华为S3000系列命令手册之05QACL命令.docx
《华为S3000系列命令手册之05QACL命令.docx》由会员分享,可在线阅读,更多相关《华为S3000系列命令手册之05QACL命令.docx(58页珍藏版)》请在冰豆网上搜索。
华为S3000系列命令手册之05QACL命令
Tags:
华为s3000系列命令qacl命令
QuidwayS3000-EI系列以太网交换机命令手册
QoS/ACL目录
QuidwayS3000-EI系列以太网交换机命令手册
QoS/ACL第
1章ACL命令
第1章ACL命令
1.1ACL命令
1.1.1acl
【命令】
acl{numberacl-number|nameacl-name[advanced|basic|link|user]}
[match-order{config|auto}]
undoacl{numberacl-number|nameacl-name|all}
【视图】
系统视图
【参数】
numberacl-number:
访问列表序号,取值范围为
:
2000~2999:
表示基本访问控制列表。
3000~3999:
表示高级访问控制列表。
4000~4999:
表示二层访问控制列表。
5000~5999:
表示用户自定义访问控制列表。
nameacl-name:
字符串参数,必须以英文字母(即
[a-z,A-Z])开始,而且中间不
能有空格和引号;不区分大小写,不允许使用
all、any关键字。
advanced:
表示高级访问控制列表。
basic:
表示基本访问控制列表。
link:
表示二层访问控制列表。
user:
表示用户自定义访问控制列表。
config:
表示匹配访问列表的规则时按用户的配置顺序。
auto:
表示匹配访问列表的规则时按深度优先顺序。
1-1
QuidwayS3000-EI系列以太网交换机命令手册
QoS/ACL第1章ACL命令
all:
表示要删除所有的访问列表(包括数字标识的和名字标识的)。
【描述】
acl命令用来定义一条数字或名字标识的访问控制列表,并进入相应的访问控制列表
视图,undoacl命令用来删除一条数字或名字标识的访问控制列表的所有子项,或
者删除全部访问控制列表。
缺省情况下,按照config顺序匹配访问控制列表。
acl命令可以创建一个以“acl-name”命名的访问控制列表,此访问控制列表的类
型由“advanced”、“basic”、“link”、“user”关键字决定。
无论数字型还
是名字型,进入相应的访问列表视图之后,可以用rule命令增加此命名访问列表的
子项(用quit命令退出访问列表视图)。
可以使用match-order指定匹配顺序是按照用户配置的顺序还是按照深度优先顺序
(优先匹配范围小的规则),如果不指定则缺省为用户配置顺序。
用户一旦指定一
条访问列表的匹配顺序后,就不能再更改,除非把该访问列表的子项全部删除,再
重新指定其匹配顺序。
注意,访问控制列表的匹配顺序特性只在该访问控制列表被
软件引用用作数据过滤和分类时有效。
由于芯片不同,各款交换机的子规则硬件匹配顺序不同。
具体描述见下表。
表1-1交换机
ACL子规则的硬件匹配顺序
交换机
ACL子规则的硬件匹配顺序
S3000-EI同一个ACL配置了多个子规则时,硬件匹配顺序是后下发的子规则将会先匹配。
相关配置可参考命令rule。
【举例】
#下面的命令指定2000号访问列表的规则匹配顺序为深度优先顺序:
[Quidway]aclnumber2000match-orderauto
1.1.2displayaclconfig
【命令】
displayaclconfig{all|acl-number|acl-name}
【视图】
任意视图
1-2
QuidwayS3000-EI系列以太网交换机命令手册
QoS/ACL第
1章ACL命令
【参数】
all:
表示要显示所有的访问列表(包括数字标识的和名字标识的)。
acl-number:
要显示的访问列表序号,2000到
5999之间的一个数值。
acl-name:
要显示的访问列表名字,字符串参数,必须以英文字母(即
[a-z,A-Z])
开始,而且中间不能有空格和引号。
【描述】
displayaclconfig命令用来显示访问控制列表的详细配置信息,包括每一个子规则
及其序号和该语句匹配的数据包的个数和字节数。
本命令显示信息中的匹配次数是软件匹配次数,即需要经过交换机
CPU处理的访问
控制列表匹配次数。
数据包转发过程中的硬件匹配次数可以使用命令
traffic-statistic统计。
【举例】
#下面的命令显示所有访问列表的内容。
displayaclconfigall
1.1.3displayaclrunning-packet-filterall
【命令】
displayaclrunning-packet-filterall
【视图】
任意视图
【参数】
无
【描述】
displayaclrunning-packet-filterall命令用来显示访问控制列表的下发应用信息。
显示内容包括访问控制列表名、子项名和下发状态。
【举例】
#下面的命令显示所有接口的访问列表下发应用信息。
1-3
QuidwayS3000-EI系列以太网交换机命令手册
QoS/ACL第1章ACL命令
1-4
displayaclrunning-packet-filterall
aclstd1rule0running
aclstd1rule1running
表1-2显示信息描述表
域名解释
aclstd1rule0running
表示访问控制列表std1的子规则0正在运行。
std1是访问控
制列表的名字,rule0表示子规则0。
下面的显示信息类似,不再一一介绍。
1.1.4displaytime-range
【命令】
displaytime-range[all|name]
【视图】
任意视图
【参数】
all:
显示所有的时间段。
name:
为时间段的名称,以[a-z,A-Z]为起始字母的字符串,取值范围为1~32个字
符。
【描述】
displaytime-range命令用来显示当前时间段的配置和状态,对于当前处在激活状
态的时间段将显示active,对于非激活状态显示inactive。
注意,由于系统更新访问控制列表状态有一个延时,大约1分钟,而display
time-range会采用当前时间对其进行判断,所以有可能出现displaytime-range
看到一个时间段已经激活,而引用它的访问控制列表没有激活。
这种情况是正常的。
相关配置可参考命令time-range。
..
【举例】
#显示所有时间段。
displaytime-rangeall
Currenttimeis14:
36:
364-3-2003Thursday
QuidwayS3000-EI系列以太网交换机命令手册
QoS/ACL第1章ACL命令
Time-range:
hhy(Inactive)
from08:
302-5-2005to18:
002-19-2005
Time-range:
hhy1(Inactive)
from08:
302-5-2003to18:
002-19-2003
表1-3显示信息描述表
域名解释
Currenttimeis14:
36:
364-3-2003
Thursday系统的当前时间。
Time-range:
hhy(Inactive)
from08:
302-5-2005to18:
00
2-19-2005
时间范围hhy,Inactive表示该时间范围目前处于非活动
状态(active则反之),时间范围为从2005年2月5日
8点30分到2005年2月19日18点。
下面的显示信息类似,不再一一介绍。
#显示名字为tm1的时间段。
displaytime-rangetm1
Currenttimeis14:
37:
314-3-2003Thursday
Time-range:
tm1(Inactive)
from08:
302-5-2005to18:
002-19-2005
表1-4显示信息描述表
域名解释
Currenttimeis14:
36:
364-3-2003
Thursday系统的当前时间。
Time-range:
tm1(Inactive)
from08:
302-5-2005to18:
00
2-19-2005
时间范围hhy,Inactive表示该时间范围目前处于非活动
状态(active则反之),时间范围为从2005年2月5日
8点30分到2005年2月19日18点。
下面的显示信息类似,不再一一介绍。
1.1.5packet-filter
【命令】
packet-filter{user-group{acl-number|acl-name}[rulerule]|{ip-group
{acl-number|acl-name}[rulerule]|link-group{acl-number|acl-name}[rule
rule]}*}
1-5
QuidwayS3000-EI系列以太网交换机命令手册
QoS/ACL第
1章ACL命令
undopacket-filter{user-group{acl-number|acl-name}[rulerule]|{ip-group
{acl-number|acl-name}[rulerule]|link-group{acl-number|acl-name}[rule
rule]}*}
【视图】
系统视图
【参数】
user-group{acl-number|acl-name}:
表示激活用户自定义的访问控制列表。
acl-number:
访问控制列表序号,
5000到
5999之间的一个数值。
acl-name:
访问
控制列表名字,字符串参数,必须以英文字母(即[a~z,A~Z])开头,而且中间
不能有空格和引号。
ip-group{acl-number|acl-name}:
表示激活
IP访问控制列表,包括基本、高级
访问控制列表。
acl-number:
访问控制列表序号,
2000到
3999之间的一个数值。
acl-name:
访问控制列表名字,字符串参数,必须以英文字母(即
[a~z,A~Z])
开头,而且中间不能有空格和引号。
link-group{acl-number|acl-name}:
表示激活二层访问控制列表。
acl-number:
访问控制列表序号,4000到
4999之间的一个数值。
acl-name:
访问控制列表名字,
字符串参数,必须以英文字母(即
[a~z,A~Z])开头,而且中间不能有空格和引
号。
rulerule:
可选参数,指定激活访问列表中的哪个子项,取值范围为
0~127,如果
不指定则表示要激活访问列表中的所有子项。
【描述】
packet-filter命令用来激活访问控制列表,undopacket-filter命令用来取消激活。
packet-filter命令支持同时激活二层和
IP访问控制列表,但是要求各访问控制列表
的动作不互相冲突,如果动作冲突(例如一个是
permit另一个是
deny)则不能同时
激活这些访问控制列表。
【举例】
#下面的命令同时激活
2000号访问控制列表和
4000号访问控制列表。
[Quidway]packet-filterip-group2000link-group4000rule0
1.1.6resetaclcounter
【命令】
1-6
QuidwayS3000-EI系列以太网交换机命令手册
QoS/ACL第1章ACL命令
resetaclcounter{all|acl-number|acl-name}
【视图】
用户视图
【参数】
all:
表示所有的访问列表(包括数字标识的和名字标识的)。
acl-number:
访问列表序号,2000到3999之间的一个数值。
acl-name:
访问列表名字,字符串参数,必须以英文字母(即[a-z,A-Z])开始,而
且中间不能有空格和引号;不区分大小写,不允许使用all、any关键字。
【描述】
resetaclcounter命令用来清除对软件处理的报文过滤和流分类的访问控制列表的
统计信息。
本命令把访问控制列表被匹配的次数信息清零。
表1-5统计信息的
reset命令的比较
命令功能
resetaclcounter
清除访问控制列表的统计信息。
本命令适用于对软件处理的报
文过滤和流分类的访问控制列表。
ACL被软件引用的情况包
括:
路由策略引用ACL、对登录用户进行控制时引用ACL等。
在这种情况下,ACL序号的取值范围为2000~3999。
resettraffic-statistic
清除流量统计信息。
本命令适用于直接下发到交换机的硬件中
用于数据转发过程中的过滤和流分类的访问控制列表。
一般情
况下,本命令用于将命令traffic-statistic统计的信息清除。
【举例】
#下面的命令清除2000号访问列表的统计信息。
resetaclcounter2000
1.1.7rule
【命令】
1.定义或删除基本访问控制列表的子规则
rule[rule-id]{permit|deny}[source{source-addrwildcard|any}|fragment
|time-rangename]*
1-7
QuidwayS3000-EI系列以太网交换机命令手册
QoS/ACL第
1章ACL命令
undorulerule-id[source|fragment|time-range]*
2.定义或删除高级访问控制列表的子规则
rule[rule-id]{permit|deny}protocol[source{source-addrwildcard|any}]
[destination{dest-addrwildcard|any}][source-portoperatorport1[port2]]
[destination-portoperatorport1[port2]][icmp-typetypecode][established]
[[precedenceprecedence|tostos]*|dscpdscp][fragment][time-range
name]
undorulerule-id[destination|destination-port|dscp|fragment|icmp-type
|precedence|source|source-port|time-range|tos]*
3.定义或删除二层访问控制列表的子规则
rule[rule-id]{permit|deny}[protocol][cosvlan-pri][ingress
{{{source-vlan-id|source-mac-addrsource-mac-wildcard}|interface
{interface-name|interface-typeinterface-num}}*|any}][egress
{{dest-mac-addrdest-mac-wildcard|interface{interface-name|interface-type
interface-num}}*|any}][time-rangename]
undorulerule-id
4.定义或删除用户自定义访问控制列表的子规则
rule[rule-id]{permit|deny}{rule-stringrule-maskoffset}&<1-8>[time-range
name]
undorulerule-id
【视图】
相应的访问控制列表视图
【参数】
rule-id:
指定访问控制列表的子项,取值范围为
0~127。
permit:
表明允许满足条件的报文通过。
deny:
表明禁止满足条件的报文通过。
time-rangename:
时间段的名称,可选参数,表示该规则在此时间段内有效。
1-8
QuidwayS3000-EI系列以太网交换机命令手册
QoS/ACL第1章ACL命令
..说明:
以下的参数是数据包携带的各种属性参数,访问控制列表就是根据这些属性参数的
取值制定规则。
..下面是基本访问控制列表特有的参数:
source{source-addrwildcard|any}:
source-addrwildcard表示源IP地址和源地
址通配位,点分十进制表示;any表示所有源地址。
本参数适用于定义基本访问控
制列表。
fragment:
表示此条规则仅对分片报文有效。
如果不选择本参数则表示本规则不以
报文是否分片作为依据对报文进行过滤。
本参数适用于定义基本访问控制列表。
..下面是高级访问控制列表特有的参数:
protocol:
本参数用来指定协议类型。
协议类型可以使用名字表示,也可以使用数字
表示。
在使用名字表示时,该参数可以取值icmp、igmp、tcp、udp、ip、gre、ospf、
ipinip等。
如果本参数取值为IP,表示所有的IP协议。
在使用数字表示时,数字的
取值范围为1~255。
本参数适用于定义高级访问控制列表。
source{source-addrwildcard|any}:
source-addrwildcard表示源IP地址和源地
址通配位,点分十进制表示;any表示所有源地址。
本参数适用于定义高级访问控
制列表。
destination{dest-addrwildcard|any}:
dest-addrwildcard表示目的IP地址和目
的地址通配位,点分十进制表示;any表示所有目的地址。
本参数适用于定义高级
访问控制列表。
source-portoperatorport1[port2]:
表示报文使用的源TCP或者UDP端口号。
其中operator表示端口操作符,包括eq(等于)、gt(大于)、lt(小于)、neq(不等于)、
range(在某个范围内)。
注:
本参数在protocol参数取值为TCP或UDP时才可用。
port1[port2]:
报文使用的TCP或者UDP源端口号,用字符或数字表示。
数字的
取值范围为0~65535,字符取值请参看端口号助记符表。
只有操作符为range时才
会同时出现port1port2两个参数,其它操作符只需port1。
本参数适用于定义高级
访问控制列表。
destination-portoperatorport1[port2]:
表示报文使用的目的TCP或者UDP端
口号。
具体描述同source-portoperatorport1[port2]。
1-9
QuidwayS3000-EI系列以太网交换机命令手册
QoS/ACL第1章ACL命令
..说明:
S3000-EI系列交换机不支持定义了如下
TCP/UDP端口操作符的规则下发到硬件:
gt(大于)、lt(小于)、neq(不等于)、range(在某个范围内
)。
icmp-typetypecode:
当protocol参数取值icmp时出现。
typecode指定一ICMP
报文。
type代表ICMP报文类型,用字符或数字表示,数字取值范围为0~255;code
代表ICMP码,在协议为icmp且没有使用字符表示ICMP报文类型时出现,取值范
围是0~255。
本参数适用于定义高级访问控制列表。
established:
表示此条规则仅对TCP建立连接的第一个SYN报文有效,可选参数,
当protocol参数取值tcp时出现。
本参数适用于定义高级访问控制列表。
precedenceprecedence:
可选参数,表示IP优先级,取值为0~7的数值或名字。
tostos:
可选参数,数据包可以根据TOS值来分类,取值为0~15的数值或名字。
本参数适用于定义高级访问控制列表。
dscpdscp:
可选参数,数据包可以根据DSCP值来分类,取值为0~63的数值或
名字。
本参数适用于定义高级访问控制列表。
fragment:
表示此条规则仅对分片报文有效。
如果不选择本参数则表示本规则不以
报文是否分片作为依据对报文进行过滤。
本参数适用于定义高级访问控制列表。
..下面是二层访问控制列表特有的参数:
protocol:
为以太网帧承载的协议类型,可选参数,取值范围为ip、arp、rarp、
pppoe-control和pppoe-data。
cosvlan-pri:
802.1p优先级,取值范围为0~7。
ingress{{{source-vlan-id|source-mac-addrsource-mac-wildcard}|interface
{interface-name|interface-typeinterface-num}}*|any}:
数据包的源信息,
[source-vlan-id]表示的是数据包的源VLAN,[source-mac-addr
source-mac-wildcard]表示的是数据包的源MAC地址和MAC地址的通配符,这两
个参数共同作用可以得到用户感兴趣的源MAC地址的范围,interface
{interface-name
升级会员 