这里的CLI以今天的DUT为准,可能跟思科的命令略有不同,不过大致思路还是相同的。
设置模式下以(conf)#表示,响应ACL模式下以(aclname)#表示,某个端口内的设置用(if-e0/1/1)表示
1、建立ACL:
(conf)#access-list standard/extender [aclname]
(aclname)# permit xxx
(aclname)# deny xxx
针对三层的ACL设置可以选择standard或者extender,处于三层,那么仅涉及到IP和MASK,不涉及MAC
2、启用ACL:
(conf/aclname)# access-group xx [aclname]
本次的DUT上是只能在全局配置模式下进行ACL启用,有些设备可以在ACL设置模式下启用
3、删除ACL
(conf)# no access-group xx [aclname]
(conf)# no access-list [aclname/all]
显示关闭ACL的启用,之后进行删除,有些时候需要一部分一部分打?进行查询,看是否能直接all删除
4、基于MAC的ACL设置
(conf)# access-list link [aclname]
(aclname)# ingress [MAC address] egress [MAC address]
部分厂家设备的基于MAC地址的ACL设置是通过命令mac access-lisk进行设置,但这家的是通过设置二层ACL进行MAC的定位
5、基于流量限速的ACL设置
(conf)# access-list ACL permit//建立ACL,不添加deny
(conf)# access-group xx
(conf)# rate-limit input/output xx
(if-e0/1/1)# rate-limit input xx
对流量限速是针对某条可连接的通路进行的,因此设置基本ACL的时候只设置permit而不设置deny,之后再进行这条通路上输入或者输出的流量限制,这里使用rate-limit限制速率,此DUT上,在全局设置模式中可设置输入和输出的限制,端口中仅可设置输入的限制。
测试中使用的是TestCenter,软件中为测试流量限速这块,在port load中进行流量设置,其他都是建立Block中即可设置,二层是MAC,三层是IP,可以添加TCP/UDP等头部及相关设置。
原文:http://qdxiaoliu.blog.51cto.com/8850100/1408718