1、H3C 华为 07ACL命令07-ACL命令目 录1 ACL配置命令. 1-11.1 公共配置命令. 1-11.1.1 display time-range. 1-11.1.2 time-range. 1-11.2 IPv4 ACL命令. 1-31.2.1 acl 1-31.2.2 acl accelerate. 1-51.2.3 acl copy. 1-51.2.4 acl name. 1-61.2.5 description (for IPv4) 1-71.2.6 display acl 1-81.2.7 display acl accelerate. 1-91.2.8 reset acl
2、 counter 1-101.2.9 rule (basic IPv4 ACL view) 1-111.2.10 rule (advanced IPv4 ACL view) 1-121.2.11 rule (Ethernet frame header ACL view) 1-161.2.12 rule comment (for IPv4) 1-171.2.13 step (for IPv4) 1-181 ACL配置命令1.1 公共配置命令1.1.1 display time-range【命令】display time-range time-range-name | all 【视图】任意视图【缺
3、省级别】1:监控级【参数】time-range-name:时间段的名称,为132个字符的字符串,不区分大小写,必须以英文字母az或AZ开头。为避免混淆,时间段的名字不可以使用英文单词all。all:所有配置的时间段。【描述】display time-range命令用来显示时间段的配置和状态,对于当前处在激活状态的时间段将显示active,对于非激活状态的时间段将显示inactive。【举例】# 显示时间段trname的配置和状态。 display time-range trnameCurrent time is 10:45:15 4/14/2005 ThursdayTime-range : t
4、rname ( Inactive )from 08:00 12/1/2005 to 23:59 12/31/2100表1-1 display time-range命令显示信息描述表字段描述Current time系统当前的时间Time-range时间段的配置信息:时间段的名字、时间段所处的状态(状态分为两种:激活和非激活)、时间段的时间范围1.1.2 time-range【命令】time-range time-range-name start-time to end-time days from time1 date1 to time2 date2 | from time1 date1 to
5、time2 date2 | to time2 date2 undo time-range time-range-name start-time to end-time days from time1 date1 to time2 date2 | from time1 date1 to time2 date2 | to time2 date2 【视图】系统视图【缺省级别】2:系统级【参数】time-range-name:时间段的名称,为132个字符的字符串,不区分大小写,必须以英文字母az或AZ开头。为避免混淆,时间段的名字不可以使用英文单词all。start-time:一个周期时间范围的开始时
6、间,格式为hh:mm,小时和分钟之间使用“:”分隔,取值范围为00:0023:59。end-time:一个周期时间范围的结束时间,格式为hh:mm,小时和分钟之间使用“:”分隔,取值范围为00:0024:00。结束时间必须大于开始时间。days:表示配置的时间范围在每周几有效,可以输入多个参数,但是这些参数所代表的时间不能重叠,可以输入的参数如下: 数字(06,分别代表一周中的其中一天,0代表星期日); 星期一到星期日(Mon,Tue,Wed,Thu,Fri,Sat,Sun); 工作日(working-day),代表从星期一到星期五; 休息日(off-day),代表星期六和星期日; 所有日子(
7、daily),代表一周七天。from time1 date1:表示从某一天某一时间开始。time1的输入格式为hh:mm,取值范围为00:0023:59。date1的输入格式为MM/DD/YYYY或YYYY/MM/DD。MM代表月,可以输入112之间的数字;DD代表日,可以输入的范围取决于用户选择的月份;YYYY代表年,可以输入19702100之间的数字。如果不配置起始时间,则开始时间为系统可表示的最早时间,即1970年1月1日0点0分。to time2 date2:表示到某一天某一时间结束。time2的输入格式为hh:mm,取值范围为00:0024:00。date2的输入格式与date1相同
8、。结束时间必须大于起始时间。如果不配置结束时间,则结束时间为系统可表示的最晚时间,即2100年12月31日24点0分。【描述】time-range命令用来定义一个时间段,描述一个时间范围。undo time-range命令用来删除一个时间段。对时间段的配置有如下两种情况: 配置周期时间段:采用每周的周几的形式; 配置绝对时间段:采用从起始时间到结束时间的形式。需要注意的是: 如果用户通过命令time-range time-range-name start-time to end-time days定义了一个周期时间段,则只有系统时钟在该周期时间段内,该时间段才进入激活状态。 如果用户通过命令t
9、ime-range time-range-name from time1 date1 to time2 date2 | to time2 date2 定义了一个绝对时间段,则只有系统时钟在该绝对时间段内,该时间段才进入激活状态。 如果用户通过命令time-range time-range-name start-time to end-time days from time1 date1 to time2 date2 | to time2 date2 同时定义了绝对时间段和周期时间段,则只有系统时钟同时满足绝对时间段和周期时间段的定义时,该时间段才进入激活状态。例如,一个时间段定义了绝对时间段:
10、从2004年1月1日0点0分到2004年12月31日23点59分,同时定义了周期时间段:每周三的12:00到14:00。该时间段只有在2004年内每周三的12:00到14:00才进入激活状态。 在同一个名字下可以配置多个时间段,来共同描述一个特殊时间,通过名字来引用该时间。在同一个名字下配置的多个周期时间段之间是“或”的关系,多个绝对时间段之间是“或”的关系,而周期时间段和绝对时间段之间是“与”的关系。 最多可以定义256个时间段。【举例】# 配置时间段test,从2003年1月1日0:0开始生效。 system-viewSysname time-range test from 0:0 200
11、3/1/1# 配置时间段test,在周一到周五每天8:00到18:00生效。 system-viewSysname time-range test 8:00 to 18:00 working-day# 配置时间段test,在休息日下午14:00到18:00生效。 system-viewSysname time-range test 14:00 to 18:00 off-day1.2 IPv4 ACL命令1.2.1 acl【命令】acl number acl-number name acl-name match-order auto | config undo acl all | name ac
12、l-name | number acl-number 【视图】系统视图【缺省级别】2:系统级【参数】number acl-number:指定ACL的序号。acl-number表示ACL的序号,取值范围如下: 20002999:基本IPv4 ACL; 30003999:高级IPv4 ACL; 40004999:二层ACL;name acl-name:指定ACL的名称。acl-name表示IPv4 ACL的名称,为132个字符的字符串,不区分大小写,必须以英文字母az或AZ开头。为避免混淆,IPv4 ACL的名称不可以使用英文单词all。match-order:指定规则的匹配顺序。 auto:按照
13、“深度优先”的顺序进行规则匹配; config:按照用户配置规则的先后顺序进行规则匹配。all:所有的IPv4 ACL。【描述】acl命令用来创建IPv4 ACL并进入相应IPv4 ACL视图。undo acl命令用来删除指定的IPv4 ACL。缺省情况下,IPv4 ACL的匹配顺序为config。用户也可以通过本命令修改一个已经存在的IPv4 ACL的匹配顺序,但必须在该IPv4 ACL中没有规则的时候修改,对已经有规则的IPv4 ACL是无法修改其匹配顺序的。需要注意的是: 用户只能在创建IPv4 ACL时指定名称,ACL创建后不允许对名称进行修改或者删除。如果在创建时没有命名,则创建后也
14、不能为其添加名称。 如果ACL序号所指定的IPv4 ACL不存在,则创建IPv4 ACL并进入IPv4 ACL视图。若命令中同时指定了名称,则指定的IPv4 ACL名称不能与已有IPv4 ACL名称重复。 如果ACL序号所指定的IPv4 ACL已经存在,则进入该IPv4 ACL视图。若命令中同时指定了名称,则该名称必须与序号所确定的IPv4 ACL名称保持一致。【举例】# 创建一个序号为2000的IPv4 ACL,未命名。 system-viewSysname acl number 2000Sysname-acl-basic-2000# 创建一个序号为2002、名称为flow的IPv4 ACL
15、。 system-viewSysname acl number 2002 name flowSysname-acl-basic-2002-flow# 使用ACL序号进入一个未命名的IPv4 ACL视图。 system-viewSysname acl number 2000Sysname-acl-basic-2000# 使用ACL序号进入一个已命名的IPv4 ACL视图。 system-viewSysname acl number 2002Sysname-acl-basic-2002-flow# 删除一个序号为2000的IPv4 ACL。 system-viewSysname undo acl
16、number 2000# 删除一个名称为flow的IPv4 ACL。 system-viewSysname undo acl name flow1.2.2 acl accelerate【命令】acl accelerate number acl-numberundo acl accelerate number acl-number【视图】系统视图【缺省级别】2:系统级【参数】number acl-number:指定ACL的序号。acl-number表示ACL的序号: 20002999:基本IPv4 ACL; 30003999:高级IPv4 ACL。【描述】acl accelerate命令用来使能
17、指定ACL的加速功能。undo acl accelerate命令用来去使能指定ACL的加速功能。需要注意的是: 仅在配置了大量ACL规则的情况下才有必要启用ACL的加速功能。 如果用户在使能ACL加速功能后又修改了ACL的配置,ACL加速功能仍按修改前的配置进行报文匹配,建议在ACL启用加速功能后不再对ACL的配置做修改,否则无法保证报文正确匹配。相关配置可参考命令display acl accelerate。【举例】# 使能ACL 3000的加速功能。 system-viewSysname acl accelerate number 30001.2.3 acl copy【命令】acl cop
18、y source-acl-number | name source-acl-name to dest-acl-number | name dest-acl-name 【视图】系统视图【缺省级别】2:系统级【参数】source-acl-number:源IPv4 ACL的序号,该IPv4 ACL必须存在。取值范围如下: 20002999:基本IPv4 ACL; 30003999:高级IPv4 ACL; 40004999:二层ACL;name source-acl-name:源IPv4 ACL的名称,为132个字符的字符串,不区分大小写,必须以英文字母az或AZ开头。为避免混淆,IPv4 ACL的名
19、称不可以使用英文单词all。dest-acl-number:目的IPv4 ACL的序号,该IPv4 ACL必须不存在。取值范围如下: 20002999:基本IPv4 ACL; 30003999:高级IPv4 ACL; 40004999:二层ACL; name dest-acl-name:目的IPv4 ACL的名称,为132个字符的字符串,不区分大小写,必须以英文字母az或AZ开头。为避免混淆,IPv4 ACL的名称不可以使用英文单词all。由于目的IPv4 ACL的名称没有对应的ACL序号,系统将自动为之分配一个与源IPv4 ACL序号属于同一类型的、可用的、最小的ACL序号。【描述】acl
20、copy命令用来拷贝生成一个新的同类型的IPv4 ACL。生成的新的IPv4 ACL的匹配顺序、包含的匹配规则、步长以及描述信息都和源IPv4 ACL相同。需要注意的是: 源IPv4 ACL和目的IPv4 ACL的类型要相同。 源IPv4 ACL的名称不会拷贝到目的IPv4 ACL。【举例】# 将ACL 2008拷贝生成ACL 2009。 system-viewSysname acl copy 2008 to 20091.2.4 acl name【命令】acl name acl-name【视图】系统视图【缺省级别】2:系统级【参数】acl-name:IPv4 ACL的名称,为132个字符的字符
21、串,不区分大小写,必须以英文字母az或AZ开头。为避免混淆,IPv4 ACL的名称不可以使用英文单词all。【描述】acl name命令用来进入指定名称的IPv4 ACL视图。需要注意的是,名称所指定的IPv4 ACL必须存在。【举例】# 使用ACL名称进入一个已命名的IPv4 ACL视图。 system-viewSysname acl name flowSysname-acl-basic-2002-flow1.2.5 description (for IPv4)【命令】description textundo description【视图】基本IPv4 ACL视图/高级IPv4 ACL视图/
22、二层ACL视图【缺省级别】2:系统级【参数】text:IPv4 ACL的描述信息,为1127个字符的字符串,区分大小写。【描述】description命令用来定义IPv4 ACL的描述信息,描述该IPv4 ACL的具体用途。undo description命令用来删除IPv4 ACL的描述信息。缺省情况下,IPv4 ACL没有描述信息。【举例】# 定义IPv4 ACL 2000的描述信息。 system-viewSysname acl number 2000Sysname-acl-basic-2000 description This acl is used in Ten-GigabitEth
23、ernet0/0.1# 定义IPv4 ACL 3000的描述信息。 system-viewSysname acl number 3000Sysname-acl-adv-3000 description This acl is used in Ten-GigabitEthernet0/0.1# 定义ACL 4000的描述信息。 system-viewSysname acl number 4000Sysname-acl-ethernetframe-4000 description This acl is Ten-GigabitEthernet0/0.11.2.6 display acl【命令】di
24、splay acl acl-number | all | name acl-name 【视图】任意视图【缺省级别】1:监控级【参数】acl-number:指定ACL的序号,取值范围如下: 20002999:基本IPv4 ACL; 30003999:高级IPv4 ACL; 40004999:二层ACL;all:指定所有的IPv4 ACL。name acl-name:指定ACL的名称。acl-name表示IPv4 ACL的名称,为132个字符的字符串,不区分大小写,必须以英文字母az或AZ开头。为避免混淆,IPv4 ACL的名称不可以使用英文单词all。【描述】display acl命令用来显示配
25、置的IPv4 ACL的信息。本命令会按照实际的匹配顺序显示IPv4 ACL的规则。【举例】# 显示IPv4 ACL 2001的内容。 display acl 2001Basic ACL 2001, named flow, 1 rule,ACLs step is 5rule 5 permit source 1.1.1.1 0 (5 times matched)rule 5 comment This rule is used in Ten-GigabitEthernet0/0.1表1-2 display acl命令显示信息描述表字段描述Basic ACL 2001该ACL属于基本IPv4 ACL,
26、序号为2001named flow该ACL的名称为flow1 rule该ACL包含1条规则ACLs step is 5该ACL的规则序号的步长值为55 times matched该规则匹配的次数为5,仅统计软件IPv4 ACL的匹配次数当匹配次数为0时,将不显示该字段Uncompleted该规则配置失败rule 5 comment This rule is used in Ten-GigabitEthernet0/0.1ACL规则5的描述信息为This rule is used in Ten-GigabitEthernet0/0.11.2.7 display acl accelerate【命令
27、】display acl accelerate acl-number | all 【视图】任意视图【缺省级别】1:监控级【参数】acl-number:指定ACL的序号,取值范围如下: 20002999:基本IPv4 ACL; 30003999:高级IPv4 ACL。all:指定所有的IPv4 ACL。【描述】display acl accelerate命令用来显示IPv4 ACL加速功能的相关信息。相关配置可参考命令acl accelerate。【举例】# 显示所有IPv4 ACL上加速功能的相关信息。 display acl accelerate allStatus: UTD - up to date, OOD - out of dateAccelerate: ACC - accelerated, UNACC - unacceleratedGroup Accelerate Status-2000 ACC UTD3000 ACC OOD3001 ACC UTD3002 UNACC UTD表1-3 display acl accelerate命令显
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 