- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-ACL命令
本章節下載: 01-ACL命令 (364.39 KB)
目 錄
1.1.6 display packet-filter verbose
1.1.8 packet-filter (service template view)
1.1.9 packet-filter default deny
1.1.11 rule (IPv4 advanced ACL view)
1.1.12 rule (IPv4 basic ACL view)
1.1.13 rule (IPv6 advanced ACL view)
1.1.14 rule (IPv6 basic ACL view)
1.1.15 rule (Layer 2 ACL view)
1.1.16 rule (WLAN AP ACL view)
由於WX1800H係列、WX2500H係列、MAK係列和WX3000H係列無線控製器不支持IRF功能,因此不支持IRF模式的命令行配置。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
產品係列 |
產品型號 |
產品代碼 |
說明 |
|
WX1800H係列 |
WX1804H-PWR |
EWP-WX1804H-PWR-CN |
支持 |
|
WX2500H係列 |
WX2508H-PWR-LTE WX2510H-PWR WX2510H-F-PWR WX2540H WX2540H-F WX2560H |
EWP-WX2508H-PWR-LTE EWP-WX2510H-PWR EWP-WX2510H-F-PWR EWP-WX2540H EWP-WX2540H-F EWP-WX2560H |
支持 |
|
MAK係列 |
MAK204 MAK206 |
EWP-MAK204 EWP-MAK206 |
支持 |
|
WX3000H係列 |
WX3010H WX3010H-X-PWR WX3010H-L-PWR WX3024H WX3024H-L-PWR WX3024H-F |
EWP-WX3010H EWP-WX3010H-X-PWR EWP-WX3010H-L-PWR EWP-WX3024H EWP-WX3024H-L-PWR EWP-WX3024H-F |
WX3010H支持 WX3010H-X-PWR支持 WX3010H-L-PWR不支持 WX3024H支持 WX3024H-L-PWR不支持 WX3024H-F支持 |
|
WX3500H係列 |
WX3508H WX3508H WX3510H WX3510H WX3520H WX3520H-F WX3540H WX3540H |
EWP-WX3508H EWP-WX3508H-F EWP-WX3510H EWP-WX3510H-F EWP-WX3520H EWP-WX3520H-F EWP-WX3540H EWP-WX3540H-F |
支持 |
|
WX5500E係列 |
WX5510E WX5540E |
EWP-WX5510E EWP-WX5540E |
支持 |
|
WX5500H係列 |
WX5540H WX5560H WX5580H |
EWP-WX5540H EWP-WX5560H EWP-WX5580H |
支持 |
|
AC插卡係列 |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
支持 |
|
產品係列 |
產品型號 |
產品代碼 |
說明 |
|
WX1800H係列 |
WX1804H-PWR WX1810H-PWR WX1820H WX1840H |
EWP-WX1804H-PWR EWP-WX1810H-PWR EWP-WX1820H EWP-WX1840H-GL |
支持 |
|
WX3800H係列 |
WX3820H WX3840H |
EWP-WX3820H-GL EWP-WX3840H-GL |
支持 |
|
WX5800H係列 |
WX5860H |
EWP-WX5860H-GL |
支持 |
acl命令用來創建ACL,並進入ACL視圖。如果指定的ACL已存在,則直接進入ACL視圖。
undo acl命令用來刪除指定或全部ACL。
【命令】
acl [ ipv6 ] { name acl-name | number acl-number [ name acl-name ] [ match-order { auto | config } ] }
undo acl [ ipv6 ] { all | name acl-name | number acl-number }
acl [ ipv6 ] { advanced | basic } { acl-number | name acl-name } [ match-order { auto | config } ]
acl mac { acl-number | name acl-name } [ match-order { auto | config } ]
undo acl [ ipv6 ] { all | { advanced | basic } { acl-number | name acl-name } }
undo acl mac { all | acl-number | name acl-name }
acl wlan client { acl-number | name acl-name }
undo acl wlan client { acl-number | all | name acl-name }
acl wlan ap { acl-number | name acl-name }
undo acl wlan ap { acl-number | all | name acl-name }
【缺省情況】
不存在ACL。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ipv6:指定ACL類型為IPv6 ACL。
basic:指定創建基本ACL。
advanced:指定創建高級ACL。
mac:指定創建二層ACL。
wlan client:指定創建無線客戶端ACL。
wlan ap:指定創建無線接入點ACL。
acl-number:指定ACL的編號。acl-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 100~199:表示無線客戶端ACL。
· 200~299:表示無線接入點ACL。
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
· 4000~4999:表示二層ACL。
name acl-name:指定ACL的名稱。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
match-order { auto | config }:指定規則的匹配順序,auto表示按照自動排序(即“深度優先”原則)的順序進行規則匹配,config表示按照配置順序進行規則匹配。缺省情況下,規則的匹配順序為配置順序。無線客戶端ACL、無線接入點ACL不支持本參數,其規則匹配順序隻能為配置順序。
all:指定類型中全部ACL。
【使用指導】
如果未指定ipv6、mac、wlan client或wlan ap關鍵字,則表示IPv4 ACL。
通過編號創建的非無線ACL,可以通過如下命令進入其視圖:
· acl [ ipv6 ] number acl-number;
· acl { [ ipv6 ] { advanced | basic } | mac } acl-number。
通過acl [ ipv6 ] number acl-number name acl-name命令指定編號和名稱創建的ACL,可以使用如下命令進入其視圖:
· acl [ ipv6 ] name acl-name,本命令僅支持進入已創建的基本或高級ACL視圖;
· acl [ ipv6 ] number acl-number [ name acl-name ];
· acl { [ ipv6 ] { advanced | basic } | mac } name acl-name。
通過acl { [ ipv6 ] { advanced | basic } | mac } name acl-name命令指定名稱創建的ACL,可以使用如下命令進入其視圖:
· acl [ ipv6 ] name acl-name,本命令僅支持進入已創建的基本或高級ACL視圖;
· acl { [ ipv6 ] { advanced | basic } | mac } name acl-name。
指定ACL編號創建的無線ACL,隻能通過acl wlan { ap | client } acl-number命令進入其視圖。
指定ACL名稱創建的無線ACL,隻能通過acl wlan { ap | client } name acl-name命令進入其視圖。
當ACL內不存在任何規則時,用戶可以使用本命令對該ACL的規則匹配順序進行修改,否則不允許進行修改。
如果ACL規則的匹配項中包含了除IP五元組(源IP地址、源端口號、目的IP地址、目的端口號、傳輸層協議)、ICMP報文或ICMPv6報文的消息類型和消息碼信息、日誌操作和時間段之外的其它匹配項,則設備轉發ACL匹配的這類報文時會啟用慢轉發流程。慢轉發時設備會將報文上送控製平麵,計算報文相應的表項信息。執行慢轉發流程時,設備的轉發能力將會有所降低。
【舉例】
# 創建一個編號為2000的IPv4基本ACL,並進入其視圖。
[Sysname] acl basic 2000
[Sysname-acl-ipv4-basic-2000]
# 創建一個IPv4基本ACL,指定其名稱為flow,並進入其視圖。
<Sysname> system-view
[Sysname] acl basic name flow
[Sysname-acl-ipv4-basic-flow]
# 創建一個編號為3000的IPv4高級ACL,並進入其視圖。
<Sysname> system-view
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000]
# 創建一個編號為2000的IPv6基本ACL,並進入其視圖。
<Sysname> system-view
[Sysname] acl ipv6 basic 2000
[Sysname-acl-ipv6-basic-2000]
# 創建一個IPv6基本ACL,其名稱為flow,並進入其視圖。
<Sysname> system-view
[Sysname] acl ipv6 basic name flow
[Sysname-acl-ipv6-basic-flow]
# 創建一個IPv6高級ACL,其名稱為abc,並進入其視圖。
<Sysname> system-view
[Sysname] acl ipv6 advanced name abc
[Sysname-acl-ipv6-adv-abc]
# 創建一個編號為4000的二層ACL,並進入其視圖。
<Sysname> system-view
[Sysname] acl mac 4000
[Sysname-acl-mac-4000]
# 創建一個二層ACL,其名稱為flow,並進入其視圖。
<Sysname> system-view
[Sysname] acl mac name flow
[Sysname-acl-mac-flow]
# 創建一個編號為100的無線客戶端ACL,並進入其視圖。
<Sysname> system-view
[Sysname] acl wlan client 100
[Sysname-acl-client-100]
# 創建一個無線客戶端ACL,指定其名稱為flow,並進入其視圖。
<Sysname> system-view
[Sysname] acl wlan client name flow
[Sysname-acl-client-flow]
# 創建一個編號為200的無線接入點ACL,並進入其視圖。
<Sysname> system-view
[Sysname] acl wlan ap 200
[Sysname-acl-ap-200]
# 創建一個無線接入點ACL,指定其名稱為flow,並進入其視圖。
<Sysname> system-view
[Sysname] acl wlan ap name flow
[Sysname-acl-ap-flow]
【相關命令】
· display acl
acl copy命令用來複製並生成一個新的ACL。
【命令】
acl [ ipv6 | mac ] copy { source-acl-number | name source-acl-name } to { dest-acl-number | name dest-acl-name }
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ipv6:指定ACL類型為IPv6 ACL。
mac:指定ACL類型為二層ACL。
source-acl-number:指定源ACL的編號,該ACL必須存在。本參數的取值範圍及其代表的ACL類型如下:
· 100~199:表示無線客戶端ACL。
· 200~299:表示無線接入點ACL。
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
· 4000~4999:表示二層ACL。
name source-acl-name:指定源ACL的名稱,該ACL必須存在。source-acl-name為1~63個字符的字符串,不區分大小寫。
dest-acl-number:指定目的ACL的編號,該ACL必須不存在。本參數的取值範圍及其代表的ACL類型如下:
· 100~199:表示無線客戶端ACL。
· 200~299:表示無線接入點ACL。
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
· 4000~4999:表示二層ACL。
name dest-acl-name:指定目的ACL的名稱,該ACL必須不存在。dest-acl-name為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
【使用指導】
目的ACL的類型要與源ACL的類型相同。
除了ACL的編號或名稱不同外,新生成的ACL(即目的ACL)的匹配順序、規則匹配軟件統計功能的開啟情況、規則編號的步長、所包含的規則、規則的描述信息以及ACL的描述信息等都與源ACL的相同。
該命令新生成的ACL僅對新關聯或重新關聯的無線客戶端生效。
【舉例】
# 通過複製已存在的IPv4基本ACL 2001,來生成一個新的編號為2002的同類型ACL。
<Sysname> system-view
[Sysname] acl copy 2001 to 2002
# 通過複製已存在的IPv4基本ACL test,來生成名為paste的同類型ACL。
<Sysname> system-view
[Sysname] acl copy name test to name paste
description命令用來配置ACL的描述信息。
undo description命令用來刪除ACL的描述信息。
【命令】
description text
undo description
【缺省情況】
ACL沒有任何描述信息。
【視圖】
IPv4基本ACL視圖/IPv4高級ACL視圖
IPv6基本ACL視圖/IPv6高級ACL視圖
二層ACL視圖
無線客戶端ACL視圖/無線接入點ACL視圖
【缺省用戶角色】
network-admin
【參數】
text:表示ACL的描述信息,為1~127個字符的字符串,區分大小寫。
【舉例】
<Sysname> system-view
[Sysname] acl basic 2000
[Sysname-acl-ipv4-basic-2000] description This is an IPv4 basic ACL.
【相關命令】
· display acl
display acl命令用來顯示ACL的配置和運行情況。
【命令】
display acl [ ipv6 | mac | wlan ] { acl-number | all | name acl-name }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
ipv6:指定ACL類型為IPv6 ACL。
mac:指定ACL類型為二層ACL。
wlan:指定ACL類型為無線ACL,包括無線客戶端ACL和無線接入點ACL。
acl-number:顯示指定編號的ACL的配置和運行情況。acl-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 100~199:表示無線客戶端ACL。
· 200~299:表示無線接入點ACL。
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
· 4000~4999:表示二層ACL。
all:顯示指定類型中全部ACL的配置和運行情況。
name acl-name:顯示指定名稱的ACL的配置和運行情況。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
本命令將按照實際匹配順序來排列ACL內的規則,即:當ACL的規則匹配順序為配置順序時,各規則將按照編號由小到大排列;當ACL的規則匹配順序為自動排序時,各規則將按照“深度優先”原則由深到淺排列。
【舉例】
# 顯示所有IPv4 ACL的配置和運行情況。
<Sysname> display acl all
Basic IPv4 ACL 2001, 2 rules, match-order is auto,
This is an IPv4 basic ACL.
ACL's step is 5
rule 5 permit source 1.1.1.1 0 (5 times matched)
rule 5 comment This rule is used on GigabitEthernet1/0/1.
Advanced IPv4 ACL 3001, 1 rule,
ACL's step is 5
rule 0 permit ip source 1.1.1.0 0.0.0.255 destination 3.3.3.0 0.0.0.255 (Dynamic)
表1-1 display acl命令顯示信息描述表
|
字段 |
描述 |
|
Basic IPv4 ACL 2001 |
該ACL的類型和編號,ACL的類型包括: · Basic IPv4 ACL:表示IPv4基本ACL · Advanced IPv4 ACL:表示IPv4高級ACL · Basic IPv6 ACL:表示IPv6基本ACL · Advanced IPv6 ACL:表示IPv6高級ACL · MAC ACL:表示二層ACL · WLAN CLIENT ACL:表示無線客戶端ACL · WLAN AP ACL:表示無線接入點ACL |
|
2 rules |
該ACL內包含的規則數量 |
|
match-order is auto |
該ACL的規則匹配順序為自動排序(匹配順序為配置順序時不顯示本字段) |
|
This is an IPv4 basic ACL. |
該ACL的描述信息 |
|
ACL's step is 5 |
該ACL的規則編號的步長值為5 |
|
rule 5 permit source 1.1.1.1 0 |
規則5的具體內容,源地址為具體地址 |
|
5 times matched |
該規則匹配的次數為5(僅統計軟件ACL的匹配次數,當匹配次數為0時不顯示本字段) |
|
rule 5 comment This rule is used on GigabitEthernet1/0/1. |
規則5的描述信息 |
|
Dynamic |
該規則由應用模塊動態添加 |
display packet-filter命令用來顯示ACL在報文過濾中的應用情況。
【命令】
(獨立運行模式)
display packet-filter interface [ interface-type interface-number ] [ inbound | outbound ]
(IRF模式)
display packet-filter interface [ interface-type interface-number ] [ inbound | outbound ] [ slot slot-number ]
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
產品係列 |
產品型號 |
產品代碼 |
說明 |
|
WX1800H係列 |
WX1804H-PWR |
EWP-WX1804H-PWR-CN |
支持 |
|
WX2500H係列 |
WX2508H-PWR-LTE WX2510H-PWR WX2510H-F-PWR WX2540H WX2540H-F WX2560H |
EWP-WX2508H-PWR-LTE EWP-WX2510H-PWR EWP-WX2510H-F-PWR EWP-WX2540H EWP-WX2540H-F EWP-WX2560H |
支持 |
|
MAK係列 |
MAK204 MAK206 |
EWP-MAK204 EWP-MAK206 |
支持 |
|
WX3000H係列 |
WX3010H WX3010H-X-PWR WX3010H-L-PWR WX3024H WX3024H-L-PWR WX3024H-F |
EWP-WX3010H EWP-WX3010H-X-PWR EWP-WX3010H-L-PWR EWP-WX3024H EWP-WX3024H-L-PWR EWP-WX3024H-F |
不支持 |
|
WX3500H係列 |
WX3508H WX3508H WX3510H WX3510H WX3520H WX3520H-F WX3540H WX3540H |
EWP-WX3508H EWP-WX3508H-F EWP-WX3510H EWP-WX3510H-F EWP-WX3520H EWP-WX3520H-F EWP-WX3540H EWP-WX3540H-F |
支持 |
|
WX5500E係列 |
WX5510E WX5540E |
EWP-WX5510E EWP-WX5540E |
支持 |
|
WX5500H係列 |
WX5540H WX5560H WX5580H |
EWP-WX5540H EWP-WX5560H EWP-WX5580H |
支持 |
|
AC插卡係列 |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
支持 |
|
產品係列 |
產品型號 |
產品代碼 |
說明 |
|
WX1800H係列 |
WX1804H-PWR WX1810H-PWR WX1820H WX1840H |
EWP-WX1804H-PWR EWP-WX1810H-PWR EWP-WX1820H EWP-WX1840H-GL |
支持 |
|
WX3800H係列 |
WX3820H WX3840H |
EWP-WX3820H-GL EWP-WX3840H-GL |
支持 |
|
WX5800H係列 |
WX5860H |
EWP-WX5860H-GL |
支持 |
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface [ interface-type interface-number ]:顯示指定接口上ACL在報文過濾中的應用情況。interface-type interface-number表示接口類型和接口編號。若未指定接口類型和接口編號,將顯示除VA(Virtual Access,虛擬訪問)接口外所有接口上ACL在報文過濾中的應用情況。有關VA接口的詳細介紹,請參見“網絡互通配置指導”中的“PPP”。
當接口類型為以太網接口時,不需要指定slot參數。
inbound:顯示入方向上ACL在報文過濾中的應用情況。
outbound:顯示出方向上ACL在報文過濾中的應用情況。
slot slot-number:顯示指定成員設備上ACL在報文過濾中的應用情況,slot-number表示設備在IRF中的成員編號。若未指定本參數,將顯示主用設備上ACL在報文過濾中的應用情況。(IRF模式)
【使用指導】
如果未指定inbound和outbound參數,將同時顯示出、入方向上ACL在報文過濾中的應用情況。
【舉例】
# 顯示接口GigabitEthernet1/0/1入方向上ACL在報文過濾中的應用情況。
<Sysname> display packet-filter interface gigabitethernet 1/0/1 inbound
Interface: GigabitEthernet1/0/1
Inbound policy:
IPv4 ACL 2001
IPv6 ACL 2002 (Failed)
MAC ACL 4003 (Failed)
IPv4 default action: Deny
IPv6 default action: Deny
MAC default action: Deny
表1-2 display packet-filter命令顯示信息描述表
|
字段 |
描述 |
|
Interface |
ACL在指定接口上的應用情況 |
|
Inbound policy |
ACL在入方向上的應用情況 |
|
Outbound policy |
ACL在出方向上的應用情況 |
|
IPv4 ACL 2001 |
IPv4基本ACL 2001應用成功 |
|
IPv6 ACL 2002 (Failed) |
IPv6基本ACL 2002應用失敗 |
|
IPv4 default action |
報文過濾的缺省動作,包括: · Deny:報文過濾缺省動作為Deny應用成功 · Deny (Failed):報文過濾缺省動作為Deny應用失敗,實際動作仍為Permit · Permit:報文過濾缺省動作為Permit |
|
IPv6 default action |
報文過濾的缺省動作,包括: · Deny:報文過濾缺省動作為Deny應用成功 · Deny (Failed):報文過濾缺省動作為Deny應用失敗,實際動作仍為Permit · Permit:報文過濾缺省動作為Permit |
|
MAC default action |
報文過濾的缺省動作,包括: · Deny:報文過濾缺省動作為Deny應用成功 · Deny (Failed):報文過濾缺省動作為Deny應用失敗,實際動作仍為Permit · Permit:報文過濾缺省動作為Permit |
display packet-filter verbose命令用來顯示ACL在報文過濾中的詳細應用情況。
【命令】
(獨立運行模式)
display packet-filter verbose interface interface-type interface-number { inbound | outbound } [ [ ipv6 | mac ] { acl-number | name acl-name } ]
(IRF模式)
display packet-filter verbose interface interface-type interface-number { inbound | outbound } [ [ ipv6 | mac ] { acl-number | name acl-name } ] [ slot slot-number ]
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
產品係列 |
產品型號 |
產品代碼 |
說明 |
|
WX1800H係列 |
WX1804H-PWR |
EWP-WX1804H-PWR-CN |
支持 |
|
WX2500H係列 |
WX2508H-PWR-LTE WX2510H-PWR WX2510H-F-PWR WX2540H WX2540H-F WX2560H |
EWP-WX2508H-PWR-LTE EWP-WX2510H-PWR EWP-WX2510H-F-PWR EWP-WX2540H EWP-WX2540H-F EWP-WX2560H |
支持 |
|
MAK係列 |
MAK204 MAK206 |
EWP-MAK204 EWP-MAK206 |
支持 |
|
WX3000H係列 |
WX3010H WX3010H-X-PWR WX3010H-L-PWR WX3024H WX3024H-L-PWR WX3024H-F |
EWP-WX3010H EWP-WX3010H-X-PWR EWP-WX3010H-L-PWR EWP-WX3024H EWP-WX3024H-L-PWR EWP-WX3024H-F |
不支持 |
|
WX3500H係列 |
WX3508H WX3508H WX3510H WX3510H WX3520H WX3520H-F WX3540H WX3540H |
EWP-WX3508H EWP-WX3508H-F EWP-WX3510H EWP-WX3510H-F EWP-WX3520H EWP-WX3520H-F EWP-WX3540H EWP-WX3540H-F |
支持 |
|
WX5500E係列 |
WX5510E WX5540E |
EWP-WX5510E EWP-WX5540E |
支持 |
|
WX5500H係列 |
WX5540H WX5560H WX5580H |
EWP-WX5540H EWP-WX5560H EWP-WX5580H |
支持 |
|
AC插卡係列 |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
支持 |
|
產品係列 |
產品型號 |
產品代碼 |
說明 |
|
WX1800H係列 |
WX1804H-PWR WX1810H-PWR WX1820H WX1840H |
EWP-WX1804H-PWR EWP-WX1810H-PWR EWP-WX1820H EWP-WX1840H-GL |
支持 |
|
WX3800H係列 |
WX3820H WX3840H |
EWP-WX3820H-GL EWP-WX3840H-GL |
支持 |
|
WX5800H係列 |
WX5860H |
EWP-WX5860H-GL |
支持 |
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定接口上ACL在報文過濾中的詳細應用情況。interface-type interface-number表示接口類型和接口編號。
inbound:顯示入方向上ACL在報文過濾中的詳細應用情況。
outbound:顯示出方向上ACL在報文過濾中的詳細應用情況。
ipv6:指定ACL類型為IPv6 ACL。
mac:指定ACL類型為二層ACL。
acl-number:顯示指定編號ACL在報文過濾中的詳細應用情況。acl-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
· 4000~4999:表示二層ACL。
name acl-name:顯示指定名稱ACL在報文過濾中的詳細應用情況。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫。
slot slot-number:顯示指定成員設備上ACL在報文過濾中的詳細應用情況,slot-number表示設備在IRF中的成員編號。若未指定本參數,將顯示主用設備上ACL在報文過濾中的詳細應用情況。(IRF模式)
【使用指導】
若未指定acl-number、name acl-name和ACL類型(ipv6、mac)參數,將顯示全部IPv4 ACL在報文過濾中的詳細應用情況。
【舉例】
# 顯示接口GigabitEthernet1/0/1入方向上全部ACL在報文過濾中的詳細應用情況。
<Sysname> display packet-filter verbose interface gigabitethernet 1/0/1 inbound
Interface: GigabitEthernet1/0/1
Inbound policy:
IPv4 ACL 2001
rule 0 permit
rule 5 permit source 1.1.1.1 0 (Failed)
IPv6 ACL 2000
rule 0 permit
MAC ACL 4000
IPv4 default action: Deny
IPv6 default action: Deny
MAC default action: Deny
表1-3 display packet-filter verbose命令顯示信息描述表
|
字段 |
描述 |
|
Interface |
ACL在指定接口上的詳細應用情況 |
|
Inbound policy |
ACL在入方向上的詳細應用情況 |
|
Outbound policy |
ACL在出方向上的詳細應用情況 |
|
IPv4 ACL 2001 |
IPv4基本ACL 2001應用成功 |
|
IPv4 ACL 2002 (Failed) |
IPv4基本ACL 2002應用失敗 |
|
rule 5 permit source 1.1.1.1 0 (Failed) |
規則5應用失敗 |
|
IPv4 default action |
報文過濾的缺省動作,包括: · Deny:報文過濾缺省動作為Deny應用成功 · Deny (Failed):報文過濾缺省動作為Deny應用失敗,實際動作仍為Permit · Permit:報文過濾缺省動作為Permit |
|
IPv6 default action |
報文過濾的缺省動作,包括: · Deny:報文過濾缺省動作為Deny應用成功 · Deny (Failed):報文過濾缺省動作為Deny應用失敗,實際動作仍為Permit · Permit:報文過濾缺省動作為Permit |
|
MAC default action |
報文過濾的缺省動作,包括: · Deny:報文過濾缺省動作為Deny應用成功 · Deny (Failed):報文過濾缺省動作為Deny應用失敗,實際動作仍為Permit · Permit:報文過濾缺省動作為Permit |
packet-filter命令用來在接口上應用ACL進行報文過濾。
undo packet-filter命令用來取消在接口上應用ACL進行報文過濾。
【命令】
packet-filter [ ipv6 | mac ] { acl-number | name acl-name } { inbound | outbound }
undo packet-filter [ ipv6 | mac ] { acl-number | name acl-name } { inbound | outbound }
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
產品係列 |
產品型號 |
產品代碼 |
說明 |
|
WX1800H係列 |
WX1804H-PWR |
EWP-WX1804H-PWR-CN |
支持 |
|
WX2500H係列 |
WX2508H-PWR-LTE WX2510H-PWR WX2510H-F-PWR WX2540H WX2540H-F WX2560H |
EWP-WX2508H-PWR-LTE EWP-WX2510H-PWR EWP-WX2510H-F-PWR EWP-WX2540H EWP-WX2540H-F EWP-WX2560H |
支持 |
|
MAK係列 |
MAK204 MAK206 |
EWP-MAK204 EWP-MAK206 |
支持 |
|
WX3000H係列 |
WX3010H WX3010H-X-PWR WX3010H-L-PWR WX3024H WX3024H-L-PWR WX3024H-F |
EWP-WX3010H EWP-WX3010H-X-PWR EWP-WX3010H-L-PWR EWP-WX3024H EWP-WX3024H-L-PWR EWP-WX3024H-F |
不支持 |
|
WX3500H係列 |
WX3508H WX3508H WX3510H WX3510H WX3520H WX3520H-F WX3540H WX3540H |
EWP-WX3508H EWP-WX3508H-F EWP-WX3510H EWP-WX3510H-F EWP-WX3520H EWP-WX3520H-F EWP-WX3540H EWP-WX3540H-F |
支持 |
|
WX5500E係列 |
WX5510E WX5540E |
EWP-WX5510E EWP-WX5540E |
支持 |
|
WX5500H係列 |
WX5540H WX5560H WX5580H |
EWP-WX5540H EWP-WX5560H EWP-WX5580H |
支持 |
|
AC插卡係列 |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
支持 |
|
產品係列 |
產品型號 |
產品代碼 |
說明 |
|
WX1800H係列 |
WX1804H-PWR WX1810H-PWR WX1820H WX1840H |
EWP-WX1804H-PWR EWP-WX1810H-PWR EWP-WX1820H EWP-WX1840H-GL |
支持 |
|
WX3800H係列 |
WX3820H WX3840H |
EWP-WX3820H-GL EWP-WX3840H-GL |
支持 |
|
WX5800H係列 |
WX5860H |
EWP-WX5860H-GL |
支持 |
【缺省情況】
接口不對報文進行過濾。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
ipv6:指定ACL類型為IPv6 ACL。
mac:指定ACL類型為二層ACL。
acl-number:指定ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
· 4000~4999:表示二層ACL。
name acl-name:指定ACL的名稱。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫。
inbound:對收到的報文進行過濾。
outbound:對發出的報文進行過濾。
【使用指導】
此功能在聚合成員端口上不生效。
【舉例】
# 應用IPv4基本ACL 2001對接口GigabitEthernet1/0/1收到的報文進行過濾。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] packet-filter 2001 inbound
· display packet-filter
· display packet-filter verbose
packet-filter命令用來配置在無線服務模板下應用ACL進行報文過濾。
undo packet-filter命令用來取消在無線服務模板下應用ACL進行報文過濾。
【命令】
packet-filter [ ipv6 ] { acl-number | name acl-name } { inbound | outbound }
undo packet-filter [ ipv6 ] { inbound | outbound }
【缺省情況】
無線服務模板未應用AC來進行報文過濾。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
ipv6:指定ACL類型為IPv6 ACL。
acl-number:指定ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
name acl-name:指定ACL的名稱。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
inbound:對收到的報文進行過濾。
outbound:對發出的報文進行過濾。
【使用指導】
無線服務模板下應用ACL進行報文過濾時,隻會匹配ACL規則中的主要屬性:源IP地址、目的IP地址、源端口、目的端口、協議類型。
無線服務模板在一個方向上最多隻能應用1個ACL進行報文過濾。
本命令隻能在無線服務模板處於關閉狀態時配置。
【舉例】
# 對接入該無線服務模板的無線客戶端應用IPv4基本ACL 2001對收到的報文進行過濾。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] packet-filter 2001 inbound
packet-filter default deny命令用來配置報文過濾的缺省動作為Deny,即禁止未匹配上ACL規則的報文通過。
undo packet-filter default deny命令用來恢複缺省情況。
【命令】
packet-filter default deny
undo packet-filter default deny
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
產品係列 |
產品型號 |
產品代碼 |
說明 |
|
WX1800H係列 |
WX1804H-PWR |
EWP-WX1804H-PWR-CN |
支持 |
|
WX2500H係列 |
WX2508H-PWR-LTE WX2510H-PWR WX2510H-F-PWR WX2540H WX2540H-F WX2560H |
EWP-WX2508H-PWR-LTE EWP-WX2510H-PWR EWP-WX2510H-F-PWR EWP-WX2540H EWP-WX2540H-F EWP-WX2560H |
支持 |
|
MAK係列 |
MAK204 MAK206 |
EWP-MAK204 EWP-MAK206 |
支持 |
|
WX3000H係列 |
WX3010H WX3010H-X-PWR WX3010H-L-PWR WX3024H WX3024H-L-PWR WX3024H-F |
EWP-WX3010H EWP-WX3010H-X-PWR EWP-WX3010H-L-PWR EWP-WX3024H EWP-WX3024H-L-PWR EWP-WX3024H-F |
不支持 |
|
WX3500H係列 |
WX3508H WX3508H WX3510H WX3510H WX3520H WX3520H-F WX3540H WX3540H |
EWP-WX3508H EWP-WX3508H-F EWP-WX3510H EWP-WX3510H-F EWP-WX3520H EWP-WX3520H-F EWP-WX3540H EWP-WX3540H-F |
支持 |
|
WX5500E係列 |
WX5510E WX5540E |
EWP-WX5510E EWP-WX5540E |
支持 |
|
WX5500H係列 |
WX5540H WX5560H WX5580H |
EWP-WX5540H EWP-WX5560H EWP-WX5580H |
支持 |
|
AC插卡係列 |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
支持 |
|
產品係列 |
產品型號 |
產品代碼 |
說明 |
|
WX1800H係列 |
WX1804H-PWR WX1810H-PWR WX1820H WX1840H |
EWP-WX1804H-PWR EWP-WX1810H-PWR EWP-WX1820H EWP-WX1840H-GL |
支持 |
|
WX3800H係列 |
WX3820H WX3840H |
EWP-WX3820H-GL EWP-WX3840H-GL |
支持 |
|
WX5800H係列 |
WX5860H |
EWP-WX5860H-GL |
支持 |
【缺省情況】
報文過濾的缺省動作為Permit,即允許未匹配上ACL規則的報文通過。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
配置報文過濾的缺省動作會在所有的應用對象下添加一個缺省動作應用,該應用也會像其它應用的ACL一樣顯示。
【舉例】
# 配置報文過濾的缺省動作為Deny。
<Sysname> system-view
[Sysname] packet-filter default deny
【相關命令】
· display packet-filter
· display packet-filter verbose
reset acl counter命令用來清除ACL的統計信息。
【命令】
reset acl [ ipv6 | mac ] counter { acl-number | all | name acl-name }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
ipv6:指定ACL類型為IPv6 ACL。
mac:指定ACL類型為二層ACL。
acl-number:清除指定編號ACL的統計信息。acl-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
· 4000~4999:表示二層ACL。
all:清除指定類型中全部ACL的統計信息。
name acl-name:清除指定名稱ACL的統計信息。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫。
【舉例】
# 清除IPv4基本ACL 2001的統計信息。
<Sysname> reset acl counter 2001
【相關命令】
· display acl
rule命令用來為IPv4高級ACL創建一條規則。
undo rule命令用來為IPv4高級ACL刪除一條規則或刪除規則中的部分內容。
【命令】
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | destination { dest-address dest-wildcard | any } | destination-port operator port1 [ port2 ] | { dscp dscp | { precedence precedence | tos tos } * } | fragment | icmp-type { icmp-type [ icmp-code ] | icmp-message } | source { source-address source-wildcard | any } | source-port operator port1 [ port2 ] | time-range time-range-name ] *
undo rule rule-id [ { { ack | fin | psh | rst | syn | urg } * | established } | destination | destination-port | { dscp | { precedence | tos } * } | fragment | icmp-type | source | source-port | time-range ] *
undo rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | destination { dest-address dest-wildcard | any } | destination-port operator port1 [ port2 ] | { dscp dscp | { precedence precedence | tos tos } * } | fragment | icmp-type { icmp-type [ icmp-code ] | icmp-message } | source { source-address source-wildcard | any } | source-port | time-range time-range-name ] *
【缺省情況】
IPv4高級ACL內不存在任何規則。
【視圖】
IPv4高級ACL視圖
【缺省用戶角色】
network-admin
【參數】
rule-id:指定IPv4高級ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將從規則編號的起始值開始,自動分配一個大於現有最大編號的步長最小倍數。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
protocol:表示IPv4承載的協議類型,可輸入的形式如下:
· 數字:取值範圍為0~255;
· 名稱(括號內為對應的數字):可選取gre(47)、icmp(1)、igmp(2)、ip、ipinip(4)、ospf(89)、tcp(6)或udp(17)。ip表示所有協議類型。
protocol之後可配置如表1-4所示的規則信息參數。
|
參數 |
類別 |
作用 |
說明 |
|
source { source-address source-wildcard | any } |
源地址信息 |
指定ACL規則的源地址信息 |
source-address:源IP地址 source-wildcard:源IP地址的通配符掩碼(為0表示主機地址) any:任意源IP地址 |
|
destination { dest-address dest-wildcard | any } |
目的地址信息 |
指定ACL規則的目的地址信息 |
dest-address:目的IP地址 dest-wildcard:目的IP地址的通配符掩碼(為0表示主機地址) any:任意目的IP地址 |
|
precedence precedence |
報文優先級 |
指定IP優先級 |
precedence用數字表示時,取值範圍為0~7;用字符表示時,分別對應routine、priority、immediate、flash、flash-override、critical、internet、network |
|
tos tos |
報文優先級 |
指定ToS優先級 |
tos用數字表示時,取值範圍為0~15;用字符表示時,可以選取max-reliability(2)、max-throughput(4)、min-delay(8)、min-monetary-cost(1)、normal(0) |
|
dscp dscp |
報文優先級 |
指定DSCP優先級 |
dscp用數字表示時,取值範圍為0~63;用字符表示時,可以選取af11(10)、af12(12)、af13(14)、af21(18)、af22(20)、af23(22)、af31(26)、af32(28)、af33(30)、af41(34)、af42(36)、af43(38)、cs1(8)、cs2(16)、cs3(24)、cs4(32)、cs5(40)、cs6(48)、cs7(56)、default(0)、ef(46)。 |
|
fragment |
分片信息 |
僅對分片報文的非首個分片有效,而對非分片報文和分片報文的首個分片無效 |
若未指定該參數,則表示該規則對所有報文(包括非分片報文和分片報文的每個分片)均有效 |
|
time-range time-range-name |
時間段 |
指定本規則生效的時間段 |
time-range-name:時間段的名稱,為1~32個字符的字符串,不區分大小寫。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。有關時間段的詳細介紹和具體配置過程,請參見“安全配置指導”中的“時間段” |
當protocol為tcp(6)或udp(17)時,用戶還可配置如表1-5所示的規則信息參數。
表1-5 TCP/UDP特有的規則信息參數
|
參數 |
類別 |
作用 |
說明 |
|
source-port operator port1 [ port2 ] |
源端口 |
定義TCP/UDP報文的源端口信息 |
operator為操作符,取值可以為lt(小於)、gt(大於)、eq(等於)、neq(不等於)或者range(在範圍內,包括邊界值)。隻有操作符range需要兩個端口號做操作數,其它的隻需要一個端口號做操作數 port1、port2:TCP或UDP的端口號,用數字表示時,取值範圍為0~65535;用字符表示時,TCP端口號可以選取chargen(19)、bgp(179)、cmd(514)、daytime(13)、discard(9)、dns(53)、domain(53)、echo (7)、exec (512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)、www(80);UDP端口號可以選取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)、xdmcp(177) |
|
destination-port operator port1 [ port2 ] |
目的端口 |
定義TCP/UDP報文的目的端口信息 |
|
|
{ ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * |
TCP報文標識 |
定義對攜帶不同標誌位(包括ACK、FIN、PSH、RST、SYN和URG六種)的TCP報文的處理規則 |
TCP協議特有的參數。表示匹配攜帶不同標誌位的TCP報文,各value的取值可為0或1(0表示不攜帶此標誌位,1表示攜帶此標誌位) 對於一條規則中各標誌位的配置組合,按照“或”的規則進行匹配。譬如:當配置為ack 0 psh 1時,匹配不攜帶ACK或攜帶PSH標誌位的TCP報文 |
|
established |
TCP連接建立標識 |
定義對TCP連接報文的處理規則 |
TCP協議特有的參數。表示匹配攜帶ACK或RST標誌位的TCP連接報文 |
當protocol為icmp(1)時,用戶還可配置如表1-6所示的規則信息參數。
表1-6 ICMP特有的規則信息參數
|
參數 |
類別 |
作用 |
說明 |
|
icmp-type { icmp-type icmp-code | icmp-message } |
ICMP報文的消息類型和消息碼信息 |
指定本規則中ICMP報文的消息類型和消息碼信息 |
icmp-type:ICMP消息類型,取值範圍為0~255 icmp-code:ICMP消息碼,取值範圍為0~255 icmp-message:ICMP消息名稱。可以輸入的ICMP消息名稱,及其與消息類型和消息碼的對應關係如表1-7所示 |
表1-7 ICMP消息名稱與消息類型和消息碼的對應關係
|
ICMP消息名稱 |
ICMP消息類型 |
ICMP消息碼 |
|
echo |
8 |
0 |
|
echo-reply |
0 |
0 |
|
fragmentneed-DFset |
3 |
4 |
|
host-redirect |
5 |
1 |
|
host-tos-redirect |
5 |
3 |
|
host-unreachable |
3 |
1 |
|
information-reply |
16 |
0 |
|
information-request |
15 |
0 |
|
net-redirect |
5 |
0 |
|
net-tos-redirect |
5 |
2 |
|
net-unreachable |
3 |
0 |
|
parameter-problem |
12 |
0 |
|
port-unreachable |
3 |
3 |
|
protocol-unreachable |
3 |
2 |
|
reassembly-timeout |
11 |
1 |
|
source-quench |
4 |
0 |
|
source-route-failed |
3 |
5 |
|
timestamp-reply |
14 |
0 |
|
timestamp-request |
13 |
0 |
|
ttl-exceeded |
11 |
0 |
【使用指導】
使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
創建的規則若與動態規則的內容完全相同,則會覆蓋已有動態規則。
新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
display acl all命令可以查看所有已存在的IPv4高級ACL規則和IPv4基本ACL規則。
刪除規則時需要注意的是:
· 使用undo rule rule-id命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· undo rule [ rule-id ] { deny | permit }命令無法刪除規則中的部分內容,使用undo rule { deny | permit }命令時,必須輸入已存在規則的完整形式。
【舉例】
# 為IPv4高級ACL 3000創建規則如下:允許129.9.0.0/16網段內的主機與202.38.160.0/24網段內主機的WWW端口(端口號為80)建立連接。
<Sysname> system-view
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80
# 為IPv4高級ACL 3001創建規則如下:允許IP報文通過,但拒絕發往192.168.1.0/24網段的ICMP報文通過。
<Sysname> system-view
[Sysname] acl advanced 3001
[Sysname-acl-ipv4-adv-3001] rule deny icmp destination 192.168.1.0 0.0.0.255
[Sysname-acl-ipv4-adv-3001] rule permit ip
# 為IPv4高級ACL 3002創建規則如下:在出、入雙方向上都允許建立FTP連接並傳輸FTP數據。
<Sysname> system-view
[Sysname] acl advanced 3002
[Sysname-acl-ipv4-adv-3002] rule permit tcp source-port eq ftp
[Sysname-acl-ipv4-adv-3002] rule permit tcp source-port eq ftp-data
[Sysname-acl-ipv4-adv-3002] rule permit tcp destination-port eq ftp
[Sysname-acl-ipv4-adv-3002] rule permit tcp destination-port eq ftp-data
# 為IPv4高級ACL 3003創建規則如下:在出、入雙方向上都允許SNMP報文和SNMP Trap報文通過。
<Sysname> system-view
[Sysname] acl advanced 3003
[Sysname-acl-ipv4-adv-3003] rule permit udp source-port eq snmp
[Sysname-acl-ipv4-adv-3003] rule permit udp source-port eq snmptrap
[Sysname-acl-ipv4-adv-3003] rule permit udp destination-port eq snmp
[Sysname-acl-ipv4-adv-3003] rule permit udp destination-port eq snmptrap
【相關命令】
· acl
· display acl
· step
· time-range(安全命令參考/時間段)
rule命令用來為IPv4基本ACL創建一條規則。
undo rule命令用來為IPv4基本ACL刪除一條規則或刪除規則中的部分內容。
【命令】
rule [ rule-id ] { deny | permit } [ fragment | source { source-address source-wildcard | any } | time-range time-range-name ] *
undo rule rule-id [ fragment | source | time-range ] *
undo rule [ rule-id ] { deny | permit } [ | fragment | source { source-address source-wildcard | any } | time-range time-range-name ] *
【缺省情況】
IPv4基本ACL內不存在任何規則。
【視圖】
IPv4基本ACL視圖
【缺省用戶角色】
network-admin
【參數】
rule-id:指定IPv4基本ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將從規則編號的起始值開始,自動分配一個大於現有最大編號的步長最小倍數。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
fragment:表示僅對非首片分片報文有效,而對非分片報文和首片分片報文無效。若未指定本參數,表示該規則對非分片報文和分片報文均有效。
source { source-address source-wildcard | any }:指定規則的源IP地址信息。source-address表示報文的源IP地址,source-wildcard表示源IP地址的通配符掩碼(為0表示主機地址),any表示任意源IP地址。
time-range time-range-name:指定本規則生效的時間段。time-range-name表示時間段的名稱,為1~32個字符的字符串,不區分大小寫。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。有關時間段的詳細介紹和具體配置過程,請參見“安全配置指導”中的“時間段”。
【使用指導】
使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
display acl all命令可以查看所有已存在的IPv4高級ACL規則和IPv4基本ACL規則。
刪除規則時需要注意的是:
· 使用undo rule rule-id命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· undo rule [ rule-id ] { deny | permit }命令無法刪除規則中的部分內容,使用undo rule { deny | permit }命令時,必須輸入已存在規則的完整形式。
【舉例】
# 為IPv4基本ACL 2000創建規則如下:僅允許來自10.0.0.0/8、172.17.0.0/16和192.168.1.0/24網段的報文通過,而拒絕來自所有其它網段的報文通過。
<Sysname> system-view
[Sysname] acl basic 2000
[Sysname-acl-ipv4-basic-2000] rule permit source 10.0.0.0 0.255.255.255
[Sysname-acl-ipv4-basic-2000] rule permit source 172.17.0.0 0.0.255.255
[Sysname-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Sysname-acl-ipv4-basic-2000] rule deny source any
【相關命令】
· acl
· display acl
· step
· time-range(安全命令參考/時間段)
rule命令用來為IPv6高級ACL創建一條規則。
undo rule命令用來為IPv6高級ACL刪除一條規則或刪除規則中的部分內容。
【命令】
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | destination { dest-address dest-prefix | dest-address/dest-prefix | any } | destination-port operator port1 [ port2 ] | dscp dscp | flow-label flow-label-value | fragment | icmp6-type { icmp6-type icmp6-code | icmp6-message } | routing [ type routing-type ] | hop-by-hop [ type hop-type ] | source { source-address source-prefix | source-address/source-prefix | any } | source-port operator port1 [ port2 ] | time-range time-range-name ] *
undo rule rule-id [ { { ack | fin | psh | rst | syn | urg } * | established } | destination | destination-port | dscp | flow-label | fragment | icmp6-type | routing | hop-by-hop | source | source-port | time-range ] *
undo rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | destination { dest-address dest-prefix | dest-address/dest-prefix | any } | destination-port operator port1 [ port2 ] | dscp dscp | flow-label flow-label-value | fragment | icmp6-type { icmp6-type icmp6-code | icmp6-message } | routing [ type routing-type ] | hop-by-hop [ type hop-type ] | source { source-address source-prefix | source-address/source-prefix | any } | source-port operator port1 [ port2 ] } | time-range time-range-name ] *
【缺省情況】
IPv6高級ACL內不存在任何規則。
【視圖】
IPv6高級ACL視圖
【缺省用戶角色】
network-admin
【參數】
rule-id:指定IPv6高級ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將從規則編號的起始值開始,自動分配一個大於現有最大編號的步長最小倍數。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
protocol:表示IPv6承載的協議類型,可輸入的形式如下:
· 數字:取值範圍為0~255;
· 名稱(括號內為對應的數字):可選取gre(47)、icmpv6(58)、ipv6、ipv6-ah(51)、ipv6-esp(50)、ospf(89)、tcp(6)或udp(17)。ipv6表示所有協議類型。
protocol之後可配置如表1-8所示的規則信息參數。
|
參數 |
類別 |
作用 |
說明 |
|
source { source-address source-prefix | source-address/source-prefix | any } |
源IPv6地址 |
指定ACL規則的源IPv6地址信息 |
source-address:源IPv6地址 source-prefix:源IPv6地址的前綴長度,取值範圍1~128 any:任意源IPv6地址 |
|
destination { dest-address dest-prefix | dest-address/dest-prefix | any } |
目的IPv6地址 |
指定ACL規則的目的IPv6地址信息 |
dest-address:目的IPv6地址 dest-prefix:目的IPv6地址的前綴長度,取值範圍1~128 any:任意目的IPv6地址 |
|
dscp dscp |
報文優先級 |
指定DSCP優先級 |
dscp:用數字表示時,取值範圍為0~63;用名稱表示時,可選取af11(10)、af12(12)、af13(14)、af21(18)、af22(20)、af23(22)、af31(26)、af32(28)、af33(30)、af41(34)、af42(36)、af43(38)、cs1(8)、cs2(16)、cs3(24)、cs4(32)、cs5(40)、cs6(48)、cs7(56)、default(0)或ef(46) |
|
flow-label flow-label-value |
流標簽字段 |
指定IPv6基本報文頭中流標簽字段的值 |
flow-label-value:流標簽字段的值,取值範圍為0~1048575 |
|
fragment |
報文分片 |
僅對分片報文的非首個分片有效,而對非分片報文和分片報文的首個分片無效 |
若未指定本參數,表示該規則對所有報文(包括非分片報文和分片報文的每個分片)均有效 |
|
routing [ type routing-type ] |
路由頭 |
指定路由頭的類型 |
routing-type:路由頭類型的值,取值範圍為0~255 若指定了type routing-type參數,表示僅對指定類型的路由頭有效;否則,表示對IPv6所有類型的路由頭都有效 |
|
hop-by-hop [ type hop-type ] |
逐跳頭 |
指定逐跳頭的類型 |
hop-type:逐跳頭類型的值,取值範圍為0~255 若指定了type hop-type參數,表示僅對指定類型的逐跳頭有效;否則,表示對IPv6所有類型的逐跳頭都有效 |
|
time-range time-range-name |
時間段 |
指定本規則生效的時間段 |
time-range-name:時間段的名稱,為1~32個字符的字符串,不區分大小寫。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。有關時間段的詳細介紹和具體配置過程,請參見“安全配置指導”中的“時間段” |
當protocol為tcp(6)或udp(17)時,用戶還可配置如表1-9所示的規則信息參數。
表1-9 TCP/UDP特有的規則信息參數
|
參數 |
類別 |
作用 |
說明 |
|
source-port operator port1 [ port2 ] |
源端口 |
定義TCP/UDP報文的源端口信息 |
operator:操作符,取值可以為lt(小於)、gt(大於)、eq(等於)、neq(不等於)或者range(在範圍內,包括邊界值)。隻有range操作符需要兩個端口號做操作數,其它操作符隻需要一個端口號做操作數 port1/port2:TCP或UDP的端口號,用數字表示時,取值範圍為0~65535;用名稱表示時,TCP端口號可選取chargen(19)、bgp(179)、cmd(514)、daytime(13)、discard(9)、dns(53)、domain(53)、echo (7)、exec (512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)或www(80);UDP端口號可選取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)或xdmcp(177) |
|
destination-port operator port1 [ port2 ] |
目的端口 |
定義TCP/UDP報文的目的端口信息 |
|
|
{ ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * |
TCP報文標識 |
定義對攜帶不同標誌位(包括ACK、FIN、PSH、RST、SYN和URG六種)的TCP報文的處理規則 |
TCP協議特有的參數。表示匹配攜帶不同標誌位的TCP報文,各value的取值可為0或1(0表示不攜帶此標誌位,1表示攜帶此標誌位) 對於一條規則中各標誌位的配置組合,按照“或”的規則進行匹配。譬如:當配置為ack 0 psh 1時,匹配不攜帶ACK或攜帶PSH標誌位的TCP報文 |
|
established |
TCP連接建立標識 |
定義對TCP連接報文的處理規則 |
TCP協議特有的參數。表示匹配攜帶ACK或RST標誌位的TCP連接報文 |
當protocol為icmpv6(58)時,用戶還可配置如表1-10所示的規則信息參數。
表1-10 ICMPv6特有的規則信息參數
|
參數 |
類別 |
作用 |
說明 |
|
icmp6-type { icmp6-type icmp6-code | icmp6-message } |
ICMPv6報文的消息類型和消息碼 |
指定本規則中ICMPv6報文的消息類型和消息碼信息 |
icmp6-type:ICMPv6消息類型,取值範圍為0~255 icmp6-code:ICMPv6消息碼,取值範圍為0~255 icmp6-message:ICMPv6消息名稱。可以輸入的ICMPv6消息名稱,及其與消息類型和消息碼的對應關係如表1-11所示 |
表1-11 ICMPv6消息名稱與消息類型和消息碼的對應關係
|
ICMPv6消息名稱 |
ICMPv6消息類型 |
ICMPv6消息碼 |
|
echo-reply |
129 |
0 |
|
echo-request |
128 |
0 |
|
err-Header-field |
4 |
0 |
|
frag-time-exceeded |
3 |
1 |
|
hop-limit-exceeded |
3 |
0 |
|
host-admin-prohib |
1 |
1 |
|
host-unreachable |
1 |
3 |
|
neighbor-advertisement |
136 |
0 |
|
neighbor-solicitation |
135 |
0 |
|
network-unreachable |
1 |
0 |
|
packet-too-big |
2 |
0 |
|
port-unreachable |
1 |
4 |
|
redirect |
137 |
0 |
|
router-advertisement |
134 |
0 |
|
router-solicitation |
133 |
0 |
|
unknown-ipv6-opt |
4 |
2 |
|
unknown-next-hdr |
4 |
1 |
【使用指導】
使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
創建的規則若與動態規則的內容完全相同,則會覆蓋已有動態規則。新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
display acl ipv6 all命令可以查看所有已存在的IPv6高級ACL規則和IPv6基本ACL規則。
刪除規則時需要注意的是:
· 使用undo rule rule-id命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· undo rule [ rule-id ] { deny | permit }命令無法刪除規則中的部分內容,使用undo rule { deny | permit }命令時,必須輸入已存在規則的完整形式。
【舉例】
# 為IPv6高級ACL 3000創建規則如下:允許2030:5060::/64網段內的主機與FE80:5060::/96網段內主機的WWW端口(端口號為80)建立連接。
<Sysname> system-view
[Sysname] acl ipv6 advanced 3000
[Sysname-acl-ipv6-adv-3000] rule permit tcp source 2030:5060::/64 destination fe80:5060::/96 destination-port eq 80
# 為IPv6高級ACL 3001創建規則如下:允許IPv6報文通過,但拒絕發往FE80:5060:1001::/48網段的ICMPv6報文通過。
<Sysname> system-view
[Sysname] acl ipv6 advanced 3001
[Sysname-acl-ipv6-adv-3001] rule deny icmpv6 destination fe80:5060:1001:: 48
[Sysname-acl-ipv6-adv-3001] rule permit ipv6
# 為IPv6高級ACL 3002創建規則如下:在出、入雙方向上都允許建立FTP連接並傳輸FTP數據。
<Sysname> system-view
[Sysname] acl ipv6 advanced 3002
[Sysname-acl-ipv6-adv-3002] rule permit tcp source-port eq ftp
[Sysname-acl-ipv6-adv-3002] rule permit tcp source-port eq ftp-data
[Sysname-acl-ipv6-adv-3002] rule permit tcp destination-port eq ftp
[Sysname-acl-ipv6-adv-3002] rule permit tcp destination-port eq ftp-data
# 為IPv6高級ACL 3003創建規則如下:在出、入雙方向上都允許SNMP報文和SNMP Trap報文通過。
<Sysname> system-view
[Sysname] acl ipv6 advanced 3003
[Sysname-acl-ipv6-adv-3003] rule permit udp source-port eq snmp
[Sysname-acl-ipv6-adv-3003] rule permit udp source-port eq snmptrap
[Sysname-acl-ipv6-adv-3003] rule permit udp destination-port eq snmp
[Sysname-acl-ipv6-adv-3003] rule permit udp destination-port eq snmptrap
# 為IPv6高級ACL 3004創建規則如下:在含有逐跳頭的報文中,隻允許轉發含有MLD選項(Type=5)的報文,丟棄其他報文。
<Sysname> system-view
[Sysname] acl ipv6 advanced 3004
[Sysname-acl-ipv6-adv-3004] rule permit ipv6 hop-by-hop type 5
[Sysname-acl-ipv6-adv-3004] rule deny ipv6 hop-by-hop
【相關命令】
· acl
· display acl
· step
· time-range(安全命令參考/時間段)
rule命令用來為IPv6基本ACL創建一條規則。
undo rule命令用來為IPv6基本ACL刪除一條規則或刪除規則中的部分內容。
【命令】
rule [ rule-id ] { deny | permit } [ fragment | routing [ type routing-type ] | source { source-address source-prefix | source-address/source-prefix | any } | time-range time-range-name ] *
undo rule rule-id [ fragment | routing | source | time-range ] *
undo rule [ rule-id ] { deny | permit } [ fragment | routing [ type routing-type ] | source { source-address source-prefix | source-address/source-prefix | any } | time-range time-range-name ] *
【缺省情況】
IPv6基本ACL內不存在任何規則。
【視圖】
IPv6基本ACL視圖
【缺省用戶角色】
network-admin
【參數】
rule-id:指定IPv6基本ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將從規則編號的起始值開始,自動分配一個大於現有最大編號的步長最小倍數。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
fragment:表示僅對非首片分片報文有效,而對非分片報文和首片分片報文無效。若未指定本參數,表示該規則對非分片報文和分片報文均有效。
routing [ type routing-type ]:表示對所有或指定類型的路由頭有效,routing-type表示路由頭類型的值,取值範圍為0~255。若指定了type routing-type參數,表示僅對指定類型的路由頭有效;否則,表示對IPv6所有類型的路由頭都有效。
source { source-address source-prefix | source-address/source-prefix | any }:指定規則的源IPv6地址信息。source-address表示報文的源IPv6地址,source-prefix表示源IPv6地址的前綴長度,取值範圍為1~128,any表示任意源IPv6地址。
time-range time-range-name:指定本規則生效的時間段。time-range-name表示時間段的名稱,為1~32個字符的字符串,不區分大小寫。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。有關時間段的詳細介紹和具體配置過程,請參見“安全配置指導”中的“時間段”。
【使用指導】
使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
display acl ipv6 all命令可以查看所有已存在的IPv6高級ACL規則和IPv6基本ACL規則。
刪除規則時需要注意的是:
· 使用undo rule rule-id命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· undo rule [ rule-id ] { deny | permit }命令無法刪除規則中的部分內容,使用undo rule { deny | permit }命令時,必須輸入已存在規則的完整形式。
【舉例】
# 為IPv6基本ACL 2000創建規則如下:僅允許來自1001::/16、3124:1123::/32和FE80:5060:1001::/48網段的報文通過,而拒絕來自所有其它網段的報文通過。
<Sysname> system-view
[Sysname] acl ipv6 basic 2000
[Sysname-acl-ipv6-basic-2000] rule permit source 1001:: 16
[Sysname-acl-ipv6-basic-2000] rule permit source 3124:1123:: 32
[Sysname-acl-ipv6-basic-2000] rule permit source fe80:5060:1001:: 48
[Sysname-acl-ipv6-basic-2000] rule deny source any
【相關命令】
· acl
· display acl
· step
· time-range(安全命令參考/時間段)
rule命令用來為二層ACL創建一條規則。
undo rule命令用來為二層ACL刪除一條規則或刪除規則中的部分內容。
【命令】
rule [ rule-id ] { deny | permit } [ cos dot1p | dest-mac dest-address dest-mask | { lsap lsap-type lsap-type-mask | type protocol-type protocol-type-mask } | source-mac source-address source-mask | time-range time-range-name ] *
undo rule rule-id [ time-range ] *
undo rule [ rule-id ] { deny | permit } [ cos dot1p | dest-mac dest-address dest-mask | { lsap lsap-type lsap-type-mask | type protocol-type protocol-type-mask } | source-mac source-address source-mask | time-range time-range-name ] *
【缺省情況】
二層ACL內不存在任何規則。
【視圖】
二層ACL視圖
【缺省用戶角色】
network-admin
【參數】
rule-id:指定二層ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將從規則編號的起始值開始,自動分配一個大於現有最大編號的步長最小倍數。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
cos dot1p:指定802.1p優先級。dot1p表示802.1p優先級,可輸入的形式如下:
· 數字:取值範圍為0~7;
· 名稱:best-effort、background、spare、excellent-effort、controlled-load、video、voice和network-management,依次對應於數字0~7。
dest-mac dest-address dest-mask:指定目的MAC地址範圍。dest-address表示目的MAC地址,格式為H-H-H。dest-mask表示目的MAC地址的掩碼,格式為H-H-H。
lsap lsap-type lsap-type-mask:指定LLC封裝中的DSAP字段和SSAP字段。lsap-type表示數據幀的封裝格式,取值範圍為十六進製數0~ffff。lsap-type-mask表示LSAP的類型掩碼,用於指定屏蔽位,取值範圍為十六進製數0~ffff。
type protocol-type protocol-type-mask:指定鏈路層協議類型。protocol-type表示數據幀類型,對應Ethernet_II類型和Ethernet_SNAP類型幀中的type域,取值範圍為十六進製數0~ffff。protocol-type-mask表示類型掩碼,用於指定屏蔽位,取值範圍為十六進製數0~ffff。
source-mac source-address source-mask:指定源MAC地址範圍。source-address表示源MAC地址,格式為H-H-H。source-mask表示源MAC地址的掩碼,格式為H-H-H。
time-range time-range-name:指定本規則生效的時間段。time-range-name表示時間段的名稱,為1~32個字符的字符串,不區分大小寫。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。有關時間段的詳細介紹和具體配置過程,請參見“安全配置指導”中的“時間段”。
【使用指導】
使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
display acl mac all命令可以查看所有已存在的二層ACL規則。
刪除規則時需要注意的是:
· 使用undo rule rule-id命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· undo rule [ rule-id ] { deny | permit }命令無法刪除規則中的部分內容,使用undo rule { deny | permit }命令時,必須輸入已存在規則的完整形式。
【舉例】
# 為二層ACL 4000創建規則如下:允許ARP報文通過,但拒絕RARP報文通過。
<Sysname> system-view
[Sysname] acl mac 4000
[Sysname-acl-mac-4000] rule permit type 0806 ffff
[Sysname-acl-mac-4000] rule deny type 8035 ffff
【相關命令】
· acl
· display acl
· step
· time-range(安全命令參考/時間段)
rule命令用來為無線接入點ACL創建一條規則。
undo rule命令用來為無線接入點ACL刪除一條規則。
【命令】
rule [ rule-id ] { deny | permit } [ mac mac-address mac-mask ] [ serial-id serial-id ]
undo rule rule-id
【缺省情況】
無線接入點ACL內不存在任何規則。
【視圖】
無線接入點ACL視圖
【缺省用戶角色】
network-admin
【參數】
rule-id:指定無線接入點ACL規則的編號,取值範圍為0~65534。如果未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的無線接入點。
permit:表示允許符合條件的無線接入點。
mac mac-address mac-mask:指定無線接入點的MAC地址範圍。mac-address表示MAC地址,格式為H-H-H;mac-mask表示MAC地址的掩碼,格式為H-H-H。如果未指定本參數,則對所有MAC生效。
serial-id serial-id:指定無線接入點的序列號。serial-id為1~32個字符的字符串,不區分大小寫。如果未指定本參數,則對所有序列號生效。
【使用指導】
使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
新創建或修改的規則不能與已有規則的內容完全相同,否則將提示錯誤,並導致該操作失敗。
display acl wlan all命令可以查看所有已存在的無線客戶端和無線接入點ACL規則。
【舉例】
# 創建無線接入點ACL 222,規則如下:允許序列號為210235A42QB095000766的無線接入點上線,拒絕序列號為210235A42QB095000777的無線接入點上線。
<Sysname> system-view
[Sysname] acl wlan ap 222
[Sysname-acl-ap-222] rule permit serial-id 210235A42QB095000766
[Sysname-acl-ap-222] rule deny serial-id 210235A42QB095000777
【相關命令】
· acl wlan ap
· display acl
· step
rule命令用來為無線客戶端ACL創建一條規則。
undo rule命令用來為無線客戶端ACL刪除一條規則。
【命令】
rule [ rule-id ] { deny | permit } [ ssid ssid-name ]
undo rule rule-id
【缺省情況】
無線客戶端ACL內不存在任何規則。
【視圖】
無線客戶端ACL視圖
【缺省用戶角色】
network-admin
【參數】
rule-id:指定客戶端ACL規則的編號,取值範圍為0~65534。如果未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
ssid ssid-name:指定WLAN(Wireless Local Area Network,無線局域網)的SSID(Service Set Identifier,服務集標識符)名稱,ssid-name為1~32個字符的字符串,包括字母和數字,區分大小寫,允許包含空格。如果未指定本參數,表示該規則對所有SSID均有效。
【使用指導】
使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
新創建或修改的規則不能與已有規則的內容完全相同,否則將提示錯誤,並導致該操作失敗。
display acl wlan all命令可以查看所有已存在的無線客戶端和無線接入點ACL規則。
【舉例】
# 創建無線客戶端ACL 111,規則如下:允許SSID為ME的報文通過,但拒絕SSID為HIM的報文通過。
<Sysname> system-view
[Sysname] acl wlan client 111
[Sysname-acl-client-111] rule permit ssid ME
[Sysname-acl-client-111] rule deny ssid HIM
【相關命令】
· acl wlan client
· display acl
· step
rule comment命令用來為規則配置描述信息。
undo rule comment命令用來刪除指定規則的描述信息。
【命令】
rule rule-id comment text
undo rule rule-id comment
【缺省情況】
規則沒有描述信息。
【視圖】
IPv4基本ACL視圖/IPv4高級ACL視圖
IPv6基本ACL視圖/IPv6高級ACL視圖
二層ACL視圖
無線客戶端ACL視圖/無線接入點ACL視圖
【缺省用戶角色】
network-admin
【參數】
rule-id:指定規則的編號,該規則必須存在。取值範圍為0~65534。
text:表示規則的描述信息,為1~127個字符的字符串,區分大小寫。
【使用指導】
使用rule comment命令時,如果指定的規則沒有描述信息,則為其添加描述信息,否則修改其描述信息。
【舉例】
# 為IPv4基本ACL 2000配置規則0,並為該規則配置描述信息。
<Sysname> system-view
[Sysname] acl basic 2000
[Sysname-acl-ipv4-basic-2000] rule 0 deny source 1.1.1.1 0
[Sysname-acl-ipv4-basic-2000] rule 0 comment This rule is used on gigabitethernet 1/0/1.
【相關命令】
· display acl
step命令用來配置規則編號的步長。
undo step命令用來恢複缺省情況。
【命令】
step step-value
undo step
【缺省情況】
規則編號的步長為5,起始值為0。
【視圖】
IPv4基本ACL視圖/IPv4高級ACL視圖
IPv6基本ACL視圖/IPv6高級ACL視圖
二層ACL視圖
無線客戶端ACL視圖/無線接入點ACL視圖
【缺省用戶角色】
network-admin
【參數】
step-value:表示規則編號的步長值,取值範圍為1~20。
【使用指導】
係統為規則自動分配編號的方式如下:係統從規則編號的起始值開始,自動分配一個大於現有最大編號的步長最小倍數。譬如原有編號為0、5、9、10和12的五條規則,步長為5,此時如果創建一條規則且不指定編號,那麼係統將自動為其分配編號15。
如果步長發生了改變,ACL內原有全部規則的編號都將自動從規則編號的起始值開始按步長重新排列。譬如,某ACL內原有編號為0、5、9、10和15的五條規則,當修改步長為2之後,這些規則的編號將依次變為0、2、4、6和8。
【舉例】
# 將IPv4基本ACL 2000的規則編號的步長配置為2。
<Sysname> system-view
[Sysname] acl basic 2000
[Sysname-acl-ipv4-basic-2000] step 2
【相關命令】
· display acl
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
