所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
自反ACL命令

自反ACL命令

说明:

X系列单板不支持自反ACL。

命令支持情况

默认所有款型均支持本章节命令,如有个别命令行或参数存在差异,请详见具体命令行中的说明。

display traffic-reflect

命令功能

display traffic-reflect命令用来查看自反ACL信息。

命令格式

display traffic-reflect { inbound | outbound } [ interface interface-type interface-number ] [ acl { adv-acl-name | adv-acl-number } ]

参数说明

参数

参数说明

取值

inbound

指定查看在私网接口上的自反ACL信息。

-

outbound

指定查看在公网接口上的自反ACL信息。

-

interface interface-type interface-number

指定查看自反ACL信息的接口,其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

acl

指定访问控制列表。

-

adv-acl-name

指定高级ACL的名字。

字符串形式,不支持空格,区分大小写,长度范围是1~64。以英文字母开始,可以是英文字母、数字和“#”、“%”、“-”等字符的组合。

adv-acl-number

指定高级ACL的序号。

整数形式,取值范围是3000~3999。

视图

所有视图

缺省级别

1:监控级

使用指南

如果没有指定具体的接口和ACL,那么该命令将查看所有应用在接口上的自反ACL信息。

命令行输出信息中的SP/DP、SIP/DIP字段的含义与inboundoutbound参数相关。
  • 当参数为inbound时,SP/SIP分别表示来自于内网源端口号及源IP地址,DP/DIP分别表示指向外网目的端口号及目的IP地址。
  • 当参数为outbound时,SP/SIP分别表示来自于外网源端口号及源IP地址,DP/DIP分别表示指向内网目的端口号及目的IP地址。

使用实例

# 查看编号为3001的自反ACL信息。

<HUAWEI> display traffic-reflect outbound acl 3001
Proto  SP   DP   DIP             SIP             Count   Timeout  Interface
------------------------------------------------------------------------------
UDP    2    80   10.1.1.1        10.2.2.2        9       5(s)     Eth-Trunk2
------------------------------------------------------------------------------
* Total <1> flows accord with condition, <1> items was displayed.
------------------------------------------------------------------------------
* Proto=Protocol,SIP=Source IP,DIP=Destination IP,Timeout=Time to cutoff,
* SP=Source port,DP=Destination port,Count=Packets count(data).
表14-22  display traffic-reflect命令输出信息描述

项目

描述

Proto

协议类型,包括UDP、TCP和ICMP协议。

SP

源端口号。

DP

目的端口号。

DIP

目的IP地址。

SIP

源IP地址。

Count

统计的报文数。

Timeout

自反ACL老化前的剩余时间。用户可执行traffic-reflect timeouttime-value命令进行配置。

Interface

接口类型及编号。

traffic-reflect

命令功能

traffic-reflect命令用来使能自反ACL功能和配置接口下自反ACL的老化周期。

undo traffic-reflect命令用来去使能自反ACL功能。

缺省情况下,自反ACL功能未使能。

使能自反ACL功能之后,缺省情况下,接口下的自反ACL老化周期是全局的自反ACL老化周期。

命令格式

traffic-reflect { inbound | outbound } acl { adv-acl-name | adv-acl-number } [ timeout time-value ]

undo traffic-reflect { inbound | outbound } acl { adv-acl-name | adv-acl-number }

说明:

X系列单板不支持该命令。

参数说明

参数

参数说明

取值

inbound

指定该接口为内网接口。

-

outbound

指定该接口为外网接口。

-

adv-acl-name

指定高级ACL的名字。

字符串形式,不支持空格,区分大小写,长度范围是1~64。以英文字母开始,可以是英文字母、数字和“#”、“%”、“-”等字符的组合。

adv-acl-number

指定高级ACL的编号。

整数形式,取值范围是3000~3999。

timeout time-value

指定自反ACL老化周期。

整数形式,取值范围60~2147483,单位是秒。

视图

40GE接口视图、100GE接口视图、GE接口视图、XGE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

自反ACL (Reflective ACL)是动态ACL技术的一种应用。它根据IP报文的上层会话信息生成,只有当私网用户先访问了公网后才允许公网访问私网。利用自反ACL可以很好的保护企业内部网络,免受外部非法用户的攻击。

traffic-reflect命令只能对高级ACL进行自反,并且只能根据TCP、UDP和ICMP协议类型的报文自动生成ACL规则。

根据不同的匹配规则,自反ACL的实现原理如下。

  • 当配置自反ACL功能的接口通过TCP或UDP协议类型的报文时,接口下将下发一条把报文源IP地址和目的IP地址、源端口和目的端口互换的ACL规则。
  • 当配置自反ACL功能的接口通过ICMP协议类型的报文时,自反ACL功能阻止目的端发送的ICMP-Echo-Request报文通过,允许接收目的端发送的ICMP-Echo-Reply报文。
  • 自反ACL匹配的协议类型与触发接口自动生成自反ACL的报文协议类型相同。

前置条件

在配置自反ACL功能之前,需要先配置高级ACL。

注意事项

如果已经使用traffic-reflect命令在接口视图下配置了自反ACL老化周期,则以接口视图下配置的老化周期为准;如果在接口视图下没有配置自反ACL老化周期,则以traffic-reflect timeout命令在系统视图下配置的老化周期为准。

使用实例

# 在接口GE1/0/1出方向上配置自反ACL功能,对TCP报文进行自反。

<HUAWEI> system-view 
[HUAWEI] acl 3000 
[HUAWEI-acl-adv-3000] rule permit tcp 
[HUAWEI-acl-adv-3000] quit 
[HUAWEI] interface gigabitethernet 1/0/1 
[HUAWEI-GigabitEthernet1/0/1] traffic-reflect outbound acl 3000

traffic-reflect timeout

命令功能

traffic-reflect timeout命令用来配置全局自反ACL老化周期。

undo traffic-reflect timeout命令用来将全局自反ACL老化周期恢复为缺省值。

缺省情况下,全局自反ACL老化周期为300秒。

命令格式

traffic-reflect timeout time-value

undo traffic-reflect timeout

参数说明

参数

参数说明

取值

time-value

指定全局自反ACL的老化周期。

整数形式,取值范围60~2147483,单位是秒。

视图

系统视图

缺省级别

2:配置级

使用指南

如果已经使用traffic-reflect命令在接口视图下配置了自反ACL老化周期,则以接口视图下配置的老化周期为准;如果在接口视图下没有配置自反ACL老化周期,则以traffic-reflect timeout命令在系统视图下配置的老化周期为准。

如果在老化周期内有符合自反ACL规则的报文通过接口,该接口的自反ACL规则被保留。如果在老化周期内没有符合自反ACL规则的报文通过接口,该接口的自反ACL规则被删除。

当报文流量较大时,可以适当减小自反ACL的老化周期,增大老化的频率;当报文流量较小时,可以适当增大自反ACL的老化周期,减小老化的频率。

使用实例

# 配置全局自反ACL老化周期为600秒。

<HUAWEI> system-view
[HUAWEI] traffic-reflect timeout 600
翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:10028

下载量:198

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页