交换机C策略Word文件下载.docx

交换机C策略Word文件下载.docx

《交换机C策略Word文件下载.docx》由会员分享，可在线阅读，更多相关《交换机C策略Word文件下载.docx（12页珍藏版）》请在冰豆网上搜索。

[SWA-Vlan-interface209]packet-filter3309outbound//将acl3309应用到虚拟端口vlan209的outbound方向

ACL命令

【命令】

aclnumberacl-number[nameacl-name][match-order{auto|config}]

undoacl{all|nameacl-name|numberacl-number}

【视图】

系统视图

【缺省级别】

2：

系统级

【参数】

numberacl-number：

指定ACL的编号。

acl-number表示ACL的编号，取值范围及其代表的ACL类型如下：

● 

2000～2999：

表示IPv4基本ACL；

3000～3999：

表示IPv4高级ACL；

4000～4999：

表示二层ACL；

nameacl-name：

指定ACL的名称。

acl-name表示ACL的名称，为1～32个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。

为避免混淆，ACL的名称不允许使用英文单词all。

match-order{auto|config}：

指定规则的匹配顺序。

auto表示按照自动排序（即“深度优先”原则）的顺序进行规则匹配，config表示按照配置顺序进行规则匹配。

缺省情况下，规则的匹配顺序为配置顺序。

all：

指定所有的IPv4ACL及二层ACL。

【描述】

acl命令用来创建一个IPv4ACL或二层ACL，并进入相应的ACL视图。

undoacl命令用来删除IPv4ACL或二层ACL。

缺省情况下，不存在任何ACL。

需要注意的是：

使用acl命令时，如果指定编号的ACL不存在，则创建该ACL并进入其视图，否则直接进入其视图。

用户只能在创建ACL时为其指定名称，ACL一旦创建，便不允许对其名称进行修改或删除。

当ACL内不存在任何规则时，用户可以使用本命令对该ACL的规则匹配顺序进行修改，否则不允许进行修改。

高级ACL策略中的rule命令

rule[rule-id]{deny|permit}protocol[{{ackack-value|finfin-value|pshpsh-value|rstrst-value|synsyn-value|urgurg-value}*|established}|counting|destination{dest-addrdest-wildcard|any}|destination-portoperatorport1[port2]|dscpdscp|fragment|icmp-type{icmp-typeicmp-code|icmp-message}|logging|precedenceprecedence|reflective|source{sour-addrsour-wildcard|any}|source-portoperatorport1[port2]|time-rangetime-range-name|tostos|vpn-instancevpn-instance-name]*

undorulerule-id[{{ack|fin|psh|rst|syn|urg}*|established}|counting|destination|destination-port|dscp|fragment|icmp-type|logging|precedence|reflective|source|source-port|time-range|tos|vpn-instance]*

IPv4高级ACL视图

rule-id：

指定IPv4高级ACL规则的编号，取值范围为0～65534。

若未指定本参数，系统将按照步长从0开始，自动分配一个大于现有最大编号的最小编号。

譬如现有规则的最大编号为28，步长为5，那么自动分配的新编号将是30。

deny：

表示拒绝符合条件的报文。

permit：

表示允许符合条件的报文。

protocol：

表示IPv4承载的协议类型，可输入的形式如下：

数字：

取值范围为0～255；

名称（括号内为对应的数字）：

可选取gre（47）、icmp

（1）、igmp

（2）、ip、ipinip（4）、ospf（89）、tcp（6）或udp（17）。

protocol之后可配置如表1-6所示的规则信息参数。

表1-6规则信息参数

参数

类别

作用

说明

source{sour-addrsour-wildcard|any}

源地址信息

指定ACL规则的源地址信息

sour-addrsour-wildcard：

源IP地址及其通配符掩码（为0表示主机地址）

any：

任意源IP地址

destination{dest-addrdest-wildcard|any}

目的地址信息

指定ACL规则的目的地址信息

dest-addrdest-wildcard：

目的IP地址及其通配符掩码（为0表示主机地址）

任意目的IP地址

counting

统计

对规则匹配情况进行统计

该参数用于统计基于硬件应用的ACL中某条规则的匹配次数

precedenceprecedence

报文优先级

IP优先级

precedence：

用数字表示时，取值范围为0～7；

用名称表示时，为routine、priority、immediate、flash、flash-override、critical、internet或network，分别对应于数字0～7

tostos

ToS优先级

tos：

用数字表示时，取值范围为0～15；

用名称表示时，可选取max-reliability

（2）、max-throughput（4）、min-delay（8）、min-monetary-cost

（1）或normal（0）

dscpdscp

DSCP优先级

dscp：

用数字表示时，取值范围为0～63；

用名称表示时，可选取af11（10）、af12（12）、af13（14）、af21（18）、af22（20）、af23（22）、af31（26）、af32（28）、af33（30）、af41（34）、af42（36）、af43（38）、cs1（8）、cs2（16）、cs3（24）、cs4（32）、cs5（40）、cs6（48）、cs7（56）、default（0）或ef（46）

logging

日志操作

对符合条件的报文可记录日志信息

-

reflective

自反标志

设置规则具有自反属性

目前不支持该参数

vpn-instancevpn-instance-name

VPN实例

对指定VPN实例中的报文有效

vpn-instance-name：

VPN实例的名称，为1～31个字符的字符串，区分大小写

若未指定本参数，则表示该规则仅对非VPN报文有效

fragment

分片信息

在SA和EA单板上应用的fragment参数匹配非尾片分片报文，在SC、EB和SD单板上应用的fragment参数匹配非首片分片报文

若未指定本参数，则表示该规则对非分片报文和分片报文均有效

time-rangetime-range-name

时间段信息

指定规则生效的时间段

time-range-name：

时间段的名称，为1～32个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头

如果指定参数dscp的同时还指定了参数precedence或tos，那么对参数precedence和tos所作的配置将不会生效。

当protocol为tcp（6）或udp（17）时，用户还可配置如表1-7所示的规则信息参数。

表1-7TCP/UDP特有的规则信息参数

source-portoperatorport1[port2]

源端口

定义TCP/UDP报文的源端口信息

operator：

操作符，取值可以为lt（小于）、gt（大于）、eq（等于）、neq（不等于）或者range（在范围内，包括边界值）。

只有range操作符需要两个端口号做操作数，其它操作符只需要一个端口号做操作数

port1/port2：

TCP或UDP的端口号，用数字表示时，取值范围为0～65535；

用名称表示时，TCP端口号可选取chargen（19）、bgp（179）、cmd（514）、daytime（13）、discard（9）、domain（53）、echo（7）、exec（512）、finger（79）、ftp（21）、ftp-data（20）、gopher（70）、hostname（101）、irc（194）、klogin（543）、kshell（544）、login（513）、lpd（515）、nntp（119）、pop2（109）、pop3（110）、smtp（25）、sunrpc（111）、tacacs（49）、talk（517）、telnet（23）、time（37）、uucp（540）、whois（43）或www（80）；

UDP端口号可选取biff（512）、bootpc（68）、bootps（67）、discard（9）、dns（53）、dnsix（90）、echo（7）、mobilip-ag（434）、mobilip-mn（435）、nameserver（42）、netbios-dgm（138）、netbios-ns（137）、netbios-ssn（139）、ntp（123）、rip（520）、snmp（161）、snmptrap（162）、sunrpc（111）、syslog（514）、tacacs-ds（65）、talk（517）、tftp（69）、time（37）、who（513）或xdmcp（177）

destination-portoperatorport1[port2]

目的端口

定义TCP/UDP报文的目的端口信息

{ackack-value|finfin-value|pshpsh-value|rstrst-value|synsyn-value|urgurg-value}*

TCP报文标识

定义对携带不同标志位的TCP报文的处理规则

TCP协议特有的参数。

定义规则匹配携带不同标志位的TCP报文，各value值的取值范围都为0~1。

如果在一条规则中设置了多个TCP标志位的匹配值，则这些匹配条件之间的关系为“与”

established

定义TCP报文的ACK和RST标志位匹配规则

该参数用于定义TCP报文中ACK或RST标志位为1的报文

当protocol为icmp

（1）时，用户还可配置如表1-8所示的规则信息参数。

表1-8ICMP特有的规则信息参数

icmp-type{icmp-typeicmp-code|icmp-message}

ICMP报文的消息类型和消息码信息

指定规则的ICMP报文的消息类型和消息码信息

icmp-type：

ICMP消息类型，取值范围为0～255

icmp-code：

ICMP消息码，取值范围为0～255

icmp-message：

ICMP消息名称。

可输入的ICMP消息名称，及其与消息类型和消息码的对应关系如表1-9所示

表1-9ICMP消息名称与消息类型和消息码的对应关系

ICMP消息名称

ICMP消息类型

ICMP消息码

echo

8

echo-reply

fragmentneed-DFset

3

4

host-redirect

5

1

host-tos-redirect

host-unreachable

information-reply

16

information-request

15

net-redirect

net-tos-redirect

2

net-unreachable

parameter-problem

12

port-unreachable

protocol-unreachable

reassembly-timeout

11

source-quench

source-route-failed

timestamp-reply

14

timestamp-request

13

ttl-exceeded

rule命令用来为IPv4高级ACL创建一条规则。

undorule命令用来为IPv4高级ACL删除一条规则或删除规则中的部分内容。

缺省情况下，IPv4高级ACL内不存在任何规则。

使用rule命令时，如果指定编号的规则不存在，则创建一条新的规则；

如果指定编号的规则已存在，则对旧规则进行修改，即在其原有内容的基础上叠加新的内容。

新创建或修改的规则不能与已有规则的内容完全相同，否则将提示出错，并导致该操作失败。

当ACL的规则匹配顺序为配置顺序时，允许修改该ACL内的任意一条已有规则；

当ACL的规则匹配顺序为自动排序时，不允许修改该ACL内的已有规则，否则将提示出错。

使用undorule命令时，如果没有指定任何可选参数，则删除整条规则；

如果指定了可选参数，则只删除该参数所对应的内容。

使用undorule命令时必须指定一个已存在规则的编号，可以使用displayaclall命令来查看所有已存在的规则。

当IPv4高级ACL用于QoS策略的流分类或用于报文过滤功能时：

不支持配置vpn-instance参数

不支持配置操作符operator取值为neq

当ACL用于流分类时，在规则中配置的logging和counting参数不会生效

相关配置可参考命令acl、displayacl和step。

【举例】

#为IPv4高级ACL3000创建规则如下：

允许129.9.0.0/16网段内的主机与202.38.160.0/24网段内主机的WWW端口（端口号为80）建立连接，并对符合此条件的行为记录日志。

Sysname>

system-view

[Sysname]aclnumber3000

[Sysname-acl-adv-3000]rulepermittcpsource129.9.0.00.0.255.255destination202.38.160.00.0.0.255destination-porteq80logging

#为IPv4高级ACL3001创建规则如下：

允许IP报文通过，但拒绝发往192.168.1.0/24网段的ICMP报文通过。

[Sysname]aclnumber3001

[Sysname-acl-adv-3001]rulepermitip

[Sysname-acl-adv-3001]ruledenyicmpdestination192.168.1.00.0.0.255

#为IPv4高级ACL3002创建规则如下：

在出、入双方向上都允许建立FTP连接并传输FTP数据。

[Sysname]aclnumber3002

[Sysname-acl-adv-3002]rulepermittcpsource-porteqftp

[Sysname-acl-adv-3002]rulepermittcpsource-porteqftp-data

[Sysname-acl-adv-3002]rulepermittcpdestination-porteqftp

[Sysname-acl-adv-3002]rulepermittcpdestination-porteqftp-data

#为IPv4高级ACL3003创建规则如下：

在出、入双方向上都允许SNMP报文和SNMPTrap报文通过。

[Sysname]aclnumber3003

[Sysname-acl-adv-3003]rulepermitudpsource-porteqsnmp

[Sysname-acl-adv-3003]rulepermitudpsource-porteqsnmptrap

[Sysname-acl-adv-3003]rulepermitudpdestination-porteqsnmp

[Sysname-acl-adv-3003]rulepermitudpdestination-porteqsnmptrap