华为交换机基于vlan的acl配置方法

acl 3001

rule permit ip destination 192.168.1.1 0 source any 设置要控制的IP

traffic-filter vlan 20 outbound acl 3001 在vlan上应用acl 3001，需设置为outbound方向，inbound方向无效

undo traffic-filter vlan 20 outbound acl 3001 取消vlan上的acl 3001

下列是网上无效的说法：

1，ACL应用在物理接口上，traffic-filter inbound acl 3001

2，ACL应用在Vlan上，非vlan接口上，traffic-policy 1 inbound

2015-10-14修订1：

display acl 3001时，看到(match-counter 0)，计数器是0，查阅文献发现

FTP、TFTP、Telnet、SNMP、HTTP、路由、组播这些与本机交互的协议报文通过软件ACL进行规则匹配，可以通过此命令查看报文命中ACL规则的次数；其他转发报文通过硬件ACL进行规则匹配，该类报文命中ACL规则的次数，需通过其他方式进行查看。例如，希望查看应用流策略后报文命中ACL规则的次数，则需先执行命令statistic enable（流行为视图）使能流行为中的流量统计功能，再通过命令display traffic policy statistics进行查看。

上述statistic enable，display traffic policy statistics无此命令。

acl由硬件直接处理，不是经过软件，所以看到的计数器都是0，且硬件设计时未设计计数器，也无法通过设置查到。

如果想要实现计数，须作如下操作（经测，无效）：

traffic-statistic vlan 20 outbound acl 3001

traffic-statistic outbound acl  3001 （接口下，含vlan接口下）

本文链接地址: 华为交换机基于vlan的acl配置方法