- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
07-ACL配置命令
本章节下载: 07-ACL配置命令 (200.08 KB)
访问控制列表配置命令包括:
· absolute
· access-group
· acl
· acl extended
· acl link
· acl match-order
· acl standard
· { permit | deny }
· periodic
· display acl config
· display acl config statistic
· display acl runtime all
· display acl runtime statistic
· display time-range
· time-range
【命令】
absolute [ start time date ] [ end time date ]
undo absolute [ start time date ] [ end time date ]
【视图】
time-range 时间配置模式
【缺省级别】
2:系统级
【参数】
start time date:为可选项,配置绝对时间范围起始时间。time 的输入格式为hh:mm:ss,该时间使用24 小时方式表示,hh 的范围为0~23,mm 的范围为0~59,ss的范围为0~59。date 的输入格式为YYYY/MM/DD。day 可以输入1~31 之间的数字,month 需要输入1~12 之间的数字,year 使用4 位输入。如果不配置起始时间,则表示对起始时间没有限制,只关心结束时间。
end time date:为可选项,配置绝对时间范围结束时间。其中time 和date的输入格式与起始时间相同。结束时间必须大于起始时间。如果不配置结束时间,则结束时间为系统可表示最大时间。
【描述】
该命令用来创建绝对时间范围。该命令的undo 形式用来删除绝对时间范围的设置。
绝对时间范围为时间段确定一个大的生效时间,也为周期时间范围限定其发生作用的时间范围。每个时间段可以定义12 个绝对时间范围。在同时配置绝对时间范围和周期时间范围的时间段内,只有在满足了绝对时间范围的情况下才会进行周期时间范围的判断。在不指定起始时间和终止时间的情况下,命令指定的时间范围是从OLT可以识别的最早的时间到可以识别的最晚的时间。
【举例】
# 下面时间段将在2000 年1 月1 日0:0 生效,并永远有效。
[H3C]time-range tm1
[H3C-timerange-tm1]absolute start 0:0 1-1-2000
[H3C-timerange-tm1]quit
# 下面时间段将从配置之时起到2000 年12 月10 日22:00 一直有效,在22:01
分失效。
[H3C]time-range tm2
[H3C-timerange-tm2]absolute end 22:00 12-10-2000
[H3C-timerange-tm2]quit
# 下面时间段将从1999 年12 月31 日20:00 起,到2000 年12 月10 日20:00
之间,在每个周末的下午14:00 到16:00 之间有效。(关于周期时间段的配置请参考periodic 命令。)
[H3C] time-range testall
[H3C-timerange-testall]absolute start 20:00 12-31-1999 end 20:00 12-10-2000
[H3C-timerange-testall]periodic weekend 14:00 to 16:00 [H3C-timerange-testall]exit
【命令】
access-group [ ip-group { acl-number | acl-name } [ subitem subitem ] ] [ link-group { acl-number | acl-name } [ subitem subitem ] ]
undo access-group { all | ip-group { acl-number | acl-name } [ subitem subitem ] | link-group { acl-number | acl-name } [ subitem subitem ] }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
acl-number:访问控制列表序号,取值范围为1~299。
acl-name:访问控制列表名字,字符串参数,必须以英文字母(即[ a~z,A~Z ])开头,而且中间不能有空格和引号。
subitem subitem:可选参数,指定激活访问列表中的哪个子项,取值范围为0~128,如果不指定则表示要激活访问列表中的所有子项。
以下是undo 命令的参数:
all:表示要取消激活所有已激活的访问列表(包括数字标识的和名字标识的)。
【描述】
该命令用来激活访问控制列表,此命令的undo 形式用来取消激活。
本命令支持同时激活二层和三层访问控制列表,但是要求各访问控制列表的动作不互相冲突,如果动作冲突(例如一个是permit 另一个是deny)则不能同时激活这些访问控制列表。
【举例】
# 下面的命令同时激活1 号访问控制列表和200 号访问控制列表。
[H3C]access-group ip-group 1 link-group 200
【命令】
(1) 定义数字标识的标准访问控制列表。
acl acl-number1 { permit | deny } { source-addr source-wildcard | any } [ fragments ] [ time-range time-range-name ]
(2) 定义数字标识的扩展访问控制列表
acl acl-number2 { permit | deny } [ protocol ] { source-addr source-wildcard | any } [ port [ portmask ] ] { dest-addr dest-wildcard | any } [ port [ portmask ] ] [ icmp-type [ icmp-code ] | icmp-packet ] [ fragments ] [ time-range time-range-name ]
(3) 定义数字标识的二层访问控制列表
acl acl-number3 { permit | deny } [ protocol ] ingress { { [ source-start-vlan-id source-end-vlan-id ] [ interface interface-num ] } | any } [ time-range time-range-name ]
(4) 删除访问控制列表或其子项
undo acl { all | { acl-number | name acl-name } [ subitem ] }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
acl-number1:表示规则是标准访问列表规则,取值范围为1~99 。
acl-number2:表示规则是扩展访问列表规则,取值范围为100~199 。
acl-number3:表示规则是二层访问列表规则,取值范围为200~299 。
permit:表明允许满足条件的报文通过。
deny:表明禁止满足条件的报文通过。
time-range time-range-name:时间段的名称,可选参数,表示该规则在此时间段内有效。
以下的参数是数据包携带的各种属性参数,访问控制列表就是根据这些属性参数的取值制定规则。
source-addr source-wildcard | any:source-addr source-wildcard 表示源IP地址和源地址通配位,点分十进制表示;any 表示所有源地址。此参数用于建立标准或者扩展访问控制列表。
fragments:表示此条规则仅对分片报文有效,而对非分片报文忽略此规则。此参数用于标准访问控制列表或者扩展访问控制列表。
protocol:用数字或名字表示的协议类型。数字取值范围为1~255;名字取值范围为icmp、igmp、tcp、udp、gre、ospf、ipinip。此参数用于扩展访问控制列表。
established:表示此条规则仅对TCP 建立连接的第一个SYN 报文有效,可选参数,当protocol 参数取值tcp 时出现。此参数用于扩展访问控制列表。
[ port [ portmask ] ]:表示建立TCP/UDP的端口范围。port:表示报文使用的tcp或者udp端口号,该字段为可选字段,用符号或者数字表示,数字取值范围为0~65535,字符取值请参看端口号助记符表。 portmask为端口掩码,该字段为可选字段,其取值范围为0~65535。当协议类型为tcp或者udp时可支持协议端口范围的配置。配置端口号和掩码时,用户可选择输入八进制、十进制或十六进制数。不输入port,表示允许所有端口;portmask输入为0或者不输入,表示端口本身;否则根据端口范围由port和portmask共同决定。该规则可以支持单端口配置,可以近似支持大于、等于以及端口范围的配置(精确到2的n次幂)。
dest-addr dest-wildcard | any:dest-addr dest-wildcard 表示目的IP 地址和目的地址通配位,点分十进制表示;any 表示所有目的地址。此参数用于扩展访问控制列表。
[ icmp-type [ icmp-code ] | icmp-packet ]:icmp-type [ icmp-code ]指定一ICMP 报文。icmp-type 代表ICMP 报文类型,用字符或数字表示,数字取值范围为0~255;icmp-code 代表ICMP 码,在协议为icmp 且没有使用字符表示ICMP 报文类型时出现,取值范围是0~255;icmp-packet 是用名字表示的ICMP 报文,是由特定icmp-type 和icmp-code 组合指定的。此参数用于扩展访问控制列表。
ingress { { [ source-start-vlan-id source-end-vlan-id ][ interface interface-num ] } | any }:数据包的源信息。 source-start-vlan-id表示的是数据包的源起始VLAN, source-end-vlan-id表示的是数据包的源结束VLAN, interface interface-num表示的是接收该报文的二层端口,any 表示从所有端口接收到的所有报文。此参数用于二层访问控制列表规则。
{ rule-string rule-mask offset }&<1-6>:rule-string是用户自定义的规则字符串,必须是16 进制数组成,字符必须是偶数个;rule-mask offset 用于提取报文的信息,rule-mask是规则掩码,用于和数据包作“与”操作,offset 是偏移量,它以数据包除去IPv4头后的第一个字节为基准,指定从第几个字节开始进行“与”操作,rule-mask offset 共同作用,将从报文提取出来的字符串和用户定义的rule-string 比较,找到匹配的报文,然后进行相应的处理。&<1-6>表示则一次最多可以定义6 这样的规则。
ingress interface interface-num、egress interface interface-num :二层接口名, interface-num表示一个接口,cpu表示cpu端口。
source-vid source-vlan-id : 源VLAN ID,source-vlan-id表示一个VLAN ID号。这两个参数用于用户自定义的访问控制列表。
以下是undo命令的参数:
all:表示要删除所有的访问列表(包括数字标识的和名字标识的)。
acl-number:要删除的访问列表序号,1~299间的一个数值。
name acl-name:要删除的访问列表名字,字符串参数,必须以英文字母(即[a-z,A-Z])开头,而且中间不能有空格和引号;不区分大小写,不允许使用all、any 关键字。
subitem:可选参数,指定删除访问列表中的哪个子项,取值范围为0~128,如果不指定则表示要删除访问列表中的所有子项。
【描述】
该命令用来配置一个数字标识的访问控制列表,分为:标准访问控制列表、扩展访问控制列表、二层访问控制列表及用户自定义的访问控制列表;此命令的undo 形式用来删除一条数字或名字标识的访问控制列表的所有子项或其中一个子项,或者删除全部访问控制列表。
【举例】
# 下面的命令配置1 号访问控制列表,该访问控制列表用于丢弃源IP为192.168.3.1的报文。
[H3C]acl 1 deny 192.168.3.1 0
# 下面的命令配置100 号访问控制列表,该访问控制列表用于丢弃TCP源端口号高8位为0的为报文。
[H3C] acl 100 deny tcp any 0 0xff any
【命令】
acl extended name [ match-order { config | auto } ]
undo acl { all | { acl-number | name acl-name } [ subitem subitem ] }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
name:字符串参数,必须以英文字母(即[a-z,A-Z])开头,而且中间不能有空格和引号;不区分大小写,不允许使用all、any 关键字。
config:表示匹配访问列表的规则时按用户的配置顺序。
auto:表示匹配访问列表的规则时按深度优先顺序。
以下是undo 命令的参数:
all:表示要删除所有的访问列表(包括数字标识的和名字标识的)。
acl-number:要删除的访问列表序号,取值范围为1~299。
name acl-name:要删除的访问列表名字,字符串参数,必须以英文字母(即[a-z,A-Z])开头,而且中间不能有空格和引号;不区分大小写,不允许使用all、any 关键字。
subitem subitem:可选参数,指定删除访问列表中的哪个子项,取值范围为0~128,如果不指定则表示要删除访问列表中的所有子项。
【描述】
acl extended命令用来创建一个名字标识的扩展访问控制列表,并进入扩展访问列表配置模式,此命令的undo 形式用来删除一条数字或名字标识的访问控制列表的所有子项或其中一个子项,或者删除全部访问控制列表。
缺省为config 顺序。
本命令创建一个以“name”命名的扩展访问列表,进入扩展访问列表配置模式之后,可以用{ permit | deny }命令增加此命名访问列表的子项(用exit 命令退出访问列表配置模式)。由于每一条访问列表可以由多个子项组成,而每一子项的流分类规则指定的范围大小有别,当一个数据包匹配多条规则时就存在匹配顺序的问题。可以使用match-order 指定匹配顺序是按照用户配置的顺序还是按照深度优先顺序(优先匹配范围小的规则),如果不指定则缺省为用户配置顺序。用户一旦指定一条访问列表的匹配顺序后,就不能再更改,除非把该访问列表的子项全部删除,再重新指定其匹配顺序。
【举例】
# 下面的命令创建一个名为example 的扩展访问列表并指定匹配顺序为深度优先顺序。
[H3C]acl extended example match-order auto
【命令】
acl link name [ match-order { config | auto } ]
undo acl { all | { acl-number | name acl-name } [ subitem subitem ] }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
name:字符串参数,必须以英文字母(即[a-z,A-Z])开头,而且中间不能有空格和引号;不区分大小写,不允许使用all、any 关键字。
config:表示匹配访问列表的规则时按用户的配置顺序。
auto:表示匹配访问列表的规则时按深度优先顺序。
以下是undo 命令的参数。
all:表示要删除所有的访问列表(包括数字标识的和名字标识的)。
acl-number:要删除的访问列表序号,取值范围为1~299。
name acl-name:要删除的访问列表名字,字符串参数,必须以英文字母(即[a-z,A-Z])开头,而且中间不能有空格和引号;不区分大小写,不允许使用all、any 关键字。
subitem subitem:可选参数,指定删除访问列表中的哪个子项,取值范围为0~128,如果不指定则表示要删除访问列表中的所有子项。
【描述】
本命令用来创建一个名字标识的二层访问控制列表,并进入二层访问列表配置模式,此命令的undo 形式用来删除一条数字或名字标识的访问控制列表的所有子项或其中一个子项,或者删除全部访问控制列表。
缺省为config 顺序。
本命令创建一个以“name”命名的二层访问列表,进入二层访问列表配置模式之后,可以用{ permit | deny }命令增加此命名访问列表的子项(用quit命令退出访问列表配置模式)。由于每一条访问列表可以由多个子项组成,而每一子项的流分类规则指定的范围大小有别,当一个数据包匹配多条规则时就存在匹配顺序的问题。可以使用match-order 指定匹配顺序是按照用户配置的顺序还是按照深度优先顺序(优先匹配范围小的规则),如果不指定则缺省为用户配置顺序。用户一旦指定一条访问列表的匹配顺序后,就不能再更改,除非把该访问列表的子项全部删除,再重新指定其匹配顺序。
【举例】
# 下面的命令创建一个名为example 的二层访问列表并指定匹配顺序为深度
优先顺序。
[H3C]acl link example match-order auto
【命令】
acl acl-number match-order { config | auto }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
acl-number:访问列表序号,取值范围为1~299。
config:表示匹配访问列表的规则时按用户的配置顺序。
auto:表示匹配访问列表的规则时按深度优先顺序。
【描述】
本命令用来指定一条数字标识的访问列表的规则匹配顺序。
缺省为config 顺序。
由于每一条访问列表可以由多个子项组成,而每一子项的流分类规则指定的范围大小有别,当一个数据包匹配多条规则时就存在匹配顺序的问题。可以使用本条命令在配置一条访问列表之前指定匹配顺序是按照用户配置的顺序还是按照深度优先顺序(优先匹配范围小的规则)。用户一旦指定一条访问列表的匹配顺序后,就不能再更改,除非把该访问列表的子项全部删除,再重新指定其匹配顺序。
【举例】
# 下面的命令指定1 号访问列表的规则匹配顺序为深度优先顺序。
[H3C]acl 1 match-order auto
【命令】
acl standard name [ match-order { config | auto } ]
undo acl { all | { acl-number | name acl-name } [ subitem subitem ] }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
name:字符串参数,必须以英文字母(即[a-z,A-Z])开头,而且中间不能有空格和引号;不区分大小写,不允许使用all、any 关键字。
config:表示匹配访问列表的规则时按用户的配置顺序。
auto:表示匹配访问列表的规则时按深度优先顺序。
以下是undo 命令的参数:
all:表示要删除所有的访问列表(包括数字标识的和名字标识的)。
acl-number:要删除的访问列表序号,取值范围为1~299。
name acl-name:要删除的访问列表名字,字符串参数,必须以英文字母(即[a-z,A-Z])开头,而且中间不能有空格和引号;不区分大小写,不允许使用all、any 关键字。
subitem subitem:可选参数,指定删除访问列表中的哪个子项,取值范围为0~128,如果不指定则表示要删除访问列表中的所有子项。
【描述】
该命令用来创建一个名字标识的标准访问控制列表,并进入标准访问列表配置模式,此命令的undo 形式用来删除一条数字或名字标识的访问控制列表的所有子项或其中一个子项,或者删除全部访问控制列表。
缺省为config 顺序。
本命令创建一个以“name”命名的标准访问列表,进入标准访问列表配置模式之后,可以用{ permit | deny }命令增加此命名访问列表的子项(用quit命令退出访问列表配置模式)。由于每一条访问列表可以由多个子项组成,而每一子项的流分类规则指定的范围大小有别,当一个数据包匹配多条规则时就存在匹配顺序的问题。可以使用match-order 指定匹配顺序是按照用户配置的顺序还是按照深度优先顺序(优先匹配范围小的规则),如果不指定则缺省为用户配置顺序。用户一旦指定一条访问列表的匹配顺序后,就不能再更改,除非把该访问列表的子项全部删除,再重新指定其匹配顺序。
【举例】
# 下面的命令创建一个名为example 的标准访问列表并指定匹配顺序为深度优先顺序。
[H3C]acl standard example match-order auto
【命令】
(1) 增加一条名字标识的标准访问控制列表的子项
{ permit | deny } { source-addr source-wildcard | any } [ fragments ] [ time-range time-range-name ]
(2) 增加一条名字标识的扩展访问控制列表的子项
{ permit | deny } [ protocol ] [ established ] { source-addr source-wildcard |
any } [ port [ portmask ] ] { dest-addr dest-wildcard | any } [ port [ portmask ] ]
[ icmp-type [ icmp-code ] ] [ fragments ] [ time-range time-range-name ]
(3) 增加一条名字标识的二层访问控制列表的子项
{ permit | deny } [ protocol ] ingress { { [ source-start-vlan-id source-end-vlan-id ] [ interface interface-num ] } | any } [ time-range time-range-name ]
【视图】
访问列表配置模式(包括标准、扩展、二层、接口、用户自定义五种配置模式)
【缺省级别】
2:系统级
【参数】
permit:表明允许满足条件的报文通过。
deny:表明禁止满足条件的报文通过。
time-range time-range-name:时间段的名称,可选参数,表示该规则在此时间段内有效。
以下的参数是数据包携带的各种属性参数,访问控制列表就是根据这些属性参数的取值制定规则:
source-addr source-wildcard | any:source-addr source-wildcard 表示源IP地址和源地址通配位,点分十进制表示;any 表示所有源地址。此参数用于建立标准或者扩展访问控制列表。
fragments:表示此条规则仅对分片报文有效,而对非分片报文忽略此规则。此参数用于标准访问控制列表或者扩展访问控制列表。
protocol:用数字或名字表示的协议类型。数字取值范围为1~255;名字取值范围为icmp、igmp、tcp、udp、gre、ospf、ipinip。此参数用于扩展访问控制列表。
established:表示此条规则仅对TCP 建立连接的第一个SYN 报文有效,可选参数,当protocol 参数取值tcp 时出现。此参数用于扩展访问控制列表。
[ port [ portmask ] ]:表示建立TCP/UDP的端口范围。port:表示报文使用的tcp或者udp端口号,该字段为可选字段,用符号或者数字表示,数字取值范围为0~65535,字符取值请参看端口号助记符表。 portmask为端口掩码,该字段为可选字段,其取值范围为0~65535。当协议类型为tcp或者udp时可支持协议端口范围的配置。配置端口号和掩码时,用户可选择输入八进制、十进制或十六进制数。不输入port,表示允许所有端口;portmask输入为0或者不输入,表示端口本身;否则根据端口范围由port和portmask共同决定。该规则可以支持单端口配置,可以近似支持大于,小于以及端口范围的配置(精确到2的n次幂)。
dest-addr dest-wildcard | any:dest-addr dest-wildcard 表示目的IP 地址和目的地址通配位,点分十进制表示;any 表示所有目的地址。此参数用于扩展访问控制列表。
[ icmp-type [ icmp-code ] | icmp-packet ]:icmp-type [ icmp-code ]指定一ICMP 报文。icmp-type 代表ICMP 报文类型,用字符或数字表示,数字取值范围为0~255;icmp-code 代表ICMP 码,在协议为icmp 且没有使用字符表示ICMP 报文类型时出现,取值范围是0~255;icmp-packet 是用名字表示的ICMP 报文,是由特定icmp-type 和icmp-code 组合指定的。此参数用于扩展访问控制列表。
ingress { { [ source-start-vlan-id source-end-vlan-id ] [ source-mac-addr source-mac-wildcard ] [ interface interface-num ] } | any }:数据包的源信息, source-start-vlan-id表示的是数据包的源起始VLAN,source-end-vlan-id表示的是数据包的源结束VLAN,source-mac-addr source-mac-wildcard 表示的是数据包的源MAC 地址和MAC 地址的通配符,这两个参数共同作用可以得到用户感兴趣的源MAC 地址的范围,比如source-mac-wildcard 取值为0000-0000-ffff,则表示用户只对源MAC 地址的前32 个bit(即通配符中数字0 对应的比特位)感兴趣,interface interface-num表示的是接收该报文的二层端口,any 表示从所有端口接收到的所有报文。此参数用于二层访问控制列表规则。
{ rule-string rule-mask offset }&<1-6>:rule-string 是用户自定义的规则字符串,必须是16 进制数组成,字符必须是偶数个;rule-mask offset 用于提取报文的信息,rule-mask 是规则掩码,用于和数据包作“与”操作,offset 是偏移量,它以数据包除去源MAC、目的MAC和TAG头后的第一个字节为基准,指定从第几个字节开始进行“与”操作,rule-mask offset 共同作用,将从报文提取出来的字符串和用户定义的rule-string 比较,找到匹配的报文,然后进行相应的处理。&<1-6>表示则一次最多可以定义6 这样的规则。
ingress interface interface-num 、egress interface interface-num:二层接口名,其中interface-num表示一个接口,cpu表示cpu端口。
source-vid source-vlan-id :源VLAN ID,source-vlan-id表示源VLAN ID号。这两个参数用于用户自定义的访问控制列表。
说明:
以下是undo 命令的参数。
all:表示要删除所有的访问列表(包括数字标识的和名字标识的)。
acl-number:要删除的访问列表序号,取值范围为1~299。
name acl-name:要删除的访问列表名字,字符串参数,必须以英文字母(即[a-z,A-Z])开头,而且中间不能有空格和引号;不区分大小写,不允许使用all、any 关键字。
subitem:可选参数,指定删除访问列表中的哪个子项,取值范围为0~127,如果不指定则表示要删除访问列表中的所有子项。
【描述】
该命令用来增加一条以名字标识的访问控制列表的子项。
进入访问列表配置模式后,使用本命令建立访问控制列表的一个子项。本命令可以重复使用,为一条访问列表建立多个子项,总共可以有128 个子项。如果该访问列表已经激活则不允许再为其添加子项。
【举例】
# 下面的命令创建一个名为example 的标准访问列表并指定匹配顺序为深度优先顺序。
[H3C]acl standard example match-order auto
Create ACL item successfully!
[H3C-std-nacl-example]permit 192.168.3.1 0
Config ACL subitem successfully!
[H3C-std-nacl-example]
【命令】
periodic day-of-the-week hh:mm:ss to day-of-the-week hh:mm:ss
undo periodic day-of-the-week hh:mm:ss to day-of-the-week hh:mm:ss
【视图】
time-range 时间配置模式
【缺省级别】
2:系统级
【参数】
day-of-the-week:表示该时间段在每周几有效,或者从周几开始有效,此参数可以一次输入多个。参数取值如下:
· 0~6(数字,表示周一到周日);
· mon,tue,wed,thur,fri,sat,sun(特定字符串,表示星期一到星期日);
· weekdays(特定字符串,工作日,包括从星期一到星期五五天);
· weekend(休息日,包括星期六和星期天);
· daily(特定字符串,所有日子,包括一周七天)。
to 后的day-of-the-week:参数表示该时间段在每周几失效,它和to 前的day-of-the-week 参数共同确定一个时间段,此时to 前后的day-of-the-week都只能取一个值,即只能输入从星期一到星期日七天中的一天,并且to 前输入的day-of-the-week 取值要比to 后的day-of-the-week 的早,例如,第一个day-of-the-week 输入为wed,则to 后面的day-of-the-week 可以选值为wed、thu、fri、sat。如果to 前输入的day-of-the-week 输入了两个或两个以上的日子,to 后将不能再输入day-of-the-week 参数。
hh:mm:ss :参数第一个为起始时间,第二个为中止时间。
【描述】
该命令用来创建周期时间范围。该命令的undo 形式用来删除周期时间范围。
周期时间范围的生效周期为一周。根据不同的配置,周期时间段有不同的时间表示。如:每个工作日的8:00 到18:00 生效,配置为
[H3C-timerange-test]periodic weekdays 8:00 to 18:00
或者为
[H3C-timerange-test]periodic Mon Tue Wed Thu Fri 8:00 to 18:00
每个星期的周一8:00 到周五18:00 生效,配置为
[H3C-timerange-test]periodic Mon 8:00 to Fri 18:00
【举例】
# 下面的例子配置了一条在周一到周五每天8:00 到18:00 生效的时间段。
[H3C]time-range 1to5
[H3C-timerange-1to5]periodic weekdays 8:00 to 18:00
[H3C-timerange-1to5]quit
# 下面的例子配置了一条每天8:00 到18:00 生效的时间段。
[H3C]time-range all_day
[H3C-timerange-all_day]periodic daily 8:00 to 18:00
[H3C-timerange-all_day]quit
# 下面的例子配置了一条每周周一8:00 到周五18:00 生效的时间段。
[H3C]time-range 1to5
[H3C-timerange-1to5]periodic mon 8:00 to fri 18:00
[H3C-timerange-1to5]quit
# 下面的例子配置了一条每周周末全部时间生效的时间段。
[H3C]time-range wend2
[H3C-timerange-wend2]periodic weekend 0:0 to 23:59
[H3C-timerange-wend2]quit
# 下面例子配置了一条周末每天下午生效的时间段。
[H3C]time-range wendafternoon
[H3C-timerange-wendafternoon]periodic weekend 14:00 to 18:00
[H3C-timerange-wendafternoon]quit
【命令】
display acl config { all | acl-number | name acl-name }
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
all 表示要显示所有的访问列表(包括数字标识的和名字标识的)。
acl-number 为要显示的访问列表序号,取值范围为1~299。
name acl-name 为要显示的访问列表名字,字符串参数,必须以英文字母(即[a-z,A-Z])开头,而且中间不能有空格和引号。
【描述】
该命令用来显示访问控制列表的详细配置信息,包括每一个{ permit | deny }语句及其序号和该语句匹配的数据包的个数和字节数。
【举例】
# 下面的命令显示所有访问列表的内容。
[H3C]display acl config all
Standard IP Access List 10, 1 rule,
0 : permit 10.0.0.1 0 (0 times matched)
Standard IP Access List 20, 1 rule,
0 : permit 20.0.0.1 0 (0 times matched)
Standard IP Access List std1, 2 rules,
0 : permit 20.0.0.1 0 (0 times matched)
1 : permit 30.0.0.1 0 (0 times matched)
【命令】
display acl config statistic
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
无
【描述】
该命令用来显示访问控制列表的统计信息。
【举例】
# 下面的命令显示所有访问列表的统计信息。
[H3C]display acl config statistic
acl 1 : 1 rules
acl 2 : 2 rules
acl 10 : 1 rules
acl 11 : 1 rules
acl 12 : 1 rules
acl 200 : 1 rules
acl 202 : 2 rules
acl 210 : 1 rules
total config rules : 10 rules
【命令】
display acl runtime { all | acl-number | name acl-name }
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
all 表示要显示所有已应用的访问列表(包括数字标识的和名字标识的)。
acl-number 为要显示的已应用的访问列表序号,取值范围为1~299。
name acl-name 为要显示的已应用的访问列表名字,字符串参数,必须以英文字母(即[a-z,A-Z])开头,而且中间不能有空格和引号。
【描述】
该命令用来显示访问控制列表的下发应用信息。显示内容包括访问控制列表名、子项名和下发状态。若ACL子项被下发到硬件中,还将显示该ACL子项在硬件中的优先级。优先级值为0~255。若ACL子项下发到硬件中,则显示该ACL子项在该硬件中的优先级,否则用“/”表示,如一个ACL子项只被下发优先级为8,则显示为(8)。
【举例】
# 下面的命令显示所有接口的访问列表下发应用信息。
[H3C]display acl runtime all
acl std1 subitem 0 running (0)
acl std1 subitem 1 running (1)
【命令】
display acl runtime statistic
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
无
【描述】
该命令用来显示访问控制列表的统计信息。
【举例】
# 下面的命令显示所有接口的访问列表下发应用的统计信息。
[H3C]display acl runtime statistic
acl 1 acl 200 : 1 rules
acl 2 : 2 rules
acl 202 : 2 rules
acl 10 acl 210 : 1 rules
acl 11 acl 210 : 1 rules
acl 12 acl 210 : 1 rules
total runtime rules : 8 rules
【命令】
display time-range [ all | statistic | name time-range-name ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
all:显示所有的时间段。
statistic:显示所有时间段的统计信息。
time-range-name:为时间段的名称,以[a-z,A-Z]为起始字母的字符串,取值范围为1~32 个字符。
【描述】
该命令用来显示当前时间段的配置和状态,对于当前处在激活状态的时间段将显示active,对于非激活状态显示inactive。
注意:由于系统更新acl 状态有一个误差,大约1 分钟,而display time-range 会采用当前时间对其进行判断,所以有可能出现display time-range看到一个时间段已经激活,而引用它的acl 没有激活。这种情况是正常的。
【举例】
# 显示所有时间段。
[H3C-timerange-tm2]display time-range all
# 显示名字为tm1 的时间段。
[H3C]display time-range name tm1
# 显示所有时间段的统计信息。
[H3C]display time-range statistic
【命令】
time-range time-range-name
undo time-range { all | time-range-name }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
time-range-name:时间段的名字,以[a-z,A-Z]为起始字母的字符串,取值范围为1~32 个字符。
【描述】
该命令用来进入time-range 时间配置模式。此命令的undo形式用来删除配置的时间段。
【举例】
# 创建时间段tm1并进入该时间段配置模式。
[H3C]time-range tm1
H3C(config-timerange-tm1)#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
