条文定时，该端正中莫得修改到的部分仍旧保合手本来的情景；当ACL的匹配端正为auto时，用户弗成修改该ACL中的任何一条照旧存在的端正，不然系统会教唆失实信息。

l              新创建或修改后的端正弗成和照旧存在的端正疏通，不然会导致创建或修改不成功，系统会教唆该端正照旧存在。

l              当ACL的匹配端正为auto时，新创建的端正将按照“深度优先”的原则插入到已有的端正中，然而通盘端正对应的编号不会转变。

l              当二层ACL被QoS计谋援用对报文进行流分类时，ACL端正中界说的动作（deny或permit）不起作用，交换机对匹配此ACL的报文剿袭的动作由QoS计谋中流举止界说的动作决定。

l              当二层ACL被QoS计谋援用对报文进行流分类时，不缓助确立lsap参数。

1.7  通过二层ACL结束报讳疾忌医滤典型确立指引（包过滤口头）

二层ACL左证报文的源MAC地址、琢磨MAC地址、802.1p优先级、二层公约类型等二层信息制定匹配端正，对报文进行相应的分析处理。

二层ACL的序号取值范围为4000～4999。

1.7.1  组网图

图1-7 确立二层ACL组网图

 

1.7.2  诓骗条件

研发部和贬责部中均部署了收罗视频开导，这些视频开导的MAC地址为000f-e2xx-xxxx，现条件限制这些开导仅有每天的8:30到18:00才大概向外网发送数据。

1.7.3  确立想路

在受限开导的IP地址不定时，不错通过MAC地址来进行匹配；而关于具有疏通MAC地址前缀的多台开导，也不错通过MAC地址掩码的口头来进行同期匹配。在本例中，只需要通过MAC地址掩码来匹配前缀为000f-e2的开导，即可限制通盘视频开导的数据发送。联系于匹配源IP地址的口头，匹配MAC地址显得更为简便和准确。

与QoS计谋口头不同，包过滤口头只需要在packet-filter敕令中援用ACL编号，就不错左证ACL端正对报文进行拆开或允许通过的动作，省去流举止、流分类的制定和关系。

1.7.4  适用家具、版块

表1-7 确立适用的家具与软件版块关系

家具

软件版块

S7500E系列以太网交换机

Release 6610系列

S7600系列以太网交换机

Release 6610系列

S5800&S5820X系列以太网交换机

Release 1110，Release 1211

CE3000-32F以太网交换机

Release 1211

S5810系列以太网交换机

Release 1102

S5500-EI系列以太网交换机

Release 2202，Release 2208

S5500-EI-D系列以太网交换机

Release 2208

S5500-SI系列以太网交换机

Release 2202，Release 2208

S5120-EI系列以太网交换机

Release 2202，Release 2208

S5120-EI-D系列以太网交换机

Release 1505

S5120-SI系列以太网交换机

Release 1101，Release 1505

S5120-LI系列以太网交换机

Release 1107

E552&E528以太网交换机

Release 1103

S3100V2-EI系列以太网交换机

Release 5103

 

1.7.5  确立经由和确认

# 定两个周期本领段time1和time2，本领范围分歧为每天的0:00～8:30和18:00～24:00。

<Switch> system-view

[Switch] time-range time1 0:00 to 8:30 daily

[Switch] time-range time1 18:00 to 24:00 daily

# 创建二层ACL 4000，并界说两条文定，分歧为在time1和time2本领段内拆开源MAC地址前缀为000f-e2的通盘报文通过。

[Switch] acl number 4000

[Switch-acl-ethernetframe-4000] rule deny source-mac 000f-e200-0000 ffff-ff00-0000 time-range time1

[Switch-acl-ethernetframe-4000] rule deny source-mac 000f-e200-0000 ffff-ff00-0000 time-range time2

[Switch-acl-ethernetframe-4000] quit

# 在端口GigabitEthernet 1/0/1的入见地确立包过滤功能，援用ACL 4000对报文进行过滤。

[Switch] interface GigabitEthernet 1/0/1

[Switch-GigabitEthernet1/0/1] packet-filter 4000 inbound

1.7.6  竣工确立

#

 time-range time1 00:00 to 08:30 daily

 time-range time1 18:00 to 24:00 daily  

#

acl number 4000

 rule 0 deny source-mac 000f-e200-0000 ffff-ff00-0000 time-range time1

 rule 5 deny source-mac 000f-e200-0000 ffff-ff00-0000 time-range time2

#

interface GigabitEthernet1/0/1

 packet-filter 4000 inbound

1.7.7  确立忽闪事项

l              当二层ACL的匹配端正为config时，用户不错修改该ACL中的任何一条照旧存在的端正，在修改ACL中的某条文定时，该端正中莫得修改到的部分仍旧保合手本来的情景；当ACL的匹配端正为auto时，用户弗成修改该ACL中的任何一条照旧存在的端正，不然系统会教唆失实信息。

l              新创建或修改后的端正弗成和照旧存在的端正疏通，不然会导致创建或修改不成功，系统会教唆该端正照旧存在。

l              当二层ACL的匹配端正为auto时，新创建的端正将按照“深度优先”的原则插入到已有的端正中，然而通盘端正对应的编号不会转变。

l              当二层ACL被用于包过滤之后，用户不错随时剪辑（加多、删除、修改）ACL中的过滤端正，修改后的过滤端正将坐窝奏效。

1.8  用户自界说ACL和流模板典型确立指引

用户自界说ACL不错以报文的二层报文头、IP报文头等为基准，指定从第几个字节开动与掩码进行“与”操作，将从报文索取出来的字符串和用户界说的字符串进行比拟，找到匹配的报文，然后进行相应的处理。

用户自界说ACL的序号取值范围为5000～5999。

流模板的主邀功能是对硬件下发的ACL端正中所能包含的信息进行限制。在以太网端口下发的ACL端正中包含的信息必须是该端口下发流模板中界说信息的子集。比如，流模板界说了源IP地址、琢磨IP地址、源TCP端口、琢磨TCP端口等限制，惟有在上述范围内的ACL端正不错正确下发到硬件中，用于QoS等功能；不然ACL端正将弗成下发到硬件中，导致QoS功能弗成援用此ACL端正。

1.8.1  组网图

图1-8 确立用户自界说ACL和流模板组网图

 

1.8.2  诓骗条件

公司企业网通过交换机Switch结束互连，收罗环境描述如下：

l              Host A的IP地址为192.168.0.2，通过端口Ethernet 1/0/1接入交换机；Host B的IP地址为192.168.0.3，通过端口Ethernet 1/0/2接入交换机。

l              Host A和Host B属于VLAN 1，二者的网关齐缔造为192.168.0.1（交换机VLAN 1接口的IP地址），通过交换机捕快Internet。

条件确立用户自界说ACL，对Host A发出的仿冒网关IP地址的ARP报文进行过滤。

1.8.3  适用家具、版块

表1-8 确立适用的家具与软件版块关系

家具

软件版块

硬件版块

S3610&S5510系列以太网交换机

Release 5301，Release 5303，Release 5306，Release 5309软件版块

全系列硬件版块

S3500-EA系列以太网交换机

Release 5303，Release 5309软件版块

全系列硬件版块

 

1.8.4  确立经由和确认

# 界说用户自界说ACL 5000，确立源IP地址为192.168.0.1的ARP报文的捕快端正。其中L2清楚从报文的二层头开动规划，0806为ARP公约号，ffff为掩码，12为以太网报文中公约类型字段的偏移量，start清楚从报文的报文头开动规划，c0a80001为192.168.0.1的十六进制神情，28为ARP报文中源IP地址字段的偏移量。

<Switch> system-view

[Switch] acl number 5000

[Switch-acl-user-5000] rule deny L2 0806 ffff 12 start c0a80001 ffffffff 28

# 界说彭胀型流模板ftemplate_hostA。

[Switch] flow-template ftemplate_hostA extend L2 12 2 start 28 4

# 在端口Ethernet 1/0/1上诓骗流模板ftemplate_hostA。

[Switch] interface Ethernet 1/0/1

[Switch-Ethernet1/0/1] flow-template ftemplate_hostA

[Switch-Ethernet1/0/1] quit

# 界说类classifier_hostA，对匹配用户自界说ACL 5000的报文进行分类。

[Switch] traffic classifier classifier_hostA

[Switch-classifier-classifier_hostA] if-match acl 5000

[Switch-classifier-classifier_hostA] quit

# 界说流举止behavior_hostA，动四肢拆开报文通过。

[Switch] traffic behavior behavior_hostA

[Switch-behavior-behavior_hostA] filter deny

[Switch-behavior-behavior_hostA] quit

# 界说计谋policy_hostA，为类classifier_hostA指定流举止behavior_hostA。

[Switch] qos policy policy_hostA

[Switch-qospolicy-policy_hostA] classifier classifier_hostA behavior behavior_hostA

[Switch-qospolicy-policy_hostA] quit

# 将计谋policy_hostA诓骗到端口Ethernet 1/0/1。

[Switch] interface Ethernet 1/0/1

[Switch-Ethernet1/0/1] qos apply policy policy_hostA inbound

1.8.5  竣工确立

#

 flow-template ftemplate_hostA extend start 28 4 l2 12 2

#

traffic classifier classifier_hostA operator and

 if-match acl 5000

#

traffic behavior behavior_hostA

 filter deny

#

qos policy policy_hostA

 classifier classifier_hostA behavior behavior_hostA

#

acl number 5000

 rule 0 deny start c0a80001 ffffffff 28 l2 0806 ffff 12

#

interface Ethernet1/0/1

 flow-template ftemplate_hostA

 qos apply policy policy_hostA inbound

#

1.8.6  确立忽闪事项

在确立用户自界说ACL时需要忽闪：

l              和其他类型的IPv4 ACL不同，用户自界说ACL中包含的端正不缓助修改，只可进行障翳性确立。

l              新创建的端正弗成和照旧存在的端正疏通，不然会导致创建不成功。

l              用户自界说ACL的匹配端正为确立端正。

l              用户自界说ACL需要和彭胀型用户自界说流模板合营使用，用户自界说ACL中缔造的偏移范围必须包含在彭胀型用户自界说流模板中缔造的偏移范围之内，不然用户自界说ACL弗成成功诓骗。

l              当用户自界说ACL被QoS计谋援用对报文进行流分类时，ACL端正中界说的动作（deny或permit）不起作用，交换机对匹配此ACL的报文剿袭的动作由QoS计谋中流举止界说的动作决定。

在确立流模板时需要忽闪：

l              S3610&S5510系列以太网交换机缓助的流模板包括缺省流模板和用户自界说流模板。其中，用户自界说流模板又可分为圭臬型和彭胀型。

l              圭臬型用户自界说流模板包含了多少元素，与报文的各个字段相对应；彭胀型用户自界说流模板必须和用户自界说ACL合营使用，用户不错使用彭胀型用户自界说流模板和用户自界说ACL对报文的指定字段进行匹配。

l              流模板只对基于硬件处理的ACL有用，对基于软件处理的ACL不奏效。

l              在端口上诓骗用户自界说流模板之前，必须先确立一个用户自界说流模板；一个端口上只可诓骗一个流模板。

l              在端口上诓骗流模板时，请关闭如下功能：802.1x功能、集群功能（NDP、NTDP、HABP、Cluster）、DHCP Snooping、端口防止、MAC+IP+端口绑定、活泼QinQ、Voice VLAN，不然流模板将弗成成功诓骗。同期提议用户不要在端口上诓骗流模版后开启这些功能。

l              当用户在某一端口诓骗了彭胀型流模板后，弗成在此端口上诓骗包含基本或高档ACL的QoS计谋。

l              S3610&S5510系列以太网交换机最多缓助确立两个用户自界说流模板。在确立圭臬型用户自界说流模板时，每个模板中通盘的元素所占字节之和必须小于就是16个字节。各个元素所占的字节数如下表所示。

表1-9 各个元素所占字节数

称号

描述

流模板中占用的字节数

customer-cos

用户收罗802.1p优先级域

1字节

customer-vlan-id

用户收罗VLAN ID域

6字节

dip

IP报文头部的琢磨IP地址域

不占用字节

dipv6

IPv6报文头部的琢磨IPv6地址域

10字节

dmac

以太网报文头部的琢磨MAC地址域

6字节

dport

琢磨端口域

2字节

ethernet-protocol

以太网报文头部的公约类型域

4字节

dscp

IP报文头部的DSCP域

1字节

ip-precedence

IP报文头部的IP优先级域

tos

IP报文头部的ToS域

fragments

IP报文的分片美艳位域

不占用字节

icmp-code

ICMP代码域

2字节

icmp-type

ICMP类型域

2字节

icmpv6-code

ICMPv6 代码域

2字节

icmpv6-type

ICMPv6 类型域

2字节

ip-protocol

IP报文头部的公约类型域

不占用字节

ipv6-dscp

IPv6报文头部的DSCP域

1字节

ipv6-fragment

IPv6分片美艳域

不占用字节

ipv6-protocol

IPv6报文头部的公约类型域

不占用字节

service-cos

运营商收罗802.1p优先级域

不占用字节

service-vlan-id

运营商收罗VLAN ID域

不占用字节

sip

IP报文头部的源IP地址域

不占用字节

sipv6

IPv6 报文头部的源IPv6地址域

不占用字节

smac

以太网报文头部的源MAC地址域

6字节

sport

源端口域

2字节

tcp-flag

TCP报文头部的美艳域

1字节