目  录

第1章 ACL命令

1.1 ACL命令

1.1.1 acl

1.1.2 description

1.1.3 display acl

1.1.4 display packet-filter

1.1.5 display time-range

1.1.6 packet-filter

1.1.7 rule （基本ACL）

1.1.8 rule （高级ACL）

1.1.9 rule （二层ACL）

1.1.10 rule （用户自定义ACL）

1.1.11 rule comment

1.1.12 time-range

 

第1章  ACL命令

1.1  ACL命令

1.1.1  acl

【命令】

acl number acl-number [ match-order { config | auto } ]

undo acl { number acl-number | all }

【视图】

系统视图

【参数】

number acl-number：ACL（Access Control List，访问控制列表）序号，取值范围为:

2000～2999：表示基本ACL。

3000～3999：表示高级ACL（ACL 3998与3999是系统为集群管理预留的编号，用户无法配置）。

4000～4999：表示二层ACL。

5000～5999：表示用户自定义ACL。

match-order：指定对该ACL规则的匹配顺序，在定义二层ACL及用户自定义ACL时没有这个参数。匹配顺序如下：

l              config：匹配ACL规则时按用户的配置顺序；

l              auto：匹配ACL规则时设备自动排序（按“深度优先”顺序）。

all：表示要删除所有的ACL。

【描述】

acl命令用来定义一条ACL，并进入相应的ACL视图。undo acl命令用来删除一条ACL的所有规则，或者删除全部ACL。

缺省情况下，按照config顺序匹配ACL规则。

进入相应的ACL视图之后，可以用rule命令增加此命名ACL的规则。

ACL支持两种匹配顺序，如下所示：

l              配置顺序：根据配置顺序匹配ACL规则。

l              自动排序：根据“深度优先”规则匹配ACL规则。

“深度优先”顺序的判断原则如下：

(1)        先比较规则的协议范围。IP协议的范围为1～255，其他协议的范围就是自己的协议号；协议范围小的优先；

(2)        再比较源IP地址范围。源IP地址范围小(掩码长)的优先；

(3)        然后比较目的IP地址范围。目的IP地址范围小(掩码长)的优先；

(4)        最后比较四层端口号（TCP/UDP端口号）范围。四层端口号范围小的优先；

如果规则A与规则B按照原有匹配顺序进行配置时，协议范围、源IP地址范围、目的IP地址范围、四层端口号范围完全相同，并且其它的元素个数相同，将按照加权规则进行排序。加权规则如下：

l              设备为每个元素设定一个固定的权值，最终的匹配顺序由各个元素的权值和元素取值来决定。各个元素自身的权值从大到小排列：DSCP、ToS、ICMP、established、precedence、fragment。

l              设备以一个固定权值依次减去规则各个元素自身的权值，剩余权值越小的规则越优先。

l              如果各个规则中元素个数、元素种类完全相同，则这些元素取值的累加和越小越优先。

可以使用match-order指定匹配顺序是按照用户配置的顺序还是按照深度优先顺序（优先匹配范围小的规则），如果不指定则缺省为用户配置顺序。

用户一旦指定一条ACL的匹配顺序后，就不能再更改，除非把该ACL的规则全部删除，再重新指定其匹配顺序。

ACL的匹配顺序特性只在该ACL被软件引用进行数据过滤和分类时有效。

相关配置可参考命令rule。

【举例】

# 定义ACL 2000的规则，并定义规则匹配顺序为深度优先顺序。

<H3C> system-view

System View: return to User View with Ctrl+Z.

[H3C] acl number 2000 match-order auto

[H3C-acl-basic-2000]

1.1.2  description

【命令】

description text

undo description

【视图】

基本ACL视图/高级ACL视图/二层ACL视图/用户自定义ACL视图

【参数】

text：ACL的描述信息，字符串格式，最多127个字符。

【描述】

description命令用来定义ACL的描述信息，描述该ACL的具体用途。undo description命令用来删除对ACL的描述。

【举例】

# 定义ACL 3100的描述信息。

<H3C> system-view

System View: return to User View with Ctrl+Z.

[H3C] acl number 3100

[H3C-acl-adv-3100] description This acl is used in eth 0

# 删除ACL 3100的描述信息。

[H3C-acl-adv-3100] undo description

1.1.3  display acl

【命令】

display acl { all | acl-number }

【视图】

任意视图

【参数】

all：表示要显示所有的ACL。

acl-number：要显示的ACL序号，2000到5999之间的一个数值。

【描述】

display acl命令用来显示ACL的详细配置信息，包括ACL类型、序号、ACL规则数、ACL的描述、ACL规则序号的步长、ACL规则的内容。如果没有定义描述信息，则设备不显示此项内容。

【举例】

# 显示所有ACL的内容。

<H3C> display acl all

Total ACL Number: 2

 

Basic ACL  2000, 1 rule

Acl's step is 1

 rule 0 permit

 

Advanced ACL  3000, 0 rule

Acl's step is 1

1.1.4  display packet-filter

【命令】

display packet-filter { interface interface-type interface-number | unitid unit-id }

【视图】

任意视图

【参数】

interface-type interface-number：交换机的端口。

unit-id：Unit ID，表示显示某Unit上的信息。

【描述】

display packet-filter命令用来显示包过滤的应用信息。显示内容包括ACL名、规则名和下发状态。

【举例】

# 下面的命令显示Unit 1上包过滤的应用信息。

<H3C> display packet-filter unitid 1

GigabitEthernet1/0/1

 Inbound:

 Acl 2000 rule 0  running

1.1.5  display time-range

【命令】

display time-range { all | time-name }

【视图】

任意视图

【参数】

all：显示所有的时间段。

time-name：为时间段的名称，以[a-z,A-Z]为起始字母的字符串，取值范围为1～32个字符。

【描述】

display time-range命令用来显示当前时间段的配置和状态，对于当前处在激活状态的时间段将显示Active，对于非激活状态显示Inactive。

相关配置可参考命令time-range。

【举例】

# 显示所有时间段。

<H3C> display time-range all

Current time is 14:36:36 Apr/2/2003 Thursday

 

Time-range : hhy ( Active )

 12:00 to 18:00 working-day

 

Time-range : hhy1 ( Inactive )

 from 08:30 2/5/2003 to 18:00 2/19/2003

表1-1 display time-range命令显示信息描述表

字段	描述
Current time is 14:36:36 Apr/3/2003 Thursday	系统的当前时间
Time-range : hhy	时间段的名称
Active	表示该时间段目前处于活动状态（Inactive则表示时间段处于非激活状态）
12:00 to 18:00 working-day	周期时间段为工作日的12点到18点
from 08:30 2/5/2005 to 18:00 2-19-2005	绝对时间段为从2005年2月5日8点30分到2005年2月19日18点

 

1.1.6  packet-filter

【命令】

packet-filter inbound acl-rule

undo packet-filter inbound acl-rule

【视图】

以太网端口视图

【参数】

inbound：表示对端口接收的数据包进行过滤。

acl-rule：应用的ACL，可以是多种ACL的组合。组合方式说明如下。

表1-2 组合应用ACL的方式

组合方式	acl-rule的形式
单独应用一个IP型ACL(包括基本ACL与高级ACL)中所有规则	ip-group acl-number
单独应用一个IP型ACL中一条规则	ip-group acl-number rule rule-id
单独应用一个二层ACL中所有规则	link-group acl-number
单独应用一个二层ACL中一条规则	link-group acl-number rule rule-id
单独应用一个用户自定义ACL中所有规则	user-group acl-number
单独应用一个用户自定义ACL中一条规则	user-group acl-number rule rule-id
同时应用IP型ACL中一条规则和二层型ACL的一条规则	ip-group acl-number rule rule-id link-group acl-number rule rule-id

 

ip-group acl-number：表示基本或高级ACL序号，取值范围为2000～3999。

link-group acl-number：表示二层ACL序号，取值范围为4000～4999。

user-group acl-number：表示用户自定义的ACL序号，取值范围为5000～5999。

rule rule-id：ACL规则序号，取值范围为0～65534。如果不指定则表示ACL中的所有规则。

【描述】

packet-filter命令用来在端口上应用ACL，进行包过滤。undo packet-filter命令用来取消ACL在端口上的应用。

【举例】

# 在GigabitEthernet1/0/1上应用ACL 2000，进行包过滤。

<H3C> system-view

System View: return to User View with Ctrl+Z.

[H3C] interface GigabitEthernet1/0/1

[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000

1.1.7  rule （基本ACL）

【命令】

rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | fragment | time-range time-name ]*

undo rule rule-id [ source | fragment | time-range ]*

【视图】

基本ACL视图

【参数】

rule-id：ACL规则编号，范围为0～65534。

deny：表示丢弃符合条件的数据包。

permit：表示允许符合条件的数据包通过。

fragment：指定该规则仅对非首片分片报文有效。

source { sour-addr sour-wildcard | any }：指定ACL规则的源地址信息。sour-addr指定源IP地址，点分十进制表示。sour-wildcard为目标子网掩码的反码，点分十进制表示。例如，如果用户想指定子网掩码255.255.0.0，则需要输入0.0.255.255。sour-wildcard可以为0，表示主机地址。any代表任意地址。

time-range time-name：这条ACL规则在该时间段内有效。

【描述】

rule命令用来定义ACL规则。undo rule命令用来删除一个规则或者规则的属性信息。

在删除一条规则时，需要指定该规则的编号。如果用户不知道规则的编号，可以使用命令display acl来查看。

对于在定义规则时指定编号的情况：

l              当匹配顺序为config时，如果指定编号对应的规则已经存在，系统将编辑该规则，没有编辑的部分仍旧保持原来的状态；当匹配顺序为auto时，用户不能编辑任何一个已经存在的规则，否则系统会提示错误信息。

l              如果指定编号对应的规则不存在，用户将创建并定义一个新的规则。

l              编辑后或新创建的规则不能和已经存在的规则内容完全相同，否则会导致编辑或创建不成功，系统会提示该规则已经存在。

在定义规则时如果不指定编号，用户将创建并定义一个新规则，设备将自动为这个规则分配一个编号。

【举例】

# 定义一个规则，禁止源地址为1.1.1.1的报文通过。

<H3C> system-view

System View: return to User View with Ctrl+Z.

[H3C] acl number 2000

[H3C-acl-basic-2000] rule deny source 1.1.1.1 0

1.1.8  rule （高级ACL）

【命令】

rule [ rule-id ] { permit | deny } rule-string

undo rule rule-id [ source | destination | source-port | destination-port | icmp-type | precedence | tos | dscp | fragment | time-range ]*

【视图】

高级ACL视图

【参数】

rule-id：ACL规则编号，范围为0～65534。

deny：表示丢弃符合条件的数据包。

permit：表示允许符合条件的数据包通过。

rule-string：ACL规则信息，可以由表1-3中的参数组合而成，具体参数说明如表1-3所示。ACL规则信息中必须首先配置protocol参数，然后才能配置其他参数。

表1-3 ACL规则信息

参数	类别	作用	说明
protocol	协议类型	IP承载的协议类型	用数字表示时取值范围为1～255 用名字表示时，可以选取GRE、ICMP、IGMP、IP、IPinIP、OSPF、TCP、UDP
source { sour-addr sour-wildcard | any }	源地址信息	指定ACL规则的源地址信息	sour-addr sour-wildcard用来确定数据包的源地址，点分十进制表示；sour-wildcard可以为0，表示主机地址 any代表任意源地址
destination { dest-addr dest-wildcard | any }	目的地址信息	指定ACL规则的目的地址信息	dest-addr dest-wildcard用来确定数据包的目的地址，点分十进制表示；dest-wildcard可以为0，表示主机地址 any代表任意目的地址
precedence precedence	报文优先级	IP优先级	取值范围0～7
tos tos	报文优先级	ToS优先级	取值范围0～15
dscp dscp	报文优先级	DSCP优先级	取值范围0～63
fragment	分片信息	定义ACL规则仅对非首片分片报文有效	-
time-range time-name	时间段信息	指定ACL规则生效的时间段	-

 

 

如果选择dscp关键字，除了直接输入数值0～63外，用户也可输入如表1-4所示的关键字。

表1-4 DSCP值说明

关键字	DSCP值（十进制）	DSCP值（二进制）
ef	46	101110
af11	10	001010
af12	12	001100
af13	14	001110
af21	18	010010
af22	20	010100
af23	22	010110
af31	26	011010
af32	28	011100
af33	30	011110
af41	34	100010
af42	36	100100
af43	38	100110
cs1	8	001000
cs2	16	010000
cs3	24	011000
cs4	32	100000
cs5	40	101000
cs6	48	110000
cs7	56	111000
be (default)	0	000000

 

如果选择precedence关键字，除了直接输入数值0～7外，用户也可输入如表1-5所示的关键字。

表1-5 IP precedence值说明

关键字	IP Precedence（十进制）	IP Precedence（二进制）
routine	0	000
priority	1	001
immediate	2	010
flash	3	011
flash-override	4	100
critical	5	101
internet	6	110
network	7	111

 

如果选择tos关键字，除了直接输入数值0～15外，用户也可输入如表1-6所示的关键字。

表1-6 ToS值说明

关键字	ToS（十进制）	ToS（二进制）
normal	0	0000
min-monetary-cost	1	0001
max-reliability	2	0010
max-throughput	4	0100
min-delay	8	1000

 

当协议类型选择为TCP或者UDP时，用户还可以定义如表1-7所示信息。

表1-7 TCP/UDP特有的ACL规则信息

参数	类别	作用	说明
source-port operator port1 [ port2 ]	源端口	定义UDP/TCP报文的源端口信息	operator为操作符，取值可以为lt（小于）、gt（大于）、eq（等于）、neq（不等于）或者range（在指定范围内）；只有操作符range需要两个端口号做操作数，其他的只需要一个端口号做操作数 port1、port2：TCP或UDP的端口号，用名字或数字表示，数字的取值范围为0～65535
destination-port operator port1 [ port2 ]	目的端口	定义UDP/TCP报文的目的端口信息
established	TCP连接建立标识	表示此条规则仅对TCP建立连接的第一个SYN报文有效	TCP协议特有的参数

 

当TCP或UDP的端口号用名字表示时，用户还可以定义如下信息。

表1-8 TCP或UDP端口取值信息

协议类型	取值信息
TCP	CHARgen（19）、bgp（179）、cmd（514）、daytime（13）、discard（9）、domain（53）、echo（7）、exec（512）、finger（79）、ftp（21）、ftp-data（20）、gopher（70）、hostname（101）、irc（194）、klogin（543）、kshell（544）、login（513）、lpd（515）、nntp（119）、pop2（109）、pop3（110）、smtp（25）、sunrpc（111）、tacacs（49）、talk（517）、telnet（23）、time（37）、uucp（540）、whois（43）、www（80）
UDP	biff（512）、bootpc（68）、bootps（67）、discard（9）、dns（53）、dnsix（90）、echo（7）、mobilip-ag（434）、mobilip-mn（435）、nameserver（42）、netbios-dgm（138）、netbios-ns（139）、netbios-ssn（139）、ntp（123）、rip（520）、snmp（161）、snmptrap（162）、sunrpc（111）、syslog（514）、tacacs-ds（65）、talk（517）、tftp（69）、time（37）、who（513）、xdmcp（177）

 

 

当协议类型选择为ICMP时，用户还可以定义如表1-9所示信息。

表1-9 ICMP特有的ACL规则信息

参数	类别	作用	说明
icmp-type icmp-type icmp-code	ICMP报文的类型和消息码信息	指定ACL规则中ICMP报文的类型和消息码信息	icmp-type：ICMP消息类型，取值为0～255 icmp-code：ICMP的消息码，取值为0～255

 

当协议类型选择为ICMP时，用户也可以直接在icmp-type参数后输入ICMP的消息名称。在几种常见的ICMP消息如表1-10所示。

表1-10 ICMP消息

名称	ICMP TYPE	ICMP CODE
echo	Type=8	Code=0
echo-reply	Type=0	Code=0
fragmentneed-DFset	Type=3	Code=4
host-redirect	Type=5	Code=1
host-tos-redirect	Type=5	Code=3
host-unreachable	Type=3	Code=1
information-reply	Type=16	Code=0
information-request	Type=15	Code=0
net-redirect	Type=5	Code=0
net-tos-redirect	Type=5	Code=2
net-unreachable	Type=3	Code=0
parameter-problem	Type=12	Code=0
port-unreachable	Type=3	Code=3
protocol-unreachable	Type=3	Code=2
reassembly-timeout	Type=11	Code=1
source-quench	Type=4	Code=0
source-route-failed	Type=3	Code=5
timestamp-reply	Type=14	Code=0
timestamp-request	Type=13	Code=0
ttl-exceeded	Type=11	Code=0

 

【描述】

rule命令用来定义ACL规则。undo rule命令用来删除一个规则或者规则的属性信息。

在删除一条ACL规则时，需要指定该ACL规则的编号。如果用户不知道ACL规则的编号，可以使用命令display acl来查看。

对于在定义ACL规则时指定编号的情况：

l              当匹配顺序为config时，如果指定编号对应的规则已经存在，系统将编辑该规则，没有编辑的部分仍旧保持原来的状态；当匹配顺序为auto时，用户不能编辑任何一个已经存在的规则，否则系统会提示错误信息。

l              如果指定编号对应的规则不存在，用户将创建并定义一个新的规则。

l              编辑后或新创建的规则不能和已经存在的规则内容完全相同，否则会导致编辑或创建不成功，系统会提示该规则已经存在。

在定义ACL规则时如果不指定编号，用户将创建并定义一个新规则，设备将自动为这个规则分配一个编号。

【举例】

# 定义一条规则，允许从129.9.0.0网段的主机向202.38.160.0网段的主机发送的端口号为80的报文通过。

<H3C> system-view

System View: return to User View with Ctrl+Z.

[H3C] acl number 3101

[H3C-acl-adv-3101] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80

1.1.9  rule （二层ACL）

【命令】

rule [ rule-id ] { permit | deny } [ rule-string ]

undo rule rule-id

【视图】

二层ACL视图

【参数】

rule-id：ACL规则编号，取值范围为0～65534。

deny：表示丢弃符合条件的数据包。

permit：表示允许符合条件的数据包通过。

rule-string：ACL规则信息，可以由表1-11中的参数组合而成，具体参数说明如表1-11所示。

表1-11 ACL规则信息

参数	类别	作用	说明
format-type	链路层封装类型	定义规则中的链路层封装类型	format-type：取值可以为802.3/802.2、802.3、ether_ii、snap
lsap lsap-code lsap-wildcard	lsap字段	定义规则中的lsap字段	lsap-code：数据帧的封装格式，16比特的十六进制数 lsap-wildcard：Lsap值的掩码， 16比特的十六进制数，用于指定屏蔽位
source { source-addr source-mask | vlan-id }*	源MAC信息	定义规则的源MAC地址范围	source-addr：源MAC地址，格式为H-H-H source-mask：源MAC地址的掩码，格式为H-H-H vlan-id：源VLAN ID，取值范围1～4094
dest dest-addr dest-mask	目的MAC信息	定义规则的目的MAC地址范围	dest-addr：目的MAC地址，格式为H-H-H dest-mask：目的MAC地址的掩码，格式为H-H-H
cos vlan-pri	优先级	定义规则的802.1p优先级	vlan-pri：取值范围为0～7
time-range time-name	时间段信息	指定规则生效的时间段	time-name：指定规则生效的时间段名称，字符串格式，长度为1～32
type protocol-type protocol-mask	以太网帧的协议类型	定义以太网帧的协议类型	protocol-type：协议类型 protocol-mask：协议类型掩码

 

 

【描述】

rule命令用来定义ACL规则。undo rule命令用来删除一个ACL规则。

在删除一条ACL规则时，需要指定该ACL规则的编号。如果用户不知道ACL规则的编号，可以使用命令display acl来查看。

对于在定义ACL规则时指定编号的情况：

l              如果指定编号对应的规则已经存在，用户将编辑该规则，规则中编辑后的部分将覆盖原来的内容，未被编辑的部分保持不变；

l              如果指定编号对应的规则不存在，用户将创建并定义一个新的规则。

l              编辑后或新创建的规则不能和已经存在的规则内容完全相同，否则会导致编辑或创建不成功，系统会提示该规则已经存在。

如果在定义ACL规则时不指定编号，用户将创建并定义一个新的规则，设备将自动为这个规则分配一个编号。

【举例】

# 定义一个规则，禁止从MAC地址000d-88f5-97ed发送到MAC地址011-4301-991e且802.1p优先级为3的报文通过。

<H3C> system-view

System View: return to User View with Ctrl+Z.

[H3C] acl number 4000

[H3C-acl-ethernetframe-4000] rule deny cos 3 source 000d-88f5-97ed ffff-ffff-ffff dest 0011-4301-991e ffff-ffff-ffff

1.1.10  rule （用户自定义ACL）

【命令】

rule [ rule-id ] { permit | deny } [ rule-string rule-mask offset ] &<1-8> [ time-range time-name ]

undo rule rule-id

【视图】

用户自定义ACL视图

【参数】

rule-string：用户自定义的规则字符串，必须是16进制数组成。长度范围为2～160个字符，必须是偶数。

rule-mask：用户自定义的规则掩码，用于和数据包作“与”操作，必须是16进制数组成。长度范围为2～160个字符，必须是偶数，且必须与rule-string长度相同。

offset：规则掩码的偏移量，它指定以数据包的头部为基准，从第几个字节开始进行“与”操作。取值范围为0～79字节，rule-string (及rule-mask)的长度每增加两个字符，其最大值减小1字节。即，如果定义了包含两个字符的rule-string及rule-mask，其最大值为79字节；如果定义了包含四个字符的rule-string及rule-mask，其最大值为78字节；以此类推。

 

&<1-8>：表示一次最多可以定义8个这样的规则。

time-range time-name：这条ACL规则在该时间段内有效。

【描述】

rule命令用来定义ACL规则。undo rule命令用来删除一个ACL规则或者规则的属性信息。

在删除一条ACL规则时，需要指定该ACL规则的编号。如果用户不知道ACL规则的编号，可以使用命令display acl来查看。

对于在定义ACL规则时指定编号的情况：

l              如果指定编号对应的规则已经存在，用户将编辑该规则，规则中编辑后的部分将覆盖原来的内容，未被编辑的部分保持不变；

l              如果指定编号对应的规则不存在，用户将创建并定义一个新的规则。

l              编辑后或新创建的规则不能和已经存在的规则内容完全相同，否则会导致编辑或创建不成功，系统会提示该规则已经存在。

在定义ACL规则时如果不指定编号，用户将创建并定义一个新规则，设备将自动为这个规则分配一个编号。

【举例】

# 定义一个用户自定义ACL规则，禁止所有的TCP报文通过。

<H3C> system-view

System View: return to User View with Ctrl+Z.

[H3C] time-range t1 18:00 to 23:00 sat

[H3C] acl number 5001

[H3C-acl-user-5001] rule 25 deny 06 ff 31 time-range t1

1.1.11  rule comment

【命令】

rule rule-id comment text

undo rule rule-id comment

【视图】

高级ACL视图/二层ACL视图/用户自定义ACL视图

【参数】

comment text：指定ACL规则的注释字符串，取值范围为最多127个字符的字符串。

【描述】

rule comment命令用来定义ACL规则的注释字符串。undo rule comment命令用来删除ACL规则的注释字符串。

定义ACL规则的注释字符串之前，该规则必须已经存在。

【举例】

# 定义ACL 3000的rule 0的注释字符串为test。

<H3C> system-view

System View: return to User View with Ctrl+Z.

[H3C] acl number 3000

[H3C-acl-adv-3000] rule 0 comment test

1.1.12  time-range

【命令】

time-range time-name { start-time to end-time days-of-the-week [ from start-time start-date ] [ to end-time end-date ] | from start-time start-date [ to end-time end-date ] | to end-time end-date }

undo time-range { name time-name [ start-time to end-time days-of-the-week [ from start-time start-date ] [ to end-time end-date ] | from start-time start-date [ to end-time end-date ] | to end-time end-date ] | all }

【视图】

系统视图

【参数】

time-name：定义时间段的名字，作为一个引用的标识。

start-time：可选参数，周期时间段的开始时间，表示形式为hh:mm。

end-time：可选参数，周期时间段的结束时间，表示形式为hh:mm。

days-of-the-week：可选参数，参数表示该周期时间在每周几有效。可以输入如下参数及其组合：

l              数字（0-6）；

l              星期一到星期日（Monday，Tuesday，Wednesday，Thursday，Friday，Saturday，Sunday）；

l              工作日（working-day），包括从星期一到星期五五天；

l              休息日（off-day），包括星期六和星期天；

l              每一天（daily），一星期中的每一天。

from start-time start-date：可选参数，绝对时间段的开始日期，和end-time end-date共同表示该绝对时间在某一段日期中生效，表示形式为hh:mm MM/DD/YYYY或hh:mm YYYY/MM/DD。如果不指定开始日期，则开始日期为系统可表示的最早时间。

to end-time end-date：可选参数，绝对时间段的结束日期，和start-time start-date共同表示该绝对时间在某一段日期中生效，表示形式为hh:mm MM/DD/YYYY或hh:mm YYYY/MM/DD。如果不指定结束日期，则结束日期为2100/12/31 23:59。

all：删除所有时间段。

【描述】

time-range命令用来配置一个时间段。undo time-range命令用来删除一个时间段。undo time-range all命令用来删除所有时间段。

time-range命令定义的时间段中，包括了绝对时间段和周期时间段。start-time和end-time days-of-the-week共同定义了周期时间段，start-time start-date和end-time end-date共同定义了绝对时间段。

如果一个时间段只定义了周期时间段，则只有系统时钟在该周期时间段内，该时间段才进入激活状态。如果一个时间段下定义了多个周期时间段，则这些周期时间段之间是“或”的关系。

如果一个时间段只定义了绝对时间段，则只有系统时钟在该绝对时间段内，该时间段才进入激活状态。如果一个时间段下定义了多个绝对时间段，则这些绝对时间段之间是“或”的关系。

如果一个时间段同时定义了绝对时间段和周期时间段，则只有同时满足绝对时间段和周期时间段的定义时，该时间段才进入激活状态。例如，一个时间段定义了绝对时间段：从2004年1月1日零点零分到2004年12月31日23点59分，同时定义了周期时间段：每周三的12：00到14：00。该时间段只有在2004年内每周三的12：00到14：00才进入激活状态。

如果用户在使用undo time-range命令时输入了参数，系统将只删除该时间段中参数对应的内容。

【举例】

# 定义绝对时间段，从2000年1月1日12:00至2001年1月1日12:00生效。

<H3C> system-view

System View: return to User View with Ctrl+Z.

[H3C] time-range test from 12:00 1/1/2000 to 12:00 1/1/2001