- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
09-包过滤防火墙命令
本章节下载: 09-包过滤防火墙命令 (147.29 KB)
目 录
1.1.1 display firewall packet-filter
1.1.4 firewall packet-filter ipv6
1.1.5 packet-filter forwarding-layer route outbound
本文中的“SPC单板”指的是单板丝印以“SPC”开头(如SPC-GT48L)的单板。
【命令】
display firewall packet-filter { all | interface interface-type interface-number } [ inbound | outbound ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
all:查看所有接口的报文过滤信息。
interface interface-type interface-number:查看指定接口的报文过滤信息。其中,interface-type interface-number表示接口类型和接口编号。
inbound:过滤接口接收的数据包。
outbound:过滤接口转发的数据包。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display firewall packet-filter命令用来显示接口的报文过滤信息。
相关配置可参考命令firewall packet-filter和firewall packet-filter ipv6。
【举例】
# 查看接口的报文过滤信息。
<Sysname> display firewall packet-filter all
Interface: GigabitEthernet4/1/6
In-bound Policy:
acl 3002, Successful
Out-bound Policy:
Interface: GigabitEthernet4/1/7
In-bound Policy:
acl 3001, Successful
Out-bound Policy:
表1-1 display firewall packet-filter命令显示信息描述表
|
字段 |
描述 |
|
Interface |
配置了报文过滤功能的接口 |
|
In-bound Policy |
表示该接口上配置了入方向的ACL规则 |
|
Out-bound Policy |
表示该接口上配置了出方向的ACL规则 |
【命令】
display port-mapping [ application-name | port port-number ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
application-name:指定用于端口映射的应用的名称,其取值及含义如下:
· ftp:表示FTP协议;
· gtp-c:表示GTP-C(GPRS Tunneling Protocol Control,GTP控制面)协议;
· gtp-u:表示GTP-U(GPRS Tunneling Protocol User,GTP用户面)协议;
· gtp-v0:表示GTP-V0(GPRS Tunneling Protocol V0)协议;
· h323:表示H323协议;
· http:表示HTTP协议;
· rtsp:表示RTSP协议;
· sccp:表示SCCP协议;
· sip:表示SIP协议;
· smtp:表示SMTP协议;
· sqlnet:表示SQLNET协议。
port port-number:指定应用协议映射的端口。其中,port-number表示映射端口号,取值范围为0~65535。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display port-mapping命令用来查看端口映射信息。
相关配置可参考命令port-mapping。
【举例】
# 查看端口映射的所有信息。
<Sysname> display port-mapping
SERVICE PORT ACL TYPE
-------------------------------------------------
ftp 21 system defined
gtp-c 2123 system defined
gtp-u 2152 system defined
gtp-v0 3386 system defined
h323 1720 system defined
http 80 system defined
rtsp 554 system defined
sccp 2000 system defined
sip 5060 system defined
smtp 25 system defined
sqlnet 1521 system defined
http 8080 user defined
表1-2 display port-mapping命令显示信息描述表
|
字段 |
描述 |
|
SERVICE |
进行端口映射的应用层协议 |
|
PORT |
应用层协议映射的端口号 |
|
ACL |
指定主机范围的ACL号 |
|
TYPE |
端口映射类型,包括系统预定义和用户自定义两种类型 |
【命令】
firewall packet-filter { acl-number | name acl-name } { inbound | outbound }
undo firewall packet-filter { acl-number | name acl-name } { inbound | outbound }
【视图】
接口视图(二层以太网接口、三层以太网接口、VLAN接口、ATM接口、POS接口、串口、MP-Group、MFR)
【缺省级别】
2:系统级
【参数】
acl-number:访问控制列表编号。支持:基本控制列表号,取值范围为2000~2999;高级控制列表号,取值范围为3000~3999;二层控制列表号,取值范围为4000~4999;用户自定义控制列表号,取值范围为5000~5999。
name acl-name:指定基本或高级访问控制列表的名称。其中,acl-name表示IPv4 ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,IPv4 ACL的名称不可以使用英文单词all。
inbound:过滤接口接收的数据包。
outbound:过滤接口转发的数据包。
【描述】
firewall packet-filter命令用来配置接口的IPv4报文过滤功能。undo firewall packet-filter命令用来取消接口的报文过滤功能。
缺省情况下,不对通过接口的报文进行过滤。
每个接口的单方向可配置多个包过滤命令同时生效。
如果firewall packet-filter引用的ACL已经生效,在已生效ACL中执行添加rule的操作,新添加的rule可能会不生效(原因可能是ACL资源不够或firewall packet-filter不支持此rule)。通过display acl { acl-number | all | name acl-name } slot slot-number查询ACL的配置和运行情况时,不生效的rule会被标识成“uncompleted”。如果后续有了足够的ACL资源,需要删除不生效的rule并重新配置,此rule才能生效。关于ACL的详细介绍请参见“ACL和QOS配置指导”中的“ACL”。
【举例】
# 使用ACL 2001在接口Serial 3/1/9/1:2上对出方向的报文进行过滤。
<Sysname> system-view
[Sysname] interface serial 3/1/9/1:2
[Sysname-Serial3/1/9/1:2] firewall packet-filter 2001 outbound
【命令】
firewall packet-filter ipv6 { acl6-number | name acl6-name } { inbound | outbound }
undo firewall packet-filter ipv6 { acl-number | name acl-name } { inbound | outbound }
【视图】
接口视图(二层以太网接口、三层以太网接口、VLAN接口、ATM接口、POS接口、串口、MP-Group、MFR)
【缺省级别】
2:系统级
【参数】
acl6-number:基本或高级IPv6访问控制列表号,取值范围为2000~3999。
name acl6-name:指定基本或高级访问控制列表的名称。其中,acl6-name表示IPv6 ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,IPv6 ACL的名称不可以使用英文单词all。
inbound:过滤接口接收的数据包。
outbound:过滤接口转发的数据包。
【描述】
firewall packet-filter ipv6命令用来配置接口的IPv6报文过滤功能。undo firewall packet-filter ipv6命令用来取消接口的IPv6报文过滤功能。
缺省情况下,不对通过接口的IPv6报文进行过滤。
每个接口的单方向可配置多个包过滤命令同时生效。
如果firewall packet-filter ipv6引用的ACL已经生效,在已生效ACL中执行添加rule的操作,新添加的rule可能会不生效(原因可能是ACL资源不够或firewall packet-filter ipv6不支持此rule)。通过display acl { acl-number | all | name acl-name } slot slot-number查询ACL的配置和运行情况时,不生效的rule会被标识成“uncompleted”。如果后续有了足够的ACL资源,需要删除不生效的rule并重新配置,此rule才能生效。关于ACL的详细介绍请参见“ACL和QOS配置指导”中的“ACL”。
【举例】
# 使用IPv6 ACL 2500在接口GigabitEthernet3/1/1上进行IPv6报文过滤。
<Sysname> system-view
[Sysname] interface gigabitEthernet 3/1/1
[Sysname- GigabitEthernet3/1/1] firewall packet-filter ipv6 2500 outbound
【命令】
packet-filter forwarding-layer route outbound
undo packet-filter forwarding-layer route outbound
【缺省级别】
2:系统级
【参数】
无
【描述】
packet-filter forwarding-layer route outbound命令用来使能SPC单板VLAN接口出方向报文过滤限制功能。执行本命令后,如果再在SPC单板上的VLAN接口出方向配置IPv4报文过滤功能(即配置firewall packet-filter命令),IPv4报文过滤将只对VLAN接口出方向的三层单播报文生效。undo packet-filter forwarding-layer route outbound命令用来恢复缺省情况。
缺省情况下,SPC单板VLAN接口出方向配置的IPv4报文过滤对所有报文生效。
· packet-filter forwarding-layer route outbound命令仅对SPC单板生效。
· packet-filter forwarding-layer route outbound或undo packet-filter forwarding-layer route outbound命令必须在firewall packet-filter { acl-number | name acl-name } outbound命令之前配置才有效;如果在SPC单板的VLAN接口出方向已经配置了firewall packet-filter { acl-number | name acl-name } outbound命令,则需要先清除此配置,然后配置packet-filter forwarding-layer route outbound或undo packet-filter forwarding-layer route outbound命令,最后在SPC单板VLAN接口上重新配置firewall packet-filter { acl-number | name acl-name } outbound命令,报文过滤限制功能才能正常生效。
· 配置了packet-filter forwarding-layer route outbound命令后,可能导致BFD报文被丢弃。为了保证BFD功能的正常使用,建议您配置IPv4高级ACL规则允许BFD报文通过,即配置命令rule [ rule-id ] permit udp destination-port range 3784 3785。
【举例】
# 应用IPv4基本ACL 2001,对SPC单板VLAN接口2上发出的三层单播报文生效。
<Sysname> system-view
[Sysname] packet-filter forwarding-layer route outbound
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] firewall packet-filter 2001 outbound
【命令】
port-mapping application-name port port-number [ acl acl-number ]
undo port-mapping [ application-name port port-number [ acl acl-number ] ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
application-name:端口映射的应用名称,其取值及含义如下:
· ftp:表示FTP协议;
· gtp-c:表示GTP-C(GPRS Tunneling Protocol Control,GTP控制面)协议;
· gtp-u:表示GTP-U(GPRS Tunneling Protocol User,GTP用户面)协议;
· gtp-v0:表示GTP-V0(GPRS Tunneling Protocol V0)协议;
· h323:表示H323协议;
· http:表示HTTP协议;
· rtsp:表示RTSP协议;
· sccp:表示SCCP协议;
· sip:表示SIP协议;
· smtp:表示SMTP协议;
· sqlnet:表示SQLNET协议。
port port-number:应用层协议的端口。其中port-number表示端口号,取值范围为0~65535。
acl acl-number:用来指定主机范围的IPv4访问控制列表。其中,acl-number表示基本访问控制列表号,取值范围为2000~2999。
【描述】
port-mapping命令用来配置端口到应用层协议的映射。undo port-mapping命令用来删除端口映射项。
缺省情况下,没有端口到应用层协议的映射关系。
相关配置可参考命令display port-mapping。
【举例】
# 建立端口3456到FTP协议的映射。
<Sysname> system-view
[Sysname] port-mapping ftp port 3456
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
