API Guide
• L4_DST_PORT — 目标端口号
• IPv6 限定符:
• DST_IPv6 — 目标地址
• SRC_IPv6 — 源地址
• IP_TYPE — IP 类型;例如,IPv4 或 IPv6
• IP_PROTOCOL — TCP、UDP 等
• L4_DST_PORT — 目标端口
• MAC 限定符:
• OUT_PORT — 出口 CPU 端口
• SRC_MAC — 源 MAC 地址
• DST_MAC — 目标 MAC 地址
• ETHER_TYPE — 以太网类型
• OUTER_VLAN_ID — VLAN ID
• IP_TYPE — IP 类型
• OUTER_VLAN_PRI — DOT1P 值
Identifier GUID-7EEB5B3C-16F5-4569-9847-3AE78D1AA1FE
Version 6
Status Translation approved
IP 片段处理
OS10 支持一个可配置的选项,用于明确拒绝 IP 片段数据包,尤其适用于第二个及后续的数据包。此选项将现有的 ACL 命令语法与
所有 L3 规则的 fragments 关键字进行扩展:
• 允许使用第二个和后续片段,因为您不能将 L3 规则应用到这些片段。如果最终拒绝数据包,则必须拒绝第一个片段,并且不能
重新组装作为一个整体的数据包。
• 系统在
隐式
拒绝之前为第二个和后续片段应用隐式准许。
• 如果配置
显式
拒绝,则第二个和后续的片段不会命中针对片段的隐式允许规则。
IP 片段 ACL
当数据包超过最大数据包大小时,数据包会分成大量较小的数据包,其中包含原始数据包的部分内容。此数据包流从初始数据包开
头,其中包含原始数据包中包含的所有 L3 和第 4 层 (L4) 标头信息,并且后跟多个仅包含 L3 标头信息的数据包。
此数据包流包含来自原始数据包的所有信息,该数据包足够小,以避免最大数据包大小限制。这为 ACL 处理提供了一个特殊问题。
如果 ACL 筛选器基于 L4 信息,零碎数据包流中的非初始数据包将与 L4 信息不匹配,即使原始数据包与筛选器相匹配也是如此。由
于这种筛选,将不会由 ACL 处理数据包。
示例显示了拒绝第二个和后续的片段,并允许接口上的所有数据包。这些 ACL 将拒绝目标 IP 10.1.1.1 的所有第二个和后续片段,但允
许使用目标 IP 10.1.1.1 的第一个片段和非零碎数据包。第二个示例显示了允许所有数据包(分散且非零碎)的 ACL,目标 IP 为
10.1.1.1。
拒绝第二个和后续片段
OS10(config)# ip access-list ABC
OS10(conf-ipv4-acl)# deny ip any 10.1.1.1/32 fragments
OS10(conf-ipv4-acl)# permit ip any 10.1.1.1/32
允许接口上的所有数据包
OS10(config)# ip access-list ABC
OS10(conf-ipv4-acl)# permit ip any 10.1.1.1/32
OS10(conf-ipv4-acl)# deny ip any 10.1.1.1/32 fragments
访问控制列表
1059