所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
ACL配置命令

ACL配置命令

说明:

S系列中的SA系列单板不支持用户ACL。

命令支持情况

默认所有款型均支持本章节命令,如有个别命令行或参数存在差异,请详见具体命令行中的说明。

acl ip-pool

命令功能

acl ip-pool命令用来创建一个ACL IP-POOL,并且进入ACL IP-POOL视图。

undo acl ip-pool命令用来删除ACL IP-POOL。

缺省情况下,未创建ACL IP-POOL。

命令格式

acl ip-pool acl-ip-pool-name

undo acl ip-pool acl-ip-pool-name

参数说明

参数

参数说明

取值

acl-ip-pool-name

指定创建的ACL IP-POOL的名称。

字符串形式,不支持空格,长度范围是1~32,以英文字母开始。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

ACL IP-POOL主要应用在通过策略路由实现重定向多下一跳的场景中,可以被redirect ip-multihop命令调用,实现将数据重定向到ACL IP-POOL指定的下一跳的功能。

后续任务

多次执行ip-address(ACL IP-POOL视图)命令指定若干个IP地址。

注意事项

交换机最多支持配置12个ACL IP-POOL,每个ACL IP-POOL最多支持配置64个IP地址。

在通过策略路由实现重定向多下一跳的场景中,如果设备上没有命中下一跳IP地址对应的ARP表项,则该下一跳不能生效,设备仍按报文原来的目的地址转发,直到设备上有对应的ARP表项。可以执行display acl ip-pool命令查看对应ACL IP-POOL的下一跳IP地址生效状态。

使用实例

# 创建名称为abc的ACL IP-POOL。

<HUAWEI> system-view
[HUAWEI] acl ip-pool abc

acl ipv6 ip-pool

命令功能

acl ipv6 ip-pool命令用来创建一个ACL IPv6-POOL,并且进入ACL IPv6-POOL视图。

undo acl ipv6 ip-pool命令用来删除ACL IPv6-POOL。

缺省情况下,未创建ACL IPv6-POOL。

命令格式

acl ipv6 ip-pool acl-ipv6-pool-name

undo acl ipv6 ip-pool acl-ipv6-pool-name

参数说明

参数

参数说明

取值

acl-ipv6-pool-name

指定创建的ACL IPv6-POOL的名称。

字符串形式,不支持空格,长度范围是1~32,以英文字母开始。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

ACL IPv6-POOL主要应用在通过策略路由实现重定向多下一跳的场景中,可以被redirect ipv6-multihop命令调用,实现将数据重定向到ACL IPv6-POOL指定的下一跳的功能。

后续任务

多次执行ipv6 address(ACL IPv6-POOL视图)命令指定若干个IPv6地址。

注意事项

交换机最多支持配置12个ACL IPv6-POOL,每个ACL IPv6-POOL最多支持配置64个IPv6地址。

在通过策略路由实现重定向多下一跳的场景中,如果设备上没有命令中下一跳IPv6地址对应的邻居表项,设备会发送NS报文来验证邻居是否可达,如果邻居不可达,则报文按原始转发路径转发,重定向不生效。可以执行display acl ipv6 ip-pool命令查看对应ACL IPv6-POOL的下一跳IPv6地址生效状态。

使用实例

# 创建名称为abc的ACL IPv6-POOL。

<HUAWEI> system-view
[HUAWEI] acl ipv6 ip-pool abc

acl ipv6 name

命令功能

acl ipv6 name命令用来创建一个命名型的ACL6,并且进入ACL6视图。

undo acl ipv6 name命令用来删除命名型的ACL6。

缺省情况下,未创建命名型的ACL6。

命令格式

acl ipv6 name acl6-name [ advance | basic | acl6-number ] [ match-order { auto | config } ]

undo acl ipv6 name acl6-name

参数说明

参数

参数说明

取值

acl6-name

指定ACL6的名称。

字符串形式,不支持空格,区分大小写,长度范围是1~64,以英文字母开始。

advance

指定ACL6的类型为高级ACL6。

-

basic

指定ACL6的类型为基本ACL6。

-

acl6-number

指定ACL6的编号。

整数形式,取值范围是2000~3999。

  • 2000~2999表示基本ACL6范围。
  • 3000~3999表示高级ACL6范围。
match-order { auto | config }

指定ACL6规则的匹配顺序。

  • auto

    匹配规则时系统自动排序(按“深度优先”的顺序)。

    若“深度优先”的顺序相同,则匹配规则时按rule-id由小到大的顺序。

  • config:匹配规则时按用户的配置顺序。

ACL6规则中的rule-id不代表规则间的优先级关系,仅代表规则编号,在auto/config模式切换时保持不变。

如果创建ACL6时未指定match-order参数,则该ACL6默认的规则匹配顺序为config

-

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

ACL6是由若干permitdeny语句组成的一系列规则的列表,可以作为基础配置被应用模块引用。ACL6主要应用在QoS领域,限制网络数据流以提高网络性能。例如,公司网络中配置ACL6限制传输视频数据流,可以显著降低网络负载并提高网络性能。

后续任务

使用rule命令配置ACL6规则,并将该ACL6应用到需要过滤报文的业务中。

注意事项

如果没有指定命名型ACL6的编号,设备会为其自动分配编号。主要包括以下两种情况:
  • 如果只为命名型ACL6指定了类型,设备为其分配的编号是该类型ACL6编号取值范围内的最大值。
  • 如果既没有指定命名型ACL6的编号,也没有指定命名型ACL6的类型,设备认为该ACL6为高级ACL6,为其分配高级ACL6编号取值范围内的最大值。

使用该命令配置后,ACL6已经创建,即使退出该ACL6视图,ACL6列表一样存在,需要通过undo acl ipv6 name acl6-name或者undo acl ipv6 acl6-number命令才能删除该ACL6。

删除ACL6时,如果删除的ACL6被其他业务引用,会造成该业务的中断,所以在删除ACL6时请先确认是否有业务正在引用该ACL6。

使用实例

# 创建名称为test2的基本ACL6,编号为2001。

<HUAWEI> system-view
[HUAWEI] acl ipv6 name test2 2001
相关主题

acl ipv6(系统视图)

命令功能

acl ipv6命令用来创建数字型ACL6并进入ACL6视图。

undo acl ipv6命令用来删除数字型ACL6。

缺省情况下,未创建数字型ACL6。

命令格式

acl ipv6 [ number ] acl6-number [ match-order { auto | config } ]

undo acl ipv6 { all | [ number ] acl6-number }

参数说明

参数 参数说明 取值
number 指定使用数字标识一个ACL。 -
acl6-number 指定ACL6编号。

整数形式,取值范围是2000~3999。

  • 2000~2999表示基本ACL6范围。
  • 3000~3999表示高级ACL6范围。
match-order { auto | config }

指定ACL6规则的匹配顺序。

  • auto

    匹配规则时系统自动排序(按“深度优先”的顺序)。

    若“深度优先”的顺序相同,则匹配规则时按用户的配置顺序。

  • config:匹配规则时按用户的配置顺序。

ACL6规则中的rule-id不代表规则间的优先级关系,仅代表规则编号,在auto/config模式切换时保持不变。

如果创建ACL6时未指定match-order参数,则该ACL6默认的规则匹配顺序为config

-
all 指定删除所有配置的ACL6。 -

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

ACL6是由若干permitdeny语句组成的一系列规则的列表,可以作为基础配置被应用模块引用。ACL6主要应用在QoS领域,限制网络数据流以提高网络性能。例如,公司网络中配置ACL6限制传输视频数据流,可以显著降低网络负载并提高网络性能。

后续任务

使用rule命令配置ACL6规则,并将该ACL6应用到需要过滤报文的业务中。

注意事项

使用该命令配置后,ACL6已经创建,即使退出该ACL6视图,ACL6列表一样存在,需要通过undo acl ipv6 acl6-number命令才能删除该ACL6。

删除ACL6时,如果删除的ACL6被其他业务引用,会造成该业务的中断,所以在删除ACL6时请先确认是否有业务正在引用该ACL6。

设备支持一次性删除所有ACL6,但是不建议使用。

使用实例

# 创建一个编号为3000的高级ACL6。

<HUAWEI> system-view
[HUAWEI] acl ipv6 number 3000

acl name

命令功能

acl name命令用来创建一个命名型ACL,并且进入ACL视图。

undo acl name命令用来删除命名型ACL。

缺省情况下,未创建命名型ACL。

命令格式

acl name acl-name [ advance | basic | link | ucl | user | acl-number ] [ match-order { auto | config } ]

undo acl name acl-name

参数说明

参数

参数说明

取值

acl-name

指定创建的ACL的名称。

字符串形式,不支持空格,区分大小写,长度范围是1~64,以英文字母开始。

advance

指定ACL的类型为高级ACL。

-

basic

指定ACL的类型为基本ACL。

-

link

指定ACL的类型为二层ACL。

-

ucl

指定ACL的类型为用户ACL。

-

user

指定ACL的类型为用户自定义ACL。

-

acl-number

表示访问控制列表的编号。

整数形式,

  • 2000~2999表示基本ACL范围。
  • 3000~3999表示高级ACL范围。
  • 4000~4999表示二层ACL范围。
  • 5000~5999表示用户自定义ACL范围。
  • 6000~9999表示用户ACL范围。

match-order { auto | config }

指定ACL规则的匹配顺序。
  • auto

    匹配规则时系统自动排序(按“深度优先”的顺序)。

    若“深度优先”的顺序相同,则匹配规则时按rule-id由小到大的顺序。

  • config:匹配规则时按用户的配置顺序。

    指定匹配该规则时按用户的配置顺序,是指在用户没有指定rule-id的前提下。若用户指定了rule-id,则匹配规则时,按rule-id由小到大的顺序。

如果创建ACL时未指定match-order参数,则该ACL默认的规则匹配顺序为config

-

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

ACL是由若干permitdeny语句组成的一系列规则的列表。ACL主要应用在QoS、路由过滤、用户接入等领域。
  • 限制网络数据流以提高网络性能。例如,公司网络中配置ACL限制传输视频数据流,可以显著降低网络负载并提高网络性能。

  • 提供流量控制。例如,如果网络状况允许,用ACL限制路由更新的传输,可以节约带宽。

  • 提供基本的网络访问安全。例如,只允许特定用户访问人力资源网络。

后续任务

使用rule命令配置ACL规则,并将该ACL应用到需要过滤报文的业务中。

注意事项

使用acl name命令后,ACL已经创建,即使退出该ACL视图,ACL列表一样存在,需要通过undo acl name acl-name或者undo acl acl-number才能删除该ACL。

删除ACL时,如果删除的ACL被其他业务引用,可能造成该业务的中断。所以在删除ACL时请先确认是否有业务正在引用该ACL。

如果没有指定命名型ACL的编号,设备会为其自动分配编号。主要包括以下两种情况。

  • 如果只为命名型ACL指定了类型,设备为其分配的编号是该类型ACL可用编号中取值范围内的最大值。
  • 如果既没有指定命名型ACL的编号,也没有指定命名型ACL的类型,设备认为该ACL为高级ACL,为其分配高级ACL可用编号取值范围内的最大值。

设备不会为命名型ACL重复分配编号。

使用实例

# 创建名称为test1的ACL,编号为2001。

<HUAWEI> system-view
[HUAWEI] acl name test1 2001
相关主题

acl(系统视图)

命令功能

acl命令用来创建一个编号型ACL,并进入ACL视图。

undo acl命令用来删除编号型ACL。

缺省情况下,未创建编号型ACL。

命令格式

acl [ number ] acl-number [ match-order { auto | config } ]

undo acl { [ number ] acl-number | all }

参数说明

参数

参数说明

取值

number

指定由数字标识的一个访问控制列表。

-

acl-number

指定访问控制列表的编号。

整数形式,

  • 2000~2999表示基本ACL范围。
  • 3000~3999表示高级ACL范围。
  • 4000~4999表示二层ACL范围。
  • 5000~5999表示用户自定义ACL范围。
  • 6000~9999表示用户ACL范围。

match-order { auto | config }

指定ACL规则的匹配顺序。
  • auto:匹配规则时系统自动排序(按“深度优先”的顺序)。

    若“深度优先”的顺序相同,则匹配规则时按rule-id由小到大的顺序。

  • config:匹配规则时按用户的配置顺序。

    指定匹配该规则时按用户的配置顺序,是指在用户没有指定rule-id的前提下。若用户指定了rule-id,则匹配规则时,按rule-id由小到大的顺序。

如果创建ACL时未指定match-order参数,则该ACL默认的规则匹配顺序为config

-

all

指定删除所有的ACL。

-

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

ACL是由若干permitdeny语句组成的一系列规则的列表,可以作为基础配置被应用模块引用。ACL主要应用在QoS、路由过滤、用户接入等领域。

  • 限制网络数据流以提高网络性能。例如,公司网络中配置ACL限制传输视频数据流,可以显著降低网络负载并提高网络性能。

  • 提供流量控制。例如,如果网络状况允许,用ACL限制路由更新的传输,可以节约带宽。

  • 提供基本的网络访问安全。例如,只允许特定用户访问人力资源网络。

后续任务

使用rule命令配置ACL规则,并将该ACL应用到需要过滤报文的业务中。

注意事项

  • 使用该命令配置后,ACL已经创建,即使退出该ACL视图,ACL列表一样存在,需要通过undo acl acl-number命令才能删除该ACL。
  • 删除ACL时,如果删除的ACL被其他业务引用,可能造成该业务的中断,所以在删除ACL时请先确认是否有业务正在引用该ACL。
  • 不建议一次性删除所有ACL,请谨慎使用,否则可能会导致业务中断。

使用实例

# 创建一个编号为2000的编号型访问控制列表。

<HUAWEI> system-view
[HUAWEI] acl number 2000

acl threshold-alarm

命令功能

acl threshold-alarm命令用来配置ACL资源的告警阈值百分比。

undo acl threshold-alarm命令用来恢复ACL资源的告警阈值百分比为缺省值。

缺省情况下,下限告警阈值百分比为70,上限告警阈值百分比为80。

命令格式

acl threshold-alarm { upper-limit upper-limit | lower-limit lower-limit } *

undo acl threshold-alarm

参数说明

参数 参数说明 取值
upper-limit upper-limit

指定ACL资源的上限告警阈值百分比。

整数形式,取值范围是1~100。

lower-limit lower-limit

指定ACL资源的下限告警阈值百分比。

整数形式,取值范围是1~100。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

设备运行应用ACL或者ACL6的业务后会占用一部分ACL资源,此时可以使用命令acl threshold-alarm配置ACL资源的告警阈值百分比。

当ACL资源的使用率(即设备上实际存在的ACL表项占设备支持的最大ACL表项总数的比例)等于或高于上限告警阈值百分比时,设备将会发出超限告警。之后,如果该比例又等于或小于下限告警阈值百分比,设备会再次发出告警,表明之前的超限告警情况已经恢复正常。

注意事项

本命令是覆盖式命令,以最后一次配置为准。

配置ACL资源的上限告警阈值百分比必须大于或等于下限告警阈值百分比。

使用实例

# 配置ACL资源的下限告警阈值百分比为30,上限告警阈值百分比为50。

<HUAWEI> system-view
[HUAWEI] acl threshold-alarm upper-limit 50 lower-limit 30

assign acl-mode

命令功能

assign acl-mode命令用来配置接口板ACL规格的资源分配模式。

undo assign acl-mode命令用来恢复ACL规格的资源分配模式为缺省值。

缺省情况下,ACL规格的资源分配模式为dual-ipv4-ipv6

说明:

仅X1E、X5H、X2E和X2H系列单板支持此命令。

X2E和X2H系列单板需要先通过assign resource-mode命令配置resource-mode为mac-acl,才支持配置该命令。

命令格式

assign acl-mode slot slot-id mode { dual-ipv4-ipv6 | ipv4 | l2 | l2-ipv4 | l2-ipv6 }

undo assign acl-mode slot slot-id

说明:

X5H单板仅支持dual-ipv4-ipv6l2-ipv4模式。

参数说明

参数

参数说明

取值

mode { dual-ipv4-ipv6 | ipv4 | l2 | l2-ipv4 | l2-ipv6 }

指定资源分配模式。

  • dual-ipv4-ipv6:配置IPV4和IPV6的ACL资源分配模式。
  • l2-ipv4:配置L2 IPV4的ACL资源分配模式。
  • l2-ipv6:配置L2 IPV6的ACL资源分配模式。
  • l2:配置L2的ACL资源分配模式。
  • ipv4:配置IPV4的ACL资源分配模式。

slot slot-id

指定单板所在槽位号。

整数形式,根据设备实际配置情况选取。

视图

系统视图

缺省级别

3:管理级

使用指南

当设备缺省的IPv4、IPv6或二层的ACL规格大小不能满足业务需求时,可以通过此命令配置ACL规格的资源分配模式以获得更大的ACL规格数目。

当设备所配置的业务调整时,对不同ACL规格的需求也随之发生变更,此时可以使用此命令变更不同的工作模式,但配置之前应该充分考虑模式变更的利益得失,如:从模式dual-ipv4-ipv6更换到模式ipv4时,虽然IPV4的ACL规格数目增大了,但IPV6和二层的ACL规格数目会减小到0。

修改资源工作模式,需要重启接口板后才能生效。

设备对某槽位单板配置了ACL资源分配模式后,如果当前槽位换成了新的单板并且新单板不支持ACL资源分配模式,那么该槽位的资源分配模式的配置将会清空。

表14-1  资源分配模式所获得的ACL规格(X1E系列单板)
资源分配模式 IPv4 ACL最大规格数 L2+IPv4 ACL最大规格数 IPv6 ACL最大规格数 L2+IPv6 ACL最大规格数 L2 ACL最大规格数 总ACL规格数
dual-ipv4-ipv6 20K 20K 8K 8K 20K 20K(IPV4)+8K(IPV6)
l2-ipv4 36K 36K 0 0 36K 36K
l2-ipv6 16K 16K 16K 16K 16K 16K
ipv4 64K 0 0 0 0 64K
l2 0 0 0 0 64K 64K
表14-2  资源分配模式所获得的ACL规格(X2E系列单板)
资源分配模式 IPv4 ACL最大规格数 L2+IPv4 ACL最大规格数 IPv6 ACL最大规格数 L2+IPv6 ACL最大规格数 L2 ACL最大规格数 总ACL规格数
dual-ipv4-ipv6 38K 38K 16K 16K 38K 38K(IPV4)+16K(IPV6)
l2-ipv4 70K 70K 0 0 70K 70K
l2-ipv6 32K 32K 32K 32K 32K 32K
ipv4 128K 0 0 0 0 128K
l2 0 0 0 0 128K 128K
表14-3  资源分配模式所获得的ACL规格(X2H系列单板)
资源分配模式 IPv4 ACL最大规格数 L2+IPv4 ACL最大规格数 IPv6 ACL最大规格数 L2+IPv6 ACL最大规格数 L2 ACL最大规格数 总ACL规格数
dual-ipv4-ipv6 70K 70K 32K 32K 70K 70K(IPV4)+32K(IPV6)
l2-ipv4 134K 134K 0 0 134K 134K
l2-ipv6 64K 64K 64K 64K 64K 64K
ipv4 256K 0 0 0 0 256K
l2 0 0 0 0 256K 256K
表14-4  资源分配模式所获得的ACL规格(X5H系列单板)
资源分配模式 IPv4 ACL最大规格数 L2+IPv4 ACL最大规格数 IPv6 ACL最大规格数 L2+IPv6 ACL最大规格数 L2 ACL最大规格数 总ACL规格数
dual-ipv4-ipv6 32K 32K 8K 8K 32K 32K(IPV4)+8K(IPV6)
l2-ipv4 64K 64K 0 0 64K 64K
表14-5所示,不同业务在资源分配模式下支持情况有所差异。如,业务随行业务在模式Dual IPV4 and IPV6下支持,当从模式Dual IPV4 and IPV6更换到模式IPV4后,重启单板,业务随行业务将不生效。
说明:

表格中未列出的业务,在各模式下均支持。

表14-5  不同资源分配模式下业务支持情况
资源分配模式 dual-ipv4-ipv6 l2-ipv4 l2-ipv6 l2 ipv4
IPSG(IPv4) Y Y Y N N
IPSG(IPv6) Y N Y N N
业务编排 Y Y N N N
业务随行 Y Y N N N
Radius授权 Y Y N N N
免认证规则 Y Y N N N
用户组 Y Y N N N
Portal认证 Y Y N N N
802.1X快速部署 Y Y N N N
NQA Y Y Y N N
报文捕获功能 Y Y Y N N
全零非法MAC地址告警功能 Y Y Y Y N
全局黑洞MAC Y Y Y Y N
MAC SWAP环回测试功能 Y Y Y N N

使用实例

# 将10号槽位X1E单板的ACL规格的资源分配模式修改为l2

<HUAWEI> system-view
[HUAWEI] assign acl-mode slot 10 mode l2

description

命令功能

description命令用来配置ACL或者ACL6规则列表的描述信息。

undo description命令用来删除ACL或者ACL6规则列表的描述信息。

缺省情况下,未配置ACL或者ACL6的描述信息。

命令格式

description text

undo description

参数说明

参数

参数说明

取值

text

描述ACL或者ACL6的用途。

字符串形式,支持空格,区分大小写,长度范围是1~127。

视图

ACL视图、ACL6视图

缺省级别

2:配置级

使用指南

应用场景

配置ACL或者ACL6时,可以添加描述信息,以方便理解,比如可以用来描述ACL规则列表的具体用途。

前置条件

配置描述信息时,ACL或者ACL6需要已经创建完成。

注意事项

如果已经配置了某个ACL或者ACL6的描述信息,再次执行该命令后,原来的描述信息将被覆盖。

使用实例

# 配置ACL 2100的描述信息。

<HUAWEI> system-view
[HUAWEI] acl 2100
[HUAWEI-acl-basic-2100] description This acl is used in QoS policy
[HUAWEI-acl-basic-2100] display acl 2100
Basic ACL 2100, 0 rule                                                                                                              
This acl is used in QoS policy                                                                                                      
Acl's step is 5  

# 配置ACL6 3100的描述信息。

<HUAWEI> system-view
[HUAWEI] acl ipv6 3100
[HUAWEI-acl6-adv-3100] description This acl is used in QoS policy
[HUAWEI-acl6-adv-3100] display acl ipv6 3100
                                                                                                                                    
Advanced IPv6 ACL 3100, 0 rule                                                                                                      
This acl is used in QoS policy      

display acl

命令功能

display acl命令用来查看ACL的配置信息。

命令格式

display acl { acl-number | name acl-name | all }

参数说明

参数

参数说明

取值

acl-number

指定要查看的ACL的编号。

整数形式,其中:

  • 2000~2999表示基本ACL范围。
  • 3000~3999表示高级ACL范围。
  • 4000~4999表示二层ACL范围。
  • 5000~5999表示用户自定义ACL范围。
  • 6000~9999表示用户ACL范围。

name acl-name

指定要查看的ACL的名称。

字符串形式,不支持空格,区分大小写,长度范围是1~64,以英文字母开始。

all

指定查看所有的ACL。

-

视图

所有视图

缺省级别

1:监控级

使用指南

当需要查看已配置的ACL的详细信息时,可以使用display acl命令。

使用实例

# 查看名称为test的ACL的信息。

<HUAWEI> display acl name test
Advanced ACL test 3999, 1 rule, match-order is auto
Acl's step is 5
 rule 5 permit ip destination 10.10.10.1 0

# 查看所有配置的ACL信息。

<HUAWEI> display acl all
 Total nonempty ACL number is 1
 
Advanced ACL 3000, 1 rule
Acl's step is 5
 rule 5 permit ip dscp cs1
表14-6  display acl命令输出信息描述

项目

描述

Advanced ACL test 3999, 1 rule, match-order is auto

高级访问控制列表,名称为test,匹配顺序为自动匹配,序号为3999,共1条规则。

Acl's step is 5

ACL的步长为5。

相关命令请参见step

rule 5 permit ip destination 10.10.10.1 0

规则5,允许目的IP地址为10.10.10.1的报文。

相关命令请参见rule(高级ACL视图)

Total nonempty ACL number is 1

含有规则的ACL的数目为1。

Advanced ACL 3000, 1 rule

高级访问控制列表,序号为3000,共1条规则。

rule 5 permit ip dscp cs1

规则5,允许dscp域的报文。

相关命令请参见rule(高级ACL视图)

display acl ip-pool

命令功能

display acl ip-pool命令用来查看ACL IP-POOL的配置和状态信息。

命令格式

display acl ip-pool acl-ip-pool-name [ multihop-status [ vpn-instance vpn-instance-name ] ]

参数说明

参数

参数说明

取值

acl-ip-pool-name

查看指定ACL IP-POOL的名称。

必须是已存在的ACL IP-POOL名称。

multihop-status

查看对应ACL IP-POOL的下一跳IP地址生效状态。

-

vpn-instance vpn-instance-name

查看的指定VPN实例的ACL IP-POOL。

必须是已存在的VPN实例名称。

视图

所有视图

缺省级别

1:监控级

使用指南

配置完ACL IP-POOL以后,可以通过display acl ip-pool命令查看ACL IP-POOL的配置信息及下一跳IP地址生效状态。

在通过策略路由实现重定向多下一跳的场景中,如果设备上没有命中下一跳IP地址对应的ARP表项,则该下一跳不能生效,设备仍按报文原来的目的地址转发,直到设备上有对应的ARP表项。可以执行display acl ip-pool命令查看对应ACL IP-POOL的下一跳IP地址生效状态。

使用实例

# 查看名称为abc的ACL IP-POOL的配置和状态信息。

<HUAWEI> display acl ip-pool abc multihop-status
-----------------------------------------------------------------------------------------
IP Address      NQA AdminName                    NQA TestName                     Status
-----------------------------------------------------------------------------------------
10.3.3.3        --                               --                               invalid
192.168.200.1   user                             test                             valid  
192.168.150.1   user                             test                             valid  
-----------------------------------------------------------------------------------------
Total: 3
表14-7  display acl ip-pool abc multihop-status命令输出信息描述

项目

描述

IP Address

ACL IP-POOL的IP地址。

NQA AdminName

NQA测试例的管理者。

NQA TestName

NQA测试例的测试例名。

Status

下一跳IP地址生效状态:
  • valid:下一跳IP地址已生效。
  • invalid:下一跳IP地址未生效。
说明:

当在ACL IP-POOL中通过ip-address(ACL IP-POOL视图)命令配置的IP地址联动NQA的时候,必须保证NQA测试例已经正确配置并且启动,否则无法获取到正确的Status取值,并且无法判断下一跳IP地址是否有效。

display acl ipv6 ip-pool

命令功能

display acl ipv6 ip-pool命令用来查看ACL IPv6-POOL的配置和状态信息。

命令格式

display acl ipv6 ip-pool acl-ipv6-pool-name [ multihop-status [ vpn-instance vpn-instance-name ] ]

参数说明

参数

参数说明

取值

acl-ipv6-pool-name

查看指定ACL IPv6-POOL的名称。

必须是已存在的ACL IPv6-POOL名称。

multihop-status

查看对应ACL IPv6-POOL的下一跳IPv6地址生效状态。

-

vpn-instance vpn-instance-name

查看的指定VPN实例的ACL IPv6-POOL。

必须是已存在的VPN实例名称。

视图

所有视图

缺省级别

1:监控级

使用指南

配置完ACL IPv6-POOL以后,可以通过display acl ipv6 ip-pool命令查看ACL IPv6-POOL的配置信息及下一跳IPv6地址生效状态。

在通过策略路由实现重定向多下一跳的场景中,如果设备上没有命令中下一跳IPv6地址对应的邻居表项,设备会发送NS报文来验证邻居是否可达,如果邻居不可达,则报文按原始转发路径转发,重定向不生效。可以执行display acl ipv6 ip-pool命令查看对应ACL IPv6-POOL的下一跳IP地址生效状态。

使用实例

# 查看名称为abc的ACL IPv6-POOL的配置和状态信息。

<HUAWEI> display acl ipv6 ip-pool abc multihop-status
-----------------------------------------------------------------------------------------------------------------                   
IPv6 Address                             NQA AdminName                    NQA TestName                     Status                   
-----------------------------------------------------------------------------------------------------------------                   
2001:DB8::1                              --                               --                               invalid                  
2001:DB8::2                              --                               --                               invalid                  
-----------------------------------------------------------------------------------------------------------------                   
Total: 2
表14-8  display acl ipv6 ip-pool abc multihop-status命令输出信息描述

项目

描述

IPv6 Address

ACL IPv6-POOL的IPv6地址。

NQA AdminName

NQA测试例的管理者。

NQA TestName

NQA测试例的测试例名。

Status

下一跳IP地址生效状态:
  • valid:下一跳IPv6地址已生效。
  • invalid:下一跳IPv6地址未生效。
说明:

当在ACL IPv6-POOL中通过ipv6 address(ACL IPv6-POOL视图)命令配置的IPv6地址联动NQA的时候,必须保证NQA测试例已经正确配置并且启动,否则无法获取到正确的Status取值,并且无法判断下一跳IPv6地址是否有效。

display acl ipv6

命令功能

display acl ipv6命令用来查看ACL6的配置信息。

命令格式

display acl ipv6 { acl6-number | name acl6-name | all }

参数说明

参数

参数说明

取值

acl6-number

查看指定编号的ACL6。

整数形式,取值范围是2000~3999。其中2000~2999是基本ACL6,3000~3999是高级ACL6。

name acl6-name

查看指定名称的ACL6。

字符串形式,不支持空格,区分大小写,长度范围是1~64,以英文字母开始。

all

查看所有ACL6的配置。

-

视图

所有视图

缺省级别

1:监控级

使用指南

当需要查看已配置的ACL6的详细配置信息时,可以使用display acl ipv6命令。

使用实例

# 查看编号为2000的ACL6的信息。

<HUAWEI> display acl ipv6 2000

Basic IPv6 ACL 2000, 2 rules
 rule 1 permit source 4::/64   
 rule 0 deny source 3::/64 

# 查看所有配置的ACL6信息。

<HUAWEI> display acl ipv6 all
 Total nonempty acl6 number is 1
 
Basic IPv6 ACL 2000, 2 rules
 rule 1 permit source 4::/64
 rule 0 deny source 3::/64
表14-9  display acl ipv6命令输出信息描述

项目

描述

Total nonempty acl6 number is 1

含有规则的ACL6的数目为1。

Basic IPv6 ACL 2000, 2 rules

基本ACL6,序号为2000,共2条规则。

rule 0 deny source 3::/64

ACL6规则,“拒绝”源IPv6地址为3::/64的报文

相关命令请参见rule(基本ACL6视图)

rule 1 permit source 4::/64

ACL6规则,“允许”源IPv6地址为4::/64的报文。

相关命令请参见rule(基本ACL6视图)

display acl resource

命令功能

display acl resource命令用来查看ACL的资源信息。

命令格式

display acl resource [ slot slot-id ]

参数说明

参数

参数说明

取值

slot slot-id

显示指定槽位号接口板的ACL资源信息。

整数形式,根据设备实际配置情况选取。

视图

所有视图

缺省级别

1:监控级

使用指南

ACL资源是一种与硬件芯片相关的资源,包括:
  • ACL表项:用于存储ACL规则,每个表项对应一条ACL规则。
  • Meter/Car:流量监控表,用于流量限速,必须与ACL表项一起使用,不能单独使用。
  • Counter:流量统计表,用于流量统计,必须与ACL表项一起使用,不能单独使用。

当用户发现ACL配置失败,可能原因之一是设备上的ACL资源已被耗尽。为了确认设备的ACL资源的分配情况,用户可以执行display acl resource命令查看ACL资源信息(同时包括ACL4和ACL6的资源信息)

使用实例

# 查看Slot 1(以EC系列单板为例)上的ACL资源信息。

<HUAWEI> display acl resource slot 1
Slot  1
GigabitEthernet1/0/0 to GigabitEthernet1/0/23
                   Used          Free         Total
----------------------------------------------------------------------------
  VACL             12            1012         1024

  IACL Unallocated -             -            1024
  IACL Allocated   -             -            1024
    IPv4   ACL     1             255          256
    Sec    ACL     284           228          512

  EACL Unallocated -             -            512
  EACL Allocated   -             -            0

  Ingress Meter    29            2019         2048
  Egress  Meter    0             512          512
  Ingress Counter  112           1936         2048
  Egress  Counter  0             512          512

  Ingress UDF      7             1            8
----------------------------------------------------------------------------

# 查看Slot 3上的ACL资源信息。(以X1E系列单板为例)

<HUAWEI> display acl resource slot 3
Slot  3
XGigabitEthernet3/0/0 to XGigabitEthernet3/0/3
GigabitEthernet3/1/0 to GigabitEthernet3/1/23
                    Used          Free         Total
-----------------------------------------------------------------------------
  ACL Unallocated   -             -            20480
  ACL Allocated     147           365          511
    Vlan    ACL     1             -            -
    Sec     ACL     146           -            -

  EXT Unallocated   -             -            8192
  EXT Allocated     0             0            0

  Car               260           32508        32768
  Counter           144           65392        65536
-----------------------------------------------------------------------------
表14-10  display acl resource命令输出信息描述

项目

描述

Slot

槽位号

GigabitEthernet x/0/0 to GigabitEthernet x/0/y

应用ACL的接口信息。

Vlan-ACL

入方向二层转发处理流程前的ACL资源。
  • 通常对于与VLAN转换相关的业务特性,如VLAN Mapping(通过port vlan-mapping vlan map-vlan命令配置)和VLAN Stacking(通过port vlan-stacking命令配置),设备下发的ACL资源为Vlan-ACL。

  • 对于在inbound方向应用的且绑定的流行为处理动作与VLAN相关的流策略,如流行为处理动作是创建重标记VLAN报文802.1p优先级的动作(通过remark 8021p命令配置),或者是重标记VLAN报文的VLAN tag值的动作(通过remark vlan-id命令配置),设备下发的ACL资源为Vlan-ACL。

Car

限速资源。

Counter

流量统计资源。

Used

已使用资源数。

Free

空余的资源数。

Total

资源总数。

ACL Unallocated

设备未分配的普通ACL资源。

ACL Allocated

ACL资源数,具体包括如下情况。
  • Vlan ACL:VLAN使用的ACL资源。

  • Ingress ACL:上行流策略、基于ACL的简化流策略、IPSG等使用的资源。

  • Egress ACL:下行流策略、基于ACL的简化流策略等使用的资源。

  • Ingress UCL:上行用户使用的ACL资源。

  • Egress UCL:下行用户使用的ACL资源。

  • Srv ACL:上下行IPCA、voice-vlan等业务使用的ACL资源。

  • Sec ACL:上行方向安全类ACL资源。

EXT Unallocated

设备未分配的扩展ACL资源。

EXT Allocated

扩展ACL资源数,具体包括如下情况。
  • Ingress ACL:上行流策略、基于ACL的简化流策略等使用的资源。

  • Egress ACL:下行流策略、基于ACL的简化流策略等使用的资源。

VACL

入方向二层转发处理流程前的ACL资源。

IACL Unallocated

上行方向未分配资源。

IACL Allocated

上行方向已分配资源,具体包括如下情况。
  • L2 ACL:L2类ACL资源。

  • IPv4 ACL:IPv4类ACL资源

  • IPv6 ACL:IPv6类ACL资源

  • L2IPv4 ACL:L2类中IPv4类ACL资源。

  • L2IPv6 ACL:L2类中IPv6类ACL资源。

  • UDF ACL:用户自定义ACL资源。

  • Srv ACL:业务类ACL资源。

  • Sec ACL:安全类ACL资源。

  • Ext ACL:外扩ACL资源。

EACL Unallocated

下行方向未分配资源。

EACL Allocated

下行方向已分配资源,具体包括如下情况。
  • L2 ACL:L2类ACL资源。

  • IPv4 ACL:IPv4类ACL资源

  • IPv6 ACL:IPv6类ACL资源

  • L2IPv4 ACL:L2类中IPv4类ACL资源。

  • L2IPv6 ACL:L2类中IPv6类ACL资源。

  • UDF ACL:用户自定义ACL资源。

  • Srv ACL:业务类ACL资源。

  • Ext ACL:外扩ACL资源。

Ingress Meter

上行方向限速资源。

Egress Meter

下行方向限速资源。

Ingress Counter

上行方向统计资源。

Egress Counter

下行方向统计资源。

Ingress UDF

上行方向用户自定义资源。

display snmp-agent trap feature-name acle all

命令功能

display snmp-agent trap feature-name acle all命令用来查看ACL模块的所有告警开关的信息。

命令格式

display snmp-agent trap feature-name acle all

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

在打开了指定特性告警的功能后,执行命令display snmp-agent trap feature-name acle all可以查看ACL特性所有告警的开关状态信息。用户可使用snmp-agent trap enable feature-name acle命令打开ACL特性告警开关。

前置条件

已经使能网元的SNMP功能,使能命令可以参考snmp-agent

使用实例

# 查看ACL模块的所有告警信息。

<HUAWEI>display snmp-agent trap feature-name acle all
------------------------------------------------------------------------------
Feature name: ACLE
Trap number : 4
------------------------------------------------------------------------------
Trap name                       Default switch status   Current switch status
hwAclResTotalCountExceedTrap    on                      on
hwAclResTotalCountExceedClearTrap
                                on                      on
hwAclResThresholdExceedTrap     on                      on
hwAclResThresholdExceedClearTrap
                                on                      on
表14-11  display snmp-agent trap feature-name acle all命令输出信息描述

项目

描述

Feature name

告警所属的模块名称。

Trap number

告警的数量。

Trap name

告警的名称,ACL模块的告警包括:

  • hwAclResTotalCountExceedTrap:当该设备ACL资源使用率达到100%时发送的华为私有Trap消息。

  • hwAclResTotalCountExceedClearTrap:当该设备ACL资源使用率达到100%后开始下降并持续一段时间时发送的华为私有Trap消息。

  • hwAclResThresholdExceedTrap:当该设备ACL资源使用率超过ACL资源的上限告警阈值百分比时发送的华为私有Trap消息。

  • hwAclResThresholdExceedClearTrap:当该设备ACL资源使用率恢复到ACL资源的下限告警阈值百分比时发送的华为私有Trap消息。

Default switch status

告警开关缺省状态:
  • on:表示缺省情况下告警处于开启状态。

  • off:表示缺省情况下告警处于关闭状态。

Current switch status

告警的状态:

  • on:表示告警处于开启状态。

  • off:表示告警处于关闭状态。

display time-range

命令功能

display time-range命令用来查看当前时间段的配置和状态。

命令格式

display time-range { all | time-name }

参数说明

参数

参数说明

取值

all

表示所有配置的时间段。

-

time-name

指定时间段的名称。

字符串形式,区分大小写,不支持空格,长度范围是1~32字符。

视图

所有视图

缺省级别

1:监控级

使用指南

配置ACL规则时,如果需要指定ACL规则的生效时间,可以首先使用命令time-range配置一个时间段,然后在配置ACL规则时通过引用时间段名称来指定生效时间。

使用时间段过滤数据报文前,可以先用display time-range命令查看已存在的时间段详细信息和生效信息,以免重复配置。

说明:

由于设备更新ACL状态有延时,大约为30秒。命令display time-range会采用当前时间对其进行判断,所以有可能出现在命令display time-range显示中某时间段已经激活,而引用它的ACL却没有激活的现象,这种情况是正常的。

使用实例

# 查看所有时间段的配置和状态。

<HUAWEI> display time-range all
Current time is 14:48:13 10-17-2012 Wednesday

Time-range : abc (Active)
from 23:23 2012/9/9 to 23:59 2012/12/31
Total time-range number is 1
表14-12  display time-range命令输出信息描述

项目

描述

Current time is 14:48:13 10-17-2012 Wednesday

当前日期是2012年10月17日,星期三,时间为14时48分13秒。

Time-range:abc (Active)

时间段名称为abc,目前处于激活态。时间段的状态如下:
  • Active:表示时间段处于激活状态。
  • Inactive: 表示时间段处于非激活状态。

from 23:23 2012/9/9 to 23:59 2012/12/31

abc的时间段为2012年9月9日23:23到2012年12月31日23:59。

Total time-range number

时间段的总数。

相关主题

ip address(ACL IP-POOL视图)

命令功能

ip address命令用来配置ACL IP-POOL的IP地址。

undo ip address命令用来删除ACL IP-POOL的IP地址。

缺省情况下,ACL IP-POOL中没有配置IP地址。

命令格式

ip address ip-address [ mask-length | wildcard | track-nqa admin-name test-name ]

undo ip address ip-address [ mask-length | wildcard | track-nqa admin-name test-name ]

参数说明

参数

参数说明

取值

ip-address

指定ACL IP-POOL的IP地址。

点分十进制形式。

mask-length

指定子网掩码。

说明:

当ACL IP-POOL被redirect ip-multihop命令调用的时候,必须保证此处的掩码为32位,否则重定向到这个下一跳将不能生效。

整数形式,取值范围是0~32。

wildcard

指定IP地址通配符。

点分十进制形式。

track-nqa

指定联动NQA测试例。

-

admin-name

NQA测试例的管理者。

字符串形式,区分大小写,长度范围是1~32,不能包含?、-、单个"或者连续的"。

test-name

NQA测试例的测试例名。

字符串形式,区分大小写,长度范围是1~32,不能包含?、-、单个"或者连续的"。

视图

ACL IP-POOL视图

缺省级别

2:配置级

使用指南

应用场景

创建了ACL IP-POOL以后,可以执行ip address命令指定ACL IP-POOL的IP地址,ACL IP-POOL可以被redirect ip-multihop命令调用,实现将数据重定向到ACL IP-POOL指定的下一跳的功能。

前置条件

已经执行acl ip-pool命令创建了ACL IP-POOL。

注意事项

交换机最多支持配置12个ACL IP-POOL,每个ACL IP-POOL最多支持配置64个IP地址。

在通过策略路由实现重定向多下一跳的场景中,如果设备上没有命中下一跳IP地址对应的ARP表项,则该下一跳不能生效,设备仍按报文原来的目的地址转发,直到设备上有对应的ARP表项。可以执行display acl ip-pool命令查看对应ACL IP-POOL的下一跳IP地址生效状态。

使用实例

# 在名称为abc的ACL IP-POOL指定5个IP地址。

<HUAWEI> system-view
[HUAWEI] acl ip-pool abc
[HUAWEI-acl-ip-pool-abc] ip address 192.168.10.1 32
[HUAWEI-acl-ip-pool-abc] ip address 192.168.20.1 32
[HUAWEI-acl-ip-pool-abc] ip address 192.168.30.1 32
[HUAWEI-acl-ip-pool-abc] ip address 192.168.40.1 32
[HUAWEI-acl-ip-pool-abc] ip address 192.168.50.1 32

ipv6 address(ACL IPv6-POOL视图)

命令功能

ipv6 address命令用来配置ACL IPv6-POOL的IPv6地址。

undo ipv6 address命令用来删除ACL IPv6-POOL的IPv6地址。

缺省情况下,ACL IPv6-POOL中没有配置IPv6地址。

命令格式

ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length }

ipv6 address ipv6-address [ track-nqa admin-name test-name ]

undo ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length }

undo ipv6 address ipv6-address [ track-nqa admin-name test-name ]

参数说明

参数

参数说明

取值

ipv6-address

指定ACL IPv6-POOL的IPv6地址。

总长度为128位,通常分为8组,每组为4个十六进制数的形式。格式为X:X:X:X:X:X:X:X。

prefix-length

指定IPv6地址的前缀长度。

说明:

当ACL IPv6-POOL被redirect ipv6-multihop命令调用的时候,必须保证此处的前缀长度为128,否则重定向到这个下一跳将不能生效。

整数形式,取值范围是1~128。

track-nqa

指定联动NQA测试例。

-

admin-name

NQA测试例的管理者。

字符串形式,区分大小写,长度范围是1~32,不能包含?、-、单个"或者连续的"。

test-name

NQA测试例的测试例名。

字符串形式,区分大小写,长度范围是1~32,不能包含?、-、单个"或者连续的"。

视图

ACL IPv6-POOL视图

缺省级别

2:配置级

使用指南

应用场景

创建了ACL IPv6-POOL以后,可以执行ipv6 address命令指定ACL IPv6-POOL的IP地址,ACL IPv6-POOL可以被redirect ipv6-multihop命令调用,实现将数据重定向到ACL IPv6-POOL指定的下一跳的功能。

前置条件

已经执行acl ipv6 ip-pool命令创建了ACL IPv6-POOL。

注意事项

交换机最多支持配置12个ACL IPv6-POOL,每个ACL IPv6-POOL最多支持配置64个IPv6地址。

在通过策略路由实现重定向多下一跳的场景中,如果设备上没有命令中下一跳IPv6地址对应的邻居表项,设备会发送NS报文来验证邻居是否可达,如果邻居不可达,则报文按原始转发路径转发,重定向不生效。可以执行display acl ipv6 ip-pool命令查看对应ACL IPv6-POOL的下一跳IPv6地址生效状态。

使用实例

# 在名称为abc的ACL IPv6-POOL指定4个IPv6地址。

<HUAWEI> system-view
[HUAWEI] acl ipv6 ip-pool abc
[HUAWEI-acl6-ip-pool-abc] ipv6 address 2001:db8::1 128
[HUAWEI-acl6-ip-pool-abc] ipv6 address 2001:db8::2 128
[HUAWEI-acl6-ip-pool-abc] ipv6 address 2001:db8::3 128
[HUAWEI-acl6-ip-pool-abc] ipv6 address 2001:db8::4 128

reset acl counter

命令功能

reset acl counter命令用来清除ACL的统计信息。

命令格式

reset acl counter { name acl-name | acl-number | all }

参数说明

参数

参数说明

取值

name acl-name

指定根据ACL的名称清除ACL的统计信息。

字符串形式,不支持空格,区分大小写,长度范围是1~64,以英文字母开始。

acl-number

指定根据ACL的编号清除ACL的统计信息。

整数形式,

  • 2000~2999表示基本ACL范围。
  • 3000~3999表示高级ACL范围。
  • 4000~4999表示二层ACL范围。
  • 5000~5999表示用户自定义ACL范围。
  • 6000~9999表示用户ACL范围。

all

指定清除所有ACL的统计信息。

-

视图

用户视图

缺省级别

2:配置级

使用指南

应用场景

当用户需要清除系统中ACL的统计信息,或者当用户需要精确了解某段时间内ACL的统计信息时,可以执行该命令清除系统中ACL的历史统计信息。

执行该命令会清除系统中ACL的统计信息,且清除此类信息时系统不会产生提示信息,所以在执行该命令前,请务必确认清楚。

后续任务

执行该命令清除了系统中ACL的历史统计信息后,可以通过在诊断视图下执行display acl match-counter命令精确显示当前时间段内ACL的规则信息和报文匹配统计信息。

使用实例

# 清除编号为2000的基本ACL的统计信息。

<HUAWEI> reset acl counter 2000
相关主题

reset acl ipv6 counter

命令功能

reset acl ipv6 counter命令用来清除ACL6的统计信息。

命令格式

reset acl ipv6 counter { name acl6-name | acl6-number | all }

参数说明

参数

参数说明

取值

name acl6-name

指定根据ACL6的名称清除ACL6的统计信息。

字符串形式,不支持空格,区分大小写,长度范围是1~64,以英文字母开始。

acl6-number

指定根据ACL6的编号清除ACL6的统计信息。

整数形式,取值范围是2000~3999。

  • 2000~2999是基本ACL6。
  • 3000~3999是高级ACL6。

all

指定清除所有ACL6的统计信息。

-

视图

用户视图

缺省级别

2:配置级

使用指南

应用场景

当用户需要清除系统中ACL6的统计信息,或者当用户需要精确了解某段时间内ACL6的统计信息时,可以执行该命令清除系统中ACL6的历史统计信息。

执行该命令会清除系统中ACL6的统计信息,且清除此类信息时系统不会产生提示信息,所以在执行该命令前,请务必确认清楚。

后续任务

执行该命令清除了系统中ACL6的历史统计信息后,可以通过执行display acl ipv6命令精确显示当前时间段内,ACL6的规则信息和报文匹配统计信息。

使用实例

# 清除编号为2000的基本ACL6的统计信息。

<HUAWEI> reset acl ipv6 counter 2000
相关主题

rule(高级ACL视图)

命令功能

rule命令用来配置高级ACL的规则。

undo rule命令用来删除高级ACL规则。

缺省情况下,未配置高级ACL规则。

命令格式

  • 当参数protocol为ICMP时,高级访问控制列表的命令格式为:

    rule [ rule-id ] { deny | permit } { protocol-number | icmp } [ destination { destination-address destination-wildcard | any } | { { precedence precedence | tos tos } * | dscp dscp } | { fragment | first-fragment } | logging | icmp-type { icmp-name | icmp-type [ icmp-code ] } | source { source-address source-wildcard | any } | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *

    undo rule { deny | permit } { protocol-number | icmp } [ destination { destination-address destination-wildcard | any } | { { precedence precedence | tos tos } * | dscp dscp } | { fragment | first-fragment } | logging | icmp-type { icmp-name | icmp-type [ icmp-code ] } | source { source-address source-wildcard | any } | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *

  • 当参数protocol为TCP时,高级访问控制列表的命令格式为:

    rule [ rule-id ] { deny | permit } { protocol-number | tcp } [ destination { destination-address destination-wildcard | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | { { precedence precedence | tos tos } * | dscp dscp } | { fragment | first-fragment } | logging | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | tcp-flag { ack | established | fin | psh | rst | syn | urg } * | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *

    undo rule { deny | permit } { protocol-number | tcp } [ destination { destination-address destination-wildcard | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | { { precedence precedence | tos tos } * | dscp dscp } | { fragment | first-fragment } | logging | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | tcp-flag { ack | established | fin | psh | rst | syn | urg } * | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *

  • 当参数protocol为UDP时,高级访问控制列表的命令格式为:

    rule [ rule-id ] { deny | permit } { protocol-number | udp } [ destination { destination-address destination-wildcard | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | { { precedence precedence | tos tos } * | dscp dscp } | { fragment | first-fragment } | logging | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *

    undo rule { deny | permit } { protocol-number | udp } [ destination { destination-address destination-wildcard | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | { { precedence precedence | tos tos } * | dscp dscp } | { fragment | first-fragment } | logging | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end } | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *

  • 当参数protocol为GRE、IGMP、IP、IPINIP、OSPF时,高级访问控制列表的命令格式为:

    rule [ rule-id ] { deny | permit } { protocol-number | gre | igmp | ip | ipinip | ospf } [ destination { destination-address destination-wildcard | any } | { { precedence precedence | tos tos } * | dscp dscp } | { fragment | first-fragment } | logging | source { source-address source-wildcard | any } | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *

    undo rule { deny | permit } { protocol-number | gre | igmp | ip | ipinip | ospf } [ destination { destination-address destination-wildcard | any } | { { precedence precedence | tos tos } * | dscp dscp } | { fragment | first-fragment } | logging | source { source-address source-wildcard | any } | time-range time-name | ttl-expired | vpn-instance vpn-instance-name ] *

  • 删除高级访问控制列表的规则的命令格式为:

    undo rule rule-id [ destination | destination-port | { { precedence | tos } * | dscp } | { fragment | first-fragment } | logging | icmp-type | source | source-port | tcp-flag | time-range | ttl-expired | vpn-instance ] *

说明:

X系列单板不支持ttl-expired参数。

X5S、X5E、X2S系列单板上配置的ACL规则应用为硬件ACL时不支持tcp-flag

参数说明

参数

参数说明

取值

rule-id

指定ACL的规则ID。
  • 如果指定ID的规则已经存在,则会在旧规则的基础上叠加新定义的规则,相当于编辑一个已经存在的规则;如果指定ID的规则不存在,则使用指定的ID创建一个新规则,并且按照ID的大小决定规则插入的位置。
  • 如果不指定ID,则增加一个新规则时设备自动会为这个规则分配一个ID,ID按照大小排序。系统自动分配ID时会留有一定的空间,具体的相邻ID范围由step命令指定。
说明:

设备自动生成的规则ID从步长值起始,缺省步长为5,即从5开始并按照5的倍数生成规则序号,序号分别为5、10、15、……

整数形式,取值范围是0~4294967294。

deny

表示拒绝符合条件的报文。

-

permit

表示允许符合条件的报文。

-

icmp

指定ACL规则匹配报文的协议类型为ICMP。也可以采用数值1表示指定ICMP协议。

-

tcp

指定ACL规则匹配报文的协议类型为TCP。可以采用数值6表示指定TCP协议。

-

udp

指定ACL规则匹配报文的协议类型为UDP。可以采用数值17表示UDP协议。

-

gre

指定ACL规则匹配报文的协议类型为GRE。可以采用数值47表示GRE协议。

-

igmp

指定ACL规则匹配报文的协议类型为IGMP。可以采用数值2表示IGMP协议。

-

ip

指定ACL规则匹配报文的协议类型为IP。

-

ipinip

指定ACL规则匹配报文的协议类型为IPINIP。可以采用数值4表示IPINIP协议。

-

ospf

指定ACL规则匹配报文的协议类型为OSPF。可以采用数值89表示OSPF协议。

-

protocol-number

指定ACL规则匹配报文时用名字或数字表示的协议类型。
说明:

对不同的协议类型,有不同的参数组合,TCP和UDP有 source-port { eq port | gt port | lt port | range port-start port-end }和destination-port { eq port | gt port | lt port | range port-start port-end }可选项,其他协议类型没有。

整数形式,取值范围是1~255。

destination { destination-address destination-wildcard | any }

指定ACL规则匹配报文的目的地址信息。如果不配置,表示报文的任何目的地址都匹配。其中:
  • destination-address:表示报文的目的地址。
  • destination-wildcard:表示目的地址通配符。
  • any:表示报文的任意目的地址。相当于destination-address为0.0.0.0或者destination-wildcard为255.255.255.255。

destination-address为点分十进制格式。

destination-wildcard为点分十进制格式。目的地址通配符可以为0,相当于0.0.0.0,表示目的地址为主机地址。

说明:
通配符,点分十进制格式,换算成二进制后,“0”表示“匹配”,“1”表示“不关心”,另外二进制中的1或者0可以不连续。比如,IP地址192.168.1.169、通配符0.0.0.172表示的网址为192.168.1.x0x0xx01,其中x可以是0,也可以是1。

icmp-type { icmp-name | icmp-type [ icmp-code ] }

指定ACL规则匹配报文的ICMP报文的类型和消息码信息,仅在报文协议是ICMP的情况下有效。如果不配置,表示任何ICMP类型的报文都匹配。其中:
  • icmp-name:表示ICMP的消息名称。
  • icmp-type:表示ICMP的消息类型。
  • icmp-code:表示ICMP的消息码。

icmp-type为整数形式,取值范围是0~255。

icmp-code为整数形式,取值范围是0~255。

icmp-name的取值与icmp-typeicmp-code相对应,对应关系参见表14-14

source { source-address source-wildcard | any }

指定ACL规则匹配报文的源地址信息。如果不配置,表示报文的任何源地址都匹配。其中:
  • source-address:指定报文的源地址。
  • source-wildcard:指定源地址通配符。
  • any:表示报文的任意源地址。相当于source-address为0.0.0.0或者source-wildcard为255.255.255.255

source-address为点分十进制形式。

source-wildcard为点分十进制格式。源地址通配符可以为0,相当于0.0.0.0,表示源地址为主机地址。

说明:
通配符,点分十进制格式,换算成二进制后,“0”表示“匹配”,“1”表示“不关心”,另外二进制中的1或者0可以不连续。比如,IP地址192.168.1.169、通配符0.0.0.172表示的网址为192.168.1.x0x0xx01,其中x可以是0,也可以是1。

tcp-flag

指定ACL规则匹配报文的TCP报文头中SYN Flag。

-

ack

指定ACL规则匹配报文的TCP报文头中SYN Flag的类型为ack(010000)。

-

established

指定ACL规则匹配报文的TCP报文头中SYN Flag的类型为ack(010000)或rst(000100)。

-

fin

指定ACL规则匹配报文的TCP报文头中SYN Flag的类型为fin(000001)。

-

psh

指定ACL规则匹配报文的TCP报文头中SYN Flag的类型为psh(001000)。

-

rst

指定ACL规则匹配报文的TCP报文头中SYN Flag的类型为rst(000100)。

-

syn

指定ACL规则匹配报文的TCP报文头中SYN Flag的类型为syn(000010)。

-

urg

指定ACL规则匹配报文的TCP报文头中SYN Flag的类型为urg(100000)。

-

time-range time-name

指定ACL规则生效的时间段。其中,time-name表示ACL规则生效时间段名称。

如果不指定时间段,表示任何时间都生效。

说明:

当指定参数time-range引入ACL规则生效时间段时,如果time-name不存在,该规则将无法绑定该生效时间段

字符串形式,长度范围是1~32。

destination-port { eq port | gt port | lt port | range port-start port-end }

指定ACL规则匹配报文的UDP或者TCP报文的目的端口,仅在报文协议是TCP或者UDP时有效。如果不指定,表示TCP/UDP报文的任何目的端口都匹配。其中:
  • eq port:指定等于目的端口。
  • gt port:指定大于目的端口。
  • lt port:指定小于目的端口。
  • range port-start port-end:指定目的端口的范围。port-start是端口范围的起始,port-end是端口范围的结束。

port是端口号,用名字或整数表示。

  • eq port中的port,整数的取值范围是0~65535;
  • gt port中的port,整数的取值范围是0~65534;
  • lt port中的port,整数的取值范围是1~65535。

port-startport-end,用名字或数字表示,数字的取值范围是0~65535。

常用UDP协议和TCP协议源端口号或者目的端口号与port的取值对应关系如表14-15表14-16所示。

source-port { eq port | gt port | lt port | range port-start port-end }

指定ACL规则匹配报文的UDP或者TCP报文的源端口,仅在报文协议是TCP或者UDP时有效。如果不指定,表示TCP/UDP报文的任何源端口都匹配。其中:
  • eq port:指定等于源端口。
  • gt port:指定大于源端口。
  • lt port:指定小于源端口。
  • range port-start port-end:指定源端口的范围。port-start是端口范围的起始,port-end是端口范围的结束。

port是端口号,用名字或整数表示。

  • eq port中的port,整数的取值范围是0~65535;
  • gt port中的port,整数的取值范围是0~65534;
  • lt port中的port,整数的取值范围是1~65535。

port-startport-end,用名字或数字表示,数字的取值范围是0~65535。

常用UDP协议和TCP协议源端口号或者目的端口号与port的取值对应关系如表14-15表14-16所示。

dscp dscp

指定ACL规则匹配报文时,区分服务代码点(Differentiated Services Code Point)。

说明:

参数dscp dscpprecedence precedence不能同时配置。

参数dscp dscptos tos不能同时配置。

dscp的取值形式是整数形式或名称,其中:
  • 采用整数形式时,取值范围是0~63。
  • 采用名称时,取值为如下关键字af11,af12,af13,af21,af22,af23,af31,af32,af33,af41,af42,af43,cs1,cs2,cs3,cs4,cs5,cs6,cs7,default或ef。

tos tos

指定ACL规则匹配报文时,依据服务类型字段进行过滤。

tos的取值形式可以是整数形式或名称,其中:
  • 采用整数形式时,取值范围是0~15。
  • 采用名称时,取值为normal、min-monetary-cost、max-reliability、max-throughput、min-delay。可输入的ToS名称和取值之间的对应关系如表14-13所示。

precedence precedence

指定ACL规则匹配报文时,依据优先级字段进行过滤。precedence表示优先级字段值。

precedence的数字范围为0~7,和数字一一对应的名字分别为routinepriorityimmediateflashflash-overridecriticalinternetnetwork

fragment

指定该规则是否仅对非首片分片报文有效。当包含此参数时表示该规则仅对非首片分片报文有效。

-

first-fragment

指定该规则是否仅对首片分片报文有效。当包含此参数时表示该规则仅对首片分片报文有效。

-

logging

指定将该规则匹配的报文的IP信息记录日志。

说明:
此参数仅在以下两种场景中生效:
  • 配置基于ACL的简化流策略,使用traffic-filtertraffic-secure命令引用ACL时,对入方向的报文生效。
  • 配置MQC,流行为配置为permitdeny且使用traffic-policy命令引用ACL时,对入方向的报文生效。

-

ttl-expired

报文可以依据TTL字段值为1进行过滤,如果不配置,表示报文的任何TTL值都匹配。

-

vpn-instance vpn-instance-name

指定ACL规则匹配报文的VPN实例名称。

说明:

如果不指定vpn-instance参数,表示公网和私网报文都匹配。

必须是已存在的VPN实例名称。
表14-13  ToS名称和取值之间的对应关系

ToS名称

取值

ToS名称

取值

normal

0

max-reliability

2

min-monetary-cost

1

max-throughput

4

min-delay

8

-

-

表14-14  icmp-name的取值及对应的ICMP-Type和ICMP-Code

icmp-name

icmp-type

icmp-code

Echo

8

0

Echo-reply

0

0

Parameter-problem

12

0

Port-unreachable

3

3

Protocol-unreachable

3

2

Reassembly-timeout

11

1

Source-quench

4

0

Source-route-failed

3

5

Timestamp-reply

14

0

Timestamp-request

13

0

Ttl-exceeded

11

0

Fragmentneed-DFset

3

4

Host-redirect

5

1

Host-tos-redirect

5

3

Host-unreachable

3

1

Information-reply

16

0

Information-request

15

0

Net-redirect

5

0

Net-tos-redirect

5

2

Net-unreachable

3

0

表14-15  常用UDP协议源端口号或者目的端口号与port的取值对应关系

端口号

port取值

协议

说明

7 echo Echo Echo服务
9 discard Discard 用于连接测试的空服务
37 time Time 时间协议
42 nameserver Host Name Server 主机名服务
53 dns Domain Name Service (DNS) 域名服务
65 tacacs-ds TACACS-Database Service TACACS数据库服务
67 bootps Bootstrap Protocol Server 引导程序协议(BOOTP)服务端,DHCP服务使用
68 bootpc Bootstrap Protocol Client 引导程序协议(BOOTP)客户端,DHCP客户使用
69 tftp Trivial File Transfer Protocol (TFTP) 小文件传输协议
90 dnsix DNSIX Security Attribute Token Map DNSIX安全属性标记图
111 sunrpc SUN Remote Procedure Call (SUN RPC) SUN公司的远程过程调用(RPC)协议,用于远程命令执行,被网络文件系统(NFS)使用
123 ntp Network Time Protocol (NTP) 网络时间协议,蠕虫病毒会利用
137 netbios-ns NETBIOS Name Service NETBIOS名称服务
138 netbios-dgm NETBIOS Datagram Service NETBIOS数据报服务
139 netbios-ssn NETBIOS Session Service NETBIOS会话服务
161 snmp SNMP 简单网络管理协议
162 snmptrap SNMPTRAP SNMP陷阱
177 xdmcp X Display Manager Control Protocol (XDMCP) X显示管理器控制协议
434 mobilip-ag MobileIP-Agent 移动IP代理
435 mobilip-mn MobileIP-MN 移动IP管理
512 biff Mail notify 异步邮件,可用来通知用户有邮件到达
513 who Who 登录的用户列表
514 syslog Syslog UNIX系统日志服务
517 talk Talk 远程对话服务器和客户端
520 rip Routing Information Protocol RIP路由协议
表14-16  常用TCP协议源端口号或者目的端口号与port的取值对应关系

端口号

port取值

协议

说明

7 echo Echo Echo服务
9 discard Discard 用于连接测试的空服务
13 daytime Daytime 给请求主机发送日期和时间
19 CHARgen Character generator 字符生成服务;发送无止境的字符流
20 ftp-data FTP data connections FTP数据端口
21 ftp File Transfer Protocol(FTP) 文件传输协议(FTP)端口
23 telnet Telnet Telnet服务
25 smtp Simple Mail Transport Protocol (SMTP) 简单邮件传输协议
37 time Time 时间协议
43 whois Nicname(WHOIS) 目录服务
49 tacacs TAC Access Control System (TACACS) 用于基于TCP/IP验证和访问的访问控制系统(TACACS登录主机协议)
53 domain Domain Name Service (DNS) 域名服务
70 gopher Gopher 信息检索协议(互联网文档搜寻和检索)
79 finger Finger 用于用户联系信息的Finger服务,查询远程主机在线用户等信息
80 www World Wide Web (HTTP)
说明:

如果使用HTTPS协议,对应的端口号为443。

用于万维网(WWW)服务的超文本传输协议(HTTP),用于网页浏览
101 hostname NIC hostname server NIC机器上的主机名服务
109 pop2 Post Office Protocol v2 邮件协议-版本2
110 pop3 Post Office Protocol v3 邮件协议-版本3
111 sunrpc Sun Remote Procedure Call (RPC) SUN公司的远程过程调用(RPC)协议,用于远程命令执行,被网络文件系统(NFS)使用
119 nntp Network News Transport Protocol (NNTP) 网络新闻传输协议,承载USENET通信
179 bgp Border Gateway Protocol (BGP) 边界网关协议
194 irc Internet Relay Chat (IRC) 互联网中继聊天(多线交谈协议)
512 exec Exec (rsh) 用于对远程执行的进程进行验证
513 login Login (rlogin) 远程登录
514 cmd Remote commands 远程命令,不必登录的远程shell(rshell)和远程复制(rcp)
515 lpd Printer service 打印机(lpr)假脱机
517 talk Talk 远程对话服务和客户
540 uucp Unix-to-Unix Copy Program Unix到Unix复制服务
543 klogin Kerberos login Kerberos版本5(v5)远程登录
544 kshell Kerberos shell Kerberos版本5(v5)远程shell

视图

高级ACL视图

缺省级别

2:配置级

使用指南

应用场景

高级ACL根据报文的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等内容定义规则。

该命令可以定义应用ACL规则的时间段,灵活地配置ACL规则的生效时间。

前置条件

配置rule时,ACL需要已经创建完成。

注意事项

如果指定的rule-id已存在,且新规则与原规则存在冲突,则冲突的部分新规则代替原规则,相当于编辑一个已经存在的ACL的规则。

建议用户在编辑一个已存在rule-id的规则前,先将旧的规则删除,再创建新的规则,否则配置结果会与预期的效果不同。

如果要同时配置precedence precedencetos tos参数,则需将precedence precedencetos tos参数连续配置。

规则即使被引用(简化流策略中引用ACL指定rule的情况除外),使用undo rule命令行也可以删除该规则。请谨慎操作,在删除前判断该规则是否已经被引用。

fragment参数不能跟source-portdestination-porticmp-typetcp-flag参数同时配置,否则会提示以下错误信息:
Error: The fragment cannot be configured together with the source-port, destination-port, icmp-type and tcp-flag.

使用实例

# 配置在ACL3000中增加一条规则,匹配基于icmp protocol type的流分类。

<HUAWEI> system-view
[HUAWEI] acl 3000
[HUAWEI-acl-adv-3000] rule 1 permit icmp

# 配置在ACL3000中删除一条规则。

<HUAWEI> system-view
[HUAWEI] acl 3000
[HUAWEI-acl-adv-3000] undo rule 1

# 配置在ACL3000中增加一条规则,匹配基于igmp protocol type的流分类。

<HUAWEI> system-view
[HUAWEI] acl 3000
[HUAWEI-acl-adv-3000] rule 2 permit igmp

# 配置在ACL3000中增加一条规则,匹配基于dscp的流分类。

<HUAWEI> system-view
[HUAWEI] acl 3000
[HUAWEI-acl-adv-3000] rule 3 permit ip dscp cs1

# 配置在ACL3001中增加一条规则,匹配从10.9.0.0网段的主机向10.38.160.0网段的主机发送的所有IP报文。

<HUAWEI> system-view
[HUAWEI] acl 3001
[HUAWEI-acl-adv-3001] rule permit ip source 10.9.0.0 0.0.255.255 destination 10.38.160.0 0.0.0.255

# 配置在ACL3001中增加一条规则,匹配从10.9.8.0网段内的主机建立与端口号等于128的10.38.160.0网段内的主机的UDP连接。

<HUAWEI> system-view
[HUAWEI] acl 3001
[HUAWEI-acl-adv-3001] rule permit udp source 10.9.8.0 0.0.0.255 destination 10.38.160.0 0.0.0.255 destination-port eq 128

rule(高级ACL6视图)

命令功能

rule命令用来配置高级ACL6的规则。

undo rule命令用来删除高级ACL6规则。

缺省情况下,未创建高级ACL6规则。

命令格式

  • 当参数protocol为TCP时,高级ACL6的命令格式为:

    rule [ rule-id ] { deny | permit } { tcp | protocol-number } [ destination { destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | destination-ipv6-address postfix postfix-length | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | { { precedence precedence | tos tos } * | dscp dscp } | routing [ routing-type routing-type ] | { fragment | first-fragment } | logging | source { source-ipv6-address prefix-length | source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | source-port { eq port | gt port | lt port | range port-start port-end } | tcp-flag { ack | established | fin | psh | rst | syn | urg } * | time-range time-name | vpn-instance vpn-instance-name ] *

    undo rule { deny | permit } { tcp | protocol-number } [ destination { destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | destination-ipv6-address postfix postfix-length | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | { { precedence precedence | tos tos } * | dscp dscp } | routing [ routing-type routing-type ] | { fragment | first-fragment } | logging | source { source-ipv6-address prefix-length | source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | source-port { eq port | gt port | lt port | range port-start port-end } | tcp-flag { ack | established | fin | psh | rst | syn | urg } * | time-range time-name | vpn-instance vpn-instance-name ] *

  • 当参数protocol为UDP时,高级ACL6的命令格式为:

    rule [ rule-id ] { deny | permit } { udp | protocol-number } [ destination { destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | destination-ipv6-address postfix postfix-length | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | { { precedence precedence | tos tos } * | dscp dscp } | routing [ routing-type routing-type ] | { fragment | first-fragment } | logging | source { source-ipv6-address prefix-length | source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | source-port { eq port | gt port | lt port | range port-start port-end } | time-range time-name | vpn-instance vpn-instance-name ] *

    undo rule { deny | permit } { udp | protocol-number } [ destination { destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | destination-ipv6-address postfix postfix-length | any } | destination-port { eq port | gt port | lt port | range port-start port-end } | { { precedence precedence | tos tos } * | dscp dscp } | routing [ routing-type routing-type ] | { fragment | first-fragment } | logging | source { source-ipv6-address prefix-length | source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | source-port { eq port | gt port | lt port | range port-start port-end } | time-range time-name | vpn-instance vpn-instance-name ] *

  • 当参数protocol为ICMPv6时,高级ACL6的命令格式为:

    rule [ rule-id ] { deny | permit } { icmpv6 | protocol-number } [ destination { destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | destination-ipv6-address postfix postfix-length | any } | { { precedence precedence | tos tos } * | dscp dscp } | routing [ routing-type routing-type ] | { fragment | first-fragment } | icmp6-type { icmp6-type-name | icmp6-type [ icmp6-code ] } | logging | source { source-ipv6-address prefix-length | source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | time-range time-name | vpn-instance vpn-instance-name ] *

    undo rule { deny | permit } { icmpv6 | protocol-number } [ destination { destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | destination-ipv6-address postfix postfix-length | any } | { { precedence precedence | tos tos } * | dscp dscp } | routing [ routing-type routing-type ] | { fragment | first-fragment } | icmp6-type { icmp6-type-name | icmp6-type [ icmp6-code ] } | logging | source { source-ipv6-address prefix-length | source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | time-range time-name | vpn-instance vpn-instance-name ] *

  • 当参数protocol为其他协议时,高级ACL6的命令格式为:

    rule [ rule-id ] { deny | permit } { protocol-number | gre | ipv6 | ospf } [ destination { destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | destination-ipv6-address postfix postfix-length | any } | { { precedence precedence | tos tos } * | dscp dscp } | routing [ routing-type routing-type ] | { fragment | first-fragment } | logging | source { source-ipv6-address prefix-length | source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | time-range time-name | vpn-instance vpn-instance-name ] *

    undo rule { deny | permit } { protocol-number | gre | ipv6 | ospf } [ destination { destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | destination-ipv6-address postfix postfix-length | any } | { { precedence precedence | tos tos } * | dscp dscp } | routing [ routing-type routing-type ] | { fragment | first-fragment } | logging | source { source-ipv6-address prefix-length | source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | time-range time-name | vpn-instance vpn-instance-name ] *

  • 删除高级ACL6的规则:

    undo rule rule-id [ destination | destination-port | routing [ routing-type routing-type ] | { fragment | first-fragment } | icmp6-type | logging | { { precedence | tos } * | dscp } | routing | source | source-port | tcp-flag | time-range | vpn-instance ] *

说明:

X5S、X5E、X2S系列单板上配置的ACL规则应用为硬件ACL时不支持tcp-flag

参数说明

参数

参数说明

取值

rule-id 指定ACL6规则的ID。
  • 如果指定ID的规则已经存在,则会在旧规则的基础上叠加新定义的规则,相当于编辑一个已经存在的规则;如果指定ID的规则不存在,则使用指定的ID创建一个新规则,并且按照实际配置的顺序排列。
  • 如果不指定ID,则增加一个新规则时设备自动会为这个规则分配一个ID。ACL6默认步长为1,因不支持修改步长,所以系统自动分配ID时,相邻ID间隔为1。
整数形式,取值范围是0~2047
deny 表示拒绝符合条件的报文。 -
permit 表示允许符合条件的报文通过。 -
tcp 指定ACL6规则匹配报文的协议类型为TCP。 -
udp 指定ACL6规则匹配报文的协议类型为UDP。 -
icmpv6 指定ACL6规则匹配报文的协议类型为ICMPv6。 -
protocol-number 用名字或数字表示的IP承载的协议类型。 数字范围为1~255;用名字表示时,可以选取:GRE、ICMPv6、IPv6、OSPF、TCP和UDP。
destination { destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | any } 指定ACL6规则匹配报文的目的地址和前缀。 destination-ipv6-address用冒号十六进制表示。prefix-length的取值范围1~128。或用“any”代表任何目的地址。
destination destination-ipv6-address postfix postfix-length 指定ACL6规则匹配报文的目的地址和地址后缀掩码长度。 destination-ipv6-address用冒号十六进制表示目的地址。postfix-length表示地址后缀掩码长度,整数形式,取值范围1~64。
dscp dscp 指定ACL6规则匹配报文时,区分服务代码点(Differentiated Services Code Point)。
说明:

参数dscp dscpprecedence precedence不能同时配置。

参数dscp dscptos tos不能同时配置。

dscp的取值形式是整数形式或名称。采用整数形式时,取值范围是0~63。采用名称时,取值为如下关键字af11,af12,af13,af21,af22,af23,af31,af32,af33,af41,af42,af43,cs1,cs2,cs3,cs4,cs5,cs6,cs7,default或ef。
routing [ routing-type routing-type ] 指定ACL6规则匹配IPv6路由扩展头。可以指定routing-type来匹配IPv6路由扩展头中具体的routing-type字段。 routing-type为整数形式,取值范围0~255。
fragment 指定该规则是否仅对非首片分片报文有效。当包含此参数时表示该规则仅对非首片分片报文有效。 -
first-fragment 指定该规则是否仅对首片分片报文有效。当包含此参数时表示该规则仅对首片分片报文有效。 -
logging 指定将该规则匹配的报文的IP信息记录日志。
说明:
此参数仅在以下两种场景中生效:
  • 配置基于ACL的简化流策略,使用traffic-filter命令引用ACL时,对入方向的报文生效。
  • 配置MQC,流行为配置为permitdeny且使用traffic-policy命令引用ACL时,对入方向的报文生效。
-
precedence precedence 指定ACL6规则匹配报文时,依据优先级字段进行过滤。 用名字或数字表示。数字的取值范围是0~7。
source { source-ipv6-address prefix-length | source-ipv6-address/prefix-length | any } 指定ACL6规则匹配报文的源地址和前缀。 source-ipv6-address用冒号十六进制表示源地址。prefix-length整数形式,取值范围是1~128。或用“any”代表任何源地址。
source source-ipv6-address postfix postfix-length 指定ACL6规则匹配报文的源地址和地址后缀掩码长度。 source-ipv6-address用冒号十六进制表示源地址。postfix-length表示地址后缀掩码长度,整数形式,取值范围1~64。
destination-port { eq port | gt port | lt port | range port-start port-end }
指定ACL6规则匹配报文的UDP或者TCP报文的目的端口,仅在报文协议是TCP或者UDP时有效。如果不指定,表示TCP/UDP报文的任何目的端口都匹配。其中:
  • eq port:指定等于目的端口。
  • gt port:指定大于目的端口。
  • lt port:指定小于目的端口。
  • range port-start port-end:指定目的端口的范围。port-start是端口范围的起始,port-end是端口范围的结束。

port是端口号,用名字或整数表示。

  • eq port中的port,整数的取值范围是0~65535;
  • gt port中的port,整数的取值范围是0~65534;
  • lt port中的port,整数的取值范围是1~65535。

port-startport-end,用名字或数字表示,数字的取值范围是0~65535。

常用UDP协议和TCP协议源端口号或者目的端口号与port的取值对应关系如表14-20表14-19所示。

source-port { eq port | gt port | lt port | range port-start port-end }
指定ACL6规则匹配报文的UDP或者TCP报文的源端口,仅在报文协议是TCP或者UDP时有效。如果不指定,表示TCP/UDP报文的任何源端口都匹配。其中:
  • eq port:指定等于源端口。
  • gt port:指定大于源端口。
  • lt port:指定小于源端口。
  • range port-start port-end:指定源端口的范围。port-start是端口范围的起始,port-end是端口范围的结束。

port是端口号,用名字或整数表示。

  • eq port中的port,整数的取值范围是0~65535;
  • gt port中的port,整数的取值范围是0~65534;
  • lt port中的port,整数的取值范围是1~65535。

port-startport-end,用名字或数字表示,数字的取值范围是0~65535。

常用UDP协议和TCP协议源端口号或者目的端口号与port的取值对应关系如表14-20表14-19所示。

icmp6-type { icmp6-type-name | icmp6-type [ icmp6-code ] } 指定ACL6规则匹配ICMPv6报文的类型和消息码信息,仅在报文协议是ICMP的情况下有效。如果不配置,表示任何ICMP类型的报文都匹配。

icmp6-type:ICMP的消息类型,取值为0~255的数字。

icmp6-code:ICMP消息码,取值为0~255的数字。

icmp6-type-name的取值及对应的ICMP-Type和ICMP-Code,如表14-18所示。

tcp-flag 指定ACL6规则匹配报文的TCP报文头中SYN Flag。 -
ack 指定TCP报文头中SYN Flag的类型为ack(010000)。 -
established 指定ACL6规则匹配报文的TCP报文头中SYN Flag的类型为ack(010000)或rst(000100)。 -
fin 指定TCP报文头中SYN Flag的类型为fin(000001)。 -
psh 指定TCP报文头中SYN Flag的类型为psh(001000)。 -
rst 指定TCP报文头中SYN Flag的类型为rst(000100)。 -
syn 指定TCP报文头中SYN Flag的类型为syn(000010)。 -
urg 指定TCP报文头中SYN Flag的类型为urg(100000)。 -
time-range time-name 指定ACL6规则生效时间段。time-name表示生效时间段的名称。
说明:

当指定参数time-range引入ACL6规则生效时间段时,如果time-name不存在,则该规则配置不生效。

time-name字符串形式,长度范围是1~32。
tos tos 指定ACL6规则匹配报文时,依据服务类型字段进行过滤。
tos的取值形式可以是整数形式或名称,其中:
  • 采用整数形式时,取值范围是0~15。
  • 采用名称时,取值为normal、min-monetary-cost、max-reliability、max-throughput、min-delay。可输入的ToS名称和取值之间的对应关系如表14-17所示。
vpn-instance vpn-instance-name 指定ACL6规则匹配报文的VPN实例名称。
说明:

如果不指定vpn-instance参数,表示公网和私网报文都匹配。

必须是已存在的VPN实例名称。
表14-17  ToS名称和取值之间的对应关系

ToS名称

取值

ToS名称

取值

normal

0

max-reliability

2

min-monetary-cost

1

max-throughput

4

min-delay

8

-

-

表14-18  icmp6-type-name的取值及对应的ICMP-Type和ICMP-Code

icmp6-type-name

icmp-type

icmp-code

Redirect

137

0

Echo

128

0

Echo-reply

129

0

Err-Header-field

4

0

Frag-time-exceeded

3

1

Hop-limit-exceeded

3

0

Host-admin-prohib

1

1

Host-unreachable

1

3

Neighbor-advertisement

136

0

Neighbor-solicitation

135

0

Network-unreachable

1

0

Packet-too-big

2

0

Port-unreachable

1

4

Router-advertisement

134

0

Router-solicitation

133

0

Unknown-ipv6-opt

4

2

Unknown-next-hdr

4

1

表14-19  常用TCP协议源端口号或者目的端口号与port的取值对应关系

端口号

port取值

协议

说明

7 echo Echo Echo服务
9 discard Discard 用于连接测试的空服务
13 daytime Daytime 给请求主机发送日期和时间
19 CHARgen Character generator 字符生成服务;发送无止境的字符流
20 ftp-data FTP data connections FTP数据端口
21 ftp File Transfer Protocol(FTP) 文件传输协议(FTP)端口
23 telnet Telnet Telnet服务
25 smtp Simple Mail Transport Protocol (SMTP) 简单邮件传输协议
37 time Time 时间协议
43 whois Nicname(WHOIS) 目录服务
49 tacacs TAC Access Control System (TACACS) 用于基于TCP/IP验证和访问的访问控制系统(TACACS登录主机协议)
53 domain Domain Name Service (DNS) 域名服务
70 gopher Gopher 信息检索协议(互联网文档搜寻和检索)
79 finger Finger 用于用户联系信息的Finger服务,查询远程主机在线用户等信息
80 www World Wide Web (HTTP)
说明:

如果使用HTTPS协议,对应的端口号为443。

用于万维网(WWW)服务的超文本传输协议(HTTP),用于网页浏览
101 hostname NIC hostname server NIC机器上的主机名服务
109 pop2 Post Office Protocol v2 邮件协议-版本2
110 pop3 Post Office Protocol v3 邮件协议-版本3
111 sunrpc Sun Remote Procedure Call (RPC) SUN公司的远程过程调用(RPC)协议,用于远程命令执行,被网络文件系统(NFS)使用
119 nntp Network News Transport Protocol (NNTP) 网络新闻传输协议,承载USENET通信
179 bgp Border Gateway Protocol (BGP) 边界网关协议
194 irc Internet Relay Chat (IRC) 互联网中继聊天(多线交谈协议)
512 exec Exec (rsh) 用于对远程执行的进程进行验证
513 login Login (rlogin) 远程登录
514 cmd Remote commands 远程命令,不必登录的远程shell(rshell)和远程复制(rcp)
515 lpd Printer service 打印机(lpr)假脱机
517 talk Talk 远程对话服务和客户
540 uucp Unix-to-Unix Copy Program Unix到Unix复制服务
543 klogin Kerberos login Kerberos版本5(v5)远程登录
544 kshell Kerberos shell Kerberos版本5(v5)远程shell
表14-20  常用UDP协议源端口号或者目的端口号与port的取值对应关系

端口号

port取值

协议

说明

7 echo Echo Echo服务
9 discard Discard 用于连接测试的空服务
37 time Time 时间协议
42 nameserver Host Name Server 主机名服务
53 dns Domain Name Service (DNS) 域名服务
65 tacacs-ds TACACS-Database Service TACACS数据库服务
67 bootps Bootstrap Protocol Server 引导程序协议(BOOTP)服务端,DHCP服务使用
68 bootpc Bootstrap Protocol Client 引导程序协议(BOOTP)客户端,DHCP客户使用
69 tftp Trivial File Transfer Protocol (TFTP) 小文件传输协议
90 dnsix DNSIX Security Attribute Token Map DNSIX安全属性标记图
111 sunrpc SUN Remote Procedure Call (SUN RPC) SUN公司的远程过程调用(RPC)协议,用于远程命令执行,被网络文件系统(NFS)使用
123 ntp Network Time Protocol (NTP) 网络时间协议,蠕虫病毒会利用
137 netbios-ns NETBIOS Name Service NETBIOS名称服务
138 netbios-dgm NETBIOS Datagram Service NETBIOS数据报服务
139 netbios-ssn NETBIOS Session Service NETBIOS会话服务
161 snmp SNMP 简单网络管理协议
162 snmptrap SNMPTRAP SNMP陷阱
177 xdmcp X Display Manager Control Protocol (XDMCP) X显示管理器控制协议
434 mobilip-ag MobileIP-Agent 移动IP代理
435 mobilip-mn MobileIP-MN 移动IP管理
512 biff Mail notify 异步邮件,可用来通知用户有邮件到达
513 who Who 登录的用户列表
514 syslog Syslog UNIX系统日志服务
517 talk Talk 远程对话服务器和客户端
520 rip Routing Information Protocol RIP路由协议

视图

高级ACL6视图

缺省级别

2:配置级

使用指南

应用场景

高级ACL6根据报文的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等内容定义规则。

该命令可以定义应用ACL6规则的时间段,灵活地配置ACL6规则的生效时间。

前置条件

配置rule时,ACL6已经创建完成。

注意事项

如果指定的rule-id已存在,且新规则与原规则存在冲突,则冲突的部分新规则代替原规则,相当于编辑一个已经存在的ACL6的规则。

建议用户在编辑一个已存在rule-id的规则前,先将旧的规则删除,再创建新的规则,否则配置结果会与预期的效果不同。

如果要同时配置precedence precedencetos tos参数,则需将precedence precedencetos tos参数连续配置。

使用命令undo rule删除规则的时候,rule-id必须是一个已经存在的ACL6规则编号,如果不知道规则的编号,可以使用命令display acl ipv6来查看。

规则即使被引用,使用undo rule命令行也可以删除该规则。请谨慎操作,在删除前判断该规则是否已经被引用。

fragment参数不能跟source-portdestination-porticmp6-typetcp-flag参数同时配置。

使用实例

# 为编号为3000的ACL6增加一条规则,禁止从fc00:1::1网段内的主机建立与fc00:3::1网段内的主机的端口号大于128的UDP连接。

<HUAWEI> system-view
[HUAWEI] acl ipv6 3000
[HUAWEI-acl6-adv-3000] rule deny udp source fc00:1::1 64 destination fc00:3::1 64 destination-port gt 128

rule(基本ACL视图)

命令功能

rule命令用来配置基本ACL的规则。

undo rule命令用来删除基本ACL规则。

缺省情况下,未配置基本ACL规则。

命令格式

rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | fragment | logging | time-range time-name | vpn-instance vpn-instance-name ] *

undo rule { deny | permit } [ source { source-address source-wildcard | any } | fragment | logging | time-range time-name | vpn-instance vpn-instance-name ] *

undo rule rule-id [ fragment | logging | source | time-range | vpn-instance ] *

参数说明

参数

参数说明

取值

rule-id

指定ACL的规则ID。
  • 如果指定ID的规则已经存在,则会在旧规则的基础上叠加新定义的规则,相当于编辑一个已经存在的规则;如果指定ID的规则不存在,则使用指定的ID创建一个新规则,并且按照ID的大小决定规则插入的位置。
  • 如果不指定ID,则增加一个新规则时设备自动会为这个规则分配一个ID,ID按照大小排序。系统自动分配ID时会留有一定的空间,具体的相邻ID范围由step命令指定。
说明:

设备自动生成的规则ID从步长值起始,缺省步长为5,即从5开始并按照5的倍数生成规则序号,序号分别为5、10、15、……

整数形式,取值范围是0~4294967294。

deny

指定拒绝符合条件的报文。

-

permit

指定允许符合条件的报文。

-

source { source-address source-wildcard | any }

指定ACL规则匹配报文的源地址信息。如果不配置,表示报文的任何源地址都匹配。其中:
  • source-address:指定报文的源地址。
  • source-wildcard:指定源地址通配符。
  • any:表示报文的任意源地址。相当于source-address为0.0.0.0或者source-wildcard为255.255.255.255。

source-address为点分十进制形式。

source-wildcard为点分十进制形式。源地址通配符可以为0,相当于0.0.0.0,表示源地址为主机地址。

说明:
通配符,点分十进制格式,换算成二进制后,“0”表示“匹配”,“1”表示“不关心”,另外二进制中的1或者0可以不连续。比如,IP地址192.168.1.169、通配符0.0.0.172表示的网址为192.168.1.x0x0xx01,其中x可以是0,也可以是1。

vpn-instance vpn-instance-name

指定ACL规则匹配报文的VPN实例名称。

说明:

如果不指定vpn-instance参数,表示公网和私网报文都匹配。

必须是已存在的VPN实例名称。

fragment

指定该规则是否仅对非首片分片报文有效。当包含此参数时表示该规则仅对非首片分片报文有效,而对非分片报文和首片分片报文则忽略此规则。

说明:
不包含此参数的规则对所有报文均有效。

-

logging

指定将该规则匹配的报文的IP信息记录日志。

说明:
此参数仅在以下两种场景中生效:
  • 配置基于ACL的简化流策略,使用traffic-filtertraffic-secure命令引用ACL时,对入方向的报文生效。
  • 配置MQC,流行为配置为permitdeny且使用traffic-policy命令引用ACL时,对入方向的报文生效。

-

time-range time-name

指定ACL规则生效的时间段。其中,time-name表示ACL规则生效时间段名称。

如果不指定时间段,表示任何时间都生效。

说明:

当指定参数time-range引入ACL规则生效时间段时,如果time-name不存在,该规则将无法绑定该生效时间段

字符串形式,长度范围是1~32。

视图

基本ACL视图

缺省级别

2:配置级

使用指南

应用场景

基本ACL的规则主要根据源IP地址、分片标记和时间段等信息进行定义。

该命令可以定义应用ACL规则的时间段,灵活地配置ACL规则的生效时间。

前置条件

配置rule时,ACL需要已经创建完成。

注意事项

如果指定的rule-id已存在,且新规则与原规则存在冲突,则冲突的部分新规则代替原规则,相当于编辑一个已经存在的ACL的规则。

建议用户在编辑一个已存在rule-id的规则前,先将旧的规则删除,再创建新的规则,否则配置结果会与预期的效果不同。

规则即使被引用,使用undo rule命令行也可以删除该规则。请谨慎操作,在删除前判断该规则是否已经被引用。

使用实例

# 配置在ACL 2001中增加一条规则,允许源地址是192.168.32.1的报文通过。

<HUAWEI> system-view
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] rule permit source 192.168.32.1 0

# 配置在ACL 2001中删除一条规则,删除规则5。

<HUAWEI> system-view
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] undo rule 5

rule(基本ACL6视图)

命令功能

rule命令用来配置基本ACL6的规则。

undo rule命令用来删除基本ACL6规则。

缺省情况下,未配置基本ACL6规则。

命令格式

rule [ rule-id ] { deny | permit } [ fragment | logging | source { source-ipv6-address prefix-length | source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | time-range time-name | vpn-instance vpn-instance-name ] *

undo rule { deny | permit } [ fragment | logging | source { source-ipv6-address prefix-length | source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | time-range time-name | vpn-instance vpn-instance-name ] *

undo rule rule-id [ fragment | logging | source | time-range | vpn-instance ] *

参数说明

参数

参数说明

取值

rule-id 指定ACL6规则ID。
  • 如果指定ID的规则已经存在,则会在旧规则的基础上叠加新定义的规则,相当于编辑一个已经存在的规则;如果指定ID的规则不存在,则使用指定的ID创建一个新规则,并且按照实际配置的顺序排列。
  • 如果不指定ID,则增加一个新规则时设备自动会为这个规则分配一个ID。ACL6默认步长为1,因不支持修改步长,所以系统自动分配ID时,相邻ID间隔为1。
整数形式,取值范围是0~2047
deny 指定拒绝符合条件的报文。 -
permit 指定允许符合条件的报文。 -
fragment 指定该规则是否仅对非首片分片报文有效。当包含此参数时表示该规则仅对非首片分片报文有效。 -
logging 指定将该规则匹配的报文的IP信息记录日志。
说明:
此参数仅在以下两种场景中生效:
  • 配置基于ACL的简化流策略,使用traffic-filter命令引用ACL时,对入方向的报文生效。
  • 配置MQC,流行为配置为permitdeny且使用traffic-policy命令引用ACL时,对入方向的报文生效。
-
source { source-ipv6-address prefix-length | source-ipv6-address/prefix-length } 指定ACL6规则匹配报文的源地址和前缀。 source-ipv6-address用冒号十六进制表示源地址。prefix-length是整数形式,取值范围是1~128。
source source-ipv6-address postfix postfix-length 指定ACL6规则匹配报文的源地址和地址后缀掩码长度。 source-ipv6-address用冒号十六进制表示源地址。postfix-length表示地址后缀掩码长度,整数形式,取值范围1~64。
any 代表任何源地址。 -
time-range time-name 表示设置的ACL6规则仅在规定时间段内生效。time-name表示生效时间段的名称。
说明:

当指定参数time-range引入ACL6规则生效时间段时,如果time-name不存在,则该规则配置不生效。

time-name字符串形式,长度范围是1~32。
vpn-instance vpn-instance-name 指定ACL6规则匹配报文的VPN实例名称。
说明:

如果不指定vpn-instance参数,表示公网和私网报文都匹配。

必须是已存在的VPN实例名称。

视图

基本ACL6视图

缺省级别

2:配置级

使用指南

应用场景

基本ACL6的规则主要根据源IP地址、分片标记和时间段等信息进行定义。

前置条件

配置rule时,ACL6需要已经创建完成。

注意事项

如果指定的rule-id已存在,且新规则与原规则存在冲突,则冲突的部分新规则代替原规则,相当于编辑一个已经存在的ACL6的规则。

建议用户在编辑一个已存在rule-id的规则前,先将旧的规则删除,再创建新的规则,否则配置结果会与预期的效果不同。

使用命令undo rule删除规则的时候,rule-id必须是一个已经存在的ACL6规则编号,如果不知道规则的编号,可以使用命令display acl ipv6来查看。

规则即使被引用,使用undo rule命令也可以删除该规则。请谨慎操作,在删除前判断该规则是否已经被引用。

使用实例

# 为编号为2000的ACL6增加一条规则,禁止源fc00:1::1/64的报文。

<HUAWEI> system-view
[HUAWEI] acl ipv6 2000
[HUAWEI-acl6-basic-2000] rule deny source fc00:1::1/64

rule(二层ACL视图)

命令功能

rule命令用来配置二层ACL的规则。

undo rule命令用来删除二层ACL规则。

缺省情况下,未配置二层ACL规则。

命令格式

rule [ rule-id ] { permit | deny } [ [ ether-ii | 802.3 | snap ] | l2-protocol type-value [ type-mask ] | destination-mac dest-mac-address [ dest-mac-mask ] | source-mac source-mac-address [ source-mac-mask ] | vlan-id vlan-id [ vlan-id-mask ] | 8021p 802.1p-value | cvlan-id cvlan-id [ cvlan-id-mask ] | cvlan-8021p 802.1p-value | double-tag | time-range time-name ] *

undo rule { permit | deny } [ [ ether-ii | 802.3 | snap ] | l2-protocol type-value [ type-mask ] | destination-mac dest-mac-address [ dest-mac-mask ] | source-mac source-mac-address [ source-mac-mask ] | vlan-id vlan-id [ vlan-id-mask ] | 8021p 802.1p-value | cvlan-id cvlan-id [ cvlan-id-mask ] | cvlan-8021p 802.1p-value | double-tag | time-range time-name ] *

undo rule rule-id

参数说明

参数

参数说明

取值

rule-id

指定ACL的规则ID。
  • 如果指定ID的规则已经存在,创建的新规则将会覆盖旧规则;如果指定ID的规则不存在,则使用指定的ID创建一个新规则,并且按照ID的大小决定规则插入的位置。
  • 如果不指定ID,则增加一个新规则时设备自动会为这个规则分配一个ID,ID按照大小排序。系统自动分配ID时会留有一定的空间,具体的相邻ID范围由step命令指定。
说明:

设备自动生成的规则ID从步长值起始,缺省步长为5,即从5开始并按照5的倍数生成规则序号,序号分别为5、10、15、……

整数形式,取值范围是0~4294967294。

deny

指定拒绝符合条件的报文。

-

permit

指定允许符合条件的报文。

-

ether-ii | 802.3 | snap

指定ACL规则匹配报文的封装格式。其中:
  • ether-ii表示Ethernet II封装;
  • 802.3表示802.3封装;
  • snap表示SNAP封装。

-

l2-protocol type-value [ type-mask ]

指定ACL规则匹配报文的类型,对应Ethernet_II类型中的Ethernet type和Ethernet_SNAP类型帧中的type-code域。其中:

  • type-value表示二层协议类型值;
  • type-mask表示二层协议类型掩码。
type-value如果输入数值,长度范围是3~6,以十六进制表示,取值范围是0x0000~0xFFFF;如果输入协议值,可以输入以下的值:
  • ARP,对应的数值为0x0806
  • IP,对应的数值为0x0800
  • IPv6,对应的数值为0x86dd
  • MPLS,对应的数值为0x8847
  • RARP,对应的数值为0x8035

type-mask缺省值为0xffff。

destination-mac dest-mac-address [ dest-mac-mask ]

指定ACL规则匹配报文的目的MAC地址信息。其中:
  • dest-mac-address:报文的目的MAC地址;
  • dest-mac-mask:目的MAC地址掩码。

dest-mac-addressdest-mac-mask格式均为H-H-H,其中H为1至4位的十六进制数。dest-mac-mask缺省值为ffff-ffff-ffff。

这两个参数共同作用可以得到用户感兴趣的目的MAC地址范围。比如00e0-fc01-0101 ffff-ffff-ffff指定了一个MAC地址:00e0-fc01-0101,而00e0-fc01-0101 ffff-ffff-0000则指定了一个MAC地址范围:00e0-fc01-0000~00e0-fc01-ffff。

source-mac source-mac-address [ source-mac-mask ]

指定ACL规则匹配报文的源MAC地址信息。其中:
  • source-mac-address:表示报文的源MAC地址;
  • source-mac-mask:表示源MAC地址掩码。如果不配置此参数,则掩码相当于ffff-ffff-ffff。

source-mac-addresssource-mac-mask的格式均为H-H-H,其中H为1至4位的十六进制数。source-mac-mask缺省值为ffff-ffff-ffff。

这两个参数共同作用可以得到用户感兴趣的源MAC地址范围。比如00e0-fc01-0101 ffff-ffff-ffff指定了一个MAC地址:00e0-fc01-0101,而00e0-fc01-0101 ffff-ffff-0000则指定了一个MAC地址范围:00e0-fc01-0000~00e0-fc01-ffff。

vlan-id vlan-id [ vlan-id-mask ]

指定ACL规则匹配报文的外层VLAN的编号,其中:

  • vlan-id表示外层VLAN ID的值;
  • vlan-id-mask表示外层VLAN ID值的掩码。

vlan-id为整数形式,取值范围是1~4094。

vlan-id-mask为十六进制形式,取值范围是0x0~0xFFF,缺省值为0xFFF。

8021p 802.1p-value

指定ACL规则匹配报文的外层VLAN的802.1p优先级。

整数形式,取值范围是0~7。

cvlan-id cvlan-id [ cvlan-id-mask ]

指定ACL规则匹配报文的内层VLAN的编号。

  • cvlan-id表示内层VLAN ID的值;
  • cvlan-id-mask表示内层VLAN ID值的掩码。

cvlan-id为整数形式,取值范围是1~4094。

cvlan-id-mask为十六进制形式,取值范围是0x0~0xFFF,缺省值为0xFFF。

cvlan-8021p 802.1p-value

指定ACL规则匹配报文的内层VLAN的802.1p优先级。

整数形式,取值范围是0~7。

double-tag

指定ACL规则匹配报文时匹配带双层tag的报文。

-

time-range time-name

指定ACL规则生效的时间段。time-name表示时间段的名称。

说明:

当指定参数time-range引入ACL规则生效时间段时,如果time-name不存在,该规则将无法绑定该生效时间段

time-name为字符串形式,长度范围是1~32。

视图

二层ACL视图

缺省级别

2:配置级

使用指南

应用场景

二层ACL根据报文的源MAC地址、目的MAC地址、二层协议类型等内容定义规则。

该命令可以应用ACL规则的时间段,灵活地配置ACL规则的生效时间。

前置条件

配置rule时,ACL需要已经创建完成。

注意事项

如果指定的rule-id已存在,无论新规则与原规则是否存在冲突,新规则都会覆盖原规则。

建议用户在编辑一个已存在rule-id的规则前,先将旧的规则删除,再创建新的规则,否则配置结果会与预期的效果不同。

规则即使被引用,使用undo rule命令行也可以删除该规则。请谨慎操作,在删除前判断该规则是否已经被引用。

使用实例

# 在ACL 4001中增加一条规则,匹配目的MAC地址是0000-0000-0001,源MAC地址是0000-0000-0002,二层协议类型值为0x0800的报文。

<HUAWEI> system-view
[HUAWEI] acl 4001
[HUAWEI-acl-L2-4001] rule permit destination-mac 0000-0000-0001 source-mac 0000-0000-0002 l2-protocol 0x0800

rule(用户自定义ACL视图)

命令功能

rule命令用来增加或修改用户自定义ACL的规则。

undo rule命令用来删除一个规则。

缺省情况下,未配置规则。

命令格式

rule [ rule-id ] { deny | permit } [ [ l2-head | ipv4-head | ipv6-head | l4-head ] { rule-string rule-mask offset } &<1-8> | time-range time-name ] *

undo rule { deny | permit } [ [ l2-head | ipv4-head | ipv6-head | l4-head ] { rule-string rule-mask offset } &<1-8> | time-range time-name ] *

undo rule rule-id

参数说明

参数

参数说明

取值

rule-id

指定ACL的规则ID。

  • 如果指定ID的规则已经存在,创建的新规则将会覆盖旧规则;如果指定ID的规则不存在,则使用指定的ID创建一个新规则,并且按照ID的大小决定规则插入的位置。
  • 如果不指定ID,则增加一个新规则时设备自动会为这个规则分配一个ID,ID按照大小排序。系统自动分配ID时会留有一定的空间,具体的相邻ID范围由step命令指定。
说明:

设备自动生成的规则ID从步长值起始,缺省步长为5,即从5开始并按照5的倍数生成规则序号,序号分别为5、10、15、……

整数形式,取值范围为0~4294967294。

deny

指定拒绝符合条件的报文。

-

permit

指定允许符合条件的报文。

-

l2-head | ipv4-head | ipv6-head | l4-head

指定ACL规则匹配报文开始偏移的位置,其中:
  • l2-head指定从报文的二层头部开始偏移;
  • ipv4-head指定从IPv4头部开始偏移;
  • ipv6-head指定从IPv6头部开始偏移;
  • l4-head指定从四层头部开始偏移。

-

rule-string

指定ACL规则匹配报文的字符串。

16进制形式,长度范围是3~10,最大支持4个字节。

说明:

rule(用户自定义ACL视图)命令每次固定匹配4个字节的内容,当配置的rule-string参数长度不满4个字节时,在前面补0凑足4个字节进行匹配。

rule-mask

指定规则字符串的掩码。

16进制形式,长度范围是3~10,最大支持4个字节。当用户定义的规则字符串对应的掩码为“1”时,ACL对该位进行匹配;当用户定义的规则字符串对应的掩码为“0”时,ACL不对该位进行匹配。

offset

指定ACL规则匹配报文的偏移值。

整数形式,单位是字节。根据偏移位置不同,offset取值范围不同。
  • 对于l2-head,offset取值为4N+2,其中N是从0开始的整数。
  • 对于其他偏移位置,offset取值为4N,其中N是从0开始的整数。

time-range time-name

指定一个ACL规则生效的时间段。time-name指定时间段的名称。

字符串形式,长度范围是1~32。

视图

用户自定义ACL视图

缺省级别

2:配置级

使用指南

应用场景

用户自定义ACL的规则主要通过用户定义报文的偏移位置和偏移量的方式定义规则。用户自定义ACL主要应用于流分类的匹配规则。

该命令可以定义应用ACL规则的时间段,灵活地配置ACL规则的生效时间。

说明:

用户自定义ACL只能应用于上行策略。

用户自定义ACL匹配报文内容的时候,计算偏移量是包含802.1Q tag的。

前置条件

配置rule时,ACL需要已经创建完成。

注意事项

  • 如果指定的rule-id已存在,且新规则与原规则存在冲突,则冲突的部分新规则代替原规则,相当于编辑一个已经存在的ACL的规则。建议用户在编辑一个已存在rule-id的规则前,先将旧的规则删除,再创建新的规则,否则配置结果会与预期的效果不同。
  • 如果希望修改用户自定义ACL规则中的offset偏移量,需要先将已配置的规则删除,再重新配置新规则。
  • 规则即使被引用,使用undo rule命令行也可以删除该规则。请谨慎操作,在删除前判断该规则是否已经被引用。

使用实例

# 在编号为5001的ACL中增加一条规则,从二层报文头开始偏移14个字节,匹配4个字节的字符串,字符串内容为0x0180C200。

<HUAWEI> system-view
[HUAWEI] acl 5001
[HUAWEI-acl-user-5001] rule permit l2-head 0x0180C200 0xFFFFFFFF 14

rule(用户ACL视图)

命令功能

rule命令用来配置用户ACL规则。

undo rule命令用来删除用户ACL规则。

缺省情况下,未配置用户ACL规则。

命令格式

  • 当参数protocol为ICMP时,用户ACL规则的命令格式为:

    rule [ rule-id ] { permit | deny } { icmp | protocol-number } [ source { { source-address source-wildcard | any } | { ucl-group { name source-ucl-group-name | source-ucl-group-index } } } * | destination { { { destination-address destination-wildcard | any } | { ucl-group { name destination-ucl-group-name | destination-ucl-group-index } } } * | fqdn fqdn-name } | icmp-type { icmp-type [ icmp-code ] | icmp-name } | vpn-instance vpn-instance-name | time-range time-name ] *

    undo rule { permit | deny } { icmp | protocol-number } [ source { { source-address source-wildcard | any } | { ucl-group { name source-ucl-group-name | source-ucl-group-index } } } * | destination { { { destination-address destination-wildcard | any } | { ucl-group { name destination-ucl-group-name | destination-ucl-group-index } } } * | fqdn fqdn-name } | icmp-type { icmp-type [ icmp-code ] | icmp-name } | vpn-instance vpn-instance-name | time-range time-name ] *

  • 当参数protocol为TCP时,用户ACL规则的命令格式为:

    rule [ rule-id ] { deny | permit } { protocol-number | tcp } [ source { { source-address source-wildcard | any } | { ucl-group { source-ucl-group-index | name source-ucl-group-name } } } * | destination { { { destination-address destination-wildcard | any } | { ucl-group { destination-ucl-group-index | name destination-ucl-group-name } } } * | fqdn fqdn-name } | source-port { eq port | gt port | lt port | range port-start port-end } | destination-port { eq port | gt port | lt port | range port-start port-end } | tcp-flag { ack | established | fin | psh | rst | syn | urg } * | time-range time-name | vpn-instance vpn-instance-name ] *

    undo rule { deny | permit } { protocol-number | tcp } [ source { { source-address source-wildcard | any } | { ucl-group { source-ucl-group-index | name source-ucl-group-name } } } * | destination { { { destination-address destination-wildcard | any } | { ucl-group { destination-ucl-group-index | name destination-ucl-group-name } } } * | fqdn fqdn-name } | source-port { eq port | gt port | lt port | range port-start port-end } | destination-port { eq port | gt port | lt port | range port-start port-end } | tcp-flag { ack | established | fin | psh | rst | syn | urg } * | time-range time-name | vpn-instance vpn-instance-name ] *

  • 当参数protocol为UDP时,用户ACL规则的命令格式为:

    rule [ rule-id ] { deny | permit } { protocol-number | udp } [ source { { source-address source-wildcard | any } | { ucl-group { source-ucl-group-index | name source-ucl-group-name } } } * | destination { { { destination-address destination-wildcard | any } | { ucl-group { destination-ucl-group-index | name destination-ucl-group-name } } } * | fqdn fqdn-name } | source-port { eq port | gt port | lt port | range port-start port-end } | destination-port { eq port | gt port | lt port | range port-start port-end } | time-range time-name | vpn-instance vpn-instance-name ] *

    undo rule { deny | permit } { protocol-number | udp } [ source { { source-address source-wildcard | any } | { ucl-group { source-ucl-group-index | name source-ucl-group-name } } } * | destination { { { destination-address destination-wildcard | any } | { ucl-group { destination-ucl-group-index | name destination-ucl-group-name } } } * | fqdn fqdn-name } | source-port { eq port | gt port | lt port | range port-start port-end } | destination-port { eq port | gt port | lt port | range port-start port-end } | time-range time-name | vpn-instance vpn-instance-name ] *

  • 当参数protocol为GRE、IGMP、IP、IPINIP、OSPF时,用户ACL规则的命令格式为:

    rule [ rule-id ] { deny | permit } { protocol-number | gre | igmp | ip | ipinip | ospf } [ source { { source-address source-wildcard | any } | { ucl-group { source-ucl-group-index | name source-ucl-group-name } } } * | destination { { { destination-address destination-wildcard | any } | { ucl-group { destination-ucl-group-index | name destination-ucl-group-name } } } * | fqdn fqdn-name } | time-range time-name | vpn-instance vpn-instance-name ] *

    undo rule { deny | permit } { protocol-number | gre | igmp | ip | ipinip | ospf } [ source { { source-address source-wildcard | any } | { ucl-group { source-ucl-group-index | name source-ucl-group-name } } } * | destination { { { destination-address destination-wildcard | any } | { ucl-group { destination-ucl-group-index | name destination-ucl-group-name } } } * | fqdn fqdn-name } | time-range time-name | vpn-instance vpn-instance-name ] *

  • 删除用户ACL规则的命令格式为:

    undo rule rule-id

参数说明

参数

参数说明

取值

rule-id

指定ACL的规则ID。
  • 如果指定ID的规则已经存在,则会在旧规则的基础上叠加新定义的规则,相当于编辑一个已经存在的规则;如果指定ID的规则不存在,则使用指定的ID创建一个新规则,并且按照ID的大小决定规则插入的位置。
  • 如果不指定ID,则增加一个新规则时设备自动会为这个规则分配一个ID,ID按照大小排序。系统自动分配ID时会留有一定的空间,具体的相邻ID范围由step命令指定。
说明:

设备自动生成的规则ID从步长值起始,缺省步长为5,即从5开始并按照5的倍数生成规则序号,序号分别为5、10、15、……

整数形式,取值范围是0~4294967294。

deny

表示拒绝符合条件的报文。

-

permit

表示允许符合条件的报文。

-

icmp

指定ACL规则匹配报文的协议类型为ICMP。可以采用数值1表示指定ICMP协议。

-

tcp

指定ACL规则匹配报文的协议类型为TCP。可以采用数值6表示指定TCP协议。

-

udp

指定ACL规则匹配报文的协议类型为UDP。可以采用数值17表示UDP协议。

-

gre

指定ACL规则匹配报文的协议类型为GRE。可以采用数值47表示GRE协议。

-

igmp

指定ACL规则匹配报文的协议类型为IGMP。可以采用数值2表示IGMP协议。

-

ip

指定ACL规则匹配报文的协议类型为IP。

-

ipinip

指定ACL规则匹配报文的协议类型为IPINIP。可以采用数值4表示IPINIP协议。

-

ospf

指定ACL规则匹配报文的协议类型为OSPF。可以采用数值89表示OSPF协议。

-

protocol-number

指定ACL规则匹配报文时用数字表示的协议类型。

整数形式,取值范围是1~255。

source { { source-address source-wildcard | any } | { ucl-group { source-ucl-group-index | name source-ucl-group-name } } } *

指定ACL规则匹配报文的源地址信息。如果不配置,表示报文的任何源地址都匹配。其中:
  • source-address:指定报文的源地址。
  • source-wildcard:指定源地址通配符。
  • any:表示报文的任意源地址。相当于source-address为0.0.0.0、source-wildcard为255.255.255.255。
  • ucl-group source-ucl-group-index:指定报文的源地址所在的UCL组ID。
  • ucl-group name source-ucl-group-name:指定报文的源地址所在的UCL组名称。
  • source-address为点分十进制形式。
  • source-wildcard为点分十进制格式。源地址通配符可以为0,相当于0.0.0.0,表示源地址为主机地址。
    说明:

    通配符,点分十进制格式,换算成二进制后,“0”表示“匹配”,“1”表示“不关心”,另外二进制中的1或者0可以不连续。比如,IP地址192.168.1.169、通配符0.0.0.172表示的网址为192.168.1.x0x0xx01,其中x可以是0,也可以是1。

  • source-ucl-group-name必须是已创建的UCL组的名称。
  • source-ucl-group-index为整数形式,取值范围是0~64000。
  • source-ucl-group-index为0时,表示ACL规则匹配的报文的源地址不在UCL组范围内。

destination { { { destination-address destination-wildcard | any } | { ucl-group { destination-ucl-group-index | name destination-ucl-group-name } } } * | fqdn fqdn-name }

指定ACL规则匹配报文的目的地址信息。如果不配置,表示报文的任何目的地址都匹配。其中:
  • destination-address:表示报文的目的地址。
  • destination-wildcard:表示目的地址通配符。
  • any:表示报文的任意目的地址。相当于destination-address为0.0.0.0、destination-wildcard为255.255.255.255。
  • ucl-group destination-ucl-group-index:指定报文的目的地址所在的UCL组ID。
  • ucl-group name destination-ucl-group-name:指定报文的目的地址所在的UCL组名称。
  • fqdn fqdn-name:指定域名名称。支持精确匹配和使用通配符“*”进行模糊匹配。模糊匹配时,格式必须为*.XXX,比如*.abc.com。模糊域名和域名全称不能相互包含。例如,如果设备上已经配置了www.abc.com,就不能再配置*.abc.com,但是可以配置*.aaa.com;反之,如果设备上已经配置了*.abc.com,就不能再配置*.www.abc.com,但是可以配置www.aaa.com。此参数仅对无线用户生效。
  • destination-address为点分十进制格式。
  • destination-wildcard为点分十进制格式。目的地址通配符可以为0,相当于0.0.0.0,表示目的地址为主机地址。
    说明:

    通配符,点分十进制格式,换算成二进制后,“0”表示“匹配”,“1”表示“不关心”,另外二进制中的1或者0可以不连续。比如,IP地址192.168.1.169、通配符0.0.0.172表示的网址为192.168.1.x0x0xx01,其中x可以是0,也可以是1。

  • destination-ucl-group-name必须是已创建的UCL组的名称。
  • destination-ucl-group-index为整数形式,取值范围是0~64000。
  • destination-ucl-group-index为0时,表示ACL规则匹配的报文的目的地址不在UCL组范围内。
  • fqdn-name为字符串形式,长度范围是1~64。

icmp-type { icmp-name | icmp-type [ icmp-code ] }

指定ACL规则匹配报文的ICMP报文的类型和消息码信息,仅在报文协议是ICMP的情况下有效。如果不配置,表示任何ICMP类型的报文都匹配。其中:
  • icmp-name:表示ICMP的消息名称。
  • icmp-type:表示ICMP的消息类型。
  • icmp-code:表示ICMP的消息码。

icmp-type为整数形式,取值范围是0~255。

icmp-code为整数形式,取值范围是0~255。

说明:

icmp-name的取值与icmp-typeicmp-code相对应,对应关系参见表14-21

source-port { eq port | gt port | lt port | range port-start port-end }

指定ACL规则匹配报文的UDP或者TCP报文的源端口,仅在报文协议是TCP或者UDP时有效。如果不指定,表示TCP/UDP报文的任何源端口都匹配。其中:
  • eq port:指定等于源端口。
  • gt port:指定大于源端口。
  • lt port:指定小于源端口。
  • range port-start port-end:指定源端口的范围。port-start是端口范围的起始,port-end是端口范围的结束。

port是端口号,用名字或整数表示。

  • eq port中的port,整数的取值范围是0~65535;
  • gt port中的port,整数的取值范围是0~65534;
  • lt port中的port,整数的取值范围是1~65535。

port-startport-end,用名字或整数表示,整数的取值范围是0~65535。

destination-port { eq port | gt port | lt port | range port-start port-end }

指定ACL规则匹配报文的UDP或者TCP报文的目的端口,仅在报文协议是TCP或者UDP时有效。如果不指定,表示TCP/UDP报文的任何目的端口都匹配。其中:
  • eq port:指定等于目的端口。
  • gt port:指定大于目的端口。
  • lt port:指定小于目的端口。
  • range port-start port-end:指定目的端口的范围。port-start是端口范围的起始,port-end是端口范围的结束。

port是端口号,用名字或整数表示。

  • eq port中的port,整数的取值范围是0~65535;
  • gt port中的port,整数的取值范围是0~65534;
  • lt port中的port,整数的取值范围是1~65535。

port-startport-end,用名字或整数表示,整数的取值范围是0~65535。

tcp-flag

指定ACL规则匹配报文的TCP报文头中SYN Flag。

-

ack

指定ACL规则匹配报文的TCP报文头中SYN Flag的类型为ack(010000)。

-

established

指定ACL规则匹配报文的TCP报文头中SYN Flag的类型为ack(010000)或rst(000100)。

-

fin

指定ACL规则匹配报文的TCP报文头中SYN Flag的类型为fin(000001)。

-

psh

指定ACL规则匹配报文的TCP报文头中SYN Flag的类型为psh(001000)。

-

rst

指定ACL规则匹配报文的TCP报文头中SYN Flag的类型为rst(000100)。

-

syn

指定ACL规则匹配报文的TCP报文头中SYN Flag的类型为syn(000010)。

-

urg

指定ACL规则匹配报文的TCP报文头中SYN Flag的类型为urg(100000)。

-

time-range time-name

指定ACL规则生效的时间段。其中,time-name表示ACL规则生效时间段名称。

如果不指定时间段,表示任何时间都生效。

说明:

当指定参数time-range引入ACL规则生效时间段时,如果time-name不存在,该规则将无法绑定该生效时间段

字符串形式,长度范围是1~32。

vpn-instance vpn-instance-name

指定ACL规则匹配报文的入口VPN实例名称。

必须是已存在的VPN实例名称。
表14-21  icmp-name的取值及对应的ICMP-Type和ICMP-Code

icmp-name

icmp-type

icmp-code

Echo

8

0

Echo-reply

0

0

Fragmentneed-DFset

3

4

Host-redirect

5

1

Host-tos-redirect

5

3

Host-unreachable

3

1

Information-reply

16

0

Information-request

15

0

Net-redirect

5

0

Net-tos-redirect

5

2

Net-unreachable

3

0

Parameter-problem

12

0

Port-unreachable

3

3

Protocol-unreachable

3

2

Reassembly-timeout

11

1

Source-quench

4

0

Source-route-failed

3

5

Timestamp-reply

14

0

Timestamp-request

13

0

Ttl-exceeded

11

0

视图

用户ACL视图

缺省级别

2:配置级

使用指南

应用场景

用户ACL根据IPv4报文的源IP地址或源UCL(User Control List)组、目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号、生效时间段等来定义规则,对IPv4报文进行过滤。

目前用户ACL仅支持在NAC特性的UCL组中应用。通过配置UCL组,并配置用户ACL规则关联UCL组使一组用户复用ACL规则,再配置基于用户ACL对报文进行过滤使ACL生效,最后在AAA的业务方案中应用UCL组,可以实现对用户的网络访问权限进行分组控制。

前置条件

如果配置rule的ucl-group name source-ucl-group-nameucl-group name destination-ucl-group-name参数,source-ucl-group-namedestination-ucl-group-name必须已经创建成功(通过命令ucl-group配置)。

注意事项

如果指定的rule-id已存在,且新规则与原规则存在冲突,则冲突的部分新规则代替原规则,相当于编辑一个已经存在的ACL的规则。

规则即使被引用(简化流策略中引用ACL指定rule的情况除外),使用undo rule命令行也可以删除该规则。请谨慎操作,在删除前判断该规则是否已经被引用。

使用实例

# 配置在ACL 6000中增加一条规则,拒绝从UCL组group1的主机向10.9.9.0/24网段的主机发送的所有IP报文。

<HUAWEI> system-view
[HUAWEI] ucl-group 1 name group1
[HUAWEI] acl 6000
[HUAWEI-acl-ucl-6000] rule deny ip source ucl-group name group1 destination 10.9.9.0 0.0.0.255

rule description

命令功能

rule description命令用来配置某条规则的描述信息。

undo rule description命令用来删除某条规则的描述信息。

缺省情况下,各规则没有描述信息。

命令格式

rule rule-id description description

undo rule rule-id description

参数说明

参数

参数说明

取值

rule-id

指定ACL的规则ID。

  • ACL视图:整数形式,取值范围是0~4294967294。
  • ACL6视图:整数形式,取值范围是0~2047。

description description

指定某rule-id规则的描述信息。

用户可以通过这个描述信息更详细地记录规则,便于识别规则。

字符串形式,不超过127个字符。

视图

ACL视图、ACL6视图

缺省级别

2:配置级

使用指南

应用场景

当前规则的标识方式主要是使用rule-id,一个数字很难很好地表达该规则的含义、用途等信息,不便于用户标记,通过配置一定长度字符串的标记方式就可以解决这个问题。

前置条件

在使用命令rule rule-id description进行描述信息配置的时候,必须保证该rule-id的规则已经存在,否则系统提示错误信息。

注意事项

该命令是覆盖式命令,新配置将覆盖旧配置。

执行命令undo rule rule-id删除规则时,也会同步删除该规则的描述信息。

使用实例

# 假设ACL 2001的规则5是允许源地址是192.168.32.1的报文,配置增加规则5的描述信息。

<HUAWEI> system-view
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] rule 5 permit source 192.168.32.1 0
[HUAWEI-acl-basic-2001] rule 5 description permit 192.168.32.1
[HUAWEI-acl-basic-2001] display acl 2001
Basic ACL 2001, 1 rule
Acl's step is 5
 rule 5 permit source 192.168.32.1 0
 rule 5 description permit 192.168.32.1

snmp-agent trap enable feature-name acle

命令功能

snmp-agent trap enable feature-name acle命令用来打开ACL模块的告警开关。

undo snmp-agent trap enable feature-name acle命令用来关闭ACL模块的告警开关。

缺省情况下,ACL模块的告警开关处于开启状态。

命令格式

snmp-agent trap enable feature-name acle [ trap-name { hwaclresthresholdexceedcleartrap | hwaclresthresholdexceedtrap | hwaclrestotalcountexceedcleartrap | hwaclrestotalcountexceedtrap } ]

undo snmp-agent trap enable feature-name acle [ trap-name { hwaclresthresholdexceedcleartrap | hwaclresthresholdexceedtrap | hwaclrestotalcountexceedcleartrap | hwaclrestotalcountexceedtrap } ]

参数说明

参数

参数说明

取值

trap-name

ACL模块的指定类型事件的告警开关。

-

hwaclresthresholdexceedcleartrap

使能当该设备ACL资源使用率恢复到ACL资源的下限告警阈值百分比时发送华为私有Trap消息。

-

hwaclresthresholdexceedtrap

使能当该设备ACL资源使用率超过ACL资源的上限告警阈值百分比时发送华为私有Trap消息。

-

hwaclrestotalcountexceedcleartrap

使能当该设备ACL资源使用率达到100%后开始下降并持续一段时间时发送华为私有Trap消息。

-

hwaclrestotalcountexceedtrap

使能当该设备ACL资源使用率达到100%时发送私有Trap消息。

-

视图

系统视图

缺省级别

2:配置级

使用指南

打开告警开关之后,设备在运行过程中方可产生告警,并通过SNMP将生成的告警上送给网管;否则设备不会产生告警,SNMP模块也不会将告警上送给网管。

可以根据需要选择trap-name,只打开某个或几个事件的告警开关。

使用实例

# 打开ACL的hwaclresthresholdexceedtrap告警。

<HUAWEI> system-view
[HUAWEI] snmp-agent trap enable feature-name acle trap-name hwaclresthresholdexceedtrap

step

命令功能

step命令用来为一个ACL规则组中的规则编号配置步长。

undo step命令用来恢复规则编号的步长为缺省值。

缺省情况下,步长值为5。

命令格式

step step

undo step

参数说明

参数

参数说明

取值

step

指定ACL规则的步长值。

整数形式,取值范围是1~20。

视图

ACL视图

缺省级别

2:配置级

使用指南

应用场景

步长的含义是:自动为ACL规则组分配编号时,每个ACL规则编号之间的差值。如果步长设定为5,规则编号分配为:5、10、15......以此类推。

为了方便在ACL规则之间插入新规则,可以通过设定步长实现。例如config模式的ACL下配置了3个规则,规则编号是:5、10、15。如果此时希望在第一条规则后插入一条规则,则可以使用rule 7 xxxx命令在5和10之间插入一条编号为7的规则。

当步长改变的时候,ACL的规则编号会自动重新排列。例如,缺省规则编号为:5、10、15,当通过命令step 2,把步长设定改为2,则规则编号变成:2、4、6。

说明:

undo step命令可以立刻按照默认步长调整ACL规则的编号。例如:ACL规则组3001,下面有4个规则:编号为1、3、5、7,步长为2。如果此时使用undo step命令,则ACL规则编号变成:5、10、15、20,步长为5。

前置条件

需要通过命令acl创建ACL后,才能配置步长。

注意事项

ACL6不支持配置步长。

使用实例

# 调整ACL 3101规则列表中的规则步长为2。

<HUAWEI> system-view
[HUAWEI] acl 3101
[HUAWEI-acl-adv-3101] step 2

time-range

命令功能

time-range命令用来配置一个时间段。

undo time-range命令用来删除一个时间段。

缺省情况下,设备没有配置时间段。

命令格式

time-range time-name { start-time to end-time { days } &<1-7> | from time1 date1 [ to time2 date2 ] }

undo time-range time-name [ start-time to end-time { days } &<1-7> | from time1 date1 [ to time2 date2 ] ]

参数说明

参数

参数说明

取值

time-name

指定时间段的名字。

字符串形式,区分大小写,不支持空格,必须以英文字母开头,长度范围是1~32。但为避免混淆,时间段的名字不可以使用英文单词all。

start-time

指定一个时间范围的开始时间。

格式为hh:mm。
  • hh表示小时。整数形式,取值范围是0~23。
  • mm表示分钟。整数形式,取值范围是0~59。

end-time

指定一个时间范围的结束时间。

格式为hh:mm。
  • hh表示小时。整数形式,取值范围是0~23。
  • mm表示分钟。整数形式,取值范围是0~59。

days

指定时间范围有效日期。

有如下输入格式:
  • 0~6数字的表示周日期,其中0表示星期天。此格式支持输入多个参数。
  • MonTueWedThuFriSatSun英文表示的周日期,分别对应星期一到星期日。此格式支持输入多个参数。
  • daily表示所有日子,包括一周共七天。
  • off-day表示休息日,包括星期六和星期天。
  • working-day表示工作日,包括从星期一到星期五的五天。

from time1 date1

表示从某一天某一时间开始。

time1的输入格式为hh:mm,含义如下:
  • hh表示小时。整数形式,取值范围是0~23。
  • mm表示分钟。整数形式,取值范围是0~59。
date1的输入格式为YYYY/MM/DD,含义如下:
  • YYYY表示年。整数形式,取值范围是1970~2099
  • MM表示月。整数形式,取值范围是1~12。
  • DD表示日。整数形式,取值范围是1~31。

to time2 date2

表示到某一天某一时间结束。

其中time2date2的输入格式与起始时间相同。结束时间必须大于起始时间。如果不配置结束时间,则结束时间为设备可表示最大时间。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

有些业务或功能需要定时启动,或在某周期内才启动,就可以利用time-range命令加以限制。在配置ACL或者ACL6的规则时,通过时间段名称引用这个时间范围。

时间段的构成有两种方法:
  • 相对时间段(周期时间段),是指由start-timeend-time参数描述的以一周为间隔的周期性时间,同时可以依靠days参数指明时间范围有效日期。
  • 绝对时间段,是指由fromto指定的特定的时间范围。可以通过绝对时间段指定的时间范围来限制相对时间段(周期时间段)在什么时间范围生效。
可以为多个时间段配置相同的time-name,共同来描述某个特殊时间。通过名字来引用一个时间段时,如果该时间段配置了多个生效时间,生效原则为:周期时间段之间取“或”,周期时间段和绝对时间段之间取“与”。例如:时间段“test”配置了三个生效时段:
  • 从2010年1月1日00:00起到2010年12月31日23:59生效,这是一个绝对时间段。
  • 在周一到周五每天8:00到18:00生效,这是一个周期时间段。
  • 在周六、周日下午14:00到18:00生效,这是一个周期时间段。
则“test”最终将在以下时间内生效:2010年1月1日起到2010年12月31日23:59内的周一到周五每天8:00到18:00以及周六和周日下午14:00到18:00。

注意事项

通过time-range命令配置的时间段存在不大于10秒的误差。

使用实例

# 配置时间段test,从2010年1月1日00:00起到2010年12月31日23:59生效。

<HUAWEI> system-view
[HUAWEI] time-range test from 0:0 2010/1/1 to 23:59 2010/12/31

# 配置时间段test,在周一到周五每天8:00到18:00生效。

<HUAWEI> system-view
[HUAWEI] time-range test 8:00 to 18:00 working-day

# 配置时间段test,在周六、周日下午14:00到18:00生效。

<HUAWEI> system-view
[HUAWEI] time-range test 14:00 to 18:00 off-day
相关主题
翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:10177

下载量:198

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页