华为交换学习指南 .pdf

交换机配置（一）端口限速基本配置华为 3Com 2000_EI 、S2000-SI、S3000-SI、S3026E 、S3526E 、S3528 、S3552 、S3900、S3050 、S5012 、S5024 、S5600系列: 华为交换机端口限速2000_EI 系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI 直接在端口视图下面输入LINE-RATE (4 ) 参数可选 ! 端口限速配置1 功能需求及组网说明端口限速配置配置环境参数1. PC1 和 PC2的 IP 地址分别为 10.10.1.1/24、10.10.1.2/24 组网需求1. 在 SwitchA 上配置端口限速，将PC1的下载速率限制在3Mbps ，同时将 PC1的上传速率限制在1Mbps 2 数据配置步骤S2000EI系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令，来对该端口的出、 入报文进行流量限速。【SwitchA 相关配置】1. 进入端口 E0/1 的配置视图SwitchAinterface Ethernet 0/1 2. 对端口 E0/1 的出方向报文进行流量限速，限制到3Mbps SwitchA- Ethernet0/1line-rate outbound 30 3. 对端口 E0/1 的入方向报文进行流量限速，限制到1Mbps SwitchA- Ethernet0/1line-rate inbound 16 【补充说明】报文速率限制级别取值为1127。如果速率限制级别取值在128 范围内，则速率限制的粒度为64Kbps，这种情况下， 当设置的级别为 N，则端口上限制的速率大小为 N*64K ；如果速率限制级别取值在29127 范围内，则速率限制的粒度为 1Mbps ，这种情况下，当设置的级别为N，则端口上限制的速率大小为(N-27)*1Mbps 。此系列交换机的具体型号包括：S2008-EI、S2016-EI 和 S2403H-EI。S2000-SI 和 S3000-SI 系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令，来对该端口的出、 入报文进行流量限速。【SwitchA 相关配置】1. 进入端口 E0/1 的配置视图SwitchAinterface Ethernet 0/1 2. 对端口 E0/1 的出方向报文进行流量限速，限制到6Mbps SwitchA- Ethernet0/1line-rate outbound 2 3. 对端口 E0/1 的入方向报文进行流量限速，限制到3Mbps SwitchA- Ethernet0/1line-rate inbound 1 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 29 页 - - - - - - - - - 【补充说明】对端口发送或接收报文限制的总速率，这里以8 个级别来表示，取值范围为18，含义为：端口工作在10M速率时， 18 分别表示 312K，625K，938K，1.25M，2M ，4M ，6M ，8M ；端口工作在 100M速率时，18分别表示 3.12M，6.25M，9.38M，12.5M，20M ，40M ，60M ，80M 。此系列交换机的具体型号包括：S2026C/Z-SI、S3026C/G/S-SI 和 E026-SI。S3026E 、S3526E 、S3050 、S5012 、S5024系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令， 对该端口的出方向报文进行流量限速；结合 acl ，使用以太网物理端口下面的traffic-limit命令，对端口的入方向报文进行流量限速。【SwitchA 相关配置】1. 进入端口 E0/1 的配置视图SwitchAinterface Ethernet 0/1 2. 对端口 E0/1 的出方向报文进行流量限速，限制到3Mbps SwitchA- Ethernet0/1line-rate 3 3. 配置 acl ，定义符合速率限制的数据流SwitchAacl number 4000 SwitchA-acl-link-4000rule permit ingress any egress any 4. 对端口 E0/1 的入方向报文进行流量限速，限制到1Mbps SwitchA- Ethernet0/1traffic-limit inbound link-group 4000 1 exceed drop 【补充说明】line-rate命令直接对端口的所有出方向数据报文进行流量限制，而traffic-limit命令必须结合 acl 使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。 在配置 acl 的时候， 也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。端口出入方向限速的粒度为1Mbps 。此系列交换机的具体型号包括： S3026E/C/G/T、S3526E/C/EF 、S3050C 、S5012G/T和 S5024G 。S3528 、S3552系列交换机端口限速配置流程使用以太网物理端口下面的traffic-shape和 traffic-limit命令， 分别来对该端口的出、入报文进行流量限速。【SwitchA 相关配置】1. 进入端口 E0/1 的配置视图SwitchAinterface Ethernet 0/1 2. 对端口 E0/1 的出方向报文进行流量限速，限制到3Mbps SwitchA- Ethernet0/1traffic-shape 3250 3250 3. 配置 acl ，定义符合速率限制的数据流SwitchAacl number 4000 SwitchA-acl-link-4000rule permit ingress any egress any 4. 对端口 E0/1 的入方向报文进行流量限速，限制到1Mbps SwitchA- Ethernet0/1traffic-limit inbound link-group 4000 1000 150000 150000 1000 exceed drop 【补充说明】名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 29 页 - - - - - - - - - 此系列交换机的具体型号包括：S3528G/P和 S3552G/P/F。S3900系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令， 对该端口的出方向报文进行流量限速；结合 acl ，使用以太网物理端口下面的traffic-limit命令，对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。【SwitchA 相关配置】1. 进入端口 E1/0/1 的配置视图SwitchAinterface Ethernet 1/0/1 2. 对端口 E0/1 的出方向报文进行流量限速，限制到3Mbps SwitchA- Ethernet1/0/1line-rate 3000 3. 配置 acl ，定义符合速率限制的数据流SwitchAacl number 4000 SwitchA-acl-link-4000rule permit ingress any egress any 4. 对端口 E0/1 的入方向报文进行流量限速，限制到1Mbps SwitchA- Ethernet1/0/1traffic-limit inbound link-group 4000 1000 exceed drop 【补充说明】line-rate命令直接对端口的所有出方向数据报文进行流量限制，而traffic-limit命令必须结合 acl 使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。 在配置 acl 的时候， 也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。端口出入方向限速的粒度为64Kbps。此系列交换机的具体型号包括：S3924 、S3928P/F/TP和 S3952P 。S5600系列交换机端口限速配置流程使用以太网物理端口下面的line-rate命令， 对该端口的出方向报文进行流量限速；结合 acl ，使用以太网物理端口下面的traffic-limit命令，对匹配指定访问控制列表规则的端口入方向数据报文进行流量限制。【SwitchA 相关配置】1. 进入端口 E1/0/1 的配置视图SwitchAinterface Ethernet 1/0/1 2. 对端口 E0/1 的出方向报文进行流量限速，限制到3Mbps SwitchA- Ethernet1/0/1line-rate 3000 3. 配置 acl ，定义符合速率限制的数据流SwitchAacl number 4000 SwitchA-acl-link-4000rule permit ingress any egress any 4. 对端口 E0/1 的入方向报文进行流量限速，限制到1Mbps SwitchA- Ethernet1/0/1traffic-limit inbound link-group 4000 1000 exceed drop 【补充说明】line-rate命令直接对端口的所有出方向数据报文进行流量限制，而traffic-limit命令必须结合 acl 使用，对匹配了指定访问控制列表规则的数据报文进行流量限制。 在配置 acl 的时候， 也可以通过配置三层访问规则，来对指定的源或目的网段报文，进行端口的入方向数据报文进行流量限制。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 29 页 - - - - - - - - - 端口出入方向限速的粒度为64Kbps。此系列交换机的具体型号包括：S5624P/F和 S5648P 。交换机配置（二）端口绑定基本配置1，端口 +MAC a)AM命令使用特殊的 AM User-bind 命令，来完成 MAC 地址与端口之间的绑定。例如：SwitchAam user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1 配置说明：由于使用了端口参数，则会以端口为参照物，即此时端口E0/1 只允许 PC1上网，而使用其他未绑定的MAC 地址的 PC机则无法上网。但是PC1使用该 MAC 地址可以在其他端口上网。b)mac-address 命令使用 mac-address static命令，来完成 MAC 地址与端口之间的绑定。例如：SwitchAmac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1 SwitchAmac-address max-mac-count 0 配置说明：由于使用了端口学习功能，故静态绑定mac后，需再设置该端口mac学习数为 0，使其他 PC接入此端口后其 mac地址无法被学习。2，IP+MAC a)AM命令使用特殊的 AM User-bind 命令，来完成 IP 地址与 MAC 地址之间的绑定。例如：SwitchAam user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 配置说明：以上配置完成对 PC机的 IP 地址和 MAC 地址的全局绑定， 即与绑定的IP 地址或者 MAC 地址不同的 PC机，在任何端口都无法上网。支持型号： S3026E/EF/C/G/T、S3026C-PWR、E026/E026T 、S3050C 、E050、S3526E/C/EF、S5012T/G 、S5024G b)arp 命令使用特殊的 arp static命令，来完成 IP 地址与 MAC 地址之间的绑定。例如：SwitchAarp static 10.1.1.2 00e0-fc22-f8d3 配置说明：以上配置完成对PC机的 IP 地址和 MAC 地址的全局绑定。3，端口 +IP+MAC 使用特殊的 AM User-bind 命令，来完成 IP、MAC 地址与端口之间的绑定。例如：SwitchAam user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1 配置说明：可以完成将PC1的 IP 地址、 MAC 地址与端口 E0/1 之间的绑定功能。由于使用了端口参数， 则会以端口为参照物， 即此时端口 E0/1 只允许 PC1上网，而使用其他未绑定的IP 地址、MAC 地址的 PC机则无法上网。 但是 PC1使用该 IP地址和 MAC 地址可以在其他端口上网。支持型号：S3026E/S3026E-FM/S3026-FS ；S3026G ；S3026C ；S3026C-PWR；E3026 ；E050；S3526E/C;S3526E-FM/FS; S5012T/G、S5024G 、S3900 、S5600 、S6500(3代引擎 ) 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 29 页 - - - - - - - - - 1，二层 ACL . 组网需求 : 通过二层访问控制列表，实现在每天8:0018:00 时间段内对源 MAC 为00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303 报文的过滤。该主机从GigabitEthernet0/1接入。. 配置步骤 : (1) 定义时间段# 定义 8:00 至 18:00 的周期时间段。Quidway time-range huawei 8:00 to 18:00 daily (2) 定义源 MAC 为 00e0-fc01-0101目的 MAC 为 00e0-fc01-0303 的 ACL # 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。Quidway acl name traffic-of-link link # 定义源 MAC 为 00e0-fc01-0101 目的 MAC 为 00e0-fc01-0303的流分类规则。Quidway-acl-link-traffic-of-link rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei (3) 激活 ACL 。# 将 traffic-of-link的 ACL激活。Quidway-GigabitEthernet0/1 packet-filter link-group traffic-of-link 2，三层 ACL a) 基本访问控制列表配置案例. 组网需求 : 通过基本访问控制列表， 实现在每天 8:00 18:00 时间段内对源 IP 为 10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。. 配置步骤 : (1) 定义时间段# 定义 8:00 至 18:00 的周期时间段。Quidway time-range huawei 8:00 to 18:00 daily (2) 定义源 IP 为 10.1.1.1的 ACL # 进入基于名字的基本访问控制列表视图，命名为traffic-of-host。Quidway acl name traffic-of-host basic # 定义源 IP 为 10.1.1.1的访问规则。Quidway-acl-basic-traffic-of-host rule 1 deny ip source 10.1.1.1 0 time-range huawei (3) 激活 ACL 。# 将 traffic-of-host的 ACL激活。Quidway-GigabitEthernet0/1 packet-filter inbound ip-group traffic-of-host b) 高级访问控制列表配置案例. 组网需求 : 公司企业网通过 Switch 的端口实现各部门之间的互连。研发部门的由GigabitEthernet0/1端口接入，工资查询服务器的地址为129.110.1.2 。要求正确配置 ACL ，限制研发部门在上班时间8:00 至 18:00 访问工资服务器。. 配置步骤 : (1) 定义时间段名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 29 页 - - - - - - - - - # 定义 8:00 至 18:00 的周期时间段。Quidway time-range huawei 8:00 to 18:00 working-day (2) 定义到工资服务器的ACL # 进入基于名字的高级访问控制列表视图，命名为traffic-of-payserver。Quidway acl name traffic-of-payserver advanced # 定义研发部门到工资服务器的访问规则。Quidway-acl-adv-traffic-of-payserver rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei (3) 激活 ACL 。# 将 traffic-of-payserver的 ACL激活。Quidway-GigabitEthernet0/1 packet-filter inbound ip-group traffic-of-payserver 3，常见病毒的 ACL 创建 acl acl number 100 禁 ping rule deny icmp source any destination any 用于控制 Blaster蠕虫的传播rule deny udp source any destination any destination-port eq 69 rule deny tcp source any destination any destination-port eq 4444 用于控制冲击波病毒的扫描和攻击rule deny tcp source any destination any destination-port eq 135 rule deny udp source any destination any destination-port eq 135 rule deny udp source any destination any destination-port eq netbios-ns rule deny udp source any destination any destination-port eq netbios-dgm rule deny tcp source any destination any destination-port eq 139 rule deny udp source any destination any destination-port eq 139 rule deny tcp source any destination any destination-port eq 445 rule deny udp source any destination any destination-port eq 445 rule deny udp source any destination any destination-port eq 593 rule deny tcp source any destination any destination-port eq 593 用于控制振荡波的扫描和攻击rule deny tcp source any destination any destination-port eq 445 rule deny tcp source any destination any destination-port eq 5554 rule deny tcp source any destination any destination-port eq 9995 rule deny tcp source any destination any destination-port eq 9996 用于控制 Worm_MSBlast.A 蠕虫的传播rule deny udp source any destination any destination-port eq 1434 下面的不出名的病毒端口号（可以不作）rule deny tcp source any destination any destination-port eq 1068 rule deny tcp source any destination any destination-port eq 5800 rule deny tcp source any destination any destination-port eq 5900 rule deny tcp source any destination any destination-port eq 10080 rule deny tcp source any destination any destination-port eq 455 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 29 页 - - - - - - - - - rule deny udp source any destination any destination-port eq 455 rule deny tcp source any destination any destination-port eq 3208 rule deny tcp source any destination any destination-port eq 1871 rule deny tcp source any destination any destination-port eq 4510 rule deny udp source any destination any destination-port eq 4334 rule deny tcp source any destination any destination-port eq 4331 rule deny tcp source any destination any destination-port eq 4557 然后下发配置packet-filter ip-group 100 目的：针对目前网上出现的问题，对目的是端口号为1434 的 UDP报文进行过滤的配置方法，详细和复杂的配置请看配置手册。NE80的配置：NE80(config)#rule-map r1 udp any any eq 1434 /r1为 role-map 的名字， udp 为关键字， any any 所有源、目的 IP，eq 为等于，1434为 udp端口号NE80(config)#acl a1 r1 deny /a1 为 acl 的名字， r1 为要绑定的 rule-map 的名字，NE80(config-if-Ethernet1/0/0)#access-group acl a1 / 在 1/0/0 接口上绑定 acl ，acl 为关键字， a1为 acl 的名字NE16的配置：NE16-4(config)#firewall enable all / 首先启动防火墙NE16-4(config)#access-list 101 deny udp any any eq 1434 /deny 为禁止的关键字，针对udp报文， any any 为所有源、目的 IP，eq 为等于， 1434 为 udp端口号NE16-4(config-if-Ethernet2/2/0)#ip access-group 101 in / 在接口上启用 access-list，in 表示进来的报文， 也可以用 out 表示出去的报文中低端路由器的配置Routerfirewall enable Routeracl 101 Router-acl-101rule deny udp source any destion any destination-port eq 1434 Router-Ethernet0firewall packet-filter 101 inbound 6506产品的配置：旧命令行配置如下：6506(config)#acl extended aaa deny protocol udp any any eq 1434 6506(config-if-Ethernet5/0/1)#access-group aaa 国际化新命令行配置如下：Quidwayacl number 100 Quidway-acl-adv-100rule deny udp source any destination any destination-port eq 1434 Quidway-acl-adv-100quit Quidwayinterface ethernet 5/0/1 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 29 页 - - - - - - - - - Quidway-Ethernet5/0/1packet-filter inbound ip-group 100 not-care-for-interface 5516产品的配置：旧命令行配置如下：5516(config)#rule-map l3 aaa protocol-type udp ingress any egress any eq 1434 5516(config)#flow-action fff deny 5516(config)#acl bbb aaa fff 5516(config)#access-group bbb 国际化新命令行配置如下：Quidwayacl num 100 Quidway-acl-adv-100rule deny udp source any destination any destination-port eq 1434 Quidwaypacket-filter ip-group 100 3526产品的配置：旧命令行配置如下：rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434 flow-action f1 deny acl acl1 r1 f1 access-group acl1 国际化新命令配置如下：acl number 100 rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0 packet-filter ip-group 101 rule 0 注：3526产品只能配置外网对内网的过滤规则，其中1.1.0.0 255.255.0.0是内网的地址段。8016产品的配置：旧命令行配置如下：8016(config)#rule-map intervlan aaa udp any any eq 1434 8016(config)#acl bbb aaa deny 8016(config)#access-group acl bbb vlan 10 port all 国际化新命令行配置如下：8016(config)#rule-map intervlan aaa udp any any eq 1434 8016(config)#eacl bbb aaa deny 8016(config)#access-group eacl bbb vlan 10 port all 防止同网段 ARP欺骗的 ACL 一、组网需求：1. 二层交换机阻止网络用户仿冒网关IP 的 ARP攻击二、组网图：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 29 页 - - - - - - - - - 图 1 二层交换机防 ARP攻击组网S3552P是三层设备，其中IP：100.1.1.1是所有 PC的网关， S3552P上的网关MAC 地址为 000f-e200-3999 。PC-B上装有 ARP 攻击软件。现在需要对S3026C_A进行一些特殊配置，目的是过滤掉仿冒网关IP 的 ARP报文。三、配置步骤对于二层交换机如S3026C等支持用户自定义ACL （number为 5000 到 5999）的交换机，可以配置ACL来进行 ARP报文过滤。全局配置 ACL禁止所有源 IP 是网关的 ARP报文acl num 5000 rule 0 deny 0806 ffff 24 64010101 ffffffff 40 rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34 其中 rule0 把整个 S3026C_A 的端口冒充网关的 ARP报文禁掉，其中斜体部分64010101是网关 IP 地址 100.1.1.1的 16进制表示形式。Rule1 允许通过网关发送的 ARP报文，斜体部分为网关的mac地址 000f-e200-3999 。注意：配置 Rule 时的配置顺序，上述配置为先下发后生效的情况。在 S3026C-A系统视图下发 acl 规则：S3026C-A packet-filter user-group 5000 这样只有 S3026C_A 上连网关设备才能够发送网关的ARP报文，其它主机都不能发送假冒网关的 arp 响应报文。三层交换机实现仿冒网关的ARP防攻击一、组网需求：1. 三层交换机实现防止同网段的用户仿冒网关IP 的 ARP攻击二、组网图名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 29 页 - - - - - - - - - 图 2 三层交换机防 ARP攻击组网三、配置步骤1. 对于三层设备， 需要配置过滤源IP 是网关的 ARP 报文的 ACL规则，配置如下ACL规则：acl number 5000 rule 0 deny 0806 ffff 24 64010105 ffffffff 40 rule0 禁止 S3526E的所有端口接收冒充网关的ARP 报文， 其中斜体部分 64010105是网关 IP 地址 100.1.1.5的 16 进制表示形式。2. 下发 ACL到全局S3526E packet-filter user-group 5000 仿冒他人 IP 的 ARP防攻击一、组网需求：作为网关的设备有可能会出现错误ARP的表项，因此在网关设备上还需对用户仿冒他人 IP 的 ARP攻击报文进行过滤。二、组网图：参见图 1 和图 2 三、配置步骤：1. 如图 1 所示，当 PC-B发送源 IP 地址为 PC-D的 arp reply 攻击报文，源 mac是 PC-B的 mac (000d-88f8-09fa)，源 ip 是 PC-D的 ip(100.1.1.3)，目的 ip和 mac是网关（ 3552P ）的，这样 3552 上就会学习到错误的arp，如下所示：- 错误 arp 表项 - IP Address MAC Address VLAN ID Port Name Aging Type 100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic 100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic 从网络连接可以知道PC-D的 arp 表项应该学习到端口E0/8 上， 而不应该学习到E0/2 端口上。但实际上交换机上学习到该ARP 表项在 E0/2。上述现象可以在S3552上配置静态 ARP 实现防攻击：arp static 100.1.1.3 000f-3d81-45b4 1 e0/8 2. 在图 2 S3526C上也可以配置静态ARP来防止设备学习到错误的ARP表项。3. 对于二层设备（ S3050C和 S3026E系列），除了可以配置静态ARP 外，还可以配置 IPMAC port 绑定，比如在 S3026C端口 E0/4 上做如下操作：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 29 页 - - - - - - - - - am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4 则 IP 为 100.1.1.4并且 MAC 为 000d-88f8-09fa的 ARP 报文可以通过 E0/4 端口，仿冒其它设备的 ARP报文则无法通过，从而不会出现错误ARP表项。四、配置关键点：此处仅仅列举了部分Quidway S系列以太网交换机的应用。 在实际的网络应用中，请根据配置手册确认该产品是否支持用户自定义ACL和地址绑定。仅仅具有上述功能的交换机才能防止ARP欺骗。5，关于 ACL规则匹配的说明a) ACL 直接下发到硬件中的情况交换机中 ACL可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类。此时一条 ACL中多个子规则的匹配顺序是由交换机的硬件决定的，用户即使在定义 ACL时配置了匹配顺序也不起作用。ACL直接下发到硬件的情况包括：交换机实现QoS功能时引用 ACL 、硬件转发时通过 ACL过滤转发数据等。b) ACL 被上层模块引用的情况交换机也使用 ACL来对由软件处理的报文进行过滤和流分类。此时 ACL子规则的匹配顺序有两种： config （指定匹配该规则时按用户的配置顺序）和auto （指定匹配该规则时系统自动排序，即按“深度优先”的顺序）。这种情况下用户可以在定义 ACL的时候指定一条 ACL中多个子规则的匹配顺序。 用户一旦指定某一条访问控制列表的匹配顺序， 就不能再更改该顺序。 只有把该列表中所有的规则全部删除后，才能重新指定其匹配顺序。交换机配置（四）密码恢复说明：以下方法将删除原有config文件，使设备恢复到出厂配置。在设备重启时按 Ctrl+B 进入 BOOT MENU之后，Press Ctrl-B to enter Boot Menu. 5 Password : 缺省为空，回车即可1. Download application file to flash 2.