- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-ACL命令
本章節下載: 01-ACL命令 (248.38 KB)
1.1.15 rule (Ethernet frame header ACL view)
1.1.16 rule (IPv4 advanced ACL view)
1.1.17 rule (IPv4 basic ACL view)
1.1.18 rule (IPv6 advanced ACL view)
【命令】
acl number acl-number [ name acl-name ] [ match-order { auto | config } ]
undo acl { all | name acl-name | number acl-number }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
number acl-number:指定ACL的編號。acl-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示IPv4基本ACL;
· 3000~3999:表示IPv4高級ACL;
· 4000~4999:表示二層ACL。
name acl-name:指定ACL的名稱。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
match-order { auto | config }:指定規則的匹配順序。auto表示按照自動排序(即“深度優先”原則)的順序進行規則匹配,config表示按照配置順序進行規則匹配。缺省情況下,規則的匹配順序為配置順序。
all:指定所有的IPv4 ACL及二層ACL。
【描述】
acl命令用來創建一個IPv4 ACL或二層ACL,並進入相應的ACL視圖。undo acl命令用來刪除IPv4 ACL或二層ACL。
缺省情況下,不存在任何ACL。
需要注意的是:
· 使用acl命令時,如果指定編號的ACL不存在,則創建該ACL並進入其視圖,否則直接進入其視圖。
· ACL的名稱隻能在創建時設置。ACL一旦創建,便不允許再修改或刪除其原有名稱。
· 當ACL內不存在任何規則時,用戶可以使用本命令對該ACL的規則匹配順序進行修改,否則不允許進行修改。
相關配置可參考命令display acl。
【舉例】
# 創建一個編號為2000的IPv4基本ACL,並進入其視圖。
<Sysname> system-view
[Sysname] acl number 2000
# 創建一個編號為2001的IPv4基本ACL,指定其名稱為flow,並進入其視圖。
<Sysname> system-view
[Sysname] acl number 2001 name flow
[Sysname-acl-basic-2001-flow]
【命令】
acl copy { source-acl-number | name source-acl-name } to { dest-acl-number | name dest-acl-name }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
source-acl-number:指定源ACL的編號,該ACL必須存在。本參數的取值範圍及其代表的ACL類型如下:
· 2000~2999:表示IPv4基本ACL;
· 3000~3999:表示IPv4高級ACL;
· 4000~4999:表示二層ACL。
name source-acl-name:指定源ACL的名稱,該ACL必須存在。source-acl-name為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。
dest-acl-number:指定目的ACL的編號,該ACL必須不存在。若未指定本參數,係統將為目的ACL自動分配一個與源ACL類型相同且可用的最小編號。本參數的取值範圍及其代表的ACL類型如下:
· 2000~2999:表示IPv4基本ACL;
· 3000~3999:表示IPv4高級ACL;
· 4000~4999:表示二層ACL。
name dest-acl-name:指定目的ACL的名稱,該ACL必須不存在。dest-acl-name為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。若未指定本參數,係統將不會為目的ACL設置名稱。
【描述】
acl copy命令用來複製生成一個新的同類型IPv4 ACL或二層ACL。
需要注意的是:
· 目的ACL的類型要與源ACL的類型相同。
· 目的ACL的名稱隻能在複製時設置。目的ACL一旦生成,便不允許再修改或刪除其原有名稱。
· 除了ACL的編號和名稱不同外,新生成的ACL(即目的ACL)的匹配順序、規則匹配統計功能的使能情況、規則編號的步長、所包含的規則、規則的描述信息以及ACL的描述信息等都與源ACL的相同。
【舉例】
# 通過複製已存在的IPv4基本ACL 2001,來生成一個新的編號為2002的同類型IPv4 ACL。
<Sysname> system-view
[Sysname] acl copy 2001 to 2002
【命令】
acl ipv6 number acl6-number [ name acl6-name ] [ match-order { auto | config } ]
undo acl ipv6 { all | name acl6-name | number acl6-number }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
number acl6-number:指定IPv6 ACL的編號。acl6-number表示IPv6 ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示IPv6基本ACL;
· 3000~3999:表示IPv6高級ACL。
name acl6-name:指定IPv6 ACL的名稱。acl6-name表示IPv6 ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
match-order { auto | config }:指定規則的匹配順序。auto表示按照自動排序(即“深度優先”原則)的順序進行規則匹配,config表示按照配置順序進行規則匹配。缺省情況下,規則的匹配順序為配置順序。
all:指定所有的IPv6 ACL。
【描述】
acl ipv6命令用來創建一個IPv6 ACL,並進入相應的ACL視圖。undo acl ipv6命令用來刪除IPv6 ACL。
缺省情況下,不存在任何ACL。
需要注意的是:
· 使用acl ipv6命令時,如果指定編號的IPv6 ACL不存在,則創建該ACL並進入其視圖,否則直接進入其視圖。
· ACL的名稱隻能在創建時設置。ACL一旦創建,便不允許再修改或刪除其原有名稱。
· 當ACL內不存在任何規則時,用戶可以使用本命令對該ACL的規則匹配順序進行修改,否則不允許進行修改。
相關配置可參考命令display acl ipv6。
【舉例】
# 創建一個編號為2000的IPv6基本ACL,並進入其視圖。
<Sysname> system-view
[Sysname] acl ipv6 number 2000
# 創建一個編號為2001的IPv6基本ACL,指定其名稱為flow,並進入其視圖。
<Sysname> system-view
[Sysname] acl ipv6 number 2001 name flow
[Sysname-acl6-basic-2001-flow]
【命令】
acl ipv6 copy { source-acl6-number | name source-acl6-name } to { dest-acl6-number | name dest-acl6-name }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
source-acl6-number:指定源IPv6 ACL的編號,該ACL必須存在。本參數的取值範圍及其代表的ACL類型如下:
· 2000~2999:表示IPv6基本ACL;
· 3000~3999:表示IPv6高級ACL。
name source-acl6-name:指定源IPv6 ACL的名稱,該ACL必須存在。source-acl6-name為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。
dest-acl6-number:指定目的IPv6 ACL的編號,該ACL必須不存在。若未指定本參數,係統將為目的IPv6 ACL自動分配一個與源IPv6 ACL類型相同且可用的最小編號。本參數的取值範圍及其代表的ACL類型如下:
· 2000~2999:表示IPv6基本ACL;
· 3000~3999:表示IPv6高級ACL。
name dest-acl6-name:指定目的IPv6 ACL的名稱,該ACL必須不存在。dest-acl6-name為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。若未指定本參數,係統將不會為目的IPv6 ACL設置名稱。
【描述】
acl ipv6 copy命令用來複製生成一個新的同類型IPv6 ACL。
需要注意的是:
· 目的IPv6 ACL的類型要與源IPv6 ACL的類型相同。
· 目的IPv6 ACL的名稱隻能在複製時設置。目的IPv6 ACL一旦生成,便不允許再修改或刪除其原有名稱。
· 除了ACL的編號和名稱不同外,新生成的目的IPv6 ACL的匹配順序、規則匹配統計功能的使能情況、規則編號的步長、所包含的規則、規則的描述信息以及ACL的描述信息等都與源IPv6 ACL的相同。
【舉例】
# 通過複製已存在的IPv6基本ACL 2001,來生成一個新的編號為2002的同類型IPv6 ACL。
<Sysname> system-view
[Sysname] acl ipv6 copy 2001 to 2002
【命令】
acl ipv6 name acl6-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
acl6-name:指定IPv6 ACL的名稱,該ACL必須存在。為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。
【描述】
acl ipv6 name命令用來進入指定名稱的IPv6 ACL視圖。
相關配置可參考命令acl ipv6。
【舉例】
# 進入名稱為flow的IPv6 ACL的視圖。
<Sysname> system-view
[Sysname] acl ipv6 name flow
[Sysname-acl6-basic-2001-flow]
【命令】
acl name acl-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
acl-name:指定ACL的名稱,該ACL必須存在。本參數為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。
【描述】
acl name命令用來進入指定名稱的IPv4 ACL或二層ACL視圖。
相關配置可參考命令acl。
【舉例】
# 進入名稱為flow的IPv4 ACL的視圖。
<Sysname> system-view
[Sysname] acl name flow
[Sysname-acl-basic-2001-flow]
【命令】
description text
undo description
【視圖】
IPv4基本ACL視圖/IPv4高級ACL視圖/IPv6基本ACL視圖/IPv6高級ACL視圖/二層ACL視圖
【缺省級別】
2:係統級
【參數】
text:表示ACL的描述信息,為1~127個字符的字符串,區分大小寫。
【描述】
description命令用來配置ACL的描述信息。undo description命令用來刪除ACL的描述信息。
缺省情況下,ACL沒有任何描述信息。
相關配置可參考命令display acl和display acl ipv6。
【舉例】
# 為IPv4基本ACL 2000配置描述信息。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] description This is an IPv4 basic ACL.
# 為IPv6基本ACL 2000配置描述信息。
<Sysname> system-view
[Sysname] acl ipv6 number 2000
[Sysname-acl6-basic-2000] description This is an IPv6 basic ACL.
【命令】
display acl { acl-number | all | name acl-name } [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
acl-number:顯示指定編號的ACL的配置和運行情況。acl-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示IPv4基本ACL;
· 3000~3999:表示IPv4高級ACL;
· 4000~4999:表示二層ACL。
all:顯示所有ACL的配置和運行情況。
name acl-name:顯示指定名稱的ACL的配置和運行情況。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。
slot slot-number:指定設備編號,取值隻能為1。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display acl命令用來顯示ACL的配置和運行情況。
需要注意的是,本命令將按照實際匹配順序來排列ACL內的規則,即:當ACL的規則匹配順序為配置順序時,各規則將按照編號由小到大排列;當ACL的規則匹配順序為自動排序時,各規則將按照“深度優先”原則由深到淺排列。
【舉例】
# 顯示所有IPv4 ACL的配置和運行情況。
<Sysname> display acl all
Basic ACL 2000, named flow, 2 rules,
ACL's step is 5
rule 0 permit
rule 5 permit source 1.1.1.1 0
Basic ACL 2001, named -none-, 3 rules, match-order is auto,
ACL's step is 5
rule 10 permit source 1.1.1.1 0
rule 10 comment This rule is used in rd.
rule 5 permit source 2.2.2.2 0
rule 0 permit
表1-1 display acl命令顯示信息描述表
|
字段 |
描述 |
|
Basic ACL 2000 |
該ACL的類型和編號,ACL的類型包括: · Basic ACL:表示IPv4基本ACL · Advanced ACL:表示IPv4高級ACL · Ethernet frame ACL:表示二層ACL |
|
named flow |
該ACL的名稱為flow,-none-表示沒有名稱 |
|
2 rules |
該ACL內包含的規則數量 |
|
match-order is auto |
該ACL的規則匹配順序為自動排序(匹配順序為配置順序時不顯示本字段) |
|
ACL's step is 5 |
該ACL的規則編號的步長值為5 |
|
rule 0 permit |
規則0的具體內容 |
|
rule 10 comment This rule is used in rd. |
規則10的描述信息為This rule is used in rd. |
【命令】
display acl ipv6 { acl6-number | all | name acl6-name } [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
acl6-number:顯示指定編號的IPv6 ACL的配置和運行情況。acl6-number表示IPv6 ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示IPv6基本ACL;
· 3000~3999:表示IPv6高級ACL。
all:顯示所有IPv6 ACL的配置和運行情況。
name acl6-name:顯示指定名稱的IPv6 ACL的配置和運行情況。acl6-name表示IPv6 ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。
slot slot-number:指定設備編號,取值隻能為1。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display acl ipv6命令用來顯示IPv6 ACL的配置和運行情況。
需要注意的是,本命令將按照實際匹配順序來排列ACL內的規則,即:當ACL的規則匹配順序為配置順序時,各規則將按照編號由小到大排列;當ACL的規則匹配順序為自動排序時,各規則將按照“深度優先”原則由深到淺排列。
【舉例】
# 顯示所有IPv6 ACL的配置和運行情況。
<Sysname> display acl ipv6 all
Basic IPv6 ACL 2000, named flow, 2 rules,
ACL's step is 5
rule 0 permit
rule 5 permit source 1::/64
Basic IPv6 ACL 2001, named -none-, 3 rules, match-order is auto,
ACL's step is 5
rule 10 permit source1::/64
rule 10 comment This rule is used in rd.
rule 5 permit source 2::/64
rule 0 permit
表1-2 display acl ipv6命令顯示信息描述表
|
字段 |
描述 |
|
Basic IPv6 ACL 2000 |
該ACL的類型和編號,ACL的類型包括: · Basic IPv6 ACL:表示IPv6基本ACL · Advanced IPv6 ACL:表示IPv6高級ACL |
|
named flow |
該ACL的名稱為flow,-none-表示沒有名稱 |
|
2 rules |
該ACL內包含的規則數量 |
|
match-order is auto |
該ACL的規則匹配順序為自動排序(匹配順序為配置順序時不顯示本字段) |
|
ACL's step is 5 |
該ACL的規則編號的步長值為5 |
|
rule 0 permit |
規則0的具體內容 |
|
rule 10 comment This rule is used in rd. |
規則10的描述信息為This rule is used in rd. |
【命令】
display acl resource [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
slot slot-number:指定設備編號,取值隻能為1。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display acl resource命令用來顯示ACL資源的使用情況。
【舉例】
# 顯示設備ACL資源的使用情況。
<Sysname> display acl resource
----------------------------------------------------
Type Total Reserved Configured Remaining
----------------------------------------------------
ACL-G00 256 0 256 0
ACL-G01 256 0 256 0
ACL-G02 512 0 1 511
ACL-G03 128 0 8 120
ACL-G04 128 89 0 39
ACL-G05 128 33 0 95
ACL-G06 128 17 0 111
COUNTER 256 0 0 256
METER 64 0 1 63
表1-3 display acl resource命令顯示信息描述表
|
字段 |
描述 |
|
Type |
ACL的類型 |
|
Total |
支持的ACL規則總數 |
|
Reserved |
預留的ACL規則數 |
|
Configured |
已經配置的ACL規則數 |
|
Remaining |
剩餘可用的ACL規則數 |
【命令】
display packet-filter { { all | interface interface-type interface-number } [ inbound ] } [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
all:顯示所有接口上報文過濾策略的應用情況。
interface interface-type interface-number:顯示指定接口上報文過濾策略的應用情況。interface-type interface-number表示接口類型和接口編號,這裏的接口類型不包括VLAN接口。
inbound:顯示接口入方向上報文過濾策略的應用情況。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display packet-filter命令用來顯示報文過濾策略的應用情況。
【舉例】
# 顯示端口Ethernet1/0/1入方向上報文過濾策略的應用情況。
<Sysname> display packet-filter interface ethernet 1/0/1
Interface: Ethernet1/0/1
In-bound Policy:
acl 2001, Successful
表1-4 display packet-filter命令顯示信息描述表
|
字段 |
描述 |
|
Interface |
應用報文過濾策略的接口名稱 |
|
In-bound Policy |
入方向上報文過濾策略的應用情況 |
|
acl 2001, Successful |
應用IPv4 ACL 2001成功 |
【命令】
display time-range { time-range-name | all } [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
time-range-name:顯示指定名稱的時間段的配置和狀態信息。time-range-name表示時間段的名稱,為1~32個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。
all:顯示所有時間段的配置和狀態信息。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display time-range命令用來顯示時間段的配置和狀態信息。
【舉例】
# 顯示時間段t4的配置和狀態信息。
<Sysname> display time-range t4
Current time is 17:12:34 4/13/2010 Tuesday
Time-range : t4 ( Inactive )
10:00 to 12:00 Mon
14:00 to 16:00 Wed
from 00:00 1/1/2010 to 23:59 1/31/2010
from 00:00 6/1/2010 to 23:59 6/30/2010
表1-5 display time-range命令顯示信息描述表
|
字段 |
描述 |
|
Current time |
係統當前的時間 |
|
Time-range |
時間段的配置信息,包括: · 時間段的名稱 · 時間段的狀態,包括Active(生效)和Inactive(未生效)兩種狀態 · 時間段的時間範圍 |
【命令】
packet-filter { acl-number | name acl-name } inbound
undo packet-filter { acl-number | name acl-name } inbound
【視圖】
二層以太網端口視圖
【缺省級別】
2:係統級
【參數】
acl-number:指定ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示IPv4基本ACL;
· 3000~3999:表示IPv4高級ACL;
· 4000~4999:表示二層ACL。
name acl-name:指定ACL的名稱。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。
inbound:對接口收到的報文進行過濾。
【描述】
packet-filter命令用來在接口上應用IPv4基本ACL、IPv4高級ACL或二層ACL進行報文過濾。undo packet-filter命令用來恢複缺省情況。
缺省情況下,接口不對報文進行過濾。
相關配置可參考命令display packet-filter。
【舉例】
# 應用IPv4 ACL 2001對端口Ethernet1/0/1收到的報文進行過濾。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] packet-filter 2001 inbound
【命令】
packet-filter ipv6 { acl6-number | name acl6-name } inbound
undo packet-filter ipv6 { acl6-number | name acl6-name } inbound
【視圖】
二層以太網端口視圖
【缺省級別】
2:係統級
【參數】
acl6-number:指定IPv6 ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示IPv6基本ACL;
· 3000~3999:表示IPv6高級ACL。
name acl6-name:指定IPv6 ACL的名稱。acl6-name表示IPv6 ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。
inbound:對接口收到的IPv6報文進行過濾。
【描述】
packet-filter ipv6命令用來在接口上應用IPv6基本ACL或IPv6高級ACL進行報文過濾。undo packet-filter ipv6命令用來恢複缺省情況。
缺省情況下,接口不對報文進行過濾。
相關配置可參考命令display packet-filter。
【舉例】
# 應用IPv6 ACL 2500對端口Ethernet1/0/1收到的報文進行過濾。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] packet-filter ipv6 2500 inbound
【命令】
rule [ rule-id ] { deny | permit } [ cos vlan-pri | counting | dest-mac dest-addr dest-mask | { lsap lsap-type lsap-type-mask | type protocol-type protocol-type-mask } | source-mac sour-addr source-mask | time-range time-range-name ] *
undo rule rule-id [ counting | time-range ] *
【視圖】
二層ACL視圖
【缺省級別】
2:係統級
【參數】
rule-id:指定二層ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
cos vlan-pri:指定802.1p優先級。vlan-pri表示802.1p優先級,可輸入的形式如下:
· 數字:取值範圍為0~7;
· 名稱:best-effort、background、spare、excellent-effort、controlled-load、video、voice和network-management,依次對應於數字0~7。
counting:表示對規則匹配情況進行統計,該參數用於統計基於硬件應用的ACL的規則匹配次數。目前設備不支持該參數的配置。
dest-mac dest-addr dest-mask:指定目的MAC地址範圍。dest-addr表示目的MAC地址,格式為H-H-H。dest-mask表示目的MAC地址的掩碼,格式為H-H-H。
lsap lsap-type lsap-type-mask:指定LLC封裝中的DSAP字段和SSAP字段。lsap-type表示數據幀的封裝格式,為16比特的十六進製數。lsap-type-mask表示LSAP的類型掩碼,為16比特的十六進製數,用於指定屏蔽位。
type protocol-type protocol-type-mask:指定鏈路層協議類型。protocol-type表示16比特的十六進製數表征的數據幀類型,對應Ethernet_II類型和Ethernet_SNAP類型幀中的type域。protocol-type-mask表示類型掩碼,為16比特的十六進製數,用於指定屏蔽位。
source-mac sour-addr source-mask:指定源MAC地址範圍。sour-addr表示源MAC地址,格式為H-H-H。sour-mask表示源MAC地址的掩碼,格式為H-H-H。
time-range time-range-name:指定規則生效的時間段。time-range-name表示時間段的名稱,為1~32個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。
【描述】
rule命令用來為二層ACL創建一條規則。undo rule命令用來為二層ACL刪除一條規則或刪除規則中的部分內容。
缺省情況下,二層ACL內不存在任何規則。
需要注意的是:
· 使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
· 新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
· 當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
· 使用undo rule命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· 使用undo rule命令時必須指定一個已存在規則的編號,可以使用display acl all命令來查看所有已存在的規則。
相關配置可參考命令acl、display acl、step和time-range。
【舉例】
# 為二層ACL 4000創建規則如下:允許ARP報文通過,但拒絕RARP報文通過。
<Sysname> system-view
[Sysname] acl number 4000
[Sysname-acl-ethernetframe-4000] rule permit type 0806 ffff
[Sysname-acl-ethernetframe-4000] rule deny type 8035 ffff
【命令】
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { dest-addr dest-wildcard | any } | destination-port operator port1 [ port2 ] | dscp dscp | fragment | icmp-type { icmp-type [ icmp-code ] | icmp-message } | logging | precedence precedence | source { sour-addr sour-wildcard | any } | source-port operator port1 [ port2 ] | time-range time-range-name | tos tos ] *
undo rule rule-id [ { { ack | fin | psh | rst | syn | urg } * | established } | counting | destination | destination-port | dscp | fragment | icmp-type | logging | precedence | source | source-port | time-range | tos ] *
【視圖】
IPv4高級ACL視圖
【缺省級別】
2:係統級
【參數】
rule-id:指定IPv4高級ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
protocol:表示IPv4承載的協議類型,可輸入的形式如下:
· 數字:取值範圍為0~255;
· 名稱(括號內為對應的數字):可選取gre(47)、icmp(1)、igmp(2)、ip、ipinip(4)、ospf(89)、tcp(6)或udp(17)。
protocol之後可配置如表1-6所示的規則信息參數。
|
參數 |
類別 |
作用 |
說明 |
|
source { sour-addr sour-wildcard | any } |
源地址 |
指定ACL規則的源地址信息 |
sour-addr sour-wildcard:源IP地址及其通配符掩碼(為0表示主機地址) any:任意源IP地址 |
|
destination { dest-addr dest-wildcard | any } |
目的地址 |
指定ACL規則的目的地址信息 |
dest-addr dest-wildcard:目的IP地址及其通配符掩碼(為0表示主機地址) any:任意目的IP地址 |
|
counting |
統計 |
對規則匹配情況進行統計 |
該參數用於統計基於硬件應用的ACL中某條規則的匹配次數 目前設備不支持該參數的配置 |
|
precedence precedence |
報文優先級 |
IP優先級 |
precedence:用數字表示時,取值範圍為0~7;用名稱表示時,為routine、priority、immediate、flash、flash-override、critical、internet或network,分別對應於數字0~7 |
|
tos tos |
報文優先級 |
ToS優先級 |
tos:用數字表示時,取值範圍為0~15;用名稱表示時,可選取max-reliability(2)、max-throughput(4)、min-delay(8)、min-monetary-cost(1)或normal(0) |
|
dscp dscp |
報文優先級 |
DSCP優先級 |
dscp:用數字表示時,取值範圍為0~63;用名稱表示時,可選取af11(10)、af12(12)、af13(14)、af21(18)、af22(20)、af23(22)、af31(26)、af32(28)、af33(30)、af41(34)、af42(36)、af43(38)、cs1(8)、cs2(16)、cs3(24)、cs4(32)、cs5(40)、cs6(48)、cs7(56)、default(0)或ef(46) |
|
logging |
日誌操作 |
對符合條件的報文可記錄日誌信息 |
該功能需要使用該ACL的模塊支持日誌記錄功能,例如報文過濾 目前設備不支持該參數的配置 |
|
fragment |
報文分片 |
僅對非首片分片報文有效,而對非分片報文和首片分片報文無效 |
若未指定本參數,表示該規則對非分片報文和分片報文均有效 |
|
time-range time-range-name |
時間段 |
指定規則生效的時間段 |
time-range-name:時間段的名稱,為1~32個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。 |
當protocol為tcp(6)或udp(17)時,用戶還可配置如表1-7所示的規則信息參數。
表1-7 TCP/UDP特有的規則信息參數
|
參數 |
類別 |
作用 |
說明 |
|
source-port operator port1 [ port2 ] |
源端口 |
定義TCP/UDP報文的源端口信息 |
operator:操作符,取值可以為lt(小於)、gt(大於)、eq(等於)、neq(不等於)或者range(在範圍內,包括邊界值)。目前設備僅支持eq參數的配置 port1/port2:TCP或UDP的端口號,用數字表示時,取值範圍為0~65535;用名稱表示時,TCP端口號可選取chargen(19)、bgp(179)、cmd(514)、daytime(13)、discard(9)、domain(53)、echo (7)、exec (512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)或www(80);UDP端口號可選取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)或xdmcp(177) |
|
destination-port operator port1 [ port2 ] |
目的端口 |
定義TCP/UDP報文的目的端口信息 |
|
|
{ ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * |
TCP報文標識 |
定義對攜帶不同標誌位(包括ACK、FIN、PSH、RST、SYN和URG六種)的TCP報文的處理規則 |
TCP協議特有的參數。表示匹配攜帶不同標誌位的TCP報文,各value的取值可為0或1(0表示不攜帶此標誌位,1表示攜帶此標誌位) 如果在一條規則中設置了多個TCP標誌位的匹配值,則這些匹配條件之間的關係為“與” |
|
established |
TCP連接建立標識 |
定義對TCP連接報文的處理規則 |
該參數用於定義TCP報文中ACK且RST標誌位為1的報文 |
當protocol為icmp(1)時,用戶還可配置如表1-8所示的規則信息參數。
表1-8 ICMP特有的規則信息參數
|
參數 |
類別 |
作用 |
說明 |
|
icmp-type { icmp-type [ icmp-code ] | icmp-message } |
ICMP報文的消息類型和消息碼 |
指定規則的ICMP報文的消息類型和消息碼信息 |
icmp-type:ICMP消息類型,取值範圍為0~255 icmp-code:ICMP消息碼,取值範圍為0~255 icmp-message:ICMP消息名稱。可輸入的ICMP消息名稱,及其與消息類型和消息碼的對應關係如表1-9所示 |
表1-9 ICMP消息名稱與消息類型和消息碼的對應關係
|
ICMP消息名稱 |
ICMP消息類型 |
ICMP消息碼 |
|
echo |
8 |
0 |
|
echo-reply |
0 |
0 |
|
fragmentneed-DFset |
3 |
4 |
|
host-redirect |
5 |
1 |
|
host-tos-redirect |
5 |
3 |
|
host-unreachable |
3 |
1 |
|
information-reply |
16 |
0 |
|
information-request |
15 |
0 |
|
net-redirect |
5 |
0 |
|
net-tos-redirect |
5 |
2 |
|
net-unreachable |
3 |
0 |
|
parameter-problem |
12 |
0 |
|
port-unreachable |
3 |
3 |
|
protocol-unreachable |
3 |
2 |
|
reassembly-timeout |
11 |
1 |
|
source-quench |
4 |
0 |
|
source-route-failed |
3 |
5 |
|
timestamp-reply |
14 |
0 |
|
timestamp-request |
13 |
0 |
|
ttl-exceeded |
11 |
0 |
【描述】
rule命令用來為IPv4高級ACL創建一條規則。undo rule命令用來為IPv4高級ACL刪除一條規則或刪除規則中的部分內容。
缺省情況下,IPv4高級ACL內不存在任何規則。
需要注意的是:
· 使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
· 新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
· 當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
· 使用undo rule命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· 使用undo rule命令時必須指定一個已存在規則的編號,可以使用display acl all命令來查看所有已存在的規則。
相關配置可參考命令acl、display acl、step和time-range。
【舉例】
# 為IPv4高級ACL 3000創建規則如下:允許129.9.0.0/16網段內的主機與202.38.160.0/24網段內主機的WWW端口(端口號為80)建立連接。
<Sysname> system-view
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80
# 為IPv4高級ACL 3001創建規則如下:允許IP報文通過,但拒絕發往192.168.1.0/24網段的ICMP報文通過。
<Sysname> system-view
[Sysname] acl number 3001
[Sysname-acl-adv-3001] rule permit ip
[Sysname-acl-adv-3001] rule deny icmp destination 192.168.1.0 0.0.0.255
【命令】
rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { sour-addr sour-wildcard | any } | time-range time-range-name ] *
undo rule rule-id [ counting | fragment | logging | source | time-range ] *
【視圖】
IPv4基本ACL視圖
【缺省級別】
2:係統級
【參數】
rule-id:指定IPv4基本ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
counting:表示對規則匹配情況進行統計,該參數用於統計基於硬件應用的ACL的規則匹配次數。目前設備不支持該參數的配置。
fragment:表示僅對非首片分片報文有效,而對非分片報文和首片分片報文無效。若未指定本參數,表示該規則對非分片報文和分片報文均有效。
logging:表示對符合條件的報文可記錄日誌信息。該功能需要使用該ACL的模塊支持日誌記錄功能,例如報文過濾。目前設備不支持該參數的配置。
source { sour-addr sour-wildcard | any }:指定規則的源地址信息。sour-addr表示報文的源IP地址,sour-wildcard表示源IP地址的通配符掩碼(為0表示主機地址),any表示任意源IP地址。
time-range time-range-name:指定規則生效的時間段。time-range-name表示時間段的名稱,為1~32個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。
【描述】
rule命令用來為IPv4基本ACL創建一條規則。undo rule命令用來為IPv4基本ACL刪除一條規則或刪除規則中的部分內容。
缺省情況下,IPv4基本ACL內不存在任何規則。
需要注意的是:
· 使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
· 新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
· 當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
· 使用undo rule命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· 使用undo rule命令時必須指定一個已存在規則的編號,可以使用display acl all命令來查看所有已存在的規則。
相關配置可參考命令acl、display acl、step和time-range。
【舉例】
# 為IPv4基本ACL 2000創建規則如下:僅允許來自10.0.0.0/8、172.17.0.0/16和192.168.1.0/24網段的報文通過,而拒絕來自所有其他網段的報文通過。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule permit source 10.0.0.0 0.255.255.255
[Sysname-acl-basic-2000] rule permit source 172.17.0.0 0.0.255.255
[Sysname-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Sysname-acl-basic-2000] rule deny source any
【命令】
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { dest dest-prefix | dest/dest-prefix | any } | destination-port operator port1 [ port2 ] | dscp dscp | flow-label flow-label-value | fragment | icmp6-type { icmp6-type icmp6-code | icmp6-message } | logging | routing [ type routing-type ] | source { source source-prefix | source/source-prefix | any } | source-port operator port1 [ port2 ] | time-range time-range-name ] *
undo rule rule-id [ { { ack | fin | psh | rst | syn | urg } * | established } | counting | destination | destination-port | dscp | flow-label | fragment | icmp6-type | logging | routing | source | source-port | time-range ] *
【視圖】
IPv6高級ACL視圖
【缺省級別】
2:係統級
【參數】
rule-id:指定IPv6 ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
protocol:表示IPv6承載的協議類型,可輸入的形式如下:
· 數字:取值範圍為0~255;
· 名稱(括號內為對應的數字):可選取gre(47)、icmpv6(58)、ipv6、ipv6-ah(51)、ipv6-esp(50)、ospf(89)、tcp(6)或udp(17)。
protocol之後可配置如表1-10所示的規則信息參數。
|
參數 |
類別 |
作用 |
說明 |
|
source { source source-prefix | source/source-prefix | any } |
源IPv6地址 |
指定IPv6 ACL規則的源IPv6地址信息 |
source:源IPv6地址 source-prefix:前綴長度,取值範圍1~128 any:任意源IPv6地址 |
|
destination { dest dest-prefix | dest/dest-prefix | any } |
目的IPv6地址 |
指定IPv6 ACL規則的目的IPv6地址信息 |
dest:目的IPv6地址 dest-prefix:前綴長度,取值範圍1~128 any:任意目的IPv6地址 |
|
counting |
統計 |
對規則匹配情況進行統計 |
該參數用於統計基於硬件應用的ACL中某條規則的匹配次數 目前設備不支持該參數的配置 |
|
dscp dscp |
報文優先級 |
DSCP優先級 |
dscp:用數字表示時,取值範圍為0~63;用名稱表示時,可選取af11(10)、af12(12)、af13(14)、af21(18)、af22(20)、af23(22)、af31(26)、af32(28)、af33(30)、af41(34)、af42(36)、af43(38)、cs1(8)、cs2(16)、cs3(24)、cs4(32)、cs5(40)、cs6(48)、cs7(56)、default(0)或ef(46) |
|
flow-label flow-label-value |
流標簽字段 |
指定IPv6基本報文頭中流標簽字段的值 |
flow-label-value:流標簽字段的值,取值範圍為0~1048575 目前設備不支持該參數的配置 |
|
logging |
日誌操作 |
對符合條件的報文可記錄日誌信息 |
該功能需要使用該ACL的模塊支持日誌記錄功能,例如報文過濾 目前設備不支持該參數的配置 |
|
routing [ type routing-type ] |
路由頭 |
指定路由頭的類型 |
routing-type:路由頭類型的值,取值範圍為0~255 若指定了type routing-type參數,表示僅對指定類型的路由頭有效;否則,表示對所有類型的路由頭都有效 |
|
fragment |
報文分片 |
僅對非首片分片報文有效,而對非分片報文和首片分片報文無效 |
若未指定本參數,表示該規則對非分片報文和分片報文均有效 |
|
time-range time-range-name |
時間段 |
指定規則生效的時間段 |
time-range-name:時間段的名稱,為1~32個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。 |
當protocol為tcp(6)或udp(17)時,用戶還可配置如表1-11所示的規則信息參數。
表1-11 TCP/UDP特有的規則信息參數
|
參數 |
類別 |
作用 |
說明 |
|
source-port operator port1 [ port2 ] |
源端口 |
定義TCP/UDP報文的源端口信息 |
operator:操作符,取值可以為lt(小於)、gt(大於)、eq(等於)、neq(不等於)或者range(在範圍內,包括邊界值)。目前設備僅支持eq的配置 port1/port2:TCP或UDP的端口號,用數字表示時,取值範圍為0~65535;用名稱表示時,TCP端口號可選取chargen(19)、bgp(179)、cmd(514)、daytime(13)、discard(9)、domain(53)、echo (7)、exec (512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)或www(80);UDP端口號可選取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)或xdmcp(177) |
|
destination-port operator port1 [ port2 ] |
目的端口 |
定義TCP/UDP報文的目的端口信息 |
|
|
{ ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * |
TCP報文標識 |
定義對攜帶不同標誌位(包括ACK、FIN、PSH、RST、SYN和URG六種)的TCP報文的處理規則 |
TCP協議特有的參數。表示匹配攜帶不同標誌位的TCP報文,各value的取值可為0或1(0表示不攜帶此標誌位,1表示攜帶此標誌位) 如果在一條規則中設置了多個TCP標誌位的匹配值,則這些匹配條件之間的關係為“與” |
|
established |
TCP連接建立標識 |
定義對TCP連接報文的處理規則 |
該參數用於定義TCP報文中ACK且RST標誌位為1的報文 |
當protocol為icmpv6(58)時,用戶還可配置如表1-12所示的規則信息參數。
表1-12 ICMPv6特有的規則信息參數
|
參數 |
類別 |
作用 |
說明 |
|
icmp6-type { icmp6-type icmp6-code | icmp6-message } |
ICMPv6報文的消息類型和消息碼 |
指定規則的ICMPv6報文的消息類型和消息碼信息 |
icmp6-type:ICMPv6消息類型,取值範圍為0~255 icmp6-code:ICMPv6消息碼,取值範圍為0~255 icmp6-message:ICMPv6消息名稱。可以輸入的ICMPv6消息名稱,及其與消息類型和消息碼的對應關係如表1-13所示 |
表1-13 ICMPv6消息名稱與消息類型和消息碼的對應關係
|
ICMPv6消息名稱 |
ICMPv6消息類型 |
ICMPv6消息碼 |
|
echo-reply |
129 |
0 |
|
echo-request |
128 |
0 |
|
err-Header-field |
4 |
0 |
|
frag-time-exceeded |
3 |
1 |
|
hop-limit-exceeded |
3 |
0 |
|
host-admin-prohib |
1 |
1 |
|
host-unreachable |
1 |
3 |
|
neighbor-advertisement |
136 |
0 |
|
neighbor-solicitation |
135 |
0 |
|
network-unreachable |
1 |
0 |
|
packet-too-big |
2 |
0 |
|
port-unreachable |
1 |
4 |
|
redirect |
137 |
0 |
|
router-advertisement |
134 |
0 |
|
router-solicitation |
133 |
0 |
|
unknown-ipv6-opt |
4 |
2 |
|
unknown-next-hdr |
4 |
1 |
【描述】
rule命令用來為IPv6高級ACL創建一條規則。undo rule命令用來為IPv6高級ACL刪除一條規則或刪除規則中的部分內容。
缺省情況下,IPv6高級ACL內不存在任何規則。
需要注意的是:
· 使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
· 新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
· 當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
· 使用undo rule命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· 使用undo rule命令時必須指定一個已存在規則的編號,可以使用display acl ipv6 all命令來查看所有已存在的規則。
相關配置可參考命令acl ipv6、display ipv6 acl、step和time-range。
【舉例】
# 為IPv6高級ACL 3000創建規則如下:允許2030:5060::/64網段內的主機與FE80:5060::/96網段內主機的WWW端口(端口號為80)建立連接,並對符合此條件的行為記錄日誌。
<Sysname> system-view
[Sysname] acl ipv6 number 3000
[Sysname-acl6-adv-3000] rule permit tcp source 2030:5060::/64 destination fe80:5060::/96 destination-port eq 80
# 為IPv6高級ACL 3001創建規則如下:允許IPv6報文通過,但拒絕發往FE80:5060:1001::/48網段的ICMPv6報文通過。
<Sysname> system-view
[Sysname] acl ipv6 number 3001
[Sysname-acl6-adv-3001] rule permit ipv6
[Sysname-acl6-adv-3001] rule deny icmpv6 destination fe80:5060:1001:: 48
【命令】
rule [ rule-id ] { deny | permit } [ counting | fragment | logging | routing [ type routing-type ] | source { ipv6-address prefix-length | ipv6-address/prefix-length | any } | time-range time-range-name ] *
undo rule rule-id [ counting | fragment | logging | routing | source | time-range ] *
【視圖】
IPv6基本ACL視圖
【缺省級別】
2:係統級
【參數】
rule-id:指定IPv6 ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
counting:表示對規則匹配情況進行統計,該參數用於統計基於硬件應用的ACL的規則匹配次數。目前設備不支持該參數的配置。
fragment:表示僅對非首片分片報文有效,而對非分片報文和首片分片報文無效。若未指定本參數,表示該規則對非分片報文和分片報文均有效。
logging:表示對符合條件的報文可記錄日誌信息。該功能需要使用該ACL的模塊支持日誌記錄功能,例如報文過濾。目前設備不支持該參數的配置。
routing [ type routing-type ]:表示對所有或指定類型的路由頭有效,routing-type表示路由頭類型的值,取值範圍為0~255。若指定了type routing-type參數,表示僅對指定類型的路由頭有效;否則,表示對所有類型的路由頭都有效。
source { ipv6-address prefix-length | ipv6-address/prefix-length | any }:指定規則的源IPv6地址信息。ipv6-address表示報文的源IPv6地址,prefix-length表示源IPv6地址前綴長度,取值範圍為1~128。any表示任意源IPv6地址。
time-range time-range-name:指定規則生效的時間段。time-range-name表示時間段的名稱,為1~32個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。
【描述】
rule命令用來為IPv6基本ACL創建一條規則。undo rule命令用來為IPv6基本ACL刪除一條規則或刪除規則中的部分內容。
缺省情況下,IPv6基本ACL內不存在任何規則。
需要注意的是:
· 使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
· 新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
· 當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
· 使用undo rule命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· 使用undo rule命令時必須指定一個已存在規則的編號,可以使用display acl ipv6 all命令來查看所有已存在的規則。
相關配置可參考命令acl ipv6、display ipv6 acl、step和time-range。
【舉例】
# 為IPv6基本ACL 2000創建規則如下:僅允許來自1001::/16、3124:1123::/32和FE80:5060:1001::/48網段的報文通過,而拒絕來自所有其他網段的報文通過。
<Sysname> system-view
[Sysname] acl ipv6 number 2000
[Sysname-acl6-basic-2000] rule permit source 1001:: 16
[Sysname-acl6-basic-2000] rule permit source 3124:1123:: 32
[Sysname-acl6-basic-2000] rule permit source fe80:5060:1001:: 48
[Sysname-acl6-basic-2000] rule deny source any
【命令】
rule rule-id comment text
undo rule rule-id comment
【視圖】
IPv4基本ACL視圖/IPv4高級ACL視圖/IPv6基本ACL視圖/IPv6高級ACL視圖/二層ACL視圖
【缺省級別】
2:係統級
【參數】
rule-id:指定規則的編號,該規則必須存在。取值範圍為0~65534。
text:表示規則的描述信息,為1~127個字符的字符串,區分大小寫。
【描述】
rule comment命令用來為指定規則配置描述信息。undo rule comment命令用來刪除指定規則的描述信息。
缺省情況下,規則沒有任何描述信息。
需要注意的是,使用rule comment命令時,如果指定的規則沒有描述信息,則為其添加描述信息,否則修改其描述信息。
相關配置可參考命令display acl和display acl ipv6。
【舉例】
# 為IPv4基本ACL 2000配置規則0,並為該規則配置描述信息。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule 0 deny source 1.1.1.1 0
[Sysname-acl-basic-2000] rule 0 comment This rule is used on Ethernet 1/0/1.
# 為IPv6基本ACL 2000配置規則0,並為該規則配置描述信息。
<Sysname> system-view
[Sysname] acl ipv6 number 2000
[Sysname-acl6-basic-2000] rule 0 permit source 1001::1 128
[Sysname-acl6-basic-2000] rule 0 comment This rule is used on Ethernet 1/0/1.
【命令】
rule [ rule-id ] remark text
undo rule [ rule-id ] remark [ text ]
【視圖】
IPv4基本ACL視圖/IPv4高級ACL視圖/IPv6基本ACL視圖/IPv6高級ACL視圖/二層ACL視圖
【缺省級別】
2:係統級
【參數】
rule-id:指定規則的編號,可以是尚不存在規則的編號,也可以是已存在規則的編號,取值範圍為0~65534。該編號用來確定注釋信息顯示的位置,即使采用了已存在規則的編號,也不會對該規則產生任何影響。
text:表示規則注釋信息,為1~63個字符的字符串,區分大小寫。
【描述】
rule remark命令用來配置規則注釋信息。undo rule remark命令用來刪除規則注釋信息。
缺省情況下,ACL內沒有任何規則注釋信息。
需要注意的是:
· 使用rule remark命令時通過指定rule-id參數,可以確定注釋信息的顯示位置:如果指定的編號小於等於現有某條規則的編號,該注釋信息將出現在該規則之前;否則,就會出現在該規則之後。
· 使用rule remark命令時,如果沒有指定rule-id參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。
· 使用undo rule remark命令時,如果沒有指定rule-id參數,將刪除所有規則注釋信息。
· 用戶可以通過display this和display current-configuration命令查看配置好的規則注釋信息。
相關配置可參考“基礎配置命令參考/配置文件管理”中的命令display this和display current-configuration。
【舉例】
# 在IPv4基本ACL 2000的視圖下顯示當前生效的配置信息,查看已有的規則。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] display this
#
acl number 2000
rule 0 permit source 14.1.1.0 0.0.0.255
rule 5 permit source 10.1.1.1 0 time-range work-time
rule 10 permit source 192.168.0.0 0.0.0.255
rule 15 permit source 1.1.1.1 0
rule 20 permit source 10.1.1.1 0
#
return
# 為規則編號為10~25的這四條規則配置如下注釋信息:開頭和結尾分別注釋為“Rules for VIP_start”和“Rules for VIP_end”。
[Sysname-acl-basic-2000] rule 10 remark Rules for VIP_start
[Sysname-acl-basic-2000] rule 26 remark Rules for VIP_end
# 再次在該ACL的視圖下顯示當前生效的配置信息,查看所配置的規則注釋信息。
[Sysname-acl-basic-2000] display this
#
acl number 2000
rule 0 permit source 14.1.1.0 0.0.0.255
rule 5 permit source 10.1.1.1 0 time-range work-time
rule 10 remark Rules for VIP_start
rule 10 permit source 192.168.0.0 0.0.0.255
rule 15 permit source 1.1.1.1 0
rule 20 permit source 10.1.1.1 0
rule 26 remark Rules for VIP_end
#
return
由此可見,在規則編號為10~25的這四條規則的前、後均已插入了相應的注釋信息。
【命令】
step step-value
undo step
【視圖】
IPv4基本ACL視圖/IPv4高級ACL視圖/IPv6基本ACL視圖/IPv6高級ACL視圖/二層ACL視圖
【缺省級別】
2:係統級
【參數】
step-value:表示規則編號的步長值,取值範圍為1~20。
【描述】
step命令用來配置規則編號的步長。undo step命令用來恢複缺省情況。
缺省情況下,規則編號的步長為5。
相關配置可參考命令display acl和display acl ipv6。
【舉例】
# 將基本ACL 2000的規則編號的步長配置為2。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] step 2
# 將IPv6基本ACL 2000的規則編號的步長配置為2。
<Sysname> system-view
[Sysname] acl ipv6 number 2000
[Sysname-acl6-basic-2000] step 2
【命令】
time-range time-range-name { start-time to end-time days [ from time1 date1 ] [ to time2 date2 ] | from time1 date1 [ to time2 date2 ] | to time2 date2 }
undo time-range time-range-name [ start-time to end-time days [ from time1 date1 ] [ to time2 date2 ] | from time1 date1 [ to time2 date2 ] | to time2 date2 ]
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
time-range-name:指定時間段的名稱,為1~32個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,時間段的名稱不允許使用英文單詞all。
start-time to end-time:表示周期時間段的時間範圍。start-time和end-time分別表示起始時間和結束時間,格式均為hh:mm,hh的取值範圍為0~23,mm的取值範圍為0~59,且結束時間必須大於起始時間。
days:指定周期時間段在每周的周幾生效。本參數可輸入多次,但後輸入的值不能與此前輸入的值完全重疊(譬如輸入6後不允許再輸入sat,但允許再輸入off-day),係統將取各次輸入值的並集作為最終值(譬如依次輸入1、wed和working-day之後,最終生效的時間將為每周的工作日)。本參數可輸入的形式如下:
· 數字:取值範圍為0~6,依次表示周日~周六;
· 周幾的英文縮寫(從周日到周六依次為sun、mon、tue、wed、thu、fri和sat);
· 工作日(working-day):表示從周一到周五;
· 休息日(off-day):表示周六和周日;
· 每日(daily):表示一周七天。
from time1 date1:指定絕對時間段的起始時間。time1的格式為hh:mm,hh的取值範圍為0~23,mm的取值範圍為0~59。date1的格式為MM/DD/YYYY或YYYY/MM/DD。MM表示月,取值範圍為1~12;DD表示日,取值範圍取決於所輸入的月份;YYYY表示年,取值範圍為1970~2100。若未指定本參數,絕對時間段的起始時間將為係統可表示的最早時間,即1970年1月1日0點0分。
to time2 date2:指定絕對時間段的結束時間。time2的格式為hh:mm,hh的取值範圍為0~24,mm的取值範圍為0~59。date2的格式為MM/DD/YYYY或YYYY/MM/DD。MM表示月,取值範圍為1~12;DD表示日,取值範圍取決於所輸入的月份;YYYY表示年,取值範圍為1970~2100。結束時間必須大於起始時間。若未指定本參數,絕對時間段的結束時間將為係統可表示的最晚時間,即2100年12月31日24點0分。
【描述】
time-range命令用來創建一個時間段,來描述一個特定的時間範圍。undo time-range命令用來刪除一個時間段。
缺省情況下,不存在任何時間段。
需要注意的是:
· 使用start-time to end-time days這組參數所創建的時間段為周期時間段,它將以一周為周期循環生效;使用from time1 date1和to time2 date2這組參數所創建的時間段為絕對時間段,它將在指定時間範圍內生效;而同時使用了上述兩組參數所創建的時間段,將取周期時間段和絕對時間段的交集作為生效的時間範圍,譬如:創建一個時間段,既定義其在每周一的8點到12點生效,又定義其在2010年全年生效,那麼其最終將在2010年全年內每周一的8點到12點生效。
· 用戶使用同一名稱可以配置內容不同的多條時間段,所配置的各周期時間段之間以及各絕對時間段之間分別取並集之後,各並集的交集將成為最終生效的時間範圍。
· 用戶最多可以創建256個不同名稱的時間段,同一名稱下最多可以配置32條周期時間段和12條絕對時間段。
相關配置可參考命令display time-range。
【舉例】
# 創建名為t1的時間段,其時間範圍為每周工作日的8點到18點。
<Sysname> system-view
[Sysname] time-range t1 8:0 to 18:0 working-day
# 創建名為t2的時間段,其時間範圍為2010年全年。
<Sysname> system-view
[Sysname] time-range t2 from 0:0 1/1/2010 to 23:59 12/31/2010
# 創建名為t3的時間段,其時間範圍為2010年全年內每周休息日的8點到12點。
<Sysname> system-view
[Sysname] time-range t3 8:0 to 12:0 off-day from 0:0 1/1/2010 to 23:59 12/31/2010
# 創建名為t4的時間段,其時間範圍為2010年1月和6月內每周一的10點到12點以及每周三的14到16點。
<Sysname> system-view
[Sysname] time-range t4 10:0 to 12:0 1 from 0:0 1/1/2010 to 23:59 1/31/2010
[Sysname] time-range t4 14:0 to 16:0 3 from 0:0 6/1/2010 to 23:59 6/30/2010
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
