- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
16-ACL命令
本章节下载 (160.12 KB)
目 录
【命令】
acl number acl-number [ match-order { config | auto } ]
undo acl
{ number acl-number | all }
【视图】
系统视图
【参数】
number acl-number:ACL(Access Control List,访问控制列表)的序号,取值范围为2000~3999。
l
2000~2999:基本ACL。
l
3000~3999:高级ACL(ACL 3998与3999是系统为集群管理预留的编号,用户无法配置)。
match-order:指定规则的匹配顺序。
l
config:指定匹配该规则时按用户的配置顺序;
l
auto:指定匹配该规则时设备自动排序(按“深度优先”顺序)。
all:所有的ACL。
【描述】
acl命令用于创建一条ACL,并进入相应的ACL视图。undo acl命令用于删除指定的ACL,或者删除全部ACL。
ACL支持两种匹配顺序,如下所示:
l
配置顺序:根据配置顺序匹配ACL规则。
l
自动排序:根据“深度优先”规则匹配ACL规则。
“深度优先”规则说明如下:
l
基本ACL的深度优先以源IP地址掩码长度排序,掩码越长的规则位置越靠前。排序时比较源IP地址掩码长度,若源IP地址掩码长度相等,则先配置的规则匹配位置靠前。例如,源IP地址掩码为255.255.255.0的规则比源IP地址掩码为255.255.0.0的规则匹配位置靠前。
l
高级ACL的深度优先以源IP地址掩码和目的IP地址掩码长度排序,掩码越长的规则位置越靠前。排序时先比较源IP地址掩码长度,若源IP地址掩码长度相等,则比较目的IP地址掩码长度;若目的IP地址掩码长度也相等,则先配置的规则匹配位置靠前。例如,源IP地址掩码长度相等时,目的IP地址掩码为255.255.255.0的规则比目的IP地址掩码为255.255.0.0的规则匹配位置靠前。
可以使用match-order指定匹配顺序是按照用户配置的顺序还是按照深度优先顺序(优先匹配范围小的规则),如果不指定则缺省为用户配置顺序。
用户一旦指定一条ACL的匹配顺序后,就不能再更改,除非把该ACL规则全部删除,再重新指定其匹配顺序。
ACL的匹配顺序特性只在该ACL被软件引用进行数据过滤和分类时有效。
相关配置可参考命令rule。
【举例】
# 定义ACL 2000的规则,并定义规则匹配顺序为深度优先顺序。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] acl number 2000 match-order auto
[H3C-acl-basic-2000]
【命令】
description text
undo description
【视图】
基本ACL视图/高级ACL视图
【参数】
text:ACL的描述信息,字符串格式,最多127个字符。
【描述】
description命令用来定义ACL的描述信息,描述该ACL的具体用途。undo description命令用来删除对ACL的描述。
【举例】
# 定义ACL 3000的描述信息。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] acl number 3000
[H3C-acl-adv-3000] description This acl is used in eth 0
【命令】
display acl
{ all | acl-number }
【视图】
任意视图
【参数】
acl-number:ACL的序号,取值范围2000~3999。
all:显示所有的ACL。
【描述】
display acl命令用来显示配置的ACL的信息。
本命令会按照匹配顺序显示ACL的规则。
【举例】
# 显示ACL 2000的配置信息。
<H3C> display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 1
rule 0 deny source 1.1.1.1 0 (0 times matched)
表1-1 display acl命令显示信息描述表
|
字段 |
描述 |
|
Basic ACL 2000 |
这个ACL属于基本ACL,序号为2000 |
|
1 rule |
这个ACL包含1条规则 |
|
Acl's step is 5 |
这个ACL的规则序号的步长值为5 |
|
0 times matched |
这个规则匹配的次数为0,仅统计软件ACL的匹配次数 |
【命令】
display time-range {
all | time-name }
【视图】
任意视图
【参数】
time-name:时间段的名称。以[a-z,A-Z]为起始字母的字符串,取值范围为1~32个字符。
all:显示所有配置的时间段。
【描述】
display time-range命令用来显示当前时间段的配置和状态,对于当前处在激活状态的时间段将显示Active,对于非激活状态显示Inactive。
显示信息包括:
l
当前时间。
l
时间段的名称、状态。
l
时间段的具体内容。
相关配置可参考命令time-range。
【举例】
# 显示时间段trname的配置和状态。
<H3C> display time-range trname
Current time is 01:38:27 Apr/2/2002 Sunday
Time-range : hhy ( Active )
12:00 to 18:00 working-day
Time-range : trname ( Inactive )
From 12:00 Dec/12/2005 to 12:00 Dec/12/2006
表1-2 display time-range命令显示信息描述表
|
字段 |
描述 |
|
Current time is 01:38:27 Apr/2/2002 Sunday |
系统的当前时间 |
|
Time-range
: trname |
时间段的名称 |
|
Active |
表示该时间段目前处于活动状态(Inactive则表示时间段处于非激活状态) |
|
12:00 to 18:00 working-day |
周期时间段为工作日的12点到18点 |
|
From 12:00 Dec/12/2005 to 12:00 Dec/12/2006 |
绝对时间段为从2005年12月12日12点到2006年12月12日12点 |
【命令】
rule [ rule-id ] { permit | deny } [ fragment | source { sour-addr sour-wildcard | any } | time-range time-name ]*
undo rule rule-id [ fragment | source | time-range ]*
【视图】
基本ACL视图
【参数】
rule-id:ACL规则编号,范围为0~65534。
deny:表示丢弃符合条件的数据包。
permit:表示允许符合条件的数据包通过。
fragment:指定该规则仅对非首片分片报文有效。
source { sour-addr sour-wildcard | any }:指定ACL规则的源地址信息。sour-addr指定源IP地址,点分十进制表示。sour-wildcard为目标子网掩码的反码,点分十进制表示。例如,如果用户想指定子网掩码255.255.0.0,则需要输入0.0.255.255。sour-wildcard可以为0,表示主机地址;any代表任意地址。
time-range time-name:这条ACL规则在该时间段内有效。
【描述】
rule命令用来定义ACL的规则。undo rule命令用来删除一个ACL规则或者ACL规则的属性信息。
在删除一条ACL规则时,需要指定该规则的编号。如果用户不知道ACL规则的编号,可以使用命令display acl来查看。
对于在定义ACL规则时指定编号的情况:
l
当匹配顺序为config时,如果指定编号对应的规则已经存在,系统将编辑该规则,没有编辑的部分仍旧保持原来的状态;当匹配顺序为auto时,用户不能编辑任何一个已经存在的规则,否则系统会提示错误信息。
l
如果指定编号对应的规则不存在,用户将创建并定义一个新的规则。
l
编辑后或新创建的规则不能和已经存在的规则内容完全相同,否则会导致编辑或创建不成功,系统会提示该规则已经存在。
在定义ACL规则时如果不指定编号,用户将创建并定义一个新规则,设备将自动为这个规则分配一个编号。
【举例】
# 配置ACL 2000,禁止源地址为1.1.1.1的用户通过Telnet方式登录到交换机上。关于配置对登录用户的控制请参见“登录交换机”模块的相关内容。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] acl number 2000
[H3C-acl-basic-2000] rule deny source 1.1.1.1 0
[H3C-acl-basic-2000] display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 1
rule 0 deny source 1.1.1.1 0 (0 times matched)
【命令】
rule [ rule-id ] { permit | deny } rule-string
undo rule rule-id [ destination | destination-port
| dscp | fragment
| icmp-type | precedence | source | source-port | time-range | tos ]*
【视图】
高级ACL视图
【参数】
rule-id:ACL规则编号,范围为0~65534。
deny:表示丢弃符合条件的数据包。
permit:表示允许符合条件的数据包通过。
rule-string:ACL规则信息,可以由下表中的参数组合而成,具体参数说明如表1-3所示。ACL规则信息中必须首先配置protocol参数,然后才能配置其他参数。
表1-3 ACL规则信息
|
参数 |
类别 |
作用 |
说明 |
|
protocol |
协议类型 |
IP承载的协议类型 |
用数字表示时取值范围为1~255 用名字表示时,可以选取GRE、ICMP、IGMP、IP、IPinIP、OSPF、TCP、UDP |
|
source {
sour-addr sour-wildcard | any } |
源地址信息 |
指定ACL规则的源地址信息 |
sour-addr sour-wildcard用来确定数据包的源地址,点分十进制表示;sour-wildcard可以为0,表示主机地址 any代表任意源地址 |
|
destination { dest-addr dest-wildcard
| any } |
目的地址信息 |
指定ACL规则的目的地址信息 |
dest-addr dest-wildcard用来确定数据包的目的地址,点分十进制表示;dest-wildcard可以为0,表示主机地址 any代表任意目的地址 |
|
precedence precedence |
报文优先级 |
IP优先级 |
取值范围0~7 |
|
tos tos |
报文优先级 |
ToS优先级 |
取值范围0~15 |
|
dscp dscp |
报文优先级 |
DSCP优先级 |
取值范围0~63 |
|
fragment |
分片信息 |
定义规则仅对非首片分片报文有效 |
- |
|
time-range time-name |
时间段信息 |
指定规则生效的时间段 |
- |
& 说明:
sour-wildcard与dest-wildcard为目标子网掩码的反码,点分十进制表示。例如,如果用户想指定子网掩码255.255.0.0,则需要输入0.0.255.255。可以为0,表示主机地址。
如果选择dscp关键字,除了直接输入数值0~63外,用户也可输入如表1-4所示的关键字。
表1-4 DSCP值说明
|
关键字 |
DSCP值(十进制) |
DSCP值(二进制) |
|
ef |
46 |
101110 |
|
af11 |
10 |
001010 |
|
af12 |
12 |
001100 |
|
af13 |
14 |
001110 |
|
af21 |
18 |
010010 |
|
af22 |
20 |
010100 |
|
af23 |
22 |
010110 |
|
af31 |
26 |
011010 |
|
af32 |
28 |
011100 |
|
af33 |
30 |
011110 |
|
af41 |
34 |
100010 |
|
af42 |
36 |
100100 |
|
af43 |
38 |
100110 |
|
cs1 |
8 |
001000 |
|
cs2 |
16 |
010000 |
|
cs3 |
24 |
011000 |
|
cs4 |
32 |
100000 |
|
cs5 |
40 |
101000 |
|
cs6 |
48 |
110000 |
|
cs7 |
56 |
111000 |
|
be
(default) |
0 |
000000 |
如果选择precedence关键字,除了直接输入数值0~7外,用户也可输入如表1-5所示的关键字。
|
关键字 |
IP Precedence(十进制) |
IP Precedence(二进制) |
|
routine |
0 |
000 |
|
priority |
1 |
001 |
|
immediate |
2 |
010 |
|
flash |
3 |
011 |
|
flash-override |
4 |
100 |
|
critical |
5 |
101 |
|
internet |
6 |
110 |
|
network |
7 |
111 |
如果选择tos关键字,除了直接输入数值0~15外,用户也可输入如表1-6所示的关键字。
表1-6 ToS值说明
|
关键字 |
ToS(十进制) |
ToS(二进制) |
|
normal |
0 |
0000 |
|
min-monetary-cost |
1 |
0001 |
|
max-reliability |
2 |
0010 |
|
max-throughput |
4 |
0100 |
|
min-delay |
8 |
1000 |
当协议类型选择为TCP或者UDP时,用户还可以定义如表1-7所示的信息。
表1-7 TCP/UDP特有的ACL规则信息
|
参数 |
类别 |
作用 |
说明 |
|
source-port operator port1 [ port2 ] |
源端口 |
定义UDP/TCP报文的源端口信息 |
operator为操作符,取值可以为lt(小于)、gt(大于)、eq(等于)、neq(不等于)或者range(在指定范围内);只有操作符range需要两个端口号做操作数,其他的只需要一个端口号做操作数 port1、port2:TCP或UDP的端口号,用名字或数字表示,数字的取值范围为0~65535 |
|
destination-port operator port1 [ port2 ] |
目的端口 |
定义UDP/TCP报文的目的端口信息 |
|
|
established |
TCP连接建立标识 |
表示此条规则仅对TCP建立连接的第一个SYN报文有效 |
TCP协议特有的参数 |
当TCP或UDP的端口号用名字表示时,用户还可以定义如下信息。
表1-8 TCP或UDP端口取值信息
|
协议类型 |
取值信息 |
|
TCP |
CHARgen(19)、bgp(179)、cmd(514)、daytime(13)、discard(9)、domain(53)、echo(7)、exec(512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)、www(80) |
|
UDP |
biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo(7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(139)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)、xdmcp(177) |
当协议类型选择为ICMP时,用户还可以定义如表1-9所示的信息。
表1-9 ICMP特有的ACL规则信息
|
参数 |
类别 |
作用 |
说明 |
|
icmp-type icmp-type icmp-code |
ICMP报文的类型和消息码信息 |
指定规则的ICMP报文的类型和消息码信息 |
icmp-type:ICMP消息类型,取值为0~255 icmp-code:ICMP的消息码,取值为0~255 |
当协议类型选择为ICMP时,用户也可以直接在icmp-type参数后输入ICMP的消息名称。在几种常见的ICMP消息如表1-10所示。
表1-10 ICMP消息
|
名称 |
ICMP TYPE |
ICMP CODE |
|
echo |
Type=8 |
Code=0 |
|
echo-reply |
Type=0 |
Code=0 |
|
fragmentneed-DFset |
Type=3 |
Code=4 |
|
host-redirect |
Type=5 |
Code=1 |
|
host-tos-redirect |
Type=5 |
Code=3 |
|
host-unreachable |
Type=3 |
Code=1 |
|
information-reply |
Type=16 |
Code=0 |
|
information-request |
Type=15 |
Code=0 |
|
net-redirect |
Type=5 |
Code=0 |
|
net-tos-redirect |
Type=5 |
Code=2 |
|
net-unreachable |
Type=3 |
Code=0 |
|
parameter-problem |
Type=12 |
Code=0 |
|
port-unreachable |
Type=3 |
Code=3 |
|
protocol-unreachable |
Type=3 |
Code=2 |
|
reassembly-timeout |
Type=11 |
Code=1 |
|
source-quench |
Type=4 |
Code=0 |
|
source-route-failed |
Type=3 |
Code=5 |
|
timestamp-reply |
Type=14 |
Code=0 |
|
timestamp-request |
Type=13 |
Code=0 |
|
ttl-exceeded |
Type=11 |
Code=0 |
【描述】
rule命令用来定义ACL规则。undo rule命令用来删除一个ACL规则或者ACL规则的属性信息。
在删除一条ACL规则时,需要指定该ACL规则的编号。如果用户不知道ACL规则的编号,可以使用命令display acl来查看。
对于在定义ACL规则时指定编号的情况:
l
当匹配顺序为config时,如果指定编号对应的规则已经存在,系统将编辑该规则,没有编辑的部分仍旧保持原来的状态;当匹配顺序为auto时,用户不能编辑任何一个已经存在的规则,否则系统会提示错误信息。
l
如果指定编号对应的规则不存在,用户将创建并定义一个新的规则。
l
编辑后或新创建的规则不能和已经存在的规则内容完全相同,否则会导致编辑或创建不成功,系统会提示该规则已经存在。
在定义ACL规则时如果不指定编号,用户将创建并定义一个新规则,设备将自动为这个规则分配一个编号。
【举例】
# 配置ACL 3000,禁止本设备上的用户通过Telnet方式登录目的地址为202.38.160.0网段的Telnet服务器。关于配置对登录用户的控制请参见“登录交换机”模块的相关内容。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] acl number 3000
[H3C-acl-adv-3000] rule deny tcp destination 202.38.160.0 0.0.0.255 destination-port eq 23
[H3C-acl-adv-3000] display acl 3000
Advanced ACL 3000, 1 rule
Acl's step is 1
rule 0 deny tcp destination 202.38.160.0 0.0.0.255 destination-port eq telnet (0 times matched)
【命令】
rule rule-id comment text
undo rule rule-id comment
【视图】
高级ACL视图
【参数】
comment text:指定ACL规则的注释字符串,取值范围为最多127个字符的字符串。
【描述】
rule comment命令用来定义ACL规则的注释字符串。undo rule comment命令用来删除ACL规则的注释字符串。
定义ACL规则的注释字符串之前,该ACL规则必须已经存在。
【举例】
# 定义ACL 3000 rule 0的注释字符串为test。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] acl number 3000
[H3C-acl-adv-3000] rule 0 comment test
【命令】
time-range
time-name { start-time to end-time
days-of-the-week [ from start-time start-date ] [ to
end-time end-date ] | from start-time start-date [ to
end-time end-date ] | to end-time end-date }
undo time-range { name
time-name [ start-time to end-time days-of-the-week [ from start-time start-date ] [ to end-time end-date ] | from start-time start-date [ to end-time end-date ] | to end-time end-date ] | all }
【视图】
系统视图
【参数】
time-name:时间段的名字,最长32个字符,必须以英文字母a~z或A~Z开头,但为避免混淆,时间段的名字不可以使用英文单词all。
start-time:周期时间段的开始时间,格式为hh:mm,小时和分钟之间使用“:”分隔,hh的范围为0~23,mm的范围为0~59。
end-time:周期时间段的结束时间,格式为hh:mm,小时和分钟之间使用“:”分隔,hh的范围为0~23,mm的范围为0~59。
days-of-the-week:表示配置的周期时间在每周几有效,可以输入如下参数:
l
数字(0-6);
l
星期一到星期日(Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,Sunday);
l
工作日(Working-day),从星期一到星期五;
l
休息日(Off-day),包括星期六和星期天;
l
每一天(daily),包括一周七天。
from start-time start-date:可选参数,绝对时间段的开始日期,和end-time end-date共同表示该绝对时间在某一段日期中生效,表示形式为hh:mm MM/DD/YYYY或hh:mm YYYY/MM/DD。如果不指定开始日期,则开始日期为系统可表示的最早时间。
to end-time end-date:可选参数,绝对时间段的结束日期,和start-time start-date共同表示该绝对时间在某一段日期中生效,表示形式为hh:mm MM/DD/YYYY或hh:mm YYYY/MM/DD。如果不指定结束日期,则结束日期为2100/12/31 23:59。
all:删除所有时间段。
【描述】
time-range命令用来定义一个时间段,描述一个时间范围。undo time-range命令用来删除一个指定时间段。undo time-range all命令用来删除所有时间段。
time-range命令定义的时间段中,包括了绝对时间段和周期时间段。start-time和end-time days-of-the-week共同定义了周期时间段,start-time start-date和end-time end-date共同定义了绝对时间段。
需要注意的是:
l
如果一个时间段只定义了周期时间段,则只有系统时钟在该周期时间段内,该时间段才进入激活状态。如果一个时间段下定义了多个周期时间段,则这些周期时间段之间是“或”的关系。
l
如果一个时间段只定义了绝对时间段,则只有系统时钟在该绝对时间段内,该时间段才进入激活状态。如果一个时间段下定义了多个绝对时间段,则这些绝对时间段之间是“或”的关系。
l
如果一个时间段同时定义了绝对时间段和周期时间段,则只有同时满足绝对时间段和周期时间段的定义时,该时间段才进入激活状态。例如,一个时间段定义了绝对时间段:从2004年1月1日0点0分到2004年12月31日23点59分,同时定义了周期时间段:每周三的12:00到14:00。该时间段只有在2004年内每周三的12:00到14:00才进入激活状态。
l
配置绝对时间段时,如果不配置开始日期,时间段就是从系统支持的最早时间起到配置的结束日期为止。如果不配置结束日期,时间段就是从配置的开始日期起到2100/12/31 23:59为止。
如果用户在使用undo time-range命令时输入了参数,系统将只删除该时间段中参数对应的内容。
【举例】
# 配置绝对时间段test,在2003年1月1日0:0生效,并且在系统支持的最大时间内有效。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] time-range test from 0:0 1/1/2003
# 配置周期时间段test,在周一到周五每天8:00到18:00生效。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] time-range test 8:00 to 18:00 working-day
# 配置周期时间段test,在休息日下午14:00到18:00生效。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] time-range test 14:00 to 18:00 off-day
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
