用户不能在同一单板上同时设置组播抑制功能和广播抑制功能,即一旦某单板有端口设置为
广播抑制,该单板其他端口也不能设置组播抑制,反之亦然。
广播抑制,该单板其他端口也不能设置组播抑制,反之亦然。
只有单板所有端口均设置为广播抑制或组播抑制的默认抑制值时,端口才能修改为不同抑制
功能的其他抑制值。
功能的其他抑制值。
在组播抑制的时候也会同时抑制广播报文,而广播报文抑制的时候不会同时抑制组播报文。
单板使能广播/组播抑制功能时,每个端口可针对该功能设置各自的抑制值。
缺省情况下,广播抑制率是50%,组播抑制率是100%
Trunk 端口和Hybird 端口之间不能直接切换,只能先设置为Access端口,再设置为其他类型
的端口
的端口
本端hybrid 端口或Trunk 端口缺省VLAN ID 和相连的对端交换机的Hybrid 端口或Trunk 端口
的缺省VLAN ID 必须一致,否则报文将不能正确传输。缺省情况下为VLAN 1。
的缺省VLAN ID 必须一致,否则报文将不能正确传输。缺省情况下为VLAN 1。
[Quidway-GigabitEthernet]port trunk pvid vlan
[Quidway-GigabitEthernet]port hybrid pvid vlan
[Quidway-GigabitEthernet]port hybrid pvid vlan
[Quidway-GigabitEthernet]vlan-*** enable
[Quidway-GigabitEthernet]undo vlan-***
[Quidway-GigabitEthernet]undo vlan-***
如果端口的GVRP, STP 或 802.1x 协议中的任何一个已经启动,则不允许
用户开启端口的VLAN ××× 特性。
用户开启端口的VLAN ××× 特性。
[Quidway-GigabitEthernet]vlan filter enable
[Quidway-GigabitEthernet]vlan filter disable
[Quidway-GigabitEthernet]copy configuration source {interface-type
interface-number | aggregation-group agg-id} destination {interfac
e-list | aggregation-group agg-id}
interface-number | aggregation-group agg-id} destination {interfac
e-list | aggregation-group agg-id}
[Quidway-GigabitEthernet]link-status hold hold-time
[Quidway-GigabitEthernet]undo link-status hold
[Quidway-GigabitEthernet]undo link-status hold
[Quidway-GigabitEthernet]loopback
[Quidway-GigabitEthernet]undo loopback
[Quidway-GigabitEthernet]undo loopback
[Quidway]display interface [interface-type][interface-number]
[Quidway]display port trunk
[Quidway]display port hybrid
[Quidway]display counters [rate][inbound][outbound] interface
[Quidway]reset counters interface [inteface-type][interface-n
muber]
[Quidway]display jumboframe configuration
[Qudiway]display counters
[Quidway]display port trunk
[Quidway]display port hybrid
[Quidway]display counters [rate][inbound][outbound] interface
[Quidway]reset counters interface [inteface-type][interface-n
muber]
[Quidway]display jumboframe configuration
[Qudiway]display counters
在使用了802.1X后,接口的统计信息不能被清除。
<Quidway>system-view
[Quidway]interface GigabitEtherent 2/1/1
[Quidway-GigabitEthernet2/1/1]port link-type trunk
[Quidway-GigabitEthernet2/1/1]port trunk permit vlan 2 6 to 50 100
[Quidway-GigabitEthernet2/1/1]quit
[Quidway]vlan 100
[Quidway-vlan100]quit
[Quidway]interface GigabitEtherent 2/1/1
[Quidway-GigabitEthernet2/1/1]port trunk pvid vlan 100
[Quidway]interface GigabitEtherent 2/1/1
[Quidway-GigabitEthernet2/1/1]port link-type trunk
[Quidway-GigabitEthernet2/1/1]port trunk permit vlan 2 6 to 50 100
[Quidway-GigabitEthernet2/1/1]quit
[Quidway]vlan 100
[Quidway-vlan100]quit
[Quidway]interface GigabitEtherent 2/1/1
[Quidway-GigabitEthernet2/1/1]port trunk pvid vlan 100
“深度优先”的原则是指:把指定数据包范围最小的语句排在最前面。这一点可以
通过比较地址的通配符来实现,通配符越小,则指定的主机的范围就越小。比如
129.102.1.1 0.0.0.0 指定了一台主机:129.102.1.1,而129.102.1.1 0.0.255.255 则
指定了一个网段:129.102.1.1~129.102.255.255。显然前者在访问控制规则中排
在前面。具体标准为:对于基本访问控制规则的语句,直接比较源地址通配符,通
配符相同的则按配置顺序;对于基于接口过滤的访问控制规则,配置了“any”的
规则排在后面,其它按配置顺序;对于高级访问控制规则,首先比较源地址通配符,
相同的再比较目的地址通配符,仍相同的则比较端口号的范围,范围小的排在前面,
如果端口号范围也相同则按配置顺序。
通过比较地址的通配符来实现,通配符越小,则指定的主机的范围就越小。比如
129.102.1.1 0.0.0.0 指定了一台主机:129.102.1.1,而129.102.1.1 0.0.255.255 则
指定了一个网段:129.102.1.1~129.102.255.255。显然前者在访问控制规则中排
在前面。具体标准为:对于基本访问控制规则的语句,直接比较源地址通配符,通
配符相同的则按配置顺序;对于基于接口过滤的访问控制规则,配置了“any”的
规则排在后面,其它按配置顺序;对于高级访问控制规则,首先比较源地址通配符,
相同的再比较目的地址通配符,仍相同的则比较端口号的范围,范围小的排在前面,
如果端口号范围也相同则按配置顺序。
S3000-EI 系列交换机不支持定义了如下TCP/UDP 端口操作符的规则下发到硬件:
gt(大于)、lt(小于)、neq (不等于)、range(在某个范围内)。
gt(大于)、lt(小于)、neq (不等于)、range(在某个范围内)。
同一个ACL 配置了多个子规则时,硬件匹配顺序是后下发的子
规则将会先匹配。
规则将会先匹配。
基于数字标识的基本访问控制列表 2000-2999
基于数字标识的高级访问控制列表 3000-3999
基于数字标识的二层访问控制列表 4000-4999
基于数字标识的用户自定义型访问控制列表 5000-5999
一条访问控制列表可以定义的子规则 0-127
基于数字标识的高级访问控制列表 3000-3999
基于数字标识的二层访问控制列表 4000-4999
基于数字标识的用户自定义型访问控制列表 5000-5999
一条访问控制列表可以定义的子规则 0-127
如果定义ACL 时不使用参数time-range,则此访问控制列表激活后将在任何时
刻都生效。
在定义ACL 的子规则时,用户可以多次使用rule 命令给同一个访问控制列表定
义多条规则。
如果ACL 用于直接下发到硬件中对转发数据进行过滤和流分类,则用户定义的
子规则匹配顺序将不起作用。如果ACL 用于对由软件处理的报文进行过滤和流
分类,用户指定的匹配顺序将会有效,并且用户一旦指定某一条访问控制列表子
规则的匹配顺序,就不能再更改该顺序。
缺省情况下,访问控制列表中子规则的匹配顺序为按用户配置顺序进行匹配。
刻都生效。
在定义ACL 的子规则时,用户可以多次使用rule 命令给同一个访问控制列表定
义多条规则。
如果ACL 用于直接下发到硬件中对转发数据进行过滤和流分类,则用户定义的
子规则匹配顺序将不起作用。如果ACL 用于对由软件处理的报文进行过滤和流
分类,用户指定的匹配顺序将会有效,并且用户一旦指定某一条访问控制列表子
规则的匹配顺序,就不能再更改该顺序。
缺省情况下,访问控制列表中子规则的匹配顺序为按用户配置顺序进行匹配。
周期时间段: 采用每周周几的形式
绝对时间段: 采用从开始时间到结束时间的形式
绝对时间段: 采用从开始时间到结束时间的形式
time-range {start-time to end-time days-of-the-week
[from start-time start-date][to end-time start-date]|
from start-time start-date [to end-time end-date] |
to end-time end-date}
[from start-time start-date][to end-time start-date]|
from start-time start-date [to end-time end-date] |
to end-time end-date}
start-time to end-time day-of-the-week 共同定义了周期时间段,start-time
start-date 和 end-time end-date 共同定义了绝对时间段。
start-date 和 end-time end-date 共同定义了绝对时间段。
如果只定义了一个周期时间段,则只有进入该周期时间段内,该时间段才处于
激活状态。
激活状态。
如果定义了多个周期时间段(使用同一个时间段名称进行多次配置),则只有
在进入这些周期时段内,这些时间段才处于激活状态。
在进入这些周期时段内,这些时间段才处于激活状态。
如果只定义了一个绝对时间段,则只有进入该绝对时间段内,该时间段才处于
激活状态。
激活状态。
如果定义了多个绝对时间段(使用同一个时间段名称进行了多次配置),则只有
进入这些绝对时间段,这些绝对时间段才处于激活状态。
进入这些绝对时间段,这些绝对时间段才处于激活状态。
如果同时定义了一个绝对时间段和一个周期时间段,则只有同时满足绝对时间段
和周期时间段,该时间段才处于激活状态。
和周期时间段,该时间段才处于激活状态。
如果同时定义了多个绝对时间段和多个周期时间段,则只有同时满足多个绝对
时间段和多个周期时间段时,该时间段才进入激活状态。
时间段和多个周期时间段时,该时间段才进入激活状态。
如果定义ACL时不时用关键字参数time-range,则此ACL激活后将在任何时刻
都生效。
都生效。
在定义ACL的子规则时,用户可以多次使用rule命令给同一个ACL定义多条子
规则
规则
如果用户需要替换一条已存在的子规则,建议先使用undo 命令删除原有规则,
然后再重新配置
然后再重新配置
acl {number acl-number | name acl-name basci}
[match-order {config | auto}]
[match-order {config | auto}]
rule[rule-id]{permit | deny}[source{source-addr
wildcard| any} |fragment|time-range name|
***-instance instance-name]*
wildcard| any} |fragment|time-range name|
***-instance instance-name]*
undo acl {number acl-number|name acl-name|all}
undo rule rule-id[soure|fragment|time-range|
***-instance instance-name]*
***-instance instance-name]*
acl{number acl-number|name acl-name advanced}
[match-order {config|auto}]
[match-order {config|auto}]
rule[rule-id]{permit|deny}protocol[source(source-addr
wildcard|any}][destination{dest-addr wildcard|any}]
[source-port operator port1[port2][destination-port
operator port1 [port2][icmp-type type code][established
{match-any|match-all}{[urg][ack][psh][rst][syn]|[fin]
wildcard|any}][destination{dest-addr wildcard|any}]
[source-port operator port1[port2][destination-port
operator port1 [port2][icmp-type type code][established
{match-any|match-all}{[urg][ack][psh][rst][syn]|[fin]
acl{number acl-number|name acl-name link}
[match-order {config|auto}]
[match-order {config|auto}]
packet-filter inbound link-group {acl-number |acl-name}
[rule rule [system-index index]]
[rule rule [system-index index]]
packet-filter inbound ip-group {acl-number |ack-name}
[rule rule[system-index index][slot slot-id]
[rule rule[system-index index][slot slot-id]
reset acl counter {all | acl-number |acl-name}
display acl remaining entry slot slot-id
display acl config {all | acl-number | acl-name}
display time-range {all |name}
转载于:https://blog.51cto.com/3layer/46508
国际化的使用)
)
论文笔记)