系列以太网交换机-命令手册-v124acl

1、目 录ACL目 录. 1-1ACL 命令1-11.1.1 acl1-1description1-2display acl1-3display drv-module qacl qacl_resource1-4display packet-filter1-6display time-range1-7packet-filter1-8packet-filter vlan1-10rule（基本 ACL）1-11rule（高级 ACL）1-13rule（二层 ACL）1-19rule（用户自定义 ACL）1-21rule comment.1-25time-range1-26iACL 说明：ACL 命令新增

2、“在 VLAN 上应用 ACL”特性，请参见1.1.8 packet-filter vlan。ACL 命令新增“为二层 ACL 配置内层 VLAN 信息”特性，请参见1.1.11 rule（二层 ACL）。1.1 ACL 命令1.1.1 acl【命令】acl number acl-number match-order auto | config undo acl all | number acl-number 【视图】系统视图【参数】all：所有的 ACL（Acs Control List，控制列表）。number acl-number：ACL 序号，取值范围为：20002999：表示基本 A

3、CL。30003999：表示高级 ACL（3998 与 3999 是系统为集群管理预留的用户无法配置）。40004999：表示二层 ACL。50005999：表示用户自定义 ACL。match-order：指定对该 ACL 规则的匹配顺序，匹配顺序如下：，auto：按照“深度优先”的顺序进行规则匹配。config：按照用户配置规则的先后顺序进行规则匹配。关于 auto 和 config 这两种匹配顺序的详细介绍请参见“ACL 操作”中的描述。需要注意的是，在定义二层 ACL 及用户自定义 ACL 时没有 match-order 参数，二层 ACL 及用户自定义 ACL 的匹配顺序为 confi

4、g。1-1 ACL【描述】acl 命令用来定义 ACL，并进入相应的 ACL 视图。undo acl 命令用来删除指定的ACL，或者删除全部 ACL。缺省情况下，ACL 规则的匹配顺序为 config。用户也可以通过本命令修改一个已经存在的 ACL 的匹配顺序，但必须在 ACL 中没有规则的时候修改，对已经包含规则的 ACL 是无法修改其匹配顺序的。进入相应的 ACL 视图之后，可以用 rule 命令增加此 ACL 的规则。相关配置可参考命令 rule。【举例】# 定义基本 ACL 2000，并配置其匹配顺序为“深度优先”。 s y s t em- v i ewSy s t em Vi ew:

5、 r e t u r n t o Us e r Vi ew wit h C t r l +Z . Sy s n ame ac l numb e r 2000 ma t c h - o r d e r a u t o# 为基本 ACL 2000 创建三条源 IP 地址范围（反掩码中“0”位的数量）不同的规则。 Sy s n ame - ac l - b a s i c - 2000 Sy s n ame - ac l - b a s i c - 2000 Sy s n ame - ac l - b a s i c - 2000 r u l er u l e r u l e123p e rmit

6、p e rmit p e rmit s ou r ces ou r ce s ou r ce1 . 1 .1 . 12 . 2 .2 . 23 . 3 .3 . 30 . 255 . 255 . 2550 . 0 . 255 . 2550 . 0 . 0 . 255# 使用 display acl 命令查看基本 ACL 2000 的配置信息。 Sy s n ame - ac l - b a s i c - 2000 d i s p l a y ac l 2000Ba s i c Ac l s r u l er u l er u l eACLs t2000 , 3 r u l e s , ma

7、t c h - o r d e r i s a u t os 1321p e rmit p e rmit p e rmit s ou r ces ou r ce s ou r ce3 . 3 . 3 . 02 . 2 . 0 . 01 . 0 . 0 . 00 . 0 . 0 . 2550 . 0 . 255 . 2550 . 255 . 255 . 255以上信息表明，交换机按照“深度优先”的原则对基本 ACL 2000 内的规则进行排序，即按照规则反掩码中“0”位的数量由多到少的顺序排列。1.1.2 description【命令】description textundo descripti

8、on【视图】基本 ACL 视图/高级 ACL 视图/二层 ACL 视图/用户自定义 ACL 视图1-2ACL 【参数】text：ACL 的描述信息，取值范围为 1127 个字符，可以包含空格和特殊字符。【描述】description 命令用来定义 ACL 的描述信息，描述该 ACL 的具体用途、应用于哪些端口等信息，方便用户对 ACL 进行区分和识别。undo description 命令用来删除 ACL 的描述信息。缺省情况下，ACL 没有描述信息。【举例】# 定义高级ACL 3000 的描述信息为“This acl is used for filtering all HTTP packet

9、s”。 s y s t em- v i ewSy s t em Vi ew: r e t u r n t o Us e r Vi ew wit h C t r l +Z . Sy s n ame ac l numb e r 3000 Sy s n ame - ac l - a dv - 3000 d e s c r i p ti on Th i s ac l i s u s ed f o rp ac k e t sf ilt e r i nga ll HTTP# 使用 display acl 命令查看高级 ACL 3000 的配置信息。 Sy s n ame - ac l - a dv - 3

10、000 d i s p l a y ac l 3000Adv a n ce d ACL3000 , 0 r u l eTh i s ac l i s u s e d f o r f ilt e r i ng a ll HTTP p ac k e t sAc l s s ts 1# 删除高级 ACL 3000 的描述信息。 Sy s n ame - ac l - a dv - 3000 undo d e s c r i p ti on1.1.3 display acl【命令】display acl all | acl-number 【视图】任意视图【参数】all：所有的 ACL。acl-numb

11、er：指定 ACL 的序号，取值范围为 20005999。【描述】display acl 命令用来显示 ACL 的配置信息。1-3 ACL需要注意的是，如果用户在配置 ACL 的时候指定了 match-order 参数，则在使用display acl 命令时，显示的是交换机按照 auto（深度优先）或 config（配置顺序）对 ACL 中的规则进行排序后的结果。【举例】# 显示基本 ACL 2000 的配置信息。 d i s p l a y ac l 2000Ba s i c ACL2000 , 3 r u l e s , ma t c h - o r d e r i s a u t oTh

12、 i s ac l i s u s e d i n e t h 1 / 0 / 1Ac l s r u l e r u l er u l es t 321s 1p e rmit p e rmit p e rmit s ou r ces ou r ce s ou r ce3 . 3 . 3 . 02 . 2 . 0 . 01 . 0 . 0 . 00 . 0 . 0 . 2550 . 0 . 255 . 2550 . 255 . 255 . 255表1-1 display acl 命令显示信息描述表1.1.4 display drv-module qacl qacl_resource【命令】di

13、splay drv-module qacl qacl_resource【视图】任意视图【参数】无【描述】display drv-module qacl qacl_resource 命令用来显示设备的 ACL 资源使用情况。1-4字段描述Basic ACL 2000该 ACL 属于基本 ACL，序号为 20003 rules该基本 ACL 包含 3 条规则match-order is auto该基本 ACL 的匹配顺序为“深度优先”，如果不显示此字段，则表示匹配顺序为 config（配置顺序）This acl is used in Gigabiteth 1/0/1该基本 ACL 的描述信息Acl

14、s sts 1该基本 ACL 的规则序号的步长值为 1rule 3 permit source 55该基本 ACL 包含的规则的详细信息ACL 用户可以根据该命令的输出信息来了解 ACL 规则消耗的资源数目，确认 ACL 无法下发的原因是否与资源耗尽有关。【举例】# 显示当前交换机的 ACL 资源使用情况。d i s p l a yb l o c kd r v -modu l e q ac l q ac l _ r e s ou r ceu s e d -ma s ku s e d -r u l es p a r e -ma s ksp a r e -r u l eUNI T0 :071102

15、71104811067110871101079110UNI T1 :07110271104711067110871101079110表1-2 display drv-module qacl qacl_resource 命令显示信息描述表1-5字段描述UNIT从设备前面板左侧开始，每 6 列（12 个端口）为一个UNIT，从 0 开始block每个端口为一个 block，从 0 开始used-mask已经使用的 MASK 资源数目used-rule已经使用的 RULE 资源数目 ACL# 在端口 GigabitEthernet 1/0/1 上下发基本 ACL 2001。 s y s t em-

16、v i ewSy s t em Vi ew: r e t u r n t o Us e r Vi ew wit h C t r l +Z . Sy s n ame e r f ace Gi g a b it E t h e r n e t 1 / 0 / 1 Sy s n ame -Gi g a b it E t h e r n e t 1 / 0 / 1 p ac k e t -f ilt e r i nbound i p - g r oup 2001App l y i ngAc l2001r u l e0f a il e d !Rea s on :Re s ou r ceun a v a

17、il a b l e !(Gi g a b it E t h e r n e t 1 / 0 / 1 )以上显示信息表明，因为端口 GigabitEthernet 1/0/1 上剩余的可用 RULE 数量为 0，所以规则下发失败。1.1.5 display packet-filter【命令】display packet-filter erfaceerface-typeerface-number | unitid unit-id 【视图】任意视图【参数】erfaceerface-typeerface-number：端口类型和端口。unitid unit-id：交换机的 Unit ID。如果交换机

18、没有形成 Fabric，则 unit-id 参数的取值只能为 1，表示显示当前交换机上所有端口的滤的应用信息；如果交换机已经形成 Fabric，则 unit-id 参数的取值范围为 18，表示显示指定 Unit 上所有端口的滤的应用信息。【描述】display packet-filter 命令用来显示滤的应用信息。【举例】# 交换机没有形成 Fabric，显示当前交换机所有端口上滤的应用信息。 d i s p l a y p ac k e t -f ilt e r un iti d 1 Gi g a b it E t h e r n e t 1 / 0 / 1I nbound :Ac l 20

19、00 r u l e 0r unn i ng1-6字段描述spare-mask剩余的 MASK 资源数目spare-rule剩余的 RULE 资源数目ACL 表1-3 display packet-filter 命令显示信息描述表1.1.6 display time-range【命令】display time-range all | time-name 【视图】任意视图【参数】all：所有的时间段。time-name：为时间段的名称，以英文字母 az 或 AZ 为起始字母的字符串，取值范围为 132 个字符。【描述】display time-range 命令用来显示时间段的配置和状态，当前处于

20、激活状态的时间段将显示 Active，处于非激活状态的时间段将显示 Inactive。相关配置可参考命令 time-range。【举例】# 显示所有的时间段。 d i s p l a y time -r a ng e a ll Cu rr e n t time i s 17 : 01 : 34 Ma y / 21 / 2007 Mond a yT ime -r a ng e12 : 00 t o: t r ( Ac ti v e )18 : 00 wo r k i ng - d a yT ime -r a ng e: t r 1 ( I n ac ti v e )F r om 12 : 00

21、J a n / 1 / 2008 t o 12 : 00 J un / 1 / 20081-7字段描述GigabitEthernet1/0/1应用滤的端口Inbound过滤方向为入方向（Outbound 为出方向）Acl 2000 rule 0过滤规则为基本ACL 2000 的 0 号规则running规则的下发状态，包含以下两种：running：表示激活not running：表示没有激活，通常是由于此规则的时间段不生效所致 ACL表1-4 display time-range 命令显示信息描述表1.1.7 packet-filter【命令】packet-filter inbound acl

22、-ruleundo packet-filter inbound acl-rule【视图】以太网端口视图【参数】inbound：表示对端口接收的数据包进行过滤。acl-rule：应用的 ACL 规则，可以是多种 ACL 的组合。组合方式如表 1-5所示。表1-5 组合应用 ACL 的方式1-8组合方式acl-rule 的形式单独应用一个IP 型 ACL（基本 ACL 或高级ACL）中的所有规则ip-group acl-number单独应用一个IP 型 ACL 中的一条规则ip-group acl-number rule rule-id单独应用一个二层 ACL 中的所有规则link-group a

23、cl-number单独应用一个二层 ACL 中的一条规则link-group acl-number rule rule-id单独应用一个用户自定义ACL 中的所有规则user-group acl-number单独应用一个用户自定义ACL 中的一条规则user-group acl-number rule rule-id同时应用IP 型 ACL 中一条规则和二层型ACL 的一条规则ip-group acl-number rule rule-id link-groupacl-number rule rule-id字段描述Current time is 17:01:34 May/21/2007 Mon

24、day系统的当前时间Time-range时间段的名称Active时间段的状态，包含以下两种：Active：表示此时间段处于激活状态，已经生效Inactive：表示此时间段处于非激活状态，没有生效12:00 to 18:00 working-day周期时间段，范围为工作日的 12 点到 18 点From 12:00 Jan/1/2008 to 12:00 Jun/1/2008绝对时间段，范围为 2008 年 1 月 1 日 12 点到 2008 年6 月 1 日 12 点ACL ip-group acl-number：表示基本或高级 ACL 序号，取值范围为 20003999。link-grou

25、p acl-number：表示二层 ACL 序号，取值范围为 40004999。user-group acl-number：表示用户自定义 ACL 序号，取值范围为 50005999。rule rule-id：ACL 规则ACL 中的所有规则。，取值范围为 065534。如果不指定规则则表示【描述】packet-filter 命令用来在端口上应用 ACL，对数据包进行过滤。undo packet-filter命令用来取消 ACL 在端口上的应用。【举例】# 在端口 GigabitEthernet 1/0/1 上应用基本 ACL 2000 中的所有规则，对端口接收的数据包进行过滤。假设基本 AC

26、L 2000 已经创建并且相关规则已经存在。 s y s t em- v i ewSy s t em Vi ew: r e t u r n t o Us e r Vi ew wit h C t r l +Z . Sy s n ame e r f ace Gi g a b it E t h e r n e t 1 / 0 / 1 Sy s n ame -Gi g a b it E t h e r n e t 1 / 0 / 1 p ac k e t -f ilt e r i nbound i p - g r oup 2000 Sy s n ame -Gi g a b it E t h e r n

27、 e t 1 / 0 / 1 qu it # 在端口 GigabitEthernet 1/0/2 上应用二层 ACL 4000 中的规则 1，对端口接收的数据包进行过滤。假设二层 ACL 4000 已经创建并且相关规则已经存在。 Sy s n ame e r f ace Gi g a b it E t h e r n e t 1 / 0 / 2 Sy s n ame -Gi g a b it E t h e r n e t 1 / 0 / 2 p ac k e t -f ilt e r i nbound li nk - g r oup 4000 r u le 1 Sy s n ame -Gi

28、g a b it E t h e r n e t 1 / 0 / 2 qu it # 在端口 GigabitEthernet 1/0/3 上应用用户自定义 ACL 5000 中的规则 2，对端口接收的数据包进行过滤。假设用户自定义 ACL 5000 已经创建并且相关规则已经存在。 Sy s n ame e r f ace Gi g a b it E t h e r n e t 1 / 0 / 3 Sy s n ame -Gi g a b it E t h e r n e t 1 / 0 / 3 p ac k e t -f ilt e r i nbound u s e r- g r oup 50

29、00 r u le 2 Sy s n ame -Gi g a b it E t h e r n e t 1 / 0 / 3 qu it # 在端口 GigabitEthernet 1/0/4 上应用高级 ACL 3000 中的规则 1 和二层 ACL 4000中的规则 2，对端口接收的数据包进行过滤。假设高级 ACL 3000 和二层 ACL 4000已经创建并且相关规则已经存在。 Sy s n ame e r f ace Gi g a b it E t h e r n e t 1 / 0 / 4 Sy s n ame -Gi g a b it E t h e r n e t 1 / 0 /

30、4 p ac k e t -f ilt e ri nbound i p - g r oup 3000 r u l e 1li nk - g r oup 4000 r u l e 2完成上述配置后，用户可以使用 display packet-filter 命令来查看息。滤的应用信1-9 ACL1.1.8 packet-filter vlan【命令】packet-filter vlan vlan-id inbound acl-ruleundo packet-filter vlan vlan-id inbound acl-rule【视图】系统视图【参数】vlan-id：VLAN。inbound：表示

31、对 VLAN 内所有端口接收的数据包进行过滤。acl-rule：应用的 ACL，可以是多种 ACL 的组合。组合方式说明如表 1-5所示。【描述】packet-filter vlan 命令用来在 VLAN 上应用 ACL，对 VLAN 中的所有端口上的数据包进行过滤。undo packet-filter vlan 命令用来取消 ACL 在VLAN 上的应用。当用户需要在某一个 VLAN 内的所有端口上应用同一条 ACL 时，可以使用packet-filter vlan 命令来批量下发 ACL，减少配置的工作量。【举例】# 在 VLAN 10 上应用基本 ACL 2000 中的所有规则，对 VL

32、AN 10 中的所有端口接收的数据包进行过滤。假设 VLAN 10 和基本 ACL 2000 已经创建并且相关规则已经存在。 system-viewSystem View: return to User View with Ctrl+Z. Sysname packet-filter vlan 10 inbound ip-group 2000# 在 VLAN 20 上应用二层 ACL 4000 中的规则 1，对 VLAN 20 中的所有端口接收的数据包进行过滤。假设 VLAN 20 和二层 ACL 4000 已经创建并且相关规则已经存在。Sysname packet-filter vlan 20

33、 inbound link-group 4000 rule 1# 在 VLAN 30 上应用用户自定义 ACL 5000 中的规则 2，对 VLAN 30 中的所有端口接收的数据包进行过滤。假设 VLAN 30 和用户自定义 ACL 5000 已经创建并且相关规则已经存在。Sysname packet-filter vlan 30 inbound user-group 5000 rule 2# 在 VLAN 40 上应用高级 ACL 3000 中的规则 1 和二层 ACL 4000 中的规则 2，对 VLAN 40 中的所有端口接收的数据包进行过滤。假设 VLAN 40、高级 ACL 3000

34、 和二层 ACL 4000 已经创建并且相关规则已经存在。Sysname packet-filter vlan 40 inbound ip-group 3000 rule 1 link-group 40001-10ACL rule 2完成上述配置后，用户可以使用 display packet-filter 命令来查看息。滤的应用信1.1.9 rule（基本 ACL）【命令】rule rule-id deny | permit rule-string undo rule rule-id fragment | source | time-range *【视图】基本 ACL 视图【参数】1. rul

35、e 命令的参数rule-id：ACL 规则，取值范围为 065534。deny：表示丢弃符合条件的数据包。 permit：表示允许符合条件的数据包通过。rule-string：ACL 规则信息，具体参数说明如表 1-6所示。表1-6 基本 ACL 规则信息1-11参数类别作用说明fragment分片信息定义规则仅对非尾片分片报文有效-source sour-addr sour-wildcard | any 源地址信息定义基本 ACL 规则的源地址信息sour-addr 为指定源IP 地址，采用点分十进制表示；sour-wildcard 为目标子网掩码的反码，采用点分十进制表示； sour-wi

36、ldcard 可以为 0，代表主机地址any 代表任意源IP 地址time-rangetime-name时间段信息定义规则生效的时间段time-name：指定规则生效的时间段名称，为 132 个字符的字符串，不区分大小写，必须以英文字母az 或 AZ 开头，为避免 ，时间段的名字不可以使用英文单词 all ACL 说明：sour-wildcard 为目标子网掩码的反码，采用点分十进制表示。例如，如果用户想指定子网掩码 ，则需要输入 55。2. undo rule 命令的参数rule-id：ACL 规则，必须是一个已经存在的 ACL 规则。如果用户不知道ACL 规则的，可以使用 display

37、acl 命令来查看。fragment：删除对应的 ACL 规则的对非尾片分片报文有效的设置。source：删除time-range：删除对应的 ACL 规则的源 IP 地址的设置。对应的 ACL 规则的时间段的设置。【描述】rule 命令用来定义 ACL 规则。undo rule 命令用来删除 ACL 规则或者规则中的某些属性信息。在删除一条 ACL 规则时，如果不指定其他参数，交换机将这个 ACL 规则完全删除；否则交换机只删除该 ACL 规则中相应的属性信息。需要注意的是：当基本 ACL 的匹配顺序为 config 时，用户可以修改该 ACL 中的任何一条已经存在的规则，在修改 ACL 中

38、的某条规则时，该规则中没有修改到的部分仍旧保持原来的状态；当基本 ACL 的匹配顺序为 auto 时，用户不能修改该 ACL中的任何一条已经存在的规则，否则系统会提示错误信息。在创建一条 ACL 规则的时候，用户可以不指定规则的，交换机将自动为这个规则分配一个：如果此 ACL 中没有规则，为 0；如果此 ACL 中为现有规则的最大+1；如果此 ACL 中现有规则的最大编已有规则，号为 65534，则系统会提示错误信息，此时用户必须指定规则的成功。才能创建新创建或修改后的规则不能和已经存在的规则相同，否则会导致创建或修改不成功，系统会提示该规则已经存在。当基本 ACL 的匹配顺序为 auto 时

39、，新创建的规则将按照“深度优先”的原则到已有的规则中，但是所有规则对应的不会改变。【举例】# 创建基本 ACL 2000，定义规则 1，源 IP 地址为 的报文通过。 s y s t em- v i ew1-12ACL System View: return to User View with Ctrl+Z.Sysname acl number 2000Sysname-acl-basic-2000 rule 1 denySysname-acl-basic-2000 quitsource 0# 创建基本 ACL 2001，定义规则 1，非尾片分片报文通过。Sysname acl number 2

40、001Sysname-acl-basic-2001 rule 1 deny Sysname-acl-basic-2001 quit# 创建基本 ACL 2002，定义规则 1，范围内通过。fragment所有报文在时间段 trname 所表示的时间Sysname acl number 2002Sysname-acl-basic-2002 rule 1 denytime-range trname完成上述配置后，用户可以使用 display acl 命令查看 ACL 的配置信息。1.1.10 rule（高级 ACL）【命令】rule rule-id deny | permit protocol r

41、ule-string undo rule rule-id destination | destination-port | dscp | fragment | icmp-type| precedence | source | source-port | time-range | tos *【视图】高级 ACL 视图【参数】1. rule 命令的参数说明rule-id：ACL 规则，取值范围为 065534。deny：表示丢弃符合条件的数据包。 permit：表示允许符合条件的数据包通过。protocol：IP 承载的协议类型。用数字表示时，取值范围为 1255；用名字表示时，可以选取 gre（

42、47）、icmp（1）、igmp（2）、ip、ipinip（4）、ospf（89）、 tcp（6）、udp（17）。rule-string：ACL 规则信息，具体参数说明如表 1-7所示。1-13 ACL表1-7 高级 ACL 规则信息 说明：sour-wildcard 与 dest-wildcard 为目标子网掩码的反码，点分十进制表示。例如，如果用户想指定子网掩码 ，则需要输入 55。如果选择 dscp 关键字，除了直接输入数值 063 外，用户也可输入如表 1-8所示的关键字。表1-8 DSCP 值说明1-14关键字DSCP 值（十进制）DSCP 值（二进制）af1110001010af

43、1212001100af1314001110af2118010010af2220010100参数类别作用说明source sour-addr sour-wildcard | any 源地址信息定义 ACL 规则的源地址信息sour-addr sour-wildcard 用来确定数据包的源地址，点分十进制表示；sour-wildcard 可以为 0，表示主机地址any 代表任意源地址destination dest-addr dest-wildcard | any 目的地址信息定义 ACL 规则的目的地址信息dest-addr dest-wildcard 用来确 定数据包的目的地址，点分十进制表

44、示；dest-wildcard 可以为 0，表示主机地址any 代表任意目的地址precedenceprecedence报文优先级IP 优先级用数字表示时，取值范围为 07tos tos报文优先级ToS 优先级用数字表示时，取值范围为 015dscp dscp报文优先级DSCP 优先级用数字表示时，取值范围为 063fragment分片信息定义规则仅对非尾片分片报文有效-time-rangetime-name时间段信息定义规则生效的时间段time-name：指定规则生效的时间段名称，为 132 个字符的字符串，不区分大小写，必须以英文字母az 或AZ 开头，为避免，时间段的名字不可以使用英文单

45、词 allACL 如果选择 precedence 关键字，除了直接输入数值 07 外，用户也可输入如表 1-9所示的关键字。表1-9 IP Precedence 值说明如果选择 tos 关键字，除了直接输入数值 015 外，用户也可输入如表 1-10所示的关键字。1-15关键字IP Precedence（十进制）IP Precedence（二进制）routine0000priority1001immediate2010flash3011flash-override4100critical5101ernet6110network7111关键字DSCP 值（十进制）DSCP 值（二进制）af232

46、2010110af3126011010af3228011100af3330011110af4134100010af4236100100af4338100110be0000000cs18001000cs216010000cs324011000cs432100000cs540101000cs648110000cs756111000ef46101110 ACL表1-10 ToS 值说明当协议类型选择为 TCP 或者 UDP 时，用户还可以定义如表 1-11所示信息。表1-11 TCP/UDP 特有的 ACL 规则信息 说明：Quidway S5600 系列以太网交换机在端口或 VLAN 上应用高级

47、ACL 时，如果 ACL规则中包含 TCP/UDP 的端口信息，则 operator 操作符的取值只能为 eq（等于）。当 TCP 或 UDP 的端用名字表示时，用户还可以定义如表 1-12所示信息。1-16参数类别作用说明source-port operator port1 port2 源端口定义 UDP/TCP 报文的源端口信息operator 为操作符，取值可以为 lt（小于）、gt（大于）、eq（等于）、neq（不等于）或者 range（在指定范围内）；只有操作符 range 需要两个端作数，其他的只需要一个端做操作数port1、port2：TCP 或 UDP 的端，用名字或数字表示，

48、数字的取值范围为 065535配置操作符为 range 时，port2的取值不需要一定大于 port1 的取值，交换机会自动识别取值范围；当 port1 和 port2 的取值相同时，交换机会将操作符 range转换为 eq另外需要注意的是，当用户配置操作符为 lt 1 或 gt 65534 时，交换机会将其转换为 eq 0 或 eq 65535destination-portoperator port1 port2 目的端口定义 UDP/TCP 报文的目的端口信息establishedTCP 连接建立标识表示此条规则仅对 TCP 建立连接的第一个 SYN 报文有效TCP 协议特有的参数关键字

49、ToS（十进制）ToS（二进制）normal00000monetary-cost10001max-reliability20010max-throughput40100min-delay81000ACL 表1-12 TCP 或 UDP 端口取值信息当协议类型选择为 ICMP 时，用户还可以定义如表 1-13所示信息。表1-13 ICMP 特有的规则信息当协议类型选择为 ICMP 时，用户也可以直接在 icmp-type 参数后输入 ICMP 的消称，如表 1-14所示。表1-14 ICMP 消息1-17名称ICMP TYPEICMP CODEechoType=8Code=0echo-reply

50、Type=0Code=0fragmentneed-DFsetType=3Code=4host-redirectType=5Code=1host-tos-redirectType=5Code=3host-unreachableType=3Code=1information-replyType=16Code=0information-requestType=15Code=0net-redirectType=5Code=0net-tos-redirectType=5Code=2net-unreachableType=3Code=0parametroblemType=12Code=0参数类别作用说明i

51、cmp-type icmp-type icmp-codeICMP 报文的类型和消息码信息定义规则中ICMP报文的类型和消息码信息icmp-type：ICMP 消息类型，取值为 0255icmp-code：ICMP 的消息码，取值为 0255协议类型取值信息TCPCHARgen（19）、bgp（179）、cmd（514）、daytime（13）、discard（9）、（53）、echo（7）、exec（512）、finger（79）、ftp（21）、ftp-data（20）、gopher（70）、hostname（101）、irc（194）、klogin（543）、 ks （544）、login

52、（513）、lpd（515）、nntp（119）、pop2（109）、 pop3（110）、smtp（25）、sunrpc（111）、tacacs（49）、talk（517）、net（23）、time（37）、uucp（540）、whois（43）、www（80）UDPbiff（512）、bootpc（68）、bootps（67）、discard（9）、dns（53）、 dnsix（90）、echo（7）、mobilip-ag（434）、mobilip-mn（435）、nameserver（42）、netbios-dgm（138）、netbios-ns（137）、netbios- （139）、

53、 ntp（123）、rip（520）、snmp（161）、 （162）、sunrpc（111）、 syslog（514）、tacacs-ds（65）、talk（517）、tftp（69）、time（37）、 who（513）、xdmcp（177） ACL2. undo rule 命令的参数说明rule-id：ACL 规则，必须是一个已经存在的 ACL 规则。如果用户不知道ACL 规则的，可以使用 display acl 命令来查看。source：删除对应的 ACL 规则的源 IP 地址的设置。source-port：删除对应的 ACL 规则的源端口的设置，本参数仅在规则定义的协议是 TCP 或

54、者 UDP 的情况下有效。destination：删除对应的 ACL 规则的目的 IP 地址的设置。destination-port：删除对应的 ACL 规则的目的端口的设置，本参数仅在规则定义的协议是 TCP 或者 UDP 的情况下有效。icmp-type：删除对应的 ACL 规则的 ICMP 类型和消息码的设置，本参数仅在规则定义的协议是 ICMP 的情况下有效。precedence：删除对应的 ACL 规则的 IP Precedence 的设置。tos：删除dscp：删除对应的 ACL 规则的 ToS 的设置。对应的 ACL 规则的 DSCP 的设置。time-range：删除fragm

55、ent：删除对应的 ACL 规则的时间段的设置。对应的 ACL 规则的对非尾片分片报文有效的设置。【描述】rule 命令用来定义 ACL 规则。undo rule 命令用来删除 ACL 规则或者 ACL 规则中的某些属性信息。在删除一条 ACL 规则时，如果不指定其他参数，交换机将这个 ACL 规则完全删除；否则交换机只删除该 ACL 规则中相应的属性信息。需要注意的是：1-18名称ICMP TYPEICMP CODEport-unreachableType=3Code=3protocoreachableType=3Code=2reassembly-timeoutType=11Code=1so

56、urce-quenchType=4Code=0source-route-failedType=3Code=5timest-replyType=14Code=0timest-requestType=13Code=0ttl-exceededType=11Code=0ACL 当高级 ACL 的匹配顺序为 config 时，用户可以修改该 ACL 中的任何一条已经存在的规则，在修改 ACL 中的某条规则时，该规则中没有修改到的部分仍旧保持原来的状态；当高级 ACL 的匹配顺序为 auto 时，用户不能修改该 ACL中的任何一条已经存在的规则，否则系统会提示错误信息。在创建一条 ACL 规则的时候，用户

57、可以不指定规则的，交换机将自动为这个规则分配一个：如果此 ACL 中没有规则，为 0；如果此 ACL 中为现有规则的最大+1；如果此 ACL 中现有规则的最大编已有规则，号为 65534，则系统会提示错误信息，此时用户必须指定规则的成功。才能创建新创建或修改后的规则不能和已经存在的规则相同，否则会导致创建或修改不成功，系统会提示该规则已经存在。当高级 ACL 的匹配顺序为 auto 时，新创建的规则将按照“深度优先”的原则到已有的规则中，但是所有规则对应的不会改变。【举例】# 创建高级 ACL 3000，定义规则 1，先级为 46 的 IP 报文通过。源 IP 地址为 并且 DSCP 优 s

58、y s t em- v i ewSy s t em Vi ew: r e t u r n t o Us e r Vi ew wit h C t r l +Z . Sy s n ame ac l numb e r 3000 Sy s n ame - ac l - a dv - 3000 r u l e 1 d e ny i p s ou r ce 192 . 168 . 0 . 1 0 d s c p 46 Sy s n ame - ac l - a dv - 3000 qu it # 创建高级 ACL 3001 ，定义规则 1 ，允许从 /16 网段的主机向/24 网段的主机发送的目的端为 8

59、0 的 TCP 报文通过。 Sy s n ame ac l numb e r 3001 Sy s n ame - ac l - a dv - 3001 r u l e1p e rmitt c ps ou r ce129 . 9 . 0 . 00 . 0 . 255 . 255d e s ti n a ti on 202 . 38 . 160 . 0 0 . 0 . 0 . 255 d e s ti n a ti on - po r t e q 80完成上述配置后，用户可以使用 display acl 命令查看 ACL 的配置信息。1.1.11 rule（二层 ACL）【命令】rule rule

60、-id deny | permit rule-string undo rule rule-id【视图】二层 ACL 视图1-19 ACL【参数】rule-id：ACL 规则，取值范围为 065534。deny：表示丢弃符合条件的数据包。 permit：表示允许符合条件的数据包通过。rule-string：ACL 规则信息，具体参数说明如表 1-15所示。表1-15 二层 ACL 规则信息1-20参数类别作用说明format-type链路层封装类型定义规则中的链路层封装类型format-type：取值可以为802.3/802.2、802.3、ether_ii、snaplsap lsap-code