第六部分 安全配置命令参考

RGNOS? 命令参考手册安全配置

第六部分 安全配置命令参考.doc目录

目录

RGNOS? 命令参考手册 (1)

第一章访问控制列表(ACL)命令 (6)

1.1 配置相关命令 (8)

1.1.1 access-list (8)

1.1.2 ip access-list (16)

1.1.3 mac access-list (17)

1.1.4 expert access-list (18)

1.1.5 ipv6 access-list extended (19)

1.1.6 ip access-list resequence (19)

1.1.7 deny (21)

1.1.8 permit (26)

1.1.9 list-remark text (31)

1.1.10 no sn (32)

1.1.11 ip access-group (33)

1.1.12 mac access-group (34)

1.1.13 expert access-group (34)

1.1.14 ipv6 traffic-filter (35)

1.2 显示与监控命令 (36)

1.2.1 show access-lists (36)

1.2.2 show ip access-group (37)

1.2.3 show expert access-group (38)

1.2.4 show mac access-group (38)

1.2.5 show ipv6 access-group (39)

1.2.6 show access-group (39)

第二章防火墙配置命令 (41)

2.1特殊协议 (41)

2.1.1 ip inspect name (41)

2.1.2 show ip inspect (41)

2.1.3 ip inspect (42)

2.2 IP MAC绑定 (43)

2.2.1 ipmacbind (43)

2.2.2 ipmacbind auto (43)

2.2.3 clear ipmacbind (44)

2.2.4 show ipmacbind (44)

2.3网络入口过滤 (45)

2.3.1 ip ingress-filter (45)

2.3.2 show ip ingress-filter (46)

2.4 TCP SYN代理 (46)

2.4.1 ip tcp-intercept list (46)

2.4.2 show ip tcp-intercept (47)

2.5 TCP顺序号检查 (47)

第1页 共197 页 fb8f74b8960590c69ec376ad

第六部分 安全配置命令参考.doc目录

2.5.1 ip inspect name tcp (47)

2.6 url过滤 (48)

2.6.1 url配置相关命令 (48)

2.6.2 url监管和显示命令 (51)

2.6.2.1 show ip urlfilter (51)

2.7 会话限制 (53)

session-limit (53)

2.8流量管理 (53)

2.8.1 ip rate-control (53)

第三章网络安全协议（IPSec）命令 (55)

3.1 网络安全协议相关命令 (55)

3.1.1 clear crypto sa (56)

3.1.2 crypto ipsec security-association lifetime (57)

3.1.3 crypto ipsec transform-set (58)

3.1.4 crypto ipsec df-bit (全局) (59)

3.1.5 crypto ipsec df-bit (接口) (60)

3.1.6 crypto software (61)

3.1.7 crypto map (global IPSec) (62)

3.1.8 crypto dynamic-map (64)

3.1.9 crypto map (interface IPSec) (67)

3.1.10 crypto map local-address (68)

3.1.11 match address (IPSec) (69)

3.1.12 mode (IPSec) (70)

3.1.13 set peer (IPSec) (71)

3.1.14 set security-association lifetime (71)

3.1.15 set transform-set (73)

3.1.16 set exchange-mode (73)

3.1.17 show crypto ipsec sa (75)

3.1.18 show crypto ipsec transform-set (76)

3.1.19 show crypto map (IPSec) (76)

3.1.20 crypto isakmp enable (77)

3.1.21 crypto isakmp policy (78)

3.1.22 authentication (IKE policy) (80)

3.1.23 encryption (IKE policy) (80)

3.1.24 group (IKE policy) (81)

3.1.25 hash (IKE policy) (82)

3.1.26 lifetime (IKE policy) (83)

3.1.27 crypto isakmp key (84)

3.1.28 crypto isakmp keepalive (85)

3.1.29 crypto isakmp mode-detect (86)

3.1.30 self-identity (87)

3.1.31 clear crypto isakmp (87)

3.1.32 show crypto isakmp policy (88)

3.1.33 show crypto isakmp sa (89)

第2页 共197 页 fb8f74b8960590c69ec376ad

第六部分 安全配置命令参考.doc目录

3.1.34 debug crypto isakmp (89)

3.1.35 debug crypto ipsec (89)

第四章数字证书配置命令 (90)

4.1 数字证书相关命令 (90)

4.1.1 certificate (90)

4.1.2 crypto pki certificate chain (91)

4.1.3 crypto pki crl url (92)

4.1.4 crypto pki crl request (93)

4.1.5 crypto pki import pem (94)

4.1.6 crypto pki revocation-check (98)

4.1.7 debug crypto pki (99)

4.1.8 show crypto pki certificate (99)

4.1.9 show crypto pki crl (103)

第五章 VPDN配置命令 (106)

5.1 VPDN配置命令 (106)

5.1.1 vpdn enable (106)

5.1.2 vpdn source-ip (106)

5.1.3 vpdn session-limit (107)

5.2 VPDN的监控与维护命令 (107)

5.2.1 clear vpdn tunnel (108)

5.2.2 show vpdn (108)

5.2.3 debug vpdn (109)

第六章 VPDN-Group配置命令 (117)

6.1 accept dialin (117)

6.2 ip precedence (117)

6.3 ip tos (118)

6.4 local name (119)

6.5 protocol (119)

6.6 source-ip (120)

6.7 terminate-from (121)

6.8 virtual-template (121)

6.9 vpdn-group (122)

第七章 PPTP配置命令 (123)

7.1 Pptp flow-control receive-window (123)

7.2 Pptp flow-control static-rtt (124)

7.3 Pptp tunnel echo (124)

第八章 L2TP配置命令 (126)

8.1 authentication (L2TP) (126)

8.2 encapsulation (L2TP) (127)

8.3 hello (127)

8.4 hostname (L2TP) (128)

8.5 ip dfbit set (128)

8.6 ip local interface (129)

8.7 ip ttl (129)

第3页 共197 页 fb8f74b8960590c69ec376ad

第六部分 安全配置命令参考.doc目录

8.8 l2tp ip udp checksum (130)

8.9 l2tp tunnel authentication (130)

8.10 l2tp tunnel hello (131)

8.11 l2tp tunnel password (131)

8.12 l2tp tunnel receive-window (132)

8.13 l2tp tunnel retransmit (133)

8.14 l2tp tunnel timeout (133)

8.15 l2tp-class (134)

8.16 password (L2TP) (134)

8.17 protocol (L2TP) (135)

8.18 pseudowire (135)

8.19 pseudowire-class (136)

8.20 receive-window (137)

8.21 retransmit (137)

8.22 timeout setup (138)

第九章 IP NAT配置命令 (139)

9.1 IP NAT配置命令 (139)

9.1.1 address (139)

9.1.2 clear ip nat translation (140)

9.1.3 ip nat (141)

9.1.4 ip nat application (142)

9.1.5 ip nat inside destination (144)

9.1.6 ip nat inside source (146)

9.1.7 ip nat outside source (148)

9.1.8 ip nat pool (150)

9.1.9 ip nat translation (152)

9.1.10 show ip nat statistics (153)

9.1.11 show ip nat translations (155)

第十章 AAA命令 (158)

10.1 身份认证相关命令 (158)

10.1.1 aaa authentication (158)

10.2 授权相关命令 (159)

10.2.1 aaa authorization network (159)

10.3 记帐相关命令 (160)

10.3.1 aaa accounting network (161)

10.3.2 aaa accounting update (162)

10.3.3 aaa accounting update periodic (163)

10.3.4 show aaa method-list (163)

10.4 AAA服务器组命令 (164)

10.4.1 show aaa group (164)

10.4.2 aaa group server (165)

10.4.3 server ip-addr authen-port port1 acct-port port2 (166)

10.4.4 ip vrf forwarding (167)

10.5 AAA其他命令 (167)

第4页 共197 页 fb8f74b8960590c69ec376ad

第六部分 安全配置命令参考.doc目录

10.5.1 aaa new-model (168)

10.5.2 debug aaa (168)

10.5.3 show aaa method-list (169)

第十一章 RADIUS命令 (170)

11.1 RADIUS配置相关命令 (170)

11.1.1 ip radius source-interface (170)

11.1.2 radius-server host (171)

11.1.3 radius-server key (172)

11.1.4 radius-server retransmit (173)

11.1.5 radius-server timeout (173)

11.1.6 radius-server deadtime (174)

11.1.7 radius attribute (175)

11.1.8 radius set qos cos (177)

11.1.9 radius vendor-specific extend (178)

11.2 RADIUS特权命令 (179)

11.2.1 debug radius (179)

11.2.2 show radius server (179)

11.2.3 show radius parameter (180)

11.2.4 show radius vendor-specific (181)

第十二章 SSH命令参考 (183)

12.1 SSH配置相关命令 (183)

12.1.1 crypto key generate (184)

12.1.2 crypto key zeroize (185)

12.1.3 ip ssh version (185)

12.1.4 ip ssh time-out (186)

12.1.5 ip ssh authentication-retries (187)

12.2 SSH显示与监控命令 (189)

12.2.1 show ip ssh (190)

12.2.2 show ssh (190)

12.2.3 show crypto key mypubkey (191)

12.2.4 disconnect ssh (192)

第十三章 IP Accounting配置命令参考 (193)

13.1 IP Accounting配置命令 (193)

13.1.1 ip accounting {ingress | egress} list acl_list_number (193)

13.1.2 clear ip accounting (194)

13.2 IP accounting显示命令 (195)

13.2.1 show ip accounting {ingress | egress} {interior | exterior} (195)

13.2.2 show ip accounting interface (196)

第5页 共197 页 fb8f74b8960590c69ec376ad

第六部分 安全配置命令参考.doc 第一章访问控制列表(ACL)

命令第一章 访问控制列表(ACL)命令

在以下命令中用到的标识符可参见以下命令标识符表

标识符含义

id访问列表数值标号。可配范围

IP标准ACL: 1-99,1300-1999

IP扩展ACL: 100-199,2000-2699

MAC扩展ACL: 700–799

专家扩展ACL: 2700–2899

name ACL名字

sn ACL表项序号(支持按优先级设置产品)

start-sn序号起始值

inc-sn 序号增量

deny 如果匹配，则拒绝访问

permit 如果匹配，则允许访问

prot协议编号，对于IPv6的该字段可为ipv6,

icmp, tcp,udp及数值0-255，对于IPv4，

可以是eigrp, gre, ipinip, igmp, nos, ospf,

icmp, udp, tcp, ip中的一个，也可以是代表

IP协议的0-255编号，一些重要协议如

icmp/tcp/udp等单独列出进行说明

interface idx输入匹配的接口

src报文源地址（主机地址或网络地址）

src-wildcard源地址通配符。可以使不连续的，如

0.255.0.32

src-ipv6-pfix源IPv6网络地址或网络类型

dst-ipv6-pfix 目的IPv6网络地址或网络类型

pfix-len 高位起掩码位数

src-ipv6-addr 源IPv6地址

dst-ipv6-addr目的IPv6地址

dscp dscp有差服务码点, 码点值，范围0-63

flow-label flow-label流标签，流标签值范围0-1048575

dst 报文目标地址（主机地址或网络地址）

dst-wildcard 目标地址通配符。可以不连续，如

0.255.0.32

第6页 共197 页 fb8f74b8960590c69ec376ad

第六部分 安全配置命令参考.doc 第一章 访问控制列表(ACL)

命令

第7页 共197 页 fb8f74b8960590c69ec376ad

fragment

报文分片的过滤 precedence precedence 报文的优先级别（0-7）

time-range tm-rng-name 报文过滤的时间区，名称为tm-rng-name tos tos 报文的服务类型（0-15） cos cos 报文cos 值(0-7)

icmp-type ICMP 报文的消息类型（0-255） icmp-code ICMP 报文的消息类型代码（0-255） icmp-message ICMP 报文的消息类型名称

operator port [port ]

Operator 为操作符（lt-小于，eq-等于，gt-大于，neq-不等于，range-范围） port 端口号，二目操作需要两个端口号码，其他的操作符只要一个端口号

src-mac-addr 源主机的物理地址 dst-mac-addr 目的主机的物理地址

ethernet-type 以太网协议类型，可以输入0x 数值 match-all tcpf 匹配tcp flag 的所有位 text 注释信息

in 对进入该接口的报文进行过滤 out

对从该接口输出的报文进行过滤

{rule mask offset }+

rule 十六进制的值域，mask 十六进制的掩码域

offset 为偏移量，可参考偏移量表 “+”号表示至少一组

报文域如下：

AA AA AA AA AA AA BB BB BB BB BB BB CC CC DD DD DD DD EE FF GG HH HH HH II II JJ KK LL LL MM MM NN NN OO PP QQ QQ RR RR RR RR SS SS SS SS TT TT UU UU VV VV VV VV WW WW WW WW XY ZZ aa aa bb bb

对应偏移量表如下

字母 含义

偏移量 字母含义 偏移量

A 目的MAC 0 O TTL 字段 34

B 源MAC

6 P 协议号 35 C 数据帧长度字段 12 Q IP 校验和 36

E DSAP(目的服务访问点)字段

18 S 目的ip 地址 42 F SSAP(源服务访 问点)字段 19 T TCP 源端口 46 G

Ctrl 字段

20 U TCP 目的端口

48

第六部分 安全配置命令参考.doc 第一章 访问控制列表(ACL)

命令

第8页 共197 页 fb8f74b8960590c69ec376ad

H Org Code 字段 21 V 序列号 50 I 封装的数据类型 24 W 确认字段 54 J IP 版本号 26 XY IP 头长度和保留比特位 58 K TOS 字段 27 Z 保留比特位和flags 比

特位

59 L IP 包的长度 28 a Windows size 字段 60 M ID 号

30 b 其他 62 N

Flags 字段

32

上表中各个字段的偏移量是它们在SNAP ＋tag 的802.3 数据帧中的偏移量。

1.1 配置相关命令

全局配置模式命令

z access-list z ip access-list z mac access-list z expert access-list z ipv6 access-list

z ip access-list resequence z

ACL 配置模式命令

z deny z permit

z list-remark text z no sn z

接口模式命令

z ip access-group z mac access-group z expert access-group z ipv6 traffic-filter

1.1.1 access-list

该命令创建一个访问列表规则，用于过滤数据报文。该命令的no 形式删除指定的访问列表表项。

1）IP 标准访问列表（1 - 99，1300 - 1999）

access-list id {deny |permit }{src src-wildcard |host src |any | interface idx } [time-range tm-rng-name ]

2）IP 扩展访问列表（100 - 199，2000 - 2699）

第六部分 安全配置命令参考.doc 第一章访问控制列表(ACL)

命令

access-list id {deny|permit}prot{src src-wildcard |host src| any |interface idx}{dst

dst-wildcard|host dst|any}[fragment] [tos tos] [precedence precedence] [dscp

dscp][time-range tm-rng-name]

一些重要协议的IP扩展访问控制列表：

Internet Control Message Prot (ICMP)

access-list id{deny|permit}icmp{src src-wildcard|host src|any| interface idx}{dst

dst-wildcard |host dst|any} [icmp-type] [[icmp-type[icmp-code]]|[icmp-message]][precedence precedence] [tos tos][dscp

dscp][fragment][time-range time-range-name]

Transmission Control Prot (TCP)

access-list id{deny|permit}tcp{src src-wildcard|host src|any| interface idx}[operator

port[port]]{dst dst-wildcard|host dst|any}[operator port [port]][precedence

precedence][tos tos] [dscp dscp] [fragments] [match-all tcpf][time-range tm-rng-name]

User Datagram Prot(UDP)

access-list id{deny|permit} udp {src src -wildcard|host src |any|interface idx} [ operator

port[port]] {dst dst-wildcard|host dst|any} [operator port[port]][precedence

precedence][tos tos] [ dscp dscp] [fragments] [time-range time-range-name]

3）mac扩展访问列表（700 - 799）

access-list id{deny|permit}{any|host src-mac-addr}{any|host

dst-mac-addr}[ethernet-type][cos cos]

4）expert扩展访问列表（2700 - 2899）

access-list id {deny|permit}[prot|{[ethernet-type][cos cos]}] [VID vid]{src

src-wildcard|host src| interface idx}{host src-mac-addr |any} {dst dst-wildcard |host dst

|any}{host dst-mac-addr |any}] [precedence precedence] [tos tos] [ dscp dscp]

[fragment] [time-range tm-rng-name]

选择有ethernet-type字段或cos时

第9页 共197 页 fb8f74b8960590c69ec376ad

第六部分 安全配置命令参考.doc 第一章访问控制列表(ACL)

命令

access-list id {deny | permit} {[ethernet-type][cos cos]} [VID vid] {src src-wildcard | host src | any} {host src-mac-addr| any} {dst dst-wildcard | host dst | any} {host dst-mac-addr|any} [time-range time-range-name]

选择协议prot字段时

access-list id {deny|permit} prot [VID vid]{src src-wildcard| host src|any| interface idx} {host src-mac-addr|any }{dst dst-wildcard | host dst | any}{host dst-mac-addr | any} [precedence precedence][tos tos] [fragments] [ dscp dscp] [time-range time-range-name]

一些重要协议的Expert ACL扩展访问列表：

Internet Control Message Prot (ICMP)

access-list id {deny|permit} icmp[VID vid]{src src-wildcard |host src|any| interface idx}{host src-mac-addr|any} {dst dst-wildcard |host dst|any} {host dst-mac-addr |any} [icmp-type] [[icmp-type[icmp-code]]|[icmp-message]][precedence precedence] [ dscp dscp] [tos tos][fragments] [time-range time-range-name]

Transmission Control Prot (TCP)

access-list id {deny|permit} tcp {src src-wildcard|host src|any |interface idx}{host src-mac-addr |any} [operator port [port]] {dst dst-wildcard | host dst |any} {host dst-mac-addr | any} [operator port [port]] [precedence precedence] [fragment] [to s tos] [ dscp dscp] [match-all tcpf][time-range tm-rng-name]

User Datagram Prot (UDP)

access-list id {deny|permit} udp {src src-wildcard|host src|any| interface idx} {host src-mac-addr |any }[operator port [port]] {dst dst-wildcard |host dst|any}{host dst-mac-addr | any} [operator port [port]][precedence precedence][tos tos] [ dscp dscp] [fragments][time-range tm-rng-name]

5）列表注释

access-list list-remark text

第10页 共197 页 fb8f74b8960590c69ec376ad

第六部分 安全配置命令参考.doc 第一章访问控制列表(ACL)

命令

【参数说明】

参见命令标识符表

【缺省设置】

没有任何ACL

【命令模式】

全局配置模式

【使用指南】

为了使用访问列表对数据进行过滤，首先必须通过命令access-list定义一系列访问列表规则语句。您可以根据具体安全需要使用不同种类的访问列表：

标准IP访问列表（1-99，1300-1999）只对源地址进行控制。

扩展IP访问列表（100-199，2000-2699），可以根据源目的地址进行复杂的控制。

MAC扩展访问列表（700-799），可以根据源和目的mac地址以及以太网类型进行匹配expert扩展访问列表（2700-2899），上面信息的综合。

tcp flag包含以下部分或全部

z urg

z ack

z psh

z rst

z syn

z fin

报文优先级别名称如下：

z critical

z flash

z flash-override

z immediate

z internet

z network

z priority

z routine

服务类型名称如下：

z max-reliability

z max-throughput

第11页 共197 页 fb8f74b8960590c69ec376ad

第六部分 安全配置命令参考.doc 第一章访问控制列表(ACL)

命令

z min-delay

z min-monetary-cost

z normal

ICMP报文消息类型名称如下：

z administratively-prohibited

z dod-host-prohibited

z dod-net-prohibited

z echo

z echo-reply

z fragment-time-exceeded

z general-parameter-problem

z host-isolated

z host-precedence-unreachable

z host-redirect

z host-tos-redirect

z host-tos-unreachable

z host-unknown

z host-unreachable

z information-reply

z information-request

z mask-reply

z mask-request

z mobile-redirect

z net-redirect

z net-tos-redirect

z net-tos-unreachable

z net-unreachable

z network-unknown

z no-room-for-option

z option-missing

z packet-too-big

z parameter-problem

z port-unreachable

z precedence-unreachable

z prot-unreachable

z redirect

z router-advertisement

z router-solicitation

z src-quench

第12页 共197 页 fb8f74b8960590c69ec376ad

第六部分 安全配置命令参考.doc 第一章访问控制列表(ACL)

命令

z src-route-failed

z time-exceeded

z timestamp-reply

z timestamp-request

z ttl-exceeded

z unreachable

下面是TCP端口名称，TCP可以使用端口名称或端口号来指定具体的端口：

z bgp

z chargen

z cmd

z daytime

z discard

z domain

z echo

z exec

z finger

z ftp

z ftp-data

z gopher

z hostname

z ident

z irc

z klogin

z kshell

z login

z nntp

z pim-auto-rp

z pop2

z pop3

z smtp

z sunrpc

z syslog

z tacacs

z talk

z telnet

z time

z uucp

z whois

z www

第13页 共197 页 fb8f74b8960590c69ec376ad

第六部分 安全配置命令参考.doc 第一章访问控制列表(ACL)

命令下面是UDP端口名称，UDP可以使用端口名称或端口号来指定具体的端口：

z biff

z bootpc

z bootps

z discard

z dnsix

z domain

z echo

z isakmp

z mobile-ip

z nameserver

z netbios-dgm

z netbios-ns

z netbios-ss

z ntp

z pim-auto-rp

z rip

z snmp

z snmptrap

z sunrpc

z syslog

z tacacs

z talk

z tftp

z time

z who

z xdmcp

以太网协议类型ethernet-type如下

z aarp

z appletalk

z decnet-iv

z diagnostic

z etype-6000

z etype-8042

z lat

z lavc-sca

z mop-console

z mop-dump

z mumps

第14页 共197 页 fb8f74b8960590c69ec376ad

第六部分 安全配置命令参考.doc 第一章访问控制列表(ACL)

命令

z netbios

z vines-echo

z xns-idp

z0x0000-0xffff 间的数值

【举例】

1）IP标准访问列表示例

下面的IP基本访问列表允许源地址为192.168.1.64 - 192.168.1.127的报文通过，其他的所有报文拒绝：

Ruijie(config)#access-list1permit192.168.1.640.0.0.63

2）IP扩展访问列表示例

下面的IP扩展访问列表允许DNS报文和ICMP报文通过：

Ruijie(config)#access-list 102 permit tcp any any eq domain

Ruijie(config)#access-list 102 permit udp any any eq domain

Ruijie(config)#access-list 102 permit icmp any any echo

Ruijie(config)#access-list 102 permit icmp any any echo-reply

3）MAC扩展访问列表示例

下面是使用范例，目的是拒绝MAC为00d0f8000c0c的源主机发送类型为100的以太网帧，并应用到接口1。配置方法：

Ruijie(config)#access-list702deny host00d0f8000c0c any aarp

Ruijie(config)# interface gigabitethernet1/1

Ruijie(config-if)# mac access-group702in

4）Expert扩展访问列表示例

下例显示如何创建及显示一条 Expert Extended ACL，该专家ACL拒绝源IP地址为192.168.12.3并且源MAC地址为00d0.f800.0044的所有TCP报文。

Ruijie(config)#access-list2702deny tcp host192.168.12.3mac00d0.f800.0044any any

Ruijie(config)# access-list2702permit any any any any

Ruijie(config)# show access-lists

expert access-list extended 2702

10 deny tcp host 192.168.12.3 mac 00d0.f800.0044 any any

20 permit any any any any

第15页 共197 页 fb8f74b8960590c69ec376ad

第六部分 安全配置命令参考.doc 第一章访问控制列表(ACL)

命令【相关命令】

命令说明

show access-lists查看所有的访问列表

mac access-group在接口上应用mac扩展访问列表

【平台说明】

软件版本RGNOS10.0以上

1.1.2 ip access-list

该命令创建标准IP ACL或扩展IP ACL，并进入该配置模式。使用该命令的no选项删除该ACL

ip access-list {extended | standard} {id|name}

no ip access-list {extended | standard} {id|name}

【参数说明】

参见命令标识符表

【缺省设置】

没有任何ACL

【命令模式】

全局配置模式

【使用指南】

标准ACL配置模式和扩展配置模式的不同，就是扩展模式对ACL的设置更加细致。参考deny和permit命令的标准和扩展形式。使用show ip access-lists命令查看ACL设置。

【举例】

创建标准ACL：

Ruijie(config)#ip access-list extended 123

Ruijie(config-ext-nacl)#show ip access-lists

ip access-list extended 123

Ruijie(config-ext-nacl)#

创建扩展ACL：

Ruijie(config)#ip access-list standard std-acl

Ruijie(config-std-nacl)#show ip access-lists

ip access-list standard std-acl

第16页 共197 页 fb8f74b8960590c69ec376ad

第六部分 安全配置命令参考.doc 第一章访问控制列表(ACL)

命令Ruijie(config-std-nacl)#

【相关命令】

命令说明

show ip access-lists查看ip类访问列表

【平台说明】

软件版本RGNOS10.0以上

1.1.3 mac access-list

该命令创建mac扩展 ACL，并进入该配置模式。使用该命令的no选项删除该ACL

mac access-list extended {id|name}

no mac access-list extended {id|name}

【参数说明】

参见命令标识符表

【缺省设置】

没有MAC ACL

【命令模式】

全局配置模式

【使用指南】

执行该命令。使用show mac access-lists命令查看ACL设置。

【举例】

创建mac扩展ACL：

Ruijie(config)#mac access-list extended mac-acl

Ruijie(config-mac-nacl)#show mac access-lists

mac access-list extended mac-acl

Ruijie(config-mac-nacl)#

创建MAC扩展ACL：

Ruijie(config)#mac access-list extended 704

Ruijie(config-mac-nacl)#show mac access-lists

mac access-list extended 704

Ruijie(config-mac-nacl)#

第17页 共197 页 fb8f74b8960590c69ec376ad

第六部分 安全配置命令参考.doc 第一章访问控制列表(ACL)

命令【相关命令】

命令说明

show mac access-lists 查看mac扩展类访问列表

【平台说明】

软件版本RGNOS10.0以上

1.1.4 expert access-list

该命令创建专家扩展 ACL，并进入该配置模式。使用该命令的no选项删除该ACL

expert access-list extended {id|name}

no expert access-list extended {id|name}

【参数说明】

参见命令标识符表

【缺省设置】

没有Expert ACL

【命令模式】

全局配置模式

【使用指南】

执行该命令。使用show expert access-lists命令查看ACL设置。

【举例】

创建专家扩展ACL：

Ruijie(config)#expert access-list extended exp-acl

Ruijie(config-exp-nacl)#show expert access-lists

expert access-list extended exp-acl

Ruijie(config-exp-nacl)#

创建专家扩展ACL：

Ruijie(config)#expert access-list extended 2704

Ruijie(config-exp-nacl)#show expert access-lists

expert access-list extended 2704

Ruijie(config-exp-nacl)#

【相关命令】

命令说明

第18页 共197 页 fb8f74b8960590c69ec376ad

第六部分 安全配置命令参考.doc 第一章访问控制列表(ACL)

命令

show expert access-lists查看专家扩展类访问列表

【平台说明】

软件版本RGNOS10.0以上

1.1.5 ipv6 access-list extended

该命令创建ipv6扩展 ACL，并进入该配置模式。使用该命令的no选项删除该ACL

ipv6 access-list extended name

no ipv6 access-list extended name

【参数说明】

参见命令标识符表

【命令模式】

全局配置模式

【使用指南】

执行该命令。使用show ipv6 access-lists命令查看ACL设置。

【举例】

创建ipv6扩展ACL：

Ruijie(config)#ipv6 access-list extended v6-acl

Ruijie(config-ipv6-nacl)#show ipv6 access-lists

ipv6 access-list extended v6-acl

Ruijie(config-ipv6-nacl)#

【相关命令】

命令说明

show ipv6 access-lists查看ipv6扩展类访问列表

【平台说明】

软件版本RGNOS10.0以上

1.1.6 ip access-list resequence

该命令对ip类型的ACL表项重排，创建ipv6扩展 ACL，并进入该配置模式。使用该命令的no选项恢复默认值

ip access-list resequence {id|name} start-sn inc-sn

no ip access-list resequence {id|name}

第19页 共197 页 fb8f74b8960590c69ec376ad

第六部分 安全配置命令参考.doc 第一章访问控制列表(ACL)

命令

【参数说明】

参见命令标识符表

【缺省设置】

start-sn10

inc-sn10

【命令模式】

全局配置模式

【使用指南】

执行该命令。使用show access-lists命令查看ACL设置。

【举例】

ACL的表项重排：

Ruijie#show access-lists

ip access-list standard 1

10 permit host 192.168.4.12

20 deny any any

Ruijie#config

Ruijie(config)#ip access-list resequence 1 21 43

Ruijie(config)#exit

Ruijie#show access-lists

ip access-list standard 1

21 permit host 192.168.4.12

64 deny any any

Ruijie#

【相关命令】

命令说明

show access-lists查看访问列表

【平台说明】

软件版本RGNOS10.0以上

S29系列不支持

第20页 共197 页 fb8f74b8960590c69ec376ad

本文来源：https://www.bwwdw.com/article/xjnq.html