H3C 华为 07ACL命令.docx

H3C 华为 07ACL命令.docx

《H3C 华为 07ACL命令.docx》由会员分享，可在线阅读，更多相关《H3C 华为 07ACL命令.docx（32页珍藏版）》请在冰豆网上搜索。

H3C华为07ACL命令

07-ACL命令

目 录

1ACL配置命令...1-1

1.1公共配置命令..1-1

1.1.1displaytime-range.1-1

1.1.2time-range.1-1

1.2IPv4ACL命令..1-3

1.2.1acl1-3

1.2.2aclaccelerate.1-5

1.2.3aclcopy.1-5

1.2.4aclname.1-6

1.2.5description（forIPv4）1-7

1.2.6displayacl1-8

1.2.7displayaclaccelerate.1-9

1.2.8resetaclcounter1-10

1.2.9rule（basicIPv4ACLview）1-11

1.2.10rule（advancedIPv4ACLview）1-12

1.2.11rule（EthernetframeheaderACLview）1-16

1.2.12rulecomment（forIPv4）1-17

1.2.13step（forIPv4）1-18

1ACL配置命令

1.1 公共配置命令

1.1.1 displaytime-range

【命令】

displaytime-range{time-range-name|all}

【视图】

任意视图

【缺省级别】

1：

监控级

【参数】

time-range-name：

时间段的名称，为1～32个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。

为避免混淆，时间段的名字不可以使用英文单词all。

all：

所有配置的时间段。

【描述】

displaytime-range命令用来显示时间段的配置和状态，对于当前处在激活状态的时间段将显示active，对于非激活状态的时间段将显示inactive。

【举例】

#显示时间段trname的配置和状态。

displaytime-rangetrname

Currenttimeis10:

45:

154/14/2005Thursday

Time-range:

trname（Inactive）

 from08:

0012/1/2005to23:

5912/31/2100

表1-1displaytime-range命令显示信息描述表

字段

描述

Currenttime

系统当前的时间

Time-range

时间段的配置信息：

时间段的名字、时间段所处的状态（状态分为两种：

激活和非激活）、时间段的时间范围

1.1.2 time-range

【命令】

time-rangetime-range-name{start-timetoend-timedays[fromtime1date1][totime2date2]|fromtime1date1[totime2date2]|totime2date2}

undotime-rangetime-range-name[start-timetoend-timedays[fromtime1date1][totime2date2]|fromtime1date1[totime2date2]|totime2date2]

【视图】

系统视图

【缺省级别】

2：

系统级

【参数】

time-range-name：

时间段的名称，为1～32个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。

为避免混淆，时间段的名字不可以使用英文单词all。

start-time：

一个周期时间范围的开始时间，格式为hh:

mm，小时和分钟之间使用“:

”分隔，取值范围为00:

00～23:

59。

end-time：

一个周期时间范围的结束时间，格式为hh:

mm，小时和分钟之间使用“:

”分隔，取值范围为00:

00～24:

00。

结束时间必须大于开始时间。

days：

表示配置的时间范围在每周几有效，可以输入多个参数，但是这些参数所代表的时间不能重叠，可以输入的参数如下：

●             数字（0～6，分别代表一周中的其中一天，0代表星期日）；

●             星期一到星期日（Mon，Tue，Wed，Thu，Fri，Sat，Sun）；

●             工作日（working-day），代表从星期一到星期五；

●             休息日（off-day），代表星期六和星期日；

●             所有日子（daily），代表一周七天。

fromtime1date1：

表示从某一天某一时间开始。

time1的输入格式为hh:

mm，取值范围为00:

00～23:

59。

date1的输入格式为MM/DD/YYYY或YYYY/MM/DD。

MM代表月，可以输入1～12之间的数字；DD代表日，可以输入的范围取决于用户选择的月份；YYYY代表年，可以输入1970～2100之间的数字。

如果不配置起始时间，则开始时间为系统可表示的最早时间，即1970年1月1日0点0分。

totime2date2：

表示到某一天某一时间结束。

time2的输入格式为hh:

mm，取值范围为00:

00～24:

00。

date2的输入格式与date1相同。

结束时间必须大于起始时间。

如果不配置结束时间，则结束时间为系统可表示的最晚时间，即2100年12月31日24点0分。

【描述】

time-range命令用来定义一个时间段，描述一个时间范围。

undotime-range命令用来删除一个时间段。

对时间段的配置有如下两种情况：

●             配置周期时间段：

采用每周的周几的形式；

●             配置绝对时间段：

采用从起始时间到结束时间的形式。

需要注意的是：

●             如果用户通过命令time-rangetime-range-namestart-timetoend-timedays定义了一个周期时间段，则只有系统时钟在该周期时间段内，该时间段才进入激活状态。

●             如果用户通过命令time-rangetime-range-name{fromtime1date1[totime2date2]|totime2date2}定义了一个绝对时间段，则只有系统时钟在该绝对时间段内，该时间段才进入激活状态。

●             如果用户通过命令time-rangetime-range-namestart-timetoend-timedays{fromtime1date1[totime2date2]|totime2date2}同时定义了绝对时间段和周期时间段，则只有系统时钟同时满足绝对时间段和周期时间段的定义时，该时间段才进入激活状态。

例如，一个时间段定义了绝对时间段：

从2004年1月1日0点0分到2004年12月31日23点59分，同时定义了周期时间段：

每周三的12:

00到14:

00。

该时间段只有在2004年内每周三的12:

00到14:

00才进入激活状态。

●             在同一个名字下可以配置多个时间段，来共同描述一个特殊时间，通过名字来引用该时间。

在同一个名字下配置的多个周期时间段之间是“或”的关系，多个绝对时间段之间是“或”的关系，而周期时间段和绝对时间段之间是“与”的关系。

●             最多可以定义256个时间段。

【举例】

#配置时间段test，从2003年1月1日0:

0开始生效。

system-view

[Sysname]time-rangetestfrom0:

02003/1/1

#配置时间段test，在周一到周五每天8:

00到18:

00生效。

system-view

[Sysname]time-rangetest8:

00to18:

00working-day

#配置时间段test，在休息日下午14:

00到18:

00生效。

system-view

[Sysname]time-rangetest14:

00to18:

00off-day

1.2 IPv4ACL命令

1.2.1 acl

【命令】

aclnumberacl-number[nameacl-name][match-order{auto|config}]

undoacl{all|nameacl-name|numberacl-number}

【视图】

系统视图

【缺省级别】

2：

系统级

【参数】

numberacl-number：

指定ACL的序号。

acl-number表示ACL的序号，取值范围如下：

●             2000～2999：

基本IPv4ACL；

●             3000～3999：

高级IPv4ACL；

●             4000～4999：

二层ACL；

nameacl-name：

指定ACL的名称。

acl-name表示IPv4ACL的名称，为1～32个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。

为避免混淆，IPv4ACL的名称不可以使用英文单词all。

match-order：

指定规则的匹配顺序。

●             auto：

按照“深度优先”的顺序进行规则匹配；

●             config：

按照用户配置规则的先后顺序进行规则匹配。

all：

所有的IPv4ACL。

【描述】

acl命令用来创建IPv4ACL并进入相应IPv4ACL视图。

undoacl命令用来删除指定的IPv4ACL。

缺省情况下，IPv4ACL的匹配顺序为config。

用户也可以通过本命令修改一个已经存在的IPv4ACL的匹配顺序，但必须在该IPv4ACL中没有规则的时候修改，对已经有规则的IPv4ACL是无法修改其匹配顺序的。

需要注意的是：

●             用户只能在创建IPv4ACL时指定名称，ACL创建后不允许对名称进行修改或者删除。

如果在创建时没有命名，则创建后也不能为其添加名称。

●             如果ACL序号所指定的IPv4ACL不存在，则创建IPv4ACL并进入IPv4ACL视图。

若命令中同时指定了名称，则指定的IPv4ACL名称不能与已有IPv4ACL名称重复。

●             如果ACL序号所指定的IPv4ACL已经存在，则进入该IPv4ACL视图。

若命令中同时指定了名称，则该名称必须与序号所确定的IPv4ACL名称保持一致。

【举例】

#创建一个序号为2000的IPv4ACL，未命名。

system-view

[Sysname]aclnumber2000

[Sysname-acl-basic-2000]

#创建一个序号为2002、名称为flow的IPv4ACL。

system-view

[Sysname]aclnumber2002nameflow

[Sysname-acl-basic-2002-flow]

#使用ACL序号进入一个未命名的IPv4ACL视图。

system-view

[Sysname]aclnumber2000

[Sysname-acl-basic-2000]

#使用ACL序号进入一个已命名的IPv4ACL视图。

system-view

[Sysname]aclnumber2002

[Sysname-acl-basic-2002-flow]

#删除一个序号为2000的IPv4ACL。

system-view

[Sysname]undoaclnumber2000

#删除一个名称为flow的IPv4ACL。

system-view

[Sysname]undoaclnameflow

1.2.2 aclaccelerate

【命令】

aclacceleratenumberacl-number

undoaclacceleratenumberacl-number

【视图】

系统视图

【缺省级别】

2：

系统级

【参数】

numberacl-number：

指定ACL的序号。

acl-number表示ACL的序号：

●             2000～2999：

基本IPv4ACL；

●             3000～3999：

高级IPv4ACL。

【描述】

aclaccelerate命令用来使能指定ACL的加速功能。

undoaclaccelerate命令用来去使能指定ACL的加速功能。

需要注意的是：

●             仅在配置了大量ACL规则的情况下才有必要启用ACL的加速功能。

●             如果用户在使能ACL加速功能后又修改了ACL的配置，ACL加速功能仍按修改前的配置进行报文匹配，建议在ACL启用加速功能后不再对ACL的配置做修改，否则无法保证报文正确匹配。

相关配置可参考命令displayaclaccelerate。

【举例】

#使能ACL3000的加速功能。

system-view

[Sysname]aclacceleratenumber3000

1.2.3 aclcopy

【命令】

aclcopy{source-acl-number|namesource-acl-name}to{dest-acl-number|namedest-acl-name}

【视图】

系统视图

【缺省级别】

2：

系统级

【参数】

source-acl-number：

源IPv4ACL的序号，该IPv4ACL必须存在。

取值范围如下：

●             2000～2999：

基本IPv4ACL；

●             3000～3999：

高级IPv4ACL；

●             4000～4999：

二层ACL；

namesource-acl-name：

源IPv4ACL的名称，为1～32个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。

为避免混淆，IPv4ACL的名称不可以使用英文单词all。

dest-acl-number：

目的IPv4ACL的序号，该IPv4ACL必须不存在。

取值范围如下：

●             2000～2999：

基本IPv4ACL；

●             3000～3999：

高级IPv4ACL；

●             4000～4999：

二层ACL；

●              

namedest-acl-name：

目的IPv4ACL的名称，为1～32个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。

为避免混淆，IPv4ACL的名称不可以使用英文单词all。

由于目的IPv4ACL的名称没有对应的ACL序号，系统将自动为之分配一个与源IPv4ACL序号属于同一类型的、可用的、最小的ACL序号。

【描述】

aclcopy命令用来拷贝生成一个新的同类型的IPv4ACL。

生成的新的IPv4ACL的匹配顺序、包含的匹配规则、步长以及描述信息都和源IPv4ACL相同。

需要注意的是：

●             源IPv4ACL和目的IPv4ACL的类型要相同。

●             源IPv4ACL的名称不会拷贝到目的IPv4ACL。

【举例】

#将ACL2008拷贝生成ACL2009。

system-view

[Sysname]aclcopy2008to2009

1.2.4 aclname

【命令】

aclnameacl-name

【视图】

系统视图

【缺省级别】

2：

系统级

【参数】

acl-name：

IPv4ACL的名称，为1～32个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。

为避免混淆，IPv4ACL的名称不可以使用英文单词all。

【描述】

aclname命令用来进入指定名称的IPv4ACL视图。

需要注意的是，名称所指定的IPv4ACL必须存在。

【举例】

#使用ACL名称进入一个已命名的IPv4ACL视图。

system-view

[Sysname]aclnameflow

[Sysname-acl-basic-2002-flow]

1.2.5 description（forIPv4）

【命令】

descriptiontext

undodescription

【视图】

基本IPv4ACL视图/高级IPv4ACL视图/二层ACL视图

【缺省级别】

2：

系统级

【参数】

text：

IPv4ACL的描述信息，为1～127个字符的字符串，区分大小写。

【描述】

description命令用来定义IPv4ACL的描述信息，描述该IPv4ACL的具体用途。

undodescription命令用来删除IPv4ACL的描述信息。

缺省情况下，IPv4ACL没有描述信息。

【举例】

#定义IPv4ACL2000的描述信息。

system-view

[Sysname]aclnumber2000

[Sysname-acl-basic-2000]descriptionThisaclisusedinTen-GigabitEthernet0/0.1

#定义IPv4ACL3000的描述信息。

system-view

[Sysname]aclnumber3000

[Sysname-acl-adv-3000]descriptionThisaclisusedinTen-GigabitEthernet0/0.1

#定义ACL4000的描述信息。

system-view

[Sysname]aclnumber4000

[Sysname-acl-ethernetframe-4000]descriptionThisaclisTen-GigabitEthernet0/0.1

1.2.6 displayacl

【命令】

displayacl{acl-number|all|nameacl-name}

【视图】

任意视图

【缺省级别】

1：

监控级

【参数】

acl-number：

指定ACL的序号，取值范围如下：

●             2000～2999：

基本IPv4ACL；

●             3000～3999：

高级IPv4ACL；

●             4000～4999：

二层ACL；

all：

指定所有的IPv4ACL。

nameacl-name：

指定ACL的名称。

acl-name表示IPv4ACL的名称，为1～32个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。

为避免混淆，IPv4ACL的名称不可以使用英文单词all。

【描述】

displayacl命令用来显示配置的IPv4ACL的信息。

本命令会按照实际的匹配顺序显示IPv4ACL的规则。

【举例】

#显示IPv4ACL2001的内容。

displayacl2001

BasicACL 2001,namedflow,1rule,

ACL'sstepis5

 rule5permitsource1.1.1.10（5timesmatched）

 rule5commentThisruleisusedinTen-GigabitEthernet0/0.1

表1-2displayacl命令显示信息描述表

字段

描述

BasicACL 2001

该ACL属于基本IPv4ACL，序号为2001

namedflow

该ACL的名称为flow

1rule

该ACL包含1条规则

ACL'sstepis5

该ACL的规则序号的步长值为5

5timesmatched

该规则匹配的次数为5，仅统计软件IPv4ACL的匹配次数

当匹配次数为0时，将不显示该字段

Uncompleted

该规则配置失败

rule5commentThisruleisusedinTen-GigabitEthernet0/0.1

ACL规则5的描述信息为ThisruleisusedinTen-GigabitEthernet0/0.1

1.2.7 displayaclaccelerate

【命令】

displayaclaccelerate{acl-number|all}

【视图】

任意视图

【缺省级别】

1：

监控级

【参数】

acl-number：

指定ACL的序号，取值范围如下：

●             2000～2999：

基本IPv4ACL；

●             3000～3999：

高级IPv4ACL。

all：

指定所有的IPv4ACL。

【描述】

displayaclaccelerate命令用来显示IPv4ACL加速功能的相关信息。

相关配置可参考命令aclaccelerate。

【举例】

#显示所有IPv4ACL上加速功能的相关信息。

displayaclaccelerateall

Status:

UTD--uptodate,   OOD--outofdate

Accelerate:

 ACC--accelerated,   UNACC--unaccelerated

Group           Accelerate           Status

-------------------------------------------------------

2000             ACC                   UTD

3000             ACC                   OOD

3001             ACC                   UTD

3002             UNACC                 UTD

表1-3displayaclaccelerate命令显