01-ACL命令
本章节下载: 01-ACL命令 (276.23 KB)
目 录
1.1.5 acl ipv6 logging frequence
1.1.20 rule (Ethernet frame header ACL view)
1.1.21 rule (IPv4 advanced ACL view)
1.1.22 rule (IPv4 basic ACL view)
1.1.23 rule (IPv6 advanced ACL view)
本章中提到的三层以太网接口是指工作模式被配置成三层模式的以太网端口,有关以太网端口工作模式切换的操作,请参见“二层技术-以太网交换配置指导”中的“以太网端口配置”部分。
【命令】
acl number acl-number [ name acl-name ] [ match-order { auto | config } ]
undo acl { all | name acl-name | number acl-number }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
number acl-number:指定IPv4 ACL的编号。acl-number表示IPv4 ACL的编号,取值范围及其代表的ACL类型如下:
l 2000~2999:表示IPv4基本ACL;
l 3000~3999:表示IPv4高级ACL;
l 4000~4999:表示二层ACL;
name acl-name:指定IPv4 ACL的名称。acl-name表示IPv4 ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
match-order { auto | config }:指定规则的匹配顺序。auto表示按照自动排序(即“深度优先”原则)的顺序进行规则匹配,config表示按照配置顺序进行规则匹配。缺省情况下,规则的匹配顺序为配置顺序。
all:指定所有的IPv4 ACL。
【描述】
acl命令用来创建一个IPv4 ACL,并进入相应的ACL视图。undo acl命令用来删除IPv4 ACL。
缺省情况下,不存在任何ACL。
需要注意的是:
l 使用acl命令时,如果指定编号的IPv4 ACL不存在,则创建该ACL并进入其视图,否则直接进入其视图。
l 用户只能在创建ACL时为其指定名称,ACL一旦创建,便不允许对其名称进行修改或删除。
l 当ACL内不存在任何规则时,用户可以使用本命令对该ACL的规则匹配顺序进行修改,否则不允许进行修改。
相关配置可参考命令display acl。
【举例】
# 创建一个编号为2000的IPv4基本ACL,并进入其视图。
<Sysname> system-view
[Sysname] acl number 2000
# 创建一个编号为2001的IPv4基本ACL,指定其名称为flow,并进入其视图。
<Sysname> system-view
[Sysname] acl number 2001 name flow
[Sysname-acl-basic-2001-flow]
【命令】
acl copy { source-acl-number | name source-acl-name } to { dest-acl-number | name dest-acl-name }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
source-acl-number:指定源IPv4 ACL的编号,该ACL必须存在。本参数的取值范围及其代表的ACL类型如下:
l 2000~2999:表示IPv4基本ACL;
l 3000~3999:表示IPv4高级ACL;
l 4000~4999:表示二层ACL;
name source-acl-name:指定源IPv4 ACL的名称,该ACL必须存在。source-acl-name为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。
dest-acl-number:指定目的IPv4 ACL的编号,该ACL必须不存在。若未指定本参数,系统将为目的IPv4 ACL自动分配一个与源IPv4 ACL类型相同且可用的最小编号。本参数的取值范围及其代表的ACL类型如下:
l 2000~2999:表示IPv4基本ACL;
l 3000~3999:表示IPv4高级ACL;
l 4000~4999:表示二层ACL;
name dest-acl-name:指定目的IPv4 ACL的名称,该ACL必须不存在。dest-acl-name为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。若未指定本参数,系统将不会为目的IPv4 ACL指定名称。
【描述】
acl copy命令用来复制生成一个新的同类型IPv4 ACL。
需要注意的是:
l 目的IPv4 ACL的类型要与源IPv4 ACL的类型相同。
l 目的IPv4 ACL的名称只能在复制时指定,且目的IPv4 ACL一旦生成,便不允许对其名称进行修改或删除。
l 除了ACL的编号和名称不同外,新生成的IPv4 ACL(即目的IPv4 ACL)的匹配顺序、规则匹配统计功能的使能情况、规则编号的步长、所包含的规则、规则的描述信息以及ACL的描述信息等都与源IPv4 ACL的相同。
【举例】
# 通过复制已存在的IPv4基本ACL 2001,来生成一个新的编号为2002的同类型IPv4 ACL。
<Sysname> system-view
[Sysname] acl copy 2001 to 2002
【命令】
acl ipv6 number acl6-number [ name acl6-name ] [ match-order { auto | config } ]
undo acl ipv6 { all | name acl6-name | number acl6-number }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
number acl6-number:指定IPv6 ACL的编号。acl6-number表示IPv6 ACL的编号,取值范围及其代表的ACL类型如下:
l 2000~2999:表示IPv6基本ACL;
l 3000~3999:表示IPv6高级ACL;
name acl6-name:指定IPv6 ACL的名称。acl6-name表示IPv6 ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
match-order { auto | config }:指定规则的匹配顺序。auto表示按照自动排序(即“深度优先”原则)的顺序进行规则匹配,config表示按照配置顺序进行规则匹配。缺省情况下,规则的匹配顺序为配置顺序。
all:指定所有的IPv6 ACL。
【描述】
acl ipv6命令用来创建一个IPv6 ACL,并进入相应的ACL视图。undo acl ipv6命令用来删除IPv6 ACL。
缺省情况下,不存在任何ACL。
需要注意的是:
l 使用acl ipv6命令时,如果指定编号的IPv6 ACL不存在,则创建该ACL并进入其视图,否则直接进入其视图。
l 用户只能在创建ACL时为其指定名称,ACL一旦创建,便不允许对其名称进行修改或删除。
l 当ACL内不存在任何规则时,用户可以使用本命令对该ACL的规则匹配顺序进行修改,否则不允许进行修改。
相关配置可参考命令display acl ipv6。
【举例】
# 创建一个编号为2000的IPv6基本ACL,并进入其视图。
<Sysname> system-view
[Sysname] acl ipv6 number 2000
# 创建一个编号为2001的IPv6基本ACL,指定其名称为flow,并进入其视图。
<Sysname> system-view
[Sysname] acl ipv6 number 2001 name flow
[Sysname-acl6-basic-2001-flow]
【命令】
acl ipv6 copy { source-acl6-number | name source-acl6-name } to { dest-acl6-number | name dest-acl6-name }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
source-acl6-number:指定源IPv6 ACL的编号,该ACL必须存在。本参数的取值范围及其代表的ACL类型如下:
l 2000~2999:表示IPv6基本ACL;
l 3000~3999:表示IPv6高级ACL。
name source-acl6-name:指定源IPv6 ACL的名称,该ACL必须存在。source-acl6-name为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。
dest-acl6-number:指定目的IPv6 ACL的编号,该ACL必须不存在。若未指定本参数,系统将为目的IP64 ACL自动分配一个与源IPv6 ACL类型相同且可用的最小编号。本参数的取值范围及其代表的ACL类型如下:
l 2000~2999:表示IPv6基本ACL;
l 3000~3999:表示IPv6高级ACL。
name dest-acl6-name:指定目的IPv6 ACL的名称,该ACL必须不存在。dest-acl6-name为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。若未指定本参数,系统将不会为目的IPv6 ACL指定名称。
【描述】
acl ipv6 copy命令用来复制生成一个新的同类型IPv6 ACL。
需要注意的是:
l 目的IPv6 ACL的类型要与源IPv6 ACL的类型相同。
l 目的IPv6 ACL的名称只能在复制时指定,且目的IPv6 ACL一旦生成,便不允许对其名称进行修改或删除。
l 除了ACL的编号和名称不同外,新生成的IPv6 ACL(即目的IPv6 ACL)的匹配顺序、规则匹配统计功能的使能情况、规则编号的步长、所包含的规则、规则的描述信息以及ACL的描述信息等都与源IPv6 ACL的相同。
【举例】
# 通过复制已存在的IPv6基本ACL 2001,来生成一个新的编号为2002的同类型IPv6 ACL。
<Sysname> system-view
[Sysname] acl ipv6 copy 2001 to 2002
【命令】
acl ipv6 logging frequence frequence
undo acl ipv6 logging frequence
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
frequence:指定IPv6报文过滤日志的生成与发送周期,取值范围为0~1440,且必须为5的整数倍,0表示不进行记录,单位为分钟。
【描述】
acl ipv6 logging frequence命令用来配置IPv6报文过滤日志的生成与发送周期,设备将周期性地生成并发送报文过滤的日志信息,包括该周期内被匹配的报文数量以及所使用的IPv6 ACL规则。undo acl ipv6 logging frequence命令用来恢复缺省情况。
缺省情况下,IPv6报文过滤日志的生成与发送周期为0分钟,即不记录IPv6报文过滤的日志。
需要注意的是,系统只支持对应用IPv6基本或高级ACL进行报文过滤的日志进行记录,且在上述ACL中配置规则时须指定logging参数。
相关配置可参考命令packet-filter ipv6、rule (IPv6 advanced ACL view)和rule (IPv6 basic ACL view)。
【举例】
# 配置IPv6报文过滤日志的生成与发送周期为10分钟。
<Sysname> system-view
[Sysname] acl ipv6 logging frequence 10
【命令】
acl ipv6 name acl6-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
acl6-name:指定IPv6 ACL的名称,该ACL必须存在。为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。
【描述】
acl ipv6 name命令用来进入指定名称的IPv6 ACL视图。
相关配置可参考命令acl ipv6。
【举例】
# 进入名称为flow的IPv6 ACL的视图。
<Sysname> system-view
[Sysname] acl ipv6 name flow
[Sysname-acl6-basic-2001-flow]
【命令】
acl logging frequence frequence
undo acl logging frequence
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
frequence:指定IPv4报文过滤日志的生成与发送周期,取值范围为0~1440,且必须为5的整数倍,0表示不进行记录,单位为分钟。
【描述】
acl logging frequence命令用来配置IPv4报文过滤日志的生成与发送周期,设备将周期性地生成并发送报文过滤的日志信息,包括该周期内被匹配的报文数量以及所使用的IPv4 ACL规则。undo acl logging frequence命令用来恢复缺省情况。
缺省情况下,IPv4报文过滤日志的生成与发送周期为0分钟,即不记录IPv4报文过滤的日志。
需要注意的是,系统只支持对应用IPv4基本或高级ACL进行报文过滤的日志进行记录,且在上述ACL中配置规则时须指定logging参数。
相关配置可参考命令packet-filter、rule (IPv4 advanced ACL view)和rule (IPv4 basic ACL view)。
【举例】
# 配置IPv4报文过滤日志的生成与发送周期为10分钟。
<Sysname> system-view
[Sysname] acl logging frequence 10
【命令】
acl name acl-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
acl-name:指定IPv4 ACL的名称,该ACL必须存在。本参数为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。
【描述】
acl name命令用来进入指定名称的IPv4 ACL视图。
相关配置可参考命令acl。
【举例】
# 进入名称为flow的IPv4 ACL的视图。
<Sysname> system-view
[Sysname] acl name flow
[Sysname-acl-basic-2001-flow]
【命令】
description text
undo description
【视图】
IPv4基本ACL视图/IPv4高级ACL视图/IPv6基本ACL视图/IPv6高级ACL视图/二层ACL视图
【缺省级别】
2:系统级
【参数】
text:表示ACL的描述信息,为1~127个字符的字符串,区分大小写。
【描述】
description命令用来配置ACL的描述信息。undo description命令用来删除ACL的描述信息。
缺省情况下,ACL没有任何描述信息。
相关配置可参考命令display acl和display acl ipv6。
【举例】
# 为IPv4基本ACL 2000配置描述信息。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] description This is an IPv4 basic ACL.
# 为IPv6基本ACL 2000配置描述信息。
<Sysname> system-view
[Sysname] acl ipv6 number 2000
[Sysname-acl6-basic-2000] description This is an IPv6 basic ACL.
【命令】
display acl { acl-number | all | name acl-name } [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
acl-number:显示指定编号的IPv4 ACL的配置和运行情况。acl-number表示IPv4 ACL的编号,取值范围及其代表的ACL类型如下:
l 2000~2999:表示IPv4基本ACL;
l 3000~3999:表示IPv4高级ACL;
l 4000~4999:表示二层ACL;
all:显示所有IPv4 ACL的配置和运行情况。
name acl-name:显示指定名称的IPv4 ACL的配置和运行情况。acl-name表示IPv4 ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。
slot slot-number:显示IRF中指定成员设备的IPv4 ACL运行情况,slot-number表示成员设备编号,取值范围取决于当前IRF中的成员数量和编号情况。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基本配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display acl命令用来显示IPv4 ACL的配置和运行情况。
需要注意的是,本命令将按照实际匹配顺序来排列ACL内的规则,即:当ACL的规则匹配顺序为配置顺序时,各规则将按照编号由小到大排列;当ACL的规则匹配顺序为自动排序时,各规则将按照“深度优先”原则由深到浅排列。
【举例】
# 显示所有IPv4 ACL的配置和运行情况。
<Sysname> display acl all
Basic ACL 2000, named flow, 3 rules,
Statistics is enabled
ACL's step is 5
rule 0 permit
rule 5 permit source 1.1.1.1 0 (5 times matched)
rule 10 permit vpn-instance mk
Basic ACL 2001, named -none-, 3 rules, match-order is auto,
ACL's step is 5
rule 10 permit vpn-instance rd
rule 10 comment This rule is used in VPN rd.
rule 5 permit source 2.2.2.2 0
rule 0 permit
表1-1 display acl命令显示信息描述表
字段 |
描述 |
Basic ACL 2000 |
该ACL的类型和编号,ACL的类型包括: l Basic ACL:表示IPv4基本ACL l Advanced ACL:表示IPv4高级ACL l Ethernet frame ACL:表示二层ACL |
named flow |
该ACL的名称为flow,-none-表示没有名称 |
3 rules |
该ACL内包含的规则数量 |
match-order is auto |
该ACL的规则匹配顺序为自动排序(匹配顺序为配置顺序时不显示本字段) |
Statistics is enabled |
基于硬件应用的ACL匹配统计功能已经开启 |
ACL's step is 5 |
该ACL的规则编号的步长值为5 |
rule 0 permit |
规则0的具体内容 |
5 times matched |
该规则匹配的次数为5,在ACL规则中未配置counting参数且在ACL视图下未配置hardware-count enable命令的情况下,此处仅统计软件IPv4 ACL的匹配次数;如果配置了counting参数或hardware-count enable命令,则此处将统计基于软件和基于硬件应用的IPv4 ACL的匹配次数之和(匹配次数为0时不显示本字段) |
rule 10 comment This rule is used in VPN rd. |
规则10的描述信息为This rule is used in VPN rd. |
【命令】
display acl ipv6 { acl6-number | all | name acl6-name } [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
acl6-number:显示指定编号的IPv6 ACL的配置和运行情况。acl6-number表示IPv6 ACL的编号,取值范围及其代表的ACL类型如下:
l 2000~2999:表示IPv6基本ACL;
l 3000~3999:表示IPv6高级ACL;
all:显示所有IPv6 ACL的配置和运行情况。
name acl6-name:显示指定名称的IPv6 ACL的配置和运行情况。acl6-name表示IPv6 ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。
slot slot-number:显示IRF中指定成员设备的IPv6 ACL运行情况,slot-number表示成员设备编号,取值范围取决于当前IRF中的成员数量和编号情况。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display acl ipv6命令用来显示IPv6 ACL的配置和运行情况。
需要注意的是,本命令将按照实际匹配顺序来排列ACL内的规则,即:当ACL的规则匹配顺序为配置顺序时,各规则将按照编号由小到大排列;当ACL的规则匹配顺序为自动排序时,各规则将按照“深度优先”原则由深到浅排列。
【举例】
# 显示所有IPv6 ACL的配置和运行情况。
<Sysname> display acl ipv6 all
Basic IPv6 ACL 2000, named flow, 3 rules,
Statistics is enabled
ACL's step is 5
rule 0 permit
rule 5 permit source 1::/64
rule 10 permit source 1::1/128 (5 times matched)
Basic IPv6 ACL 2001, named -none-, 3 rules, match-order is auto,
ACL's step is 5
rule 10 permit source 1::1/128
rule 10 comment This rule is used on GigabitEthernet 1/0/1.
rule 5 permit source 1::/64
rule 0 permit
表1-2 display acl ipv6命令显示信息描述表
字段 |
描述 |
Basic IPv6 ACL 2000 |
该ACL的类型和编号,ACL的类型包括: l Basic IPv6 ACL:表示IPv6基本ACL l Advanced IPv6 ACL:表示IPv6高级ACL |
named flow |
该ACL的名称为flow,-none-表示没有名称 |
3 rules |
该ACL内包含的规则数量 |
match-order is auto |
该ACL的规则匹配顺序为自动排序(匹配顺序为配置顺序时不显示本字段) |
Statistics is enabled |
基于硬件的ACL匹配统计功能已经开启 |
ACL's step is 5 |
该ACL的规则编号的步长值为5 |
rule 0 permit |
规则0的具体内容 |
5 times matched |
该规则匹配的次数为5,在ACL规则中未配置counting参数且在ACL视图下未配置hardware-count enable命令的情况下,此处仅统计软件IPv4 ACL的匹配次数;如果配置了counting参数或hardware-count enable命令,则此处将统计基于软件和基于硬件应用的IPv4 ACL的匹配次数之和(匹配次数为0时不显示本字段) |
rule 10 comment This rule is used on GigabitEthernet 1/0/1. |
规则10的描述信息为This rule is used on GigabitEthernet 1/0/1. |
【命令】
display acl resource [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
slot slot-number:显示IRF中指定设备的ACL资源的使用情况,slot-number的取值范围取决于当前IRF中的成员数量和编号情况。如未指定slot slot-number参数,在IRF环境中将显示IRF中所有交换机ACL资源的使用情况。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display acl resource命令用来显示ACL资源的使用情况。
【举例】
# 显示交换机ACL资源的使用情况。
<Sysname> display acl resource
Interface:
GE1/0/1 to GE1/0/28, XGE1/2/1 to XGE1/2/2
--------------------------------------------------------------------------------
Type Total Reserved Configured Remaining
--------------------------------------------------------------------------------
VFP ACL 1024 0 0 1024
IFP ACL 4096 512 96 3488
IFP Meter 2048 256 36 1756
IFP Counter 2048 256 40 1752
EFP ACL 512 0 0 512
EFP Meter 256 0 0 256
EFP Counter 512 0 0 512
表1-3 display acl resource命令显示信息描述表
字段 |
描述 |
Interface |
使用ACL资源的端口 |
Type |
资源类型: l ACL表示ACL规则资源 l Meter表示流量监管资源 l Counter表示流量统计资源 l VFP表示二层转发前的,应用于QinQ功能的资源数目 l IFP表示入方向的资源数目 l EFP表示出方向的资源数目 |
Total |
支持的ACL规则总数 |
Reserved |
预留的ACL规则数 |
Configured |
已经配置的ACL规则数 |
Remaining |
剩余的ACL规则数 |
【命令】
display packet-filter { { all | interface interface-type interface-number } [ inbound | outbound ] | interface vlan-interface vlan-interface-number [ inbound | outbound ] [ slot slot-number ] } [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
all:显示所有以太网端口/VLAN接口上报文过滤策略的应用情况。
interface interface-type interface-number:显示指定端口/接口上报文过滤策略的应用情况。interface-type interface-number表示端口类型和端口编号,这里的接口类型不包括VLAN接口。
inbound:显示以太网端口/VLAN接口入方向上报文过滤策略的应用情况。
outbound:显示以太网端口/VLAN接口出方向上报文过滤策略的应用情况。
interface vlan-interface vlan-interface-number:显示指定VLAN接口上报文过滤策略的应用情况。vlan-interface-number表示VLAN接口的编号。
slot slot-number:显示IRF中指定成员设备的VLAN接口上报文过滤策略的应用情况。slot-number表示成员设备编号,取值范围取决于当前IRF中的成员数量和编号情况。如果不指定该参数,将显示IRF中所有成员设备的VLAN接口上报文过滤策略应用情况。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display packet-filter命令用来显示报文过滤策略的应用情况。
需要注意的是,若未指定inbound和outbound参数,将同时显示以太网端口/VLAN接口出、入方向上报文过滤策略的应用情况。
【举例】
# 显示端口GigabitEthernet1/0/1出、入方向上报文过滤策略的应用情况。
<Sysname> display packet-filter interface gigabitethernet 1/0/1
Interface: GigabitEthernet1/0/1
In-bound Policy:
acl 2001, Successful
Out-bound Policy:
acl6 2500, Fail
表1-4 display packet-filter命令显示信息描述表
字段 |
描述 |
Interface |
应用报文过滤策略的以太网端口/VLAN接口名称 |
In-bound Policy |
入方向上报文过滤策略的应用情况 |
Out-bound Policy |
出方向上报文过滤策略的应用情况 |
acl 2001, Successful |
应用IPv4 ACL 2001成功 |
acl6 2500, Fail |
应用IPv6 ACL 2500失败 |
【命令】
display time-range { time-range-name | all } [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
time-range-name:显示指定名称的时间段的配置和状态信息。time-range-name表示时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。
all:显示所有时间段的配置和状态信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display time-range命令用来显示时间段的配置和状态信息。
【举例】
# 显示时间段t4的配置和状态信息。
<Sysname> display time-range t4
Current time is 17:12:34 4/13/2010 Tuesday
Time-range : t4 ( Inactive )
10:00 to 12:00 Mon
14:00 to 16:00 Wed
from 00:00 1/1/2010 to 23:59 1/31/2010
from 00:00 6/1/2010 to 23:59 6/30/2010
表1-5 display time-range命令显示信息描述表
字段 |
描述 |
Current time |
系统当前的时间 |
Time-range |
时间段的配置信息,包括: l 时间段的名称 l 时间段的状态,包括Active(生效)和Inactive(未生效)两种状态 l 时间段的时间范围 |
【命令】
hardware-count enable
undo hardware-count enable
【视图】
IPv4基本ACL视图/IPv4高级ACL视图/二层ACL视图/IPv6基本ACL视图/IPv6高级ACL视图
【缺省级别】
2:系统级
【参数】
无
【描述】
hardware-count enable命令用来使能ACL的规则匹配统计功能。undo hardware-count enable命令用来关闭ACL的规则匹配统计功能。
缺省情况下,ACL的规则匹配统计功能处于关闭状态。
需要注意的是:
l hardware-count enable命令用于统计基于硬件应用的ACL匹配次数,基于软件应用的ACL匹配次数设备将自动进行统计,无需配置。
l 当ACL被QoS策略引用对报文进行流分类时,规则匹配统计功能将不能生效。
l 本命令用于控制当前ACL内所有规则的匹配统计功能,而rule命令中的counting参数则用于控制当前规则的匹配统计功能。对于某条规则而言,这两个配置中只要有一个处于使能状态,该规则的统计功能就会生效。
l 使用undo hardware-count enable命令会同时将该ACL内所有规则的统计计数清零,不论这些规则是否配置有counting参数。
相关配置可参考命令display acl、display acl ipv6和rule。
【举例】
# 使能IPv4基本ACL 2000的规则匹配统计功能。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] hardware-count enable
<Sysname> system-view
[Sysname] acl ipv6 number 2000
[Sysname-acl6-basic-2000] hardware-count enable
【命令】
packet-filter { acl-number | name acl-name } { inbound | outbound }
undo packet-filter { acl-number | name acl-name } { inbound | outbound }
【视图】
二层以太网端口视图/三层以太网接口视图/VLAN接口视图
【缺省级别】
2:系统级
【参数】
acl-number:指定IPv4 ACL的编号,取值范围及其代表的ACL类型如下:
l 2000~2999:表示IPv4基本ACL;
l 3000~3999:表示IPv4高级ACL;
l 4000~4999:表示二层ACL;
name acl-name:指定IPv4 ACL的名称。acl-name表示IPv4 ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。
inbound:对二层以太网端口/三层以太网接口/VLAN接口收到的IPv4报文进行过滤。
outbound:对二层以太网端口/三层以太网接口/VLAN接口发出的IPv4报文进行过滤。
【描述】
packet-filter命令用来在二层以太网端口/三层以太网接口/VLAN接口上应用ACL对IPv4报文进行过滤。undo packet-filter命令用来恢复缺省情况。
缺省情况下,在二层以太网端口/三层以太网接口/VLAN接口上不对IPv4报文进行过滤。
相关配置可参考命令display packet-filter。
【举例】
# 应用IPv4 ACL 2001对端口GigabitEthernet1/0/1收到的IPv4报文进行过滤。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEtherhet1/0/1] packet-filter 2001 inbound
【命令】
packet-filter ipv6 { acl6-number | name acl6-name } { inbound | outbound }
undo packet-filter ipv6 { acl6-number | name acl6-name } { inbound | outbound }
【视图】
二层以太网端口视图/三层以太网接口/VLAN接口视图
【缺省级别】
2:系统级
【参数】
acl6-number:指定IPv6 ACL的编号,取值范围及其代表的ACL类型如下:
l 2000~2999:表示IPv6基本ACL;
l 3000~3999:表示IPv6高级ACL。
name acl6-name:指定IPv6 ACL的名称。acl6-name表示IPv6 ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。
inbound:对二层以太网端口/三层以太网接口/VLAN接口收到的IPv6报文进行过滤。
outbound:对二层以太网端口/三层以太网接口/VLAN接口发出的IPv6报文进行过滤。
【描述】
packet-filter ipv6命令用来在二层以太网端口/三层以太网接口/VLAN接口上应用ACL对IPv6报文进行过滤。undo packet-filter ipv6命令用来恢复缺省情况。
缺省情况下,在二层以太网端口/三层以太网接口/VLAN接口上不对IPv6报文进行过滤。
相关配置可参考命令display packet-filter ipv6。
【举例】
# 应用IPv6 ACL 2500对端口GigabitEthernet1/0/1收到的IPv6报文进行过滤。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] packet-filter ipv6 2500 inbound
【命令】
reset acl counter { acl-number | all | name acl-name }
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
acl-number:指定IPv4 ACL的编号,取值范围及其代表的ACL类型如下:
l 2000~2999:表示IPv4基本ACL;
l 3000~3999:表示IPv4高级ACL;
l 4000~4999:表示二层ACL;
all:指定所有的IPv4 ACL。
name acl-name:指定IPv4 ACL的名称。acl-name表示IPv4 ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。
【描述】
reset acl counter命令用来清除IPv4 ACL的统计信息。
相关配置可参考命令display acl。
【举例】
# 清除编号为2001的IPv4基本ACL的统计信息。
<Sysname> reset acl counter 2001
# 清除名为flow的IPv4 ACL的统计信息。
<Sysname> reset acl counter name flow
【命令】
reset acl ipv6 counter { acl6-number | all | name acl6-name }
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
acl6-number:指定IPv6 ACL的编号,取值范围及其代表的ACL类型如下:
l 2000~2999:表示IPv6基本ACL;
l 3000~3999:表示IPv6高级ACL。
all:指定所有的IPv6 ACL。
name acl6-name:指定IPv6 ACL的名称。acl6-name表示IPv6 ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。
【描述】
reset acl ipv6 counter命令用来清除IPv6 ACL的统计信息。
相关配置可参考命令display acl ipv6。
【举例】
# 清除编号为2001的IPv6基本ACL的统计信息。
<Sysname> reset acl ipv6 counter 2001
# 清除名为flow的IPv6 ACL的统计信息。
<Sysname> reset acl ipv6 counter name flow
【命令】
rule [ rule-id ] { deny | permit } [ cos vlan-pri | counting | dest-mac dest-addr dest-mask | { lsap lsap-type lsap-type-mask | type protocol-type protocol-type-mask } | source-mac sour-addr source-mask | time-range time-range-name ] *
undo rule rule-id [ counting | time-range ] *
【视图】
二层ACL视图
【缺省级别】
2:系统级
【参数】
rule-id:指定二层ACL规则的编号,取值范围为0~65534。若未指定本参数,系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。
deny:表示拒绝符合条件的报文。
permit:表示允许符合条件的报文。
cos vlan-pri:指定802.1p优先级。vlan-pri表示802.1p优先级,可输入的形式如下:
l 数字:取值范围为0~7;
l 名称:best-effort、background、spare、excellent-effort、controlled-load、video、voice和network-management,依次对应于数字0~7。
counting:表示对规则匹配情况进行统计,该参数用于统计基于硬件应用的ACL规则匹配次数。
dest-mac dest-addr dest-mask:指定目的MAC地址范围。dest-addr表示目的MAC地址,格式为H-H-H。dest-mask表示目的MAC地址的掩码,格式为H-H-H。
lsap lsap-type lsap-type-mask:指定LLC封装中的DSAP字段和SSAP字段。lsap-type表示数据帧的封装格式,为16比特的十六进制数。lsap-type-mask表示LSAP的类型掩码,为16比特的十六进制数,用于指定屏蔽位。
type protocol-type protocol-type-mask:指定链路层协议类型。protocol-type表示16比特的十六进制数表征的数据帧类型,对应Ethernet_II类型和Ethernet_SNAP类型帧中的type域。protocol-type-mask表示类型掩码,为16比特的十六进制数,用于指定屏蔽位。
source-mac sour-addr source-mask:指定源MAC地址范围。sour-addr表示源MAC地址,格式为H-H-H。sour-mask表示源MAC地址的掩码,格式为H-H-H。
time-range time-range-name:指定规则生效的时间段。time-range-name表示时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。
【描述】
rule命令用来为二层ACL创建一条规则。undo rule命令用来为二层ACL删除一条规则或删除规则中的部分内容。
缺省情况下,二层ACL内不存在任何规则。
需要注意的是:
l 使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。
l 新创建或修改的规则不能与已有规则的内容完全相同,否则将提示出错,并导致该操作失败。
l 当ACL的规则匹配顺序为配置顺序时,允许修改该ACL内的任意一条已有规则;当ACL的规则匹配顺序为自动排序时,不允许修改该ACL内的已有规则,否则将提示出错。
l 使用undo rule命令时,如果没有指定任何可选参数,则删除整条规则;如果指定了可选参数,则只删除该参数所对应的内容。
l 使用undo rule命令时必须指定一个已存在规则的编号,可以使用display acl all命令来查看所有已存在的规则。
相关配置可参考命令acl、display acl和step。
当二层ACL被QoS策略引用对报文进行流分类时,不支持配置lsap参数。
【举例】
# 为二层ACL 4000创建一条规则,拒绝802.1p优先级为3的报文。
<Sysname> system-view
[Sysname] acl number 4000
[Sysname-acl-ethernetframe-4000] rule deny cos 3
【命令】
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { dest-addr dest-wildcard | any } | destination-port operator port1 [ port2 ] | dscp dscp | fragment | icmp-type { icmp-type icmp-code | icmp-message } | logging | precedence precedence | reflective | source { sour-addr sour-wildcard | any } | source-port operator port1 [ port2 ] | time-range time-range-name | tos tos | vpn-instance vpn-instance-name ] *
undo rule rule-id [ { { ack | fin | psh | rst | syn | urg } * | established } | counting | destination | destination-port | dscp | fragment | icmp-type | logging | precedence | reflective | source | source-port | time-range | tos | vpn-instance ] *
【视图】
IPv4高级ACL视图
【缺省级别】
2:系统级
【参数】
rule-id:指定IPv4高级ACL规则的编号,取值范围为0~65534。若未指定本参数,系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。
deny:表示拒绝符合条件的报文。
permit:表示允许符合条件的报文。
protocol:表示IPv4承载的协议类型,可输入的形式如下:
l 数字:取值范围为0~255;
l 名称(括号内为对应的数字):可选取gre(47)、icmp(1)、igmp(2)、ip、ipinip(4)、ospf(89)、tcp(6)或udp(17)。
protocol之后可配置如表1-6所示的规则信息参数。
参数 |
类别 |
作用 |
说明 |
source { sour-addr sour-wildcard | any } |
源地址信息 |
指定ACL规则的源地址信息 |
sour-addr sour-wildcard:源IP地址及其通配符掩码(为0表示主机地址) any:任意源IP地址 |
destination { dest-addr dest-wildcard | any } |
目的地址信息 |
指定ACL规则的目的地址信息 |
dest-addr dest-wildcard:目的IP地址及其通配符掩码(为0表示主机地址) any:任意目的IP地址 |
counting |
统计 |
对规则匹配情况进行统计 |
该参数用于统计基于硬件应用的ACL中某条规则的匹配次数 |
precedence precedence |
报文优先级 |
IP优先级 |
precedence:用数字表示时,取值范围为0~7;用名称表示时,为routine、priority、immediate、flash、flash-override、critical、internet或network,分别对应于数字0~7 |
tos tos |
报文优先级 |
ToS优先级 |
tos:用数字表示时,取值范围为0~15;用名称表示时,可选取max-reliability(2)、max-throughput(4)、min-delay(8)、min-monetary-cost(1)或normal(0) |
dscp dscp |
报文优先级 |
DSCP优先级 |
dscp:用数字表示时,取值范围为0~63;用名称表示时,可选取af11(10)、af12(12)、af13(14)、af21(18)、af22(20)、af23(22)、af31(26)、af32(28)、af33(30)、af41(34)、af42(36)、af43(38)、cs1(8)、cs2(16)、cs3(24)、cs4(32)、cs5(40)、cs6(48)、cs7(56)、default(0)或ef(46) |
logging |
日志操作 |
对符合条件的报文可记录日志信息 |
- |
reflective |
自反标志 |
设置规则具有自反属性 |
目前不支持该参数 |
vpn-instance vpn-instance-name |
VPN实例 |
对指定VPN实例中的报文有效 |
vpn-instance-name:VPN实例的名称,为1~31个字符的字符串,区分大小写 若未指定本参数,则表示该规则仅对非VPN报文有效 |
fragment |
分片信息 |
仅对非首片分片报文有效,而对非分片报文和首片分片报文无效 |
若未指定本参数,则表示该规则对非分片报文和分片报文均有效 |
time-range time-range-name |
时间段信息 |
指定规则生效的时间段 |
time-range-name:时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头 |
如果指定参数dscp的同时还指定了参数precedence或tos,那么对参数precedence和tos所作的配置将不会生效。
当protocol为tcp(6)或udp(17)时,用户还可配置如表1-7所示的规则信息参数。
表1-7 TCP/UDP特有的规则信息参数
参数 |
类别 |
作用 |
说明 |
source-port operator port1 [ port2 ] |
源端口 |
定义TCP/UDP报文的源端口信息 |
operator:操作符,取值可以为lt(小于)、gt(大于)、eq(等于)、neq(不等于)或者range(在范围内,包括边界值)。只有range操作符需要两个端口号做操作数,其它操作符只需要一个端口号做操作数 port1/port2:TCP或UDP的端口号,用数字表示时,取值范围为0~65535;用名称表示时,TCP端口号可选取chargen(19)、bgp(179)、cmd(514)、daytime(13)、discard(9)、domain(53)、echo (7)、exec (512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)或www(80);UDP端口号可选取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)或xdmcp(177) |
destination-port operator port1 [ port2 ] |
目的端口 |
定义TCP/UDP报文的目的端口信息 |
|
{ ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * |
TCP报文标识 |
定义对携带不同标志位的TCP报文的处理规则 |
TCP协议特有的参数。定义规则匹配携带不同标志位的TCP报文,各value值的取值范围都为0~1。 如果在一条规则中设置了多个TCP标志位的匹配值,则这些匹配条件之间的关系为“与” |
established |
TCP报文标识 |
定义TCP报文的ACK和RST标志位匹配规则 |
该参数用于定义TCP报文中ACK或RST标志位为1的报文 |
当protocol为icmp(1)时,用户还可配置如表1-8所示的规则信息参数。
表1-8 ICMP特有的规则信息参数
参数 |
类别 |
作用 |
说明 |
icmp-type { icmp-type icmp-code | icmp-message } |
ICMP报文的消息类型和消息码信息 |
指定规则的ICMP报文的消息类型和消息码信息 |
icmp-type:ICMP消息类型,取值范围为0~255 icmp-code:ICMP消息码,取值范围为0~255 icmp-message:ICMP消息名称。可输入的ICMP消息名称,及其与消息类型和消息码的对应关系如表1-9所示 |
表1-9 ICMP消息名称与消息类型和消息码的对应关系
ICMP消息名称 |
ICMP消息类型 |
ICMP消息码 |
echo |
8 |
0 |
echo-reply |
0 |
0 |
fragmentneed-DFset |
3 |
4 |
host-redirect |
5 |
1 |
host-tos-redirect |
5 |
3 |
host-unreachable |
3 |
1 |
information-reply |
16 |
0 |
information-request |
15 |
0 |
net-redirect |
5 |
0 |
net-tos-redirect |
5 |
2 |
net-unreachable |
3 |
0 |
parameter-problem |
12 |
0 |
port-unreachable |
3 |
3 |
protocol-unreachable |
3 |
2 |
reassembly-timeout |
11 |
1 |
source-quench |
4 |
0 |
source-route-failed |
3 |
5 |
timestamp-reply |
14 |
0 |
timestamp-request |
13 |
0 |
ttl-exceeded |
11 |
0 |
【描述】
rule命令用来为IPv4高级ACL创建一条规则。undo rule命令用来为IPv4高级ACL删除一条规则或删除规则中的部分内容。
缺省情况下,IPv4高级ACL内不存在任何规则。
需要注意的是:
l 使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。
l 新创建或修改的规则不能与已有规则的内容完全相同,否则将提示出错,并导致该操作失败。
l 当ACL的规则匹配顺序为配置顺序时,允许修改该ACL内的任意一条已有规则;当ACL的规则匹配顺序为自动排序时,不允许修改该ACL内的已有规则,否则将提示出错。
l 使用undo rule命令时,如果没有指定任何可选参数,则删除整条规则;如果指定了可选参数,则只删除该参数所对应的内容。
l 使用undo rule命令时必须指定一个已存在规则的编号,可以使用display acl all命令来查看所有已存在的规则。
相关配置可参考命令acl、display acl和step。
当IPv4高级ACL被QoS策略引用对报文进行流分类时,需要注意的是:
l 不支持在规则中配置vpn-instance参数
l 在ACL规则中配置的logging和counting参数将不会生效
l 不支持配置操作符operator为neq
当IPv4高级ACL用于包过滤功能时,不支持配置操作符operator为neq。
【举例】
# 为IPv4高级ACL 3000创建一条规则,允许129.9.0.0/16网段内的主机与202.38.160.0/24网段内主机的WWW端口(端口号为80)建立TCP连接。
<Sysname> system-view
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80
【命令】
rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { sour-addr sour-wildcard | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *
undo rule rule-id [ counting | fragment | logging | source | time-range | vpn-instance ] *
【视图】
IPv4基本ACL视图
【缺省级别】
2:系统级
【参数】
rule-id:指定IPv4基本ACL规则的编号,取值范围为0~65534。若未指定本参数,系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。
deny:表示拒绝符合条件的报文。
permit:表示允许符合条件的报文。
counting:表示对规则匹配情况进行统计,该参数用于统计基于硬件应用的ACL规则匹配次数。
fragment:表示仅对非首片分片报文有效,而对非分片报文和首片分片报文无效。若未指定本参数,则表示该规则对非分片报文和分片报文均有效。
logging:表示对符合条件的报文可记录日志信息。
source { sour-addr sour-wildcard | any }:指定规则的源地址信息。sour-addr表示报文的源IP地址,sour-wildcard表示源IP地址的通配符掩码(为0表示主机地址),any表示任意源IP地址。
time-range time-range-name:指定规则生效的时间段。time-range-name表示时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。
vpn-instance vpn-instance-name:表示对指定VPN实例中的报文有效。vpn-instance-name表示VPN实例的名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该规则仅对非VPN报文有效。
【描述】
rule命令用来为IPv4基本ACL创建一条规则。undo rule命令用来为IPv4基本ACL删除一条规则或删除规则中的部分内容。
缺省情况下,IPv4基本ACL内不存在任何规则。
需要注意的是:
l 使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。
l 新创建或修改的规则不能与已有规则的内容完全相同,否则将提示出错,并导致该操作失败。
l 当ACL的规则匹配顺序为配置顺序时,允许修改该ACL内的任意一条已有规则;当ACL的规则匹配顺序为自动排序时,不允许修改该ACL内的已有规则,否则将提示出错。
l 使用undo rule命令时,如果没有指定任何可选参数,则删除整条规则;如果指定了可选参数,则只删除该参数所对应的内容。
l 使用undo rule命令时必须指定一个已存在规则的编号,可以使用display acl all命令来查看所有已存在的规则。
相关配置可参考命令acl、display acl和step。
当IPv4基本ACL被QoS策略引用对报文进行流分类时,不支持配置vpn-instance参数,在规则中配置的logging和counting参数将不会生效。
【举例】
# 为IPv4基本ACL 2000创建一条规则,拒绝源地址为1.1.1.1/32的报文。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule deny source 1.1.1.1 0
【命令】
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { dest dest-prefix | dest/dest-prefix | any } | destination-port operator port1 [ port2 ] | dscp dscp | flow-label flow-label-value | fragment | icmp6-type { icmp6-type icmp6-code | icmp6-message } | logging | source { source source-prefix | source/source-prefix | any } | source-port operator port1 [ port2 ] | time-range time-range-name ] *
undo rule rule-id [ { { ack | fin | psh | rst | syn | urg } * | established } | counting | destination | destination-port | dscp | flow-label | fragment | icmp6-type | logging | source | source-port | time-range ] *
【视图】
IPv6高级ACL视图
【缺省级别】
2:系统级
【参数】
rule-id:指定IPv6 ACL规则的编号,取值范围为0~65534。若未指定本参数,系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。
deny:表示拒绝符合条件的报文。
permit:表示允许符合条件的报文。
protocol:表示IPv6承载的协议类型,可输入的形式如下:
l 数字:取值范围为0~255;
l 名称(括号内为对应的数字):可选取gre(47)、icmpv6(58)、ipv6、ipv6-ah(51)、ipv6-esp(50)、ospf(89)、tcp(6)或udp(17)。
protocol之后可配置如表1-10所示的规则信息参数。
参数 |
类别 |
作用 |
说明 |
source { source source-prefix | source/source-prefix | any } |
源IPv6地址信息 |
指定IPv6 ACL规则的源IPv6地址信息 |
source:源IPv6地址 source-prefix:前缀长度,取值范围1~128 any:任意源IPv6地址 |
destination { dest dest-prefix | dest/dest-prefix | any } |
目的IPv6地址信息 |
指定IPv6 ACL规则的目的IPv6地址信息 |
dest:目的IPv6地址 dest-prefix:前缀长度,取值范围1~128 any:任意目的IPv6地址 |
counting |
统计 |
对规则匹配情况进行统计 |
该参数用于统计基于硬件应用的ACL中某条规则的匹配次数 |
dscp dscp |
报文优先级 |
DSCP优先级 |
dscp:用数字表示时,取值范围为0~63;用名称表示时,可选取af11(10)、af12(12)、af13(14)、af21(18)、af22(20)、af23(22)、af31(26)、af32(28)、af33(30)、af41(34)、af42(36)、af43(38)、cs1(8)、cs2(16)、cs3(24)、cs4(32)、cs5(40)、cs6(48)、cs7(56)、default(0)或ef(46) |
flow-label flow-label-value |
流标签字段 |
指定IPv6基本报文头中流标签字段的值 |
flow-label-value:流标签字段的值,取值范围为0~1048575 |
logging |
日志操作 |
对符合条件的报文可记录日志信息 |
- |
fragment |
分片信息 |
仅对非首片分片报文有效,而对非分片报文和首片分片报文无效 |
若未指定本参数,则表示该规则对非分片报文和分片报文均有效 |
time-range time-range-name |
时间段信息 |
指定规则生效的时间段 |
time-range-name:时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头 |
当protocol为tcp(6)或udp(17)时,用户还可配置如表1-11所示的规则信息参数。
表1-11 TCP/UDP特有的规则信息参数
参数 |
类别 |
作用 |
说明 |
source-port operator port1 [ port2 ] |
源端口 |
定义TCP/UDP报文的源端口信息 |
operator:操作符,取值可以为lt(小于)、gt(大于)、eq(等于)、neq(不等于)或者range(在范围内,包括边界值)。只有range操作符需要两个端口号做操作数,其它操作符只需要一个端口号做操作数 port1/port2:TCP或UDP的端口号,用数字表示时,取值范围为0~65535;用名称表示时,TCP端口号可选取chargen(19)、bgp(179)、cmd(514)、daytime(13)、discard(9)、domain(53)、echo (7)、exec (512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)或www(80);UDP端口号可选取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)或xdmcp(177) |
destination-port operator port1 [ port2 ] |
目的端口 |
定义TCP/UDP报文的目的端口信息 |
|
{ ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * |
TCP报文标识 |
定义对携带不同标志位的TCP报文的处理规则 |
TCP协议特有的参数。定义规则匹配携带不同标志位的TCP报文,各value值的取值范围都为0~1 如果在一条规则中设置了多个TCP标志位的匹配值,则这些匹配条件之间的关系为“与” |
established |
TCP报文标识 |
定义TCP报文的ACK和RST标志位匹配规则 |
该参数用于定义TCP报文中ACK或RST标志位为1的报文 |
当protocol为icmpv6(58)时,用户还可配置如表1-12所示的规则信息参数。
表1-12 ICMPv6特有的规则信息参数
参数 |
类别 |
作用 |
说明 |
icmp6-type { icmp6-type icmp6-code | icmp6-message } |
ICMPv6报文的消息类型和消息码信息 |
指定规则的ICMPv6报文的消息类型和消息码信息 |
icmp6-type:ICMPv6消息类型,取值范围为0~255 icmp6-code:ICMPv6的消息码,取值范围为0~255 icmp6-message:ICMPv6消息名称。可以输入的ICMPv6消息名称,及其与消息类型和消息码的对应关系如表1-13所示 |
表1-13 ICMPv6消息名称与消息类型和消息码的对应关系
ICMPv6消息名称 |
ICMPv6消息类型 |
ICMPv6消息码 |
echo-reply |
129 |
0 |
echo-request |
128 |
0 |
err-Header-field |
4 |
0 |
frag-time-exceeded |
3 |
1 |
hop-limit-exceeded |
3 |
0 |
host-admin-prohib |
1 |
1 |
host-unreachable |
1 |
3 |
neighbor-advertisement |
136 |
0 |
neighbor-solicitation |
135 |
0 |
network-unreachable |
1 |
0 |
packet-too-big |
2 |
0 |
port-unreachable |
1 |
4 |
redirect |
137 |
0 |
router-advertisement |
134 |
0 |
router-solicitation |
133 |
0 |
unknown-ipv6-opt |
4 |
2 |
unknown-next-hdr |
4 |
1 |
【描述】
rule命令用来为IPv6高级ACL创建一条规则。undo rule命令用来为IPv6高级ACL删除一条规则或删除规则中的部分内容。
缺省情况下,IPv6高级ACL内不存在任何规则。
需要注意的是:
l 使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。
l 新创建或修改的规则不能与已有规则的内容完全相同,否则将提示出错,并导致该操作失败。
l 当ACL的规则匹配顺序为配置顺序时,允许修改该ACL内的任意一条已有规则;当ACL的规则匹配顺序为自动排序时,不允许修改该ACL内的已有规则,否则将提示出错。
l 使用undo rule命令时,如果没有指定任何可选参数,则删除整条规则;如果指定了可选参数,则只删除该参数所对应的内容。
l 使用undo rule命令时必须指定一个已存在规则的编号,可以使用display acl ipv6 all命令来查看所有已存在的规则。
相关配置可参考命令acl ipv6、display ipv6 acl和step。
当IPv6高级ACL被QoS策略引用对报文进行流分类时,需要注意的是:
l 不支持配置fragment参数
l 在规则中配置的logging和counting参数将不会生效
l 不支持配置操作符operator为neq
当IPv4高级ACL用于包过滤功能时,不支持配置操作符operator为neq。
【举例】
# 为IPv6高级ACL 3000创建一条规则,允许2030:5060::/64网段内的主机与FE80:5060::/96网段内主机的WWW端口(端口号为80)建立TCP连接。
<Sysname> system-view
[Sysname] acl ipv6 number 3000
[Sysname-acl6-adv-3000] rule permit tcp source 2030:5060::/64 destination fe80:5060::/96 destination-port eq 80
【命令】
rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { ipv6-address prefix-length | ipv6-address/prefix-length | any } | time-range time-range-name ] *
undo rule rule-id [ counting | fragment | logging | source | time-range ] *
【视图】
IPv6基本ACL视图
【缺省级别】
2:系统级
【参数】
rule-id:指定IPv6 ACL规则的编号,取值范围为0~65534。若未指定本参数,系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。
deny:表示拒绝符合条件的报文。
permit:表示允许符合条件的报文。
counting:表示对规则匹配情况进行统计,该参数用于统计基于硬件应用的ACL规则匹配次数。
fragment:表示仅对非首片分片报文有效,而对非分片报文和首片分片报文无效。若未指定本参数,则表示该规则对非分片报文和分片报文均有效。
logging:表示对符合条件的报文可记录日志信息
source { ipv6-address prefix-length | ipv6-address/prefix-length | any }:指定规则的源IPv6地址信息。ipv6-address表示报文的源IPv6地址,prefix-length表示源IPv6地址前缀长度,取值范围为1~128。any表示任意源IPv6地址。
time-range time-range-name:指定规则生效的时间段。time-range-name表示时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。
【描述】
rule命令用来为IPv6基本ACL创建一条规则。undo rule命令用来为IPv6基本ACL删除一条规则或删除规则中的部分内容。
缺省情况下,IPv6基本ACL内不存在任何规则。
需要注意的是:
l 使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。
l 新创建或修改的规则不能与已有规则的内容完全相同,否则将提示出错,并导致该操作失败。
l 当ACL的规则匹配顺序为配置顺序时,允许修改该ACL内的任意一条已有规则;当ACL的规则匹配顺序为自动排序时,不允许修改该ACL内的已有规则,否则将提示出错。
l 使用undo rule命令时,如果没有指定任何可选参数,则删除整条规则;如果指定了可选参数,则只删除该参数所对应的内容。
l 使用undo rule命令时必须指定一个已存在规则的编号,可以使用display acl ipv6 all命令来查看所有已存在的规则。
相关配置可参考命令acl ipv6、display ipv6 acl和step。
当IPv6基本ACL被QoS策略引用对报文进行流分类时,不支持配置fragment参数,在规则中配置的logging、counting参数将不会生效。
【举例】
# 为IPv6基本ACL 2000创建一条规则,拒绝源地址为FE80:5060::101/128的报文。
<Sysname> system-view
[Sysname] acl ipv6 number 2000
[Sysname-acl6-basic-2000] rule deny source fe80:5060::101/128
【命令】
rule rule-id comment text
undo rule rule-id comment
【视图】
IPv4基本ACL视图/IPv4高级ACL视图/IPv6基本ACL视图/IPv6高级ACL视图/二层ACL视图
【缺省级别】
2:系统级
【参数】
rule-id:指定规则的编号,该规则必须存在。取值范围为0~65534。
text:表示规则的描述信息,为1~127个字符的字符串,区分大小写。
【描述】
rule comment命令用来定义配置规则的描述信息。undo rule comment命令用来删除规则的描述信息。
缺省情况下,规则没有任何描述信息。
需要注意的是,使用rule comment命令时,如果指定的规则没有描述信息,则为其添加描述信息,否则修改其描述信息。
相关配置可参考命令display acl和display acl ipv6。
【举例】
# 为IPv4基本ACL 2000配置规则0,并为该规则配置描述信息。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule 0 deny source 1.1.1.1 0
[Sysname-acl-basic-2000] rule 0 comment This rule is used on GigabitEthernet 1/0/1.
# 为IPv6基本ACL 2000配置规则0,并为该规则配置描述信息。
<Sysname> system-view
[Sysname] acl ipv6 number 2000
[Sysname-acl6-basic-2000] rule 0 permit source 1001::1 128
[Sysname-acl6-basic-2000] rule 0 comment This rule is used on GigabitEthernet 1/0/1.
【命令】
step step-value
undo step
【视图】
IPv4基本ACL视图/IPv4高级ACL视图/IPv6基本ACL视图/IPv6高级ACL视图/二层ACL视图
【缺省级别】
2:系统级
【参数】
step-value:表示规则编号的步长值,取值范围为1~20。
【描述】
step命令用来配置规则编号的步长。undo step命令用来恢复缺省情况。
缺省情况下,规则编号的步长为5。
相关配置可参考命令display acl和display acl ipv6。
【举例】
# 将基本ACL 2000的规则编号的步长配置为2。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] step 2
# 将IPv6基本ACL 2000的规则编号的步长配置为2。
<Sysname> system-view
[Sysname] acl ipv6 number 2000
[Sysname-acl6-basic-2000] step 2
【命令】
time-range time-range-name { start-time to end-time days [ from time1 date1 ] [ to time2 date2 ] | from time1 date1 [ to time2 date2 ] | to time2 date2 }
undo time-range time-range-name [ start-time to end-time days [ from time1 date1 ] [ to time2 date2 ] | from time1 date1 [ to time2 date2 ] | to time2 date2 ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
time-range-name:指定时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,时间段的名称不允许使用英文单词all。
start-time to end-time:表示周期时间段的时间范围。start-time和end-time分别表示起始时间和结束时间,格式均为hh:mm,hh的取值范围为0~23,mm的取值范围为0~59,且结束时间必须大于起始时间。
days:指定周期时间段在每周的周几生效。本参数可输入多次,但后输入的值不能与此前输入的值完全重叠(譬如输入6后不允许再输入sat,但允许再输入off-day),系统将取各次输入值的并集作为最终值(譬如依次输入1、wed和working-day之后,最终生效的时间将为每周的工作日)。本参数可输入的形式如下:
l 数字:取值范围为0~6,依次表示周日~周六;
l 周几的英文缩写(从周日到周六依次为sun、mon、tue、wed、thu、fri和sat);
l 工作日(working-day):表示从周一到周五;
l 休息日(off-day):表示周六和周日;
l 每日(daily):表示一周七天。
from time1 date1:指定绝对时间段的起始时间。time1的格式为hh:mm,hh的取值范围为0~23,mm的取值范围为0~59。date1的格式为MM/DD/YYYY或YYYY/MM/DD。MM表示月,取值范围为1~12;DD表示日,取值范围取决于所输入的月份;YYYY表示年,取值范围为1970~2100。若未指定本参数,绝对时间段的起始时间将为系统可表示的最早时间,即1970年1月1日0点0分。
to time2 date2:指定绝对时间段的结束时间。time2的格式为hh:mm,hh的取值范围为0~24,mm的取值范围为0~59。date2的格式为MM/DD/YYYY或YYYY/MM/DD。MM表示月,取值范围为1~12;DD表示日,取值范围取决于所输入的月份;YYYY表示年,取值范围为1970~2100。结束时间必须大于起始时间。若未指定本参数,绝对时间段的结束时间将为系统可表示的最晚时间,即2100年12月31日24点0分。
【描述】
time-range命令用来创建一个时间段,来描述一个特定的时间范围。undo time-range命令用来删除一个时间段。
缺省情况下,不存在任何时间段。
需要注意的是:
l 使用start-time to end-time days这组参数所创建的时间段为周期时间段,它将以一周为周期循环生效;使用from time1 date1和to time2 date2这组参数所创建的时间段为绝对时间段,它将在指定时间范围内生效;而同时使用了上述两组参数所创建的时间段,将取周期时间段和绝对时间段的交集作为生效的时间范围,譬如:创建一个时间段,既定义其在每周一的8点到12点生效,又定义其在2010年全年生效,那么其最终将在2010年全年内每周一的8点到12点生效。
l 使用同一名称可以配置多条不同的时间段,以达到这样的效果:各周期时间段之间以及各绝对时间段之间分别取并集之后,再取二者的交集作为最终生效的时间范围。
l 最多可以创建256个不同名称的时间段,同一名称下最多可以配置32条周期时间段和12条绝对时间段。
相关配置可参考命令display time-range。
【举例】
# 创建名为t1的时间段,其时间范围为每周工作日的8点到18点。
<Sysname> system-view
[Sysname] time-range t1 8:0 to 18:0 working-day
# 创建名为t2的时间段,其时间范围为2010年全年。
<Sysname> system-view
[Sysname] time-range t2 from 0:0 1/1/2010 to 23:59 12/31/2010
# 创建名为t3的时间段,其时间范围为2010年全年内每周休息日的8点到12点。
<Sysname> system-view
[Sysname] time-range t3 8:0 to 12:0 off-day from 0:0 1/1/2010 to 23:59 12/31/2010
# 创建名为t4的时间段,其时间范围为2010年1月和6月内每周一的10点到12点以及每周三的14到16点。
<Sysname> system-view
[Sysname] time-range t4 10:0 to 12:0 1 from 0:0 1/1/2010 to 23:59 1/31/2010
[Sysname] time-range t4 14:0 to 16:0 3 from 0:0 6/1/2010 to 23:59 6/30/2010
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!