- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-ACL命令
本章節下載: 01-ACL命令 (245.43 KB)
目 錄
1.1.8 display packet-filter statistics
1.1.9 display packet-filter statistics sum
1.1.10 display packet-filter verbose
1.1.11 display qos-acl resource
1.1.13 packet-filter default deny
1.1.15 reset packet-filter statistics
1.1.16 rule (Ethernet frame header ACL view)
1.1.17 rule (IPv4 advanced ACL view)
1.1.18 rule (IPv4 basic ACL view)
1.1.19 rule (IPv6 advanced ACL view)
acl命令用來創建一個ACL,並進入相應的ACL視圖。
undo acl命令用來刪除指定或全部ACL。
【命令】
acl [ ipv6 ] number acl-number [ name acl-name ] [ match-order { auto | config } ]
undo acl [ ipv6 ] { all | name acl-name | number acl-number }
【缺省情況】
不存在任何ACL。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
number acl-number:指定ACL的編號。acl-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:若未指定ipv6關鍵字,表示IPv4基本ACL;否則表示IPv6基本ACL。
· 3000~3999:若未指定ipv6關鍵字,表示IPv4高級ACL;否則表示IPv6高級ACL。
· 4000~4999:表示二層ACL(指定ipv6關鍵字後不會顯示本項)。
name acl-name:指定ACL的名稱。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
match-order { auto | config }:指定規則的匹配順序,auto表示按照自動排序(即“深度優先”原則)的順序進行規則匹配,config表示按照配置順序進行規則匹配。缺省情況下,規則的匹配順序為配置順序。
all:指定全部ACL。若未指定ipv6關鍵字,表示全部IPv4基本ACL、IPv4高級ACL和二層ACL;否則,表示全部IPv6基本ACL和IPv6高級ACL。
【使用指導】
· 使用acl命令時,如果指定編號的ACL不存在,則創建該ACL並進入其視圖,否則直接進入其視圖。
· ACL的名稱隻能在創建時設置。ACL一旦創建,便不允許再修改或刪除其原有名稱。
· 當ACL內不存在任何規則時,用戶可以使用本命令對該ACL的規則匹配順序進行修改,否則不允許進行修改。
【舉例】
# 創建一個編號為2000的IPv4基本ACL,並進入其視圖。
<Sysname> system-view
[Sysname] acl number 2000
# 創建一個編號為2001的IPv4基本ACL,指定其名稱為flow,並進入其視圖。
<Sysname> system-view
[Sysname] acl number 2001 name flow
[Sysname-acl-basic-2001-flow]
【相關命令】
· display acl
acl copy命令用來複製並生成一個新的ACL。
【命令】
acl [ ipv6 ] copy { source-acl-number | name source-acl-name } to { dest-acl-number | name dest-acl-name }
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
source-acl-number:指定源ACL的編號,該ACL必須存在。本參數的取值範圍及其代表的ACL類型如下:
· 2000~2999:若未指定ipv6關鍵字,表示IPv4基本ACL;否則表示IPv6基本ACL。
· 3000~3999:若未指定ipv6關鍵字,表示IPv4高級ACL;否則表示IPv6高級ACL。
· 4000~4999:表示二層ACL(指定ipv6關鍵字後不會顯示本項)。
name source-acl-name:指定源ACL的名稱,該ACL必須存在。source-acl-name為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。對於基本ACL或高級ACL,若未指定ipv6關鍵字,表示IPv4基本ACL或IPv4高級ACL的名稱,否則表示IPv6基本ACL或IPv6高級ACL的名稱。
dest-acl-number:指定目的ACL的編號,該ACL必須不存在。若未指定本參數,係統將為目的ACL自動分配一個與源ACL類型相同且可用的最小編號。本參數的取值範圍及其代表的ACL類型如下:
· 2000~2999:若未指定ipv6關鍵字,表示IPv4基本ACL;否則表示IPv6基本ACL。
· 3000~3999:若未指定ipv6關鍵字,表示IPv4高級ACL;否則表示IPv6高級ACL。
· 4000~4999:表示二層ACL(指定ipv6關鍵字後不會顯示本項)。
name dest-acl-name:指定目的ACL的名稱,該ACL必須不存在。dest-acl-name為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。若未指定本參數,係統將不會為目的ACL設置名稱。對於基本ACL或高級ACL,若未指定ipv6關鍵字,表示IPv4基本ACL或IPv4高級ACL的名稱,否則表示IPv6基本ACL或IPv6高級ACL的名稱。
【使用指導】
· 目的ACL的類型要與源ACL的類型相同。
· 目的ACL的名稱隻能在複製時設置。目的ACL一旦生成,便不允許再修改或刪除其原有名稱。
· 除了ACL的編號和名稱不同外,新生成的ACL(即目的ACL)的匹配順序、規則匹配統計功能的使能情況、規則編號的步長、所包含的規則、規則的描述信息以及ACL的描述信息等都與源ACL的相同。
【舉例】
# 通過複製已存在的IPv4基本ACL 2001,來生成一個新的編號為2002的同類型ACL。
<Sysname> system-view
[Sysname] acl copy 2001 to 2002
acl logging interval命令用來配置報文過濾日誌的生成與發送周期,設備將周期性地生成並發送報文過濾的日誌信息,包括該周期內被匹配的報文數量以及所使用的ACL規則。
undo acl logging interval命令用來恢複缺省情況。
【命令】
acl [ ipv6 ] logging interval interval
undo acl [ ipv6 ] logging interval
【缺省情況】
報文過濾日誌的生成與發送周期為0分鍾,即不記錄報文過濾的日誌。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interval:若未指定ipv6關鍵字,表示IPv4報文過濾日誌的生成與發送周期,否則表示IPv6報文過濾日誌的生成與發送周期。取值範圍為0~1440,且必須為5的整數倍,0表示不進行記錄,單位為分鍾。
【使用指導】
係統隻支持對應用IPv4基本ACL、IPv4高級ACL、IPv6基本ACL或IPv6高級ACL進行報文過濾的日誌進行記錄,且在上述ACL中配置規則時必須指定logging參數。
【舉例】
# 配置IPv4報文過濾日誌的生成與發送周期為10分鍾。
<Sysname> system-view
[Sysname] acl logging interval 10
【相關命令】
· rule (IPv4 advanced ACL view)
· rule (IPv4 basic ACL view)
· rule (IPv6 advanced ACL view)
· rule (IPv6 basic ACL view)
acl name命令用來進入指定名稱的ACL視圖。
【命令】
acl [ ipv6 ] name acl-name
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
acl-name:指定ACL的名稱,該ACL必須存在。acl-name為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。對於基本ACL或高級ACL,若未指定ipv6關鍵字,表示IPv4基本ACL或IPv4高級ACL的名稱,否則表示IPv6基本ACL或IPv6高級ACL的名稱。
【舉例】
# 進入已存在的、名稱為flow的IPv4基本ACL的視圖。
<Sysname> system-view
[Sysname] acl name flow
[Sysname-acl-basic-2001-flow]
# 進入已存在的、名稱為flow的IPv6基本ACL的視圖。
<Sysname> system-view
[Sysname] acl ipv6 name flow
[Sysname-acl6-basic-2001-flow]
【相關命令】
· acl
description命令用來配置ACL的描述信息。
undo description命令用來刪除ACL的描述信息。
【命令】
description text
undo description
【缺省情況】
ACL沒有任何描述信息。
【視圖】
IPv4基本ACL視圖/IPv4高級ACL視圖/IPv6基本ACL視圖/IPv6高級ACL視圖/二層ACL視圖
【缺省用戶角色】
network-admin
【參數】
text:表示ACL的描述信息,為1~127個字符的字符串,區分大小寫。
【舉例】
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] description This is an IPv4 basic ACL.
【相關命令】
· display acl
display acl命令用來顯示ACL的配置和運行情況。
【命令】
display acl [ ipv6 ] { acl-number | all | name acl-name }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
acl-number:顯示指定編號的ACL的配置和運行情況。acl-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:若未指定ipv6關鍵字,表示IPv4基本ACL;否則表示IPv6基本ACL。
· 3000~3999:若未指定ipv6關鍵字,表示IPv4高級ACL;否則表示IPv6高級ACL。
· 4000~4999:表示二層ACL(指定ipv6關鍵字後不會顯示本項)。
all:顯示全部ACL的配置和運行情況。若未指定ipv6關鍵字,表示全部IPv4基本ACL、IPv4高級ACL和二層ACL;否則,表示全部IPv6基本ACL和IPv6高級ACL。
name acl-name:顯示指定名稱的ACL的配置和運行情況。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。對於基本ACL或高級ACL,若未指定ipv6關鍵字,表示IPv4基本ACL或IPv4高級ACL的名稱,否則表示IPv6基本ACL或IPv6高級ACL的名稱。
【使用指導】
本命令將按照實際匹配順序來排列ACL內的規則,即:當ACL的規則匹配順序為配置順序時,各規則將按照編號由小到大排列;當ACL的規則匹配順序為自動排序時,各規則將按照“深度優先”原則由深到淺排列。
【舉例】
# 顯示IPv4基本ACL 2001的配置和運行情況。
<Sysname> display acl 2001
Basic ACL 2001, named flow, 1 rule, match-order is auto,
This is an IPv4 basic ACL.
ACL's step is 5
rule 5 permit source 1.1.1.1 0 (5 times matched)
rule 5 comment This rule is used on Ten-GigabitEthernet 1/0/1.
表1-1 display acl命令顯示信息描述表
|
字段 |
描述 |
|
Basic ACL 2001 |
該ACL的類型和編號,ACL的類型包括: · Basic ACL:表示IPv4基本ACL · Advanced ACL:表示IPv4高級ACL · Basic IPv6 ACL:表示IPv6基本ACL · Advanced IPv6 ACL:表示IPv6高級ACL · Ethernet frame ACL:表示二層ACL |
|
named flow |
該ACL的名稱為flow,-none-表示沒有名稱 |
|
1 rule |
該ACL內包含的規則數量 |
|
match-order is auto |
該ACL的規則匹配順序為自動排序(匹配順序為配置順序時不顯示本字段) |
|
This is an IPv4 basic ACL. |
該ACL的描述信息 |
|
ACL's step is 5 |
該ACL的規則編號的步長值為5 |
|
rule 5 permit source 1.1.1.1 0 |
規則5的具體內容 |
|
5 times matched |
該規則匹配的次數為5(僅統計軟件ACL的匹配次數,當匹配次數為0時不顯示本字段) |
|
rule 5 comment This rule is used on Ten-GigabitEthernet 1/0/1. |
規則5的描述信息 |
display packet-filter命令用來顯示ACL在報文過濾中的應用情況。
【命令】
display packet-filter { interface [ interface-type interface-number ] [ inbound | outbound ] | interface vlan-interface vlan-interface-number [ inbound | outbound ] [ slot slot-number ] }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface [ interface-type interface-number ]:顯示指定接口上ACL在報文過濾中的應用情況。interface-type interface-number表示接口類型和接口編號,這裏的接口類型不包括VLAN接口。若未指定接口類型和接口編號,將顯示除VLAN接口以外的所有接口上ACL在報文過濾中的應用情況。
interface vlan-interface vlan-interface-number:顯示指定VLAN接口上ACL在報文過濾中的應用情況。vlan-interface-number表示VLAN接口的編號。
inbound:顯示入方向上ACL在報文過濾中的應用情況。
outbound:顯示出方向上ACL在報文過濾中的應用情況。
slot slot-number:顯示指定成員設備上ACL在報文過濾中的應用情況,slot-number表示設備在IRF中的成員編號。若未指定本參數,將顯示IRF中主設備上ACL在報文過濾中的應用情況。
【使用指導】
若未指定inbound和outbound參數,將同時顯示出、入方向上ACL在報文過濾中的應用情況。
【舉例】
# 顯示接口Ten-GigabitEthernet1/0/1出入雙方向上ACL在報文過濾中的應用情況。
<Sysname> display packet-filter interface ten-gigabitethernet 1/0/1
Interface: Ten-GigabitEthernet1/0/1
In-bound policy:
ACL 2001, Hardware-count
Default action: Deny
Out-bound policy:
ACL 2005
Default action: Deny
表1-2 display packet-filter命令顯示信息描述表
|
字段 |
描述 |
|
Interface |
ACL在指定接口上的應用情況 |
|
In-bound policy |
ACL在入方向上的應用情況 |
|
Out-bound policy |
ACL在出方向上的應用情況 |
|
ACL 2001 |
IPv4基本ACL 2001應用成功 |
|
Hardware-count |
規則匹配統計功能應用成功 |
|
Default action |
報文過濾缺省動作,即對未匹配ACL的報文所采取的動作,Deny表示拒絕通過。如缺省過濾動作為允許通過,則不顯示該字段。 |
display packet-filter statistics命令用來顯示ACL在報文過濾中應用的統計信息。
【命令】
display packet-filter statistics interface interface-type interface-number { inbound | outbound } [ [ ipv6 ] { acl-number | name acl-name } ] [ brief ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定接口上的統計信息。interface-type interface-number表示接口類型和接口編號。
inbound:顯示入方向上的統計信息。
outbound:顯示出方向上的統計信息。
acl-number:顯示指定編號ACL在報文過濾中應用的統計信息。acl-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:若未指定ipv6關鍵字,表示IPv4基本ACL;否則表示IPv6基本ACL。
· 3000~3999:若未指定ipv6關鍵字,表示IPv4高級ACL;否則表示IPv6高級ACL。
· 4000~4999:表示二層ACL(指定ipv6關鍵字後不會顯示本項)。
name acl-name:顯示指定名稱ACL在報文過濾中應用的統計信息。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。對於基本ACL或高級ACL,若未指定ipv6關鍵字,表示IPv4基本ACL或IPv4高級ACL的名稱,否則表示IPv6基本ACL或IPv6高級ACL的名稱。
brief:顯示簡要統計信息。
【使用指導】
若未指定acl-number和name acl-name參數,將顯示全部ACL(若未指定ipv6關鍵字,表示全部IPv4基本ACL、IPv4高級ACL和二層ACL;否則,表示全部IPv6基本ACL和IPv6高級ACL)在報文過濾中應用的統計信息。
【舉例】
# 顯示接口Ten-GigabitEthernet1/0/1入方向上全部ACL(包括IPv4基本ACL、IPv4高級ACL和二層ACL)在報文過濾中應用的統計信息。
<Sysname> display packet-filter statistics interface ten-gigabitethernet 1/0/1 inbound
Interface: Ten-GigabitEthernet1/0/1
In-bound policy:
ACL 2001, Hardware-count
From 2011-01-01 00:46:14 to 2011-01-01 01:46:20
rule 0 permit source 2.2.2.2 0 (2 packets)
rule 5 permit source 1.1.1.1 0
Default action: Deny
表1-3 display packet-filter statistics命令顯示信息描述表
|
字段 |
描述 |
|
Interface |
在指定接口上應用的統計信息 |
|
In-bound policy |
在入方向上應用的統計信息 |
|
Out-bound policy |
在出方向上應用的統計信息 |
|
ACL 2001 |
IPv4基本ACL 2001應用成功 |
|
From 2011-01-01 00:46:14 to 2011-01-01 01:46:20 |
該統計的起始和終止時間 |
|
2 packets |
該規則匹配了2個包(當匹配的包個數為0時不顯示本字段) |
|
Default action |
報文過濾缺省動作,即對未匹配ACL的報文所采取的動作,Deny表示拒絕通過。如缺省過濾動作為允許通過,則不顯示該字段。 |
【相關命令】
· reset packet-filter statistics
display packet-filter statistics sum命令用來顯示ACL在報文過濾中應用的累加統計信息。
【命令】
display packet-filter statistics sum { inbound | outbound } [ ipv6 ] { acl-number | name acl-name } [ brief ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
inbound:顯示入方向上ACL在報文過濾中應用的累加統計信息。
outbound:顯示出方向上ACL在報文過濾中應用的累加統計信息。
acl-number:顯示指定編號ACL在報文過濾中應用的累加統計信息。acl-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:若未指定ipv6關鍵字,表示IPv4基本ACL;否則表示IPv6基本ACL。
· 3000~3999:若未指定ipv6關鍵字,表示IPv4高級ACL;否則表示IPv6高級ACL。
· 4000~4999:表示二層ACL(指定ipv6關鍵字後不會顯示本項)。
name acl-name:顯示指定名稱ACL在報文過濾中應用的累加統計信息。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。對於基本ACL或高級ACL,若未指定ipv6關鍵字,表示IPv4基本ACL或IPv4高級ACL的名稱,否則表示IPv6基本ACL或IPv6高級ACL的名稱。
brief:顯示ACL在報文過濾中應用的簡要累加統計信息。
【舉例】
# 顯示入方向上IPv4基本ACL 2001在報文過濾中應用的累加統計信息。
<Sysname> display packet-filter statistics sum inbound 2001
Sum:
In-bound policy:
ACL 2001
rule 0 permit source 2.2.2.2 0 (2 packets)
rule 5 permit source 1.1.1.1 0
Totally 2 packets, 100% permitted
Totally 0 packets, 0% denied
表1-4 display packet-filter statistics sum命令顯示信息描述表
|
字段 |
描述 |
|
Sum |
ACL在報文過濾中應用的累加統計信息 |
|
In-bound policy |
ACL在入方向上應用的累加統計信息 |
|
Out-bound policy |
ACL在出方向上應用的累加統計信息 |
|
ACL 2001 |
IPv4基本ACL 2001應用的累加統計信息 |
|
2 packets |
該規則匹配了2個包(當匹配的包個數為0時不顯示本字段) |
|
Totally 2 packets, 100% permitted |
該ACL允許符合條件報文的個數和通過率 |
|
Totally 0 packets, 0% denied |
該ACL拒絕符合條件報文的個數和丟棄率 |
【相關命令】
· reset packet-filter statistics
display packet-filter verbose命令用來顯示ACL在報文過濾中的詳細應用情況。
【命令】
display packet-filter verbose interface interface-type interface-number { inbound | outbound } [ [ ipv6 ] { acl-number | name acl-name } ] [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定接口上ACL在報文過濾中的詳細應用情況。interface-type interface-number表示接口類型和接口編號。
inbound:顯示入方向上ACL在報文過濾中的詳細應用情況。
outbound:顯示出方向上ACL在報文過濾中的詳細應用情況。
acl-number:顯示指定編號ACL在報文過濾中的詳細應用情況。acl-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:若未指定ipv6關鍵字,表示IPv4基本ACL;否則表示IPv6基本ACL。
· 3000~3999:若未指定ipv6關鍵字,表示IPv4高級ACL;否則表示IPv6高級ACL。
· 4000~4999:表示二層ACL(指定ipv6關鍵字後不會顯示本項)。
name acl-name:顯示指定名稱ACL在報文過濾中的詳細應用情況。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。對於基本ACL或高級ACL,若未指定ipv6關鍵字,表示IPv4基本ACL或IPv4高級ACL的名稱,否則表示IPv6基本ACL或IPv6高級ACL的名稱。
slot slot-number:顯示指定成員設備上ACL在報文過濾中的詳細應用情況,slot-number表示設備在IRF中的成員編號。若未指定本參數,將顯示IRF中主設備上ACL在報文過濾中的詳細應用情況。僅有interface-type選擇Vlan-interface類型時才能夠輸入此參數。
【使用指導】
若未指定acl-number和name acl-name參數,將顯示全部ACL(若未指定ipv6關鍵字,表示全部IPv4基本ACL、IPv4高級ACL和二層ACL;否則,表示全部IPv6基本ACL和IPv6高級ACL)在報文過濾中的詳細應用情況。
【舉例】
# 顯示接口Ten-GigabitEthernet1/0/1入方向上全部ACL(包括IPv4基本ACL、IPv4高級ACL和二層ACL)在報文過濾中的詳細應用情況。
<Sysname> display packet-filter verbose interface ten-gigabitethernet 1/0/1 inbound
Interface: Ten-GigabitEthernet1/0/1
In-bound policy:
ACL 2001, Hardware-count
rule 0 permit source 2.2.2.2 0
rule 5 permit source 1.1.1.1 0
Default action: Deny
表1-5 display packet-filter verbose命令顯示信息描述表
|
字段 |
描述 |
|
Interface |
ACL在指定接口上的詳細應用情況 |
|
In-bound policy |
ACL在入方向上的詳細應用情況 |
|
Out-bound policy |
ACL在出方向上的詳細應用情況 |
|
ACL 2001 |
IPv4基本ACL 2001應用成功 |
|
Hardware-count |
規則匹配統計功能應用成功 |
|
Default action |
報文過濾缺省動作,即對未匹配ACL的報文所采取的動作,Deny表示拒絕通過。如缺省過濾動作為允許通過,則不顯示該字段。 |
display qos-acl resource命令用來顯示QoS和ACL資源的使用情況。
【命令】
display qos-acl resource [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
slot slot-number:顯示指定成員設備上QoS和ACL資源的使用情況,slot-number表示設備在IRF中的成員編號。若未指定本參數,將顯示IRF中所有成員設備上QoS和ACL資源的使用情況。
【舉例】
# 顯示QoS和ACL資源的使用情況。
<Sysname> display qos-acl resource
Interfaces: XGE1/0/1 to XGE1/0/48, FGE1/0/49 to FGE1/0/52
---------------------------------------------------------------------
Type Total Reserved Configured Remaining Usage
---------------------------------------------------------------------
VFP ACL 1024 256 0 768 25%
IFP ACL 2048 1280 0 768 62%
IFP Meter 1024 640 0 384 62%
IFP Counter 1024 640 0 384 62%
EFP ACL 1024 0 0 1024 0%
EFP Meter 512 0 0 512 0%
EFP Counter 512 0 0 512 0%
表1-6 display qos-acl resource命令顯示信息描述表
|
字段 |
描述 |
|
Interfaces |
資源對應的接口範圍 |
|
Type |
資源類型: · ACL表示ACL規則資源 · Meter表示流量監管資源 · Counter表示流量統計資源 · VFP表示二層轉發前的,應用於重標記QoS本地ID值功能的資源數目 · IFP表示入方向的資源數目 · EFP表示出方向的資源數目 |
|
Total |
資源總數 |
|
Reserved |
預留的資源數 |
|
Configured |
已經配置的資源數 |
|
Remaining |
剩餘可用的資源數 |
|
Usage |
已使用資源的百分比 |
packet-filter命令用來在接口上應用ACL進行報文過濾。
undo packet-filter命令用來取消在接口上應用ACL進行報文過濾。
【命令】
packet-filter [ ipv6 ] { acl-number | name acl-name } { inbound | outbound } [ hardware-count ]
undo packet-filter [ ipv6 ] { acl-number | name acl-name } { inbound | outbound }
【缺省情況】
接口不對報文進行過濾。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
acl-number:指定ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:若未指定ipv6關鍵字,表示IPv4基本ACL;否則表示IPv6基本ACL。
· 3000~3999:若未指定ipv6關鍵字,表示IPv4高級ACL;否則表示IPv6高級ACL。
· 4000~4999:表示二層ACL(指定ipv6關鍵字後不會顯示本項)。
name acl-name:指定ACL的名稱。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。對於基本ACL或高級ACL,若未指定ipv6關鍵字,表示IPv4基本ACL或IPv4高級ACL的名稱,否則表示IPv6基本ACL或IPv6高級ACL的名稱。
inbound:對收到的報文進行過濾。
outbound:對發出的報文進行過濾。
hardware-count:表示使能規則匹配統計功能,缺省為關閉。本參數用於使能指定ACL內所有規則的匹配統計功能,而rule命令中的counting參數則用於使能當前規則的匹配統計功能。
【舉例】
# 應用IPv4基本ACL 2001對接口Ten-GigabitEthernet1/0/1收到的報文進行過濾,並對過濾的報文進行統計。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] packet-filter 2001 inbound hardware-count
· display packet-filter
· display packet-filter statistics
· display packet-filter verbose
packet-filter default deny命令用來配置報文過濾的缺省動作為Deny,即禁止未匹配上ACL規則的報文通過。
undo packet-filter default deny命令用來恢複缺省情況。
【命令】
packet-filter default deny
undo packet-filter default deny
【缺省情況】
報文過濾的缺省動作為Permit,即允許未匹配上ACL規則的報文通過。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
配置報文過濾的缺省動作會在所有的應用對象下添加一個缺省動作應用,該應用也會像其它應用的ACL一樣顯示。
【舉例】
# 配置報文過濾的缺省動作為Deny。
<Sysname> system-view
[Sysname] packet-filter default deny
【相關命令】
· display packet-filter
· display packet-filter statistics
· display packet-filter verbose
reset acl counter命令用來清除ACL的統計信息。
【命令】
reset acl [ ipv6 ] counter { acl-number | all | name acl-name }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
acl-number:清除指定編號ACL的統計信息。acl-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:若未指定ipv6關鍵字,表示IPv4基本ACL;否則表示IPv6基本ACL。
· 3000~3999:若未指定ipv6關鍵字,表示IPv4高級ACL;否則表示IPv6高級ACL。
· 4000~4999:表示二層ACL(指定ipv6關鍵字後不會顯示本項)。
all:清除全部ACL的統計信息。若未指定ipv6關鍵字,表示全部IPv4基本ACL、IPv4高級ACL和二層ACL;否則,表示全部IPv6基本ACL和IPv6高級ACL。
name acl-name:清除指定名稱ACL的統計信息。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。對於基本ACL或高級ACL,若未指定ipv6關鍵字,表示IPv4基本ACL或IPv4高級ACL的名稱,否則表示IPv6基本ACL或IPv6高級ACL的名稱。
【舉例】
# 清除IPv4基本ACL 2001的統計信息。
<Sysname> reset acl counter 2001
【相關命令】
· display acl
reset packet-filter statistics命令用來清除ACL在報文過濾中應用的統計信息(包括累加統計信息)。
【命令】
reset packet-filter statistics interface [ interface-type interface-number ] { inbound | outbound } [ [ ipv6 ] { acl-number | name acl-name } ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
interface [ interface-type interface-number ]:清除指定接口上的統計信息。interface-type interface-number表示接口類型和接口編號。若未指定接口類型和接口編號,將清除所有接口上的統計信息。
inbound:清除入方向上的統計信息。
outbound:清除出方向上的統計信息。
acl-number:清除指定編號ACL在報文過濾中應用的統計信息。acl-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:若未指定ipv6關鍵字,表示IPv4基本ACL;否則表示IPv6基本ACL。
· 3000~3999:若未指定ipv6關鍵字,表示IPv4高級ACL;否則表示IPv6高級ACL。
· 4000~4999:表示二層ACL(指定ipv6關鍵字後不會顯示本項)。
name acl-name:清除指定名稱ACL在報文過濾中應用的統計信息。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。對於基本ACL或高級ACL,若未指定ipv6關鍵字,表示IPv4基本ACL或IPv4高級ACL的名稱,否則表示IPv6基本ACL或IPv6高級ACL的名稱。
【使用指導】
若未指定acl-number和name acl-name參數,將清除全部ACL(若未指定ipv6關鍵字,表示全部IPv4基本ACL、IPv4高級ACL和二層ACL;否則,表示全部IPv6基本ACL和IPv6高級ACL)在報文過濾中應用的統計信息。
【舉例】
# 清除接口Ten-GigabitEthernet1/0/1入方向上IPv4基本ACL 2001在報文過濾中應用的統計信息。
<Sysname> reset packet-filter statistics interface Ten-GigabitEthernet 1/0/1 inbound 2001
【相關命令】
· display packet-filter statistics
· display packet-filter statistics sum
rule命令用來為二層ACL創建一條規則。
undo rule命令用來為二層ACL刪除一條規則或刪除規則中的部分內容。
【命令】
rule [ rule-id ] { deny | permit } [ cos vlan-pri | counting | dest-mac dest-address dest-mask | { lsap lsap-type lsap-type-mask | type protocol-type protocol-type-mask } | source-mac source-address source-mask | time-range time-range-name ] *
undo rule rule-id [ counting | time-range ] *
【缺省情況】
二層ACL內不存在任何規則。
【視圖】
二層ACL視圖
【缺省用戶角色】
network-admin
【參數】
rule-id:指定二層ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
cos vlan-pri:指定802.1p優先級。vlan-pri表示802.1p優先級,可輸入的形式如下:
· 數字:取值範圍為0~7;
· 名稱:best-effort、background、spare、excellent-effort、controlled-load、video、voice和network-management,依次對應於數字0~7。
counting:表示使能規則匹配統計功能,缺省為關閉。本參數用於使能本規則的匹配統計功能,而packet-filter命令中的hardware-count參數則用於使能指定ACL內所有規則的匹配統計功能。
dest-mac dest-address dest-mask:指定目的MAC地址範圍。dest-address表示目的MAC地址,格式為H-H-H。dest-mask表示目的MAC地址的掩碼,格式為H-H-H。
lsap lsap-type lsap-type-mask:指定LLC封裝中的DSAP字段和SSAP字段。lsap-type表示數據幀的封裝格式,為16比特的十六進製數。lsap-type-mask表示LSAP的類型掩碼,為16比特的十六進製數,用於指定屏蔽位。
type protocol-type protocol-type-mask:指定鏈路層協議類型。protocol-type表示16比特的十六進製數表征的數據幀類型,對應Ethernet_II類型和Ethernet_SNAP類型幀中的type域。protocol-type-mask表示類型掩碼,為16比特的十六進製數,用於指定屏蔽位。
source-mac source-address source-mask:指定源MAC地址範圍。source-address表示源MAC地址,格式為H-H-H。source-mask表示源MAC地址的掩碼,格式為H-H-H。
time-range time-range-name:指定本規則生效的時間段。time-range-name表示時間段的名稱,為1~32個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。有關時間段的詳細介紹和具體配置過程,請參見“ACL和QoS配置指導”中的“時間段”。
【使用指導】
· 當二層ACL用於QoS策略的流分類或用於報文過濾功能時,如果使用lsap參數,則lsap-type必須為AAAA,lsap-type-mask必須為FFFF,否則ACL將無法正常應用。
· 使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
· 新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
· 當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
· 使用undo rule命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· 使用undo rule命令時必須指定一個已存在規則的編號,可以使用display acl all命令來查看所有已存在的規則。
【舉例】
# 為二層ACL 4000創建規則如下:允許ARP報文通過,但拒絕RARP報文通過。
<Sysname> system-view
[Sysname] acl number 4000
[Sysname-acl-ethernetframe-4000] rule permit type 0806 ffff
[Sysname-acl-ethernetframe-4000] rule deny type 8035 ffff
【相關命令】
· acl
· display acl
· step
· time-range(ACL和QoS命令參考/時間段)
rule命令用來為IPv4高級ACL創建一條規則。
undo rule命令用來為IPv4高級ACL刪除一條規則或刪除規則中的部分內容。
【命令】
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { dest-address dest-wildcard | any } | destination-port operator port1 [ port2 ] | { dscp dscp | { precedence precedence | tos tos } * } | fragment | icmp-type { icmp-type [ icmp-code ] | icmp-message } | logging | source { source-address source-wildcard | any } | source-port operator port1 [ port2 ] | time-range time-range-name | vpn-instance vpn-instance-name ] *
undo rule rule-id [ { { ack | fin | psh | rst | syn | urg } * | established } | counting | destination | destination-port | { dscp | { precedence | tos } * } | fragment | icmp-type | logging | source | source-port | time-range | vpn-instance ] *
【缺省情況】
IPv4高級ACL內不存在任何規則。
【視圖】
IPv4高級ACL視圖
【缺省用戶角色】
network-admin
【參數】
rule-id:指定IPv4高級ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
protocol:表示IPv4承載的協議類型,可輸入的形式如下:
· 數字:取值範圍為0~255;
· 名稱(括號內為對應的數字):可選取gre(47)、icmp(1)、igmp(2)、ip、ipinip(4)、ospf(89)、tcp(6)或udp(17)。
protocol之後可配置如表1-7所示的規則信息參數。
|
參數 |
類別 |
作用 |
說明 |
|
source { source-address source-wildcard | any } |
源地址信息 |
指定ACL規則的源地址信息 |
source-address:源IP地址 source-wildcard:源IP地址的通配符掩碼(為0表示主機地址) any:任意源IP地址 |
|
destination { dest-address dest-wildcard | any } |
目的地址信息 |
指定ACL規則的目的地址信息 |
dest-address:目的IP地址 dest-wildcard:目的IP地址的通配符掩碼(為0表示主機地址) any:任意目的IP地址 |
|
counting |
統計 |
使能規則匹配統計功能,缺省為關閉 |
本參數用於使能本規則的匹配統計功能,而packet-filter命令中的hardware-count參數則用於使能指定ACL內所有規則的匹配統計功能 |
|
precedence precedence |
報文優先級 |
IP優先級 |
precedence用數字表示時,取值範圍為0~7;用文字表示時,分別對應routine、priority、immediate、flash、flash-override、critical、internet、network |
|
tos tos |
報文優先級 |
ToS優先級 |
tos用數字表示時,取值範圍為0~15;用文字表示時,可以選取max-reliability(2)、max-throughput(4)、min-delay(8)、min-monetary-cost(1)、normal(0) |
|
dscp dscp |
報文優先級 |
DSCP優先級 |
dscp用數字表示時,取值範圍為0~63;用文字表示時,可以選取af11(10)、af12(12)、af13(14)、af21(18)、af22(20)、af23(22)、af31(26)、af32(28)、af33(30)、af41(34)、af42(36)、af43(38)、cs1(8)、cs2(16)、cs3(24)、cs4(32)、cs5(40)、cs6(48)、cs7(56)、default(0)、ef(46) |
|
fragment |
分片信息 |
僅對分片報文的非首個分片有效,而對非分片報文和分片報文的首個分片無效 |
若未指定該參數,則表示該規則對所有報文(包括非分片報文和分片報文的每個分片)均有效 |
|
logging |
日誌操作 |
對符合條件的報文可記錄日誌信息 |
該功能需要使用該ACL的模塊支持日誌記錄功能,例如報文過濾 |
|
time-range time-range-name |
時間段 |
指定本規則生效的時間段 |
time-range-name:時間段的名稱,為1~32個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。有關時間段的詳細介紹和具體配置過程,請參見“ACL和QoS配置指導”中的“時間段” |
|
vpn-instance vpn-instance-name |
VPN實例 |
對指定VPN實例中的報文有效 |
vpn-instance-name:MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫 若未指定本參數,表示該規則僅對非VPN報文有效 |
當protocol為tcp(6)或udp(17)時,用戶還可配置如表1-8所示的規則信息參數。
表1-8 TCP/UDP特有的規則信息參數
|
參數 |
類別 |
作用 |
說明 |
|
source-port operator port1 [ port2 ] |
源端口 |
定義TCP/UDP報文的源端口信息 |
operator為操作符,取值可以為lt(小於)、gt(大於)、eq(等於)、neq(不等於)或者range(在範圍內,包括邊界值)。隻有操作符range需要兩個端口號做操作數,其它的隻需要一個端口號做操作數 port1、port2:TCP或UDP的端口號,用數字表示時,取值範圍為0~65535;用文字表示時,TCP端口號可以選取chargen(19)、bgp(179)、cmd(514)、daytime(13)、discard(9)、domain(53)、echo (7)、exec (512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)、www(80);UDP端口號可以選取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)、xdmcp(177) |
|
destination-port operator port1 [ port2 ] |
目的端口 |
定義TCP/UDP報文的目的端口信息 |
|
|
{ ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * |
TCP報文標識 |
定義對攜帶不同標誌位(包括ACK、FIN、PSH、RST、SYN和URG六種)的TCP報文的處理規則 |
TCP協議特有的參數。表示匹配攜帶不同標誌位的TCP報文,各value的取值可為0或1(0表示不攜帶此標誌位,1表示攜帶此標誌位) 如果在一條規則中設置了多個TCP標誌位的匹配值,則這些匹配條件之間的關係為“與”。譬如:當配置為ack 0 psh 1時,表示匹配不攜帶ACK且攜帶PSH標誌位的TCP報文 |
|
established |
TCP連接建立標識 |
定義對TCP連接報文的處理規則 |
TCP協議特有的參數,用於定義TCP報文中ACK或RST標誌位為1的報文 |
當protocol為icmp(1)時,用戶還可配置如表1-9所示的規則信息參數。
表1-9 ICMP特有的規則信息參數
|
參數 |
類別 |
作用 |
說明 |
|
icmp-type { icmp-type icmp-code | icmp-message } |
ICMP報文的消息類型和消息碼信息 |
指定本規則中ICMP報文的消息類型和消息碼信息 |
icmp-type:ICMP消息類型,取值範圍為0~255 icmp-code:ICMP消息碼,取值範圍為0~255 icmp-message:ICMP消息名稱。可以輸入的ICMP消息名稱,及其與消息類型和消息碼的對應關係如表1-10所示 |
表1-10 ICMP消息名稱與消息類型和消息碼的對應關係
|
ICMP消息名稱 |
ICMP消息類型 |
ICMP消息碼 |
|
echo |
8 |
0 |
|
echo-reply |
0 |
0 |
|
fragmentneed-DFset |
3 |
4 |
|
host-redirect |
5 |
1 |
|
host-tos-redirect |
5 |
3 |
|
host-unreachable |
3 |
1 |
|
information-reply |
16 |
0 |
|
information-request |
15 |
0 |
|
net-redirect |
5 |
0 |
|
net-tos-redirect |
5 |
2 |
|
net-unreachable |
3 |
0 |
|
parameter-problem |
12 |
0 |
|
port-unreachable |
3 |
3 |
|
protocol-unreachable |
3 |
2 |
|
reassembly-timeout |
11 |
1 |
|
source-quench |
4 |
0 |
|
source-route-failed |
3 |
5 |
|
timestamp-reply |
14 |
0 |
|
timestamp-request |
13 |
0 |
|
ttl-exceeded |
11 |
0 |
【使用指導】
· 當ACL用於QoS策略的流分類或用於報文過濾功能時,不支持配置vpn-instance參數,且不支持配置操作符operator取值為neq。
· 使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
· 新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
· 當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
· 使用undo rule命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· 使用undo rule命令時必須指定一個已存在規則的編號,可以使用display acl all命令來查看所有已存在的規則。
【舉例】
# 為IPv4高級ACL 3000創建規則如下:允許129.9.0.0/16網段內的主機與202.38.160.0/24網段內主機的WWW端口(端口號為80)建立連接。
<Sysname> system-view
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80
# 為IPv4高級ACL 3001創建規則如下:允許IP報文通過,但拒絕發往192.168.1.0/24網段的ICMP報文通過。
<Sysname> system-view
[Sysname] acl number 3001
[Sysname-acl-adv-3001] rule deny icmp destination 192.168.1.0 0.0.0.255
[Sysname-acl-adv-3001] rule permit ip
# 為IPv4高級ACL 3002創建規則如下:在出、入雙方向上都允許建立FTP連接並傳輸FTP數據。
<Sysname> system-view
[Sysname] acl number 3002
[Sysname-acl-adv-3002] rule permit tcp source-port eq ftp
[Sysname-acl-adv-3002] rule permit tcp source-port eq ftp-data
[Sysname-acl-adv-3002] rule permit tcp destination-port eq ftp
[Sysname-acl-adv-3002] rule permit tcp destination-port eq ftp-data
# 為IPv4高級ACL 3003創建規則如下:在出、入雙方向上都允許SNMP報文和SNMP Trap報文通過。
<Sysname> system-view
[Sysname] acl number 3003
[Sysname-acl-adv-3003] rule permit udp source-port eq snmp
[Sysname-acl-adv-3003] rule permit udp source-port eq snmptrap
[Sysname-acl-adv-3003] rule permit udp destination-port eq snmp
[Sysname-acl-adv-3003] rule permit udp destination-port eq snmptrap
【相關命令】
· acl
· acl logging interval
· display acl
· step
· time-range(ACL和QoS命令參考/時間段)
rule命令用來為IPv4基本ACL創建一條規則。
undo rule命令用來為IPv4基本ACL刪除一條規則或刪除規則中的部分內容。
【命令】
rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { source-address source-wildcard | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *
undo rule rule-id [ counting | fragment | logging | source | time-range | vpn-instance ] *
【缺省情況】
IPv4基本ACL內不存在任何規則。
【視圖】
IPv4基本ACL視圖
【缺省用戶角色】
network-admin
【參數】
rule-id:指定IPv4基本ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
counting:表示使能規則匹配統計功能,缺省為關閉。本參數用於使能本規則的匹配統計功能,而packet-filter命令中的hardware-count參數則用於使能指定ACL內所有規則的匹配統計功能。
fragment:表示僅對非首片分片報文有效,而對非分片報文和首片分片報文無效。若未指定本參數,表示該規則對非分片報文和分片報文均有效。
logging:表示對符合條件的報文可記錄日誌信息。該功能需要使用該ACL的模塊支持日誌記錄功能,例如報文過濾。
source { source-address source-wildcard | any }:指定規則的源IP地址信息。source-address表示報文的源IP地址,source-wildcard表示源IP地址的通配符掩碼(為0表示主機地址),any表示任意源IP地址。
time-range time-range-name:指定本規則生效的時間段。time-range-name表示時間段的名稱,為1~32個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。有關時間段的詳細介紹和具體配置過程,請參見“ACL和QoS配置指導”中的“時間段”。
vpn-instance vpn-instance-name:表示對指定VPN實例中的報文有效。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,表示該規則僅對非VPN報文有效。
【使用指導】
· 當ACL用於QoS策略的流分類或用於報文過濾功能時,不支持配置vpn-instance參數。
· 使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
· 新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
· 當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
· 使用undo rule命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· 使用undo rule命令時必須指定一個已存在規則的編號,可以使用display acl all命令來查看所有已存在的規則。
【舉例】
# 為IPv4基本ACL 2000創建規則如下:僅允許來自10.0.0.0/8、172.17.0.0/16和192.168.1.0/24網段的報文通過,而拒絕來自所有其它網段的報文通過。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule permit source 10.0.0.0 0.255.255.255
[Sysname-acl-basic-2000] rule permit source 172.17.0.0 0.0.255.255
[Sysname-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Sysname-acl-basic-2000] rule deny source any
【相關命令】
· acl
· acl logging interval
· display acl
· step
· time-range(ACL和QoS命令參考/時間段)
rule命令用來為IPv6高級ACL創建一條規則。
undo rule命令用來為IPv6高級ACL刪除一條規則或刪除規則中的部分內容。
【命令】
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { dest-address dest-prefix | dest-address/dest-prefix | any } | destination-port operator port1 [ port2 ] | dscp dscp | flow-label flow-label-value | fragment | icmp6-type { icmp6-type icmp6-code | icmp6-message } | logging | routing [ type routing-type ] | hop-by-hop [ type hop-type ] | source { source-address source-prefix | source-address/source-prefix | any } | source-port operator port1 [ port2 ] | time-range time-range-name | vpn-instance vpn-instance-name ] *
undo rule rule-id [ { { ack | fin | psh | rst | syn | urg } * | established } | counting | destination | destination-port | dscp | flow-label | fragment | icmp6-type | logging | routing | hop-by-hop | source | source-port | time-range | vpn-instance ] *
【缺省情況】
IPv6高級ACL內不存在任何規則。
【視圖】
IPv6高級ACL視圖
【缺省用戶角色】
network-admin
【參數】
rule-id:指定IPv6高級ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
protocol:表示IPv6承載的協議類型,可輸入的形式如下:
· 數字:取值範圍為0~255;
· 名稱(括號內為對應的數字):可選取gre(47)、icmpv6(58)、ipv6、ipv6-ah(51)、ipv6-esp(50)、ospf(89)、tcp(6)或udp(17)。
用戶可以將protocol參數指定為表1-11中的值,用來匹配帶有IPv6擴展報文頭的報文。
表1-11 IPv6擴展報文頭的協議值
|
protocol取值 |
IPv6擴展報文頭 |
|
0 |
Hop-by-Hop Options Header |
|
43 |
Routing Header |
|
44 |
Fragment Header |
|
50 |
Encapsulating Security Payload Header |
|
51 |
Authentication Header |
|
60 |
Destination Options Header |
protocol之後可配置如表1-12所示的規則信息參數。
|
參數 |
類別 |
作用 |
說明 |
|
source { source-address source-prefix | source-address/source-prefix | any } |
源IPv6地址 |
指定ACL規則的源IPv6地址信息 |
source-address:源IPv6地址 source-prefix:源IPv6地址的前綴長度,取值範圍1~128 any:任意源IPv6地址 |
|
destination { dest-address dest-prefix | dest-address/dest-prefix | any } |
目的IPv6地址 |
指定ACL規則的目的IPv6地址信息 |
dest-address:目的IPv6地址 dest-prefix:目的IPv6地址的前綴長度,取值範圍1~128 any:任意目的IPv6地址 |
|
counting |
統計 |
使能規則匹配統計功能,缺省為關閉 |
本參數用於使能本規則的匹配統計功能,而packet-filter ipv6命令中的hardware-count參數則用於使能指定ACL內所有規則的匹配統計功能 |
|
dscp dscp |
報文優先級 |
DSCP優先級 |
dscp:用數字表示時,取值範圍為0~63;用名稱表示時,可選取af11(10)、af12(12)、af13(14)、af21(18)、af22(20)、af23(22)、af31(26)、af32(28)、af33(30)、af41(34)、af42(36)、af43(38)、cs1(8)、cs2(16)、cs3(24)、cs4(32)、cs5(40)、cs6(48)、cs7(56)、default(0)或ef(46) |
|
flow-label flow-label-value |
流標簽字段 |
指定IPv6基本報文頭中流標簽字段的值 |
flow-label-value:流標簽字段的值,取值範圍為0~1048575 |
|
fragment |
報文分片 |
僅對分片報文的非首個分片有效,而對非分片報文和分片報文的首個分片無效 |
若未指定本參數,表示該規則對所有報文(包括非分片報文和分片報文的每個分片)均有效 |
|
logging |
日誌操作 |
對符合條件的報文可記錄日誌信息 |
該功能需要使用該ACL的模塊支持日誌記錄功能,例如報文過濾 |
|
routing [ type routing-type ] |
路由頭 |
指定路由頭的類型 |
routing-type:路由頭類型的值,取值範圍為0~255 若指定了type routing-type參數,表示僅對指定類型的路由頭有效;否則,表示對所有類型的路由頭都有效 |
|
hop-type:逐跳頭類型的值,取值範圍為0~255 若指定了type hop-type參數,表示僅對指定類型的逐跳頭有效;否則,表示對所有類型的逐跳頭都有效 |
|||
|
time-range time-range-name |
時間段 |
指定本規則生效的時間段 |
time-range-name:時間段的名稱,為1~32個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。有關時間段的詳細介紹和具體配置過程,請參見“ACL和QoS配置指導”中的“時間段” |
|
vpn-instance vpn-instance-name |
VPN實例 |
對指定VPN實例中的報文有效 |
vpn-instance-name:MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫 若未指定本參數,表示該規則僅對非VPN報文有效 |
當protocol為tcp(6)或udp(17)時,用戶還可配置如表1-13所示的規則信息參數。
表1-13 TCP/UDP特有的規則信息參數
|
參數 |
類別 |
作用 |
說明 |
|
source-port operator port1 [ port2 ] |
源端口 |
定義TCP/UDP報文的源端口信息 |
operator:操作符,取值可以為lt(小於)、gt(大於)、eq(等於)、neq(不等於)或者range(在範圍內,包括邊界值)。隻有range操作符需要兩個端口號做操作數,其它操作符隻需要一個端口號做操作數 port1/port2:TCP或UDP的端口號,用數字表示時,取值範圍為0~65535;用名稱表示時,TCP端口號可選取chargen(19)、bgp(179)、cmd(514)、daytime(13)、discard(9)、domain(53)、echo (7)、exec (512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)或www(80);UDP端口號可選取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)或xdmcp(177) |
|
destination-port operator port1 [ port2 ] |
目的端口 |
定義TCP/UDP報文的目的端口信息 |
|
|
{ ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * |
TCP報文標識 |
定義對攜帶不同標誌位(包括ACK、FIN、PSH、RST、SYN和URG六種)的TCP報文的處理規則 |
TCP協議特有的參數。表示匹配攜帶不同標誌位的TCP報文,各value的取值可為0或1(0表示不攜帶此標誌位,1表示攜帶此標誌位) 如果在一條規則中設置了多個TCP標誌位的匹配值,則這些匹配條件之間的關係為“與”。譬如:當配置為ack 0 psh 1時,表示匹配不攜帶ACK且攜帶PSH標誌位的TCP報文 |
|
established |
TCP連接建立標識 |
定義對TCP連接報文的處理規則 |
TCP協議特有的參數,用於定義TCP報文中ACK或RST標誌位為1的報文 |
當protocol為icmpv6(58)時,用戶還可配置如表1-14所示的規則信息參數。
表1-14 ICMPv6特有的規則信息參數
|
參數 |
類別 |
作用 |
說明 |
|
icmp6-type { icmp6-type icmp6-code | icmp6-message } |
ICMPv6報文的消息類型和消息碼 |
指定本規則中ICMPv6報文的消息類型和消息碼信息 |
icmp6-type:ICMPv6消息類型,取值範圍為0~255 icmp6-code:ICMPv6消息碼,取值範圍為0~255 icmp6-message:ICMPv6消息名稱。可以輸入的ICMPv6消息名稱,及其與消息類型和消息碼的對應關係如表1-15所示 |
表1-15 ICMPv6消息名稱與消息類型和消息碼的對應關係
|
ICMPv6消息名稱 |
ICMPv6消息類型 |
ICMPv6消息碼 |
|
echo-reply |
129 |
0 |
|
echo-request |
128 |
0 |
|
err-Header-field |
4 |
0 |
|
frag-time-exceeded |
3 |
1 |
|
hop-limit-exceeded |
3 |
0 |
|
host-admin-prohib |
1 |
1 |
|
host-unreachable |
1 |
3 |
|
neighbor-advertisement |
136 |
0 |
|
neighbor-solicitation |
135 |
0 |
|
network-unreachable |
1 |
0 |
|
packet-too-big |
2 |
0 |
|
port-unreachable |
1 |
4 |
|
redirect |
137 |
0 |
|
router-advertisement |
134 |
0 |
|
router-solicitation |
133 |
0 |
|
unknown-ipv6-opt |
4 |
2 |
|
unknown-next-hdr |
4 |
1 |
【使用指導】
· 當ACL用於QoS策略的流分類時,不支持配置vpn-instance、fragment參數;不支持配置操作符operator取值為neq;如果QoS策略應用於出方向,則不支持配置routing、hop-by-hop、flow-label參數,不支持配置protocol參數取值為0、43、44、51、60。
· 當ACL用於報文過濾時,不支持配置vpn-instance、routing、hop-by-hop、fragment、flow-label參數;不支持配置protocol參數取值為0、43、44、51、60;不支持配置操作符operator取值為neq。
· 如果ACL匹配的是IPv6擴展報文頭內層的報文內容,則對於擴展報文頭超過兩層,或包含Encapsulating Security Payload Header報文頭的報文,ACL將無法進行匹配。
· 使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
· 新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
· 當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
· 使用undo rule命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· 使用undo rule命令時必須指定一個已存在規則的編號,可以使用display acl ipv6 all命令來查看所有已存在的規則。
【舉例】
# 為IPv6高級ACL 3000創建規則如下:允許2030:5060::/64網段內的主機與FE80:5060::/96網段內主機的WWW端口(端口號為80)建立連接。
<Sysname> system-view
[Sysname] acl ipv6 number 3000
[Sysname-acl6-adv-3000] rule permit tcp source 2030:5060::/64 destination fe80:5060::/96 destination-port eq 80
# 為IPv6高級ACL 3001創建規則如下:允許IPv6報文通過,但拒絕發往FE80:5060:1001::/48網段的ICMPv6報文通過。
<Sysname> system-view
[Sysname] acl ipv6 number 3001
[Sysname-acl6-adv-3001] rule deny icmpv6 destination fe80:5060:1001:: 48
[Sysname-acl6-adv-3001] rule permit ipv6
# 為IPv6高級ACL 3002創建規則如下:在出、入雙方向上都允許建立FTP連接並傳輸FTP數據。
<Sysname> system-view
[Sysname] acl ipv6 number 3002
[Sysname-acl6-adv-3002] rule permit tcp source-port eq ftp
[Sysname-acl6-adv-3002] rule permit tcp source-port eq ftp-data
[Sysname-acl6-adv-3002] rule permit tcp destination-port eq ftp
[Sysname-acl6-adv-3002] rule permit tcp destination-port eq ftp-data
# 為IPv6高級ACL 3003創建規則如下:在出、入雙方向上都允許SNMP報文和SNMP Trap報文通過。
<Sysname> system-view
[Sysname] acl ipv6 number 3003
[Sysname-acl6-adv-3003] rule permit udp source-port eq snmp
[Sysname-acl6-adv-3003] rule permit udp source-port eq snmptrap
[Sysname-acl6-adv-3003] rule permit udp destination-port eq snmp
[Sysname-acl6-adv-3003] rule permit udp destination-port eq snmptrap
【相關命令】
· acl
· acl logging interval
· display acl
· step
· time-range(ACL和QoS命令參考/時間段)
rule命令用來為IPv6基本ACL創建一條規則。
undo rule命令用來為IPv6基本ACL刪除一條規則或刪除規則中的部分內容。
【命令】
rule [ rule-id ] { deny | permit } [ counting | fragment | logging | routing [ type routing-type ] | source { source-address source-prefix | source-address/source-prefix | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *
undo rule rule-id [ counting | fragment | logging | routing | source | time-range | vpn-instance ] *
【缺省情況】
IPv6基本ACL內不存在任何規則。
【視圖】
IPv6基本ACL視圖
【缺省用戶角色】
network-admin
【參數】
rule-id:指定IPv6基本ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
counting:表示使能規則匹配統計功能,缺省為關閉。本參數用於使能本規則的匹配統計功能,而packet-filter ipv6命令中的hardware-count參數則用於使能指定ACL內所有規則的匹配統計功能。
fragment:表示僅對非首片分片報文有效,而對非分片報文和首片分片報文無效。若未指定本參數,表示該規則對非分片報文和分片報文均有效。
logging:表示對符合條件的報文可記錄日誌信息。該功能需要使用該ACL的模塊支持日誌記錄功能,例如報文過濾。
routing [ type routing-type ]:表示對所有或指定類型的路由頭有效,routing-type表示路由頭類型的值,取值範圍為0~255。若指定了type routing-type參數,表示僅對指定類型的路由頭有效;否則,表示對所有類型的路由頭都有效。
source { source-address source-prefix | source-address/source-prefix | any }:指定規則的源IPv6地址信息。source-address表示報文的源IPv6地址,source-prefix表示源IPv6地址的前綴長度,取值範圍為1~128,any表示任意源IPv6地址。
time-range time-range-name:指定本規則生效的時間段。time-range-name表示時間段的名稱,為1~32個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。有關時間段的詳細介紹和具體配置過程,請參見“ACL和QoS配置指導”中的“時間段”。
vpn-instance vpn-instance-name:表示對指定VPN實例中的報文有效。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,表示該規則僅對非VPN報文有效。
【使用指導】
· 當ACL用於QoS策略的流分類或用於報文過濾功能時,不支持配置vpn-instance和fragment參數,在出方向不支持routing參數。
· 使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
· 新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
· 當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
· 使用undo rule命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· 使用undo rule命令時必須指定一個已存在規則的編號,可以使用display acl ipv6 all命令來查看所有已存在的規則。
【舉例】
# 為IPv6基本ACL 2000創建規則如下:僅允許來自1001::/16、3124:1123::/32和FE80:5060:1001::/48網段的報文通過,而拒絕來自所有其它網段的報文通過。
<Sysname> system-view
[Sysname] acl ipv6 number 2000
[Sysname-acl6-basic-2000] rule permit source 1001:: 16
[Sysname-acl6-basic-2000] rule permit source 3124:1123:: 32
[Sysname-acl6-basic-2000] rule permit source fe80:5060:1001:: 48
[Sysname-acl6-basic-2000] rule deny source any
【相關命令】
· acl
· acl logging interval
· display acl
· step
· time-range(ACL和QoS命令參考/時間段)
rule comment命令用來為指定規則配置描述信息。
undo rule comment命令用來刪除指定規則的描述信息。
【命令】
rule rule-id comment text
undo rule rule-id comment
【缺省情況】
規則沒有任何描述信息。
【視圖】
IPv4基本ACL視圖/IPv4高級ACL視圖/IPv6基本ACL視圖/IPv6高級ACL視圖/二層ACL視圖
【缺省用戶角色】
network-admin
【參數】
rule-id:指定規則的編號,該規則必須存在。取值範圍為0~65534。
text:表示規則的描述信息,為1~127個字符的字符串,區分大小寫。
【使用指導】
使用rule comment命令時,如果指定的規則沒有描述信息,則為其添加描述信息,否則修改其描述信息。
【舉例】
# 為IPv4基本ACL 2000配置規則0,並為該規則配置描述信息。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule 0 deny source 1.1.1.1 0
[Sysname-acl-basic-2000] rule 0 comment This rule is used on Ten-GigabitEthernet 1/0/1.
【相關命令】
· display acl
step命令用來配置規則編號的步長。
undo step命令用來恢複缺省情況。
【命令】
step step-value
undo step
【缺省情況】
規則編號的步長為5。
【視圖】
IPv4基本ACL視圖/IPv4高級ACL視圖/IPv6基本ACL視圖/IPv6高級ACL視圖/二層ACL視圖
【缺省用戶角色】
network-admin
【參數】
step-value:表示規則編號的步長值,取值範圍為1~20。
【舉例】
# 將IPv4基本ACL 2000的規則編號的步長配置為2。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] step 2
【相關命令】
· display acl
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
