09-包过滤防火墙命令
本章节下载: 09-包过滤防火墙命令 (134.76 KB)
本文中的“业务处理板”指的是单板丝印为“CR-SPE-3020-E-I”的单板,“普通型接口板”指的是单板丝印为“CR-SPC-XP8LEF-I /CR-SPC-XP4LEF-I /CR-SPC-GP48LEF/ CR-SPC-GT48LEF” 的单板,“增强型接口板”指的是单板丝印为“CR-SPC-PUP4L-E-I/CR-SPC-XP4L-E-I”的单板。
【命令】
display firewall packet-filter { all | interface interface-type interface-number } [ inbound | outbound ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
all:查看所有接口的报文过滤信息。
interface interface-type interface-number:查看指定接口的报文过滤信息。其中,interface-type interface-number表示接口类型和接口编号。
inbound:过滤接口接收的数据包。
outbound:过滤接口转发的数据包。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display firewall packet-filter命令用来显示接口的报文过滤信息。
相关配置可参考命令firewall packet-filter和firewall packet-filter ipv6。
【举例】
# 查看接口的报文过滤信息。
<Sysname> display firewall packet-filter all
Interface: GigabitEthernet4/1/6
In-bound Policy:
acl 3002, Successful
Out-bound Policy:
Interface: GigabitEthernet4/1/7
In-bound Policy:
acl 3001, Successful
Out-bound Policy:
表1-1 display firewall packet-filter命令显示信息描述表
字段 |
描述 |
Interface |
配置了报文过滤功能的接口 |
In-bound Policy |
表示该接口上配置了入方向的ACL规则 |
Out-bound Policy |
表示该接口上配置了出方向的ACL规则 |
【命令】
firewall packet-filter { acl-number | name acl-name } { inbound | outbound }
undo firewall packet-filter { acl-number | name acl-name } { inbound | outbound }
【视图】
接口视图(二层以太网接口、三层以太网接口、VLAN接口、ATM接口、POS接口、串口、MP-Group、MFR)
【缺省级别】
2:系统级
【参数】
acl-number:访问控制列表编号。支持:基本控制列表号,取值范围为2000~2999;高级控制列表号,取值范围为3000~3999;二层控制列表号,取值范围为4000~4999。
name acl-name:指定基本或高级访问控制列表的名称。其中,acl-name表示IPv4 ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,IPv4 ACL的名称不可以使用英文单词all。
inbound:过滤接口接收的数据包。
outbound:过滤接口转发的数据包。
【描述】
firewall packet-filter命令用来配置接口的IPv4报文过滤功能。undo firewall packet-filter命令用来取消接口的报文过滤功能。
缺省情况下,不对通过接口的报文进行过滤。
每个接口的单方向可配置多个包过滤命令同时生效。
· 如果firewall packet-filter引用的ACL已经生效,在已生效ACL中执行添加rule的操作,新添加的rule可能会不生效(原因可能是ACL资源不够或firewall packet-filter不支持此rule)。通过display acl { acl-number | all | name acl-name } slot slot-number查询ACL的配置和运行情况时,不生效的rule会被标识成“uncompleted”。如果后续有了足够的ACL资源,需要删除不生效的rule并重新配置,此rule才能生效。关于ACL的详细介绍请参见“ACL和QOS配置指导”中的“ACL”。
· 若业务处理板和增强型接口板接口上已配置ip urpf { loose | strict } acl acl-number ,则该接口上配置的firewall packet-filter { acl-number | name acl-name } inbound不生效。有关命令ip urpf { loose | strict } acl acl-number的详细介绍,请参见“安全命令参考”中的“URPF”。
【举例】
# 使用ACL 2001在接口Serial 3/1/9/1:2上对出方向的报文进行过滤。
<Sysname> system-view
[Sysname] interface serial 3/1/9/1:2
[Sysname-Serial3/1/9/1:2] firewall packet-filter 2001 outbound
【命令】
firewall packet-filter ipv6 { acl6-number | name acl6-name } { inbound | outbound }
undo firewall packet-filter ipv6 { acl-number | name acl-name } { inbound | outbound }
【视图】
接口视图(二层以太网接口、三层以太网接口、VLAN接口、ATM接口、POS接口、串口、MP-Group、MFR)
【缺省级别】
2:系统级
【参数】
acl6-number:基本或高级IPv6访问控制列表号,取值范围为2000~3999。
name acl6-name:指定基本或高级访问控制列表的名称。其中,acl6-name表示IPv6 ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,IPv6 ACL的名称不可以使用英文单词all。
inbound:过滤接口接收的数据包。
outbound:过滤接口转发的数据包。
【描述】
firewall packet-filter ipv6命令用来配置接口的IPv6报文过滤功能。undo firewall packet-filter ipv6命令用来取消接口的IPv6报文过滤功能。
缺省情况下,不对通过接口的IPv6报文进行过滤。
每个接口的单方向可配置多个包过滤命令同时生效。
如果firewall packet-filter ipv6引用的ACL已经生效,在已生效ACL中执行添加rule的操作,新添加的rule可能会不生效(原因可能是ACL资源不够或firewall packet-filter ipv6不支持此rule)。通过display acl { acl-number | all | name acl-name } slot slot-number查询ACL的配置和运行情况时,不生效的rule会被标识成“uncompleted”。如果后续有了足够的ACL资源,需要删除不生效的rule并重新配置,此rule才能生效。关于ACL的详细介绍请参见“ACL和QOS配置指导”中的“ACL”。
【举例】
# 使用IPv6 ACL 2500在接口GigabitEthernet3/1/1上进行IPv6报文过滤。
<Sysname> system-view
[Sysname] interface gigabitEthernet 3/1/1
[Sysname- GigabitEthernet3/1/1] firewall packet-filter ipv6 2500 outbound
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!