RULE规则.docx
- 文档编号:12877027
- 上传时间:2023-06-08
- 格式:DOCX
- 页数:54
- 大小:37.06KB
RULE规则.docx
《RULE规则.docx》由会员分享,可在线阅读,更多相关《RULE规则.docx(54页珍藏版)》请在冰点文库上搜索。
RULE规则
RULE规则
一、ruledescription
命令功能
ruledescription命令用来配置某条规则的描述信息。
undoruledescription命令用来删除某条规则的描述信息。
缺省情况下,各规则没有描述信息。
命令格式
rulerule-iddescription
undorulerule-iddescription
参数说明
参数
参数说明
取值
rule-id
指定ACL的规则ID。
整数形式,取值范围是0~4294967294。
description
指定某rule-id规则的描述信息。
用户可以通过这个描述信息更详细地记录规则,便于识别规则。
字符串形式,不超过127个字符。
视图
基本ACL视图、高级ACL视图、二层ACL视图、UCL视图、基本ACL6视图、高级ACL6视图
缺省级别
2:
配置级
使用指南
使用场景
当前规则的标识方式主要是使用rule-id,一个数字很难很好地表达该规则的含义、用途等信息,不便于用户标记,一定长度字符串的标记方式就可以解决这个问题。
前置条件
在使用rulerule-iddescription进行描述信息配置的时候,必须保证该rule-id的规则已经存在,否则系统提示错误信息:
Warning:
Theaclsubitemnumberdoesnotexist.
该rule-id的规则的配置可以在使用不同视图下的rule命令来配置,分别为:
rule(高级ACL6视图)、rule(高级ACL视图)、rule(基本ACL6视图)、rule(基本ACL视图)、rule(二层ACL视图)、rule(UCL视图)。
配置影响
该命令是覆盖式命令,配置结果可以使用displayacl和displayaclipv6查询。
使用实例
#假设ACL2001的规则5是允许源地址是192.168.32.1的报文,配置增加规则5的描述信息。
[Quidway]acl2001
[Quidway-acl-basic-2001]rule5descriptionpermit192.168.32.1
[Quidway-acl-basic-2001]displayacl2001
BasicACL2001,2rules
Acl'sstepis5
rule2deny
rule5permitsource192.168.32.10
rule5descriptionpermit192.168.32.1
#配置在ACL2001中删除规则5的描述信息。
[Quidway]acl2001
[Quidway-acl-basic-2001]undorule5description
[Quidway-acl-basic-2001]displayacl2001
BasicACL2001,2rules
Acl'sstepis5
rule2deny
rule5permitsource192.168.32.10
二、rule(UCL视图)
命令功能
rule命令用来在对应的UCL视图下增加一个规则。
undorule命令用来删除一个规则。
命令格式
rule[rule-id]{deny|permit}[[l2-head|ipv4-head|ipv6-head|l4-head]{rule-stringrule-maskoffset}][time-rangetime-range-name]
undorulerule-id
参数说明
参数
参数说明
取值
rule-id
指定ACL的规则ID。
该参数只对匹配规则是config的ACL有效。
∙如果指定ID的规则已经存在,则会在旧规则的基础上叠加新定义的规则,相当于编辑一个已经存在的规则;如果指定ID的规则不存在,则使用指定的ID创建一个新规则,并且按照ID的大小决定规则插入的位置。
∙如果不指定ID,则增加一个新规则时S9300动会为这个规则分配一个ID,ID按照大小排序。
系统自动分配ID时会留有一定的空间,具体的相邻ID范围由step命令指定。
整数形式,取值范围为0~4294967294。
deny
表示拒绝符合条件的数据包。
-
permit
表示允许符合条件的数据包。
-
l2-head|ipv4-head|ipv6-head|l4-head
表示从指定位置开始偏移,其中:
∙l2-head表示从报文的二层头部开始偏移;
∙ipv4-head表示从IPv4头部开始偏移;
∙ipv6-head表示从IPv6头部开始偏移;
∙l4-head表示从四层头部开始偏移。
-
rule-string
表示用户自定义的规则字符串。
16进制形式,字符长度必须是偶数,最大支持4个字节。
rule-mask
表示规则字符串的掩码。
16进制形式,字符长度必须是偶数,最大支持4个字节。
当用户定义的规则字符串对应的掩码为“1”时,ACL对该位进行匹配;当用户定义的规则字符串对应的掩码为“0”时,ACL不对该位进行匹配。
offset
表示偏移值。
整数形式,单位是字节。
根据偏移位置不同,offset取值范围不同。
取值范围为:
2~98。
time-rangetime-range-name
表示定义一个ACL规则生效的时间段。
time-range-name表示时间段的名称。
字符串形式,长度范围是1~32。
视图
UCL视图
缺省级别
2:
配置级
使用指南
在S9300上使用rule命令定义用于流分类的匹配规则,不仅根据rule命令中的permit和deny参数对信息进行过滤操作,还需要结合流行为进行过滤。
rule(UCL视图)命令每次固定匹配4个字节的内容,当配置的rule-string参数长度不满4个字节时,在前面补0凑足4个字节进行匹配。
使用命令undorule删除规则的时候,rule-id必须是一个已经存在的ACL规则编号,如果不知道规则的编号,可以使用命令displayacl来查看。
说明:
用户自定义ACL只能应用于上行策略。
使用实例
#在编号为5001的ACL中增加一条规则,从二层报文头开始匹配4个字节的字符串,字符串内容为0180C200。
[Quidway]acl5001
[Quidway-acl-user-5001]rulepermitl2-head0x0180C2000xFFFFFFFF14
三、rule(二层ACL视图)
命令功能
rule命令用来在对应的二层ACL视图下增加一个规则。
undorule命令用来删除一个二层ACL规则。
命令格式
rule[rule-id]{permit|deny}[[ether-ii|802.3|snap]|l2-protocoltype-value[type-mask]|destination-macdest-mac-address[dest-mac-mask]|source-macsource-mac-address[source-mac-mask]|vlan-idvlan-id[vlan-id-mask]|8021p802.1p-value|cvlan-idcvlan-id[cvlan-id-mask]|cvlan-8021p802.1p-value|double-tag]*[time-rangetime-range-name]
undorulerule-id
参数说明
参数
参数说明
取值
rule-id
指定ACL的规则ID。
该参数只对匹配规则是config的ACL有效。
∙如果指定ID的规则已经存在,则会在旧规则的基础上叠加新定义的规则,相当于编辑一个已经存在的规则;如果指定ID的规则不存在,则使用指定的ID创建一个新规则,并且按照ID的大小决定规则插入的位置。
∙如果不指定ID,则增加一个新规则时S9300自动会为这个规则分配一个ID,ID按照大小排序。
系统自动分配ID时会留有一定的空间,具体的相邻ID范围由step命令指定。
说明:
S9300自动生成的规则ID从步长值起始,缺省步长为5,即从5开始并按照5的倍数生成规则序号,序号分别为5、10、15、……
整数形式,取值范围是0~4294967294。
deny
表示拒绝符合条件的数据包。
-
permit
表示允许符合条件的数据包。
-
ether-ii|802.3|snap
表示匹配报文的封装格式。
其中:
∙ether-ii表示EthernetII封装;
∙802.3表示802.3封装;
∙snap表示SNAP封装;
-
l2-protocoltype-valuetype-mask
表示二层协议的类型,对应Ethernet_II类型中的Ethernettype和Ethernet_SNAP类型帧中的type-code域。
其中:
∙type-value表示二层协议类型值;
∙type-mask表示二层协议类型掩码。
十六进制表示,取值范围是0x0~0xFFFF。
其中:
∙ARP的协议类型值为0x0806
∙IP的协议类型值为0x0800
∙IPv6的协议类型值为0x86dd
destination-macdest-mac-addressdest-mac-mask
指定ACL规则的目的MAC地址信息。
其中:
∙dest-mac-address:
数据包的目的MAC地址。
∙dest-mac-mask:
目的MAC地址掩码。
dest-mac-address和dest-mac-mask格式均为H-H-H,其中H为1至4位的十六进制数。
这两个参数共同作用可以得到用户感兴趣的目的MAC地址范围。
比如00e0-fc01-0101ffff-ffff-ffff指定了一个MAC地址:
00e0-fc01-0101,而00e0-fc01-0101ffff-ffff-0000则指定了一个MAC地址范围:
00e0-fc01-0000~00e0-fc01-ffff。
source-macsource-mac-addresssource-mac-mask
指定ACL规则的源MAC地址信息。
其中:
∙source-mac-address:
表示数据包的源MAC地址。
∙source-mac-mask:
表示源MAC地址掩码。
source-mac-address和source-mac-mask的格式均为H-H-H,其中H为1至4位的十六进制数。
这两个参数共同作用可以得到用户感兴趣的源MAC地址范围。
比如00e0-fc01-0101ffff-ffff-ffff指定了一个MAC地址:
00e0-fc01-0101,而00e0-fc01-0101ffff-ffff-0000则指定了一个MAC地址范围:
00e0-fc01-0000~00e0-fc01-ffff。
vlan-idvlan-idvlan-id-mask
指定匹配报文的外层VLAN的编号,其中:
∙vlan-id表示外层VLANID的值;
∙vlan-id-mask表示外层VLANID值的掩码。
vlan-id为整数形式,取值范围是1~4094。
vlan-id-mask为十六进制形式,取值范围是0~0xFFF,缺省值为0xFFF。
8021p802.1p-value
指定匹配报文的外层VLAN的802.1p优先级。
整数形式,取值范围是0~7。
cvlan-idcvlan-idcvlan-id-mask
指定匹配报文的内层VLAN的编号。
∙vlan-id表示外层VLANID的值;
∙vlan-id-mask表示外层VLANID值的掩码。
vlan-id为整数形式,取值范围是1~4094。
vlan-id-mask为十六进制形式,取值范围是0~0xFFF,缺省值为0xFFF。
cvlan-8021p802.1p-value
指定匹配报文的内层VLAN的802.1p优先级。
整数形式,取值范围是0~7。
double-tag
指定匹配带双层tag的报文。
-
time-rangetime-range-name
表示定义一个ACL规则生效的时间段。
time-range-name表示时间段的名称。
time-range-name为字符串形式,长度范围是1~32。
视图
二层ACL视图
缺省级别
2:
配置级
使用指南
当ACL被QoS功能引用时,如果ACL规则中定义的动作为deny,则匹配此ACL的报文就被丢弃。
如果ACL规则中定义的动作为permit,则S9300对匹配此ACL的报文采取的动作由QoS中流行为定义的动作决定。
使用命令undorule删除规则的时候,rule-id必须是一个已经存在的ACL规则编号,如果不知道规则的编号,可以使用命令displayacl来查看。
使用实例
#在ACL4001中增加一条规则,匹配目的MAC地址是0-0-1,源MAC地址是0-0-2,二层协议类型值为0x0800的报文。
[Quidway]acl4001
[Quidway-acl-L2-4001]rulepermitdestination-mac0-0-1source-mac0-0-2l2-protocol0x0800
四、rule(高级ACL6视图)
命令功能
rule命令用来增加或修改高级ACL6规则。
undorule命令用来删除ACL6规则。
命令格式
∙当参数protocol为TCP时,高级ACL6的命令格式为:
rule[rule-id]{deny|permit}{tcp|protocol-number}[destination{destination-ipv6-addressprefix-length|destination-ipv6-address/prefix-length|postfixpostfix-length|any}|destination-port{eq|gt|lt|range}port|dscpdscp|fragment|logging|precedenceprecedence|source{source-ipv6-addressprefix-length|source-ipv6-address/prefix-length|source-ipv6-addresspostfixpostfix-length|any}|source-port{eq|gt|lt|range}port|time-rangetime-name|tostos]*
∙当参数protocol为UDP时,高级ACL6的命令格式为:
rule[rule-id]{deny|permit}{udp|protocol-number}[destination{destination-ipv6-addressprefix-length|destination-ipv6-address/prefix-length|postfixpostfix-length|any}|destination-port{eq|gt|lt|range}port|dscpdscp|fragment|logging|precedenceprecedence|source{source-ipv6-addressprefix-length|source-ipv6-address/prefix-length|source-ipv6-addresspostfixpostfix-length|any}|source-port{eq|gt|lt|range}port|time-rangetime-name|tostos]*
∙当参数protocol为ICMPv6时,高级ACL6的命令格式为:
rule[rule-id]{deny|permit}{icmpv6|protocol-number}[destination{destination-ipv6-addressprefix-length|destination-ipv6-address/prefix-length|postfixpostfix-length|any}|dscpdscp|fragment|icmp6-type{icmp6-type-name|icmp6-typeicmp6-code}|logging|precedenceprecedence|source{source-ipv6-addressprefix-length|source-ipv6-address/prefix-length|source-ipv6-addresspostfixpostfix-length|any}|time-rangetime-name|tostos]*
∙当protocol为其他协议时,高级ACL6的命令格式为:
rule[rule-id]{deny|permit}{protocol-number|gre|ipv6|ospf}[destination{destination-ipv6-addressprefix-length|destination-ipv6-address/prefix-length|destination-ipv6-addresspostfixpostfix-length|any}|dscpdscp|fragment|logging|precedenceprecedence|source{source-ipv6-addressprefix-length|source-ipv6-address/prefix-length|source-ipv6-addresspostfixpostfix-length|any}|time-rangetime-name|tostos]*
删除高级ACL6的规则:
undorulerule-id[destination|destination-port|fragment|icmp6-type|precedence|source|source-port|time-range|tos]
参数说明
参数
参数说明
取值
rule-id
规则ID。
∙如果指定了ID的规则存在,可以对其进行修改。
如果不存在,将会创建一条带有指定ID的新规则。
∙如果未指定规则ID,在创建新规则时系统会自动分配规则ID。
整数形式,取值范围是0~2047。
deny
丢弃符合条件的数据包。
-
permit
允许符合条件的数据包通过。
-
tcp
指定匹配协议类型为TCP。
-
udp
指定匹配协议类型为UDP。
-
icmpv6
指定匹配协议类型为ICMPv6。
-
protocol-number
用名字或数字表示的IP承载的协议类型。
数字范围为1~255;用名字表示时,可以选取:
GRE、ICMPv6、IPv6、OSPF、TCP和UDP。
destination{destination-ipv6-addressprefix-length|destination-ipv6-address/prefix-length|any}
数据包的目的地址和前缀。
destination-ipv6-address用点分十进制表示。
prefix-length的取值范围1~128。
或用“any”代表任何目的地址。
destinationdestination-ipv6-addresspostfixpostfix-length
数据包的目的地址和地址后缀掩码长度。
destination-ipv6-address点分十进制表示目的地址。
postfix-length表示地址后缀掩码长度,整数形式,取值范围1~64。
dscpdscp
指定区分服务代码点(DifferentiatedServicesCodePoint)。
其中dscp表示区分服务代码点的取值。
dscp的取值形式是整数形式或名称。
采用整数形式时,取值范围是0~63。
采用名称时,取值为如下关键字af11,af12,af13,af21,af22,af23,af31,af32,af33,af41,af42,af43,cs1,cs2,cs3,cs4,cs5,cs6,cs7,default或ef。
fragment
指定该规则是否仅对非首片分片报文有效。
当包含此参数时表示该规则仅对非首片分片报文有效。
-
logging
指定对ACL的匹配信息写日志。
-
precedenceprecedence
数据包可以依据优先级字段进行过滤。
用名字或数字表示。
数字的取值范围是0~7。
source{source-ipv6-addressprefix-length|source-ipv6-address/prefix-length|any}
数据包的源地址和前缀。
source-ipv6-address点分十进制表示源地址。
prefix-length整数形式,取值范围是1~128。
或用“any”代表任何源地址。
sourcesource-ipv6-addresspostfixpostfix-length
数据包的源地址和地址后缀掩码长度。
source-ipv6-address点分十进制表示源地址。
postfix-length表示地址后缀掩码长度,整数形式,取值范围1~64。
{eq|gt|lt|range}
比较源或者目的地址的端口号的操作符。
当IP承载的协议类型是TCP或UDP时,支持比较操作。
只有range需要两个端口号做操作数,其他的只需要一个端口号做操作数。
操作符包括:
lt(小于),gt(大于),eq(等于),neq(不等于),range(在范围内)。
port
TCP或UDP的端口号,用名字或数字表示。
用名字或数字表示。
数字的取值范围是0~65535。
icmpv6-type{icmp6-type-name|icmp6-typeicmp6-code
指定ICMPv6报文的类型和消息码信息,仅仅在报文协议是ICMP的情况下有效。
如果不配置,表
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- RULE 规则