- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
07-报文过滤命令
本章节下载: 07-报文过滤命令 (278.54 KB)
目 录
1.1.4 display packet-filter statistics
1.1.5 display packet-filter statistics sum
1.1.6 display packet-filter verbose
ACL规则中未指定VPN实例时,不同业务模块的处理方式有所不同,请参见业务模块中的相关说明。
acl logging interval命令用来配置报文过滤日志信息的生成与发送周期,同时开启报文的首包上送功能。
undo acl logging interval命令用来恢复缺省情况。
【命令】
acl logging interval interval
undo acl logging interval
【缺省情况】
报文过滤日志信息的生成与发送周期为0分钟,即不记录报文过滤的日志。报文首包上送功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:报文过滤日志信息的生成与发送周期,取值范围为0~1440,且必须为5的整数倍,0表示不进行记录,单位为分钟。
【使用指导】
系统只支持对应用IPv4基本ACL、IPv4高级ACL、IPv6基本ACL或IPv6高级ACL进行报文过滤的报文过滤日志信息进行记录,且在上述ACL中配置规则时必须指定logging参数。
报文过滤日志的生成与发送周期起始于报文过滤中ACL匹配数据流的第一个数据包,报文过滤日志包括周期内被匹配的报文数量以及所使用的ACL规则。在一个周期内:
· 对于规则匹配数据流的第一个数据包,设备会立即生成报文过滤日志并发送到信息中心;
· 对于规则匹配数据流的其他数据包,设备将在周期结束后生成报文过滤日志并发送到信息中心。
有关信息中心的详细介绍请参见“网络管理和监控配置指导”中的“信息中心”。
【举例】
# 配置IPv4报文过滤日志的生成与发送周期为10分钟。
<Sysname> system-view
[Sysname] acl logging interval 10
【相关命令】
· rule (IPv4 advanced ACL view)
· rule (IPv4 basic ACL view)
· rule (IPv6 advanced ACL view)
· rule (IPv6 basic ACL view)
acl trap interval命令用来配置报文过滤告警信息的生成与发送周期。
undo acl trap interval命令用来恢复缺省情况。
【命令】
acl trap interval interval
undo acl trap interval
【缺省情况】
报文过滤告警信息的生成与发送周期为0分钟,即不记录报文过滤的告警信息。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:报文过滤告警信息的生成与发送周期,取值范围为0~1440,且必须为5的整数倍,0表示不进行记录,单位为分钟。
【使用指导】
系统只支持对应用IPv4基本ACL、IPv4高级ACL、IPv6基本ACL或IPv6高级ACL进行报文过滤的报文过滤告警信息进行记录,且在上述ACL中配置规则时必须指定logging参数。
报文过滤告警信息的生成与发送周期起始于报文过滤中ACL匹配数据流的第一个数据包,报文过滤告警信息包括周期内被匹配的报文数量以及所使用的ACL规则。在一个周期内:
· 对于规则匹配数据流的第一个数据包,设备会立即生成报文过滤告警信息并发送到SNMP模块;
· 对于规则匹配数据流的其他数据包,设备将在周期结束后生成报文过滤告警信息并发送到SNMP模块。
有关SNMP的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
【举例】
# 配置IPv4报文过滤告警信息的生成与发送周期为10分钟。
<Sysname> system-view
[Sysname] acl trap interval 10
【相关命令】
· rule (IPv4 advanced ACL view)
· rule (IPv4 basic ACL view)
· rule (IPv6 advanced ACL view)
· rule (IPv6 basic ACL view)
display packet-filter命令用来显示ACL在报文过滤中的应用情况。
【命令】
display packet-filter { global | interface [ interface-type interface-number ] } [ inbound | outbound ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
global:显示ACL在报文过滤中的全局(即所有物理接口)应用情况。
interface [ interface-type interface-number ]:显示指定接口上ACL在报文过滤中的应用情况。interface-type interface-number表示接口类型和接口编号。若未指定接口类型和接口编号,将显示所有接口上ACL在报文过滤中的应用情况。当接口类型为以太网接口时,不需要指定slot参数。
inbound:显示入方向上ACL在报文过滤中的应用情况。
outbound:显示出方向上ACL在报文过滤中的应用情况。
slot slot-number:指定设备编号,取值只能为1。
【使用指导】
如果未指定inbound和outbound参数,将同时显示出、入方向上ACL在报文过滤中的应用情况。
【举例】
# 显示接口HundredGigE1/0/1入方向上ACL在报文过滤中的应用情况。
<Sysname> display packet-filter interface hundredgige 1/0/1 inbound
Interface: HundredGigE1/0/1
Inbound policy:
IPv4 ACL 2001, Share-mode
IPv6 ACL 2002 (Failed)
MAC ACL 4003
# 显示出、入方向上ACL在报文过滤中的全局应用情况。
<Sysname> display packet-filter global
Global:
Inbound policy:
IPv4 ACL 2001
IPv6 ACL 2001
MAC ACL 4001
IPv4 default action: Deny (Failed)
IPv6 default action: Deny (Failed)
MAC default action: Deny
Outbound policy:
MAC ACL 4001
MAC default action: Deny
# 显示接口HundredGigE1/0/1下以太网服务实例1入方向上ACL在报文过滤中的应用情况。
<Sysname> display packet-filter l2vpn-ac interface hundredgige 1/0/1 service-instance 1 inbound
Interface: hundredgige 1/0/1 Service Instance ID: 1
Inbound policy:
IPv4 ACL 2001
IPv6 ACL 2002 (Failed)
MAC ACL 4003, Hardware-count (Failed)
表1-1 display packet-filter命令显示信息描述表
|
字段 |
描述 |
|
Interface |
ACL在指定接口上的应用情况 |
|
Global |
ACL的全局(即所有物理接口)应用情况 |
|
Inbound policy |
ACL在入方向上的应用情况 |
|
Outbound policy |
ACL在出方向上的应用情况 |
|
IPv4 ACL 2001 |
IPv4基本ACL 2001应用成功 |
|
IPv6 ACL 2002 (Failed) |
IPv6基本ACL 2002应用失败 |
|
Share-mode |
QoS和ACL资源的共享模式,当应用报文过滤时携带了share-mode关键字,显示信息中才会出现该字段 |
|
IPv4 default action |
报文过滤的缺省动作,包括: · Deny:报文过滤缺省动作为Deny应用成功 · Deny (Failed):报文过滤缺省动作为Deny应用失败,实际动作仍为Permit · Permit:报文过滤缺省动作为Permit |
|
IPv6 default action |
报文过滤的缺省动作,包括: · Deny:报文过滤缺省动作为Deny应用成功 · Deny (Failed):报文过滤缺省动作为Deny应用失败,实际动作仍为Permit · Permit:报文过滤缺省动作为Permit |
|
MAC default action |
报文过滤的缺省动作,包括: · Deny:报文过滤缺省动作为Deny应用成功 · Deny (Failed):报文过滤缺省动作为Deny应用失败,实际动作仍为Permit · Permit:报文过滤缺省动作为Permit |
display packet-filter statistics命令用来显示ACL在报文过滤中应用的统计信息。
【命令】
display packet-filter statistics { global | interface interface-type interface-number } { inbound | outbound } [ [ ipv6 | mac | user-defined ] { acl-number | name acl-name } ] [ brief ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
global:显示全局(即所有物理接口)统计信息。
interface interface-type interface-number:显示指定接口上的统计信息。interface-type interface-number表示接口类型和接口编号。
inbound:显示入方向上的统计信息。
outbound:显示出方向上的统计信息。
ipv6:指定ACL类型为IPv6 ACL。
mac:指定ACL类型为二层ACL。
user-defined:指定ACL类型为用户自定义ACL。
acl-number:显示指定编号ACL在报文过滤中应用的统计信息。acl-number表示ACL的编号,取值范围及其代表的ACL类型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高级ACL。
· 4000~4999:表示二层ACL。
· 5000~5999:表示用户自定义ACL。
name acl-name:显示指定名称ACL在报文过滤中应用的统计信息。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写。
brief:显示简要统计信息。
【使用指导】
如果未指定任何可选参数,将显示全部ACL在报文过滤中应用的统计信息。
对于基本或高级ACL,如果未指定ipv6参数,则表示IPv4 ACL。
【举例】
# 显示接口HundredGigE1/0/1入方向上全部ACL在报文过滤中应用的统计信息。
<Sysname> display packet-filter statistics interface hundredgige 1/0/1 inbound
Interface: HundredGigE1/0/1
Inbound policy:
IPv4 ACL 2001, Hardware-count
From 2019-06-04 10:25:21 to 2019-06-04 10:35:57
rule 0 permit source 2.2.2.2 0 (2 packets)
rule 5 permit source 1.1.1.1 0 (Failed)
rule 10 permit vpn-instance test (No resource)
Totally 2 packets permitted, 0 packets denied
Totally 100% permitted, 0% denied
IPv6 ACL 2000
MAC ACL 4000
rule 0 permit
IPv4 default action: Deny
From 2011-06-04 10:25:21 to 2011-06-04 10:35:57
Totally 7 packets
IPv6 default action: Deny
From 2011-06-04 10:25:41 to 2011-06-04 10:35:57
Totally 0 packets
MAC default action: Deny
From 2011-06-04 10:25:34 to 2011-06-04 10:35:57
Totally 0 packets
表1-2 display packet-filter statistics命令显示信息描述表
|
字段 |
描述 |
|
Interface |
在指定接口上应用的统计信息 |
|
Inbound policy |
在入方向上应用的统计信息 |
|
Outbound policy |
在出方向上应用的统计信息 |
|
IPv4 ACL 2001 |
IPv4基本ACL 2001应用成功 |
|
IPv4 ACL 2002 (Failed) |
IPv4基本ACL 2002应用失败 |
|
Hardware-count |
规则匹配硬件统计功能应用成功 |
|
Hardware-count (Failed) |
规则匹配硬件统计功能应用失败 |
|
From 2011-06-04 10:25:21 to 2011-06-04 10:35:57 |
硬件统计的起始和终止时间 |
|
2 packets |
该规则匹配了2个包(当匹配的包个数为0时不显示本字段) |
|
No resource |
该规则对应的统计资源不足。在显示统计信息时,若该规则的统计资源不足,便会显示本字段 |
|
rule 5 permit source 1.1.1.1 0 (Failed) |
规则5应用失败 |
|
Totally 2 packets permitted, 0 packets denied |
该ACL允许和拒绝符合条件报文的个数 |
|
Totally 100% permitted, 0% denied |
该ACL允许符合条件报文的通过率和拒绝符合条件报文的丢弃率 |
|
IPv4 default action |
报文过滤的缺省动作,包括: · Deny:报文过滤缺省动作为Deny应用成功 · Deny (Failed):报文过滤缺省动作为Deny应用失败,实际动作仍为Permit · Permit:报文过滤缺省动作为Permit |
|
IPv6 default action |
报文过滤的缺省动作,包括: · Deny:报文过滤缺省动作为Deny应用成功 · Deny (Failed):报文过滤缺省动作为Deny应用失败,实际动作仍为Permit · Permit:报文过滤缺省动作为Permit |
|
MAC default action |
报文过滤的缺省动作,包括: · Deny:报文过滤缺省动作为Deny应用成功 · Deny (Failed):报文过滤缺省动作为Deny应用失败,实际动作仍为Permit · Permit:报文过滤缺省动作为Permit |
|
Totally 7 packets |
报文过滤缺省动作的硬件统计功能执行次数 |
【相关命令】
· reset packet-filter statistics
display packet-filter statistics sum命令用来显示ACL在报文过滤中应用的累加统计信息。
【命令】
display packet-filter statistics sum { inbound | outbound } [ ipv6 | mac | user-defined ] { acl-number | name acl-name } [ brief ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
inbound:显示入方向上ACL在报文过滤中应用的累加统计信息。
outbound:显示出方向上ACL在报文过滤中应用的累加统计信息。
ipv6:指定ACL类型为IPv6 ACL。
mac:指定ACL类型为二层ACL。
user-defined:指定ACL类型为用户自定义ACL。
acl-number:显示指定编号ACL在报文过滤中应用的累加统计信息。acl-number表示ACL的编号,取值范围及其代表的ACL类型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高级ACL。
· 4000~4999:表示二层ACL。
· 5000~5999:表示用户自定义ACL。
name acl-name:显示指定名称ACL在报文过滤中应用的累加统计信息。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写。
brief:显示ACL在报文过滤中应用的简要累加统计信息。
【使用指导】
对于基本或高级ACL,如果未指定ipv6参数,则表示IPv4 ACL。
【举例】
# 显示入方向上IPv4基本ACL 2001在报文过滤中应用的累加统计信息。
<Sysname> display packet-filter statistics sum inbound 2001
Sum:
Inbound policy:
IPv4 ACL 2001
rule 0 permit source 2.2.2.2 0 (2 packets)
rule 5 permit source 1.1.1.1 0
rule 10 permit vpn-instance test
Totally 2 packets permitted, 0 packets denied
Totally 100% permitted, 0% denied
# 显示入方向上IPv4基本ACL 2000在报文过滤中应用的简要累加统计信息。
<Sysname> display packet-filter statistics sum inbound 2000 brief
Sum:
Inbound policy:
IPv4 ACL 2000
Totally 2 packets permitted, 0 packets denied
Totally 100% permitted, 0% denied
表1-3 display packet-filter statistics sum命令显示信息描述表
|
字段 |
描述 |
|
Sum |
ACL在报文过滤中应用的累加统计信息 |
|
Inbound policy |
ACL在入方向上应用的累加统计信息 |
|
Outbound policy |
ACL在出方向上应用的累加统计信息 |
|
IPv4 ACL 2001 |
IPv4基本ACL 2001应用的累加统计信息 |
|
2 packets |
该规则匹配了2个包(当匹配的包个数为0时不显示本字段) |
|
Totally 2 packets permitted, 0 packets denied |
该ACL允许和拒绝符合条件报文的个数 |
|
Totally 100% permitted, 0% denied |
该ACL允许符合条件报文的通过率和拒绝符合条件报文的丢弃率 |
【相关命令】
· reset packet-filter statistics
display packet-filter verbose命令用来显示ACL在报文过滤中的详细应用情况。
【命令】
display packet-filter verbose { global | interface interface-type interface-number } { inbound | outbound } [ [ ipv6 | mac | user-defined ] { acl-number | name acl-name } ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
global:显示ACL在报文过滤中的全局(即所有物理接口)详细应用情况。
interface interface-type interface-number:显示指定接口上ACL在报文过滤中的详细应用情况。interface-type interface-number表示接口类型和接口编号。当接口类型为以太网接口时,不需要指定slot参数。
inbound:显示入方向上ACL在报文过滤中的详细应用情况。
outbound:显示出方向上ACL在报文过滤中的详细应用情况。
ipv6:指定ACL类型为IPv6 ACL。
mac:指定ACL类型为二层ACL。
user-defined:指定ACL类型为用户自定义ACL。
acl-number:显示指定编号ACL在报文过滤中的详细应用情况。acl-number表示ACL的编号,取值范围及其代表的ACL类型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高级ACL。
· 4000~4999:表示二层ACL。
· 5000~5999:表示用户自定义ACL。
name acl-name:显示指定名称ACL在报文过滤中的详细应用情况。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写。
slot slot-number:指定设备编号,取值只能为1。
【使用指导】
若未指定acl-number、name acl-name和ACL类型(ipv6、mac、user-defined)参数,将显示全部IPv4 ACL在报文过滤中的详细应用情况。
对于基本或高级ACL,如果未指定ipv6参数,则表示IPv4 ACL。
【举例】
# 显示接口HundredGigE1/0/1入方向上全部ACL在报文过滤中的详细应用情况。
<Sysname> display packet-filter verbose interface hundredgige 1/0/1 inbound
Interface: HundredGigE1/0/1
Inbound policy:
IPv4 ACL 2001
rule 0 permit
rule 5 permit source 1.1.1.1 0 (Failed)
rule 10 permit vpn-instance test (Failed)
IPv6 ACL 2000
rule 0 permit
MAC ACL 4000
IPv4 default action: Deny
IPv6 default action: Deny
MAC default action: Deny
表1-4 display packet-filter verbose命令显示信息描述表
|
字段 |
描述 |
|
Interface |
ACL在指定接口上的详细应用情况 |
|
Global |
ACL的全局(即所有物理接口)详细应用情况 |
|
Inbound policy |
ACL在入方向上的详细应用情况 |
|
Outbound policy |
ACL在出方向上的详细应用情况 |
|
IPv4 ACL 2001 |
IPv4基本ACL 2001应用成功 |
|
IPv4 ACL 2002 (Failed) |
IPv4基本ACL 2002应用失败 |
|
Hardware-count |
规则匹配硬件统计功能应用成功 |
|
Hardware-count (Failed) |
规则匹配硬件统计功能应用失败 |
|
rule 5 permit source 1.1.1.1 0 (Failed) |
规则5应用失败 |
|
IPv4 default action |
报文过滤的缺省动作,包括: · Deny:报文过滤缺省动作为Deny应用成功 · Deny (Failed):报文过滤缺省动作为Deny应用失败,实际动作仍为Permit · Permit:报文过滤缺省动作为Permit |
|
IPv6 default action |
报文过滤的缺省动作,包括: · Deny:报文过滤缺省动作为Deny应用成功 · Deny (Failed):报文过滤缺省动作为Deny应用失败,实际动作仍为Permit · Permit:报文过滤缺省动作为Permit |
|
MAC default action |
报文过滤的缺省动作,包括: · Deny:报文过滤缺省动作为Deny应用成功 · Deny (Failed):报文过滤缺省动作为Deny应用失败,实际动作仍为Permit · Permit:报文过滤缺省动作为Permit |
packet-filter命令用来在接口上应用ACL进行报文过滤。
undo packet-filter命令用来取消在接口上应用ACL进行报文过滤。
【命令】
packet-filter [ ipv6 | mac | user-defined ] { acl-number | name acl-name } { inbound | outbound } [ hardware-count ] [ share-mode ]
undo packet-filter [ ipv6 | mac | user-defined ] { acl-number | name acl-name } { inbound | outbound }
【缺省情况】
接口不对报文进行过滤。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
ipv6:指定ACL类型为IPv6 ACL。
mac:指定ACL类型为二层ACL。
user-defined:指定ACL类型为用户自定义ACL。
acl-number:指定ACL的编号,取值范围及其代表的ACL类型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高级ACL。
· 4000~4999:表示二层ACL。
· 5000~5999:表示用户自定义ACL。
name acl-name:指定ACL的名称。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写。
inbound:对收到的报文进行过滤。
outbound:对发出的报文进行过滤。
hardware-count:表示开启规则匹配硬件统计功能,缺省为关闭。
share-mode:对二层以太网接口或三层以太网接口应用ACL配置共享ACL资源模式的报文过滤。该模式下,同一单板接口出入方向所有应用了相同ACL进行报文过滤且相同类型的接口共享一份ACL资源。
【使用指导】
对于基本或高级ACL,如果未指定ipv6参数,则表示IPv4 ACL。
引用ACL时,需要注意的是:
· 若引用的ACL不存在,或者引用的ACL中没有配置规则,则表示不引用ACL进行报文过滤。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
本命令中的hardware-count关键字用于开启指定ACL内所有规则的规则匹配硬件统计功能,而rule命令中的counting关键字则用于开启当前规则的匹配统计功能。
如果设备资源不足,必须先执行undo packet-filter命令取消报文过滤,然后再配置不携带hardware-count关键字的报文过滤,以此关闭规则匹配硬件统计功能。
如果设备资源充足,可通过不携带hardware-count关键字重新配置报文过滤,以此关闭规则匹配硬件统计功能。
一个接口在一个方向上最多可应用4个ACL进行报文过滤,包括一个IPv4 ACL、一个IPv6 ACL、一个二层ACL和一个用户自定义ACL。
应用ACL进行报文过滤时,如果携带了share-mode关键字,则需要注意的是:
· 在同一个接口的同一个方向上,支持应用多个ACL进行报文过滤,但共享QoS和ACL资源模式的ACL仅支持应用1个。
· 接口应用报文过滤后不能动态修改QoS和ACL的资源共享模式,如需修改,必须先执行undo packet-filter命令取消报文过滤,然后再配置不携带share-mode关键字的报文过滤。
· 在同一个接口的同一个方向上,不能再携带share-mode关键字应用QoS策略和策略路由。关于接口应用QoS策略命令的详细介绍,请参见“ACL和QoS命令参考”中的“QoS”。关于接口应用策略路由命令的详细介绍,请参见“三层技术-IP路由命令参考”中的“策略路由”。
在二三层混合流量场景中,在VLAN接口出方向应用ACL进行报文过滤,带相同VLAN的三层聚合子接口出方向流量也会被匹配。
【举例】
# 应用IPv4基本ACL 2001对接口HundredGigE1/0/1收到的报文进行过滤,并开启规则匹配硬件统计功能。
<Sysname> system-view
[Sysname] interface hundredgige 1/0/1
[Sysname-HundredGigE1/0/1] packet-filter 2001 inbound hardware-count
# 以共享QoS和ACL资源模式应用IPv4基本ACL 2001对接口HundredGigE1/0/1发送的报文进行过滤。
<Sysname> system-view
[Sysname] interface hundredgige 1/0/1
[Sysname-HundredGigE1/0/1] packet-filter 2001 outbound share-mode
· display packet-filter
· display packet-filter statistics
· display packet-filter verbose
packet-filter default deny命令用来配置报文过滤的缺省动作为Deny,即禁止未匹配上ACL规则的报文通过。
undo packet-filter default deny命令用来恢复缺省情况。
【命令】
packet-filter default deny
undo packet-filter default deny
【缺省情况】
报文过滤的缺省动作为Permit,即允许未匹配上ACL规则的报文通过。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
配置报文过滤的缺省动作会在所有的应用对象下添加一个缺省动作应用,该应用也会像其它应用的ACL一样显示。
【举例】
# 配置报文过滤的缺省动作为Deny。
<Sysname> system-view
[Sysname] packet-filter default deny
【相关命令】
· display packet-filter
· display packet-filter statistics
· display packet-filter verbose
packet-filter global命令用来全局应用ACL进行报文过滤。
undo packet-filter global命令用来取消全局应用ACL进行报文过滤。
【命令】
packet-filter [ ipv6 | mac | user-defined ] { acl-number | name acl-name } global { inbound | outbound } [ hardware-count ]
undo packet-filter [ ipv6 | mac | user-defined ] { acl-number | name acl-name } global { inbound | outbound }
【缺省情况】
全局不对报文进行过滤。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6:指定ACL类型为IPv6 ACL。
mac:指定ACL类型为二层ACL。
user-defined:指定ACL类型为用户自定义ACL。
acl-number:指定ACL的编号,取值范围及其代表的ACL类型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高级ACL。
· 4000~4999:表示二层ACL。
· 5000~5999:表示用户自定义ACL。
name acl-name:指定ACL的名称。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写。
global:表示全局(即所有物理接口)配置。
inbound:对收到的报文进行过滤。
outbound:对发出的报文进行过滤。
hardware-count:表示开启规则匹配硬件统计功能,缺省为关闭。
【使用指导】
对于基本或高级ACL,如果未指定ipv6参数,则表示IPv4 ACL。
引用ACL时,需要注意:若引用的ACL不存在,或者引用的ACL中没有配置规则,则表示不引用ACL进行报文过滤。
hardware-count关键字用于开启指定ACL内所有规则的规则匹配硬件统计功能,而rule命令中的counting关键字则用于开启当前规则的匹配统计功能。
如果设备资源不足,必须先执行undo packet-filter命令取消报文过滤,然后再配置不携带hardware-count关键字的报文过滤,以此关闭规则匹配硬件统计功能。
如果设备资源充足,可通过不携带hardware-count关键字重新配置报文过滤,以此关闭规则匹配硬件统计功能。
【举例】
# 全局应用IPv4基本ACL 2001对收到的报文进行过滤,并开启规则匹配硬件统计功能。
<Sysname> system-view
[Sysname] packet-filter 2001 global inbound hardware-count
【相关命令】
· display packet-filter
· display packet-filter statistics
· display packet-filter verbose
reset packet-filter statistics命令用来清除ACL在报文过滤中应用的统计信息。
【命令】
reset packet-filter statistics { global | interface [ interface-type interface-number ] } { inbound | outbound } [ ipv6 | mac | user-defined ] { acl-number | name acl-name }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
global:清除全局(即所有物理接口)统计信息。
interface [ interface-type interface-number ]:清除指定接口上的统计信息。interface-type interface-number表示接口类型和接口编号。若未指定接口类型和接口编号,将清除所有接口上的统计信息。
inbound:清除入方向上的统计信息。
outbound:清除出方向上的统计信息。
ipv6:指定ACL类型为IPv6 ACL。
mac:指定ACL类型为二层ACL。
user-defined:指定ACL类型为用户自定义ACL。
acl-number:清除指定编号ACL在报文过滤中应用的统计信息。acl-number表示ACL的编号,取值范围及其代表的ACL类型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高级ACL。
· 4000~4999:表示二层ACL。
· 5000~5999:表示用户自定义ACL。
name acl-name:清除指定名称ACL在报文过滤中应用的统计信息。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
如果未指定acl-number、name acl-name和ACL类型(ipv6、mac、user-defined)参数,将清除全部ACL在报文过滤中应用的统计信息。
对于基本或高级ACL,如果未指定ipv6参数,则表示IPv4 ACL。
【举例】
# 清除在接口HundredGigE1/0/1入方向上IPv4基本ACL 2001在报文过滤中应用的统计信息。
<Sysname> reset packet-filter statistics interface hundredgige 1/0/1 inbound 2001
【相关命令】
· display packet-filter statistics
· display packet-filter statistics sum
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
