• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S5120-LI系列以太网交换机 命令参考-Release 1107-6W101

27-ACL命令

本章节下载  (196.74 KB)

27-ACL命令


1 ACL配置命令

1.1  ACL配置命令

1.1.1  acl

【命令】

acl number acl-number [ name acl-name ] [ match-order { auto | config } ]

undo acl { all | name acl-name | number acl-number }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

number acl-number:指定ACL的序号。acl-number表示ACL的序号,取值范围如下:

l              2000~2999:基本ACL;

l              3000~3999:高级ACL;

l              4000~4999:二层ACL;

name acl-name:指定ACL的名称。acl-name表示ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不可以使用英文单词all。

match-order:指定规则的匹配顺序,缺省情况下,规则的匹配顺序为配置顺序。

l              auto:按照“深度优先”的顺序进行规则匹配;

l              config:按照用户配置规则的先后顺序进行规则匹配。

all:所有的ACL。

【描述】

acl命令用来创建一个ACL,并进入相应的ACL视图。undo acl命令用来删除ACL。

缺省情况下,不存在任何ACL。

用户也可以通过本命令修改一个已经存在的ACL的匹配顺序,但必须在该ACL中没有规则的时候修改,对已经有规则的ACL是无法修改其匹配顺序的。

需要注意的是:

l              使用acl命令时,如果指定编号的ACL不存在,则创建该ACL并进入其视图,否则直接进入其视图。

l              用户只能在创建ACL时为其指定名称,ACL一旦创建,便不允许对其名称进行修改或删除。当ACL内不存在任何规则时,用户可以使用本命令对该ACL的规则匹配顺序进行修改,否则不允许进行修改。

相关配置可参考命令display acl

【举例】

# 创建一个编号为2000的基本ACL,并进入其视图。

<Sysname> system-view

[Sysname] acl number 2000

[Sysname-acl-basic-2000]

# 创建一个编号为2001的基本ACL,指定其名称为flow,并进入其视图。

<Sysname> system-view

[Sysname] acl number 2001 name flow

[Sysname-acl-basic-2001-flow]

1.1.2  acl copy

【命令】

acl copy { source-acl-number | name source-acl-name } to { dest-acl-number | name dest-acl-name }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

source-acl-number:源ACL的序号,该ACL必须存在。取值范围如下:

l              2000~2999:基本ACL;

l              3000~3999:高级ACL;

l              4000~4999:二层ACL;

name source-acl-name:指定源ACL的名称,该ACL必须存在。source-acl-name为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不可以使用英文单词all。

dest-acl-number:目的ACL的序号,该ACL必须不存在。取值范围如下:

l              2000~2999:基本ACL;

l              3000~3999:高级ACL;

l              4000~4999:二层ACL;

name dest-acl-name:指定目的ACL的名称,该ACL必须不存在。dest-acl-name为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不可以使用英文单词all。由于目的ACL的名称没有对应的ACL序号,系统将自动为之分配一个与源ACL序号属于同一类型的、可用的、最小的ACL序号。若未指定本参数,系统将不会为目的ACL指定名称。

【描述】

acl copy命令用来复制生成一个新的同类型ACL。

需要注意的是:

l              目的ACL的类型要与源ACL的类型相同。

l              目的ACL的名称只能在复制时指定,且目的ACL一旦生成,便不允许对其名称进行修改或删除。

l              除了ACL的编号和名称不同外,新生成的ACL(即目的ACL)的匹配顺序、规则匹配统计功能的使能情况、规则编号的步长、所包含的规则、规则的描述信息以及ACL的描述信息等都与源ACL的相同。

【举例】

# 通过复制已存在的基本ACL 2001,来生成一个新的编号为2002的同类型ACL。

<Sysname> system-view

[Sysname] acl copy 2001 to 2002

1.1.3  acl name

【命令】

acl name acl-name

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

acl-name:指定ACL的名称,该ACL必须存在。本参数为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不可以使用英文单词all。

【描述】

acl name命令用来进入指定名称的ACL视图。

相关配置可参考命令acl

【举例】

# 进入名称为flow的ACL的视图。

<Sysname> system-view

[Sysname] acl name flow

[Sysname-acl-basic-2001-flow]

1.1.4  description

【命令】

description text

undo description

【视图】

基本ACL视图/高级ACL视图/二层ACL视图

【缺省级别】

2:系统级

【参数】

text:ACL的描述信息,为1~127个字符的字符串,区分大小写。

【描述】

description命令用来配置ACL的描述信息。undo description命令用来删除ACL的描述信息。

缺省情况下,ACL没有任何描述信息。

相关配置可参考命令display acl

【举例】

# 定义ACL 2000的描述信息。

<Sysname> system-view

[Sysname] acl number 2000

[Sysname-acl-basic-2000] description This acl is used on GE1/0/1

1.1.5  display acl

【命令】

display acl { acl-number | all | name acl-name }

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

acl-number:显示指定编号的ACL的配置和运行情况。acl-number表示ACL的编号,取值范围及其代表的ACL类型如下::

l              2000~2999:基本ACL;

l              3000~3999:高级ACL;

l              4000~4999:二层ACL;

all:指定所有的ACL。

name acl-name:指定ACL的名称。acl-name表示ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不可以使用英文单词all。

【描述】

display acl命令用来显示配置的ACL的信息。

本命令会按照实际的匹配顺序显示ACL的规则。

【举例】

# 显示ACL 2001的内容。

<Sysname> display acl 2001

Basic ACL  2001, named flow, 1 rule,

ACL's step is 5

 rule 5 permit source 1.1.1.1 0 (5 times matched)

 rule 5 comment This rule is used on GE1/0/1

表1-1 display acl命令显示信息描述表

字段

描述

Basic ACL  2001

该ACL的类型和编号,ACL的类型包括:

l      Basic ACL:表示基本ACL

l      Advanced ACL:表示高级ACL

l      Ethernet frame ACL:表示二层ACL

named flow

该ACL的名称为flow,-none-表示没有名称

1 rule

该ACL内包含的规则数量

ACL's step is 5

该ACL的规则序号的步长值为5

5 times matched

该规则匹配的次数为5,仅统计基于软件应用的ACL的匹配次数

当匹配次数为0时,将不显示该字段

rule 5 comment This rule is used on GE1/0/1

ACL规则5的描述信息为This rule is used on GE1/0/1

 

1.1.6  display packet-filter

【命令】

display packet-filter { all | interface interface-type interface-number } [ inbound ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

all:显示所有以太网端口/VLAN接口上报文过滤策略的应用情况。

interface interface-type interface-number:显示指定以太网端口或VLAN接口上报文过滤策略的应用情况。interface-type interface-number表示端口/接口类型和端口/接口编号。

inbound:显示以太网端口/VLAN接口入方向上报文过滤策略的应用情况。

【描述】

display packet-filter命令用来显示报文过滤策略的应用情况。

【举例】

# 显示端口GigabitEthernet1/0/1入方向上报文过滤策略的应用情况。

<Sysname> display packet-filter interface gigabitethernet 1/0/1 inbound

  Interface: GigabitEthernet1/0/1

  In-bound Policy:

    acl 2001, Successful

表1-2 display packet-filter命令显示信息描述表

字段

描述

Interface

应用报文过滤策略的以太网端口/VLAN接口名称

In-bound Policy

入方向上报文过滤策略的应用情况

acl 2001, Successful

应用ACL 2001成功

 

1.1.7  display acl resource

【命令】

display acl resource

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

【描述】

display acl resource命令用来显示设备ACL资源使用情况。

【举例】

# 显示设备的ACL资源使用情况。

<Sysname> display acl resource

----------------------------------------------------

 GE1/0/1..GE1/0/24

 GE1/0/49 GE1/0/50

----------------------------------------------------

  Type       Total   Reserved  Configured  Remaining

----------------------------------------------------

  ACL        1024    370       0           654

  Meter      64      0         0           64

----------------------------------------------------

 GE1/0/25..GE1/0/48

 GE1/0/51 GE1/0/52

----------------------------------------------------

  Type       Total   Reserved  Configured  Remaining

----------------------------------------------------

  ACL        1024    370       0           654

  Meter      64      0         0           64         

表1-3 display acl resource命令显示信息描述表

字段

描述

Type

资源类型:ACL表示规则资源;METER表示流量监管资源

Total

支持的ACL规则总数

Reserved

预留的ACL规则数

Configured

已经配置的ACL规则数

Remaining

剩余的ACL规则数

 

1.1.8  display time-range

【命令】

display time-range { time-range-name | all }

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

time-range-name:显示指定名称的时间段的配置和状态信息。time-range-name表示时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,时间段的名字不可以使用英文单词all。

all:显示所有时间段的配置和状态信息。

【描述】

display time-range命令用来显示时间段的配置和状态,对于当前处在激活状态的时间段将显示active,对于非激活状态的时间段将显示inactive。

【举例】

# 显示时间段trname的配置和状态。

<Sysname> display time-range trname

Current time is 10:45:15 4/14/2005 Thursday

Time-range : trname ( Inactive )

from 08:00 12/1/2005 to 23:59 12/31/2100

表1-4 display time-range命令显示信息描述表

字段

描述

Current time

系统当前的时间

Time-range

时间段的配置信息,包括:

l      时间段的名称

l      时间段的状态,包括Active(生效)和Inactive(未生效)两种状态

l      时间段的时间范围

 

1.1.9  packet-filter

【命令】

packet-filter { acl-number | name acl-name } inbound

undo packet-filter { acl-number | name acl-name } inbound

【视图】

以太网端口视图/VLAN接口视图

【缺省级别】

2:系统级

【参数】

acl-number:指定ACL的序号,其中:

l              取值为2000~3999时,表示使用基本ACL或高级ACL对IPv4报文进行过滤

l              取值为4000~4999时,表示使用二层ACL对以太网帧进行过滤

name acl-name:指定基本ACL、高级ACL或二层ACL的名称。acl-name表示ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,基本或高级ACL的名称不可以使用英文单词all。

inbound:对接口收到的IPv4报文或以太网帧进行过滤。

【描述】

packet-filter命令用来在接口上应用ACL对IPv4报文或以太网帧进行过滤。undo packet-filter命令用来恢复缺省情况。

缺省情况下,在接口上不对IPv4报文和以太网帧进行过滤。

需要注意的是,如果多次执行本命令,则新的配置将覆盖原有配置。

【举例】

# 应用基本ACL 2001对接口GigabitEthernet1/0/1收到的IPv4报文进行过滤。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEtherhet1/0/1] packet-filter 2001 inbound

# 应用二层ACL 4001对接口GigabitEthernet1/0/1收到的以太网帧进行过滤。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEtherhet1/0/1] packet-filter 4001 inbound

1.1.10  reset acl counter

【命令】

reset acl counter { acl-number | all | name acl-name }

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

acl-number:指定ACL的编号,取值范围及其代表的ACL类型如下::

l              2000~2999:基本ACL;

l              3000~3999:高级ACL;

l              4000~4999:二层ACL。

all:指定所有的ACL。

name acl-name:指定ACL的名称。acl-name表示ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不可以使用英文单词all。

【描述】

reset acl counter命令用来清除ACL的统计信息。

相关配置可参考命令display acl

【举例】

# 清除ACL 2001的统计信息。

<Sysname> reset acl counter 2001

# 清除ACL flow的统计信息。

<Sysname> reset acl counter name flow

1.1.11  rule (advanced ACL view)

【命令】

rule [ rule-id ] { deny | permit } protocol [ { established | { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * } | destination { dest-addr dest-wildcard | any } | destination-port operator port1 [ port2 ] | dscp dscp | fragment | icmp-type { icmp-type icmp-code | icmp-message } | logging | precedence precedence | reflective | source { sour-addr sour-wildcard | any } | source-port operator port1 [ port2 ] | time-range time-range-name | tos tos ] *

undo rule rule-id [ { established | { ack | fin | psh | rst | syn | urg } * } | destination | destination-port | dscp | fragment | icmp-type | logging | precedence | reflective | source | source-port | time-range | tos ] *

【视图】

高级ACL视图

【缺省级别】

2:系统级

【参数】

rule-id:高级ACL规则编号,取值范围为0~65534。若未指定本参数,系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。

deny:表示丢弃符合条件的报文。

permit:表示允许符合条件的报文通过。

protocol:IP承载的协议类型。用数字表示时,取值范围为0~255;用名字表示时,可以选取gre(47)、icmp(1)、igmp(2)、ipipinip(4)、ospf(89)、tcp(6)、udp(17)。

protocol后可以配置的规则信息参数如下表所示。

表1-5 规则信息

参数

类别

作用

说明

source { sour-addr sour-wildcard | any }

源地址信息

指定ACL规则的源地址信息

sour-addr sour-wildcard用来确定报文的源IP地址,点分十进制表示,sour-wildcard表示源IP地址的通配符掩码(为0表示主机地址);any代表任意源IP地址

destination { dest-addr dest-wildcard | any }

目的地址信息

指定ACL规则的目的地址信息

dest-addr dest-wildcard用来确定报文的目的IP地址,点分十进制表示,dest-wildcard表示目的IP地址的通配符掩码(为0表示主机地址);any代表任意目的IP地址

precedence precedence

报文优先级

IP优先级

precedence用数字表示时,取值范围为0~7;用文字表示时,分别对应routinepriorityimmediateflashflash-overridecriticalinternetnetwork

tos tos

报文优先级

ToS优先级

tos用数字表示时,取值范围为0~15;用文字表示时,可以选取max-reliability(2)、max-throughput(4)、min-delay(8)、min-monetary-cost(1)、normal(0)

dscp dscp

报文优先级

DSCP优先级

dscp用数字表示时,取值范围为0~63;用文字表示时,可以选取af11(10)、af12(12)、af13(14)、af21(18)、af22(20)、af23(22)、af31(26)、af32(28)、af33(30)、af41(34)、af42(36)、af43(38)、cs1(8)、cs2(16)、cs3(24)、cs4(32)、cs5(40)、cs6(48)、cs7(56)、default(0)、ef(46)

logging

日志操作

对符合条件的报文可记录日志信息

该功能需要使用该ACL的模块支持日志记录功能

reflective

自反标志

设置规则具有自反属性

目前不支持该参数

fragment

分片信息

定义规则仅对非首片分片报文有效,而对非分片报文和首片分片报文无效

不包含此关键字的配置规则项对非分片报文和分片报文均有效

time-range time-range-name

时间段信息

指定规则生效的时间段

time-range-name:指定规则生效的时间段名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头,为避免混淆,时间段的名字不可以使用英文单词all

 

如果指定了参数dscp的同时还指定了参数precedencetos,那么对参数precedencetos所进行的配置不会生效。

 

protocol选择为tcp或者udp时,用户还可以定义如下信息。

表1-6 TCP/UDP特有的规则信息

参数

类别

作用

说明

source-port operator port1 [ port2 ]

源端口

定义TCP/UDP报文的源端口信息

operator为操作符,取值可以为lt(小于)、gt(大于)、eq(等于)、neq(不等于)或者range(在范围内,包括边界值)。只有操作符range需要两个端口号做操作数,其它的只需要一个端口号做操作数

port1port2:TCP或UDP的端口号,用数字表示时,取值范围为0~65535;用文字表示时,TCP端口号可以选取chargen(19)、bgp(179)、cmd(514)、daytime(13)、discard(9)、domain(53)、echo (7)、exec (512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)、www(80);UDP端口号可以选取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)、xdmcp(177)

destination-port operator port1 [ port2 ]

目的端口

定义TCP/UDP报文的目的端口信息

{ ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } *

TCP报文标识

定义对携带不同标志位的TCP报文的处理规则

TCP协议特有的参数。定义规则匹配携带不同标志位的TCP报文,各value值的取值范围都为0~1。

如果在一条规则中设置了多个TCP标志位的匹配值,则这些匹配条件之间的关系为“与”

established

TCP报文标识

定义TCP报文的ACK和RST标志位匹配规则

该参数用于定义TCP报文中ACK或RST标志位为1的报文

 

protocol选择为icmp时,用户还可以定义如下信息。

表1-7 ICMP特有的规则信息

参数

类别

作用

说明

icmp-type { icmp-type icmp-code | icmp-message }

ICMP报文的消息类型和消息码信息

指定规则的ICMP报文的消息类型和消息码信息

icmp-type:ICMP消息类型,取值范围为0~255

icmp-code:ICMP的消息码,取值范围为0~255

icmp-message:ICMP消息的名称。可以输入的ICMP消息名称,及其与消息类型和消息码的对应关系如表1-8所示

 

表1-8 ICMP消息名称与消息类型和消息码的对应关系

ICMP消息名称

ICMP消息类型

ICMP消息码

echo

8

0

echo-reply

0

0

fragmentneed-DFset

3

4

host-redirect

5

1

host-tos-redirect

5

3

host-unreachable

3

1

information-reply

16

0

information-request

15

0

net-redirect

5

0

net-tos-redirect

5

2

net-unreachable

3

0

parameter-problem

12

0

port-unreachable

3

3

protocol-unreachable

3

2

reassembly-timeout

11

1

source-quench

4

0

source-route-failed

3

5

timestamp-reply

14

0

timestamp-request

13

0

ttl-exceeded

11

0

 

【描述】

rule命令用来为IPv4高级ACL创建一条规则。undo rule命令用来为IPv4高级ACL删除一条规则或删除规则中的部分内容。

缺省情况下,IPv4高级ACL内不存在任何规则。

在删除一条规则时,需要指定该规则的编号。如果用户不知道规则的编号,可以使用display acl命令来查看。如果undo rule命令后不指定参数,将删除整个指定编号的ACL规则,否则,将只删除指定编号的ACL规则相应的属性信息。

需要注意的是:

l              当ACL的匹配顺序为config时,用户可以修改该ACL中的任何一条已经存在的规则,在修改ACL中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当ACL的匹配顺序为auto时,用户不能修改该ACL中的任何一条已经存在的规则,否则系统会提示错误信息。

l              在定义一条ACL规则的时候,用户可以不指定规则编号,这时,系统会从0开始,按照一定的编号步长,自动为规则分配一个大于现有最大编号的最小编号。假设现有规则的最大编号是28,编号步长是5,那么系统分配给新定义的规则的编号将是30。

l              新创建或修改后的规则不能和已经存在的规则内容相同,否则会导致创建或修改不成功,系统会提示该规则已经存在。

l              当ACL的匹配顺序为auto时,新创建的规则将按照“深度优先”的原则插入到已有的规则中,但是所有规则对应的编号不会改变。

当高级ACL被QoS策略引用对报文进行流分类时,不支持配置logging参数。有关QoS策略的相关介绍,请参见“QoS配置”。

 

【举例】

# 定义一条规则,允许从129.9.0.0网段的主机向202.38.160.0网段的主机发送的目的端口号为80的TCP报文通过。

<Sysname> system-view

[Sysname] acl number 3101

[Sysname-acl-adv-3101] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80

1.1.12  rule (basic ACL view)

【命令】

rule [ rule-id ] { deny | permit } [ fragment | logging | source { sour-addr sour-wildcard | any } | time-range time-range-name ] *

undo rule rule-id [ fragment | logging | source | time-range ] *

【视图】

基本ACL视图

【缺省级别】

2:系统级

【参数】

rule-id:基本ACL规则编号,取值范围为0~65534。若未指定本参数,系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。

deny:表示丢弃符合条件的报文。

permit:表示允许符合条件的报文通过。

fragment:定义规则仅对非首片分片报文有效,而对非分片报文和首片分片报文无效。不包含此关键字的配置规则项对非分片报文和分片报文均有效。

logging:对符合条件的报文可记录日志信息。

source { sour-addr sour-wildcard | any }:指定规则的源地址信息。sour-addr表示报文的源IP地址,sour-wildcard表示源IP地址的通配符掩码(为0表示主机地址),any表示任意源IP地址。

time-range time-range-name:指定规则生效的时间段。time-range-name表示时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头,为避免混淆,时间段的名字不可以使用英文单词all。

【描述】

rule命令用来为IPv4基本ACL创建一条规则。undo rule命令用来为IPv4基本ACL删除一条规则或删除规则中的部分内容。

缺省情况下,IPv4基本ACL内不存在任何规则。

在删除一条规则时,需要指定该规则的编号。如果用户不知道规则的编号,可以使用display acl命令来查看。如果undo rule命令后不指定参数,将删除整个指定编号的ACL规则,否则,将只删除指定编号的ACL规则相应的属性信息。

需要注意的是:

l              当ACL的匹配顺序为config时,用户可以修改该ACL中的任何一条已经存在的规则,在修改ACL中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当ACL的匹配顺序为auto时,用户不能修改该ACL中的任何一条已经存在的规则,否则系统会提示错误信息。

l              在定义一条ACL规则的时候,用户可以不指定规则编号,这时,系统会从0开始,按照一定的编号步长,自动为规则分配一个大于现有最大编号的最小编号。假设现有规则的最大编号是28,编号步长是5,那么系统分配给新定义的规则的编号将是30。

l              新创建或修改后的规则不能和已经存在的规则内容相同,否则会导致创建或修改不成功,系统会提示该规则已经存在。

l              当ACL的匹配顺序为auto时,新创建的规则将按照“深度优先”的原则插入到已有的规则中,但是所有规则对应的编号不会改变。

当基本ACL被QoS策略引用对报文进行流分类时,不支持配置logging参数。有关QoS策略的相关介绍,请参见 “QoS配置”。

 

【举例】

# 定义一个规则,禁止源地址为1.1.1.1的报文通过。

<Sysname> system-view

[Sysname] acl number 2000

[Sysname-acl-basic-2000] rule deny source 1.1.1.1 0

1.1.13  rule (Ethernet frame header ACL view)

【命令】

rule [ rule-id ] { deny | permit } [ cos vlan-pri | dest-mac dest-addr dest-mask | { lsap lsap-type lsap-type-mask | type protocol-type protocol-type-mask } | source-mac sour-addr source-mask | time-range time-range-name ] *

undo rule rule-id [ time-range ]

【视图】

二层ACL视图

【缺省级别】

2:系统级

【参数】

rule-id:二层ACL规则编号,取值范围为0~65534。若未指定本参数,系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。

deny:表示丢弃符合条件的报文。

permit:表示允许符合条件的报文通过。

cos vlan-pri:指定802.1p优先级。vlan-pri表示802.1p优先级,可输入的形式如下:

l              数字:取值范围为0~7;

l              名称:best-effortbackgroundspareexcellent-effortcontrolled-loadvideovoicenetwork-management,依次对应于数字0~7。

dest-mac dest-addr dest-mask:定义规则的目的MAC地址范围。dest-addr表示目的MAC地址,格式为H-H-H。dest-mask表示目的MAC地址的掩码,格式为H-H-H。

lsap lsap-type lsap-type-mask:定义规则中LLC封装中的DSAP字段和SSAP字段。lsap-type 表示数据帧的封装格式,16比特的十六进制数。lsap-type-mask表示LSAP的类型掩码,16比特的十六进制数,用于指定屏蔽位。

source-mac sour-addr source-mask:定义规则的源MAC地址范围。sour-addr表示源MAC地址,格式为H-H-H。sour-mask表示源MAC地址的掩码,格式为H-H-H。

time-range time-range-name:指定规则生效的时间段。time-range-name表示时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头,为避免混淆,时间段的名字不可以使用英文单词all。

type protocol-type protocol-type-mask:定义规则中的链路层协议类型。protocol-type表示16比特的十六进制数表征的数据帧类型,对应Ethernet_II类型和Ethernet_SNAP类型帧中的type域。protocol-type-mask表示类型掩码,是一个16比特的十六进制数,用于指定屏蔽位。

【描述】

rule命令用来为二层ACL创建一条规则。undo rule命令用来为二层ACL删除一条规则或删除规则中的部分内容。

缺省情况下,二层ACL内不存在任何规则。

在删除一条规则时,需要指定该规则的编号。如果用户不知道规则的编号,可以使用display acl命令来查看。

需要注意的是:

l              当ACL的匹配顺序为config时,用户可以修改该ACL中的任何一条已经存在的规则,在修改ACL中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当ACL的匹配顺序为auto时,用户不能修改该ACL中的任何一条已经存在的规则,否则系统会提示错误信息。

l              在定义一条ACL规则的时候,用户可以不指定规则编号,这时,系统会从0开始,按照一定的编号步长,自动为规则分配一个大于现有最大编号的最小编号。假设现有规则的最大编号是28,编号步长是5,那么系统分配给新定义的规则的编号将是30。

l              新创建或修改后的规则不能和已经存在的规则内容相同,否则会导致创建或修改不成功,系统会提示该规则已经存在。

l              当ACL的匹配顺序为auto时,新创建的规则将按照“深度优先”的原则插入到已有的规则中,但是所有规则对应的编号不会改变。

当二层ACL被QoS策略引用对报文进行流分类时,不支持配置lsap参数。

 

【举例】

# 定义一个规则,禁止802.1p优先级为3的报文通过。

<Sysname> system-view

[Sysname] acl number 4000

[Sysname-acl-ethernetframe-4000] rule deny cos 3

1.1.14  rule comment

【命令】

rule rule-id comment text

undo rule rule-id comment

【视图】

基本ACL视图/高级ACL视图/二层ACL视图

【缺省级别】

2:系统级

【参数】

rule-id:指定规则的编号,该规则必须存在。取值范围为0~65534。

text:表示规则的描述信息,为1~127个字符的字符串,区分大小写。

【描述】

rule comment命令用来定义配置规则的描述信息。undo rule comment命令用来删除规则的描述信息。

缺省情况下,规则没有任何描述信息。

需要注意的是,使用rule comment命令时,如果指定的规则没有描述信息,则为其添加描述信息,否则修改其描述信息。

相关配置可参考命令display acl

【举例】

#为基本ACL 2000配置规则0,并为该规则配置描述信息。

<Sysname> system-view

[Sysname] acl number 2000

[Sysname-acl-basic-2000] rule 0 deny source 1.1.1.1 0

[Sysname-acl-basic-2000] rule 0 comment This rule is used on GE1/0/1

1.1.15  step

【命令】

step step-value

undo step

【视图】

基本ACL视图/高级ACL视图/二层ACL视图

【缺省级别】

2:系统级

【参数】

step-value:表示规则编号的步长值,取值范围为1~20。

【描述】

step命令用来配置规则编号的步长。undo step命令用来恢复缺省情况。

缺省情况下,规则编号的步长为5。

相关配置可参考命令display acldisplay acl ipv6

【举例】

# 把ACL 2000的步长改为2。

<Sysname> system-view

[Sysname] acl number 2000

[Sysname-acl-basic-2000] step 2

# 把ACL 3000的步长改为2。

<Sysname> system-view

[Sysname] acl number 3000

[Sysname-acl-adv-3000] step 2

# 把ACL 4000的步长改为2。

<Sysname> system-view

[Sysname] acl number 4000

[Sysname-acl-ethernetframe-4000] step 2

1.1.16  time-range

【命令】

time-range time-range-name { start-time to end-time days [ from time1 date1 ] [ to time2 date2 ] | from time1 date1 [ to time2 date2 ] | to time2 date2 }

undo time-range time-range-name [ start-time to end-time days [ from time1 date1 ] [ to time2 date2 ] | from time1 date1 [ to time2 date2 ] | to time2 date2 ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

time-range-name:时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,时间段的名字不可以使用英文单词all。

start-time:一个周期时间范围的开始时间,格式为hh:mm,小时和分钟之间使用“:”分隔,取值范围为00:00~23:59。

end-time:一个周期时间范围的结束时间,格式为hh:mm,小时和分钟之间使用“:”分隔,取值范围为00:00~24:00。结束时间必须大于开始时间。

days:表示配置的时间范围在每周几有效,可以输入多个参数,但是这些参数所代表的时间不能重叠,可以输入的参数如下:

l              数字(0~6,分别代表一周中的其中一天,0代表星期日);

l              星期一到星期日(MonTueWedThuFriSatSun);

l              工作日(working-day),代表从星期一到星期五;

l              休息日(off-day),代表星期六和星期日;

l              所有日子(daily),代表一周七天。

from time1 date1:表示从某一天某一时间开始。time1的输入格式为hh:mm,取值范围为00:00~23:59。date1的输入格式为MM/DD/YYYY或YYYY/MM/DD。MM代表月,可以输入1~12之间的数字;DD代表日,可以输入的范围取决于用户选择的月份;YYYY代表年,可以输入1970~2100之间的数字。如果不配置起始时间,则开始时间为系统可表示的最早时间,即1970年1月1日0点0分。

to time2 date2:表示到某一天某一时间结束。time2的输入格式为hh:mm,取值范围为00:00~24:00。date2的输入格式与date1相同。结束时间必须大于起始时间。如果不配置结束时间,则结束时间为系统可表示的最晚时间,即2100年12月31日24点0分。

【描述】

time-range命令用来定义一个时间段,描述一个时间范围。undo time-range命令用来删除一个时间段。

对时间段的配置有如下两种情况:

l              配置周期时间段:采用每周的周几的形式;

l              配置绝对时间段:采用从起始时间到结束时间的形式。

需要注意的是:

l              如果用户通过命令time-range time-range-name start-time to end-time days定义了一个周期时间段,则只有系统时钟在该周期时间段内,该时间段才进入激活状态。

l              如果用户通过命令time-range time-range-name { from time1 date1 [ to time2 date2 ] | to time2 date2 }定义了一个绝对时间段,则只有系统时钟在该绝对时间段内,该时间段才进入激活状态。

l              如果用户通过命令time-range time-range-name start-time to end-time days { from time1 date1 [ to time2 date2 ] | to time2 date2 }同时定义了绝对时间段和周期时间段,则只有系统时钟同时满足绝对时间段和周期时间段的定义时,该时间段才进入激活状态。例如,一个时间段定义了绝对时间段:从2004年1月1日0点0分到2004年12月31日23点59分,同时定义了周期时间段:每周三的12:00到14:00。该时间段只有在2004年内每周三的12:00到14:00才进入激活状态。

l              在同一个名字下可以配置多个时间段,来共同描述一个特殊时间,通过名字来引用该时间。在同一个名字下配置的多个周期时间段之间是“或”的关系,多个绝对时间段之间是“或”的关系,而周期时间段和绝对时间段之间是“与”的关系。

l              最多可以定义256个时间段。

【举例】

# 创建名为t1的时间段,其时间范围为每周工作日的8点到18点。

<Sysname> system-view

[Sysname] time-range t1 8:0 to 18:0 working-day

# 创建名为t2的时间段,其时间范围为2010年全年。

<Sysname> system-view

[Sysname] time-range t1 from 0:0 1/1/2010 to 23:59 12/31/2010

# 创建名为t3的时间段,其时间范围为2010年全年内每周休息日的8点到12点。

<Sysname> system-view

[Sysname] time-range t3 8:0 to 12:0 off-day from 0:0 1/1/2010 to 23:59 12/31/2010

# 创建名为t4的时间段,其时间范围为2010年1月和6月内每周一的10点到12点以及每周三的14到16点。

<Sysname> system-view

[Sysname] time-range t4 10:0 to 12:0 1 from 0:0 1/1/2010 to 23:59 1/31/2010

[Sysname] time-range t4 14:0 to 16:0 3 from 0:0 6/1/2010 to 23:59 6/30/2010

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们