RULE规则

更新时间：2024-04-28 03:21:01 阅读量：综合文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

RULE规则

一、rule description

命令功能

rule description 命令用来配置某条规则的描述信息。 undo rule description命令用来删除某条规则的描述信息。缺省情况下，各规则没有描述信息。

命令格式

rule rule-id description undo rule rule-id description

参数说明

参数参数说明指定ACL的规则ID。取值整数形式，取值范围是0～4294967294。 rule-id description 指定某rule-id规则的描字符串形式，不超过127述信息。个字符。用户可以通过这个描述信息更详细地记录规则，便于识别规则。视图

基本ACL视图、高级ACL视图、二层ACL视图、 UCL视图、基本ACL6视图、高级ACL6视图

缺省级别

2：配置级

使用指南

使用场景

当前规则的标识方式主要是使用rule-id，一个数字很难很好地表达该规则的含义、用途等信息，不便于用户标记，一定长度字符串的标记方式就可以解决这个问题。前置条件

在使用rule rule-id description进行描述信息配置的时候，必须保证该rule-id的规则已经存在，否则系统提示错误信息： Warning: The acl subitem number does not exist.

该rule-id的规则的配置可以在使用不同视图下的rule命令来配置，分别为：rule（高级ACL6视图）、rule（高级ACL视图）、rule（基本ACL6视图）、rule（基本ACL视图）、rule（二层ACL视图）、rule（UCL视图）。配置影响

该命令是覆盖式命令，配置结果可以使用display acl和display acl ipv6查询。

使用实例

#假设ACL 2001的规则5是允许源地址是192.168.32.1的报文，配置增加规则5的描述信息。

system-view [Quidway] acl 2001

[Quidway-acl-basic-2001] rule 5 description permit 192.168.32.1 [Quidway-acl-basic-2001] display acl 2001 Basic ACL 2001, 2 rules Acl's step is 5 rule 2 deny

rule 5 permit source 192.168.32.1 0 rule 5 description permit 192.168.32.1 # 配置在ACL 2001中删除规则5的描述信息。 system-view

[Quidway] acl 2001

[Quidway-acl-basic-2001] undo rule 5 description [Quidway-acl-basic-2001] display acl 2001 Basic ACL 2001, 2 rules Acl's step is 5 rule 2 deny

rule 5 permit source 192.168.32.1 0

二、rule（UCL视图）

命令功能

rule命令用来在对应的UCL视图下增加一个规则。 undo rule命令用来删除一个规则。

命令格式

rule [ rule-id ] { deny | permit } [ [ l2-head | ipv4-head | ipv6-head | l4-head ] { rule-string rule-mask offset } ] [ time-range time-range-name ] undo rule rule-id

参数说明

参数参数说明取值 rule-id 指定ACL的规则ID。该整数形式，取值范围为0～参数只对匹配规则是4294967294。 config的ACL有效。 ? 如果指定ID的规则已经存在，则会在旧规则的基础上叠加新定义的规则，相当于编辑一个已经存在的规则；如果指定ID的规则不存在，则使参数参数说明用指定的ID创建一个新规则，并且按照ID的大小决定规则插入的位置。 ? 如果不指定ID，则增加一个新规则时S9300动会为这个规则分配一个ID，ID按照大小排序。系统自动分配ID时会留有一定的空间，具体的相邻ID范围由step命令指定。取值 deny permit l2-head | ipv4-head | ipv6-head | l4-head 表示拒绝符合条件的数- 据包。表示允许符合条件的数- 据包。表示从指定位置开始偏- 移，其中： l2-head表示从报文的二层头部开始偏移； ? ipv4-head表示从IPv4头部开始偏移； ? ipv6-head表示从IPv6头部开始偏移； ? l4-head表示从四层头部开始偏移。 ? rule-string rule-mask 表示用户自定义的规则16进制形式，字符长度必须是偶数，字符串。最大支持4个字节。表示规则字符串的掩16进制形式，字符长度必须是偶数，参数码。参数说明取值最大支持4个字节。当用户定义的规则字符串对应的掩码为“1”时，ACL对该位进行匹配；当用户定义的规则字符串对应的掩码为“0”时，ACL不对该位进行匹配。整数形式，单位是字节。根据偏移位置不同，offset取值范围不同。取值范围为：2～98。 offset 表示偏移值。 time-range 表示定义一个ACL规则字符串形式，长度范围是1～32。 time-range-name 生效的时间段。time-range-name表示时间段的名称。视图

UCL视图

缺省级别

2：配置级

使用指南

在S9300上使用rule命令定义用于流分类的匹配规则，不仅根据rule命令中的permit和deny参数对信息进行过滤操作，还需要结合流行为进行过滤。 rule （UCL视图）命令每次固定匹配4个字节的内容，当配置的rule-string参数长度不满4个字节时，在前面补0凑足4个字节进行匹配。

使用命令undo rule删除规则的时候，rule-id必须是一个已经存在的ACL规则编号，如果不知道规则的编号，可以使用命令display acl来查看。

说明：

用户自定义ACL只能应用于上行策略。

使用实例

# 在编号为5001的ACL中增加一条规则，从二层报文头开始匹配4个字节的字符串，字符串内容为0180C200。

system-view [Quidway] acl 5001

[Quidway-acl-user-5001] rule permit l2-head 0x0180C200 0xFFFFFFFF 14

三、rule（二层ACL视图）

命令功能

rule命令用来在对应的二层ACL视图下增加一个规则。 undo rule命令用来删除一个二层ACL规则。

命令格式

rule [ rule-id ] { permit | deny } [ [ether-ii | 802.3 | snap ] | l2-protocol type-value [ type-mask ] | destination-mac dest-mac-address

参数说明

参数参数说明取值 rule-id 指定ACL的规则ID。该参数只对整数形式，取值范围是匹配规则是config的ACL有效。 0～4294967294。 ? 如果指定ID的规则已经存在，则会在旧规则的基础上叠加新定义的规则，相当于编辑一个已经存在的规则；如果指定ID的规则不存在，则使用指定的ID创建一个新规则，并且按照ID的大小决定规则插入的位参数参数说明置。 ? 如果不指定ID，则增加一个新规则时S9300自动会为这个规则分配一个ID，ID按照大小排序。系统自动分配ID时会留有一定的空间，具体的相邻ID范围由step命令指定。说明： S9300自动生成的规则ID从步长值起始，缺省步长为5，即从5开始并按照5的倍数生成规则序号，序号分别为5、10、15、?? 取值 deny permit 表示拒绝符合条件的数据包。表示允许符合条件的数据包。 - - ether-ii | 802.3 | 表示匹配报文的封装格式。其中： - snap ? ether-ii表示Ethernet II封装； ? 802.3表示802.3封装； ? snap表示SNAP封装； l2-protocol type-value type-mask 表示二层协议的类型，对应十六进制表示，取值范Ethernet_II类型中的Ethernet 围是0x0～0xFFFF。其type和Ethernet_SNAP类型帧中中：的type-code域。其中： ? ARP的协议类型? type-value表示二层协议值为0x0806 类型值； ? IP的协议类型? type-mask表示二层协议值为0x0800 类型掩码。 ? IPv6的协议类型值为0x86dd 指定ACL规则的目的MAC地址信息。其中： destination-mac dest-mac-address dest-mac-mask dest-mac-address和dest-mac-mask格式均为H-H-H，其中H为1? dest-mac-address：数据包至4位的十六进制数。的目的MAC地址。参数 ? 参数说明地址掩码。取值可以得到用户感兴趣的目的MAC地址范围。比如00e0-fc01-0101 ffff-ffff-ffff指定了一个MAC地址：00e0-fc01-0101，而00e0-fc01-0101 ffff-ffff-0000则指定了一个MAC地址范围：00e0-fc01-0000～00e0-fc01-ffff。 dest-mac-mask：目的MAC这两个参数共同作用指定ACL规则的源MAC地址信息。source-mac-addresssource-mac-address 其中：和source-mac-mask的source-mac-mask 格式均为H-H-H，其中? source-mac-address：表示H为1至4位的十六进数据包的源MAC地址。制数。 ? source-mac-mask：表示源MAC地址掩码。这两个参数共同作用可以得到用户感兴趣的源MAC地址范围。比如00e0-fc01-0101 ffff-ffff-ffff指定了一个MAC地址：00e0-fc01-0101，而00e0-fc01-0101 ffff-ffff-0000则指定了一个MAC地址范围：00e0-fc01-0000～00e0-fc01-ffff。 source-mac vlan-id vlan-id vlan-id-mask 指定匹配报文的外层VLAN的编号，其中: ? ? vlan-id为整数形式，取值范围是1～4094。 vlan-id表示外层VLAN IDvlan-id-mask为十六的值； vlan-id-mask表示外层VLAN ID值的掩码。进制形式，取值范围是0～0xFFF，缺省值为0xFFF。整数形式，取值范围是0～7。 8021p 802.1p-value 指定匹配报文的外层VLAN的802.1p优先级。 cvlan-id cvlan-id 指定匹配报文的内层VLAN的编vlan-id为整数形式，参数参数说明号。 ? ? 取值取值范围是1～4094。 cvlan-id-mask vlan-id表示外层VLAN IDvlan-id-mask为十六的值； vlan-id-mask表示外层VLAN ID值的掩码。进制形式，取值范围是0～0xFFF，缺省值为0xFFF。整数形式，取值范围是0～7。 - cvlan-8021p 802.1p-value double-tag time-range 指定匹配报文的内层VLAN的802.1p优先级。指定匹配带双层tag的报文。 time-range-name 表示定义一个ACL规则生效的时time-range-name为字间段。time-range-name表示时间符串形式，长度范围是段的名称。 1～32。视图

二层ACL视图

缺省级别

2：配置级

使用指南

当ACL被QoS功能引用时，如果ACL规则中定义的动作为deny，则匹配此ACL

的报文就被丢弃。如果ACL规则中定义的动作为permit，则S9300对匹配此ACL的报文采取的动作由QoS中流行为定义的动作决定。

使用命令undo rule删除规则的时候，rule-id必须是一个已经存在的ACL规则编号，如果不知道规则的编号，可以使用命令display acl来查看。

使用实例

# 在ACL 4001中增加一条规则，匹配目的MAC地址是0-0-1，源MAC地址是0-0-2，二层协议类型值为0x0800的报文。 system-view [Quidway] acl 4001

[Quidway-acl-L2-4001] rule permit destination-mac 0-0-1 source-mac 0-0-2 l2-protocol 0x0800

四、rule（高级ACL6视图）

命令功能

rule命令用来增加或修改高级ACL6规则。 undo rule命令用来删除ACL6规则。

命令格式

当参数protocol为TCP时，高级ACL6的命令格式为：

rule [ rule-id ] { deny | permit } { tcp | protocol-number } [ destination { destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | postfix postfix-length | any } | destination-port { eq | gt | lt | range } port | dscp dscp | fragment | logging | precedence precedence | source { source-ipv6-address prefix-length |

source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | source-port { eq | gt | lt | range } port | time-rangetime-name | tos tos ] *

当参数protocol为UDP时，高级ACL6的命令格式为：

rule [ rule-id ] { deny | permit } { udp | protocol-number } [ destination { destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | postfix postfix-length | any } | destination-port { eq | gt | lt | range } port | dscp dscp | fragment | logging | precedence precedence | source { source-ipv6-address prefix-length |

source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | source-port { eq | gt | lt | range } port | time-range time-name | tos tos ] *

当参数protocol为ICMPv6时，高级ACL6的命令格式为：

rule [ rule-id ] { deny | permit } { icmpv6 | protocol-number } [ destination { destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | postfix postfix-length |

any } | dscp dscp | fragment | icmp6-type { icmp6-type-name | icmp6-type icmp6-code } | logging | precedence precedence | source { source-ipv6-address prefix-length |

source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | time-range time-name | tos tos ] *

当protocol为其他协议时，高级ACL6的命令格式为：

rule [ rule-id ] { deny | permit } { protocol-number | gre | ipv6 | ospf } [ destination { destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | destination-ipv6-address postfix postfix-length | any } | dscp dscp | fragment | logging | precedence precedence | source { source-ipv6-address prefix-length |

source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | time-range time-name | tos tos ] *

删除高级ACL6的规则：

undo rule rule-id [ destination | destination-port | fragment |

参数说明

参数参数说明规则ID。 ? 取值整数形式，取值范围是0～2047。 rule-id 如果指定了ID的规则存在，可以对其进行修改。如果不存在，将会创建一条带有指定ID的新规则。 ? 如果未指定规则ID，在创建新规则时系统会自动分配规则ID。 deny permit tcp udp icmpv6 丢弃符合条件的数据包。 - 允许符合条件- 的数据包通过。指定匹配协议类型为TCP。指定匹配协议类型为UDP。 - - 指定匹配协议- 类型为ICMPv6。用名字或数字数字范围为1～255；用表示的IP承载名字表示时，可以选取：的协议类型。 GRE、ICMPv6、IPv6、OSPF、TCP和UDP。 protocol-number 数据包的目的destination-ipv6-add地址和前缀。 ress用点分十进制表示。prefix-length的取destination-ipv6-address/prefix-值范围1～128。或用length | any } “any”代表任何目的地址。 destination { destination-ipv6-address prefix-length | 数据包的目的destination-ipv6-adddestination-ipv6-address postfix 地址和地址后ress点分十进制表示目postfix-length 缀掩码长度。的地址。postfix-length表示地址后缀掩码长度，整数形式，取值范围1～64。 destination dscp dscp 指定区分服务代码点（Differentiated Services CodePoint）。其中dscp表示dscp的取值形式是整数形式或名称。采用整数形式时，取值范围是0～63。采用名称时，取值为如下关键字af11，af12，af13，af21，af22，区分服务代码点的取值。 af23，af31，af32，af33，af41，af42，af43，cs1，cs2，cs3，cs4，cs5，cs6，cs7，default或ef。 fragment 指定该规则是- 否仅对非首片分片报文有效。当包含此参数时表示该规则仅对非首片分片报文有效。指定对ACL的匹- 配信息写日志。数据包可以依据优先级字段进行过滤。数据包的源地址和前缀。用名字或数字表示。数字的取值范围是0～7。 logging precedence precedence source { source-ipv6-address prefix-length | source-ipv6-address点分十进制表示源地址。prefix-length整数形式，取值范围是1～128。或用“any”代表任何源地址。 source-ipv6-address/prefix-length | any } source source-ipv6-address postfix postfix-length 数据包的源地址和地址后缀掩码长度。 source-ipv6-address点分十进制表示源地址。postfix-length表示地址后缀掩码长度，整数形式，取值范围1～64。操作符包括：lt（小于），gt（大于），eq（等于），neq（不等于），range（在范围内）。 { eq | gt | lt | range } 比较源或者目的地址的端口号的操作符。当IP承载的协议类型是TCP或UDP时，支持比较操作。只有range需要两个端口号做操作数，其他的只需要一个端口号做操作数。 port TCP或UDP的端用名字或数字表示。数口号，用名字或字的取值范围是0～数字表示。 65535。 icmpv6-type { icmp6-type-name | 指定ICMPv6报icmp6-type icmp6-code 文的类型和消息码信息，仅仅在报文协议是ICMP的情况下有效。如果不配置，表示任何ICMP类型的报文都匹配。 time-range time-name icmp6-type：ICMP的消息类型，取值为0～65535的数字。icmp6-code：ICMP消息码，取值为0～255的数字。icmp6-type-name的取值及对应的ICMP-Type 和ICMP-Code，如下表所示。表示设置的time-name字符串形式，ACL6规则仅在长度范围是1～32。规定时间段内生效。time-name表示生效时间段的名称。数据包可以依用名字或数字表示。数据服务类型字字的取值范围是0～15。段进行过滤。 tos tos 表1 icmp6-type-name的取值及对应的ICMP-Type和ICMP-Code icmp6-type-name Redirect Echo Echo-reply Err-Header-field Frag-time-exceeded Hop-limit-exceeded Host-admin-prohib Host-unreachable 137 128 129 4 3 3 1 1 icmp-type 0 0 0 0 1 0 1 3 0 0 0 icmp-code Neighbor-advertisement 136 Neighbor-solicitation 135 Network-unreachable 1 表1 icmp6-type-name的取值及对应的ICMP-Type和ICMP-Code icmp6-type-name Packet-too-big Port-unreachable Router-advertisement Router-solicitation Unknown-ipv6-opt Unknown-next-hdr 2 1 134 133 4 4 icmp-type 0 4 0 0 2 1 icmp-code 视图

高级ACL6视图

缺省级别

2：配置级

使用指南

删除或修改已有规则时，必须指定规则ID。

使用实例

# 为编号为3000的ACL6增加一条规则，禁止从2001::1 网段内的主机建立与2003::1网段内的主机的端口号大于128的UDP（用户数据报协议）连接。 system-view [Quidway] acl ipv6 3000

[Quidway-acl-adv-3000] rule deny udp source 2001::1 64 destination 2003::1 64 destination-port gt 128

五、rule（高级ACL视图）

命令功能

rule命令用来在对应的高级ACL视图下增加一个规则。

undo rule命令用来删除一个规则。

命令格式

当参数protocol为ICMP时，高级访问控制列表的命令格式为：

o rule [ rule-id ] { deny | permit } { protocol-number | icmp }

[ destination { destination-address destination-wildcard | any } | dscp dscp | fragment | icmp-type { icmp-name | icmp-type icmp-code } | precedence precedence | source { source-address source-wildcard | any } | time-range time-name | tos tos ]*

o undo rule rule-id [ description | destination |

? 当参数protocol为TCP时，高级访问控制列表的命令格式为：

o rule [ rule-id ] { deny | permit } { protocol-number | tcp }

[ destination { destination-address destination-wildcard | any } | destination-port { eq | gt | lt | range } port | dscp dscp | fragment | precedence precedence | source

{ source-address source-wildcard | any } | source-port { eq | gt | lt | range } port | tcp-flag { ack | fin | psh | rst | syn | urg }* | time-range time-name | tos tos ]* o undo rule rule-id [ description | destination |

? 当参数protocol为UDP时，高级访问控制列表的命令格式为：

o rule [ rule-id ] { deny | permit } { protocol-number | udp }

[ destination { destination-address destination-wildcard | any } | destination-port { eq | gt | lt | range } port | dscp dscp | fragment | precedence precedence | source

{ source-address source-wildcard | any } | source-port { eq | gt | lt | range } port | time-range time-name | tos tos ]* o undo rule rule-id [ description | destination |

destination-port | dscp | fragment | icmp-type | precedence

| source | source-port | time-range | tos ]

? 当参数protocol为TCP、UDP和ICMP之外的其他协议时，高级访问控制列表的命令格式为：

o rule [ rule-id ] { deny | permit } { protocol-number | gre

| igmp | ip | ipinip | ospf } [ destination

{ destination-address destination-wildcard | any } | dscp dscp | fragment | precedence precedence | source

{ source-address source-wildcard | any } | time-range time-name | tos tos ]*

undo rule rule-id [ description | destination |

说明：

参数dscp dscp和precedence precedence不能同时配置。

参数说明

参数参数说明取值 rule-id 指定ACL的规则ID。该参数只整数形式，取值范围对匹配规则是config的ACL有是0～4294967294。效。如果指定ID的规则已经存在，则会在旧规则的基础上叠加新定义的规则，相当于编辑一个已经存在的规则；如果指定ID的规则不存在，则使用指定的ID创建一个新规则，并且按照ID的大小决定规则插入的位置。 ? 如果不指定ID，则增加一个新规则时S9300自动会为这个规则分配一个ID，ID按照大小排序。系统自动分配ID时会留有一定的空间，具体的相邻ID范围由step命令指定。 ? 说明： S9300自动生成的规则ID从步长值起始，缺省步长为5，即从5开始并按照5的倍数生成规则序号，序号分别为5、10、15、?? deny permit 表示拒绝符合条件的数据包。 - 表示允许符合条件的数据包。 - 参数 icmp destination 参数说明指定协议类型为ICMP。也可以- 采用数值1表示指定ICMP协议。取值指定ACL规则的目的地址信息。destination-addresdestination-address 如果不配置，表示报文的任何目s为点分十进制格destination-wildcard 的地址都匹配。其中：式。或用any代表目的地址0.0.0.0。 ? destination-address：指定数据包的目的地址。 destination-wildca? destination-wildcard：rd为点分十进制格指定目的地址通配符。式，数值上是目的地址掩码的反掩码形式。当目的地址是any时，通配符是255.255.255.255；当目的地址是主机时，通配符是0。 any fragment 表示数据包的任意源地址或目的地址。 - 指定该规则是否仅对非首片分- 片报文有效。当包含此参数时表示该规则仅对非首片分片报文有效。 icmp-type icmp-name | 指定ICMP报文的类型和消息码icmp-type icmp-code 信息，仅在报文协议是ICMP的情况下有效。如果不配置，表示任何ICMP类型的报文都匹配。其中可以采用两种方式表示： icmp-type为整数形式，取值范围是0～255。 icmp-code为整数形式，取值范围是0～? icmp-name：ICMP包可以255。依据ICMP的消息名称进行过滤。 ? icmp-type icmp-code：表示根据ICMP消息类型来进行过滤。其中icmp-type表示ICMP的消息类型。icmp-code表示ICMP消息类型的消息码说明：参数参数说明取值 icmp-name的取值和ICMP-Type和ICMP-Code相对应，对应关系参见表2。 precedence precedence 表示数据包可以依据优先级字段进行过滤。数字范围为0～7，和数字一一对应的名字分别为routine、priority、immediate、flash、flash-override、critical、internet、network。 source source-address 指定ACL规则的源地址信息。如source-address为source-wildcard 果不配置，表示报文的任何源地点分十进制形式。或址都匹配。其中：用any代表任意源地址0.0.0.0。 ? source-address：指定数据包的源地址。 source-wildcard为? source-wildcard：指定点分十进制形式，数源地址通配符。值上是源地址掩码的反掩码形式。当目的地址是any时，通配符是255.255.255.255；当目的地址是主机时，通配符是0。 ack fin psh rst urg 指定TCP报文头中SYN Flag的- 类型为ack(010000)。指定TCP报文头中SYN Flag的- 类型为fin(000001)。指定TCP报文头中SYN Flag的- 类型为psh(001000)。指定TCP报文头中SYN Flag的- 类型为rst(000100)。指定TCP报文头中SYN Flag的- 类型为urg(100000)。 time-range time-name 指定ACL生效的时间段。其中time-name为字符串time-name表示ACL规则生效的形式，长度范围是时间段名称。 1～32。参数 tcp | udp 参数说明指定协议类型为TCP或UDP。也- 可以采用数值6表示指定TCP协议，数值17表示UDP协议。取值 destination-port { eq 指定UDP或者TCP报文的目的端port用名字或数字| gt | lt | range } port 口，仅在报文协议是TCP或者表示，数字的取值范UDP时有效。如果不指定，表示围是0～65535。 TCP/UDP报文的任何目的端口都匹配。其中： ? ? ? ? ? eq：指定源端口或者目的端口比较的操作符，意义是等于。 gt：指定源端口或者目的端口比较的操作符，意义是大于。 lt：指定源端口或者目的端口比较的操作符，意义是小于。 range：指定源端口或者目的端口比较的操作符，意义是在范围内。 port：指定用于比较的TCP或UDP端口号。 source-port { eq | gt | 指定UDP或者TCP报文的源端port用名字或数字lt | range } port 口，仅在报文协议是TCP或者表示，数字的取值范UDP时有效。如果不指定，表示围是0～65535。 TCP/UDP报文的任何源端口都匹配。其中： eq：指定源端口或者目的端口比较的操作符，意义是等于。 ? gt：指定源端口或者目的端口比较的操作符，意义是大于。 ? lt：指定源端口或者目的端口比较的操作符，意义是小于。 ? range：指定源端口或者目的端口比较的操作符，意义是在范围内。 ?

参数 ? 参数说明取值 port：指定用于比较的TCP或UDP端口号。 protocol-number 指定用名字或数字表示的协议类型。说明：整数形式，取值范围是1～255；用名字表示时可以选取gre、icmp、igmp、ip、对不同的协议类型，有不同的参ipinip、ospf、tcp、数组合，TCP和UDP有 udp。其中icmp是1，[ source-port eq tcp是6，udp是17。 port-number ] [ destination-port eq port-number ]可选项，其它协议类型没有。指定区分服务代码点dscp的取值形式是（Differentiated Services 整数形式或名称，其CodePoint）。其中dscp表示区中：分服务代码点的取值。 ? 采用整数形式时，取值范围是0～63。 ? 采用名称时，取值为如下关键字af11，af12，af13，af21，af22，af23，af31，af32，af33，af41，af42，af43，cs1，cs2，cs3，cs4，cs5，cs6，cs7，default或ef。数据包可以依据服务类型字段tos的取值形式可以进行过滤，可选参数。其中tos是整数形式或名称，表示数据包过滤依据的服务类其中：型。 ? 采用整数形式时，取值为0、dscp dscp tos tos 参数参数说明取值 1、2、4、8的数字。 ? 采用名称时，取值如normal、min-monetary-cost等。可输入的ToS名称和取值之间的对应关系如表1所示。表1 ToS名称和取值之间的对应关系 ToS名称 normal 0 取值 ToS名称 max-reliabilit2 y max-throughput 4 - - 取值 min-monetary-co1 st min-delay 8 表2 icmp-name的取值及对应的ICMP-Type和ICMP-Code icmp-name Echo Echo-reply Parameter-problem Port-unreachable 8 0 12 3 icmp-type 0 0 0 3 2 1 0 5 0 0 0 4 icmp-code Protocol-unreachable 3 Reassembly-timeout Source-quench 11 4 Source-route-failed 3 Timestamp-reply Timestamp-request Ttl-exceeded Fragmentneed-DFset 14 13 11 3 表2 icmp-name的取值及对应的ICMP-Type和ICMP-Code icmp-name Host-redirect Host-tos-redirect Host-unreachable Information-reply 5 5 3 16 icmp-type 1 3 1 0 0 0 2 0 icmp-code Information-request 15 Net-redirect Net-tos-redirect Net-unreachable 5 5 3 视图

高级ACL视图

缺省级别

2：配置级

使用指南

当ACL被QoS功能引用时，如果ACL规则中定义的动作为deny，则匹配此ACL的报文就被丢弃。如果ACL规则中定义的动作为permit，则S9300对匹配此ACL的报文采取的动作由QoS中流行为定义的动作决定。

使用命令undo rule删除规则的时候，rule-id必须是一个已经存在的ACL规则编号，如果不知道规则的编号，可以使用命令display acl来查看。

使用实例

# 配置在ACL3000中增加一条规则，基于icmp code域的流分类。 system-view [Quidway] acl 3000

[Quidway-acl-adv-3000] rule 1 permit icmp

# 配置在ACL3000中删除一条规则，基于icmp code域的流分类。

system-view [Quidway] acl 3000

[Quidway-acl-adv-3000] undo rule 1

# 配置在ACL3000中增加一条规则，基于igmp protocol type的流分类。 system-view [Quidway] acl 3000

[Quidway-acl-adv-3000] rule 2 permit igmp

# 配置在ACL3000中增加一条规则，基于dscp域的流分类。 system-view [Quidway] acl 3000

[Quidway-acl-adv-3000] rule 3 permit ip dscp cs1

# 配置在ACL3001中增加一条规则，匹配从129.9.0.0网段的主机向202.38.160.0网段的主机发送的所有IP报文。

system-view [Quidway] acl 3001

[Quidway-acl-adv-3001] rule permit ip source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255

# 配置在ACL3001中增加一条规则，匹配从一切主机建立与IP地址为202.38.160.1的主机的Telnet（23）的连接。

system-view [Quidway] acl 3001

[Quidway-acl-adv-3001] rule deny tcp destination 202.38.160.1 0 destination-port eq telnet

# 配置在ACL3001中增加一条规则，匹配从129.9.8.0网段内的主机建立与端口号等于128的202.38.160.0网段内的主机的UDP（用户数据报协议）连接。 system-view [Quidway] acl 3001

[Quidway-acl-adv-3001] rule deny udp source 129.9.8.0 0.0.0.255 destination 202.38.160.0 0.0.0.255 destination-port eq 128

六、rule（基本ACL6视图）

命令功能

rule命令用来增加或修改基本ACL6规则。 undo rule命令用来删除ACL6规则。

命令格式

rule [ rule-id ] { deny | permit } [ fragment | logging | source { source-ipv6-address prefix-length | source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | time-range time-name ] *

undo rule rule-id [ fragment | logging | source | time-range ] *

参数说明

参数参数说明规则ID。如果指定了ID的规则存在，可以对其进行修改。如果不存在，将会创建一条带有指定ID的新规则。 ? 如果未指定规则ID，? 取值整数形式，取值范围是0～2047。 rule-id

在创建新规则时系统会自动分配规则ID。 deny permit 丢弃符合条- 件的数据包。允许符合条件的数据包通过。 - fragment 指定该规则- 是否仅对非首片分片报文有效。当包含此参数时表示该规则仅对非首片分片报文有效。指定对ACL的- 匹配信息写日志。 logging source { source-ipv6-address prefix-length | 数据包的源source-ipv6-address地址和前缀。点分十进制表示源地source-ipv6-address/prefix-length } 址。prefix-length整数形式，取值范围是1～128。 source source-ipv6-address postfix 数据包的源postfix-length 地址和地址后缀掩码长度。 source-ipv6-address点分十进制表示源地址。postfix-length表示地址后缀掩码长度，整数形式，取值范围1～64。 - any 代表任何源地址。 time-range time-name 表示设置的time-name字符串形ACL6规则仅式，长度范围是1～32。在规定时间段内生效。time-name表示生效时间段的名称。视图

基本ACL6视图

缺省级别

2：配置级

使用指南

基本ACL6只采用源地址信息来定义ACL6规则。增加新规则时，必须设置源参数。删除或修改已有规则时，必须指定规则ID。

使用实例

# 为编号为2000的ACL6增加一条规则，禁止从源2001::1/64的报文通过。 system-view [Quidway] acl ipv6 2000

[Quidway-acl6-basic-2000] rule deny source 2001::1/64

七、rule（基本ACL视图）

命令功能

rule命令用来在当前的基本ACL视图下增加一个规则。 undo rule命令用来删除一个基本ACL规则。

命令格式

rule [ rule-id ] { deny | permit } [ fragment | source { source-address source-wildcard | any } | time-range time-name ] * undo rule rule-id [ fragment | source | time-range ] *

参数说明

参数参数说明取值 rule-id 指定ACL的规则ID。该参数只整数形式，取值范围是对匹配规则是config的ACL0～4294967294。有效。如果指定ID的规则已经存在，则会在旧规则的基础上叠加新定义的规则，相当于编辑一个已经存在的规则；如果指定ID的规则不存在，则使用指定的ID创建一个新规则，并且按照ID的大小决定规则插入的位置。 ? 如果不指定ID，则增加一个新规则时S9300自动会为这个规则分配一个ID，ID按照大小排序。系统自动分配ID时会留有一定的空间，具体的相邻ID范围由step命令指定。 ? 说明： S9300自动生成的规则ID从步长值起始，缺省步长为5，即从5开始并按照5的倍数生成规则序号，序号分别为5、10、15、?? deny permit fragment 表示拒绝符合条件的数据包。 - 表示允许符合条件的数据包。 - 指定该规则是否仅对非首片分- 参数参数说明片报文有效。当包含此参数时表示该规则仅对非首片分片报文有效。取值 source source-address source-wildcard 指定ACL规则的源地址信息。source-address为点分如果不配置，表示报文的任何十进制形式。或用any源地址都匹配。其中：代表任意源地址0.0.0.0。 ? source-address：指定数据包的源地址。 source-wildcard为点? source-wildcard：指定分十进制形式，数值上源地址通配符。是源地址掩码的反掩码形式。当目的地址是any时，通配符是255.255.255.255；当目的地址是主机时，通配符是0。表示数据包的任意源地址。 - any time-range time-name 指定ACL生效的时间段。其中time-name为字符串形time-name表示ACL规则生效式，长度范围是1～32。的时间段名称。视图

基本ACL视图

缺省级别

2：配置级

使用指南

在S9300上使用rule命令定义用于流分类的匹配规则，不仅根据rule命令中的permit和deny参数对信息进行过滤操作，还需要结合流行为进行过滤。使用命令undo rule删除规则的时候，rule-id必须是一个已经存在的ACL规则编号，如果不知道规则的编号，可以使用命令display acl来查看。

使用实例

# 配置在ACL 2001中增加一条规则，允许源地址是192.168.32.1的报文通过。 system-view [Quidway] acl 2001

[Quidway-acl-basic-2001] rule permit source 192.168.32.1 0 # 配置在ACL 2001中删除一条规则，删除规则1。 system-view [Quidway] acl 2001

[Quidway-acl-basic-2001] undo rule 1

八、save

命令功能

save命令用来保存当前配置信息到系统默认的存储路径中。系统默认的存储路径及文件名为cfcard:/vrpcfg.zip。

命令格式

save [ all ] [ configuration-file ]

参数说明

参数 all 参数说明取值保存所有的配置，包括不在- 位的板卡的配置。字符串形式，绝对路径的长度范围是5～48。 configuration-file 配置文件的文件名。视图

用户视图

缺省级别

2：配置级

使用指南

当完成一组配置，并且已经达到预定功能，则应将当前配置文件保存到存储设备中。

save configuration-file 命令用来保存当前配置信息到存储设备中的指定文件中。该命令通常情况下不影响系统当前的启动配置文件；除非当

configuration-file与系统默认的存储路径及配置文件名完全相同时，则此命令的作用等同于save命令。

save all命令用来保存当前所有的配置，包括不在位的板卡的配置，至系统默认的存储路径中。

save all configuration-file 命令用来保存当前配置信息到存储设备中的指定文件中。该命令通常情况下不影响系统当前的启动配置文件；除非当

configuration-file与系统默认的存储路径及配置文件名完全相同时，则此命令的作用等同于save all命令。

配置文件必须以“.cfg” 或“.zip”作为扩展名，而且系统启动配置文件必须存放在存储设备的根目录下。如果您选择缺省路径，系统配置文件将存储在CF卡的根目录下。

当在主用主控板上执行保存当前配置文件的操作时，系统在主用主控板上的配置文件保存完毕之后，将会提示用户确认备用主控板上是否需要保存同样名称的配置文件。

使用实例

# 保存当前配置文件到默认存储设备中。

save

The current configuration will be written to the device. Are you sure to continue?[Y/N]y

Now saving the current configuration to the slot 13 .. Info: Save the configuration successfully.

ACL规则

一、acl ipv6（用户界面视图）

命令功能

acl ipv6命令用来通过引用ACL6控制列表，对VTY（Telnet、SSH）等类型的用户界面的呼入、呼出权限进行限制。 undo acl ipv6命令用来取消当前配置。缺省情况下，不对呼入、呼出进行限制。

命令格式

acl ipv6 acl6-number { inbound | outbound } undo acl ipv6 { inbound | outbound }

参数说明

参数参数说明取值 acl6-number 指定ACL6访问控制列表整数形式，取值范围是的序号。地址访问控制列2000～3999。表号分为两种： ? 基本访问控制列表? 基本访问控制列表序号的取值范围是号。 2000～2999。 ? 高级访问控制列表? 高级访问控制列表号。序号的取值范围是3000～3999。表示对用户界面的呼入进- 行限制，即限制某个地址或地址段的用户登录到S9300。表示对用户界面的呼出进- 行限制，即限制已经登录的用户登录到其它S9300。 inbound outbound 视图

用户界面视图

缺省级别

3：管理级

使用指南

该命令可以使用基本访问控制列表限制来自指定源地址的访问。使用高级访问控制列表既可以限制来自指定源地址的访问，也可以限制到指定目的地址的访问。

使用实例

# 在VTY0用户界面上，限制Telnet呼出。 system-view

[Quidway] user-interface vty 0

[Quidway-ui-vty0] acl ipv6 2000 outbound # 在VTY0用户界面上，取消对Telnet呼出的限制。 system-view

[Quidway] user-interface vty 0

[Quidway-ui-vty0] undo acl ipv6 outbound

二、acl ipv6（系统视图）

命令功能

acl ipv6命令用来创建ACL6并进入ACL6视图。 undo acl ipv6命令用来用来删除ACL6。

命令格式

acl ipv6 [ number ] acl6-number [ match-order { auto | config } ]

undo acl ipv6 { all | [ number ] acl6-number }

参数说明

参数 number 参数说明利用数字标识一个ACL。取值 - 整数形式，取值范围是2000～3999。其中2000～2999是基本ACL6，3000～3999是高级ACL6。 acl6-number 指定ACL6编号。 auto 表示ACL6规则是自动排序，也就是“深- 度优先”的顺序。若“深度优先”的顺序相同，则匹配该规则时按用户的配置顺序。 config 表示ACL6规则按照配置顺序进行匹配。 - 指定匹配该规则时按用户的配置顺序，是指在用户没有指定rule-id的前提下。若用户指定了rule-id，则匹配规则时，按rule-id由小到大的顺序。 all 删除所有配置的ACL6。 - 视图

系统视图

缺省级别

2：配置级

使用指南

创建ACL6时，需要指定如下参数：

指定一个数字，该数字标识ACL6类型。例如2000～2999为基本ACL6，3000～3999为高级ACL6。

ACL6的匹配顺序，该参数是一个可选参数，缺省情况下匹配顺序为config（配置顺序）。

使用实例

# 创建匹配顺序为config，编号为2000的ACL6。 system-view

[Quidway] acl ipv6 2000 match-order config [Quidway-acl6-basic-2000] # 创建一个编号为3000的ACL6。 system-view

[Quidway] acl ipv6 number 3000 [Quidway-acl6-adv-3000]

三、acl ipv6 name

命令功能

acl ipv6 name命令用来创建一个命名型的ACL6，并且进入ACL6视图。 undo acl ipv6 name命令用来删除命名型的ACL6。

命令格式

acl ipv6 name acl6-name [ advance | basic | acl6-number ] [ match-order { auto | config } ]

undo acl ipv6 name acl6-name

参数说明

参数参数说明 ACL6的名称。取值字符串形式，长度范围是1～32，以英文字母a～z或A～Z开始。 - acl6-name advance 指定ACL6的类型为高级

参数 ACL。 basic 参数说明取值指定ACL6的类型为基本ACL。指定ACL6的编号。 - 整数形式，取值范围是2000～3999。 2000～2999是设置基本ACL6。 ? 3000～3999是设置高级ACL6。 ? acl6-number match-order { auto | config } 指定ACL6规则的配置顺序。 ? - auto：匹配规则时系统自动排序（按“深度优先”的顺序）。若“深度优先”的顺序相同，则匹配规则时按用户的配置顺序。 ? config：匹配规则时按用户的配置顺序。指定匹配该规则时按用户的配置顺序，是指在用户没有指定rule-id的前提下。若用户指定了rule-id，则匹配规则时，按rule-id由小到大的顺序。视图

系统视图

缺省级别

2：配置级

使用指南

如果没有指定命名型ACL6的编号，S9300会为其自动分配编号。主要包括以下两种情况。

如果只为命名型ACL6指定了类型，S9300为其分配的编号是该类型ACL6编号取值范围内的最大值。

? 如果既没有指定命名型ACL6的编号，也没有指定命名型ACL6的类型，S9300认为该ACL6为高级ACL6，为其分配高级ACL6编号取值范围内的最大值。

使用实例

# 创建名称为test1的高级ACL6，匹配顺序为自动排序。 system-view

[Quidway] acl ipv6 name test1 advance match-order auto # 创建名称为test2的基本ACL6，编号为2001。 system-view

[Quidway] acl ipv6 name test2 2001

四、acl name

命令功能

acl name命令用来创建一个命名型的ACL，并且进入ACL视图。 undo acl命令用来删除命名型的ACL。

命令格式

acl name acl-name [ advance | basic | link | user | acl-number ] [ match-order { auto | config } ] undo acl name acl-name

参数说明

参数参数说明 ACL的名称。取值字符串形式，长度范围是1～32，以英文字母a～z或A～Z开始。 - - - acl-name advance basic link user 指定ACL的类型为高级ACL。指定ACL的类型为基本ACL。指定ACL的类型为二层ACL。指定ACL的类型为用户自- 定义ACL。指定ACL的编号。整数形式，取值范围是2000～5999。 2000～2999是设置基本ACL。 ? 3000～3999是设置高级ACL。 ? 4000～4999是设置二层ACL。 ? 5000～5999是设置用户自定义ACL。 ? acl-number match-order { auto | config } 指定ACL规则的配置顺序。 ? - auto：匹配规则时系统自动排序（按“深度参数参数说明优先”的顺序）。若“深度优先”的顺序相同，则匹配规则时按用户的配置顺序。 ? 取值 config：匹配规则时按用户的配置顺序。指定匹配该规则时按用户的配置顺序，是指在用户没有指定rule-id的前提下。若用户指定了rule-id，则匹配规则时，按rule-id由小到大的顺序。视图

系统视图

缺省级别

2：配置级

使用指南

如果没有指定命名型ACL的编号，S9300会为其自动分配编号。主要包括以下两种情况。

如果只为命名型ACL指定了类型，S9300为其分配的编号是该类型ACL编号取值范围内的最大值。

? 如果既没有指定命名型ACL的编号，也没有指定命名型ACL的类型，S9300认为该ACL为高级ACL，为其分配高级ACL编号取值范围内的最大值。

S9300不会为命名型ACL重复分配编号。

使用实例

# 创建名称为test1的ACL，编号为2001。 system-view

[Quidway] acl name test1 2001 [Quidway-acl-basic-test1]

# 创建名称为test2的高级ACL，匹配顺序为自动排序。 system-view