09-包过滤防火墙命令
本章节下载: 09-包过滤防火墙命令 (125.07 KB)
本文中的“业务处理板”指的是单板丝印为“CR-SPE-3020-E-I”的单板,“普通型接口板”指的是单板丝印为“CR-SPC-XP8LEF-I /CR-SPC-XP4LEF-I /CR-SPC-GP48LEF/ CR-SPC-GT48LEF” 的单板,“增强型接口板”指的是单板丝印为“CR-SPC-PUP4L-E-I/CR-SPC-XP4L-E-I”的单板。
【命令】
firewall packet-filter { acl-number | name acl-name } { inbound | outbound }
undo firewall packet-filter { acl-number | name acl-name } { inbound | outbound }
【视图】
接口视图(二层以太网接口、三层以太网接口、VLAN接口、ATM接口、POS接口、串口、MP-Group、MFR)
【缺省级别】
2:系统级
【参数】
acl-number:访问控制列表编号。支持:基本控制列表号,取值范围为2000~2999;高级控制列表号,取值范围为3000~3999;二层控制列表号,取值范围为4000~4999。
name acl-name:指定基本或高级访问控制列表的名称。其中,acl-name表示IPv4 ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,IPv4 ACL的名称不可以使用英文单词all。
inbound:过滤接口接收的数据包。
outbound:过滤接口转发的数据包。
【描述】
firewall packet-filter命令用来配置接口的IPv4报文过滤功能。undo firewall packet-filter命令用来取消接口的报文过滤功能。
缺省情况下,不对通过接口的报文进行过滤。
每个接口的单方向可配置多个包过滤命令同时生效。
· 如果firewall packet-filter引用的ACL已经生效,在已生效ACL中执行添加rule的操作,新添加的rule可能会不生效(原因可能是ACL资源不够或firewall packet-filter不支持此rule)。通过display acl { acl-number | all | name acl-name } slot slot-number查询ACL的配置和运行情况时,不生效的rule会被标识成“uncompleted”。如果后续有了足够的ACL资源,需要删除不生效的rule并重新配置,此rule才能生效。关于ACL的详细介绍请参见“ACL和QOS配置指导”中的“ACL”。
· 若业务处理板和增强型接口板接口上已配置ip urpf { loose | strict } acl acl-number ,则该接口上配置的firewall packet-filter { acl-number | name acl-name } inbound不生效。有关命令ip urpf { loose | strict } acl acl-number的详细介绍,请参见“安全命令参考”中的“URPF”。
【举例】
# 使用ACL 2001在接口Serial 3/1/9/1:2上对出方向的报文进行过滤。
<Sysname> system-view
[Sysname] interface serial 3/1/9/1:2
[Sysname-Serial3/1/9/1:2] firewall packet-filter 2001 outbound
【命令】
firewall packet-filter ipv6 { acl6-number | name acl6-name } { inbound | outbound }
undo firewall packet-filter ipv6 { acl-number | name acl-name } { inbound | outbound }
【视图】
接口视图(二层以太网接口、三层以太网接口、VLAN接口、ATM接口、POS接口、串口、MP-Group、MFR)
【缺省级别】
2:系统级
【参数】
acl6-number:基本或高级IPv6访问控制列表号,取值范围为2000~3999。
name acl6-name:指定基本或高级访问控制列表的名称。其中,acl6-name表示IPv6 ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,IPv6 ACL的名称不可以使用英文单词all。
inbound:过滤接口接收的数据包。
outbound:过滤接口转发的数据包。
【描述】
firewall packet-filter ipv6命令用来配置接口的IPv6报文过滤功能。undo firewall packet-filter ipv6命令用来取消接口的IPv6报文过滤功能。
缺省情况下,不对通过接口的IPv6报文进行过滤。
每个接口的单方向可配置多个包过滤命令同时生效。
如果firewall packet-filter ipv6引用的ACL已经生效,在已生效ACL中执行添加rule的操作,新添加的rule可能会不生效(原因可能是ACL资源不够或firewall packet-filter ipv6不支持此rule)。通过display acl { acl-number | all | name acl-name } slot slot-number查询ACL的配置和运行情况时,不生效的rule会被标识成“uncompleted”。如果后续有了足够的ACL资源,需要删除不生效的rule并重新配置,此rule才能生效。关于ACL的详细介绍请参见“ACL和QOS配置指导”中的“ACL”。
【举例】
# 使用IPv6 ACL 2500在接口GigabitEthernet3/1/1上进行IPv6报文过滤。
<Sysname> system-view
[Sysname] interface gigabitEthernet 3/1/1
[Sysname- GigabitEthernet3/1/1] firewall packet-filter ipv6 2500 outbound
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!