国家 / 地区

10-ACL和QoS命令参考

01-ACL命令

本章节下载  (304.51 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Command/Command_Manual/H3C_MSR_CR(V5)-R2516-V1.16/10/201807/1093935_30005_0.htm

01-ACL命令


1 ACL配置

1.1  ACL配置命令

1.1.1  acl

【命令】

acl number acl-number [ name acl-name ] [ match-order { auto | config } ]

undo acl { all | name acl-name | number acl-number }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

number acl-number:指定ACL的编号。acl-number表示ACL的编号,取值范围及其代表的ACL类型如下:

·     100~199:表示WLAN ACL;

·     2000~2999:表示IPv4基本ACL;

·     3000~3999:表示IPv4高级ACL;

·     4000~4999:表示二层ACL;

·     5000~5999:表示用户自定义ACL。

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

命令

参数

描述

MSR800

acl

acl-number

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR 900

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR900-E

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR 930

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR 20-1X

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR 20

MSR 30

MSR 50

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MPU-G2不支持WLAN ACL

MSR 2600

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR3600-51F

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

 

name acl-name:指定ACL的名称。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。WLAN ACL不支持本参数,即不允许为WLAN ACL设置名称

match-order { auto | config }:指定规则的匹配顺序,auto表示按照自动排序(即“深度优先”原则)的顺序进行规则匹配,config表示按照配置顺序进行规则匹配。缺省情况下,规则的匹配顺序为配置顺序。WLAN ACL和用户自定义ACL都不支持本参数,它们的规则匹配顺序都只能为配置顺序。

all:指定全部ACL(包括WLAN ACL、IPv4基本ACL、IPv4高级ACL、二层ACL和用户自定义ACL)。

【描述】

acl命令用来创建一个WLAN ACL、IPv4基本ACL、IPv4高级ACL、二层ACL或用户自定义ACL,并进入相应的ACL视图。undo acl命令用来删除指定或全部ACL(包括WLAN ACL、IPv4基本ACL、IPv4高级ACL、二层ACL和用户自定义ACL)。

缺省情况下,不存在任何ACL。

需要注意的是:

·     使用acl命令时,如果指定编号的ACL不存在,则创建该ACL并进入其视图,否则直接进入其视图。

·     ACL的名称只能在创建时设置。ACL一旦创建,便不允许再修改或删除其原有名称。

·     当ACL内不存在任何规则时,用户可以使用本命令对该ACL的规则匹配顺序进行修改,否则不允许进行修改。

相关配置可参考命令display acl

【举例】

# 创建一个编号为2000的IPv4基本ACL,并进入其视图。

<Sysname> system-view

[Sysname] acl number 2000

[Sysname-acl-basic-2000]

# 创建一个编号为2001的IPv4基本ACL,指定其名称为flow,并进入其视图。

<Sysname> system-view

[Sysname] acl number 2001 name flow

[Sysname-acl-basic-2001-flow]

1.1.2  acl copy

【命令】

acl copy { source-acl-number | name source-acl-name } to { dest-acl-number | name dest-acl-name }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

source-acl-number:指定源ACL的编号,该ACL必须存在。本参数的取值范围及其代表的ACL类型如下:

·     100~199:表示WLAN ACL;

·     2000~2999:表示IPv4基本ACL;

·     3000~3999:表示IPv4高级ACL;

·     4000~4999:表示二层ACL;

·     5000~5999:表示用户自定义ACL。

name source-acl-name:指定源ACL的名称,该ACL必须存在。source-acl-name为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。WLAN ACL不支持本参数,即不允许为WLAN ACL设置名称。

dest-acl-number:指定目的ACL的编号,该ACL必须不存在。若未指定本参数,系统将为目的ACL自动分配一个与源ACL类型相同且可用的最小编号。本参数的取值范围及其代表的ACL类型如下:

·     100~199:表示WLAN ACL;

·     2000~2999:表示IPv4基本ACL;

·     3000~3999:表示IPv4高级ACL;

·     4000~4999:表示二层ACL;

·     5000~5999:表示用户自定义ACL。

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

命令

参数

描述

MSR800

acl copy

acl-number

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR 900

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR900-E

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR 930

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR 20-1X

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR 20

MSR 30

MSR 50

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MPU-G2不支持WLAN ACL

MSR 2600

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR3600-51F

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

 

name dest-acl-name:指定目的ACL的名称,该ACL必须不存在。dest-acl-name为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。WLAN ACL不支持本参数,即不允许为WLAN ACL设置名称。若未指定本参数,系统将不会为目的ACL设置名称。

【描述】

acl copy命令用来复制并生成新的WLAN ACL、IPv4基本ACL、IPv4高级ACL、二层ACL或用户自定义ACL。

需要注意的是:

·     目的ACL的类型要与源ACL的类型相同。

·     目的ACL的名称只能在复制时设置。且目的ACL一旦生成,便不允许再修改或删除其原有名称。

·     除了ACL的编号和名称不同外,新生成的ACL(即目的ACL)的匹配顺序、规则匹配统计功能的使能情况、规则编号的步长、所包含的规则、规则的描述信息以及ACL的描述信息等都与源ACL的相同。

【举例】

# 通过复制已存在的IPv4基本ACL 2001,来生成一个新的编号为2002的同类型ACL。

<Sysname> system-view

[Sysname] acl copy 2001 to 2002

1.1.3  acl ipv6

【命令】

acl ipv6 number acl6-number [ name acl6-name ] [ match-order { auto | config } ]

undo acl ipv6 { all | name acl6-name | number acl6-number }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

number acl6-number:指定ACL的编号。acl6-number表示ACL的编号,取值范围及其代表的ACL类型如下:

·     2000~2999:表示IPv6基本ACL;

·     3000~3999:表示IPv6高级ACL;

·     10000~42767:表示简单ACL。

name acl6-name:指定ACL的名称。acl6-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。简单ACL不支持本参数,即不允许为简单ACL设置名称。

match-order { auto | config }:指定规则的匹配顺序,auto表示按照自动排序(即“深度优先”原则)的顺序进行规则匹配config表示按照配置顺序进行规则匹配。缺省情况下,规则的匹配顺序为配置顺序。简单ACL不支持本参数,因为简单ACL只能包含一条规则,因此不存在匹配顺序的问题。

all:指定全部ACL(包括IPv6基本ACL、IPv6高级ACL和简单ACL)。

【描述】

acl ipv6命令用来创建一个IPv6基本ACL、IPv6高级ACL或简单ACL,并进入相应的ACL视图。undo acl ipv6命令用来删除指定或全部ACL(包括IPv6基本ACL、IPv6高级ACL和简单ACL)。

缺省情况下,不存在任何ACL。

需要注意的是:

·     使用acl ipv6命令时,如果指定编号的ACL不存在,则创建该ACL并进入其视图,否则直接进入其视图。

·     ACL的名称只能在创建时设置。ACL一旦创建,便不允许再修改或删除其原有名称。

·     当ACL内不存在任何规则时,用户可以使用本命令对该ACL的规则匹配顺序进行修改,否则不允许进行修改。

相关配置可参考命令display acl ipv6

【举例】

# 创建一个编号为2000的IPv6基本ACL,并进入其视图。

<Sysname> system-view

[Sysname] acl ipv6 number 2000

[Sysname-acl6-basic-2000]

# 创建一个编号为2001的IPv6基本ACL,指定其名称为flow,并进入其视图。

<Sysname> system-view

[Sysname] acl ipv6 number 2001 name flow

[Sysname-acl6-basic-2001-flow]

1.1.4  acl ipv6 copy

【命令】

acl ipv6 copy { source-acl6-number | name source-acl6-name } to { dest-acl6-number | name dest-acl6-name }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

source-acl6-number:指定源ACL的编号,该ACL必须存在。本参数的取值范围及其代表的ACL类型如下:

·     2000~2999:表示IPv6基本ACL;

·     3000~3999:表示IPv6高级ACL。

name source-acl6-name:指定源ACL的名称,该ACL必须存在。source-acl6-name为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。

dest-acl6-number:指定目的ACL的编号,该ACL必须不存在。若未指定本参数,系统将为目的ACL自动分配一个与源ACL类型相同且可用的最小编号。本参数的取值范围及其代表的ACL类型如下:

·     2000~2999:表示IPv6基本ACL;

·     3000~3999:表示IPv6高级ACL。

name dest-acl6-name:指定目的ACL的名称,该ACL必须不存在。dest-acl6-name为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。若未指定本参数,系统将不会为目的ACL设置名称。

【描述】

acl ipv6 copy命令用来复制并生成新的IPv6基本ACL或IPv6高级ACL。

需要注意的是:

·     目的ACL的类型要与源ACL的类型相同。

·     目的ACL的名称只能在复制时设置。目的ACL一旦生成,便不允许再修改或删除其原有名称。

·     除了ACL的编号和名称不同外,新生成的目的ACL的匹配顺序、规则匹配统计功能的使能情况、规则编号的步长、所包含的规则、规则的描述信息以及ACL的描述信息等都与源ACL的相同。

【举例】

# 通过复制已存在的IPv6基本ACL 2001,来生成一个新的编号为2002的同类型ACL。

<Sysname> system-view

[Sysname] acl ipv6 copy 2001 to 2002

1.1.5  acl ipv6 name

【命令】

acl ipv6 name acl6-name

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

acl6-name:指定IPv6基本ACL或IPv6高级ACL的名称,该ACL必须存在。为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。

【描述】

acl ipv6 name命令用来进入指定名称的IPv6基本ACL或IPv6高级ACL视图。

相关配置可参考命令acl ipv6

【举例】

# 进入名称为flow的IPv6基本ACL的视图。

<Sysname> system-view

[Sysname] acl ipv6 name flow

[Sysname-acl6-basic-2001-flow]

1.1.6  acl name

【命令】

acl name acl-name

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

acl-name:指定IPv4基本ACL、IPv4高级ACL、二层ACL或用户自定义ACL的名称,该ACL必须存在。本参数为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。

【描述】

acl name命令用来进入指定名称的IPv4基本ACL、IPv4高级ACL、二层ACL或用户自定义ACL视图。

相关配置可参考命令acl

【举例】

# 进入名称为flow的IPv4基本ACL的视图。

<Sysname> system-view

[Sysname] acl name flow

[Sysname-acl-basic-2001-flow]

1.1.7  description

【命令】

description text

undo description

【视图】

WLAN ACL视图/IPv4基本ACL视图/IPv4高级ACL视图/IPv6基本ACL视图/IPv6高级ACL视图/二层ACL视图/用户自定义ACL视图/简单ACL视图

【缺省级别】

2:系统级

【参数】

text:表示ACL的描述信息,为1~127个字符的字符串,区分大小写。

【描述】

description命令用来配置ACL的描述信息。undo description命令用来删除ACL的描述信息。

缺省情况下,ACL没有任何描述信息。

相关配置可参考命令display acldisplay acl ipv6

MSR 50路由器的MPU-G2主控板、MSR800、MSR900-E和MSR 930路由器不支持WLAN ACL视图。

 

【举例】

# 为IPv4基本ACL 2000配置描述信息。

<Sysname> system-view

[Sysname] acl number 2000

[Sysname-acl-basic-2000] description This is an IPv4 basic ACL.

# 为IPv6基本ACL 2000配置描述信息。

<Sysname> system-view

[Sysname] acl ipv6 number 2000

[Sysname-acl6-basic-2000] description This is an IPv6 basic ACL.

1.1.8  display acl

【命令】

display acl { acl-number | all | name acl-name } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

acl-number:显示指定编号的ACL的配置和运行情况。acl-number表示ACL的编号,取值范围及其代表的ACL类型如下:

·     100~199:表示WLAN ACL;

·     2000~2999:表示IPv4基本ACL;

·     3000~3999:表示IPv4高级ACL;

·     4000~4999:表示二层ACL;

·     5000~5999:表示用户自定义ACL。

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

命令

参数

描述

MSR800

display acl

acl-number

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR 900

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR900-E

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR 930

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR 20-1X

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR 20

MSR 30

MSR 50

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MPU-G2不支持WLAN ACL

MSR 2600

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR3600-51F

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

 

all:显示全部ACL(包括WLAN ACL、IPv4基本ACL、IPv4高级ACL、二层ACL和用户自定义ACL)的配置和运行情况。

name acl-name:显示指定名称的ACL的配置和运行情况。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display acl命令用来显示指定或全部ACL(包括WLAN ACL、IPv4基本ACL、IPv4高级ACL、二层ACL和用户自定义ACL)的配置和运行情况。

需要注意的是,本命令将按照实际匹配顺序来排列ACL内的规则,即:当ACL的规则匹配顺序为配置顺序时,各规则将按照编号由小到大排列;当ACL的规则匹配顺序为自动排序时,各规则将按照“深度优先”原则由深到浅排列。

【举例】

# 显示全部ACL(包括WLAN ACL、IPv4基本ACL、IPv4高级ACL、二层ACL和用户自定义ACL)的配置和运行情况。

<Sysname> display acl all

Basic ACL  2000, named flow, 3 rules,

This is an IPv4 basic ACL.

Statistics is enabled

ACL's step is 5

 rule 0 permit

 rule 5 permit source 1.1.1.1 0 (2 times matched)

 rule 10 permit vpn-instance mk

 

Basic ACL  2001, named -none-, 3 rules, match-order is auto,

ACL's step is 5

 rule 10 permit vpn-instance rd

 rule 10 comment This rule is used in VPN rd.

 rule 5 permit source 2.2.2.2 0

 rule 0 permit

表1-1 display acl命令显示信息描述表

字段

描述

Basic ACL  2000

该ACL的类型和编号,ACL的类型包括:

·     WLAN ACL:表示WLAN ACL

·     Basic ACL:表示IPv4基本ACL

·     Advanced ACL:表示IPv4高级ACL

·     Ethernet frame ACL:表示二层ACL

·     User defined ACL:表示用户自定义ACL

named flow

该ACL的名称为flow,-none-表示没有名称(WLAN ACL没有本字段)

3 rules

该ACL内包含的规则数量

match-order is auto

该ACL的规则匹配顺序为自动排序(匹配顺序为配置顺序时不显示本字段)

This is an IPv4 basic ACL.

该ACL的描述信息

ACL's step is 5

该ACL的规则编号的步长值为5

rule 0 permit

规则0的具体内容

2 times matched

该规则匹配的次数为2(仅统计软件ACL的匹配次数,当匹配次数为0时不显示本字段)

Uncompleted

该规则下发未完成,因此不会生效。这种情况通常是在ACL被动态修改之后,由于该规则的资源不足或硬件限制而导致其应用失败

rule 10 comment This rule is used in VPN rd.

规则10的描述信息

1.1.9  display acl ipv6

【命令】

display acl ipv6 { acl6-number | all | name acl6-name } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

acl6-number:显示指定编号的ACL的配置和运行情况。acl6-number表示ACL的编号,取值范围及其代表的ACL类型如下:

·     2000~2999:表示IPv6基本ACL;

·     3000~3999:表示IPv6高级ACL;

·     10000~42767:表示简单ACL。

all:显示全部ACL(包括IPv6基本ACL、IPv6高级ACL和简单ACL)的配置和运行情况。

name acl6-name:显示指定名称的ACL的配置和运行情况。acl6-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display acl ipv6命令用来显示指定或全部ACL(包括IPv6基本ACL、IPv6高级ACL和简单ACL)的配置和运行情况。

需要注意的是,本命令将按照实际匹配顺序来排列ACL内的规则,即:当ACL的规则匹配顺序为配置顺序时,各规则将按照编号由小到大排列;当ACL的规则匹配顺序为自动排序时,各规则将按照“深度优先”原则由深到浅排列。

【举例】

# 显示全部ACL(包括IPv6基本ACL、IPv6高级ACL和简单ACL)的配置和运行情况。

<Sysname> display acl ipv6 all

 Basic IPv6 ACL  2000, named flow, 3 rules,

This is an IPv6 basic ACL.

Statistics is enabled

 ACL's step is 5

 rule 0 permit

 rule 5 permit source 1::/64 (2 times matched)

 rule 10 permit vpn-instance mk

 

 Basic IPv6 ACL  2001, named -none-, 3 rules, match-order is auto,

 ACL's step is 5

 rule 10 permit vpn-instance mk

 rule 10 comment This rule is used in VPN rd

 rule 5 permit source 1::/64

 rule 0 permit

表1-2 display acl ipv6命令显示信息描述表

字段

描述

Basic IPv6 ACL  2000

该ACL的类型和编号,ACL的类型包括:

·     Basic IPv6 ACL:表示IPv6基本ACL

·     Advanced IPv6 ACL:表示IPv6高级ACL

·     Simple IPv6 ACL:表示简单ACL

named flow

该ACL的名称为flow,-none-表示没有名称(简单ACL没有本字段)

3 rules

该ACL内包含的规则数量

match-order is auto

该ACL的规则匹配顺序为自动排序(匹配顺序为配置顺序时不显示本字段)

This is an IPv6 basic ACL.

该ACL的描述信息

ACL's step is 5

该ACL的规则编号的步长值为5

rule 0 permit

规则0的具体内容

2 times matched

该规则匹配的次数为5,仅统计软件ACL的匹配次数(匹配次数为0时不显示本字段)

Uncompleted

该规则下发未完成,因此不会生效。这种情况通常是在ACL被动态修改之后,由于该规则的资源不足或硬件限制而导致其应用失败

rule 10 comment This rule is used in VPN rd

规则10的描述信息

 

1.1.10  display time-range

【命令】

display time-range { time-range-name | all } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

time-range-name:显示指定名称的时间段的配置和状态信息。time-range-name表示时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。

all:显示所有时间段的配置和状态信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display time-range命令用来显示时间段的配置和状态信息。

【举例】

# 显示时间段t4的配置和状态信息。

<Sysname> display time-range t4

Current time is 17:12:34 4/13/2010 Tuesday

 

Time-range : t4 ( Inactive )

 10:00 to 12:00 Mon

 14:00 to 16:00 Wed

 from 00:00 1/1/2010 to 00:00 2/1/2010

 from 00:00 6/1/2010 to 00:00 7/1/2010

表1-3 display time-range命令显示信息描述表

字段

描述

Current time

系统当前的时间

Time-range

时间段的配置信息,包括:

·     时间段的名称

·     时间段的状态,包括Active(生效)和Inactive(未生效)两种状态

·     时间段的时间范围

 

1.1.11  reset acl counter

【命令】

reset acl counter { acl-number | all | name acl-name }

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

acl-number:指定ACL的编号,取值范围及其代表的ACL类型如下:

·     100~199:表示WLAN ACL;

·     2000~2999:表示IPv4基本ACL;

·     3000~3999:表示IPv4高级ACL;

·     4000~4999:表示二层ACL;

·     5000~5999:表示用户自定义ACL。

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

命令

参数

描述

MSR800

reset acl counter

acl-number

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR 900

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR900-E

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR 930

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR 20-1X

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR 20

MSR 30

MSR 50

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MPU-G2不支持WLAN ACL

MSR 2600

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

MSR3600-51F

100~199:WLAN ACL

2000~2999:基本IPv4 ACL

3000~3999:高级IPv4 AC

4000~4999:二层ACL

5000~5999:用户自定义的ACL

 

all:指定全部ACL(包括WLAN ACL、IPv4基本ACL、IPv4高级ACL、二层ACL和用户自定义ACL)。

name acl-name:指定ACL的名称。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。

【描述】

reset acl counter命令用来清除指定或全部ACL(包括WLAN ACL、IPv4基本ACL、IPv4高级ACL、二层ACL和用户自定义ACL)的统计信息。

相关配置可参考命令display acl

【举例】

# 清除编号为2001的IPv4基本ACL的统计信息。

<Sysname> reset acl counter 2001

1.1.12  reset acl ipv6 counter

【命令】

reset acl ipv6 counter { acl6-number | all | name acl6-name }

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

acl6-number:指定ACL的编号,取值范围及其代表的ACL类型如下:

·     2000~2999:表示IPv6基本ACL;

·     3000~3999:表示IPv6高级ACL。

all:指定全部ACL(包括IPv6基本ACL和IPv6高级ACL)。

name acl6-name:指定ACL的名称。acl6-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。

【描述】

reset acl ipv6 counter命令用来清除全部ACL(包括IPv6基本ACL和IPv6高级ACL)的统计信息。

相关配置可参考命令display acl ipv6

【举例】

# 清除编号为2001的IPv6基本ACL的统计信息。

<Sysname> reset acl ipv6 counter 2001

1.1.13  rule (Ethernet frame header ACL view)

【命令】

rule [ rule-id ] { deny | permit } [ cos vlan-pri | counting | dest-mac dest-address dest-mask | logging | { lsap lsap-type lsap-type-mask | type protocol-type protocol-type-mask } | source-mac source-address source-mask | time-range time-range-name ] *

undo rule rule-id [ counting | time-range ] *

【视图】

二层ACL视图

【缺省级别】

2:系统级

【参数】

rule-id:指定二层ACL规则的编号,取值范围为0~65534。若未指定本参数,系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。

deny:表示拒绝符合条件的报文。

permit:表示允许符合条件的报文。

cos vlan-pri:指定802.1p优先级。vlan-pri表示802.1p优先级,可输入的形式如下:

·     数字:取值范围为0~7;

·     名称:best-effortbackgroundspareexcellent-effortcontrolled-loadvideovoicenetwork-management,依次对应于数字0~7。

counting:表示使能本规则的匹配统计功能,缺省为关闭。

dest-mac dest-addr dest-mask:指定目的MAC地址范围。dest-addr表示目的MAC地址,格式为H-H-H。dest-mask表示目的MAC地址的掩码,格式为H-H-H。

logging:表示对符合条件的报文可记录日志信息。该功能需要使用该ACL的模块支持日志记录功能。

lsap lsap-type lsap-type-mask:指定LLC封装中的DSAP字段和SSAP字段。lsap-type表示数据帧的封装格式,为16比特的十六进制数。lsap-type-mask表示LSAP的类型掩码,为16比特的十六进制数,用于指定屏蔽位。

type protocol-type protocol-type-mask:指定链路层协议类型。protocol-type表示16比特的十六进制数表征的数据帧类型,对应Ethernet_II类型和Ethernet_SNAP类型帧中的type域。protocol-type-mask表示类型掩码,为16比特的十六进制数,用于指定屏蔽位。

source-mac sour-addr source-mask:指定源MAC地址范围。sour-addr表示源MAC地址,格式为H-H-H。sour-mask表示源MAC地址的掩码,格式为H-H-H。

time-range time-range-name:指定规则生效的时间段。time-range-name表示时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。若该时间段尚未配置,该规则仍会成功创建但系统将给出提示信息,并在该时间段的配置完成后此规则才会生效。

【描述】

rule命令用来为二层ACL创建一条规则。undo rule命令用来为二层ACL删除一条规则或删除规则中的部分内容。

缺省情况下,二层ACL内不存在任何规则。

需要注意的是:

·     使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。

·     新创建或修改的规则不能与已有规则的内容完全相同,否则将提示出错,并导致该操作失败。

·     当ACL的规则匹配顺序为配置顺序时,允许修改该ACL内的任意一条已有规则;当ACL的规则匹配顺序为自动排序时,不允许修改该ACL内的已有规则,否则将提示出错。

·     使用undo rule命令时,如果没有指定任何可选参数,则删除整条规则;如果指定了可选参数,则只删除该参数所对应的内容。

·     使用undo rule命令时必须指定一个已存在规则的编号,可以使用display acl all命令来查看所有已存在的规则。

相关配置可参考命令acldisplay aclsteptime-range

【举例】

# 为二层ACL 4000创建规则如下:允许ARP报文通过,但拒绝RARP报文通过。

<Sysname> system-view

[Sysname] acl number 4000

[Sysname-acl-ethernetframe-4000] rule permit type 0806 ffff

[Sysname-acl-ethernetframe-4000] rule deny type 8035 ffff

1.1.14  rule (IPv4 advanced ACL view)

【命令】

rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { dest-address dest-wildcard | any } | destination-port operator port1 [ port2 ] | dscp dscp | fragment | icmp-type { icmp-type [ icmp-code ] | icmp-message } | logging | precedence precedence | source { source-address source-wildcard | any } | source-port operator port1 [ port2 ] | time-range time-range-name | tos tos | vpn-instance vpn-instance-name ] *

undo rule rule-id [ { { ack | fin | psh | rst | syn | urg } * | established } | counting | destination | destination-port | dscp | fragment | icmp-type | logging | precedence | source | source-port | time-range | tos | vpn-instance ] *

【视图】

IPv4高级ACL视图

【缺省级别】

2:系统级

【参数】

rule-id:指定IPv4高级ACL规则的编号,取值范围为0~65534。若未指定本参数,系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。

deny:表示拒绝符合条件的报文。

permit:表示允许符合条件的报文。

protocol:表示IPv4承载的协议类型,可输入的形式如下:

·     数字:取值范围为0~255;

·     名称(括号内为对应的数字):可选取gre(47)、icmp(1)、igmp(2)、ipipinip(4)、ospf(89)、tcp(6)或udp(17)。

protocol之后可配置如表1-4所示的规则信息参数。

表1-4 规则信息参数

参数

类别

作用

说明

source { sour-addr sour-wildcard | any }

源地址

指定ACL规则的源地址信息

source-address:源IP地址

 source-wildcard:源IP地址的通配符掩码(为0表示主机地址)

any:任意源IP地址

destination { dest-addr dest-wildcard | any }

目的地址

指定ACL规则的目的地址信息

dest-address:目的IP地址

dest-wildcard:目的IP地址的通配符掩码(为0表示主机地址)

any:任意目的IP地址

counting

统计

使能本规则的匹配统计功能,缺省为关闭

-

precedence precedence

报文优先级

IP优先级

precedence:用数字表示时,取值范围为0~7;用名称表示时,为routinepriorityimmediateflashflash-overridecriticalinternetnetwork,分别对应于数字0~7

tos tos

报文优先级

ToS优先级

tos:用数字表示时,取值范围为0~15;用名称表示时,可选取max-reliability(2)、max-throughput(4)、min-delay(8)、min-monetary-cost(1)或normal(0)

dscp dscp

报文优先级

DSCP优先级

dscp:用数字表示时,取值范围为0~63;用名称表示时,可选取af11(10)、af12(12)、af13(14)、af21(18)、af22(20)、af23(22)、af31(26)、af32(28)、af33(30)、af41(34)、af42(36)、af43(38)、cs1(8)、cs2(16)、cs3(24)、cs4(32)、cs5(40)、cs6(48)、cs7(56)、default(0)或ef(46)

logging

日志操作

对符合条件的报文可记录日志信息

该功能需要使用该ACL的模块支持日志记录功能

vpn-instance vpn-instance-name

VPN实例

对指定VPN实例中的报文有效

vpn-instance-name:MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写

若未指定本参数,表示该规则仅对非VPN报文有效

fragment

报文分片

仅分片报文的非首个分片有效,而对非分片报文和分片报文的首个分片报文无效

若未指定本参数,表示该规则对所有报文(包括非分片报文和分片报文的每个分片)均有效

time-range time-range-name

时间段

指定规则生效的时间段

time-range-name:时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。若该时间段尚未配置,该规则仍会成功创建但系统将给出提示信息,并在该时间段的配置完成后此规则才会生效

 

如果指定参数dscp的同时还指定了参数precedencetos,那么对参数precedencetos所作的配置将不会生效。

 

protocoltcp(6)或udp(17)时,用户还可配置如表1-5所示的规则信息参数。

表1-5 TCP/UDP特有的规则信息参数

参数

类别

作用

说明

source-port operator port1 [ port2 ]

源端口

定义TCP/UDP报文的源端口信息

operator:操作符,取值可以为lt(小于)、gt(大于)、eq(等于)、neq(不等于)或者range(在范围内,包括边界值)。只有range操作符需要两个端口号做操作数,其它操作符只需要一个端口号做操作数

port1/port2:TCP或UDP的端口号,用数字表示时,取值范围为0~65535;用名称表示时,TCP端口号可选取chargen(19)、bgp(179)、cmd(514)、daytime(13)、discard(9)、domain(53)、echo (7)、exec (512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)或www(80);UDP端口号可选取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)或xdmcp(177)

destination-port operator port1 [ port2 ]

目的端口

定义TCP/UDP报文的目的端口信息

{ ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } *

TCP报文标识

定义对携带不同标志位(包括ACK、FIN、PSH、RST、SYN和URG六种)的TCP报文的处理规则

TCP协议特有的参数。表示匹配携带不同标志位的TCP报文,各value的取值可为0或1(0表示不携带此标志位,1表示携带此标志位)

一条规则中各标志位之间为“或”的关系。譬如:当配置为ack 0 psh 1时,匹配不携带ACK或携带PSH标志位的TCP报文为准

established

TCP连接建立标识

定义对TCP连接报文的处理规则

TCP协议特有的参数。表示匹配携带ACK或RST标志位的TCP连接报文

 

protocolicmp(1)时,用户还可配置如表1-6所示的规则信息参数。

表1-6 ICMP特有的规则信息参数

参数

类别

作用

说明

icmp-type { icmp-type [ icmp-code ] | icmp-message }

ICMP报文的消息类型和消息码

指定本规则中ICMP报文的消息类型和消息码信息

icmp-type:ICMP消息类型,取值范围为0~255

icmp-code:ICMP消息码,取值范围为0~255

icmp-message:ICMP消息名称。可输入的ICMP消息名称,及其与消息类型和消息码的对应关系如表1-7所示

 

表1-7 ICMP消息名称与消息类型和消息码的对应关系

ICMP消息名称

ICMP消息类型

ICMP消息码

echo

8

0

echo-reply

0

0

fragmentneed-DFset

3

4

host-redirect

5

1

host-tos-redirect

5

3

host-unreachable

3

1

information-reply

16

0

information-request

15

0

net-redirect

5

0

net-tos-redirect

5

2

net-unreachable

3

0

parameter-problem

12

0

port-unreachable

3

3

protocol-unreachable

3

2

reassembly-timeout

11

1

source-quench

4

0

source-route-failed

3

5

timestamp-reply

14

0

timestamp-request

13

0

ttl-exceeded

11

0

 

【描述】

rule命令用来为IPv4高级ACL创建一条规则。undo rule命令用来为IPv4高级ACL删除一条规则或删除规则中的部分内容。

缺省情况下,IPv4高级ACL内不存在任何规则。

需要注意的是:

·     使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。

·     新创建或修改的规则不能与已有规则的内容完全相同,否则将提示出错,并导致该操作失败。

·     当ACL的规则匹配顺序为配置顺序时,允许修改该ACL内的任意一条已有规则;当ACL的规则匹配顺序为自动排序时,不允许修改该ACL内的已有规则,否则将提示出错。

·     使用undo rule命令时,如果没有指定任何可选参数,则删除整条规则;如果指定了可选参数,则只删除该参数所对应的内容。

·     使用undo rule命令时必须指定一个已存在规则的编号,可以使用display acl all命令来查看所有已存在的规则。

相关配置可参考命令acldisplay aclsteptime-range

【举例】

# 为IPv4高级ACL 3000创建规则如下:允许129.9.0.0/16网段内的主机与202.38.160.0/24网段内主机的WWW端口(端口号为80)建立连接,并对符合此条件的行为记录日志。

<Sysname> system-view

[Sysname] acl number 3000

[Sysname-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80 logging

# 为IPv4高级ACL 3001创建规则如下:允许IP报文通过,但拒绝发往192.168.1.0/24网段的ICMP报文通过。

<Sysname> system-view

[Sysname] acl number 3001

[Sysname-acl-adv-3001] rule permit ip

[Sysname-acl-adv-3001] rule deny icmp destination 192.168.1.0 0.0.0.255

# 为IPv4高级ACL 3002创建规则如下:在出、入双方向上都允许建立FTP连接并传输FTP数据。

<Sysname> system-view

[Sysname] acl number 3002

[Sysname-acl-adv-3002] rule permit tcp source-port eq ftp

[Sysname-acl-adv-3002] rule permit tcp source-port eq ftp-data

[Sysname-acl-adv-3002] rule permit tcp destination-port eq ftp

[Sysname-acl-adv-3002] rule permit tcp destination-port eq ftp-data

# 为IPv4高级ACL 3003创建规则如下:在出、入双方向上都允许SNMP报文和SNMP Trap报文通过。

<Sysname> system-view

[Sysname] acl number 3003

[Sysname-acl-adv-3003] rule permit udp source-port eq snmp

[Sysname-acl-adv-3003] rule permit udp source-port eq snmptrap

[Sysname-acl-adv-3003] rule permit udp destination-port eq snmp

[Sysname-acl-adv-3003] rule permit udp destination-port eq snmptrap

1.1.15  rule (IPv4 basic ACL view)

【命令】

rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { source-address source-wildcard | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *

undo rule rule-id [ counting | fragment | logging | source | time-range | vpn-instance ] *

【视图】

IPv4基本ACL视图

【缺省级别】

2:系统级

【参数】

rule-id:指定IPv4基本ACL规则的编号,取值范围为0~65534。若未指定本参数,系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。

deny:表示拒绝符合条件的报文。

permit:表示允许符合条件的报文。

counting:表示使能本规则的匹配统计功能,缺省为关闭。

fragment:表示仅对非首片分片报文有效,而对非分片报文和首片分片报文无效。若未指定本参数,表示该规则对非分片报文和分片报文均有效。

logging:表示对符合条件的报文可记录日志信息。该功能需要使用该ACL的模块支持日志记录功能。

source { sour-addr sour-wildcard | any }:指定规则的源地址信息。sour-addr表示报文的源IP地址,sour-wildcard表示源IP地址的通配符掩码(为0表示主机地址),any表示任意源IP地址。

time-range time-range-name:指定规则生效的时间段。time-range-name表示时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。若该时间段尚未配置,该规则仍会成功创建但系统将给出提示信息,并在该时间段的配置完成后此规则才会生效。

vpn-instance vpn-instance-name:表示对指定VPN实例中的报文有效。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,表示该规则仅对非VPN报文有效。

【描述】

rule命令用来为IPv4基本ACL创建一条规则。undo rule命令用来为IPv4基本ACL删除一条规则或删除规则中的部分内容。

缺省情况下,IPv4基本ACL内不存在任何规则。

需要注意的是:

·     使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。

·     新创建或修改的规则不能与已有规则的内容完全相同,否则将提示出错,并导致该操作失败。

·     当ACL的规则匹配顺序为配置顺序时,允许修改该ACL内的任意一条已有规则;当ACL的规则匹配顺序为自动排序时,不允许修改该ACL内的已有规则,否则将提示出错。

·     使用undo rule命令时,如果没有指定任何可选参数,则删除整条规则;如果指定了可选参数,则只删除该参数所对应的内容。

·     使用undo rule命令时必须指定一个已存在规则的编号,可以使用display acl all命令来查看所有已存在的规则。

相关配置可参考命令acldisplay aclsteptime-range

【举例】

# 为IPv4基本ACL 2000创建规则如下:仅允许来自10.0.0.0/8、172.17.0.0/16和192.168.1.0/24网段的报文通过,而拒绝来自所有其它网段的报文通过。

<Sysname> system-view

[Sysname] acl number 2000

[Sysname-acl-basic-2000] rule permit source 10.0.0.0 0.255.255.255

[Sysname-acl-basic-2000] rule permit source 172.17.0.0 0.0.255.255

[Sysname-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255

[Sysname-acl-basic-2000] rule deny source any

1.1.16  rule (IPv6 advanced ACL view)

【命令】

rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { dest-address dest-prefix | dest-address/dest-prefix | any } | destination-port operator port1 [ port2 ] | dscp dscp | flow-label flow-label-value | fragment | icmp6-type { icmp6-type icmp6-code | icmp6-message } | logging | routing [ type routing-type ] | source { source-address source-prefix | source-address source-prefix | any } | source-port operator port1 [ port2 ] | time-range time-range-name | vpn-instance vpn-instance-name ] *

undo rule rule-id [ { { ack | fin | psh | rst | syn | urg } * | established } | counting | destination | destination-port | dscp | flow-label | fragment | icmp6-type | logging | routing | source | source-port | time-range | vpn-instance ] *

【视图】

IPv6高级ACL视图

【缺省级别】

2:系统级

【参数】

rule-id:指定IPv6高级ACL规则的编号,取值范围为0~65534。若未指定本参数,系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。

deny:表示拒绝符合条件的报文。

permit:表示允许符合条件的报文。

protocol:表示IPv6承载的协议类型,可输入的形式如下:

·     数字:取值范围为0~255;

·     名称(括号内为对应的数字):可选取gre(47)、icmpv6(58)、ipv6ipv6-ah(51)、ipv6-esp(50)、ospf(89)、tcp(6)或udp(17)。

protocol之后可配置如表1-8所示的规则信息参数。

表1-8 规则信息参数

参数

类别

作用

说明

source { source-address source-prefix | source-address /source-prefix | any }

源IPv6地址

指定ACL规则的源IPv6地址信息

source-address:源IPv6地址

source-prefix:源IP地址的前缀长度,取值范围1~128

any:任意源IPv6地址

destination { dest-address dest-prefix | dest-address /dest-prefix | any }

目的IPv6地址

指定ACL规则的目的IPv6地址信息

dest-address:目的IPv6地址

dest-prefix:目的IP地址的前缀长度,取值范围1~128

any:任意目的IPv6地址

counting

统计

使能本规则的匹配统计功能,缺省为关闭

-

dscp dscp

报文优先级

DSCP优先级

dscp:用数字表示时,取值范围为0~63;用名称表示时,可选取af11(10)、af12(12)、af13(14)、af21(18)、af22(20)、af23(22)、af31(26)、af32(28)、af33(30)、af41(34)、af42(36)、af43(38)、cs1(8)、cs2(16)、cs3(24)、cs4(32)、cs5(40)、cs6(48)、cs7(56)、default(0)或ef(46)

flow-label flow-label-value

流标签字段

指定IPv6基本报文头中流标签字段的值

flow-label-value:流标签字段的值,取值范围为0~1048575

logging

日志操作

对符合条件的报文可记录日志信息

该功能需要使用该ACL的模块支持日志记录功能

routing [ type routing-type ]

路由头

指定路由头的类型

routing-type:路由头类型的值,取值范围为0~255

若指定了type routing-type参数,表示仅对指定类型的路由头有效;否则,表示对所有类型的路由头都有效

vpn-instance vpn-instance-name

VPN实例

对指定VPN实例中的报文有效

vpn-instance-name:MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写

若未指定本参数,表示该规则仅对非VPN报文有效

fragment

报文分片

仅对分片报文的非首个分片有效,而对非分片报文和分片报文的首个分片无效

若未指定本参数,表示该规则对所有报文(包括非分片报文和分片报文的每个分片)均有效

time-range time-range-name

时间段

指定规则生效的时间段

time-range-name:时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。若该时间段尚未配置,该规则仍会成功创建但系统将给出提示信息,并在该时间段的配置完成后此规则才会生效

 

protocoltcp(6)或udp(17)时,用户还可配置如表1-9所示的规则信息参数。

表1-9 TCP/UDP特有的规则信息参数

参数

类别

作用

说明

source-port operator port1 [ port2 ]

源端口

定义TCP/UDP报文的源端口信息

operator:操作符,取值可以为lt(小于)、gt(大于)、eq(等于)、neq(不等于)或者range(在范围内,包括边界值)。只有range操作符需要两个端口号做操作数,其它操作符只需要一个端口号做操作数

port1/port2:TCP或UDP的端口号,用数字表示时,取值范围为0~65535;用名称表示时,TCP端口号可选取chargen(19)、bgp(179)、cmd(514)、daytime(13)、discard(9)、domain(53)、echo (7)、exec (512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)或www(80);UDP端口号可选取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)或xdmcp(177)

destination-port operator port1 [ port2 ]

目的端口

定义TCP/UDP报文的目的端口信息

{ ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } *

TCP报文标识

定义对携带不同标志位(包括ACK、FIN、PSH、RST、SYN和URG六种)的TCP报文的处理规则

TCP协议特有的参数。表示匹配携带不同标志位的TCP报文,各value的取值可为0或1(0表示不携带此标志位,1表示携带此标志位)

一条规则中各标志位之间为“或”的关系。譬如:当配置为ack 0 psh 1时,匹配不携带ACK或携带PSH标志位的TCP报文为准

established

TCP连接建立标识

定义对TCP连接报文的处理规则

TCP协议特有的参数。表示匹配携带ACK或RST标志位的TCP连接报文

 

protocolicmpv6(58)时,用户还可配置如表1-10所示的规则信息参数。

表1-10 ICMPv6特有的规则信息参数

参数

类别

作用

说明

icmp6-type { icmp6-type icmp6-code | icmp6-message }

ICMPv6报文的消息类型和消息码

指定本规则中ICMPv6报文的消息类型和消息码信息

icmp6-type:ICMPv6消息类型,取值范围为0~255

icmp6-code:ICMPv6消息码,取值范围为0~255

icmp6-message:ICMPv6消息名称。可以输入的ICMPv6消息名称,及其与消息类型和消息码的对应关系如表1-11所示

 

表1-11 ICMPv6消息名称与消息类型和消息码的对应关系

ICMPv6消息名称

ICMPv6消息类型

ICMPv6消息码

echo-reply

129

0

echo-request

128

0

err-Header-field

4

0

frag-time-exceeded

3

1

hop-limit-exceeded

3

0

host-admin-prohib

1

1

host-unreachable

1

3

neighbor-advertisement

136

0

neighbor-solicitation

135

0

network-unreachable

1

0

packet-too-big

2

0

port-unreachable

1

4

redirect

137

0

router-advertisement

134

0

router-solicitation

133

0

unknown-ipv6-opt

4

2

unknown-next-hdr

4

1

 

【描述】

rule命令用来为IPv6高级ACL创建一条规则。undo rule命令用来为IPv6高级ACL删除一条规则或删除规则中的部分内容。

缺省情况下,IPv6高级ACL内不存在任何规则。

需要注意的是:

·     使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。

·     新创建或修改的规则不能与已有规则的内容完全相同,否则将提示出错,并导致该操作失败。

·     当ACL的规则匹配顺序为配置顺序时,允许修改该ACL内的任意一条已有规则;当ACL的规则匹配顺序为自动排序时,不允许修改该ACL内的已有规则,否则将提示出错。

·     使用undo rule命令时,如果没有指定任何可选参数,则删除整条规则;如果指定了可选参数,则只删除该参数所对应的内容。

·     使用undo rule命令时必须指定一个已存在规则的编号,可以使用display acl ipv6 all命令来查看所有已存在的规则。

相关配置可参考命令acl ipv6display ipv6 aclsteptime-range

【举例】

# 为IPv6高级ACL 3000创建规则如下:允许2030:5060::/64网段内的主机与FE80:5060::/96网段内主机的WWW端口(端口号为80)建立连接,并对符合此条件的行为记录日志。

<Sysname> system-view

[Sysname] acl ipv6 number 3000

[Sysname-acl6-adv-3000] rule permit tcp source 2030:5060::/64 destination fe80:5060::/96 destination-port eq 80 logging

# 为IPv6高级ACL 3001创建规则如下:允许IPv6报文通过,但拒绝发往FE80:5060:1001::/48网段的ICMPv6报文通过。

<Sysname> system-view

[Sysname] acl ipv6 number 3001

[Sysname-acl6-adv-3001] rule permit ipv6

[Sysname-acl6-adv-3001] rule deny icmpv6 destination fe80:5060:1001:: 48

# 为IPv6高级ACL 3002创建规则如下:在出、入双方向上都允许建立FTP连接并传输FTP数据。

<Sysname> system-view

[Sysname] acl ipv6 number 3002

[Sysname-acl6-adv-3002] rule permit tcp source-port eq ftp

[Sysname-acl6-adv-3002] rule permit tcp source-port eq ftp-data

[Sysname-acl6-adv-3002] rule permit tcp destination-port eq ftp

[Sysname-acl6-adv-3002] rule permit tcp destination-port eq ftp-data

# 为IPv6高级ACL 3003创建规则如下:在出、入双方向上都允许SNMP报文和SNMP Trap报文通过。

<Sysname> system-view

[Sysname] acl ipv6 number 3003

[Sysname-acl6-adv-3003] rule permit udp source-port eq snmp

[Sysname-acl6-adv-3003] rule permit udp source-port eq snmptrap

[Sysname-acl6-adv-3003] rule permit udp destination-port eq snmp

[Sysname-acl6-adv-3003] rule permit udp destination-port eq snmptrap

1.1.17  rule (IPv6 basic ACL view)

【命令】

rule [ rule-id ] { deny | permit } [ counting | fragment | logging | routing [ type routing-type ] | source { source-address source-prefix | source-address/source-prefix | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *

undo rule rule-id [ counting | fragment | logging | routing | source | time-range | vpn-instance ] *

【视图】

IPv6基本ACL视图

【缺省级别】

2:系统级

【参数】

rule-id:指定IPv6基本ACL规则的编号,取值范围为0~65534。若未指定本参数,系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。

deny:表示拒绝符合条件的报文。

permit:表示允许符合条件的报文。

counting:表示使能本规则的匹配统计功能,缺省为关闭。

fragment:表示仅对非首片分片报文有效,而对非分片报文和首片分片报文无效。若未指定本参数,表示该规则对非分片报文和分片报文均有效。

logging:表示对符合条件的报文可记录日志信息。该功能需要使用该ACL的模块支持日志记录功能。

routing [ type routing-type ]:表示对所有或指定类型的路由头有效,routing-type表示路由头类型的值,取值范围为0~255。若指定了type routing-type参数,表示仅对指定类型的路由头有效;否则,表示对所有类型的路由头都有效。

source { source-address source-prefix | source-address/source-prefix | any }:指定规则的源IPv6地址信息。source-address表示报文的源IPv6地址,source-prefix表示源IPv6地址的前缀长度,取值范围为1~128,any表示任意源IPv6地址。

time-range time-range-name:指定规则生效的时间段。time-range-name表示时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。若该时间段尚未配置,该规则仍会成功创建但系统将给出提示信息,并在该时间段的配置完成后此规则才会生效。

vpn-instance vpn-instance-name:表示对指定VPN实例中的报文有效。vpn-instance-name表示VPN实例的名称,为1~31个字符的字符串,区分大小写。若未指定本参数,表示该规则仅对非VPN报文有效。

【描述】

rule命令用来为IPv6基本ACL创建一条规则。undo rule命令用来为IPv6基本ACL删除一条规则或删除规则中的部分内容。

缺省情况下,IPv6基本ACL内不存在任何规则。

需要注意的是:

·     使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。

·     新创建或修改的规则不能与已有规则的内容完全相同,否则将提示出错,并导致该操作失败。

·     当ACL的规则匹配顺序为配置顺序时,允许修改该ACL内的任意一条已有规则;当ACL的规则匹配顺序为自动排序时,不允许修改该ACL内的已有规则,否则将提示出错。

·     使用undo rule命令时,如果没有指定任何可选参数,则删除整条规则;如果指定了可选参数,则只删除该参数所对应的内容。

·     使用undo rule命令时必须指定一个已存在规则的编号,可以使用display acl ipv6 all命令来查看所有已存在的规则。

相关配置可参考命令acl ipv6display ipv6 aclsteptime-range

【举例】

# 为IPv6基本ACL 2000创建规则如下:仅允许来自1001::/16、3124:1123::/32和FE80:5060:1001::/48网段的报文通过,而拒绝来自所有其它网段的报文通过。

<Sysname> system-view

[Sysname] acl ipv6 number 2000

[Sysname-acl6-basic-2000] rule permit source 1001:: 16

[Sysname-acl6-basic-2000] rule permit source 3124:1123:: 32

[Sysname-acl6-basic-2000] rule permit source fe80:5060:1001:: 48

[Sysname-acl6-basic-2000] rule deny source any

1.1.18  rule (simple ACL view)

【命令】

rule protocol [ addr-flag addr-flag | destination { dest-address dest-prefix | dest-address /dest-prefix | any } | destination-port operator port1 [ port2 ] | dscp dscp | frag-type { fragment | fragment-subseq | non-fragment | non-subseq } | icmp6-type { icmp6-type icmp6-code | icmp6-message } | source { source-address source-prefix | source-address /source-prefix | any } | source-port operator port1 [ port2 ] | tcp-type { tcpurg | tcpack | tcppsh | tcprst | tcpsyn | tcpfin } ] *

undo rule [ addr-flag | destination | destination-port | dscp | frag-type | icmp6-type | source | source-port | tcp-type ] *

【视图】

简单ACL视图

【缺省级别】

2:系统级

【参数】

protocol:表示IPv6承载的协议类型,可输入的形式如下:

·     数字:取值范围为0~255,且数字前必须加关键字protocol

·     名称(括号内为对应的数字):可选取gre(47)、icmpv6(58)、ipv6ipv6-ah(51)、ipv6-esp(50)、ospf(89)、tcp(6)或udp(17)。

protocol之后可配置如表1-12所示的规则信息参数。

表1-12 规则信息参数

参数

类别

作用

说明

addr-flag addr-flag

标志

指定源IPv6地址和目的IPv6地址联合模式

addr-flag:取值范围为1~6,各数字代表的地址联合模式如下:

·     1:表示64位源地址前缀+64位目的地址前缀

·     2:表示64位源地址前缀+64位目的地址后缀

·     3:表示64位源地址后缀+64位目的地址前缀

·     4:表示64位源地址后缀+64位目的地址后缀

·     5:表示128位源地址

·     6:表示128位目的地址

source { source-address source-prefix | source-address /source-prefix | any }

源IPv6地址

指定ACL规则的源IPv6地址信息

source-address:源IPv6地址

source-prefix:源IPv6地址的前缀长度,取值范围1~128

any:任意源IPv6地址

destination { dest-address dest-prefix | dest-address /dest-prefix | any }

目的IPv6地址

指定ACL规则的目的IPv6地址信息

dest:目的IPv6地址

dest-prefix:目的IPv6地址的前缀长度,取值范围1~128

any:任意目的IPv6地址

frag-type { fragment | fragment-subseq | non-fragment | non-subseq }

报文分片标志

指定规则仅对哪些分片报文标志有效

fragment:仅对首片分片报文有效

fragment-subseq:仅对非首片分片报文有效

non-fragment:仅对非分片报文有效

non-subseq:仅对当前分片报文的最后一片有效

dscp dscp

报文优先级

指定DSCP优先级

dscp:取值范围为0~63

 

protocoltcp(6)或udp(17)时,用户还可配置如表1-13所示的规则信息参数。

表1-13 TCP/UDP特有的规则信息参数

参数

类别

作用

说明

source-port operator port1 [ port2 ]

源端口

指定TCP/UDP报文的源端口信息

operator:操作符,取值可以为lt(小于)、gt(大于)、eq(等于)或者range(在范围内,包括边界值)。只有range操作符需要两个端口号做操作数,其它操作符只需要一个端口号做操作数

port1/port2:TCP或UDP的端口号,用数字表示时,取值范围为0~65535;用名称表示时,TCP端口号可选取chargen(19)、bgp(179)、cmd(514)、daytime(13)、discard(9)、domain(53)、echo (7)、exec (512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)或www(80);UDP端口号可选取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)或xdmcp(177)

destination-port operator port1 [ port2 ]

目的端口

指定TCP/UDP报文的目的端口信息

tcp-type { tcpurg | tcpack | tcppsh | tcprst | tcpsyn | tcpfin }

TCP报文标志

指定TCP报文的标志

TCP协议特有的参数

 

protocolicmpv6(58)时,用户还可配置如表1-14所示的规则信息参数。

表1-14 ICMPv6特有的规则信息参数

参数

类别

作用

说明

icmp6-type { icmp6-type icmp6-code | icmp6-message }

ICMPv6报文的消息类型和消息码

指定规则中ICMPv6报文的消息类型和消息码信息

icmp6-type:ICMPv6消息类型,取值范围为0~255

icmp6-code:ICMPv6消息码,取值范围为0~255

icmp6-message:ICMPv6消息名称。可输入的ICMPv6消息名称,及其与消息类型和消息码的对应关系如表1-15所示

 

表1-15 ICMPv6消息名称与消息类型和消息码的对应关系

ICMPv6消息名称

ICMPv6消息类型

ICMPv6消息码

echo-reply

129

0

echo-request

128

0

err-Header-field

4

0

frag-time-exceeded

3

1

hop-limit-exceeded

3

0

host-admin-prohib

1

1

host-unreachable

1

3

neighbor-advertisement

136

0

neighbor-solicitation

135

0

network-unreachable

1

0

packet-too-big

2

0

port-unreachable

1

4

redirect

137

0

router-advertisement

134

0

router-solicitation

133

0

unknown-ipv6-opt

4

2

unknown-next-hdr

4

1

 

【描述】

rule命令用来为简单ACL创建规则。undo rule命令用来为简单ACL删除规则或删除规则中的部分内容。

缺省情况下,简单ACL内不存在任何规则。

需要注意的是:

·     用rule命令时,如果不存在规则,则创建新的规则;如果已存在规则,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。

·     使用undo rule命令时,如果没有指定任何可选参数,则删除整条规则;如果指定了可选参数,则只删除该参数所对应的内容。

相关配置可参考命令acl ipv6

【举例】

# 为简单ACL 10000创建规则,匹配来自2200:100::/64网段的带有TCP RST标志的TCP报文。

<Sysname> system-view

[Sysname] acl ipv6 number 10000

[Sysname-acl6-simple-10000] rule tcp addr-flag 4 source 2200:100::/64 tcp-type tcprst

1.1.19  rule (user-defined ACL view)

【命令】

rule [ rule-id ] { deny | permit } [ l2 rule-string rule-mask offset }&<1-8> ] [ counting | time-range time-range-name ] *

undo rule rule-id

【视图】

用户自定义ACL视图

【缺省级别】

2:系统级

【参数】

rule-id:指定用户自定义ACL规则的编号,取值范围为0~65534。若未指定本参数,系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。

deny:表示拒绝符合条件的报文。

permit:表示允许符合条件的报文。

l2:表示从L2帧头开始偏移。

rule-string:指定用户自定义的规则字符串,必须是16进制数组成,字符长度必须是偶数。

rule-mask:指定规则字符串的掩码,用于和报文作“与”操作,必须是16进制数组成,字符长度必须是偶数,且必须与rule-string的长度相同。

offset:指定偏移量,它以用户指定的报文头部为基准,指定从第几个字节开始进行比较。

&<1-8>:表示前面的参数最多可以输入8次。

counting:表示使能本规则的匹配统计功能,缺省为关闭。

time-range time-range-name:指定规则生效的时间段。time-range-name表示时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。若该时间段尚未配置,该规则仍会成功创建但系统将给出提示信息,并在该时间段的配置完成后此规则才会生效。

【描述】

rule命令用来为用户自定义ACL创建一条规则。undo rule命令用来为用户自定义ACL删除一条规则。

缺省情况下,用户自定义ACL内不存在任何规则。

需要注意的是:

·     使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。

·     新创建的规则不能与已有规则的内容完全相同,否则将提示出错,并导致创建失败。

·     使用undo rule命令时必须指定一个已存在规则的编号,可以使用display acl all命令来查看所有已存在的规则。

相关配置可参考命令acldisplay acltime-range

【举例】

# 为用户自定义ACL 5005创建一条规则,允许从L2帧头开始算起第13、14两字节的内容为0x0806的报文(即ARP报文)通过。

<Sysname> system-view

[Sysname] acl number 5005

[Sysname-acl-user-5005] rule permit l2 0806 ffff 12

1.1.20  rule (WLAN ACL view)

【命令】

rule [ rule-id ] { deny | permit } [ ssid ssid-name ]

undo rule rule-id

【视图】

WLAN ACL视图

【缺省级别】

2:系统级

【参数】

rule-id:指定WLAN ACL规则的编号,取值范围为0~65534。若未指定本参数,系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。

deny:表示拒绝符合条件的报文。

permit:表示允许符合条件的报文。

ssid ssid-name:指定SSID(Service Set Identifier,服务集标识符)的名称,ssid-name为1~32个字符的字符串,包括字母和数字,区分大小写,允许包含空格。若未指定本参数,表示该规则对所有SSID均有效。

【描述】

rule命令用来为WLAN ACL创建一条规则。undo rule命令用来为WLAN ACL删除一条规则。

缺省情况下,WLAN ACL内不存在任何规则。

需要注意的是:

·     使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。

·     新创建或修改的规则不能与已有规则的内容完全相同,否则将提示出错,并导致该操作失败。

·     使用undo rule命令时必须指定一个已存在规则的编号,可以使用display acl all命令来查看所有已存在的规则。

相关配置可参考命令acldisplay aclstep

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

命令

描述

MSR800

rule (WLAN ACL view)

不支持

MSR 900

支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

支持

MSR 20

支持

MSR 30

支持

MSR 50

支持(MPU-G2不支持)

MSR 2600

支持

MSR3600-51F

支持

 

【举例】

# 为WLAN ACL 100配置规则,允许SSID名称为user1的WLAN用户报文通过,并利用此规则应用于VTY用户0的访问权限。

<Sysname> system-view

[Sysname] acl number 100

[Sysname-acl-wlan-100] rule permit ssid user1

[Sysname-acl-wlan-100] quit

[Sysname] user-interface vty 0

[Sysname-ui-vty0] acl 100 inbound

1.1.21  rule comment

【命令】

rule rule-id comment text

undo rule rule-id comment

【视图】

WLAN ACL视图/IPv4基本ACL视图/IPv4高级ACL视图/IPv6基本ACL视图/IPv6高级ACL视图/二层ACL视图/用户自定义ACL视图

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

命令

描述

MSR800

WLAN ACL视图

不支持

MSR 900

支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

支持

MSR 20

支持

MSR 30

支持

MSR 50

支持(MPU-G2不支持)

MSR 2600

支持

MSR3600-51F

支持

 

【缺省级别】

2:系统级

【参数】

rule-id:指定规则的编号,该规则必须存在。取值范围为0~65534。

text:表示规则的描述信息,为1~127个字符的字符串,区分大小写。

【描述】

rule comment命令用来为指定规则配置描述信息。undo rule comment命令用来删除指定规则的描述信息。

缺省情况下,规则没有任何描述信息。

需要注意的是,使用rule comment命令时,如果指定的规则没有描述信息,则为其添加描述信息,否则修改其描述信息。

相关配置可参考命令display acldisplay acl ipv6

【举例】

# 为IPv4基本ACL 2000配置规则0,并为该规则配置描述信息。

<Sysname> system-view

[Sysname] acl number 2000

[Sysname-acl-basic-2000] rule 0 deny source 1.1.1.1 0

[Sysname-acl-basic-2000] rule 0 comment This rule is used on Ethernet 1/1.

# 为IPv6基本ACL 2000配置规则0,并为该规则配置描述信息。

<Sysname> system-view

[Sysname] acl ipv6 number 2000

[Sysname-acl6-basic-2000] rule 0 permit source 1001::1 128

[Sysname-acl6-basic-2000] rule 0 comment This rule is used on Ethernet 1/1.

1.1.22  rule remark

【命令】

rule [ rule-id ] remark text

undo rule [ rule-id ] remark [ text ]

【视图】

WLAN ACL视图/IPv4基本ACL视图/IPv4高级ACL视图/IPv6基本ACL视图/IPv6高级ACL视图/二层ACL视图/用户自定义ACL视图

【缺省级别】

2:系统级

【参数】

rule-id:指定规则的编号(该编号对应的规则可以存在也可以不存在),取值范围为0~65534。该编号用来确定规则注释信息显示的位置:

·     在配置顺序下:若该编号与现有某规则的编号相同,则该注释信息将紧邻该规则之前显示;否则,将按照编号由小到大显示。

·     在自动排序下:若该编号与现有某规则的编号相同,则该注释信息将紧邻该规则之前显示;否则,将在所有规则的最后显示。

text:表示规则注释信息,为1~63个字符的字符串,区分大小写。

【描述】

rule remark命令用来配置规则注释信息。undo rule remark命令用来删除规则注释信息。

缺省情况下,ACL内没有任何规则注释信息。

需要注意的是:

·     使用rule remark命令时,如果没有指定rule-id参数,系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。

·     使用undo rule remark命令时,如果没有指定rule-idtext参数,将删除所有规则注释信息;如果没有指定rule-id但指定了text参数,则只删除指定内容的规则注释信息。

·     用户可以通过display thisdisplay current-configuration命令查看配置好的规则注释信息。

相关配置可参考“基础配置命令参考/配置文件管理”中的命令display thisdisplay current-configuration

【举例】

# 在IPv4基本ACL 2000的视图下显示当前生效的配置信息,查看已有的规则。

<Sysname> system-view

[Sysname] acl number 2000

[Sysname-acl-basic-2000] display this

#

acl number 2000

 rule 0 permit source 14.1.1.0 0.0.0.255

 rule 5 permit source 10.1.1.1 0 time-range work-time

 rule 10 permit source 192.168.0.0 0.0.0.255

 rule 15 permit source 1.1.1.1 0

 rule 20 permit source 10.1.1.1 0

 rule 25 permit counting

#

return

# 假设规则编号为10~25的这四条规则是为VIP用户制订的,为方便后续维护,对这四条规则进行如下注释:开头和结尾分别注释为“Rules for VIP_start”和“Rules for VIP_end”。

[Sysname-acl-basic-2000] rule 10 remark Rules for VIP_start

[Sysname-acl-basic-2000] rule 26 remark Rules for VIP_end

# 再次在该ACL的视图下显示当前生效的配置信息,查看所配置的规则注释信息。

[Sysname-acl-basic-2000] display this

#

acl number 2000

 rule 0 permit source 14.1.1.0 0.0.0.255

 rule 5 permit source 10.1.1.1 0 time-range work-time

 rule 10 remark Rules for VIP_start

 rule 10 permit source 192.168.0.0 0.0.0.255

 rule 15 permit source 1.1.1.1 0

 rule 20 permit source 10.1.1.1 0

 rule 25 permit counting

 rule 26 remark Rules for VIP_end

#

return

由此可见,在规则编号为10~25的这四条规则的前、后均已插入了相应的注释信息。

1.1.23  step

【命令】

step step-value

undo step

【视图】

WLAN ACL视图/IPv4基本ACL视图/IPv4高级ACL视图/IPv6基本ACL视图/IPv6高级ACL视图/二层ACL视图

MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:

型号

命令

描述

MSR800

WLAN ACL视图

不支持

MSR 900

支持

MSR900-E

不支持

MSR 930

不支持

MSR 20-1X

支持

MSR 20

支持

MSR 30

支持

MSR 50

支持(MPU-G2不支持)

MSR 2600

支持

MSR3600-51F

支持

 

【缺省级别】

2:系统级

【参数】

step-value:表示规则编号的步长值,取值范围为1~20。

【描述】

step命令用来配置规则编号的步长。undo step命令用来恢复缺省情况。

缺省情况下,规则编号的步长为5。

相关配置可参考命令display acldisplay acl ipv6

【举例】

# 将基本ACL 2000的规则编号的步长配置为2。

<Sysname> system-view

[Sysname] acl number 2000

[Sysname-acl-basic-2000] step 2

# 将IPv6基本ACL 2000的规则编号的步长配置为2。

<Sysname> system-view

[Sysname] acl ipv6 number 2000

[Sysname-acl6-basic-2000] step 2

1.1.24  time-range

【命令】

time-range time-range-name { start-time to end-time days [ from time1 date1 ] [ to time2 date2 ] | from time1 date1 [ to time2 date2 ] | to time2 date2 }

undo time-range time-range-name [ start-time to end-time days [ from time1 date1 ] [ to time2 date2 ] | from time1 date1 [ to time2 date2 ] | to time2 date2 ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

time-range-name:指定时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,时间段的名称不允许使用英文单词all。

start-time to end-time:指定周期时间段的时间范围。start-time表示起始时间,格式为hh:mm,取值范围为00:00~23:59;end-time表示结束时间,格式为hh:mm,取值范围为00:00~24:00,且结束时间必须大于起始时间。

days:指定周期时间段在每周的周几生效。本参数可输入多次,但后输入的值不能与此前输入的值完全重叠(譬如输入6后不允许再输入sat,但允许再输入off-day),系统将取各次输入值的并集作为最终值(譬如依次输入1wedworking-day之后,最终生效的时间将为每周的工作日)。本参数可输入的形式如下:

·     数字:取值范围为0~6,依次表示周日~周六;

·     周几的英文缩写(从周日到周六依次为sunmontuewedthufrisat);

·     工作日(working-day):表示从周一到周五;

·     休息日(off-day):表示周六和周日;

·     每日(daily):表示一周七天。

from time1 date1:指定绝对时间段的起始时间。time1的格式为hh:mm,取值范围为00:00~23:59。 date1的格式为MM/DD/YYYY或YYYY/MM/DD。MM表示月,取值范围为1~12;DD表示日,取值范围取决于所输入的月份;YYYY表示年,取值范围为1970~2100。若未指定本参数,绝对时间段的起始时间将为系统可表示的最早时间,即1970年1月1日0点0分。

to time2 date2:指定绝对时间段的结束时间。time2的格式为hh:mm,取值范围为00:00~24:00。date2的格式为MM/DD/YYYY或YYYY/MM/DD。MM表示月,取值范围为1~12;DD表示日,取值范围取决于所输入的月份;YYYY表示年,取值范围为1970~2100。结束时间必须大于起始时间。若未指定本参数,绝对时间段的结束时间将为系统可表示的最晚时间,即2100年12月31日24点0分。

【描述】

time-range命令用来创建一个时间段,来描述一个特定的时间范围。undo time-range命令用来删除一个时间段。

缺省情况下,不存在任何时间段。

需要注意的是:

·     使用time-range命令时,如果指定名称的时间段不存在,则创建一个新的时间段(最多256个);如果指定名称的时间段已存在,则对旧时间段进行修改,即在其原有内容的基础上叠加新的内容。

·     使用start-time to end-time days这组参数所创建的时间段为周期时间段,它将以一周为周期循环生效;使用from time1 date1to time2 date2这组参数所创建的时间段为绝对时间段,它将在指定时间范围内生效;而同时使用了上述两组参数所创建的时间段,将取周期时间段和绝对时间段的交集作为生效的时间范围,譬如:创建一个时间段,既定义其在每周一的8点到12点生效,又定义其在2010年全年生效,那么其最终将在2010年全年内每周一的8点到12点生效。

·     一个时间段内可包含一或多个周期时间段(最多32个)和绝对时间段(最多12个),当包含有多个周期时间段和绝对时间段时,系统将先分别取各周期时间段的并集和各绝对时间段的并集,再取这两个并集的交集作为该时间段最终生效的时间范围。

相关配置可参考命令display time-range

【举例】

# 创建名为t1的时间段,其时间范围为每周工作日的8点到18点。

<Sysname> system-view

[Sysname] time-range t1 8:0 to 18:0 working-day

# 创建名为t2的时间段,其时间范围为2010年全年。

<Sysname> system-view

[Sysname] time-range t2 from 0:0 1/1/2010 to 24:0 12/31/2010

# 创建名为t3的时间段,其时间范围为2010年全年内每周休息日的8点到12点。

<Sysname> system-view

[Sysname] time-range t3 8:0 to 12:0 off-day from 0:0 1/1/2010 to 24:0 12/31/2010

# 创建名为t4的时间段,其时间范围为2010年1月和6月内每周一的10点到12点以及每周三的14到16点。

<Sysname> system-view

[Sysname] time-range t4 10:0 to 12:0 1 from 0:0 1/1/2010 to 24:0 1/31/2010

[Sysname] time-range t4 14:0 to 16:0 3 from 0:0 6/1/2010 to 24:0 6/30/2010

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!