文档介绍：i
目录
1 ACL 配置 1-1
ACL 简介 1-1
ACL 匹配顺序 1-1
ACL 在交换机上的应用方式 1-2
H3C S3100 系列以太网交换机支持的 ACL 1-2
ACL 配置 1果小的规则优
先；
z 如果各个规则中参数种类完全相同，则这些参数取值的累加和小的规则优先。
ACL在交换机上的应用方式
ACL直接下发到硬件的情况
ACL可以直接下发到交换机的硬件，用于数据转发过程中的报文过滤和流分类。此时一条 ACL
中多个规则的匹配顺序是由交换机的硬件决定的， 对于S3100系列以太网交换机，匹配顺序为先
下发的规则先匹配。
ACL直接下发到硬件的情况包括：通过 ACL过滤转发数据、配置 QoS功能时引用 ACL等。
ACL被上层软件引用的情况
ACL也可以用来对由软件处理的报文进行过滤和流分类。此时 ACL规则的匹配顺序有两种:
config :按用户配置的先后顺序。
auto :按“深度优先”的顺序。
用户可以在定义 ACL的时候指定一条 ACL中多个规则的匹配顺序。 用户一旦指定某一条 ACL的
匹配顺序，就不能再更改该顺序。只有把该 ACL中所有的规则全部删除后，才能重新指定其匹配
顺序。
ACL被上层软件引用的情况包括：路由策略引用 ACL、对Tel net、SNMP和WEB登录用户进行 控制时引用ACL等。
茗说明
z当ACL直接下发到硬件对报文进行过滤时，如果报文没有与 ACL中的规则匹配，此时设备对
此类报文采取的动作为 permit ，即允许报文通过。
z当ACL被上层软件引用，对 Tel net、SNMP和WEB登录用户进行控制时，如果报文没有与
ACL中的规则匹配，此时设备对此类报文采取的动作为 deny ,即拒绝报文通过。
1-3
H3C S3100系列以太网交换机支持的 ACL
S3100-SI系列以太网交换机支持的 ACL如下：
基本ACL
高级ACL
S3100-EI系列以太网交换机支持的 ACL如下:
z 基本ACL
z 高级ACL
z 二层 ACL
S3100-SI系列以太网交换机上定义的 ACL只能用于被上层软件引用的情况，不支持下发到硬件
中；S3100-EI系列以太网交换机上定义的 ACL支持被上层软件引用和下发到硬件。
ACL配置

用户可以根据时间段对报文进行控制。 ACL中的每条规则都可以选择一个时间段。如果规则引用
的时间段未配置，则系统给出提示信息，并允许这样的规则创建成功。但是规则不能立即生效，
直到用户配置了引用的时间段，并且系统时间在指定时间段范围内才能生效。
对时间段的配置有如下两种情况：
z 配置周期时间段：采用每个星期固定时间段的形式， 例如从星期一至星期五的 8:00至18:00。
z 配置绝对时间段：采用从某年某月某日某时某分起至某年某月某日某时某分结束的形式， 例
如从2000年1月28日15:00起至2004年1月28日15:00结束。
H3C S3100 系列以太网交换机支持的绝对时间段范围从 1970/1/1 00:00 起至2100/12/31 24:00
结束。
配置过程
表1-1配置时间段
配置步骤
命令
说明
进入系统视图
system-view
-
创建一个时间段
time-range time-name { start-time to end-time days-of-the-week [ from start-time start-date ] [ to end-time end-date ] | from start-time start-date [ to end-time end-date ] | to end-time end-date }
必选
需要注意的是：
1-4
z 如果一个时间段只定义了周期时间段， 则只有系统时钟在该周期时间段内， 该时间段才进入
激活状态。如果一个时间段下定义了多个周期时间段，则这些周期时间段之间是“或”的关 系。
z 如果一个时间段只定义了绝对时间段， 则只有系统时钟在该绝对时间段内， 该时间段才进入
激活状态。如果一个时间段下定义了多个绝对时间段，则这些绝对时间段之间是“或”的关 系。
如果一个时间段同时定义了绝对时间段和周期时间段， 则只有同时满足绝对时间段和周期时
间段的定义时，该时间段才进入激活状态。例如，一个时间段定义了绝对时间段：从 2004
年1月1日0点0分到2004年12月31日23点59分，同时定义了周期时间段：每周三
的12 : 00到14 : 00。该时间段只有