RULE规则.docx

RULE规则.docx

《RULE规则.docx》由会员分享，可在线阅读，更多相关《RULE规则.docx（60页珍藏版）》请在冰豆网上搜索。

RULE规则

RUL期则

一、ruledescription

命令功能

ruledescription命令用来配置某条规则的描述信息。

undoruledescription命令用来删除某条规则的描述信息

缺省情况下，各规则没有描述信息。

命令格式

rulerule-iddescription

undorulerule-iddescription

参数说明

参数

参数说明

取值

rule-id

指定ACL的规则ID。

整数形式，取值范围是

0〜94。

description

指定某rule-id规则的描述信息。

用户可以通过这个描述信息更详细地记录规则，便于识别规则。

字符串形式，不超过127个字符。

视图

基本ACL视图、高级ACL视图、二层ACL视图、UCL视图、基本ACL61图、

高级ACL6视图

缺省级别

2:

配置级

使用指南

使用场景

当前规则的标识方式主要是使用rule-id,一个数字很难很好地表达该规则的含义、用途等信息，不便于用户标记，一定长度字符串的标记方式就可以解决这个问题。

前置条件

在使用rulerule-iddescription进行描述信息配置的时候，必须保证该

rule-id的规则已经存在，否则系统提示错误信息：

Warning:

Theaclsubitemnumberdoesnotexist.

该rule-id的规则的配置可以在使用不同视图下的rule命令来配置，分别为：

rule（高级ACL6视图）、rule（高级ACL视图）、rule（某本ACL6见图）、rule

（基本ACL视图）、rule（二层ACL视图）、rule（UCL视图）。

配置影响

该命令是覆盖式命令，配置结果可以使用displayacl和displayaclipv6查

询。

使用实例

#假设ACL2001的规则5是允许源地址是的报文，配置增加规则5的描述信息system-view

[Quidway]acl2001

BasicACL2001,2rules

Acl'sstepis5rule2deny

rule5permitsource0

system-view

undorule5description

displayacl2001

[Quidway]acl2001

[Quidway-acl-basic-2001]

[Quidway-acl-basic-2001]

BasicACL2001,2rules

Acl'sstepis5

rule2deny

rule5permitsource0

:

、rule（UCL视图）

命令功能

rule命令用来在对应的UCLffl图下增加一个规则。

undorule命令用来删除一个规则。

命令格式

rule[rule-id]{deny|permit}[[l2-head|ipv4-head|ipv6-head|l4-head]{rule-stringrule-maskoffset}][time-rangetime-range-name]

undorulerule-id

参数说明

参数

参数说明

取值

rule-id

指定ACL的规则ID。

该参数只对匹配规则是

config的ACL后效。

如果指定ID的规则已经存在，则会在旧规则的基础上曾加新aE义的规则，相当于编辑一个已经存在的规则；如果指定ID的规

则/、存在，则使用指定的ID创

整数形式，取值范围为0〜94。

参数

参数说明

取值

建一个新规则，并且按照ID的大小决定规则插入的位置。

如果不指定ID,则增加一个新规

则时S9300动会为这个规则分配一个ID,ID按照大小排序。

系统自动分配ID时会留有一定的空间，具体的相邻ID范围由step命令指定。

deny

表示拒绝符合条件的数

据包。

-

permit

表示允许符合条件的数

据包。

-

l2-head|

ipv4-head|ipv6-head|l4-head

表示从指定位置开始偏

移，其中：

l2-head表示从

报文的二层头部

-

参数

参数说明

取值

开始偏移；

ipv4-head表示从IPv4头部开始偏移；

ipv6-head表示从IPv6头部开始偏移；

l4-head表示从四层头部开始偏移。

rule-string

表示用户自定义的规则

字符串。

16进制形式，字符长度必须是偶数，

最大支持4个字节，。

rule-mask

表示规则字符串的掩码。

16进制形式，字符长度必须是偶数，

最大支持4个字节，。

当用户定义的规则字符串对应的掩码为“1”时，ACL对该位进行匹配；当用户定义的规则字符串对应的掩码为“0”时，ACL/、对该位进行匹配。

offset

表小偏移值。

整数形式，单位是字节，。

根据偏移位置不同，offset取值范围不同。

取值范围为：

2〜98。

time-range

time-range-name

表示定义一个ACLM则生效的时间段。

字符串形式，长度范围是1~32。

参数

参数说明

取值

time-range-name表示

时间段的名称。

UCL视图

缺省级别

2:

配置级

使用指南

在S9300上使用rule命令定义用于流分类的匹配规则，不仅根据rule命令中的permit和deny参数对信息进行过滤操作，还需要结合流行为进行过滤。

rule（UCL视图）命令每次固定匹配4个字节的内容，当配置的rule-string

参数长度不满4个字节时，在前面补0凑足4个字节进行匹配。

使用命令undorule删除规则的时候，rule-id必须是一个已经存在的ACL规则编号，如果不知道规则的编号，可以使用命令displayacl来查看。

说明：

用户自定义ACL只能应用于上行策略。

使用实例

#在编号为5001的ACL中增加一条规则，从二层报文头开始匹配4个字节的字

符串，字符串内容为0180c20Qsystem-view

[Quidway]acl5001

[Quidway-acl-user-5001]rulepermitl2-head0X0180C2000xFFFFFFFF14

三、rule（二层ACL视图）

命令功能

rule命令用来在对应的二层ACL视图下增加一个规则。

undorule命令用来删除一个二层ACL规则。

命令格式

rule[rule-id]{permit|deny}[[ether-ii||snap]|l2-protocoltype-value[type-mask]|destination-macdest-mac-address

[dest-mac-mask]|source-macsource-mac-address[source-mac-mask]|vlan-idvlan-id[vlan-id-mask]|8021p|cvlan-idcvlan-id

[cvlan-id-mask]|cvlan-8021p|double-tag][time-range

time-range-name]

undorulerule-id

参数说明

参数

参数说明

取值

rule-id

指定ACL的规则ID。

该参数只对

整数形式，取值范围是

0〜94。

匹配规则是config的ACL有效。

如果指定ID的规则已经存在，则会在旧规则的基础上叠加新定义的规则，相当于编辑一个已经存在的规则；如果指定ID的规则不存在，则使用指定的ID创建一个新规则，并且按照ID的大小决定规则插入的位置。

如果不指定ID,则增加一个新规则时S9300自动会为这个规则分配一个ID,ID按照大小排序。

系统自动分配ID时会留有一定的空间，具体的相邻ID范围由step命令指定。

说明：

S9300自动生成的规则ID从步长值起始，缺省步长为5,即从5开始并按照5的倍数生成规则序号，序号分别为5、10、15、……

deny

表示拒绝符合条件的数据包。

参数

参数说明

取值

permit

表示允许符合条件的数据包。

-

ether-ii||snap

表示匹配报文的封装格式。

其中：

ether-ii表示Ethernet

II封装；

表示封装；

snap表示SNAP寸装；

-

l2-protocoltype-valuetype-mask

表示二层协议的类型，对应

Ethernet」英型中的Ethernettype和Ethernet_SNAP英型帧中的type-code域。

其中：

type-value表示二层协议类型值；

type-mask表示二层协议类型掩码。

十六进制表示，取值范围是0x0〜0xFFFE其中：

ARP勺协议类型

值为0x0806

IP的协议类型

值为0x0800

IPv6的协议类型值为0x86dd

destination-mac

dest-mac-address

dest-mac-mask

指定ACLM则的目的MAO址信

息。

其中：

dest-mac-address:

数据包

的目的MAO址。

dest-mac-mask:

目的MAC地址掩码。

dest-mac-address和dest-mac-mask格式均为H-H-H,其中H为1至4位的十六进制数。

这两个参数共同作用可以得到用户感兴趣

参数

参数说明

取值

的目的MAO址范围。

比如00e0-fc01-0101

ffff-ffff-ffff指定

了一个MAO址：

00e0-fc01-0101,而

00e0-fc01-0101

ffff-ffff-0000则指

定J一个MAOft址范

围：

00e0-fc01-0000〜

00e0-fc01-ffff。

source-mac

source-mac-address

source-mac-mask

指定ACLM则白^源MAO址信息。

其中：

source-mac-address:

表示

数据包的源MAO址。

source-mac-mask：

表示源

MAC!

址掩码。

source-mac-address和source-mac-mask的格式土匀为H-H-H,其中H为1至4位的十六进制数。

这两个参数共同作用可以得到用户感兴趣的源MAC!

址范围。

比

如00e0-fc01-0101

ffff-ffff-ffff指定

了一个MAO址：

00e0-fc01-0101,而

00e0-fc01-0101

ffff-ffff-0000则指

参数

参数说明

取值

定J一个MACM址范

围：

00e0-fc01-0000〜

00e0-fc01-ffff。

vlan-idvlan-id

vlan-id-mask

指定匹配报文的外