RULE规则Word下载.docx
《RULE规则Word下载.docx》由会员分享,可在线阅读,更多相关《RULE规则Word下载.docx(48页珍藏版)》请在冰豆网上搜索。
∙l4-head表示从四层头部开始偏移。
rule-string
表示用户自定义的规则字符串。
16进制形式,字符长度必须是偶数,最大支持4个字节。
rule-mask
表示规则字符串的掩码。
当用户定义的规则字符串对应的掩码为“1”时,ACL对该位进行匹配;
当用户定义的规则字符串对应的掩码为“0”时,ACL不对该位进行匹配。
offset
表示偏移值。
整数形式,单位是字节。
根据偏移位置不同,offset取值范围不同。
取值范围为:
2~98。
time-rangetime-range-name
表示定义一个ACL规则生效的时间段。
time-range-name表示时间段的名称。
字符串形式,长度范围是1~32。
视图
UCL视图
缺省级别
2:
配置级
使用指南
在S9300上使用rule命令定义用于流分类的匹配规则,不仅根据rule命令中的permit和deny参数对信息进行过滤操作,还需要结合流行为进行过滤。
rule(UCL视图)命令每次固定匹配4个字节的内容,当配置的rule-string参数长度不满4个字节时,在前面补0凑足4个字节进行匹配。
使用命令undorule删除规则的时候,rule-id必须是一个已经存在的ACL规则编号,如果不知道规则的编号,可以使用命令displayacl来查看。
说明:
用户自定义ACL只能应用于上行策略。
使用实例
#在编号为5001的ACL中增加一条规则,从二层报文头开始匹配4个字节的字符串,字符串内容为0180C200。
<
Quidway>
system-view
[Quidway]acl5001
[Quidway-acl-user-5001]rulepermitl2-head0x0180C2000xFFFFFFFF14
三、rule(二层ACL视图)
命令功能
rule命令用来在对应的二层ACL视图下增加一个规则。
undorule命令用来删除一个二层ACL规则。
命令格式
rule[rule-id]{permit|deny}[[ether-ii|802.3|snap]|l2-protocoltype-value[type-mask]|destination-macdest-mac-address[dest-mac-mask]|source-macsource-mac-address[source-mac-mask]|vlan-idvlan-id[vlan-id-mask]|8021p802.1p-value|cvlan-idcvlan-id[cvlan-id-mask]|cvlan-8021p802.1p-value|double-tag]*[time-rangetime-range-name]
undorulerule-id
参数说明
参数
取值
rule-id
指定ACL的规则ID。
该参数只对匹配规则是config的ACL有效。
∙如果指定ID的规则已经存在,则会在旧规则的基础上叠加新定义的规则,相当于编辑一个已经存在的规则;
如果指定ID的规则不存在,则使用指定的ID创建一个新规则,并且按照ID的大小决定规则插入的位置。
∙如果不指定ID,则增加一个新规则时S9300自动会为这个规则分配一个ID,ID按照大小排序。
系统自动分配ID时会留有一定的空间,具体的相邻ID范围由step命令指定。
S9300自动生成的规则ID从步长值起始,缺省步长为5,即从5开始并按照5的倍数生成规则序号,序号分别为5、10、15、……
整数形式,取值范围是0~4294967294。
ether-ii|802.3|snap
表示匹配报文的封装格式。
其中:
∙ether-ii表示EthernetII封装;
∙802.3表示802.3封装;
∙snap表示SNAP封装;
l2-protocoltype-valuetype-mask
表示二层协议的类型,对应Ethernet_II类型中的Ethernettype和Ethernet_SNAP类型帧中的type-code域。
∙type-value表示二层协议类型值;
∙type-mask表示二层协议类型掩码。
十六进制表示,取值范围是0x0~0xFFFF。
∙ARP的协议类型值为0x0806
∙IP的协议类型值为0x0800
∙IPv6的协议类型值为0x86dd
destination-macdest-mac-addressdest-mac-mask
指定ACL规则的目的MAC地址信息。
∙dest-mac-address:
数据包的目的MAC地址。
∙dest-mac-mask:
目的MAC地址掩码。
dest-mac-address和dest-mac-mask格式均为H-H-H,其中H为1至4位的十六进制数。
这两个参数共同作用可以得到用户感兴趣的目的MAC地址范围。
比如00e0-fc01-0101ffff-ffff-ffff指定了一个MAC地址:
00e0-fc01-0101,而00e0-fc01-0101ffff-ffff-0000则指定了一个MAC地址范围:
00e0-fc01-0000~00e0-fc01-ffff。
source-macsource-mac-addresssource-mac-mask
指定ACL规则的源MAC地址信息。
∙source-mac-address:
表示数据包的源MAC地址。
∙source-mac-mask:
表示源MAC地址掩码。
source-mac-address和source-mac-mask的格式均为H-H-H,其中H为1至4位的十六进制数。
这两个参数共同作用可以得到用户感兴趣的源MAC地址范围。
vlan-idvlan-idvlan-id-mask
指定匹配报文的外层VLAN的编号,其中:
∙vlan-id表示外层VLANID的值;
∙vlan-id-mask表示外层VLANID值的掩码。
vlan-id为整数形式,取值范围是1~4094。
vlan-id-mask为十六进制形式,取值范围是0~0xFFF,缺省值为0xFFF。
8021p802.1p-value
指定匹配报文的外层VLAN的802.1p优先级。
整数形式,取值范围是0~7。
cvlan-idcvlan-idcvlan-id-mask
指定匹配报文的内层VLAN的编号。
cvlan-8021p802.1p-value
指定匹配报文的内层VLAN的802.1p优先级。
double-tag
指定匹配带双层tag的报文。
time-range-name为字符串形式,长度范围是1~32。
二层ACL视图
当ACL被QoS功能引用时,如果ACL规则中定义的动作为deny,则匹配此ACL的报文就被丢弃。
如果ACL规则中定义的动作为permit,则S9300对匹配此ACL的报文采取的动作由QoS中流行为定义的动作决定。
#在ACL4001中增加一条规则,匹配目的MAC地址是0-0-1,源MAC地址是0-0-2,二层协议类型值为0x0800的报文。
[Quidway]acl4001
[Quidway-acl-L2-4001]rulepermitdestination-mac0-0-1source-mac0-0-2l2-protocol0x0800
四、rule(高级ACL6视图)
rule命令用来增加或修改高级ACL6规则。
undorule命令用来删除ACL6规则。
∙当参数protocol为TCP时,高级ACL6的命令格式为:
rule[rule-id]{deny|permit}{tcp|protocol-number}[destination{destination-ipv6-addressprefix-length|destination-ipv6-address/prefix-length|postfixpostfix-length|any}|destination-port{eq|gt|lt|range}port|dscpdscp|fragment|logging|precedenceprecedence|source{source-ipv6-addressprefix-length|source-ipv6-address/prefix-length|source-ipv6-addresspostfixpostfix-length|any}|source-port{eq|gt|lt|range}port|time-rangetime-name|tostos]*
∙当参数protocol为UDP时,高级ACL6的命令格式为:
rule[rule-id]{deny|permit}{udp|protocol-number}[destination{destination-ipv6-addressprefix-length|destination-ipv6-address/prefix-length|postfixpostfix-length|any}|destination-port{eq|gt|lt|range}port|dscpdscp|fragment|logging|precedenceprecedence