- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-ACL命令
本章節下載: 01-ACL命令 (371.97 KB)
目 錄
1.1.10 display packet-filter statistics
1.1.11 display packet-filter statistics sum
1.1.12 display packet-filter verbose
1.1.13 packet-filter (Interface view)
1.1.14 packet-filter (Zone-pair security view)
1.1.15 packet-filter default deny
1.1.17 reset packet-filter statistics
1.1.18 rule insert-only enable
1.1.20 rule (IPv4 advanced ACL view)
1.1.21 rule (IPv4 basic ACL view)
1.1.22 rule (IPv6 advanced ACL view)
accelerate命令用來開啟ACL加速功能。
undo accelerate命令用來關閉ACL加速功能。
【命令】
accelerate
undo accelerate
【缺省情況】
ACL加速功能處於關閉狀態。
【視圖】
IPv4基本ACL視圖/IPv4高級ACL視圖/IPv6基本ACL視圖/IPv6高級ACL視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
資源不足會導致ACL加速失敗,但是匹配依然生效。規則有變化或者重新加速,在資源足夠的前提下加速會生效。
ACL加速成功後,再去修改或添加新的規則,可能由於資源不足,會導致新的規則加速失敗,規則匹配不生效,但是不影響之前加速成功的規則。
【舉例】
# 開啟ACL 2000的加速功能。
<Sysname> system-view
[Sysname] acl basic 2000
[Sysname-acl-ipv4-basic-2000] accelerate
【相關命令】
· display acl accelerate
acl命令用來創建ACL,並進入ACL視圖。如果指定的ACL已存在,則直接進入ACL視圖。
undo acl命令用來刪除指定或全部ACL。
【命令】
acl [ ipv6 ] { advanced | basic } { acl-number | name acl-name } [ match-order { auto | config } ]
acl mac { acl-number | name acl-name } [ match-order { auto | config } ]
undo acl [ ipv6 ] { all | { advanced | basic } { acl-number | name acl-name } }
undo acl mac { all | acl-number | name acl-name }
【缺省情況】
不存在ACL。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6:指定ACL類型為IPv6 ACL。
basic:指定創建基本ACL。
advanced:指定創建高級ACL。
mac:指定創建二層ACL。
acl-number:指定ACL的編號。acl-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
· 4000~4999:表示二層ACL。
name acl-name:指定ACL的名稱。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
match-order { auto | config }:指定規則的匹配順序,auto表示按照自動排序(即“深度優先”原則)的順序進行規則匹配,config表示按照配置順序進行規則匹配。缺省情況下,規則的匹配順序為配置順序。
all:指定類型中全部ACL。
【使用指導】
當ACL內不存在任何規則時,用戶可以使用本命令對該ACL的規則匹配順序進行修改,否則不允許進行修改。
若未指定ipv6或mac參數,則表示IPv4 ACL。
如果ACL規則的匹配項中包含了除IP五元組(源IP地址、源端口號、目的IP地址、目的端口號、傳輸層協議)、ICMP報文的消息類型和消息碼信息、VPN實例、日誌操作和時間段之外的其它匹配項,則設備轉發ACL匹配的這類報文時會啟用慢轉發流程。慢轉發時設備會將報文上送控製平麵,計算報文相應的表項信息。執行慢轉發流程時,設備的轉發能力將會有所降低。
【舉例】
# 創建一個編號為2000的IPv4基本ACL,並進入其視圖。
[Sysname] acl basic 2000
[Sysname-acl-ipv4-basic-2000]
# 創建一個IPv4基本ACL,指定其名稱為flow,並進入其視圖。
<Sysname> system-view
[Sysname] acl basic name flow
[Sysname-acl-ipv4-basic-flow]
# 創建一個編號為3000的IPv4高級ACL,並進入其視圖。
<Sysname> system-view
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000]
# 創建一個編號為2000的IPv6基本ACL,並進入其視圖。
<Sysname> system-view
[Sysname] acl ipv6 basic 2000
[Sysname-acl-ipv6-basic-2000]
# 創建一個IPv6基本ACL,其名稱為flow,並進入其視圖。
<Sysname> system-view
[Sysname] acl ipv6 basic name flow
[Sysname-acl-ipv6-basic-flow]
# 創建一個IPv6高級ACL,其名稱為abc,並進入其視圖。
<Sysname> system-view
[Sysname] acl ipv6 advanced name abc
[Sysname-acl-ipv6-adv-abc]
# 創建一個編號為4000的二層ACL,並進入其視圖。
<Sysname> system-view
[Sysname] acl mac 4000
[Sysname-acl-mac-4000]
# 創建一個二層ACL,其名稱為flow,並進入其視圖。
<Sysname> system-view
[Sysname] acl mac name flow
[Sysname-acl-mac-flow]
【相關命令】
· display acl
acl copy命令用來複製並生成一個新的ACL。
【命令】
acl [ ipv6 | mac ] copy { source-acl-number | name source-acl-name } to { dest-acl-number | name dest-acl-name }
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6:指定ACL類型為IPv6 ACL。
mac:指定ACL類型為二層ACL。
source-acl-number:指定源ACL的編號,該ACL必須存在。本參數的取值範圍及其代表的ACL類型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
· 4000~4999:表示二層ACL。
name source-acl-name:指定源ACL的名稱,該ACL必須存在。source-acl-name為1~63個字符的字符串,不區分大小寫。
dest-acl-number:指定目的ACL的編號,該ACL必須不存在。本參數的取值範圍及其代表的ACL類型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
· 4000~4999:表示二層ACL。
name dest-acl-name:指定目的ACL的名稱,該ACL必須不存在。dest-acl-name為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
【使用指導】
目的ACL的類型要與源ACL的類型相同。
除了ACL的編號或名稱不同外,新生成的ACL(即目的ACL)的匹配順序、規則匹配統計功能的開啟情況、規則編號的步長、所包含的規則、規則的描述信息以及ACL的描述信息等都與源ACL的相同。
若未指定ipv6或mac參數,則表示IPv4 ACL。
【舉例】
# 通過複製已存在的IPv4基本ACL 2001,來生成一個新的編號為2002的同類型ACL。
<Sysname> system-view
[Sysname] acl copy 2001 to 2002
# 通過複製已存在的IPv4基本ACL test,來生成名為paste的同類型ACL。
<Sysname> system-view
[Sysname] acl copy name test to name paste
acl logging interval命令用來配置報文過濾日誌信息的生成與發送周期,同時開啟報文的首包上送功能。
undo acl logging interval命令用來恢複缺省情況。
【命令】
acl logging interval interval
undo acl logging interval
【缺省情況】
報文過濾日誌信息的生成與發送周期為0分鍾,即不記錄報文過濾的日誌。報文首包上送功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interval:報文過濾日誌信息的生成與發送周期,取值範圍為0~1440,且必須為5的整數倍,0表示不進行記錄,單位為分鍾。
【使用指導】
係統隻支持對應用IPv4基本ACL、IPv4高級ACL、IPv6基本ACL或IPv6高級ACL進行報文過濾的報文過濾日誌信息進行記錄,且在上述ACL中配置規則時必須指定logging參數。
【舉例】
# 配置IPv4報文過濾日誌的生成與發送周期為10分鍾。
<Sysname> system-view
[Sysname] acl logging interval 10
【相關命令】
· rule (IPv4 advanced ACL view)
· rule (IPv4 basic ACL view)
· rule (IPv6 advanced ACL view)
· rule (IPv6 basic ACL view)
acl trap interval命令用來配置報文過濾告警信息的生成與發送周期,同時開啟報文的首包上送功能。
undo acl trap interval命令用來恢複缺省情況。
【命令】
acl trap interval interval
undo acl trap interval
【缺省情況】
報文過濾日告警信息的生成與發送周期為0分鍾,即不記錄報文過濾的告警信息。報文首包上送功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interval:報文過濾告警信息的生成與發送周期,取值範圍為0~1440,且必須為5的整數倍,0表示不進行記錄,單位為分鍾。
【使用指導】
係統隻支持對應用IPv4基本ACL、IPv4高級ACL、IPv6基本ACL和IPv6高級ACL進行報文過濾的報文過濾告警信息進行記錄,且在上述ACL中配置規則時必須指定logging參數。
【舉例】
# 配置IPv4報文過濾告警信息的生成與發送周期為10分鍾。
<Sysname> system-view
[Sysname] acl trap interval 10
【相關命令】
· rule (IPv4 advanced ACL view)
· rule (IPv4 basic ACL view)
· rule (IPv6 advanced ACL view)
· rule (IPv6 basic ACL view)
description命令用來配置ACL的描述信息。
undo description命令用來刪除ACL的描述信息。
【命令】
description text
undo description
【缺省情況】
ACL沒有任何描述信息。
【視圖】
IPv4基本ACL視圖/IPv4高級ACL視圖/IPv6基本ACL視圖/IPv6高級ACL視圖/二層ACL視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
text:表示ACL的描述信息,為1~127個字符的字符串,區分大小寫。
【舉例】
<Sysname> system-view
[Sysname] acl basic 2000
[Sysname-acl-ipv4-basic-2000] description This is an IPv4 basic ACL.
【相關命令】
· display acl
display acl命令用來顯示ACL的配置和運行情況。
【命令】
display acl [ ipv6 | mac ] { acl-number | all | name acl-name }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
ipv6:指定ACL類型為IPv6 ACL。
mac:指定ACL類型為二層ACL。
acl-number:顯示指定編號的ACL的配置和運行情況。acl-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
· 4000~4999:表示二層ACL。
all:顯示指定類型中全部ACL的配置和運行情況。
name acl-name:顯示指定名稱的ACL的配置和運行情況。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
本命令將按照實際匹配順序來排列ACL內的規則,即:當ACL的規則匹配順序為配置順序時,各規則將按照編號由小到大排列;當ACL的規則匹配順序為自動排序時,各規則將按照“深度優先”原則由深到淺排列。
若未指定ipv6或mac參數,則表示IPv4 ACL。
【舉例】
# 顯示IPv4基本ACL 2001的配置和運行情況。
<Sysname> display acl 2001
Basic IPv4 ACL 2001, 2 rules, match-order is auto,
This is an IPv4 basic ACL.
ACL's step is 5
ACL accelerated
Rule insert-only enabled
rule 5 permit source 1.1.1.1 0 (5 times matched)
rule 5 comment This rule is used on GigabitEthernet 1/0/1.
rule 10 permit source object-group permit (5 times matched)
表1-1 display acl命令顯示信息描述表
|
字段 |
描述 |
|
Basic IPv4 ACL 2001 |
該ACL的類型和編號,ACL的類型包括: · Basic IPv4 ACL:表示IPv4基本ACL · Advanced IPv4 ACL:表示IPv4高級ACL · Basic IPv6 ACL:表示IPv6基本ACL · Advanced IPv6 ACL:表示IPv6高級ACL · MAC ACL:表示二層ACL |
|
2 rules |
該ACL內包含的規則數量 |
|
match-order is auto |
該ACL的規則匹配順序為自動排序(匹配順序為配置順序時不顯示本字段) |
|
This is an IPv4 basic ACL. |
該ACL的描述信息 |
|
ACL's step is 5 |
該ACL的規則編號的步長值為5 |
|
ACL accelerated |
該ACL開啟了加速功能 |
|
Rule insert-only enabled |
該ACL開啟了搶占ACL規則編號功能 |
|
rule 5 permit source 1.1.1.1 0 |
規則5的具體內容,源地址為具體地址 |
|
rule 10 permit source object-group permit |
規則10的具體內容,源地址為對象組 |
|
5 times matched |
該規則匹配的次數為5(僅統計軟件ACL的匹配次數,當匹配次數為0時不顯示本字段) |
|
rule 5 comment This rule is used on GigabitEthernet 1/0/1. |
規則5的描述信息 |
display acl accelerate命令用來顯示ACL的加速狀態。
【命令】
display acl accelerate { summary [ ipv6 ] | verbose [ ipv6 ] { acl-number | name acl-name } slot slot-number }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
summary:顯示ACL加速的概要信息。
verbose:顯示ACL加速的詳細信息。
ipv6:顯示IPv6 ACL的加速狀態。
acl-number:顯示指定編號的ACL的加速狀態。acl-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
name acl-name:顯示指定名稱的ACL的加速狀態。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫。
slot slot-number:顯示指定成員設備的ACL加速信息,該設備必須為加速芯片所在成員設備,slot-number表示設備在IRF中的成員編號。
【使用指導】
若未指定ipv6參數,則表示IPv4 ACL。
【舉例】
# 顯示加速概要信息。
<Sysname> display acl accelerate summary
Basic IPv4 ACL 2000
# 顯示加速詳細信息。
<Sysname> display acl accelerate verbose 2000
Basic IPv4 ACL 2000.
rule 0 permit
rule 1 deny (failed)
表1-2 display acl accelerate verbose命令顯示信息描述表
|
字段 |
描述 |
|
failed |
表示此規則加速失敗,匹配不生效 |
display packet-filter命令用來顯示ACL在報文過濾中的應用情況。
【命令】
display packet-filter { interface [ interface-type interface-number ] [ inbound ] | zone-pair security [ source source-zone-name destination destination-zone-name ] [ slot slot-number ] }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
interface [ interface-type interface-number ]:顯示指定接口上ACL在報文過濾中的應用情況。interface-type interface-number表示接口類型和接口編號,這裏的接口類型不包括VLAN接口。若未指定接口類型和接口編號,將顯示除VLAN接口以外的所有接口上ACL在報文過濾中的應用情況。
zone-pair security [ source source-zone-name destination destination-zone-name ]:顯示指定安全域間實例上ACL在報文過濾中的應用情況。source-zone-name:表示安全域間實例源安全域的名稱,為1~31個字符的字符串,不區分大小寫。destination-zone-name:表示安全域間實例目的安全域的名稱,為1~31個字符的字符串,不區分大小寫。
inbound:顯示入方向上ACL在報文過濾中的應用情況。
slot slot-number:顯示指定成員設備上ACL在報文過濾中的應用情況,slot-number表示設備在IRF中的成員編號。若未指定本參數,將顯示主用設備上ACL在報文過濾中的應用情況。
【舉例】
# 顯示接口GigabitEthernet1/0/1入方向上ACL在報文過濾中的應用情況。
<Sysname> display packet-filter interface gigabitethernet 1/0/1 inbound
Interface: GigabitEthernet1/0/1
Inbound policy:
IPv4 ACL 2001
IPv6 ACL 2002 (Failed)
MAC ACL 4003 (Failed)
IPv4 default action: Deny
IPv6 default action: Deny
MAC default action: Deny
# 顯示安全域間實例源域office到目的域library上ACL在報文過濾中的應用情況。
<Sysname> display packet-filter zone-pair security source office destination library
Zone-pair: source office destination library
IPv4 ACL 2001
IPv4 ACL 2002
表1-3 display packet-filter命令顯示信息描述表
|
字段 |
描述 |
|
Interface |
ACL在指定接口上的應用情況 |
|
Inbound policy |
ACL在入方向上的應用情況 |
|
IPv4 ACL 2001 |
IPv4基本ACL 2001應用成功 |
|
IPv6 ACL 2002 (Failed) |
IPv6基本ACL 2002應用失敗 |
|
IPv4 default action |
報文過濾的缺省動作,包括: · Deny:報文過濾缺省動作為Deny應用成功 · Deny (Failed):報文過濾缺省動作為Deny應用失敗,實際動作仍為Permit · Permit:報文過濾缺省動作為Permit |
|
IPv6 default action |
報文過濾的缺省動作,包括: · Deny:報文過濾缺省動作為Deny應用成功 · Deny (Failed):報文過濾缺省動作為Deny應用失敗,實際動作仍為Permit · Permit:報文過濾缺省動作為Permit |
|
MAC default action |
報文過濾的缺省動作,包括: · Deny:報文過濾缺省動作為Deny應用成功 · Deny (Failed):報文過濾缺省動作為Deny應用失敗,實際動作仍為Permit · Permit:報文過濾缺省動作為Permit |
display packet-filter statistics命令用來顯示ACL在報文過濾中應用的統計信息。
【命令】
display packet-filter statistics { interface interface-type interface-number inbound [ [ ipv6 | mac ] { acl-number | name acl-name } ] | zone-pair security source source-zone-name destination destination-zone-name [ [ ipv6 ] { acl-number | name acl-name } ] } [ brief ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
interface interface-type interface-number:顯示指定接口上的統計信息。interface-type interface-number表示接口類型和接口編號。
zone-pair security source source-zone-name destination destination-zone-name:顯示指定安全域間實例上的統計信息。source-zone-name:表示安全域間實例源安全域的名稱,為1~31個字符的字符串,不區分大小寫。destination-zone-name:表示安全域間實例目的安全域的名稱,為1~31個字符的字符串,不區分大小寫。
inbound:顯示入方向上的統計信息。
ipv6:指定ACL類型為IPv6 ACL。
mac:指定ACL類型為二層ACL。
acl-number:顯示指定編號ACL在報文過濾中應用的統計信息。acl-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
· 4000~4999:表示二層ACL。
name acl-name:顯示指定名稱ACL在報文過濾中應用的統計信息。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫。
brief:顯示簡要統計信息。
【使用指導】
如果未指定default、acl-number、name acl-name和ACL類型(ipv6、mac)參數,將顯示全部ACL在報文過濾中應用的統計信息以及報文過濾缺省動作的統計信息。
如果在指定acl-number或acl-name之前未指定ACL類型,則表示輸入的為IPv4 ACL的編號或名稱。
顯示安全域間實例統計信息時不區分方向。
【舉例】
# 顯示接口GigabitEthernet1/0/1入方向上全部ACL在報文過濾中應用的統計信息以及報文過濾缺省動作的統計信息。
<Sysname> display packet-filter statistics interface gigabitethernet 1/0/1 inbound
Interface: GigabitEthernet1/0/1
Inbound policy:
IPv4 ACL 2001
From 2011-06-04 10:25:21 to 2011-06-04 10:35:57
rule 0 deny source 2.2.2.2 0 counting (266 packets, 15960 bytes)
rule 5 permit source 1.1.1.1 0 (Failed)
rule 10 permit vpn-instance test (No resource)
Totally 0 packets permitted, 266 packets 15960 bytes denied
Totally 0% permitted, 100% denied
IPv6 ACL 2000
MAC ACL 4000
From 2011-06-04 10:25:34 to 2011-06-04 10:35:57
rule 0 permit
IPv4 default action: Deny
IPv6 default action: Deny
MAC default action: Deny
# 顯示安全域間實例源域office到目的域library上IPv4高級ACL 3000在報文過濾中應用的統計信息。
<Sysname> display packet-filter statistics zone-pair security source office destination library 3001
Zone-pair: source office destination library
IPv4 ACL 3001
rule 0 permit source 2.2.2.2 0
rule 5 permit source 1.1.1.1 0 counting (2 packets)
rule 10 permit vpn-instance test (Failed)
Totally 2 packets permitted, 0 packets denied
Totally 100% permitted, 0% denied
表1-4 display packet-filter statistics命令顯示信息描述表
|
字段 |
描述 |
|
Interface |
在指定接口上應用的統計信息 |
|
Inbound policy |
在入方向上應用的統計信息 |
|
IPv4 ACL 2001 |
IPv4基本ACL 2001應用成功 |
|
From 2011-06-04 10:25:21 to 2011-06-04 10:35:57 |
該統計的起始和終止時間 |
|
266 packets |
該規則匹配了266個包(當匹配的包個數為0時不顯示本字段) |
|
No resource |
該規則對應的統計資源不足。在顯示統計信息時,若該規則的統計資源不足,便會顯示本字段 |
|
rule 5 permit source 1.1.1.1 0 (Failed) |
規則5應用失敗 |
|
Totally 0 packets permitted, 266 packets 15960 bytes denied |
該ACL允許和拒絕符合條件報文的個數 |
|
Totally 0% permitted, 100% denied |
該ACL允許符合條件報文的通過率和拒絕符合條件報文的丟棄率 |
|
IPv4 default action |
報文過濾的缺省動作,包括: · Deny:報文過濾缺省動作為Deny應用成功 · Deny (Failed):報文過濾缺省動作為Deny應用失敗,實際動作仍為Permit · Permit:報文過濾缺省動作為Permit |
|
IPv6 default action |
報文過濾的缺省動作,包括: · Deny:報文過濾缺省動作為Deny應用成功 · Deny (Failed):報文過濾缺省動作為Deny應用失敗,實際動作仍為Permit · Permit:報文過濾缺省動作為Permit |
|
MAC default action |
報文過濾的缺省動作,包括: · Deny:報文過濾缺省動作為Deny應用成功 · Deny (Failed):報文過濾缺省動作為Deny應用失敗,實際動作仍為Permit · Permit:報文過濾缺省動作為Permit |
【相關命令】
· reset packet-filter statistics
display packet-filter statistics sum命令用來顯示ACL在報文過濾中應用的累加統計信息。
【命令】
display packet-filter statistics sum inbound [ ipv6 | mac ] { acl-number | name acl-name } [ brief ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
inbound:顯示入方向上ACL在報文過濾中應用的累加統計信息。
ipv6:指定ACL類型為IPv6 ACL。
mac:指定ACL類型為二層ACL。
acl-number:顯示指定編號ACL在報文過濾中應用的累加統計信息。acl-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
· 4000~4999:表示二層ACL。
name acl-name:顯示指定名稱ACL在報文過濾中應用的累加統計信息。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫。
brief:顯示ACL在報文過濾中應用的簡要累加統計信息。
【使用指導】
若未指定ipv6或mac參數,則表示所有類型的ACL。
【舉例】
# 顯示入方向上IPv4基本ACL 2001在報文過濾中應用的累加統計信息。
<Sysname> display packet-filter statistics sum inbound 2001
Sum:
Inbound policy:
IPv4 ACL 2001
rule 0 permit source 2.2.2.2 0 (2 packets)
rule 5 permit source 1.1.1.1 0
rule 10 permit vpn-instance test
Totally 2 packets permitted, 0 packets denied
Totally 100% permitted, 0% denied
# 顯示入方向上IPv4基本ACL 2000在報文過濾中應用的簡要累加統計信息。
<Sysname> display packet-filter statistics sum inbound 2000 brief
Sum:
Inbound policy:
IPv4 ACL 2000
Totally 2 packets permitted, 0 packets denied
Totally 100% permitted, 0% denied
表1-5 display packet-filter statistics sum命令顯示信息描述表
|
字段 |
描述 |
|
Sum |
ACL在報文過濾中應用的累加統計信息 |
|
Inbound policy |
ACL在入方向上應用的累加統計信息 |
|
IPv4 ACL 2001 |
IPv4基本ACL 2001應用的累加統計信息 |
|
2 packets |
該規則匹配了2個包(當匹配的包個數為0時不顯示本字段) |
|
Totally 2 packets permitted, 0 packets denied |
該ACL允許和拒絕符合條件報文的個數 |
|
Totally 100% permitted, 0% denied |
該ACL允許符合條件報文的通過率和拒絕符合條件報文的丟棄率 |
【相關命令】
· reset packet-filter statistics
display packet-filter verbose命令用來顯示ACL在報文過濾中的詳細應用情況。
【命令】
display packet-filter verbose { interface interface-type interface-number inbound [ [ ipv6 | mac ] { acl-number | name acl-name } ] | zone-pair security source source-zone-name destination destination-zone-name [ [ ipv6 ] { acl-number | name acl-name } ] } [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
interface interface-type interface-number:顯示指定接口上ACL在報文過濾中的詳細應用情況。interface-type interface-number表示接口類型和接口編號。當接口類型為以太網接口時,不需要指定slot參數。
zone-pair security source source-zone-name destination destination-zone-name:顯示指定安全域間實例上ACL在報文過濾中的詳細應用情況。source-zone-name:表示安全域間實例源安全域的名稱,為1~31個字符的字符串,不區分大小寫。destination-zone-name:表示安全域間實例目的安全域的名稱,為1~31個字符的字符串,不區分大小寫。
inbound:顯示入方向上ACL在報文過濾中的詳細應用情況。
ipv6:指定ACL類型為IPv6 ACL。
mac:指定ACL類型為二層ACL。
acl-number:顯示指定編號ACL在報文過濾中的詳細應用情況。acl-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
· 4000~4999:表示二層ACL。
name acl-name:顯示指定名稱ACL在報文過濾中的詳細應用情況。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫。
slot slot-number:顯示指定成員設備上ACL在報文過濾中的詳細應用情況,slot-number表示設備在IRF中的成員編號。若未指定本參數,將顯示主用設備上ACL在報文過濾中的詳細應用情況。
【使用指導】
若未指定acl-number、name acl-name和ACL類型(ipv6、mac)參數,將顯示全部IPv4 ACL在報文過濾中的詳細應用情況。
顯示安全域間實例詳細應用情況時不區分方向。
【舉例】
、
# 顯示接口GigabitEthernet1/0/1入方向上全部ACL在報文過濾中的詳細應用情況。
<Sysname> display packet-filter verbose interface gigabitethernet 1/0/1 inbound
Interface: GigabitEthernet1/0/1
Inbound policy:
IPv4 ACL 2001
rule 0 permit
rule 5 permit source 1.1.1.1 0 (Failed)
rule 10 permit vpn-instance test (Failed)
IPv4 ACL 2002 (Failed)
IPv6 ACL 2000
rule 0 permit
MAC ACL 4000
IPv4 default action: Deny
IPv6 default action: Deny
MAC default action: Deny
#顯示安全域間實例源域office到目的域library上全部ACL在報文過濾中的詳細應用情況。
<Sysname> display packet-filter verbose zone-pair security source office destination library
Zone-pair: source office destination library
IPv4 ACL 2001
rule 0 permit
rule 5 permit source 1.1.1.1 0
rule 10 permit vpn-instance test
表1-6 display packet-filter verbose命令顯示信息描述表
|
字段 |
描述 |
|
Interface |
ACL在指定接口上的詳細應用情況 |
|
Zone-pair |
ACL在指定安全域間實例上的詳細應用情況 |
|
Inbound policy |
ACL在入方向上的詳細應用情況 |
|
IPv4 ACL 2001 |
IPv4基本ACL 2001應用成功 |
|
IPv4 ACL 2002 (Failed) |
IPv4基本ACL 2002應用失敗 |
|
rule 5 permit source 1.1.1.1 0 (Failed) |
規則5應用失敗 |
|
IPv4 default action |
報文過濾的缺省動作,包括: · Deny:報文過濾缺省動作為Deny應用成功 · Deny (Failed):報文過濾缺省動作為Deny應用失敗,實際動作仍為Permit · Permit:報文過濾缺省動作為Permit |
|
IPv6 default action |
報文過濾的缺省動作,包括: · Deny:報文過濾缺省動作為Deny應用成功 · Deny (Failed):報文過濾缺省動作為Deny應用失敗,實際動作仍為Permit · Permit:報文過濾缺省動作為Permit |
|
MAC default action |
報文過濾的缺省動作,包括: · Deny:報文過濾缺省動作為Deny應用成功 · Deny (Failed):報文過濾缺省動作為Deny應用失敗,實際動作仍為Permit · Permit:報文過濾缺省動作為Permit |
packet-filter命令用來在接口上應用ACL進行報文過濾。
undo packet-filter命令用來取消在接口上應用ACL進行報文過濾。
【命令】
packet-filter [ ipv6 | mac ] { acl-number | name acl-name } inbound
undo packet-filter [ ipv6 | mac ] { acl-number | name acl-name } inbound
【缺省情況】
接口不對報文進行過濾。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6:指定ACL類型為IPv6 ACL。
mac:指定ACL類型為二層ACL。
acl-number:指定ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
· 4000~4999:表示二層ACL。
name acl-name:指定ACL的名稱。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫。
inbound:對收到的報文進行過濾。
【使用指導】
若未指定ipv6或mac關鍵字,則表示IPv4 ACL。
此功能在聚合成員端口上不生效。
【舉例】
# 應用IPv4基本ACL 2001對接口GigabitEthernet1/0/1收到的報文進行過濾,並對過濾的報文進行統計。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] packet-filter 2001 inbound
· display packet-filter
· display packet-filter statistics
· display packet-filter verbose
packet-filter命令用來在安全域間實例上應用ACL進行報文過濾。
undo packet-filter命令用來取消在安全域間實例上應用ACL進行報文過濾。
【命令】
packet-filter [ ipv6 ] { acl-number | name acl-name }
undo packet-filter [ ipv6 ] { acl-number | name acl-name }
【缺省情況】
在安全域間實例上沒有應用ACL進行報文過濾。
【視圖】
安全域間實例視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6:指定ACL類型為IPv6 ACL。若未指定本參數,則表示IPv4 ACL。
acl-number:指定ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
name acl-name:指定ACL的名稱。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫。
【舉例】
# 應用IPv4基本ACL 2002對安全域間實例source office destination library收到的報文進行過濾。
<Sysname> system-view
[Sysname] zone-pair security source office destination library
[Sysname-zone-pair-security-office-library] packet-filter 2002
【相關命令】
· display packet-filter
· display packet-filter statistics
· display packet-filter verbose
packet-filter default deny命令用來配置報文過濾的缺省動作為Deny,即禁止未匹配上ACL規則的報文通過。
undo packet-filter default deny命令用來恢複缺省情況。
【命令】
packet-filter default deny
undo packet-filter default deny
【缺省情況】
報文過濾的缺省動作為Permit,即允許未匹配上ACL規則的報文通過。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
配置報文過濾的缺省動作會在所有的應用對象下添加一個缺省動作應用,該應用也會像其它應用的ACL一樣顯示。
【舉例】
# 配置報文過濾的缺省動作為Deny。
<Sysname> system-view
[Sysname] packet-filter default deny
【相關命令】
· display packet-filter
· display packet-filter statistics
· display packet-filter verbose
reset acl counter命令用來清除ACL的統計信息。
【命令】
reset acl [ ipv6 | mac ] counter { acl-number | all | name acl-name }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6:指定ACL類型為IPv6 ACL。
mac:指定ACL類型為二層ACL。
acl-number:清除指定編號ACL的統計信息。acl-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
· 4000~4999:表示二層ACL。
all:清除指定類型中全部ACL的統計信息。
name acl-name:清除指定名稱ACL的統計信息。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
若未指定ipv6或mac參數,則表示IPv4 ACL。
【舉例】
# 清除IPv4基本ACL 2001的統計信息。
<Sysname> reset acl counter 2001
【相關命令】
· display acl
reset packet-filter statistics命令用來清除ACL在報文過濾中應用的統計信息(包括累加統計信息)以及報文過濾缺省動作的統計信息。
【命令】
reset packet-filter statistics { interface [ interface-type interface-number ] inbound [ [ ipv6 | mac ] { acl-number | name acl-name } ] | zone-pair security [ source source-zone-name destination destination-zone-name ] [ ipv6 ] { acl-number | name acl-name } }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interface [ interface-type interface-number ]:清除指定接口上的統計信息。interface-type interface-number表示接口類型和接口編號。若未指定接口類型和接口編號,將清除所有接口上的統計信息。
zone-pair security [ source source-zone-name destination destination-zone-name ]:清除指定接口上的統計信息。source-zone-name:表示安全域間實例源安全域的名稱,為1~31個字符的字符串,不區分大小寫。destination-zone-name:表示安全域間實例目的安全域的名稱,為1~31個字符的字符串,不區分大小寫。
inbound:清除入方向上的統計信息。
ipv6:指定ACL類型為IPv6 ACL。
mac:指定ACL類型為二層ACL。
acl-number:清除指定編號ACL在報文過濾中應用的統計信息。acl-number表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
· 4000~4999:表示二層ACL。
name acl-name:清除指定名稱ACL在報文過濾中應用的統計信息。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
若未指定default、acl-number和name acl-name參數,將清除全部ACL(若指定ipv6關鍵字,表示全部IPv6基本ACL、IPv6高級ACL;若指定mac關鍵字,表示全部二層 ACL;否則,表示全部IPv4基本ACL和IPv4高級ACL)和缺省動作在報文過濾中應用的統計信息。
清除安全域間實例統計信息時不區分方向且不支持default。
【舉例】
# 清除在接口GigabitEthernet1/0/1入方向上IPv4基本ACL 2001在報文過濾中應用的統計信息。
<Sysname> reset packet-filter statistics interface gigabitethernet 1/0/1 inbound 2001
【相關命令】
· display packet-filter statistics
· display packet-filter statistics sum
rule insert-only enable命令用來開啟搶占ACL規則編號的功能。
undo rule insert-only enable命令用來恢複缺省情況。
【命令】
rule insert-only enable
undo rule insert-only enable
設備各款型對於本節所描述的命令支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
F5010/F5020/F5030/F5030-6GW/F5040/F5060/F5080/F5000-M/F5000-S/F5000-C |
rule insert-only enable |
支持 |
|
F1005/F1010/F1020/F1030/F1050/F1060/F1070/F1080/F1070-GM |
· F1005/F1010不支持 · F1020/F1030/F1050/F1060/F1070/F1080/F1070-GM支持 |
|
|
F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK130/AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK710/AK711 |
· F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK710不支持 · F1000-AK130/AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK711支持 |
|
|
F1000-GM-AK370/F1000-GM-AK380 |
支持 |
|
|
LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1 |
支持 |
|
|
LSXM1FWDF1/LSUM1FWDEC0/IM-NGFWX-IV/LSQM1FWDSC0/LSWM1FWD0/LSPM6FWD |
不支持 |
【缺省情況】
搶占ACL規則編號的功能處於關閉狀態。
【視圖】
IPv4基本ACL視圖/IPv4高級ACL視圖
IPv6基本ACL視圖/IPv6高級ACL視圖
二層ACL視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟搶占ACL規則編號的功能後:
· 使用rule命令創建新的ACL規則時,如果指定的ACL規則編號已存在,則新的ACL規則搶占該編號,被搶占編號的ACL規則會將編號向後順移一位。
· 與被搶占的編號順序相連的所有編號均需向後順移一位,例如,已經存在ACL規則編號1、2、 3、6和7,如果新創建的ACL規則編號為1,則將原ACL規則編號1、2、3向後順移一位,此時ACL規則編號變為1、2、3、4、6、7。
· 隻允許增刪規則,不允許修改指定編號的規則。
【舉例】
# 開啟IPv4基本ACL 2000的規則編號搶占功能。
<Sysname> system-view
[Sysname] acl basic 2000
[Sysname-acl-ipv4-basic-2000] rule insert-only enable
rule命令用來為二層ACL創建一條規則。
undo rule命令用來為二層ACL刪除一條規則或刪除規則中的部分內容。
【命令】
rule [ rule-id ] { deny | permit } [ cos dot1p | counting | dest-mac dest-address dest-mask | { lsap lsap-type lsap-type-mask | type protocol-type protocol-type-mask } | source-mac source-address source-mask | time-range time-range-name ] *
undo rule rule-id [ counting | time-range ] *
undo rule [ rule-id ] { deny | permit } [ cos dot1p | counting | dest-mac dest-address dest-mask | { lsap lsap-type lsap-type-mask | type protocol-type protocol-type-mask } | source-mac source-address source-mask | time-range time-range-name ] *
【缺省情況】
二層ACL內不存在任何規則。
【視圖】
二層ACL視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
rule-id:指定二層ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
cos dot1p:指定802.1p優先級。dot1p表示802.1p優先級,可輸入的形式如下:
· 數字:取值範圍為0~7;
· 名稱:best-effort、background、spare、excellent-effort、controlled-load、video、voice和network-management,依次對應於數字0~7。
counting:表示開啟規則匹配統計功能,缺省為關閉。
dest-mac dest-address dest-mask:指定目的MAC地址範圍。dest-address表示目的MAC地址,格式為H-H-H。dest-mask表示目的MAC地址的掩碼,格式為H-H-H。
lsap lsap-type lsap-type-mask:指定LLC封裝中的DSAP字段和SSAP字段。lsap-type表示數據幀的封裝格式,為16比特的十六進製數。lsap-type-mask表示LSAP的類型掩碼,為16比特的十六進製數,用於指定屏蔽位。
type protocol-type protocol-type-mask:指定鏈路層協議類型。protocol-type表示16比特的十六進製數表征的數據幀類型,對應Ethernet_II類型和Ethernet_SNAP類型幀中的type域。protocol-type-mask表示類型掩碼,為16比特的十六進製數,用於指定屏蔽位。
source-mac source-address source-mask:指定源MAC地址範圍。source-address表示源MAC地址,格式為H-H-H。source-mask表示源MAC地址的掩碼,格式為H-H-H。
time-range time-range-name:指定本規則生效的時間段。time-range-name表示時間段的名稱,為1~32個字符的字符串,不區分大小寫。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。有關時間段的詳細介紹和具體配置過程,請參見“ACL和QoS配置指導”中的“時間段”。
【使用指導】
使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
counting參數用於開啟本規則的匹配統計功能。
display acl mac all命令可以查看所有已存在的二層ACL規則。
刪除規則時需要注意的是:
· 使用undo rule rule-id命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· undo rule [ rule-id ] { deny | permit }命令無法刪除規則中的部分內容,使用undo rule { deny | permit }命令時,必須輸入已存在規則的完整形式。
【舉例】
# 為二層ACL 4000創建規則如下:允許ARP報文通過,但拒絕RARP報文通過。
<Sysname> system-view
[Sysname] acl mac 4000
[Sysname-acl-mac-4000] rule permit type 0806 ffff
[Sysname-acl-mac-4000] rule deny type 8035 ffff
【相關命令】
· acl
· display acl
· step
· time-range(ACL和QoS命令參考/時間段)
rule命令用來為IPv4高級ACL創建一條規則。
undo rule命令用來為IPv4高級ACL刪除一條規則或刪除規則中的部分內容。
【命令】
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { object-group address-group-name | dest-address dest-wildcard | any } | destination-port { object-group port-group-name | operator port1 [ port2 ] } | { dscp dscp | { precedence precedence | tos tos } * } | fragment | icmp-type { icmp-type [ icmp-code ] | icmp-message } | logging | source { object-group address-group-name | source-address source-wildcard | any } | source-port { object-group port-group-name | operator port1 [ port2 ] } | time-range time-range-name | vpn-instance vpn-instance-name ] *
undo rule rule-id [ { { ack | fin | psh | rst | syn | urg } * | established } | counting | destination | destination-port | { dscp | { precedence | tos } * } | fragment | icmp-type | logging | source | source-port | time-range | vpn-instance ] *
undo rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { object-group address-group-name | dest-address dest-wildcard | any } | destination-port { object-group port-group-name | operator port1 [ port2 ] } | { dscp dscp | { precedence precedence | tos tos } * } | fragment | icmp-type { icmp-type [ icmp-code ] | icmp-message } | logging | source { object-group address-group-name | source-address source-wildcard | any } | source-port { object-group port-group-name | operator port1 [ port2 ] } | time-range time-range-name | vpn-instance vpn-instance-name ] *
【缺省情況】
IPv4高級ACL內不存在任何規則。
【視圖】
IPv4高級ACL視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
rule-id:指定IPv4高級ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
protocol:表示IPv4承載的協議類型,可輸入的形式如下:
· 數字:取值範圍為0~255;
· 名稱(括號內為對應的數字):可選取gre(47)、icmp(1)、igmp(2)、ip、ipinip(4)、ospf(89)、tcp(6)或udp(17)。
protocol之後可配置如表1-7所示的規則信息參數。
|
參數 |
類別 |
作用 |
說明 |
|
source { object-group address-group-name | source-address source-wildcard | any } |
源地址信息 |
指定ACL規則的源地址信息 |
address-group-name:源地址對象組的名稱 source-address:源IP地址 source-wildcard:源IP地址的通配符掩碼(為0表示主機地址) any:任意源IP地址 |
|
destination { object-group address-group-name | dest-address dest-wildcard | any } |
目的地址信息 |
指定ACL規則的目的地址信息 |
address-group-name:目的地址對象組的名稱 dest-address:目的IP地址 dest-wildcard:目的IP地址的通配符掩碼(為0表示主機地址) any:任意目的IP地址 |
|
counting |
統計 |
開啟規則匹配統計功能,缺省為關閉 |
本參數用於開啟本規則的匹配統計功能 |
|
precedence precedence |
報文優先級 |
IP優先級 |
precedence用數字表示時,取值範圍為0~7;用文字表示時,分別對應routine、priority、immediate、flash、flash-override、critical、internet、network |
|
tos tos |
報文優先級 |
ToS優先級 |
tos用數字表示時,取值範圍為0~15;用文字表示時,可以選取max-reliability(2)、max-throughput(4)、min-delay(8)、min-monetary-cost(1)、normal(0) |
|
dscp dscp |
報文優先級 |
DSCP優先級 |
dscp用數字表示時,取值範圍為0~63;用文字表示時,可以選取af11(10)、af12(12)、af13(14)、af21(18)、af22(20)、af23(22)、af31(26)、af32(28)、af33(30)、af41(34)、af42(36)、af43(38)、cs1(8)、cs2(16)、cs3(24)、cs4(32)、cs5(40)、cs6(48)、cs7(56)、default(0)、ef(46) |
|
fragment |
分片信息 |
僅對分片報文的非首個分片有效,而對非分片報文和分片報文的首個分片無效 |
若未指定該參數,則表示該規則對所有報文(包括非分片報文和分片報文的每個分片)均有效 |
|
logging |
日誌操作 |
對符合條件的報文可記錄日誌信息 |
該功能需要使用該ACL的模塊支持日誌記錄功能,例如報文過濾 |
|
time-range time-range-name |
時間段 |
指定本規則生效的時間段 |
time-range-name:時間段的名稱,為1~32個字符的字符串,不區分大小寫。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。有關時間段的詳細介紹和具體配置過程,請參見“ACL和QoS配置指導”中的“時間段” |
|
vpn-instance vpn-instance-name |
VPN實例 |
對指定VPN實例中的報文有效 |
vpn-instance-name:MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫 若未指定本參數,表示該規則對非VPN報文和VPN報文均有效 |
當protocol為tcp(6)或udp(17)時,用戶還可配置如表1-8所示的規則信息參數。
表1-8 TCP/UDP特有的規則信息參數
|
參數 |
類別 |
作用 |
說明 |
|
source-port { object-group port-group-name | operator port1 [ port2 ] } |
源端口 |
定義TCP/UDP報文的源端口信息 |
port-group-name:端口對象組的名稱 operator為操作符,取值可以為lt(小於)、gt(大於)、eq(等於)、neq(不等於)或者range(在範圍內,包括邊界值)。隻有操作符range需要兩個端口號做操作數,其它的隻需要一個端口號做操作數 port1、port2:TCP或UDP的端口號,用數字表示時,取值範圍為0~65535;用文字表示時,TCP端口號可以選取chargen(19)、bgp(179)、cmd(514)、daytime(13)、discard(9)、dns(53)、domain(53)、echo (7)、exec (512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)、www(80);UDP端口號可以選取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)、xdmcp(177) |
|
destination-port { object-group port-group-name | operator port1 [ port2 ] } |
目的端口 |
定義TCP/UDP報文的目的端口信息 |
|
|
{ ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * |
TCP報文標識 |
定義對攜帶不同標誌位(包括ACK、FIN、PSH、RST、SYN和URG六種)的TCP報文的處理規則 |
TCP協議特有的參數。表示匹配攜帶不同標誌位的TCP報文,各value的取值可為0或1(0表示不攜帶此標誌位,1表示攜帶此標誌位) 對於一條規則中各標誌位的配置組合,處理方式為“或”。譬如:當配置為ack 0 psh 1時,則匹配不攜帶ACK或攜帶PSH標誌位的TCP報文 |
|
established |
TCP連接建立標識 |
定義對TCP連接報文的處理規則 |
TCP協議特有的參數。表示匹配攜帶ACK或RST標誌位的TCP連接報文 |
當protocol為icmp(1)時,用戶還可配置如表1-9所示的規則信息參數。
表1-9 ICMP特有的規則信息參數
|
參數 |
類別 |
作用 |
說明 |
|
icmp-type { icmp-type icmp-code | icmp-message } |
ICMP報文的消息類型和消息碼信息 |
指定本規則中ICMP報文的消息類型和消息碼信息 |
icmp-type:ICMP消息類型,取值範圍為0~255 icmp-code:ICMP消息碼,取值範圍為0~255 icmp-message:ICMP消息名稱。可以輸入的ICMP消息名稱,及其與消息類型和消息碼的對應關係如表1-10所示 |
表1-10 ICMP消息名稱與消息類型和消息碼的對應關係
|
ICMP消息名稱 |
ICMP消息類型 |
ICMP消息碼 |
|
echo |
8 |
0 |
|
echo-reply |
0 |
0 |
|
fragmentneed-DFset |
3 |
4 |
|
host-redirect |
5 |
1 |
|
host-tos-redirect |
5 |
3 |
|
host-unreachable |
3 |
1 |
|
information-reply |
16 |
0 |
|
information-request |
15 |
0 |
|
net-redirect |
5 |
0 |
|
net-tos-redirect |
5 |
2 |
|
net-unreachable |
3 |
0 |
|
parameter-problem |
12 |
0 |
|
port-unreachable |
3 |
3 |
|
protocol-unreachable |
3 |
2 |
|
reassembly-timeout |
11 |
1 |
|
source-quench |
4 |
0 |
|
source-route-failed |
3 |
5 |
|
timestamp-reply |
14 |
0 |
|
timestamp-request |
13 |
0 |
|
ttl-exceeded |
11 |
0 |
【使用指導】
使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
新創建或修改的規則若指定對象組,則該對象組必須存在,否則將提示出錯,並導致該操作失敗。
當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
display acl all命令可以查看所有已存在的IPv4高級ACL規則和IPv4基本ACL規則。
刪除規則時需要注意的是:
· 使用undo rule rule-id命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· undo rule [ rule-id ] { deny | permit }命令無法刪除規則中的部分內容,使用undo rule { deny | permit }命令時,必須輸入已存在規則的完整形式。
【舉例】
# 為IPv4高級ACL 3000創建規則如下:允許129.9.0.0/16網段內的主機與202.38.160.0/24網段內主機的WWW端口(端口號為80)建立連接。
<Sysname> system-view
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80
# 為IPv4高級ACL 3001創建規則如下:允許IP報文通過,但拒絕發往192.168.1.0/24網段的ICMP報文通過。
<Sysname> system-view
[Sysname] acl advanced 3001
[Sysname-acl-ipv4-adv-3001] rule deny icmp destination 192.168.1.0 0.0.0.255
[Sysname-acl-ipv4-adv-3001] rule permit ip
# 為IPv4高級ACL 3002創建規則如下:在出、入雙方向上都允許建立FTP連接並傳輸FTP數據。
<Sysname> system-view
[Sysname] acl advanced 3002
[Sysname-acl-ipv4-adv-3002] rule permit tcp source-port eq ftp
[Sysname-acl-ipv4-adv-3002] rule permit tcp source-port eq ftp-data
[Sysname-acl-ipv4-adv-3002] rule permit tcp destination-port eq ftp
[Sysname-acl-ipv4-adv-3002] rule permit tcp destination-port eq ftp-data
# 為IPv4高級ACL 3003創建規則如下:在出、入雙方向上都允許SNMP報文和SNMP Trap報文通過。
<Sysname> system-view
[Sysname] acl advanced 3003
[Sysname-acl-ipv4-adv-3003] rule permit udp source-port eq snmp
[Sysname-acl-ipv4-adv-3003] rule permit udp source-port eq snmptrap
[Sysname-acl-ipv4-adv-3003] rule permit udp destination-port eq snmp
[Sysname-acl-ipv4-adv-3003] rule permit udp destination-port eq snmptrap
【相關命令】
· acl
· acl logging interval
· display acl
· step
· time-range(ACL和QoS命令參考/時間段)
rule命令用來為IPv4基本ACL創建一條規則。
undo rule命令用來為IPv4基本ACL刪除一條規則或刪除規則中的部分內容。
【命令】
rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { object-group address-group-name | source-address source-wildcard | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *
undo rule rule-id [ counting | fragment | logging | source | time-range | vpn-instance ] *
undo rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { object-group address-group-name | source-address source-wildcard | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *
【缺省情況】
IPv4基本ACL內不存在任何規則。
【視圖】
IPv4基本ACL視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
rule-id:指定IPv4基本ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
counting:表示開啟規則匹配統計功能,缺省為關閉。
fragment:表示僅對非首片分片報文有效,而對非分片報文和首片分片報文無效。若未指定本參數,表示該規則對非分片報文和分片報文均有效。
logging:表示對符合條件的報文可記錄日誌信息。該功能需要使用該ACL的模塊支持日誌記錄功能,例如報文過濾。
source { object-group address-group-name | source-address source-wildcard | any }:指定規則的源IP地址信息。address-group-name表示源IP地址對象組的名稱,source-address表示報文的源IP地址,source-wildcard表示源IP地址的通配符掩碼(為0表示主機地址),any表示任意源IP地址。
time-range time-range-name:指定本規則生效的時間段。time-range-name表示時間段的名稱,為1~32個字符的字符串,不區分大小寫。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。有關時間段的詳細介紹和具體配置過程,請參見“ACL和QoS配置指導”中的“時間段”。
vpn-instance vpn-instance-name:表示對指定VPN實例中的報文有效。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,表示該規則對非VPN報文和VPN報文均有效
【使用指導】
使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
新創建或修改的規則若指定對象組,則該對象組必須存在,否則將提示出錯,並導致該操作失敗。
當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
counting參數用於開啟本規則的匹配統計功能。
display acl all命令可以查看所有已存在的IPv4高級ACL規則和IPv4基本ACL規則。
刪除規則時需要注意的是:
· 使用undo rule rule-id命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· undo rule [ rule-id ] { deny | permit }命令無法刪除規則中的部分內容,使用undo rule { deny | permit }命令時,必須輸入已存在規則的完整形式。
【舉例】
# 為IPv4基本ACL 2000創建規則如下:僅允許來自10.0.0.0/8、172.17.0.0/16和192.168.1.0/24網段的報文通過,而拒絕來自所有其它網段的報文通過。
<Sysname> system-view
[Sysname] acl basic 2000
[Sysname-acl-ipv4-basic-2000] rule permit source 10.0.0.0 0.255.255.255
[Sysname-acl-ipv4-basic-2000] rule permit source 172.17.0.0 0.0.255.255
[Sysname-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Sysname-acl-ipv4-basic-2000] rule deny source any
【相關命令】
· acl
· acl logging interval
· display acl
· step
· time-range(ACL和QoS命令參考/時間段)
rule命令用來為IPv6高級ACL創建一條規則。
undo rule命令用來為IPv6高級ACL刪除一條規則或刪除規則中的部分內容。
【命令】
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { object-group address-group-name | dest-address dest-prefix | dest-address/dest-prefix | any } | destination-port { object-group port-group-name | operator port1 [ port2 ] } | dscp dscp | flow-label flow-label-value | fragment | icmp6-type { icmp6-type icmp6-code | icmp6-message } | logging | routing [ type routing-type ] | hop-by-hop [ type hop-type ] | source { object-group address-group-name | source-address source-prefix | source-address/source-prefix | any } | source-port { object-group port-group-name | operator port1 [ port2 ] } | time-range time-range-name | vpn-instance vpn-instance-name ] *
undo rule rule-id [ { { ack | fin | psh | rst | syn | urg } * | established } | counting | destination | destination-port | dscp | flow-label | fragment | icmp6-type | logging | routing | hop-by-hop | source | source-port | time-range | vpn-instance ] *
undo rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { object-group address-group-name | dest-address dest-prefix | dest-address/dest-prefix | any } | destination-port { object-group port-group-name | operator port1 [ port2 ] } | dscp dscp | flow-label flow-label-value | fragment | icmp6-type { icmp6-type icmp6-code | icmp6-message } | logging | routing [ type routing-type ] | hop-by-hop [ type hop-type ] | source { object-group address-group-name | source-address source-prefix | source-address/source-prefix | any } | source-port { object-group port-group-name | operator port1 [ port2 ] } | time-range time-range-name | vpn-instance vpn-instance-name ] *
【缺省情況】
IPv6高級ACL內不存在任何規則。
【視圖】
IPv6高級ACL視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
rule-id:指定IPv6高級ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
protocol:表示IPv6承載的協議類型,可輸入的形式如下:
· 數字:取值範圍為0~255;
· 名稱(括號內為對應的數字):可選取gre(47)、icmpv6(58)、ipv6、ipv6-ah(51)、ipv6-esp(50)、ospf(89)、tcp(6)或udp(17)。
protocol之後可配置如表1-11所示的規則信息參數。
|
參數 |
類別 |
作用 |
說明 |
|
source { object-group address-group-name | source-address source-prefix | source-address/source-prefix | any } |
源IPv6地址 |
指定ACL規則的源IPv6地址信息 |
address-group-name:源地址對象組的名稱 source-address:源IPv6地址 source-prefix:源IPv6地址的前綴長度,取值範圍1~128 any:任意源IPv6地址 |
|
destination { object-group address-group-name | dest-address dest-prefix | dest-address/dest-prefix | any } |
目的IPv6地址 |
指定ACL規則的目的IPv6地址信息 |
address-group-name:目的地址對象組的名稱 dest-address:目的IPv6地址 dest-prefix:目的IPv6地址的前綴長度,取值範圍1~128 any:任意目的IPv6地址 |
|
counting |
統計 |
開啟規則匹配統計功能,缺省為關閉 |
本參數用於開啟本規則的匹配統計功能,而packet-filter ipv6命令中的hardware-count參數則用於開啟指定ACL內所有規則的匹配統計功能 |
|
dscp dscp |
報文優先級 |
DSCP優先級 |
dscp:用數字表示時,取值範圍為0~63;用名稱表示時,可選取af11(10)、af12(12)、af13(14)、af21(18)、af22(20)、af23(22)、af31(26)、af32(28)、af33(30)、af41(34)、af42(36)、af43(38)、cs1(8)、cs2(16)、cs3(24)、cs4(32)、cs5(40)、cs6(48)、cs7(56)、default(0)或ef(46) |
|
flow-label flow-label-value |
流標簽字段 |
指定IPv6基本報文頭中流標簽字段的值 |
flow-label-value:流標簽字段的值,取值範圍為0~1048575 |
|
fragment |
報文分片 |
僅對分片報文的非首個分片有效,而對非分片報文和分片報文的首個分片無效 |
若未指定本參數,表示該規則對所有報文(包括非分片報文和分片報文的每個分片)均有效 |
|
logging |
日誌操作 |
對符合條件的報文可記錄日誌信息 |
該功能需要使用該ACL的模塊支持日誌記錄功能,例如報文過濾 |
|
routing [ type routing-type ] |
路由頭 |
指定路由頭的類型 |
routing-type:路由頭類型的值,取值範圍為0~255 若指定了type routing-type參數,表示僅對指定類型的路由頭有效;否則,表示對IPv6所有類型的路由頭都有效 |
|
hop-by-hop [ type hop-type ] |
逐跳頭 |
指定逐跳頭的類型 |
hop-type:逐跳頭類型的值,取值範圍為0~255 若指定了type hop-type參數,表示僅對指定類型的逐跳頭有效;否則,表示對IPv6所有類型的逐跳頭都有效 |
|
time-range time-range-name |
時間段 |
指定本規則生效的時間段 |
time-range-name:時間段的名稱,為1~32個字符的字符串,不區分大小寫。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。有關時間段的詳細介紹和具體配置過程,請參見“ACL和QoS配置指導”中的“時間段” |
|
vpn-instance vpn-instance-name |
VPN實例 |
對指定VPN實例中的報文有效 |
vpn-instance-name:MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫 若未指定本參數,表示該規則對非VPN報文和VPN報文均有效 |
當protocol為tcp(6)或udp(17)時,用戶還可配置如表1-12所示的規則信息參數。
表1-12 TCP/UDP特有的規則信息參數
|
參數 |
類別 |
作用 |
說明 |
|
source-port { object-group port-group-name | operator port1 [ port2 ] } |
源端口 |
定義TCP/UDP報文的源端口信息 |
port-group-name:端口對象組的名稱 operator:操作符,取值可以為lt(小於)、gt(大於)、eq(等於)、neq(不等於)或者range(在範圍內,包括邊界值)。隻有range操作符需要兩個端口號做操作數,其它操作符隻需要一個端口號做操作數 port1/port2:TCP或UDP的端口號,用數字表示時,取值範圍為0~65535;用名稱表示時,TCP端口號可選取chargen(19)、bgp(179)、cmd(514)、daytime(13)、discard(9)、dns(53)、domain(53)、echo (7)、exec (512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)或www(80);UDP端口號可選取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)或xdmcp(177) |
|
destination-port { object-group port-group-name | operator port1 [ port2 ] } |
目的端口 |
定義TCP/UDP報文的目的端口信息 |
|
|
{ ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * |
TCP報文標識 |
定義對攜帶不同標誌位(包括ACK、FIN、PSH、RST、SYN和URG六種)的TCP報文的處理規則 |
TCP協議特有的參數。表示匹配攜帶不同標誌位的TCP報文,各value的取值可為0或1(0表示不攜帶此標誌位,1表示攜帶此標誌位) 對於一條規則中各標誌位的配置組合,處理方式為“或”。譬如:當配置為ack 0 psh 1時,則匹配不攜帶ACK或攜帶PSH標誌位的TCP報文 |
|
established |
TCP連接建立標識 |
定義對TCP連接報文的處理規則 |
TCP協議特有的參數。表示匹配攜帶ACK或RST標誌位的TCP連接報文 |
當protocol為icmpv6(58)時,用戶還可配置如表1-13所示的規則信息參數。
表1-13 ICMPv6特有的規則信息參數
|
參數 |
類別 |
作用 |
說明 |
|
icmp6-type { icmp6-type icmp6-code | icmp6-message } |
ICMPv6報文的消息類型和消息碼 |
指定本規則中ICMPv6報文的消息類型和消息碼信息 |
icmp6-type:ICMPv6消息類型,取值範圍為0~255 icmp6-code:ICMPv6消息碼,取值範圍為0~255 icmp6-message:ICMPv6消息名稱。可以輸入的ICMPv6消息名稱,及其與消息類型和消息碼的對應關係如表1-14所示 |
表1-14 ICMPv6消息名稱與消息類型和消息碼的對應關係
|
ICMPv6消息名稱 |
ICMPv6消息類型 |
ICMPv6消息碼 |
|
echo-reply |
129 |
0 |
|
echo-request |
128 |
0 |
|
err-Header-field |
4 |
0 |
|
frag-time-exceeded |
3 |
1 |
|
hop-limit-exceeded |
3 |
0 |
|
host-admin-prohib |
1 |
1 |
|
host-unreachable |
1 |
3 |
|
neighbor-advertisement |
136 |
0 |
|
neighbor-solicitation |
135 |
0 |
|
network-unreachable |
1 |
0 |
|
packet-too-big |
2 |
0 |
|
port-unreachable |
1 |
4 |
|
redirect |
137 |
0 |
|
router-advertisement |
134 |
0 |
|
router-solicitation |
133 |
0 |
|
unknown-ipv6-opt |
4 |
2 |
|
unknown-next-hdr |
4 |
1 |
【使用指導】
使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
新創建或修改的規則若指定對象組,則該對象組必須存在,否則將提示出錯,並導致該操作失敗。
display acl ipv6 all命令可以查看所有已存在的IPv6高級ACL規則和IPv6基本ACL規則。
刪除規則時需要注意的是:
· 使用undo rule rule-id命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· undo rule [ rule-id ] { deny | permit }命令無法刪除規則中的部分內容,使用undo rule { deny | permit }命令時,必須輸入已存在規則的完整形式。
【舉例】
# 為IPv6高級ACL 3000創建規則如下:允許2030:5060::/64網段內的主機與FE80:5060::/96網段內主機的WWW端口(端口號為80)建立連接。
<Sysname> system-view
[Sysname] acl ipv6 advanced 3000
[Sysname-acl-ipv6-adv-3000] rule permit tcp source 2030:5060::/64 destination fe80:5060::/96 destination-port eq 80
# 為IPv6高級ACL 3001創建規則如下:允許IPv6報文通過,但拒絕發往FE80:5060:1001::/48網段的ICMPv6報文通過。
<Sysname> system-view
[Sysname] acl ipv6 advanced 3001
[Sysname-acl-ipv6-adv-3001] rule deny icmpv6 destination fe80:5060:1001:: 48
[Sysname-acl-ipv6-adv-3001] rule permit ipv6
# 為IPv6高級ACL 3002創建規則如下:在出、入雙方向上都允許建立FTP連接並傳輸FTP數據。
<Sysname> system-view
[Sysname] acl ipv6 advanced 3002
[Sysname-acl-ipv6-adv-3002] rule permit tcp source-port eq ftp
[Sysname-acl-ipv6-adv-3002] rule permit tcp source-port eq ftp-data
[Sysname-acl-ipv6-adv-3002] rule permit tcp destination-port eq ftp
[Sysname-acl-ipv6-adv-3002] rule permit tcp destination-port eq ftp-data
# 為IPv6高級ACL 3003創建規則如下:在出、入雙方向上都允許SNMP報文和SNMP Trap報文通過。
<Sysname> system-view
[Sysname] acl ipv6 advanced 3003
[Sysname-acl-ipv6-adv-3003] rule permit udp source-port eq snmp
[Sysname-acl-ipv6-adv-3003] rule permit udp source-port eq snmptrap
[Sysname-acl-ipv6-adv-3003] rule permit udp destination-port eq snmp
[Sysname-acl-ipv6-adv-3003] rule permit udp destination-port eq snmptrap
# 為IPv6高級ACL 3004創建規則如下:在含有逐跳頭的報文中,隻允許轉發含有MLD選項(Type=5)的報文,丟棄其他報文。
<Sysname> system-view
[Sysname] acl ipv6 advanced 3004
[Sysname-acl-ipv6-adv-3004] rule permit ipv6 hop-by-hop type 5
[Sysname-acl-ipv6-adv-3004] rule deny ipv6 hop-by-hop
【相關命令】
· acl
· acl logging interval
· display acl
· step
· time-range(ACL和QoS命令參考/時間段)
rule命令用來為IPv6基本ACL創建一條規則。
undo rule命令用來為IPv6基本ACL刪除一條規則或刪除規則中的部分內容。
【命令】
rule [ rule-id ] { deny | permit } [ counting | fragment | logging | routing [ type routing-type ] | source { object-group address-group-name | source-address source-prefix | source-address/source-prefix | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *
undo rule rule-id [ counting | fragment | logging | routing | source | time-range | vpn-instance ] *
undo rule [ rule-id ] { deny | permit } [ counting | fragment | logging | routing [ type routing-type ] | source { object-group address-group-name | source-address source-prefix | source-address/source-prefix | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *
【缺省情況】
IPv6基本ACL內不存在任何規則。
【視圖】
IPv6基本ACL視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
rule-id:指定IPv6基本ACL規則的編號,取值範圍為0~65534。若未指定本參數,係統將按照步長從0開始,自動分配一個大於現有最大編號的最小編號。譬如現有規則的最大編號為28,步長為5,那麼自動分配的新編號將是30。
deny:表示拒絕符合條件的報文。
permit:表示允許符合條件的報文。
counting:表示開啟規則匹配統計功能,缺省為關閉。
fragment:表示僅對非首片分片報文有效,而對非分片報文和首片分片報文無效。若未指定本參數,表示該規則對非分片報文和分片報文均有效。
logging:表示對符合條件的報文可記錄日誌信息。該功能需要使用該ACL的模塊支持日誌記錄功能,例如報文過濾。
routing [ type routing-type ]:表示對所有或指定類型的路由頭有效,routing-type表示路由頭類型的值,取值範圍為0~255。若指定了type routing-type參數,表示僅對指定類型的路由頭有效;否則,表示對IPv6所有類型的路由頭都有效。
source { object-group address-group-name | source-address source-prefix | source-address/source-prefix | any }:指定規則的源IPv6地址信息。address-group-name表示源IP地址對象組的名稱,source-address表示報文的源IPv6地址,source-prefix表示源IPv6地址的前綴長度,取值範圍為1~128,any表示任意源IPv6地址。
time-range time-range-name:指定本規則生效的時間段。time-range-name表示時間段的名稱,為1~32個字符的字符串,不區分大小寫。若該時間段尚未配置,該規則仍會成功創建但係統將給出提示信息,並在該時間段的配置完成後此規則才會生效。有關時間段的詳細介紹和具體配置過程,請參見“ACL和QoS配置指導”中的“時間段”。
vpn-instance vpn-instance-name:表示對指定VPN實例中的報文有效。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,表示該規則對非VPN報文和VPN報文均有效。
【使用指導】
使用rule命令時,如果指定編號的規則不存在,則創建一條新的規則;如果指定編號的規則已存在,則對舊規則進行修改,即在其原有內容的基礎上疊加新的內容。
新創建或修改的規則不能與已有規則的內容完全相同,否則將提示出錯,並導致該操作失敗。
新創建或修改的規則若指定對象組,則該對象組必須存在,否則將提示出錯,並導致該操作失敗。
當ACL的規則匹配順序為配置順序時,允許修改該ACL內的任意一條已有規則;當ACL的規則匹配順序為自動排序時,不允許修改該ACL內的已有規則,否則將提示出錯。
counting參數用於開啟本規則的匹配統計功能,而packet-filter ipv6命令中的hardware-count參數則用於開啟指定ACL內所有規則的匹配統計功能。
display acl ipv6 all命令可以查看所有已存在的IPv6高級ACL規則和IPv6基本ACL規則。
刪除規則時需要注意的是:
· 使用undo rule rule-id命令時,如果沒有指定任何可選參數,則刪除整條規則;如果指定了可選參數,則隻刪除該參數所對應的內容。
· undo rule [ rule-id ] { deny | permit }命令無法刪除規則中的部分內容,使用undo rule { deny | permit }命令時,必須輸入已存在規則的完整形式。
【舉例】
# 為IPv6基本ACL 2000創建規則如下:僅允許來自1001::/16、3124:1123::/32和FE80:5060:1001::/48網段的報文通過,而拒絕來自所有其它網段的報文通過。
<Sysname> system-view
[Sysname] acl ipv6 basic 2000
[Sysname-acl-ipv6-basic-2000] rule permit source 1001:: 16
[Sysname-acl-ipv6-basic-2000] rule permit source 3124:1123:: 32
[Sysname-acl-ipv6-basic-2000] rule permit source fe80:5060:1001:: 48
[Sysname-acl-ipv6-basic-2000] rule deny source any
【相關命令】
· acl
· acl logging interval
· display acl
· step
· time-range(ACL和QoS命令參考/時間段)
rule comment命令用來為指定規則配置描述信息。
undo rule comment命令用來刪除指定規則的描述信息。
【命令】
rule rule-id comment text
undo rule rule-id comment
【缺省情況】
規則沒有任何描述信息。
【視圖】
IPv4基本ACL視圖/IPv4高級ACL視圖/IPv6基本ACL視圖/IPv6高級ACL視圖/二層ACL視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
rule-id:指定規則的編號,該規則必須存在。取值範圍為0~65534。
text:表示規則的描述信息,為1~127個字符的字符串,區分大小寫。
【使用指導】
使用rule comment命令時,如果指定的規則沒有描述信息,則為其添加描述信息,否則修改其描述信息。
【舉例】
# 為IPv4基本ACL 2000配置規則0,並為該規則配置描述信息。
<Sysname> system-view
[Sysname] acl basic 2000
[Sysname-acl-ipv4-basic-2000] rule 0 deny source 1.1.1.1 0
[Sysname-acl-ipv4-basic-2000] rule 0 comment This rule is used on GigabitEthernet 1/0/1.
【相關命令】
· display acl
step命令用來配置規則編號的步長。
undo step命令用來恢複缺省情況。
【命令】
step step-value
undo step
【缺省情況】
規則編號的步長為5,起始值為0。
【視圖】
IPv4基本ACL視圖/IPv4高級ACL視圖/IPv6基本ACL視圖/IPv6高級ACL視圖/二層ACL視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
step-value:表示規則編號的步長值,取值範圍為1~20。
【使用指導】
係統為規則自動分配編號的方式如下:係統從規則編號的起始值開始,自動分配一個大於現有最大編號的步長最小倍數。譬如原有編號為0、5、9、10和12的五條規則,步長為5,此時如果創建一條規則且不指定編號,那麼係統將自動為其分配編號15。
如果步長發生了改變,ACL內原有全部規則的編號都將自動從規則編號的起始值開始按步長重新排列。譬如,某ACL內原有編號為0、5、9、10和15的五條規則,當修改步長為2之後,這些規則的編號將依次變為0、2、4、6和8。
【舉例】
# 將IPv4基本ACL 2000的規則編號的步長配置為2。
<Sysname> system-view
[Sysname] acl basic 2000
[Sysname-acl-ipv4-basic-2000] step 2
【相關命令】
· display acl
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
