- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-ACL命令
本章節下載: 01-ACL命令 (304.51 KB)
1.1.13 rule (Ethernet frame header ACL view)
1.1.14 rule (IPv4 advanced ACL view)
1.1.15 rule (IPv4 basic ACL view)
1.1.16 rule (IPv6 advanced ACL view)
1.1.17 rule (IPv6 basic ACL view)
【命令】
acl number acl-number [ name acl-name ] [ match-order { auto | config } ]
undo acl { all | name acl-name | number acl-number }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
number acl-number:指定ACL的編號。acl-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 100~199:表示WLAN ACL;
· 2000~2999:表示IPv4基本ACL;
· 3000~3999:表示IPv4高級ACL;
· 4000~4999:表示二層ACL;
· 5000~5999:表示用戶自定義ACL。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
參數 |
描述 |
|
MSR800 |
acl |
acl-number |
2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
|
MSR 900 |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR900-E |
2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR 930 |
2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR 20-1X |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR 20 |
|||
|
MSR 30 |
|||
|
MSR 50 |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL MPU-G2不支持WLAN ACL |
||
|
MSR 2600 |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR3600-51F |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
name acl-name:指定ACL的名稱。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。WLAN ACL不支持本參數,即不允許為WLAN ACL設置名稱
match-order { auto | config }:指定規則的匹配順序,auto表示按照自動排序(即“深度優先”原則)的順序進行規則匹配,config表示按照配置順序進行規則匹配。缺省情況下,規則的匹配順序為配置順序。WLAN ACL和用戶自定義ACL都不支持本參數,它們的規則匹配順序都隻能為配置順序。
all:指定全部ACL(包括WLAN ACL、IPv4基本ACL、IPv4高級ACL、二層ACL和用戶自定義ACL)。
【描述】
acl命令用來創建一個WLAN ACL、IPv4基本ACL、IPv4高級ACL、二層ACL或用戶自定義ACL,並進入相應的ACL視圖。undo acl命令用來刪除指定或全部ACL(包括WLAN ACL、IPv4基本ACL、IPv4高級ACL、二層ACL和用戶自定義ACL)。
缺省情況下,不存在任何ACL。
需要注意的是:
· 使用acl命令時,如果指定編號的ACL不存在,則創建該ACL並進入其視圖,否則直接進入其視圖。
· ACL的名稱隻能在創建時設置。ACL一旦創建,便不允許再修改或刪除其原有名稱。
· 當ACL內不存在任何規則時,用戶可以使用本命令對該ACL的規則匹配順序進行修改,否則不允許進行修改。
相關配置可參考命令display acl。
【舉例】
# 創建一個編號為2000的IPv4基本ACL,並進入其視圖。
<Sysname> system-view
[Sysname] acl number 2000
# 創建一個編號為2001的IPv4基本ACL,指定其名稱為flow,並進入其視圖。
<Sysname> system-view
[Sysname] acl number 2001 name flow
[Sysname-acl-basic-2001-flow]
【命令】
acl copy { source-acl-number | name source-acl-name } to { dest-acl-number | name dest-acl-name }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
source-acl-number:指定源ACL的編號,該ACL必須存在。本參數的取值範圍及其代表的ACL類型如下:
· 100~199:表示WLAN ACL;
· 2000~2999:表示IPv4基本ACL;
· 3000~3999:表示IPv4高級ACL;
· 4000~4999:表示二層ACL;
· 5000~5999:表示用戶自定義ACL。
name source-acl-name:指定源ACL的名稱,該ACL必須存在。source-acl-name為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。WLAN ACL不支持本參數,即不允許為WLAN ACL設置名稱。
dest-acl-number:指定目的ACL的編號,該ACL必須不存在。若未指定本參數,係統將為目的ACL自動分配一個與源ACL類型相同且可用的最小編號。本參數的取值範圍及其代表的ACL類型如下:
· 100~199:表示WLAN ACL;
· 2000~2999:表示IPv4基本ACL;
· 3000~3999:表示IPv4高級ACL;
· 4000~4999:表示二層ACL;
· 5000~5999:表示用戶自定義ACL。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
參數 |
描述 |
|
MSR800 |
acl copy |
acl-number |
2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
|
MSR 900 |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR900-E |
2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR 930 |
2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR 20-1X |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR 20 |
|||
|
MSR 30 |
|||
|
MSR 50 |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL MPU-G2不支持WLAN ACL |
||
|
MSR 2600 |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR3600-51F |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
name dest-acl-name:指定目的ACL的名稱,該ACL必須不存在。dest-acl-name為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。WLAN ACL不支持本參數,即不允許為WLAN ACL設置名稱。若未指定本參數,係統將不會為目的ACL設置名稱。
【描述】
acl copy命令用來複製並生成新的WLAN ACL、IPv4基本ACL、IPv4高級ACL、二層ACL或用戶自定義ACL。
需要注意的是:
· 目的ACL的類型要與源ACL的類型相同。
· 目的ACL的名稱隻能在複製時設置。且目的ACL一旦生成,便不允許再修改或刪除其原有名稱。
· 除了ACL的編號和名稱不同外,新生成的ACL(即目的ACL)的匹配順序、規則匹配統計功能的使能情況、規則編號的步長、所包含的規則、規則的描述信息以及ACL的描述信息等都與源ACL的相同。
【舉例】
# 通過複製已存在的IPv4基本ACL 2001,來生成一個新的編號為2002的同類型ACL。
<Sysname> system-view
[Sysname] acl copy 2001 to 2002
【命令】
acl ipv6 number acl6-number [ name acl6-name ] [ match-order { auto | config } ]
undo acl ipv6 { all | name acl6-name | number acl6-number }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
number acl6-number:指定ACL的編號。acl6-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示IPv6基本ACL;
· 3000~3999:表示IPv6高級ACL;
· 10000~42767:表示簡單ACL。
name acl6-name:指定ACL的名稱。acl6-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。簡單ACL不支持本參數,即不允許為簡單ACL設置名稱。
match-order { auto | config }:指定規則的匹配順序,auto表示按照自動排序(即“深度優先”原則)的順序進行規則匹配,config表示按照配置順序進行規則匹配。缺省情況下,規則的匹配順序為配置順序。簡單ACL不支持本參數,因為簡單ACL隻能包含一條規則,因此不存在匹配順序的問題。
all:指定全部ACL(包括IPv6基本ACL、IPv6高級ACL和簡單ACL)。
【描述】
acl ipv6命令用來創建一個IPv6基本ACL、IPv6高級ACL或簡單ACL,並進入相應的ACL視圖。undo acl ipv6命令用來刪除指定或全部ACL(包括IPv6基本ACL、IPv6高級ACL和簡單ACL)。
缺省情況下,不存在任何ACL。
需要注意的是:
· 使用acl ipv6命令時,如果指定編號的ACL不存在,則創建該ACL並進入其視圖,否則直接進入其視圖。
· ACL的名稱隻能在創建時設置。ACL一旦創建,便不允許再修改或刪除其原有名稱。
· 當ACL內不存在任何規則時,用戶可以使用本命令對該ACL的規則匹配順序進行修改,否則不允許進行修改。
相關配置可參考命令display acl ipv6。
【舉例】
# 創建一個編號為2000的IPv6基本ACL,並進入其視圖。
<Sysname> system-view
[Sysname] acl ipv6 number 2000
# 創建一個編號為2001的IPv6基本ACL,指定其名稱為flow,並進入其視圖。
<Sysname> system-view
[Sysname] acl ipv6 number 2001 name flow
[Sysname-acl6-basic-2001-flow]
【命令】
acl ipv6 copy { source-acl6-number | name source-acl6-name } to { dest-acl6-number | name dest-acl6-name }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
source-acl6-number:指定源ACL的編號,該ACL必須存在。本參數的取值範圍及其代表的ACL類型如下:
· 2000~2999:表示IPv6基本ACL;
· 3000~3999:表示IPv6高級ACL。
name source-acl6-name:指定源ACL的名稱,該ACL必須存在。source-acl6-name為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。
dest-acl6-number:指定目的ACL的編號,該ACL必須不存在。若未指定本參數,係統將為目的ACL自動分配一個與源ACL類型相同且可用的最小編號。本參數的取值範圍及其代表的ACL類型如下:
· 2000~2999:表示IPv6基本ACL;
· 3000~3999:表示IPv6高級ACL。
name dest-acl6-name:指定目的ACL的名稱,該ACL必須不存在。dest-acl6-name為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。若未指定本參數,係統將不會為目的ACL設置名稱。
【描述】
acl ipv6 copy命令用來複製並生成新的IPv6基本ACL或IPv6高級ACL。
需要注意的是:
· 目的ACL的類型要與源ACL的類型相同。
· 目的ACL的名稱隻能在複製時設置。目的ACL一旦生成,便不允許再修改或刪除其原有名稱。
· 除了ACL的編號和名稱不同外,新生成的目的ACL的匹配順序、規則匹配統計功能的使能情況、規則編號的步長、所包含的規則、規則的描述信息以及ACL的描述信息等都與源ACL的相同。
【舉例】
# 通過複製已存在的IPv6基本ACL 2001,來生成一個新的編號為2002的同類型ACL。
<Sysname> system-view
[Sysname] acl ipv6 copy 2001 to 2002
【命令】
acl ipv6 name acl6-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
acl6-name:指定IPv6基本ACL或IPv6高級ACL的名稱,該ACL必須存在。為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。
【描述】
acl ipv6 name命令用來進入指定名稱的IPv6基本ACL或IPv6高級ACL視圖。
相關配置可參考命令acl ipv6。
【舉例】
# 進入名稱為flow的IPv6基本ACL的視圖。
<Sysname> system-view
[Sysname] acl ipv6 name flow
[Sysname-acl6-basic-2001-flow]
【命令】
acl name acl-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
acl-name:指定IPv4基本ACL、IPv4高級ACL、二層ACL或用戶自定義ACL的名稱,該ACL必須存在。本參數為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。
【描述】
acl name命令用來進入指定名稱的IPv4基本ACL、IPv4高級ACL、二層ACL或用戶自定義ACL視圖。
相關配置可參考命令acl。
【舉例】
# 進入名稱為flow的IPv4基本ACL的視圖。
<Sysname> system-view
[Sysname] acl name flow
[Sysname-acl-basic-2001-flow]
【命令】
description text
undo description
【視圖】
WLAN ACL視圖/IPv4基本ACL視圖/IPv4高級ACL視圖/IPv6基本ACL視圖/IPv6高級ACL視圖/二層ACL視圖/用戶自定義ACL視圖/簡單ACL視圖
【缺省級別】
2:係統級
【參數】
text:表示ACL的描述信息,為1~127個字符的字符串,區分大小寫。
【描述】
description命令用來配置ACL的描述信息。undo description命令用來刪除ACL的描述信息。
缺省情況下,ACL沒有任何描述信息。
相關配置可參考命令display acl和display acl ipv6。
MSR 50路由器的MPU-G2主控板、MSR800、MSR900-E和MSR 930路由器不支持WLAN ACL視圖。
【舉例】
# 為IPv4基本ACL 2000配置描述信息。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] description This is an IPv4 basic ACL.
# 為IPv6基本ACL 2000配置描述信息。
<Sysname> system-view
[Sysname] acl ipv6 number 2000
[Sysname-acl6-basic-2000] description This is an IPv6 basic ACL.
【命令】
display acl { acl-number | all | name acl-name } [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
acl-number:顯示指定編號的ACL的配置和運行情況。acl-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 100~199:表示WLAN ACL;
· 2000~2999:表示IPv4基本ACL;
· 3000~3999:表示IPv4高級ACL;
· 4000~4999:表示二層ACL;
· 5000~5999:表示用戶自定義ACL。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
參數 |
描述 |
|
MSR800 |
display acl |
acl-number |
2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
|
MSR 900 |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR900-E |
2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR 930 |
2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR 20-1X |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR 20 |
|||
|
MSR 30 |
|||
|
MSR 50 |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL MPU-G2不支持WLAN ACL |
||
|
MSR 2600 |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR3600-51F |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
all:顯示全部ACL(包括WLAN ACL、IPv4基本ACL、IPv4高級ACL、二層ACL和用戶自定義ACL)的配置和運行情況。
name acl-name:顯示指定名稱的ACL的配置和運行情況。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display acl命令用來顯示指定或全部ACL(包括WLAN ACL、IPv4基本ACL、IPv4高級ACL、二層ACL和用戶自定義ACL)的配置和運行情況。
需要注意的是,本命令將按照實際匹配順序來排列ACL內的規則,即:當ACL的規則匹配順序為配置順序時,各規則將按照編號由小到大排列;當ACL的規則匹配順序為自動排序時,各規則將按照“深度優先”原則由深到淺排列。
【舉例】
# 顯示全部ACL(包括WLAN ACL、IPv4基本ACL、IPv4高級ACL、二層ACL和用戶自定義ACL)的配置和運行情況。
<Sysname> display acl all
Basic ACL 2000, named flow, 3 rules,
This is an IPv4 basic ACL.
Statistics is enabled
ACL's step is 5
rule 0 permit
rule 5 permit source 1.1.1.1 0 (2 times matched)
rule 10 permit vpn-instance mk
Basic ACL 2001, named -none-, 3 rules, match-order is auto,
ACL's step is 5
rule 10 permit vpn-instance rd
rule 10 comment This rule is used in VPN rd.
rule 5 permit source 2.2.2.2 0
rule 0 permit
表1-1 display acl命令顯示信息描述表
|
字段 |
描述 |
|
Basic ACL 2000 |
該ACL的類型和編號,ACL的類型包括: · WLAN ACL:表示WLAN ACL · Basic ACL:表示IPv4基本ACL · Advanced ACL:表示IPv4高級ACL · Ethernet frame ACL:表示二層ACL · User defined ACL:表示用戶自定義ACL |
|
named flow |
該ACL的名稱為flow,-none-表示沒有名稱(WLAN ACL沒有本字段) |
|
3 rules |
該ACL內包含的規則數量 |
|
match-order is auto |
該ACL的規則匹配順序為自動排序(匹配順序為配置順序時不顯示本字段) |
|
This is an IPv4 basic ACL. |
該ACL的描述信息 |
|
ACL's step is 5 |
該ACL的規則編號的步長值為5 |
|
rule 0 permit |
規則0的具體內容 |
|
2 times matched |
該規則匹配的次數為2(僅統計軟件ACL的匹配次數,當匹配次數為0時不顯示本字段) |
|
Uncompleted |
該規則下發未完成,因此不會生效。這種情況通常是在ACL被動態修改之後,由於該規則的資源不足或硬件限製而導致其應用失敗 |
|
rule 10 comment This rule is used in VPN rd. |
規則10的描述信息 |
【命令】
display acl ipv6 { acl6-number | all | name acl6-name } [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
acl6-number:顯示指定編號的ACL的配置和運行情況。acl6-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示IPv6基本ACL;
· 3000~3999:表示IPv6高級ACL;
· 10000~42767:表示簡單ACL。
all:顯示全部ACL(包括IPv6基本ACL、IPv6高級ACL和簡單ACL)的配置和運行情況。
name acl6-name:顯示指定名稱的ACL的配置和運行情況。acl6-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display acl ipv6命令用來顯示指定或全部ACL(包括IPv6基本ACL、IPv6高級ACL和簡單ACL)的配置和運行情況。
需要注意的是,本命令將按照實際匹配順序來排列ACL內的規則,即:當ACL的規則匹配順序為配置順序時,各規則將按照編號由小到大排列;當ACL的規則匹配順序為自動排序時,各規則將按照“深度優先”原則由深到淺排列。
【舉例】
# 顯示全部ACL(包括IPv6基本ACL、IPv6高級ACL和簡單ACL)的配置和運行情況。
<Sysname> display acl ipv6 all
Basic IPv6 ACL 2000, named flow, 3 rules,
This is an IPv6 basic ACL.
Statistics is enabled
ACL's step is 5
rule 0 permit
rule 5 permit source 1::/64 (2 times matched)
rule 10 permit vpn-instance mk
Basic IPv6 ACL 2001, named -none-, 3 rules, match-order is auto,
ACL's step is 5
rule 10 permit vpn-instance mk
rule 10 comment This rule is used in VPN rd
rule 5 permit source 1::/64
rule 0 permit
表1-2 display acl ipv6命令顯示信息描述表
|
字段 |
描述 |
|
Basic IPv6 ACL 2000 |
該ACL的類型和編號,ACL的類型包括: · Basic IPv6 ACL:表示IPv6基本ACL · Advanced IPv6 ACL:表示IPv6高級ACL · Simple IPv6 ACL:表示簡單ACL |
|
named flow |
該ACL的名稱為flow,-none-表示沒有名稱(簡單ACL沒有本字段) |
|
3 rules |
該ACL內包含的規則數量 |
|
match-order is auto |
該ACL的規則匹配順序為自動排序(匹配順序為配置順序時不顯示本字段) |
|
This is an IPv6 basic ACL. |
該ACL的描述信息 |
|
ACL's step is 5 |
該ACL的規則編號的步長值為5 |
|
rule 0 permit |
規則0的具體內容 |
|
2 times matched |
該規則匹配的次數為5,僅統計軟件ACL的匹配次數(匹配次數為0時不顯示本字段) |
|
Uncompleted |
該規則下發未完成,因此不會生效。這種情況通常是在ACL被動態修改之後,由於該規則的資源不足或硬件限製而導致其應用失敗 |
|
rule 10 comment This rule is used in VPN rd |
規則10的描述信息 |
【命令】
display time-range { time-range-name | all } [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
time-range-name:顯示指定名稱的時間段的配置和狀態信息。time-range-name表示時間段的名稱,為1~32個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。
all:顯示所有時間段的配置和狀態信息。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display time-range命令用來顯示時間段的配置和狀態信息。
【舉例】
# 顯示時間段t4的配置和狀態信息。
<Sysname> display time-range t4
Current time is 17:12:34 4/13/2010 Tuesday
Time-range : t4 ( Inactive )
10:00 to 12:00 Mon
14:00 to 16:00 Wed
from 00:00 1/1/2010 to 00:00 2/1/2010
from 00:00 6/1/2010 to 00:00 7/1/2010
表1-3 display time-range命令顯示信息描述表
|
字段 |
描述 |
|
Current time |
係統當前的時間 |
|
Time-range |
時間段的配置信息,包括: · 時間段的名稱 · 時間段的狀態,包括Active(生效)和Inactive(未生效)兩種狀態 · 時間段的時間範圍 |
【命令】
reset acl counter { acl-number | all | name acl-name }
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
acl-number:指定ACL的編號,取值範圍及其代表的ACL類型如下:
· 100~199:表示WLAN ACL;
· 2000~2999:表示IPv4基本ACL;
· 3000~3999:表示IPv4高級ACL;
· 4000~4999:表示二層ACL;
· 5000~5999:表示用戶自定義ACL。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
參數 |
描述 |
|
MSR800 |
reset acl counter |
acl-number |
2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
|
MSR 900 |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR900-E |
2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR 930 |
2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR 20-1X |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR 20 |
|||
|
MSR 30 |
|||
|
MSR 50 |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL MPU-G2不支持WLAN ACL |
||
|
MSR 2600 |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
||
|
MSR3600-51F |
100~199:WLAN ACL 2000~2999:基本IPv4 ACL 3000~3999:高級IPv4 AC 4000~4999:二層ACL 5000~5999:用戶自定義的ACL |
all:指定全部ACL(包括WLAN ACL、IPv4基本ACL、IPv4高級ACL、二層ACL和用戶自定義ACL)。
name acl-name:指定ACL的名稱。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。
【描述】
reset acl counter命令用來清除指定或全部ACL(包括WLAN ACL、IPv4基本ACL、IPv4高級ACL、二層ACL和用戶自定義ACL)的統計信息。
相關配置可參考命令display acl。
【舉例】
# 清除編號為2001的IPv4基本ACL的統計信息。
<Sysname> reset acl counter 2001
【命令】
reset acl ipv6 counter { acl6-number | all | name acl6-name }
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
acl6-number:指定ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示IPv6基本ACL;
· 3000~3999:表示IPv6高級ACL。
all:指定全部ACL(包括IPv6基本ACL和IPv6高級ACL)。
name acl6-name:指定ACL的名稱。acl6-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。
【描述】
reset acl ipv6 counter命令用來清除全部ACL(包括IPv6基本ACL和IPv6高級ACL)的統計信息。
相關配置可參考命令display acl ipv6。
【舉例】
# 清除編號為2001的IPv6基本ACL的統計信息。
<Sysname> reset acl ipv6 counter 2001
【命令】
rule [ rule-id ] { deny | permit } [ cos vlan-pri | counting | dest-mac dest-address dest-mask | logging | { lsap lsap-type lsap-type-mask | type protocol-type protocol-type-mask } | source-mac source-address source-mask | time-range time-range-name ] *
undo rule rule-id [ counting | time-range ] *
【視圖】
二層ACL視圖
【缺省級別】
2:係統級
【參數】
rule-id:指定二層ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
cos vlan-pri:指定802.1p優先級。vlan-pri表示802.1p優先級,可輸入的形式如下:
· 數字:取值範圍為0~7;
· 名稱:best-effort、background、spare、excellent-effort、controlled-load、video、voice和network-management,依次對應於數字0~7。
counting:表示使能本規則的匹配統計功能,缺省為關閉。
dest-mac dest-addr dest-mask:指定目的MAC地址範圍。dest-addr表示目的MAC地址,格式為H-H-H。dest-mask表示目的MAC地址的掩碼,格式為H-H-H。
logging:表示對符合條件的報文可記錄日誌信息。該功能需要使用該ACL的模塊支持日誌記錄功能。
lsap lsap-type lsap-type-mask:指定LLC封裝中的DSAP字段和SSAP字段。lsap-type表示數據幀的封裝格式,為16比特的十六進製數。lsap-type-mask表示LSAP的類型掩碼,為16比特的十六進製數,用於指定屏蔽位。
type protocol-type protocol-type-mask:指定鏈路層協議類型。protocol-type表示16比特的十六進製數表征的數據幀類型,對應Ethernet_II類型和Ethernet_SNAP類型幀中的type域。protocol-type-mask表示類型掩碼,為16比特的十六進製數,用於指定屏蔽位。
source-mac sour-addr source-mask:指定源MAC地址範圍。sour-addr表示源MAC地址,格式為H-H-H。sour-mask表示源MAC地址的掩碼,格式為H-H-H。
time-range time-range-name:指定規則生效的時間段。time-range-name表示時間段的名稱,為1~32個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。
【描述】
rule命令用來為二層ACL創建一條規則。undo rule命令用來為二層ACL刪除一條規則或刪除規則中的部分內容。
缺省情況下,二層ACL內不存在任何規則。
需要注意的是:
· 使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
· 新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
· 當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
· 使用undo rule命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· 使用undo rule命令時必須指定一個已存在規則的編號,可以使用display acl all命令來查看所有已存在的規則。
相關配置可參考命令acl、display acl、step和time-range。
【舉例】
# 為二層ACL 4000創建規則如下:允許ARP報文通過,但拒絕RARP報文通過。
<Sysname> system-view
[Sysname] acl number 4000
[Sysname-acl-ethernetframe-4000] rule permit type 0806 ffff
[Sysname-acl-ethernetframe-4000] rule deny type 8035 ffff
【命令】
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { dest-address dest-wildcard | any } | destination-port operator port1 [ port2 ] | dscp dscp | fragment | icmp-type { icmp-type [ icmp-code ] | icmp-message } | logging | precedence precedence | source { source-address source-wildcard | any } | source-port operator port1 [ port2 ] | time-range time-range-name | tos tos | vpn-instance vpn-instance-name ] *
undo rule rule-id [ { { ack | fin | psh | rst | syn | urg } * | established } | counting | destination | destination-port | dscp | fragment | icmp-type | logging | precedence | source | source-port | time-range | tos | vpn-instance ] *
【視圖】
IPv4高級ACL視圖
【缺省級別】
2:係統級
【參數】
rule-id:指定IPv4高級ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
protocol:表示IPv4承載的協議類型,可輸入的形式如下:
· 數字:取值範圍為0~255;
· 名稱(括號內為對應的數字):可選取gre(47)、icmp(1)、igmp(2)、ip、ipinip(4)、ospf(89)、tcp(6)或udp(17)。
protocol之後可配置如表1-4所示的規則信息參數。
|
參數 |
類別 |
作用 |
說明 |
|
source { sour-addr sour-wildcard | any } |
源地址 |
指定ACL規則的源地址信息 |
source-address:源IP地址 source-wildcard:源IP地址的通配符掩碼(為0表示主機地址) any:任意源IP地址 |
|
destination { dest-addr dest-wildcard | any } |
目的地址 |
指定ACL規則的目的地址信息 |
dest-address:目的IP地址 dest-wildcard:目的IP地址的通配符掩碼(為0表示主機地址) any:任意目的IP地址 |
|
counting |
統計 |
使能本規則的匹配統計功能,缺省為關閉 |
- |
|
precedence precedence |
報文優先級 |
IP優先級 |
precedence:用數字表示時,取值範圍為0~7;用名稱表示時,為routine、priority、immediate、flash、flash-override、critical、internet或network,分別對應於數字0~7 |
|
tos tos |
報文優先級 |
ToS優先級 |
tos:用數字表示時,取值範圍為0~15;用名稱表示時,可選取max-reliability(2)、max-throughput(4)、min-delay(8)、min-monetary-cost(1)或normal(0) |
|
dscp dscp |
報文優先級 |
DSCP優先級 |
dscp:用數字表示時,取值範圍為0~63;用名稱表示時,可選取af11(10)、af12(12)、af13(14)、af21(18)、af22(20)、af23(22)、af31(26)、af32(28)、af33(30)、af41(34)、af42(36)、af43(38)、cs1(8)、cs2(16)、cs3(24)、cs4(32)、cs5(40)、cs6(48)、cs7(56)、default(0)或ef(46) |
|
logging |
日誌操作 |
對符合條件的報文可記錄日誌信息 |
該功能需要使用該ACL的模塊支持日誌記錄功能 |
|
vpn-instance vpn-instance-name |
VPN實例 |
對指定VPN實例中的報文有效 |
vpn-instance-name:MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫 若未指定本參數,表示該規則僅對非VPN報文有效 |
|
fragment |
報文分片 |
僅分片報文的非首個分片有效,而對非分片報文和分片報文的首個分片報文無效 |
若未指定本參數,表示該規則對所有報文(包括非分片報文和分片報文的每個分片)均有效 |
|
time-range time-range-name |
時間段 |
指定規則生效的時間段 |
time-range-name:時間段的名稱,為1~32個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效 |
如果指定參數dscp的同時還指定了參數precedence或tos,那麼對參數precedence和tos所作的配置將不會生效。
當protocol為tcp(6)或udp(17)時,用戶還可配置如表1-5所示的規則信息參數。
表1-5 TCP/UDP特有的規則信息參數
|
參數 |
類別 |
作用 |
說明 |
|
source-port operator port1 [ port2 ] |
源端口 |
定義TCP/UDP報文的源端口信息 |
operator:操作符,取值可以為lt(小於)、gt(大於)、eq(等於)、neq(不等於)或者range(在範圍內,包括邊界值)。隻有range操作符需要兩個端口號做操作數,其它操作符隻需要一個端口號做操作數 port1/port2:TCP或UDP的端口號,用數字表示時,取值範圍為0~65535;用名稱表示時,TCP端口號可選取chargen(19)、bgp(179)、cmd(514)、daytime(13)、discard(9)、domain(53)、echo (7)、exec (512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)或www(80);UDP端口號可選取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)或xdmcp(177) |
|
destination-port operator port1 [ port2 ] |
目的端口 |
定義TCP/UDP報文的目的端口信息 |
|
|
{ ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * |
TCP報文標識 |
定義對攜帶不同標誌位(包括ACK、FIN、PSH、RST、SYN和URG六種)的TCP報文的處理規則 |
TCP協議特有的參數。表示匹配攜帶不同標誌位的TCP報文,各value的取值可為0或1(0表示不攜帶此標誌位,1表示攜帶此標誌位) 一條規則中各標誌位之間為“或”的關係。譬如:當配置為ack 0 psh 1時,匹配不攜帶ACK或攜帶PSH標誌位的TCP報文為準 |
|
established |
TCP連接建立標識 |
定義對TCP連接報文的處理規則 |
TCP協議特有的參數。表示匹配攜帶ACK或RST標誌位的TCP連接報文 |
當protocol為icmp(1)時,用戶還可配置如表1-6所示的規則信息參數。
表1-6 ICMP特有的規則信息參數
|
參數 |
類別 |
作用 |
說明 |
|
icmp-type { icmp-type [ icmp-code ] | icmp-message } |
ICMP報文的消息類型和消息碼 |
指定本規則中ICMP報文的消息類型和消息碼信息 |
icmp-type:ICMP消息類型,取值範圍為0~255 icmp-code:ICMP消息碼,取值範圍為0~255 icmp-message:ICMP消息名稱。可輸入的ICMP消息名稱,及其與消息類型和消息碼的對應關係如表1-7所示 |
表1-7 ICMP消息名稱與消息類型和消息碼的對應關係
|
ICMP消息名稱 |
ICMP消息類型 |
ICMP消息碼 |
|
echo |
8 |
0 |
|
echo-reply |
0 |
0 |
|
fragmentneed-DFset |
3 |
4 |
|
host-redirect |
5 |
1 |
|
host-tos-redirect |
5 |
3 |
|
host-unreachable |
3 |
1 |
|
information-reply |
16 |
0 |
|
information-request |
15 |
0 |
|
net-redirect |
5 |
0 |
|
net-tos-redirect |
5 |
2 |
|
net-unreachable |
3 |
0 |
|
parameter-problem |
12 |
0 |
|
port-unreachable |
3 |
3 |
|
protocol-unreachable |
3 |
2 |
|
reassembly-timeout |
11 |
1 |
|
source-quench |
4 |
0 |
|
source-route-failed |
3 |
5 |
|
timestamp-reply |
14 |
0 |
|
timestamp-request |
13 |
0 |
|
ttl-exceeded |
11 |
0 |
【描述】
rule命令用來為IPv4高級ACL創建一條規則。undo rule命令用來為IPv4高級ACL刪除一條規則或刪除規則中的部分內容。
缺省情況下,IPv4高級ACL內不存在任何規則。
需要注意的是:
· 使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
· 新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
· 當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
· 使用undo rule命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· 使用undo rule命令時必須指定一個已存在規則的編號,可以使用display acl all命令來查看所有已存在的規則。
相關配置可參考命令acl、display acl、step和time-range。
【舉例】
# 為IPv4高級ACL 3000創建規則如下:允許129.9.0.0/16網段內的主機與202.38.160.0/24網段內主機的WWW端口(端口號為80)建立連接,並對符合此條件的行為記錄日誌。
<Sysname> system-view
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80 logging
# 為IPv4高級ACL 3001創建規則如下:允許IP報文通過,但拒絕發往192.168.1.0/24網段的ICMP報文通過。
<Sysname> system-view
[Sysname] acl number 3001
[Sysname-acl-adv-3001] rule permit ip
[Sysname-acl-adv-3001] rule deny icmp destination 192.168.1.0 0.0.0.255
# 為IPv4高級ACL 3002創建規則如下:在出、入雙方向上都允許建立FTP連接並傳輸FTP數據。
<Sysname> system-view
[Sysname] acl number 3002
[Sysname-acl-adv-3002] rule permit tcp source-port eq ftp
[Sysname-acl-adv-3002] rule permit tcp source-port eq ftp-data
[Sysname-acl-adv-3002] rule permit tcp destination-port eq ftp
[Sysname-acl-adv-3002] rule permit tcp destination-port eq ftp-data
# 為IPv4高級ACL 3003創建規則如下:在出、入雙方向上都允許SNMP報文和SNMP Trap報文通過。
<Sysname> system-view
[Sysname] acl number 3003
[Sysname-acl-adv-3003] rule permit udp source-port eq snmp
[Sysname-acl-adv-3003] rule permit udp source-port eq snmptrap
[Sysname-acl-adv-3003] rule permit udp destination-port eq snmp
[Sysname-acl-adv-3003] rule permit udp destination-port eq snmptrap
【命令】
rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { source-address source-wildcard | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *
undo rule rule-id [ counting | fragment | logging | source | time-range | vpn-instance ] *
【視圖】
IPv4基本ACL視圖
【缺省級別】
2:係統級
【參數】
rule-id:指定IPv4基本ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
counting:表示使能本規則的匹配統計功能,缺省為關閉。
fragment:表示僅對非首片分片報文有效,而對非分片報文和首片分片報文無效。若未指定本參數,表示該規則對非分片報文和分片報文均有效。
logging:表示對符合條件的報文可記錄日誌信息。該功能需要使用該ACL的模塊支持日誌記錄功能。
source { sour-addr sour-wildcard | any }:指定規則的源地址信息。sour-addr表示報文的源IP地址,sour-wildcard表示源IP地址的通配符掩碼(為0表示主機地址),any表示任意源IP地址。
time-range time-range-name:指定規則生效的時間段。time-range-name表示時間段的名稱,為1~32個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。
vpn-instance vpn-instance-name:表示對指定VPN實例中的報文有效。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,表示該規則僅對非VPN報文有效。
【描述】
rule命令用來為IPv4基本ACL創建一條規則。undo rule命令用來為IPv4基本ACL刪除一條規則或刪除規則中的部分內容。
缺省情況下,IPv4基本ACL內不存在任何規則。
需要注意的是:
· 使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
· 新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
· 當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
· 使用undo rule命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· 使用undo rule命令時必須指定一個已存在規則的編號,可以使用display acl all命令來查看所有已存在的規則。
相關配置可參考命令acl、display acl。step和time-range。
【舉例】
# 為IPv4基本ACL 2000創建規則如下:僅允許來自10.0.0.0/8、172.17.0.0/16和192.168.1.0/24網段的報文通過,而拒絕來自所有其它網段的報文通過。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule permit source 10.0.0.0 0.255.255.255
[Sysname-acl-basic-2000] rule permit source 172.17.0.0 0.0.255.255
[Sysname-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Sysname-acl-basic-2000] rule deny source any
【命令】
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { dest-address dest-prefix | dest-address/dest-prefix | any } | destination-port operator port1 [ port2 ] | dscp dscp | flow-label flow-label-value | fragment | icmp6-type { icmp6-type icmp6-code | icmp6-message } | logging | routing [ type routing-type ] | source { source-address source-prefix | source-address source-prefix | any } | source-port operator port1 [ port2 ] | time-range time-range-name | vpn-instance vpn-instance-name ] *
undo rule rule-id [ { { ack | fin | psh | rst | syn | urg } * | established } | counting | destination | destination-port | dscp | flow-label | fragment | icmp6-type | logging | routing | source | source-port | time-range | vpn-instance ] *
【視圖】
IPv6高級ACL視圖
【缺省級別】
2:係統級
【參數】
rule-id:指定IPv6高級ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
protocol:表示IPv6承載的協議類型,可輸入的形式如下:
· 數字:取值範圍為0~255;
· 名稱(括號內為對應的數字):可選取gre(47)、icmpv6(58)、ipv6、ipv6-ah(51)、ipv6-esp(50)、ospf(89)、tcp(6)或udp(17)。
protocol之後可配置如表1-8所示的規則信息參數。
|
參數 |
類別 |
作用 |
說明 |
|
source { source-address source-prefix | source-address /source-prefix | any } |
源IPv6地址 |
指定ACL規則的源IPv6地址信息 |
source-address:源IPv6地址 source-prefix:源IP地址的前綴長度,取值範圍1~128 any:任意源IPv6地址 |
|
destination { dest-address dest-prefix | dest-address /dest-prefix | any } |
目的IPv6地址 |
指定ACL規則的目的IPv6地址信息 |
dest-address:目的IPv6地址 dest-prefix:目的IP地址的前綴長度,取值範圍1~128 any:任意目的IPv6地址 |
|
counting |
統計 |
使能本規則的匹配統計功能,缺省為關閉 |
- |
|
dscp dscp |
報文優先級 |
DSCP優先級 |
dscp:用數字表示時,取值範圍為0~63;用名稱表示時,可選取af11(10)、af12(12)、af13(14)、af21(18)、af22(20)、af23(22)、af31(26)、af32(28)、af33(30)、af41(34)、af42(36)、af43(38)、cs1(8)、cs2(16)、cs3(24)、cs4(32)、cs5(40)、cs6(48)、cs7(56)、default(0)或ef(46) |
|
flow-label flow-label-value |
流標簽字段 |
指定IPv6基本報文頭中流標簽字段的值 |
flow-label-value:流標簽字段的值,取值範圍為0~1048575 |
|
logging |
日誌操作 |
對符合條件的報文可記錄日誌信息 |
該功能需要使用該ACL的模塊支持日誌記錄功能 |
|
routing [ type routing-type ] |
路由頭 |
指定路由頭的類型 |
routing-type:路由頭類型的值,取值範圍為0~255 若指定了type routing-type參數,表示僅對指定類型的路由頭有效;否則,表示對所有類型的路由頭都有效 |
|
vpn-instance vpn-instance-name |
VPN實例 |
對指定VPN實例中的報文有效 |
vpn-instance-name:MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫 若未指定本參數,表示該規則僅對非VPN報文有效 |
|
fragment |
報文分片 |
僅對分片報文的非首個分片有效,而對非分片報文和分片報文的首個分片無效 |
若未指定本參數,表示該規則對所有報文(包括非分片報文和分片報文的每個分片)均有效 |
|
time-range time-range-name |
時間段 |
指定規則生效的時間段 |
time-range-name:時間段的名稱,為1~32個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效 |
當protocol為tcp(6)或udp(17)時,用戶還可配置如表1-9所示的規則信息參數。
表1-9 TCP/UDP特有的規則信息參數
|
參數 |
類別 |
作用 |
說明 |
|
source-port operator port1 [ port2 ] |
源端口 |
定義TCP/UDP報文的源端口信息 |
operator:操作符,取值可以為lt(小於)、gt(大於)、eq(等於)、neq(不等於)或者range(在範圍內,包括邊界值)。隻有range操作符需要兩個端口號做操作數,其它操作符隻需要一個端口號做操作數 port1/port2:TCP或UDP的端口號,用數字表示時,取值範圍為0~65535;用名稱表示時,TCP端口號可選取chargen(19)、bgp(179)、cmd(514)、daytime(13)、discard(9)、domain(53)、echo (7)、exec (512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)或www(80);UDP端口號可選取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)或xdmcp(177) |
|
destination-port operator port1 [ port2 ] |
目的端口 |
定義TCP/UDP報文的目的端口信息 |
|
|
{ ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * |
TCP報文標識 |
定義對攜帶不同標誌位(包括ACK、FIN、PSH、RST、SYN和URG六種)的TCP報文的處理規則 |
TCP協議特有的參數。表示匹配攜帶不同標誌位的TCP報文,各value的取值可為0或1(0表示不攜帶此標誌位,1表示攜帶此標誌位) 一條規則中各標誌位之間為“或”的關係。譬如:當配置為ack 0 psh 1時,匹配不攜帶ACK或攜帶PSH標誌位的TCP報文為準 |
|
established |
TCP連接建立標識 |
定義對TCP連接報文的處理規則 |
TCP協議特有的參數。表示匹配攜帶ACK或RST標誌位的TCP連接報文 |
當protocol為icmpv6(58)時,用戶還可配置如表1-10所示的規則信息參數。
表1-10 ICMPv6特有的規則信息參數
|
參數 |
類別 |
作用 |
說明 |
|
icmp6-type { icmp6-type icmp6-code | icmp6-message } |
ICMPv6報文的消息類型和消息碼 |
指定本規則中ICMPv6報文的消息類型和消息碼信息 |
icmp6-type:ICMPv6消息類型,取值範圍為0~255 icmp6-code:ICMPv6消息碼,取值範圍為0~255 icmp6-message:ICMPv6消息名稱。可以輸入的ICMPv6消息名稱,及其與消息類型和消息碼的對應關係如表1-11所示 |
表1-11 ICMPv6消息名稱與消息類型和消息碼的對應關係
|
ICMPv6消息名稱 |
ICMPv6消息類型 |
ICMPv6消息碼 |
|
echo-reply |
129 |
0 |
|
echo-request |
128 |
0 |
|
err-Header-field |
4 |
0 |
|
frag-time-exceeded |
3 |
1 |
|
hop-limit-exceeded |
3 |
0 |
|
host-admin-prohib |
1 |
1 |
|
host-unreachable |
1 |
3 |
|
neighbor-advertisement |
136 |
0 |
|
neighbor-solicitation |
135 |
0 |
|
network-unreachable |
1 |
0 |
|
packet-too-big |
2 |
0 |
|
port-unreachable |
1 |
4 |
|
redirect |
137 |
0 |
|
router-advertisement |
134 |
0 |
|
router-solicitation |
133 |
0 |
|
unknown-ipv6-opt |
4 |
2 |
|
unknown-next-hdr |
4 |
1 |
【描述】
rule命令用來為IPv6高級ACL創建一條規則。undo rule命令用來為IPv6高級ACL刪除一條規則或刪除規則中的部分內容。
缺省情況下,IPv6高級ACL內不存在任何規則。
需要注意的是:
· 使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
· 新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
· 當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
· 使用undo rule命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· 使用undo rule命令時必須指定一個已存在規則的編號,可以使用display acl ipv6 all命令來查看所有已存在的規則。
相關配置可參考命令acl ipv6、display ipv6 acl、step和time-range。
【舉例】
# 為IPv6高級ACL 3000創建規則如下:允許2030:5060::/64網段內的主機與FE80:5060::/96網段內主機的WWW端口(端口號為80)建立連接,並對符合此條件的行為記錄日誌。
<Sysname> system-view
[Sysname] acl ipv6 number 3000
[Sysname-acl6-adv-3000] rule permit tcp source 2030:5060::/64 destination fe80:5060::/96 destination-port eq 80 logging
# 為IPv6高級ACL 3001創建規則如下:允許IPv6報文通過,但拒絕發往FE80:5060:1001::/48網段的ICMPv6報文通過。
<Sysname> system-view
[Sysname] acl ipv6 number 3001
[Sysname-acl6-adv-3001] rule permit ipv6
[Sysname-acl6-adv-3001] rule deny icmpv6 destination fe80:5060:1001:: 48
# 為IPv6高級ACL 3002創建規則如下:在出、入雙方向上都允許建立FTP連接並傳輸FTP數據。
<Sysname> system-view
[Sysname] acl ipv6 number 3002
[Sysname-acl6-adv-3002] rule permit tcp source-port eq ftp
[Sysname-acl6-adv-3002] rule permit tcp source-port eq ftp-data
[Sysname-acl6-adv-3002] rule permit tcp destination-port eq ftp
[Sysname-acl6-adv-3002] rule permit tcp destination-port eq ftp-data
# 為IPv6高級ACL 3003創建規則如下:在出、入雙方向上都允許SNMP報文和SNMP Trap報文通過。
<Sysname> system-view
[Sysname] acl ipv6 number 3003
[Sysname-acl6-adv-3003] rule permit udp source-port eq snmp
[Sysname-acl6-adv-3003] rule permit udp source-port eq snmptrap
[Sysname-acl6-adv-3003] rule permit udp destination-port eq snmp
[Sysname-acl6-adv-3003] rule permit udp destination-port eq snmptrap
【命令】
rule [ rule-id ] { deny | permit } [ counting | fragment | logging | routing [ type routing-type ] | source { source-address source-prefix | source-address/source-prefix | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *
undo rule rule-id [ counting | fragment | logging | routing | source | time-range | vpn-instance ] *
【視圖】
IPv6基本ACL視圖
【缺省級別】
2:係統級
【參數】
rule-id:指定IPv6基本ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
counting:表示使能本規則的匹配統計功能,缺省為關閉。
fragment:表示僅對非首片分片報文有效,而對非分片報文和首片分片報文無效。若未指定本參數,表示該規則對非分片報文和分片報文均有效。
logging:表示對符合條件的報文可記錄日誌信息。該功能需要使用該ACL的模塊支持日誌記錄功能。
routing [ type routing-type ]:表示對所有或指定類型的路由頭有效,routing-type表示路由頭類型的值,取值範圍為0~255。若指定了type routing-type參數,表示僅對指定類型的路由頭有效;否則,表示對所有類型的路由頭都有效。
source { source-address source-prefix | source-address/source-prefix | any }:指定規則的源IPv6地址信息。source-address表示報文的源IPv6地址,source-prefix表示源IPv6地址的前綴長度,取值範圍為1~128,any表示任意源IPv6地址。
time-range time-range-name:指定規則生效的時間段。time-range-name表示時間段的名稱,為1~32個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。
vpn-instance vpn-instance-name:表示對指定VPN實例中的報文有效。vpn-instance-name表示VPN實例的名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,表示該規則僅對非VPN報文有效。
【描述】
rule命令用來為IPv6基本ACL創建一條規則。undo rule命令用來為IPv6基本ACL刪除一條規則或刪除規則中的部分內容。
缺省情況下,IPv6基本ACL內不存在任何規則。
需要注意的是:
· 使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
· 新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
· 當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
· 使用undo rule命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· 使用undo rule命令時必須指定一個已存在規則的編號,可以使用display acl ipv6 all命令來查看所有已存在的規則。
相關配置可參考命令acl ipv6、display ipv6 acl、step和time-range。
【舉例】
# 為IPv6基本ACL 2000創建規則如下:僅允許來自1001::/16、3124:1123::/32和FE80:5060:1001::/48網段的報文通過,而拒絕來自所有其它網段的報文通過。
<Sysname> system-view
[Sysname] acl ipv6 number 2000
[Sysname-acl6-basic-2000] rule permit source 1001:: 16
[Sysname-acl6-basic-2000] rule permit source 3124:1123:: 32
[Sysname-acl6-basic-2000] rule permit source fe80:5060:1001:: 48
[Sysname-acl6-basic-2000] rule deny source any
【命令】
rule protocol [ addr-flag addr-flag | destination { dest-address dest-prefix | dest-address /dest-prefix | any } | destination-port operator port1 [ port2 ] | dscp dscp | frag-type { fragment | fragment-subseq | non-fragment | non-subseq } | icmp6-type { icmp6-type icmp6-code | icmp6-message } | source { source-address source-prefix | source-address /source-prefix | any } | source-port operator port1 [ port2 ] | tcp-type { tcpurg | tcpack | tcppsh | tcprst | tcpsyn | tcpfin } ] *
undo rule [ addr-flag | destination | destination-port | dscp | frag-type | icmp6-type | source | source-port | tcp-type ] *
【視圖】
簡單ACL視圖
【缺省級別】
2:係統級
【參數】
protocol:表示IPv6承載的協議類型,可輸入的形式如下:
· 數字:取值範圍為0~255,且數字前必須加關鍵字protocol;
· 名稱(括號內為對應的數字):可選取gre(47)、icmpv6(58)、ipv6、ipv6-ah(51)、ipv6-esp(50)、ospf(89)、tcp(6)或udp(17)。
protocol之後可配置如表1-12所示的規則信息參數。
|
參數 |
類別 |
作用 |
說明 |
|
addr-flag addr-flag |
標誌 |
指定源IPv6地址和目的IPv6地址聯合模式 |
addr-flag:取值範圍為1~6,各數字代表的地址聯合模式如下: · 1:表示64位源地址前綴+64位目的地址前綴 · 2:表示64位源地址前綴+64位目的地址後綴 · 3:表示64位源地址後綴+64位目的地址前綴 · 4:表示64位源地址後綴+64位目的地址後綴 · 5:表示128位源地址 · 6:表示128位目的地址 |
|
source { source-address source-prefix | source-address /source-prefix | any } |
源IPv6地址 |
指定ACL規則的源IPv6地址信息 |
source-address:源IPv6地址 source-prefix:源IPv6地址的前綴長度,取值範圍1~128 any:任意源IPv6地址 |
|
destination { dest-address dest-prefix | dest-address /dest-prefix | any } |
目的IPv6地址 |
指定ACL規則的目的IPv6地址信息 |
dest:目的IPv6地址 dest-prefix:目的IPv6地址的前綴長度,取值範圍1~128 any:任意目的IPv6地址 |
|
frag-type { fragment | fragment-subseq | non-fragment | non-subseq } |
報文分片標誌 |
指定規則僅對哪些分片報文標誌有效 |
fragment:僅對首片分片報文有效 fragment-subseq:僅對非首片分片報文有效 non-fragment:僅對非分片報文有效 non-subseq:僅對當前分片報文的最後一片有效 |
|
dscp dscp |
報文優先級 |
指定DSCP優先級 |
dscp:取值範圍為0~63 |
當protocol為tcp(6)或udp(17)時,用戶還可配置如表1-13所示的規則信息參數。
表1-13 TCP/UDP特有的規則信息參數
|
參數 |
類別 |
作用 |
說明 |
|
source-port operator port1 [ port2 ] |
源端口 |
指定TCP/UDP報文的源端口信息 |
operator:操作符,取值可以為lt(小於)、gt(大於)、eq(等於)或者range(在範圍內,包括邊界值)。隻有range操作符需要兩個端口號做操作數,其它操作符隻需要一個端口號做操作數 port1/port2:TCP或UDP的端口號,用數字表示時,取值範圍為0~65535;用名稱表示時,TCP端口號可選取chargen(19)、bgp(179)、cmd(514)、daytime(13)、discard(9)、domain(53)、echo (7)、exec (512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)或www(80);UDP端口號可選取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)或xdmcp(177) |
|
destination-port operator port1 [ port2 ] |
目的端口 |
指定TCP/UDP報文的目的端口信息 |
|
|
tcp-type { tcpurg | tcpack | tcppsh | tcprst | tcpsyn | tcpfin } |
TCP報文標誌 |
指定TCP報文的標誌 |
TCP協議特有的參數 |
當protocol為icmpv6(58)時,用戶還可配置如表1-14所示的規則信息參數。
表1-14 ICMPv6特有的規則信息參數
|
參數 |
類別 |
作用 |
說明 |
|
icmp6-type { icmp6-type icmp6-code | icmp6-message } |
ICMPv6報文的消息類型和消息碼 |
指定規則中ICMPv6報文的消息類型和消息碼信息 |
icmp6-type:ICMPv6消息類型,取值範圍為0~255 icmp6-code:ICMPv6消息碼,取值範圍為0~255 icmp6-message:ICMPv6消息名稱。可輸入的ICMPv6消息名稱,及其與消息類型和消息碼的對應關係如表1-15所示 |
表1-15 ICMPv6消息名稱與消息類型和消息碼的對應關係
|
ICMPv6消息名稱 |
ICMPv6消息類型 |
ICMPv6消息碼 |
|
echo-reply |
129 |
0 |
|
echo-request |
128 |
0 |
|
err-Header-field |
4 |
0 |
|
frag-time-exceeded |
3 |
1 |
|
hop-limit-exceeded |
3 |
0 |
|
host-admin-prohib |
1 |
1 |
|
host-unreachable |
1 |
3 |
|
neighbor-advertisement |
136 |
0 |
|
neighbor-solicitation |
135 |
0 |
|
network-unreachable |
1 |
0 |
|
packet-too-big |
2 |
0 |
|
port-unreachable |
1 |
4 |
|
redirect |
137 |
0 |
|
router-advertisement |
134 |
0 |
|
router-solicitation |
133 |
0 |
|
unknown-ipv6-opt |
4 |
2 |
|
unknown-next-hdr |
4 |
1 |
【描述】
rule命令用來為簡單ACL創建規則。undo rule命令用來為簡單ACL刪除規則或刪除規則中的部分內容。
缺省情況下,簡單ACL內不存在任何規則。
需要注意的是:
· 用rule命令時,如果不存在規則,則創建新的規則;如果已存在規則,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
· 使用undo rule命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
相關配置可參考命令acl ipv6。
【舉例】
# 為簡單ACL 10000創建規則,匹配來自2200:100::/64網段的帶有TCP RST標誌的TCP報文。
<Sysname> system-view
[Sysname] acl ipv6 number 10000
[Sysname-acl6-simple-10000] rule tcp addr-flag 4 source 2200:100::/64 tcp-type tcprst
【命令】
rule [ rule-id ] { deny | permit } [ l2 rule-string rule-mask offset }&<1-8> ] [ counting | time-range time-range-name ] *
undo rule rule-id
【視圖】
用戶自定義ACL視圖
【缺省級別】
2:係統級
【參數】
rule-id:指定用戶自定義ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
l2:表示從L2幀頭開始偏移。
rule-string:指定用戶自定義的規則字符串,必須是16進製數組成,字符長度必須是偶數。
rule-mask:指定規則字符串的掩碼,用於和報文作“與”操作,必須是16進製數組成,字符長度必須是偶數,且必須與rule-string的長度相同。
offset:指定偏移量,它以用戶指定的報文頭部為基準,指定從第幾個字節開始進行比較。
&<1-8>:表示前麵的參數最多可以輸入8次。
counting:表示使能本規則的匹配統計功能,缺省為關閉。
time-range time-range-name:指定規則生效的時間段。time-range-name表示時間段的名稱,為1~32個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。
【描述】
rule命令用來為用戶自定義ACL創建一條規則。undo rule命令用來為用戶自定義ACL刪除一條規則。
缺省情況下,用戶自定義ACL內不存在任何規則。
需要注意的是:
· 使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
· 新創建的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致創建失敗。
· 使用undo rule命令時必須指定一個已存在規則的編號,可以使用display acl all命令來查看所有已存在的規則。
相關配置可參考命令acl、display acl和time-range。
【舉例】
# 為用戶自定義ACL 5005創建一條規則,允許從L2幀頭開始算起第13、14兩字節的內容為0x0806的報文(即ARP報文)通過。
<Sysname> system-view
[Sysname] acl number 5005
[Sysname-acl-user-5005] rule permit l2 0806 ffff 12
【命令】
rule [ rule-id ] { deny | permit } [ ssid ssid-name ]
undo rule rule-id
【視圖】
WLAN ACL視圖
【缺省級別】
2:係統級
【參數】
rule-id:指定WLAN ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
ssid ssid-name:指定SSID(Service Set Identifier,服務集標識符)的名稱,ssid-name為1~32個字符的字符串,包括字母和數字,區分大小寫,允許包含空格。若未指定本參數,表示該規則對所有SSID均有效。
【描述】
rule命令用來為WLAN ACL創建一條規則。undo rule命令用來為WLAN ACL刪除一條規則。
缺省情況下,WLAN ACL內不存在任何規則。
需要注意的是:
· 使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
· 新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
· 使用undo rule命令時必須指定一個已存在規則的編號,可以使用display acl all命令來查看所有已存在的規則。
相關配置可參考命令acl、display acl和step。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
rule (WLAN ACL view) |
不支持 |
|
MSR 900 |
支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持 |
|
|
MSR 50 |
支持(MPU-G2不支持) |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 為WLAN ACL 100配置規則,允許SSID名稱為user1的WLAN用戶報文通過,並利用此規則應用於VTY用戶0的訪問權限。
<Sysname> system-view
[Sysname] acl number 100
[Sysname-acl-wlan-100] rule permit ssid user1
[Sysname-acl-wlan-100] quit
[Sysname] user-interface vty 0
[Sysname-ui-vty0] acl 100 inbound
【命令】
rule rule-id comment text
undo rule rule-id comment
【視圖】
WLAN ACL視圖/IPv4基本ACL視圖/IPv4高級ACL視圖/IPv6基本ACL視圖/IPv6高級ACL視圖/二層ACL視圖/用戶自定義ACL視圖
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
WLAN ACL視圖 |
不支持 |
|
MSR 900 |
支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持 |
|
|
MSR 50 |
支持(MPU-G2不支持) |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【缺省級別】
2:係統級
【參數】
rule-id:指定規則的編號,該規則必須存在。取值範圍為0~65534。
text:表示規則的描述信息,為1~127個字符的字符串,區分大小寫。
【描述】
rule comment命令用來為指定規則配置描述信息。undo rule comment命令用來刪除指定規則的描述信息。
缺省情況下,規則沒有任何描述信息。
需要注意的是,使用rule comment命令時,如果指定的規則沒有描述信息,則為其添加描述信息,否則修改其描述信息。
相關配置可參考命令display acl和display acl ipv6。
【舉例】
# 為IPv4基本ACL 2000配置規則0,並為該規則配置描述信息。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule 0 deny source 1.1.1.1 0
[Sysname-acl-basic-2000] rule 0 comment This rule is used on Ethernet 1/1.
# 為IPv6基本ACL 2000配置規則0,並為該規則配置描述信息。
<Sysname> system-view
[Sysname] acl ipv6 number 2000
[Sysname-acl6-basic-2000] rule 0 permit source 1001::1 128
[Sysname-acl6-basic-2000] rule 0 comment This rule is used on Ethernet 1/1.
【命令】
rule [ rule-id ] remark text
undo rule [ rule-id ] remark [ text ]
【視圖】
WLAN ACL視圖/IPv4基本ACL視圖/IPv4高級ACL視圖/IPv6基本ACL視圖/IPv6高級ACL視圖/二層ACL視圖/用戶自定義ACL視圖
【缺省級別】
2:係統級
【參數】
rule-id:指定規則的編號(該編號對應的規則可以存在也可以不存在),取值範圍為0~65534。該編號用來確定規則注釋信息顯示的位置:
· 在配置順序下:若該編號與現有某規則的編號相同,則該注釋信息將緊鄰該規則之前顯示;否則,將按照編號由小到大顯示。
· 在自動排序下:若該編號與現有某規則的編號相同,則該注釋信息將緊鄰該規則之前顯示;否則,將在所有規則的最後顯示。
text:表示規則注釋信息,為1~63個字符的字符串,區分大小寫。
【描述】
rule remark命令用來配置規則注釋信息。undo rule remark命令用來刪除規則注釋信息。
缺省情況下,ACL內沒有任何規則注釋信息。
需要注意的是:
· 使用rule remark命令時,如果沒有指定rule-id參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。
· 使用undo rule remark命令時,如果沒有指定rule-id和text參數,將刪除所有規則注釋信息;如果沒有指定rule-id但指定了text參數,則隻刪除指定內容的規則注釋信息。
· 用戶可以通過display this和display current-configuration命令查看配置好的規則注釋信息。
相關配置可參考“基礎配置命令參考/配置文件管理”中的命令display this和display current-configuration。
【舉例】
# 在IPv4基本ACL 2000的視圖下顯示當前生效的配置信息,查看已有的規則。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] display this
#
acl number 2000
rule 0 permit source 14.1.1.0 0.0.0.255
rule 5 permit source 10.1.1.1 0 time-range work-time
rule 10 permit source 192.168.0.0 0.0.0.255
rule 15 permit source 1.1.1.1 0
rule 20 permit source 10.1.1.1 0
rule 25 permit counting
#
return
# 假設規則編號為10~25的這四條規則是為VIP用戶製訂的,為方便後續維護,對這四條規則進行如下注釋:開頭和結尾分別注釋為“Rules for VIP_start”和“Rules for VIP_end”。
[Sysname-acl-basic-2000] rule 10 remark Rules for VIP_start
[Sysname-acl-basic-2000] rule 26 remark Rules for VIP_end
# 再次在該ACL的視圖下顯示當前生效的配置信息,查看所配置的規則注釋信息。
[Sysname-acl-basic-2000] display this
#
acl number 2000
rule 0 permit source 14.1.1.0 0.0.0.255
rule 5 permit source 10.1.1.1 0 time-range work-time
rule 10 remark Rules for VIP_start
rule 10 permit source 192.168.0.0 0.0.0.255
rule 15 permit source 1.1.1.1 0
rule 20 permit source 10.1.1.1 0
rule 25 permit counting
rule 26 remark Rules for VIP_end
#
return
由此可見,在規則編號為10~25的這四條規則的前、後均已插入了相應的注釋信息。
【命令】
step step-value
undo step
【視圖】
WLAN ACL視圖/IPv4基本ACL視圖/IPv4高級ACL視圖/IPv6基本ACL視圖/IPv6高級ACL視圖/二層ACL視圖
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
WLAN ACL視圖 |
不支持 |
|
MSR 900 |
支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持 |
|
|
MSR 50 |
支持(MPU-G2不支持) |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【缺省級別】
2:係統級
【參數】
step-value:表示規則編號的步長值,取值範圍為1~20。
【描述】
step命令用來配置規則編號的步長。undo step命令用來恢複缺省情況。
缺省情況下,規則編號的步長為5。
相關配置可參考命令display acl和display acl ipv6。
【舉例】
# 將基本ACL 2000的規則編號的步長配置為2。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] step 2
# 將IPv6基本ACL 2000的規則編號的步長配置為2。
<Sysname> system-view
[Sysname] acl ipv6 number 2000
[Sysname-acl6-basic-2000] step 2
【命令】
time-range time-range-name { start-time to end-time days [ from time1 date1 ] [ to time2 date2 ] | from time1 date1 [ to time2 date2 ] | to time2 date2 }
undo time-range time-range-name [ start-time to end-time days [ from time1 date1 ] [ to time2 date2 ] | from time1 date1 [ to time2 date2 ] | to time2 date2 ]
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
time-range-name:指定時間段的名稱,為1~32個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,時間段的名稱不允許使用英文單詞all。
start-time to end-time:指定周期時間段的時間範圍。start-time表示起始時間,格式為hh:mm,取值範圍為00:00~23:59;end-time表示結束時間,格式為hh:mm,取值範圍為00:00~24:00,且結束時間必須大於起始時間。
days:指定周期時間段在每周的周幾生效。本參數可輸入多次,但後輸入的值不能與此前輸入的值完全重疊(譬如輸入6後不允許再輸入sat,但允許再輸入off-day),係統將取各次輸入值的並集作為最終值(譬如依次輸入1、wed和working-day之後,最終生效的時間將為每周的工作日)。本參數可輸入的形式如下:
· 數字:取值範圍為0~6,依次表示周日~周六;
· 周幾的英文縮寫(從周日到周六依次為sun、mon、tue、wed、thu、fri和sat);
· 工作日(working-day):表示從周一到周五;
· 休息日(off-day):表示周六和周日;
· 每日(daily):表示一周七天。
from time1 date1:指定絕對時間段的起始時間。time1的格式為hh:mm,取值範圍為00:00~23:59。 date1的格式為MM/DD/YYYY或YYYY/MM/DD。MM表示月,取值範圍為1~12;DD表示日,取值範圍取決於所輸入的月份;YYYY表示年,取值範圍為1970~2100。若未指定本參數,絕對時間段的起始時間將為係統可表示的最早時間,即1970年1月1日0點0分。
to time2 date2:指定絕對時間段的結束時間。time2的格式為hh:mm,取值範圍為00:00~24:00。date2的格式為MM/DD/YYYY或YYYY/MM/DD。MM表示月,取值範圍為1~12;DD表示日,取值範圍取決於所輸入的月份;YYYY表示年,取值範圍為1970~2100。結束時間必須大於起始時間。若未指定本參數,絕對時間段的結束時間將為係統可表示的最晚時間,即2100年12月31日24點0分。
【描述】
time-range命令用來創建一個時間段,來描述一個特定的時間範圍。undo time-range命令用來刪除一個時間段。
缺省情況下,不存在任何時間段。
需要注意的是:
· 使用time-range命令時,如果指定名稱的時間段不存在,則創建一個新的時間段(最多256個);如果指定名稱的時間段已存在,則對舊時間段進行修改,即在其原有內容的基礎上疊加新的內容。
· 使用start-time to end-time days這組參數所創建的時間段為周期時間段,它將以一周為周期循環生效;使用from time1 date1和to time2 date2這組參數所創建的時間段為絕對時間段,它將在指定時間範圍內生效;而同時使用了上述兩組參數所創建的時間段,將取周期時間段和絕對時間段的交集作為生效的時間範圍,譬如:創建一個時間段,既定義其在每周一的8點到12點生效,又定義其在2010年全年生效,那麼其最終將在2010年全年內每周一的8點到12點生效。
· 一個時間段內可包含一或多個周期時間段(最多32個)和絕對時間段(最多12個),當包含有多個周期時間段和絕對時間段時,係統將先分別取各周期時間段的並集和各絕對時間段的並集,再取這兩個並集的交集作為該時間段最終生效的時間範圍。
相關配置可參考命令display time-range。
【舉例】
# 創建名為t1的時間段,其時間範圍為每周工作日的8點到18點。
<Sysname> system-view
[Sysname] time-range t1 8:0 to 18:0 working-day
# 創建名為t2的時間段,其時間範圍為2010年全年。
<Sysname> system-view
[Sysname] time-range t2 from 0:0 1/1/2010 to 24:0 12/31/2010
# 創建名為t3的時間段,其時間範圍為2010年全年內每周休息日的8點到12點。
<Sysname> system-view
[Sysname] time-range t3 8:0 to 12:0 off-day from 0:0 1/1/2010 to 24:0 12/31/2010
# 創建名為t4的時間段,其時間範圍為2010年1月和6月內每周一的10點到12點以及每周三的14到16點。
<Sysname> system-view
[Sysname] time-range t4 10:0 to 12:0 1 from 0:0 1/1/2010 to 24:0 1/31/2010
[Sysname] time-range t4 14:0 to 16:0 3 from 0:0 6/1/2010 to 24:0 6/30/2010
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
