国家 / 地区

08-ACL和QoS命令参考

01-ACL命令

本章节下载  (238.16 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Switches/00-Public/Command/Command_Manual/H3C_S12500-X_S12500X-AF_CR(R113x)-6W101/08/201906/1203385_30005_0.htm

01-ACL命令


1 ACL

1.1  ACL配置命令

1.1.1  acl

acl命令用来创建一个ACL,并进入相应的ACL视图。

undo acl命令用来删除指定或全部ACL。

【命令】

acl number acl-number [ name acl-name ] [ match-order { auto | config } ]

undo acl { all | name acl-name | number acl-number }

【缺省情况】

不存在任何ACL。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

number acl-number:指定ACL的编号。acl-number表示ACL的编号,取值范围及其代表的ACL类型如下:

·            2000~2999:表示IPv4基本ACL。

·            3000~3999:表示IPv4高级ACL。

·            4000~4999:表示二层ACL。

·            5000~5999:表示用户自定义ACL。

name acl-name:指定ACL的名称。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。

match-order { auto | config }:指定规则的匹配顺序,auto表示按照自动排序(即“深度优先”原则)的顺序进行规则匹配,config表示按照配置顺序进行规则匹配。缺省情况下,规则的匹配顺序为配置顺序。

all:指定全部IPv4基本ACL、IPv4高级ACL、二层ACL和用户自定义ACL。

【使用指导】

·            使用acl命令时,如果指定编号的ACL不存在,则创建该ACL并进入其视图,否则直接进入其视图。

·            ACL的名称只能在创建时设置。ACL一旦创建,便不允许再修改或删除其原有名称。

·            当ACL内不存在任何规则时,用户可以使用本命令对该ACL的规则匹配顺序进行修改,否则不允许进行修改。

【举例】

# 创建一个编号为2000的IPv4基本ACL,并进入其视图。

<Sysname> system-view

[Sysname] acl number 2000

[Sysname-acl-basic-2000]

# 创建一个编号为2001的IPv4基本ACL,指定其名称为flow,并进入其视图。

<Sysname> system-view

[Sysname] acl number 2001 name flow

[Sysname-acl-basic-2001-flow]

【相关命令】

·            display acl

1.1.2  acl copy

acl copy命令用来复制并生成一个新的ACL。

【命令】

acl copy { source-acl-number | name source-acl-name } to { dest-acl-number | name dest-acl-name }

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

source-acl-number:指定源ACL的编号,该ACL必须存在。本参数的取值范围及其代表的ACL类型如下:

·            2000~2999:表示IPv4基本ACL。

·            3000~3999:表示IPv4高级ACL。

·            4000~4999:表示二层ACL。

·            5000~5999:表示用户自定义ACL。

name source-acl-name:指定源ACL的名称,该ACL必须存在。source-acl-name为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。对于基本ACL或高级ACL,表示IPv4基本ACL或IPv4高级ACL的名称。

dest-acl-number:指定目的ACL的编号,该ACL必须不存在。若未指定本参数,系统将为目的ACL自动分配一个与源ACL类型相同且可用的最小编号。本参数的取值范围及其代表的ACL类型如下:

·            2000~2999:表示IPv4基本ACL。

·            3000~3999:表示IPv4高级ACL。

·            4000~4999:表示二层ACL。

·            5000~5999:表示用户自定义ACL。

name dest-acl-name:指定目的ACL的名称,该ACL必须不存在。dest-acl-name为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。若未指定本参数,系统将不会为目的ACL设置名称。对于基本ACL或高级ACL,表示IPv4基本ACL或IPv4高级ACL的名称。

【使用指导】

·            目的ACL的类型要与源ACL的类型相同。

·            目的ACL的名称只能在复制时设置。目的ACL一旦生成,便不允许再修改或删除其原有名称。

·            除了ACL的编号和名称不同外,新生成的ACL(即目的ACL)的匹配顺序、规则匹配统计功能的使能情况、规则编号的步长、所包含的规则、规则的描述信息以及ACL的描述信息等都与源ACL的相同。

【举例】

# 通过复制已存在的IPv4基本ACL 2001,来生成一个新的编号为2002的同类型ACL。

<Sysname> system-view

[Sysname] acl copy 2001 to 2002

1.1.3  acl name

acl name命令用来进入指定名称的ACL视图。

【命令】

acl name acl-name

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

acl-name:指定ACL的名称,该ACL必须存在。acl-name为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。对于基本ACL或高级ACL,表示IPv4基本ACL或IPv4高级ACL的名称。

【举例】

# 进入已存在的、名称为flow的IPv4基本ACL的视图。

<Sysname> system-view

[Sysname] acl name flow

[Sysname-acl-basic-2001-flow]

【相关命令】

·            acl

1.1.4  description

description命令用来配置ACL的描述信息。

undo description命令用来删除ACL的描述信息。

【命令】

description text

undo description

【缺省情况】

ACL没有任何描述信息。

【视图】

IPv4基本ACL视图/IPv4高级ACL视图/二层ACL视图/用户自定义ACL

【缺省用户角色】

network-admin

mdc-admin

【参数】

text:表示ACL的描述信息,为1~127个字符的字符串,区分大小写。

【举例】

# 为IPv4基本ACL 2000配置描述信息。

<Sysname> system-view

[Sysname] acl number 2000

[Sysname-acl-basic-2000] description This is an IPv4 basic ACL.

【相关命令】

·            display acl

1.1.5  display acl

display acl命令用来显示ACL的配置和运行情况。

【命令】

display acl { acl-number | all | name acl-name }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

acl-number:显示指定编号的ACL的配置和运行情况。acl-number表示ACL的编号,取值范围及其代表的ACL类型如下:

·            2000~2999:表示IPv4基本ACL。

·            3000~3999:表示IPv4高级ACL。

·            4000~4999:表示二层ACL。

·            5000~5999:表示用户自定义ACL。

all:显示全部IPv4基本ACL、IPv4高级ACL、二层ACL和用户自定义ACL的配置和运行情况。

name acl-name:显示指定名称的ACL的配置和运行情况。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。对于基本ACL或高级ACL,表示IPv4基本ACL或IPv4高级ACL的名称。

【使用指导】

本命令将按照实际匹配顺序来排列ACL内的规则,即:当ACL的规则匹配顺序为配置顺序时,各规则将按照编号由小到大排列;当ACL的规则匹配顺序为自动排序时,各规则将按照“深度优先”原则由深到浅排列。

【举例】

# 显示IPv4基本ACL 2001的配置和运行情况。

<Sysname> display acl 2001

Basic ACL  2001, named flow, 1 rule, match-order is auto,

This is an IPv4 basic ACL.

ACL's step is 5

 rule 5 permit source 1.1.1.1 0

 rule 5 comment This rule is used on FortyGigE 1/0/1.

表1-1 display acl命令显示信息描述表

字段

描述

Basic ACL  2001

该ACL的类型和编号,ACL的类型包括:

·         Basic ACL:表示IPv4基本ACL

·         Advanced ACL:表示IPv4高级ACL

·         Ethernet frame ACL:表示二层ACL

·         User defined ACL:表示用户自定义ACL

named flow

该ACL的名称为flow,-none-表示没有名称

1 rule

该ACL内包含的规则数量

match-order is auto

该ACL的规则匹配顺序为自动排序(匹配顺序为配置顺序时不显示本字段)

This is an IPv4 basic ACL.

该ACL的描述信息

ACL's step is 5

该ACL的规则编号的步长值为5

rule 5 permit source 1.1.1.1 0

规则5的具体内容

rule 5 comment This rule is used on FortyGigE 1/0/1.

规则5的描述信息

 

1.1.6  display packet-filter

display packet-filter命令用来显示ACL在报文过滤中的应用情况。

【命令】

独立运行模式:

display packet-filter { global [ inbound | outbound ] [ slot slot-number ] | interface [ interface-type interface-number ] [ inbound | outbound ] | interface vlan-interface vlan-interface-number [ inbound | outbound ] [ slot slot-number ] }

IRF模式:

display packet-filter { global [ inbound | outbound ] [ chassis chassis-number slot slot-number ] | interface [ interface-type interface-number ] [ inbound | outbound ] | interface vlan-interface vlan-interface-number [ inbound | outbound ] [ chassis chassis-number slot slot-number ] }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

global:显示ACL在报文过滤中的全局(即所有物理接口)应用情况。仅Release 1138P01及以上版本支持本参数。

interface [ interface-type interface-number ]:显示指定接口上ACL在报文过滤中的应用情况。interface-type interface-number表示接口类型和接口编号,这里的接口类型不包括VLAN接口。若未指定接口类型和接口编号,将显示除VLAN接口以外的所有接口上ACL在报文过滤中的应用情况。

interface vlan-interface vlan-interface-number:显示指定VLAN接口上ACL在报文过滤中的应用情况。vlan-interface-number表示VLAN接口的编号。

inbound:显示入方向上ACL在报文过滤中的应用情况。

outbound:显示出方向上ACL在报文过滤中的应用情况。

slot slot-number:显示指定单板上ACL在报文过滤中的应用情况,slot-number表示单板所在的槽位号。若未指定本参数,将显示主用主控板上ACL在报文过滤中的应用情况。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备指定单板上ACL在报文过滤中的应用情况,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若未指定本参数,将显示全局主用主控板上ACL在报文过滤中的应用情况。(IRF模式)

【使用指导】

若未指定inboundoutbound参数,将同时显示出、入方向上ACL在报文过滤中的应用情况。

【举例】

# 显示接口FortyGigE1/0/1入方向上ACL在报文过滤中的应用情况。

<Sysname> display packet-filter interface fortygige 1/0/1 inbound

Interface: FortyGigE1/0/1                                            

 In-bound policy:                                                              

  ACL 2001 , Hardware-count                                                           

表1-2 display packet-filter命令显示信息描述表

字段

描述

Interface

ACL在指定接口上的应用情况

In-bound policy

ACL在入方向上的应用情况

ACL 2001

IPv4基本ACL 2001应用成功

Hardware-count

规则匹配统计功能应用成功

 

1.1.7  display packet-filter statistics

display packet-filter statistics命令用来显示ACL在报文过滤中应用的统计信息。

【命令】

display packet-filter statistics { global | interface interface-type interface-number } { inbound | outbound } [ acl-number | name acl-name ] [ brief ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

global:显示全局(即所有物理接口)统计信息。仅Release 1138P01及以上版本支持本参数。

interface interface-type interface-number:显示指定接口上的统计信息。interface-type interface-number表示接口类型和接口编号。

inbound:显示入方向上的统计信息。

outbound:显示出方向上的统计信息。

acl-number:显示指定编号ACL在报文过滤中应用的统计信息。acl-number表示ACL的编号,取值范围及其代表的ACL类型如下:

·            2000~2999:表示IPv4基本ACL。

·            3000~3999:表示IPv4高级ACL。

·            4000~4999:表示二层ACL。

·            5000~5999:表示用户自定义ACL。

name acl-name:显示指定名称ACL在报文过滤中应用的统计信息。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。对于基本ACL或高级ACL,表示IPv4基本ACL或IPv4高级ACL的名称。

brief:显示简要统计信息。

【使用指导】

若未指定acl-numbername acl-name参数,将显示全部ACL在报文过滤中应用的统计信息。

【举例】

# 显示接口FortyGigE1/0/1入方向上全部ACL在报文过滤中应用的统计信息。

<Sysname> display packet-filter statistics interface fortygige 1/0/1 inbound

Interface: FortyGigE1/0/1                                            

 In-bound policy:                                                              

  ACL 2001, Hardware-count                                                     

   From 2013-06-09 13:31:00 to 2013-06-09 13:31:42                             

   rule 0 permit source 2.2.2.2 0                                              

   rule 5 permit source 1.1.1.1 0                                              

   Totally 0 packets permitted, 0 packets denied                                

   Totally 0% permitted, 0% denied                                             

表1-3 display packet-filter statistics命令显示信息描述表

字段

描述

Interface

在指定接口上应用的统计信息

In-bound policy

在入方向上应用的统计信息

ACL 2001

IPv4基本ACL 2001应用成功

Hardware-count

规则匹配统计功能应用成功

From 2013-06-09 13:31:00 to 2013-06-09 13:31:42

该统计的起始和终止时间

Totally 0 packets permitted, 0 packets denied

该ACL允许和拒绝符合条件报文的个数

Totally 0% permitted, 0% denied

该ACL允许和拒绝符合条件报文的百分比

 

【相关命令】

·            reset packet-filter statistics

1.1.8  display packet-filter statistics sum

display packet-filter statistics sum命令用来显示ACL在报文过滤中应用的累加统计信息。

【命令】

display packet-filter statistics sum { inbound | outbound } { acl-number | name acl-name } [ brief ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

inbound:显示入方向上ACL在报文过滤中应用的累加统计信息。

outbound:显示出方向上ACL在报文过滤中应用的累加统计信息。

acl-number:显示指定编号ACL在报文过滤中应用的累加统计信息。acl-number表示ACL的编号,取值范围及其代表的ACL类型如下:

·            2000~2999:表示IPv4基本ACL。

·            3000~3999:表示IPv4高级ACL。

·            4000~4999:表示二层ACL。

·            5000~5999:表示用户自定义ACL。

name acl-name:显示指定名称ACL在报文过滤中应用的累加统计信息。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。对于基本ACL或高级ACL,表示IPv4基本ACL或IPv4高级ACL的名称。

brief:显示ACL在报文过滤中应用的简要累加统计信息。

【举例】

# 显示入方向上IPv4基本ACL 2001在报文过滤中应用的累加统计信息。

<Sysname> display packet-filter statistics sum inbound 2001

Sum:

 In-bound policy:

  ACL 2001

   rule 0 permit source 2.2.2.2 0 (2 packets)

   rule 5 permit source 1.1.1.1 0

   Totally 0 packets permitted, 0 packets denied                               

   Totally 0% permitted, 0% denied

表1-4 display packet-filter statistics sum命令显示信息描述表

字段

描述

Sum

ACL在报文过滤中应用的累加统计信息

In-bound policy

ACL在入方向上应用的累加统计信息

ACL 2001

IPv4基本ACL 2001应用的累加统计信息

2 packets

该规则匹配了2个包(当匹配的包个数为0时不显示本字段)

Totally 0 packets permitted, 0 packets denied

该ACL允许和拒绝符合条件报文的个数

Totally 0% permitted, 0% denied

该ACL允许和拒绝符合条件报文的百分比

 

【相关命令】

·            reset packet-filter statistics

1.1.9  display packet-filter verbose

display packet-filter verbose命令用来显示ACL在报文过滤中的详细应用情况。

【命令】

独立运行模式:

display packet-filter verbose { global | interface interface-type interface-number } { inbound | outbound } [ acl-number | name acl-name ] [ slot slot-number ]

IRF模式:

display packet-filter verbose { global | interface interface-type interface-number } { inbound | outbound } [ acl-number | name acl-name ] [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

global:显示ACL在报文过滤中的全局(即所有物理接口)详细应用情况。仅Release 1138P01及以上版本支持本参数。

interface interface-type interface-number:显示指定接口上ACL在报文过滤中的详细应用情况。interface-type interface-number表示接口类型和接口编号。

inbound:显示入方向上ACL在报文过滤中的详细应用情况。

outbound:显示出方向上ACL在报文过滤中的详细应用情况。

acl-number:显示指定编号ACL在报文过滤中的详细应用情况。acl-number表示ACL的编号,取值范围及其代表的ACL类型如下:

·            2000~2999:表示IPv4基本ACL。

·            3000~3999:表示IPv4高级ACL。

·            4000~4999:表示二层ACL。

·            5000~5999:表示用户自定义ACL。

name acl-name:显示指定名称ACL在报文过滤中的详细应用情况。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。对于基本ACL或高级ACL,表示IPv4基本ACL或IPv4高级ACL的名称。

slot slot-number:显示指定单板上ACL在报文过滤中的详细应用情况,slot-number表示单板所在的槽位号。若未指定本参数,将显示主用主控板上ACL在报文过滤中的详细应用情况。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备指定单板上ACL在报文过滤中的详细应用情况,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若未指定本参数,将显示全局主用主控板上ACL在报文过滤中的详细应用情况。(IRF模式)

【使用指导】

若未指定acl-numbername acl-name参数,将显示全部ACL在报文过滤中的详细应用情况。

【举例】

# 显示接口FortyGigE1/0/1入方向上全部ACL在报文过滤中的详细应用情况。

<Sysname> display packet-filter verbose interface fortygige 1/0/1 inbound

Interface: FortyGigE1/0/1                                            

 In-bound policy:                                                              

  ACL 2001, Hardware-count                                                      

   rule 0 permit source 2.2.2.2 0                                              

   rule 5 permit source 1.1.1.1 0                                              

表1-5 display packet-filter verbose命令显示信息描述表

字段

描述

Interface

ACL在指定接口上的详细应用情况

In-bound policy

ACL在入方向上的详细应用情况

ACL 2001

IPv4基本ACL 2001应用成功

Hardware-count

规则匹配统计功能应用成功

 

1.1.10  display qos-acl resource

display qos-acl resource命令用来显示QoS和ACL资源的使用情况。

【命令】

独立运行模式:

display qos-acl resource [ slot slot-number ]

IRF模式:

display qos-acl resource [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

slot slot-number:显示指定单板上QoS和ACL资源的使用情况,slot-number表示单板所在的槽位号。若未指定本参数,将显示所有单板上QoS和ACL资源的使用情况。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备指定单板上QoS和ACL资源的使用情况,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若未指定本参数,将显示IRF中所有成员设备的所有单板上QoS和ACL资源的使用情况。(IRF模式)

【使用指导】

如果指定的单板、主控板或者成员设备不支持统计QoS和ACL资源,将不会显示该单板、主控板或者成员设备上QoS和ACL资源的使用情况。

【举例】

# 显示QoS和ACL资源的使用情况。

<Sysname> display qos-acl resource

Interfaces: FGE1/0/1 to FGE1/0/6                                           

---------------------------------------------------------------------          

 Type             Total      Reserved   Configured Remaining  Usage            

---------------------------------------------------------------------          

 IFP ACL          23040      4608       0          18432      20%              

 IFP Meter        30720      48         0          30672      0%                

 IFP Counter      8191       49         0          8142       0%               

 EFP ACL          9216       0          0          9216       0%               

                                                                               

Interfaces: FGE1/0/7 to FGE1/0/12                                          

---------------------------------------------------------------------          

 Type             Total      Reserved   Configured Remaining  Usage            

---------------------------------------------------------------------          

 IFP ACL          23040      4608       0          18432      20%              

 IFP Meter        30720      48         0          30672      0%               

 IFP Counter      8191       49         0          8142       0%               

 EFP ACL          9216       0          0          9216       0%

表1-6 display qos-acl resource命令显示信息描述表

字段

描述

Interfaces

资源对应的接口范围

Type

资源类型:

·         ACL表示ACL规则资源

·         Meter表示流量监管资源

·         Counter表示流量统计资源

·         IFP表示入方向的资源数目

·         EFP表示出方向的资源数目

Total

资源总数

Reserved

预留的资源数

Configured

已经配置的资源数

Remaining

剩余可用的资源数

Usage

预留的资源数与已配置的资源数之和占资源总数的百分比,分子按实际计算结果的整数部分显示,例如实际计算结果为50.8%,此处显示为50%。

 

1.1.11  packet-filter

packet-filter命令用来在接口上应用ACL进行报文过滤。

undo packet-filter命令用来取消在接口上应用ACL进行报文过滤。

【命令】

packet-filter { acl-number | name acl-name } { inbound [ extension ] | outbound } [ hardware-count ]

undo packet-filter { acl-number | name acl-name } { inbound | outbound }

【缺省情况】

接口不对报文进行过滤。

【视图】

二层以太网接口视图/三层以太网接口视图/三层以太网子接口视图/VLAN接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

acl-number:指定ACL的编号,取值范围及其代表的ACL类型如下:

·            2000~2999:表示IPv4基本ACL。

·            3000~3999:表示IPv4高级ACL。

·            4000~4999:表示二层ACL。

·            5000~5999:表示用户自定义ACL。

name acl-name:指定ACL的名称。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。对于基本ACL或高级ACL,表示IPv4基本ACL或IPv4高级ACL的名称。

inbound:对收到的报文进行过滤。

outbound:对发出的报文进行过滤。

extension:表示使用TCAM中的资源来实现报文过滤。仅Release 1138P01及以上版本支持本参数。

hardware-count:表示使能规则匹配统计功能,缺省为关闭。本参数用于使能指定ACL内所有规则的匹配统计功能,而rule命令中的counting参数则用于使能当前规则的匹配统计功能。

【使用指导】

在使用extension参数前,请先将设备硬件资源的运行模式设置为ACL模式。关于设备硬件资源运行模式的介绍,请参见“基础配置指导”中的“设备管理”。

使用IPv4高级ACL对ACK或RST标志位为1的TCP报文进行分类后,如果packet-filter命令直接指定该IPv4高级ACL,则仅支持过滤接口收到的这类报文。

对于ACK或RST标志位为1的TCP报文,如果使用packet-filter命令对接口发出的这类报文进行过滤:

(1)       建议先通过QoS策略的方式重标记这类报文的QoS本地ID值;

(2)       使用IPv4高级ACL匹配重标记的QoS本地ID值;

(3)       通过packet-filter命令应用匹配重标记QoS本地ID值的IPv4高级ACL,实现对接口发出的这类报文进行过滤,即过滤接口发出的ACK或RST标志位为1的TCP报文。

关于过滤接口发出的ACK或RST标志位为1的TCP报文的举例,请查看“ACL和QoS配置指导”中的“ACL配置”。

【举例】

# 应用IPv4基本ACL 2001对接口FortyGigE1/0/1收到的报文进行过滤,并对过滤的报文进行统计。

<Sysname> system-view

[Sysname] interface fortygige 1/0/1

[Sysname-FortyGigE1/0/1] packet-filter 2001 inbound hardware-count

【相关命令】

·            display packet-filter

·            display packet-filter statistics

·            display packet-filter verbose

1.1.12  packet-filter default deny

packet-filter default deny命令用来配置报文过滤的缺省动作为Deny,即禁止未匹配上ACL规则的报文通过。

undo packet-filter default deny命令用来恢复缺省情况。

【命令】

packet-filter default deny

undo packet-filter default deny

【缺省情况】

报文过滤的缺省动作为Permit,即允许未匹配上ACL规则的报文通过。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

配置报文过滤的缺省动作会在所有的应用对象下添加一个缺省动作应用,该应用也会像其它应用的ACL一样显示。

【举例】

# 配置报文过滤的缺省动作为Deny。

<Sysname> system-view

[Sysname] packet-filter default deny

【相关命令】

·            display packet-filter

·            display packet-filter statistics

·            display packet-filter verbose

1.1.13  packet-filter global

packet-filter global命令用来全局应用ACL进行报文过滤。

undo packet-filter global命令用来取消全局应用ACL进行报文过滤。

【命令】

packet-filter { acl-number | name acl-name } global { inbound | outbound } [ hardware-count ]

undo packet-filter { acl-number | name acl-name } global { inbound | outbound }

【缺省情况】

全局不对报文进行过滤。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

acl-number:指定ACL的编号,取值范围及其代表的ACL类型如下:

·            2000~2999:表示IPv4基本ACL。

·            3000~3999:表示IPv4高级ACL。

·            4000~4999:表示二层ACL。

·            5000~5999:表示用户自定义ACL。

name acl-name:指定ACL的名称。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。对于基本ACL或高级ACL,表示IPv4基本ACL或IPv4高级ACL的名称。

inbound:对收到的报文进行过滤。

outbound:对发出的报文进行过滤。

hardware-count:表示使能规则匹配统计功能,缺省为关闭。本参数用于使能指定ACL内所有规则的匹配统计功能,而rule命令中的counting参数则用于使能当前规则的匹配统计功能。

【使用指导】

仅Release 1138P01及以上版本支持本命令。

【举例】

# 应用IPv4基本ACL 2001对收到的报文进行过滤,并对过滤的报文进行统计。

<Sysname> system-view

[Sysname] packet-filter 2001 global inbound hardware-count

【相关命令】

·            display packet-filter

·            display packet-filter statistics

·            display packet-filter verbose

1.1.14  reset acl counter

reset acl counter命令用来清除ACL的统计信息。

【命令】

reset acl counter { acl-number | all | name acl-name }

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

acl-number:清除指定编号ACL的统计信息。acl-number表示ACL的编号,取值范围及其代表的ACL类型如下:

·            2000~2999:表示IPv4基本ACL。

·            3000~3999:表示IPv4高级ACL。

·            4000~4999:表示二层ACL。

·            5000~5999:表示用户自定义ACL。

all:清除全部IPv4基本ACL、IPv4高级ACL、二层ACL和用户自定义ACL的统计信息。

name acl-name:清除指定名称ACL的统计信息。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。对于基本ACL或高级ACL,表示IPv4基本ACL或IPv4高级ACL的名称。

【举例】

# 清除IPv4基本ACL 2001的统计信息。

<Sysname> reset acl counter 2001

【相关命令】

·            display acl

1.1.15  reset packet-filter statistics

reset packet-filter statistics命令用来清除ACL在报文过滤中应用的统计信息(包括累加统计信息)。

【命令】

reset packet-filter statistics { global | interface [ interface-type interface-number ] } { inbound | outbound } [ acl-number | name acl-name ]

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

global:清除全局(即所有物理接口)统计信息。仅Release 1138P01及以上版本支持本参数。

interface [ interface-type interface-number ]:清除指定接口上的统计信息。interface-type interface-number表示接口类型和接口编号。若未指定接口类型和接口编号,将清除所有接口上的统计信息。

inbound:清除入方向上的统计信息。

outbound:清除出方向上的统计信息。

acl-number:清除指定编号ACL在报文过滤中应用的统计信息。acl-number表示ACL的编号,取值范围及其代表的ACL类型如下:

·            2000~2999:表示IPv4基本ACL。

·            3000~3999:表示IPv4高级ACL。

·            4000~4999:表示二层ACL。

·            5000~5999:表示用户自定义ACL。

name acl-name:清除指定名称ACL在报文过滤中应用的统计信息。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。对于基本ACL或高级ACL,表示IPv4基本ACL或IPv4高级ACL的名称。

【使用指导】

若未指定acl-numbername acl-name参数,将清除全部ACL在报文过滤中应用的统计信息。

【举例】

# 清除接口FortyGigE1/0/1入方向上IPv4基本ACL 2001在报文过滤中应用的统计信息。

<Sysname> reset packet-filter statistics interface fortygige 1/0/1 inbound 2001

【相关命令】

·            display packet-filter statistics

·            display packet-filter statistics sum

1.1.16  rule (Ethernet frame header ACL view)

rule命令用来为二层ACL创建一条规则。

undo rule命令用来为二层ACL删除一条规则或删除规则中的部分内容。

【命令】

rule [ rule-id ] { deny | permit } [ cos vlan-pri | counting | dest-mac dest-address dest-mask | { lsap lsap-type lsap-type-mask | type protocol-type protocol-type-mask } | source-mac source-address source-mask | time-range time-range-name ] *

undo rule rule-id [ counting | time-range ] *

【缺省情况】

二层ACL内不存在任何规则。

【视图】

二层ACL视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

rule-id:指定二层ACL规则的编号,取值范围为0~65534。若未指定本参数,系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。

deny:表示拒绝符合条件的报文。

permit:表示允许符合条件的报文。

cos vlan-pri:指定802.1p优先级。vlan-pri表示802.1p优先级,可输入的形式如下:

·            数字:取值范围为0~7;

·            名称:best-effortbackgroundspareexcellent-effortcontrolled-loadvideovoicenetwork-management,依次对应于数字0~7。

counting:表示使能规则匹配统计功能,缺省为关闭。本参数用于使能本规则的匹配统计功能,而packet-filter命令中的hardware-count参数则用于使能指定ACL内所有规则的匹配统计功能。

dest-mac dest-address dest-mask:指定目的MAC地址范围。dest-address表示目的MAC地址,格式为H-H-H。dest-mask表示目的MAC地址的掩码,格式为H-H-H。

lsap lsap-type lsap-type-mask:指定LLC封装中的DSAP字段和SSAP字段。lsap-type表示数据帧的封装格式,为16比特的十六进制数。lsap-type-mask表示LSAP的类型掩码,为16比特的十六进制数,用于指定屏蔽位。

type protocol-type protocol-type-mask:指定链路层协议类型。protocol-type表示16比特的十六进制数表征的数据帧类型,对应Ethernet_II类型和Ethernet_SNAP类型帧中的type域。protocol-type-mask表示类型掩码,为16比特的十六进制数,用于指定屏蔽位。

source-mac source-address source-mask:指定源MAC地址范围。source-address表示源MAC地址,格式为H-H-H。source-mask表示源MAC地址的掩码,格式为H-H-H。

time-range time-range-name:指定本规则生效的时间段。time-range-name表示时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。若该时间段尚未配置,该规则仍会成功创建但系统将给出提示信息,并在该时间段的配置完成后此规则才会生效。有关时间段的详细介绍和具体配置过程,请参见“ACL和QoS配置指导”中的“时间段”。

【使用指导】

·            使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。

·            新创建或修改的规则不能与已有规则的内容完全相同,否则将提示出错,并导致该操作失败。

·            当ACL的规则匹配顺序为配置顺序时,允许修改该ACL内的任意一条已有规则;当ACL的规则匹配顺序为自动排序时,不允许修改该ACL内的已有规则,否则将提示出错。

·            使用undo rule命令时,如果没有指定任何可选参数,则删除整条规则;如果指定了可选参数,则只删除该参数所对应的内容。

·            使用undo rule命令时必须指定一个已存在规则的编号,可以使用display acl all命令来查看所有已存在的规则。

·            当二层ACL用于QoS策略的流分类或用于报文过滤功能时:

¡  如果使用lsap参数,则lsap-type必须为AAAA,lsap-type-mask必须为FFFF,否则ACL将无法正常应用。

¡  如果QoS策略或报文过滤功能应用于出方向,则不支持配置lsaptypecounting参数。

【举例】

# 为二层ACL 4000创建规则如下:拒绝源MAC地址前缀为000f-e2的所有报文通过。

<Sysname> system-view

[Sysname] acl number 4000

[Sysname-acl-ethernetframe-4000] rule deny source-mac 000f-e200-0000 ffff-ff00-0000

【相关命令】

·            acl

·            display acl

·            step

·            time-range(ACL和QoS命令参考/时间段)

1.1.17  rule (IPv4 advanced ACL view)

rule命令用来为IPv4高级ACL创建一条规则。

undo rule命令用来为IPv4高级ACL删除一条规则或删除规则中的部分内容。

【命令】

rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { dest-address dest-wildcard | any } | destination-port operator port1 [ port2 ] | { dscp dscp | { precedence precedence | tos tos } * } | fragment | icmp-type { icmp-type [ icmp-code ] | icmp-message } | qos-local-id local-id-value | source { source-address source-wildcard | any } | source-port operator port1 [ port2 ] | time-range time-range-name | vpn-instance vpn-instance-name ] *

undo rule rule-id [ { { ack | fin | psh | rst | syn | urg } * | established } | counting | destination | destination-port | { dscp | { precedence | tos } * } | fragment | icmp-type | qos-local-id | source | source-port | time-range | vpn-instance ] *

【缺省情况】

IPv4高级ACL内不存在任何规则。

【视图】

IPv4高级ACL视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

rule-id:指定IPv4高级ACL规则的编号,取值范围为0~65534。若未指定本参数,系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。

deny:表示拒绝符合条件的报文。

permit:表示允许符合条件的报文。

protocol:表示IPv4承载的协议类型,可输入的形式如下:

·            数字:取值范围为0~255;

·            名称(括号内为对应的数字):可选取gre(47)、icmp(1)、igmp(2)、ipipinip(4)、ospf(89)、tcp(6)或udp(17)。

protocol之后可配置如表1-7所示的规则信息参数。

表1-7 规则信息参数

参数

类别

作用

说明

source { source-address source-wildcard | any }

源地址信息

指定ACL规则的源地址信息

source-address:源IP地址

source-wildcard:源IP地址的通配符掩码(为0表示主机地址)

any:任意源IP地址

destination { dest-address dest-wildcard | any }

目的地址信息

指定ACL规则的目的地址信息

dest-address:目的IP地址

dest-wildcard:目的IP地址的通配符掩码(为0表示主机地址)

any:任意目的IP地址

counting

统计

使能规则匹配统计功能,缺省为关闭

本参数用于使能本规则的匹配统计功能,而packet-filter命令中的hardware-count参数则用于使能指定ACL内所有规则的匹配统计功能

precedence precedence

报文优先级

IP优先级

precedence用数字表示时,取值范围为0~7;用文字表示时,分别对应routinepriorityimmediateflashflash-overridecriticalinternetnetwork

tos tos

报文优先级

ToS优先级

tos用数字表示时,取值范围为0~15;用文字表示时,可以选取max-reliability(2)、max-throughput(4)、min-delay(8)、min-monetary-cost(1)、normal(0)

dscp dscp

报文优先级

DSCP优先级

dscp用数字表示时,取值范围为0~63;用文字表示时,可以选取af11(10)、af12(12)、af13(14)、af21(18)、af22(20)、af23(22)、af31(26)、af32(28)、af33(30)、af41(34)、af42(36)、af43(38)、cs1(8)、cs2(16)、cs3(24)、cs4(32)、cs5(40)、cs6(48)、cs7(56)、default(0)、ef(46)

fragment

分片信息

对所有分片报文生效

若未指定该参数,则表示该规则对所有报文(包括非分片报文和分片报文的每个分片)均有效

time-range time-range-name

时间段

指定本规则生效的时间段

time-range-name:时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。若该时间段尚未配置,该规则仍会成功创建但系统将给出提示信息,并在该时间段的配置完成后此规则才会生效。有关时间段的详细介绍和具体配置过程,请参见“ACL和QoS配置指导”中的“时间段”

qos-local-id local-id-value

QoS本地ID

指定ACL规则的QoS本地ID

local-id-value:QoS本地ID值,取值范围为1~4095,缺省情况下未配置QoS本地ID值。有关QoS本地ID值的详细介绍和具体配置过程,请参见“三层技术-IP路由配置指导”中的“路由策略”

仅Release 1138P01及以上版本支持本参数

vpn-instance vpn-instance-name

VPN实例

对指定VPN实例中的报文有效

vpn-instance-name:MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写

若未指定本参数,表示该规则对非VPN报文和VPN报文均有效

 

protocoltcp(6)或udp(17)时,用户还可配置如表1-8所示的规则信息参数。

表1-8 TCP/UDP特有的规则信息参数

参数

类别

作用

说明

source-port operator port1 [ port2 ]

源端口

定义TCP/UDP报文的源端口信息

operator为操作符,取值可以为lt(小于)、gt(大于)、eq(等于)、neq(不等于)或者range(在范围内,包括边界值)。只有操作符range需要两个端口号做操作数,其它的只需要一个端口号做操作数

port1port2:TCP或UDP的端口号,用数字表示时,取值范围为0~65535;用文字表示时,TCP端口号可以选取chargen(19)、bgp(179)、cmd(514)、daytime(13)、discard(9)、dns(53)、domain(53)、echo (7)、exec (512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)、www(80);UDP端口号可以选取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)、xdmcp(177)

如果使用domain关键字来指定TCP端口号,在配置文件中保存时关键字将显示为dns

destination-port operator port1 [ port2 ]

目的端口

定义TCP/UDP报文的目的端口信息

{ ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } *

TCP报文标识

定义对携带不同标志位(包括ACK、FIN、PSH、RST、SYN和URG六种)的TCP报文的处理规则

TCP协议特有的参数。表示匹配携带不同标志位的TCP报文,各value的取值可为0或1(0表示不携带此标志位,1表示携带此标志位)

如果在一条规则中设置了多个TCP标志位的匹配值,则这些匹配条件之间的关系为“与”。譬如:当配置为ack 0 psh 1时,表示匹配不携带ACK且携带PSH标志位的TCP报文

established

TCP连接建立标识

定义对TCP连接报文的处理规则

TCP协议特有的参数,用于定义TCP报文中ACK或RST标志位为1的报文

 

protocolicmp(1)时,用户还可配置如表1-9所示的规则信息参数。

表1-9 ICMP特有的规则信息参数

参数

类别

作用

说明

icmp-type { icmp-type icmp-code | icmp-message }

ICMP报文的消息类型和消息码信息

指定本规则中ICMP报文的消息类型和消息码信息

icmp-type:ICMP消息类型,取值范围为0~255

icmp-code:ICMP消息码,取值范围为0~255

icmp-message:ICMP消息名称。可以输入的ICMP消息名称,及其与消息类型和消息码的对应关系如表1-10所示

 

表1-10 ICMP消息名称与消息类型和消息码的对应关系

ICMP消息名称

ICMP消息类型

ICMP消息码

echo

8

0

echo-reply

0

0

fragmentneed-DFset

3

4

host-redirect

5

1

host-tos-redirect

5

3

host-unreachable

3

1

information-reply

16

0

information-request

15

0

net-redirect

5

0

net-tos-redirect

5

2

net-unreachable

3

0

parameter-problem

12

0

port-unreachable

3

3

protocol-unreachable

3

2

reassembly-timeout

11

1

source-quench

4

0

source-route-failed

3

5

timestamp-reply

14

0

timestamp-request

13

0

ttl-exceeded

11

0

 

【使用指导】

·            使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。

·            新创建或修改的规则不能与已有规则的内容完全相同,否则将提示出错,并导致该操作失败。

·            当ACL的规则匹配顺序为配置顺序时,允许修改该ACL内的任意一条已有规则;当ACL的规则匹配顺序为自动排序时,不允许修改该ACL内的已有规则,否则将提示出错。

·            使用undo rule命令时,如果没有指定任何可选参数,则删除整条规则;如果指定了可选参数,则只删除该参数所对应的内容。

·            使用undo rule命令时必须指定一个已存在规则的编号,可以使用display acl all命令来查看所有已存在的规则。

·            当IPv4高级ACL用于QoS策略的流分类或用于报文过滤功能时:

¡  不支持配置vpn-instance参数。

¡  不支持配置操作符operator取值为neq

¡  如果QoS策略或报文过滤功能应用于出方向,则不支持配置操作符operator取值为gtltrange,也不支持配置counting参数,并且只能匹配三层转发报文。

【举例】

# 为IPv4高级ACL 3000创建规则如下:允许129.9.0.0/16网段内的主机与202.38.160.0/24网段内主机的WWW端口(端口号为80)建立连接。

<Sysname> system-view

[Sysname] acl number 3000

[Sysname-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80

# 为IPv4高级ACL 3001创建规则如下:允许IP报文通过,但拒绝发往192.168.1.0/24网段的ICMP报文通过。

<Sysname> system-view

[Sysname] acl number 3001

[Sysname-acl-adv-3001] rule deny icmp destination 192.168.1.0 0.0.0.255

[Sysname-acl-adv-3001] rule permit ip

# 为IPv4高级ACL 3002创建规则如下:在出、入双方向上都允许建立FTP连接并传输FTP数据。

<Sysname> system-view

[Sysname] acl number 3002

[Sysname-acl-adv-3002] rule permit tcp source-port eq ftp

[Sysname-acl-adv-3002] rule permit tcp source-port eq ftp-data

[Sysname-acl-adv-3002] rule permit tcp destination-port eq ftp

[Sysname-acl-adv-3002] rule permit tcp destination-port eq ftp-data

# 为IPv4高级ACL 3003创建规则如下:在出、入双方向上都允许SNMP报文和SNMP Trap报文通过。

<Sysname> system-view

[Sysname] acl number 3003

[Sysname-acl-adv-3003] rule permit udp source-port eq snmp

[Sysname-acl-adv-3003] rule permit udp source-port eq snmptrap

[Sysname-acl-adv-3003] rule permit udp destination-port eq snmp

[Sysname-acl-adv-3003] rule permit udp destination-port eq snmptrap

【相关命令】

·            acl

·            display acl

·            step

·            time-range(ACL和QoS命令参考/时间段)

1.1.18  rule (IPv4 basic ACL view)

rule命令用来为IPv4基本ACL创建一条规则。

undo rule命令用来为IPv4基本ACL删除一条规则或删除规则中的部分内容。

【命令】

rule [ rule-id ] { deny | permit } [ counting | fragment | source { source-address source-wildcard | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *

undo rule rule-id [ counting | fragment | source | time-range | vpn-instance ] *

【缺省情况】

IPv4基本ACL内不存在任何规则。

【视图】

IPv4基本ACL视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

rule-id:指定IPv4基本ACL规则的编号,取值范围为0~65534。若未指定本参数,系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。

deny:表示拒绝符合条件的报文。

permit:表示允许符合条件的报文。

counting:表示使能规则匹配统计功能,缺省为关闭。本参数用于使能本规则的匹配统计功能,而packet-filter命令中的hardware-count参数则用于使能指定ACL内所有规则的匹配统计功能。

fragment:表示对所有分片报文生效。若未指定本参数,表示该规则对非分片报文和分片报文均有效。

source { source-address source-wildcard | any }:指定规则的源IP地址信息。source-address表示报文的源IP地址,source-wildcard表示源IP地址的通配符掩码(为0表示主机地址),any表示任意源IP地址。

time-range time-range-name:指定本规则生效的时间段。time-range-name表示时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。若该时间段尚未配置,该规则仍会成功创建但系统将给出提示信息,并在该时间段的配置完成后此规则才会生效。有关时间段的详细介绍和具体配置过程,请参见“ACL和QoS配置指导”中的“时间段”。

vpn-instance vpn-instance-name:表示对指定VPN实例中的报文有效。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,表示该规则对非VPN报文和VPN报文均有效。

【使用指导】

·            使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。

·            新创建或修改的规则不能与已有规则的内容完全相同,否则将提示出错,并导致该操作失败。

·            当ACL的规则匹配顺序为配置顺序时,允许修改该ACL内的任意一条已有规则;当ACL的规则匹配顺序为自动排序时,不允许修改该ACL内的已有规则,否则将提示出错。

·            使用undo rule命令时,如果没有指定任何可选参数,则删除整条规则;如果指定了可选参数,则只删除该参数所对应的内容。

·            使用undo rule命令时必须指定一个已存在规则的编号,可以使用display acl all命令来查看所有已存在的规则。

·            当IPv4基本ACL用于QoS策略的流分类或用于报文过滤功能时:

¡  不支持配置vpn-instance参数。

¡  如果QoS策略或报文过滤功能应用于出方向,也不支持配置counting参数,则只能匹配三层转发报文。

【举例】

# 为IPv4基本ACL 2000创建规则如下:仅允许来自10.0.0.0/8、172.17.0.0/16和192.168.1.0/24网段的报文通过,而拒绝来自所有其它网段的报文通过。

<Sysname> system-view

[Sysname] acl number 2000

[Sysname-acl-basic-2000] rule permit source 10.0.0.0 0.255.255.255

[Sysname-acl-basic-2000] rule permit source 172.17.0.0 0.0.255.255

[Sysname-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255

[Sysname-acl-basic-2000] rule deny source any

【相关命令】

·            acl

·            display acl

·            step

·            time-range(ACL和QoS命令参考/时间段)

1.1.19  rule (user-defined ACL view)

rule命令用来为用户自定义ACL创建一条规则。

undo rule命令用来为用户自定义ACL删除一条规则。

【命令】

rule [ rule-id ] { deny | permit } [ { l2  rule-string rule-mask offset }&<1-8> ] [ counting | time-range time-range-name ] *

undo rule rule-id

【缺省情况】

用户自定义ACL内不存在任何规则。

【视图】

用户自定义ACL视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

rule-id:指定用户自定义ACL规则的编号,取值范围为0~65534。若未指定本参数,系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。

deny:表示拒绝符合条件的报文。

permit:表示允许符合条件的报文。

l2:表示从L2帧头开始偏移。

rule-string:指定用户自定义的规则字符串,必须是16进制数组成,字符长度必须是偶数。

rule-mask:指定规则字符串的掩码,用于和报文作“与”操作,必须是16进制数组成,字符长度必须是偶数,且必须与rule-string的长度相同。

offset:指定偏移量,它以用户指定的报文头部为基准,指定从第几个字节开始进行比较。

&<1-8>:表示前面的参数最多可以输入8次。

counting:表示使能规则匹配统计功能,缺省为关闭。本参数用于使能本规则的匹配统计功能,而packet-filter命令中的hardware-count参数则用于使能指定ACL内所有规则的匹配统计功能。

time-range time-range-name:指定本规则生效的时间段。time-range-name表示时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。若该时间段尚未配置,该规则仍会成功创建但系统将给出提示信息,并在该时间段的配置完成后此规则才会生效。有关时间段的详细介绍和具体配置过程,请参见“ACL和QoS配置指导”中的“时间段”。

【使用指导】

·            使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则直接对旧规则进行覆盖,原有该编号的旧规则被删除。

·            新创建的规则不能与已有规则的内容完全相同,否则将提示出错,并导致创建失败。

·            使用undo rule命令时必须指定一个已存在规则的编号,可以使用display acl all命令来查看所有已存在的二层ACL规则、IPv4高级ACL规则、IPv4基本ACL规则以及用户自定义ACL规则。

·            需要注意的是,当自定义ACL用于QoS策略的流分类或是包过滤功能时,不能在出方向进行应用。

【举例】

# 为用户自定义ACL 5005创建规则如下:允许从L2帧头开始算起第13、14两字节的内容为0x0806的报文(即ARP报文)通过。

<Sysname> system-view

[Sysname] acl number 5005

[Sysname-acl-user-5005] rule permit l2 0806 ffff 12

【相关命令】

·            acl

·            display acl

·            time-range(ACL和QoS命令参考/时间段)

1.1.20  rule comment

rule comment命令用来为指定规则配置描述信息。

undo rule comment命令用来删除指定规则的描述信息。

【命令】

rule rule-id comment text

undo rule rule-id comment

【缺省情况】

规则没有任何描述信息。

【视图】

IPv4基本ACL视图/IPv4高级ACL视图/二层ACL视图/用户自定义ACL视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

rule-id:指定规则的编号,该规则必须存在。取值范围为0~65534。

text:表示规则的描述信息,为1~127个字符的字符串,区分大小写。

【使用指导】

使用rule comment命令时,如果指定的规则没有描述信息,则为其添加描述信息,否则修改其描述信息。

【举例】

# 为IPv4基本ACL 2000配置规则0,并为该规则配置描述信息。

<Sysname> system-view

[Sysname] acl number 2000

[Sysname-acl-basic-2000] rule 0 deny source 1.1.1.1 0

[Sysname-acl-basic-2000] rule 0 comment This rule is used for telnet.

【相关命令】

·            display acl

1.1.21  step

step命令用来配置规则编号的步长。

undo step命令用来恢复缺省情况。

【命令】

step step-value

undo step

【缺省情况】

规则编号的步长为5。

【视图】

IPv4基本ACL视图/IPv4高级ACL视图/二层ACL视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

step-value:表示规则编号的步长值,取值范围为1~20。

【举例】

# 将IPv4基本ACL 2000的规则编号的步长配置为2。

<Sysname> system-view

[Sysname] acl number 2000

[Sysname-acl-basic-2000] step 2

【相关命令】

·            display acl

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!