.
.
RULE规则
一、ruledescription
命令功能
ruledescription命令用来配置某条规则的描述信息。
undoruledescription命令用来删除某条规则的描述信息。
缺省情况下,各规则没有描述信息。
命令格式
rulerule-iddescription
undorulerule-iddescription
参数说明
参数参数说明取值
rule-id指定ACL的规则ID。整数形式,取值范围是
0~4294967294。
description指定某rule-id规则的描
述信息。
用户可以通过这个描述信
息更详细地记录规则,便
于识别规则。
字符串形式,不超过127
个字符。
视图
基本ACL视图、高级ACL视图、二层ACL视图、UCL视图、基本ACL6视图、
高级ACL6视图
缺省级别
.
.
2:配置级
使用指南
使用场景
当前规则的标识方式主要是使用rule-id,一个数字很难很好地表达该规则的含
义、用途等信息,不便于用户标记,一定长度字符串的标记方式就可以解决这个
问题。
前置条件
在使用rulerule-iddescription进行描述信息配置的时候,必须保证该
rule-id的规则已经存在,否则系统提示错误信息:
Warning:Theaclsubitemnumberdoesnotexist.
该rule-id的规则的配置可以在使用不同视图下的rule命令来配置,分别为:
rule(高级ACL6视图)、rule(高级ACL视图)、rule(基本ACL6视图)、rule
(基本ACL视图)、rule(二层ACL视图)、rule(UCL视图)。
配置影响
该命令是覆盖式命令,配置结果可以使用displayacl和displayaclipv6查
询。
使用实例
#假设ACL2001的规则5是允许源地址是192.168.32.1的报文,配置增加规则
5的描述信息。
[Quidway]acl2001
[Quidway-acl-basic-2001]rule5descriptionpermit192.168.32.1
[Quidway-acl-basic-2001]displayacl2001
BasicACL2001,2rules
Acl'sstepis5
rule2deny
rule5permitsource192.168.32.10
rule5descriptionpermit192.168.32.1
#配置在ACL2001中删除规则5的描述信息。
.
.
[Quidway]acl2001
[Quidway-acl-basic-2001]undorule5description
[Quidway-acl-basic-2001]displayacl2001
BasicACL2001,2rules
Acl'sstepis5
rule2deny
rule5permitsource192.168.32.10
二、rule(UCL视图)
命令功能
rule命令用来在对应的UCL视图下增加一个规则。
undorule命令用来删除一个规则。
命令格式
rule[rule-id]{deny|permit}[[l2-head|ipv4-head|ipv6-head
|l4-head]{rule-stringrule-maskofft}][time-range
time-range-name]
undorulerule-id
参数说明
参数参数说明取值
rule-id指定ACL的规则ID。该
参数只对匹配规则是
config的ACL有效。
•如果指定ID的
规则已经存在,
则会在旧规则的
基础上叠加新定
义的规则,相当
于编辑一个已经
存在的规则;如
果指定ID的规
则不存在,则使
整数形式,取值范围为0~
4294967294。
.
.
参数参数说明取值
用指定的ID创
建一个新规则,
并且按照ID的
大小决定规则插
入的位置。
•如果不指定ID,
则增加一个新规
则时S9300动会
为这个规则分配
一个ID,ID按照
大小排序。系统
自动分配ID时
会留有一定的空
间,具体的相邻
ID范围由step
命令指定。
deny表示拒绝符合条件的数
据包。
-
permit表示允许符合条件的数
据包。
-
l2-head|
ipv4-head|
ipv6-head|
l4-head
表示从指定位置开始偏
移,其中:
•l2-head表示从
报文的二层头部
开始偏移;
•ipv4-head表示
从IPv4头部开
始偏移;
•ipv6-head表示
从IPv6头部开
始偏移;
•l4-head表示从
四层头部开始偏
移。
-
rule-string表示用户自定义的规则
字符串。
16进制形式,字符长度必须是偶数,
最大支持4个字节。
rule-mask表示规则字符串的掩16进制形式,字符长度必须是偶数,
.
.
参数参数说明取值
码。最大支持4个字节。当用户定义的规
则字符串对应的掩码为“1”时,ACL
对该位进行匹配;当用户定义的规则
字符串对应的掩码为“0”时,ACL
不对该位进行匹配。
offt表示偏移值。整数形式,单位是字节。根据偏移位
置不同,offt取值范围不同。取
值范围为:2~98。
time-range
time-range-name
表示定义一个ACL规则
生效的时间段。
time-range-name表示
时间段的名称。
字符串形式,长度范围是1~32。
视图
UCL视图
缺省级别
2:配置级
使用指南
在S9300上使用rule命令定义用于流分类的匹配规则,不仅根据rule命令中的
permit和deny参数对信息进行过滤操作,还需要结合流行为进行过滤。
rule(UCL视图)命令每次固定匹配4个字节的内容,当配置的rule-string
参数长度不满4个字节时,在前面补0凑足4个字节进行匹配。
使用命令undorule删除规则的时候,rule-id必须是一个已经存在的ACL规则
编号,如果不知道规则的编号,可以使用命令displayacl来查看。
.
.
说明:
用户自定义ACL只能应用于上行策略。
使用实例
#在编号为5001的ACL中增加一条规则,从二层报文头开始匹配4个字节的字
符串,字符串内容为0180C200。
[Quidway]acl5001
[Quidway-acl-ur-5001]rulepermitl2-head0x0180C2000xFFFFFFFF14
三、rule(二层ACL视图)
命令功能
rule命令用来在对应的二层ACL视图下增加一个规则。
undorule命令用来删除一个二层ACL规则。
命令格式
rule[rule-id]{permit|deny}[[ether-ii|802.3|snap]|l2-protocol
type-value[type-mask]|destination-macdest-mac-address
[dest-mac-mask]|source-macsource-mac-address[source-mac-mask]|
vlan-idvlan-id[vlan-id-mask]|8021p802.1p-value|cvlan-idcvlan-id
.
.
[cvlan-id-mask]|cvlan-8021p802.1p-value|double-tag]*[time-range
time-range-name]
undorulerule-id
参数说明
参数参数说明取值
rule-id指定ACL的规则ID。该参数只对
匹配规则是config的ACL有效。
•如果指定ID的规则已经存
在,则会在旧规则的基础上
叠加新定义的规则,相当于
编辑一个已经存在的规则;
如果指定ID的规则不存
在,则使用指定的ID创建
一个新规则,并且按照ID
的大小决定规则插入的位
置。
•如果不指定ID,则增加一
个新规则时S9300自动会
为这个规则分配一个ID,
ID按照大小排序。系统自
动分配ID时会留有一定的
空间,具体的相邻ID范围
由step命令指定。
说明:
S9300自动生成的规则ID从步长
值起始,缺省步长为5,即从5开
始并按照5的倍数生成规则序号,
序号分别为5、10、15、……
整数形式,取值范围是
0~4294967294。
deny表示拒绝符合条件的数据包。-
permit表示允许符合条件的数据包。-
ether-ii|802.3|
snap
表示匹配报文的封装格式。其中:
•ether-ii表示Ethernet
II封装;
•802.3表示802.3封装;
-
.
.
参数参数说明取值
•snap表示SNAP封装;
l2-protocol
type-value
type-mask
表示二层协议的类型,对应
Ethernet_II类型中的Ethernet
type和Ethernet_SNAP类型帧中
的type-code域。其中:
•type-value表示二层协议
类型值;
•type-mask表示二层协议
类型掩码。
十六进制表示,取值范
围是0x0~0xFFFF。其
中:
•ARP的协议类型
值为0x0806
•IP的协议类型
值为0x0800
•IPv6的协议类
型值为0x86dd
destination-mac
dest-mac-address
dest-mac-mask
指定ACL规则的目的MAC地址信
息。其中:
•dest-mac-address:数据包
的目的MAC地址。
•dest-mac-mask:目的MAC
地址掩码。
dest-mac-address和
dest-mac-mask格式均
为H-H-H,其中H为1
至4位的十六进制数。
这两个参数共同作用
可以得到用户感兴趣
的目的MAC地址范围。
比如00e0-fc01-0101
ffff-ffff-ffff指定
了一个MAC地址:
00e0-fc01-0101,而
00e0-fc01-0101
ffff-ffff-0000则指
定了一个MAC地址范
围:00e0-fc01-0000~
00e0-fc01-ffff。
source-mac
source-mac-address
source-mac-mask
指定ACL规则的源MAC地址信息。
其中:
•source-mac-address:表示
数据包的源MAC地址。
•source-mac-mask:表示源
MAC地址掩码。
source-mac-address
和source-mac-mask的
格式均为H-H-H,其中
H为1至4位的十六进
制数。
这两个参数共同作用
可以得到用户感兴趣
的源MAC地址范围。比
如00e0-fc01-0101
ffff-ffff-ffff指定
.
.
参数参数说明取值
了一个MAC地址:
00e0-fc01-0101,而
00e0-fc01-0101
ffff-ffff-0000则指
定了一个MAC地址范
围:00e0-fc01-0000~
00e0-fc01-ffff。
vlan-idvlan-id
vlan-id-mask
指定匹配报文的外层VLAN的编
号,其中:
•vlan-id表示外层VLANID
的值;
•vlan-id-mask表示外层
VLANID值的掩码。
vlan-id为整数形式,
取值范围是1~4094。
vlan-id-mask为十六
进制形式,取值范围是
0~0xFFF,缺省值为
0xFFF。
8021p802.1p-value指定匹配报文的外层VLAN的
802.1p优先级。
整数形式,取值范围是
0~7。
cvlan-idcvlan-id
cvlan-id-mask
指定匹配报文的内层VLAN的编
号。
•vlan-id表示外层VLANID
的值;
•vlan-id-mask表示外层
VLANID值的掩码。
vlan-id为整数形式,
取值范围是1~4094。
vlan-id-mask为十六
进制形式,取值范围是
0~0xFFF,缺省值为
0xFFF。
cvlan-8021p
802.1p-value
指定匹配报文的内层VLAN的
802.1p优先级。
整数形式,取值范围是
0~7。
double-tag指定匹配带双层tag的报文。-
time-range
time-range-name
表示定义一个ACL规则生效的时
间段。time-range-name表示时间
段的名称。
time-range-name为字
符串形式,长度范围是
1~32。
视图
二层ACL视图
缺省级别
.
.
2:配置级
使用指南
当ACL被QoS功能引用时,如果ACL规则中定义的动作为deny,则匹配此ACL
的报文就被丢弃。如果ACL规则中定义的动作为permit,则S9300对匹配此ACL
的报文采取的动作由QoS中流行为定义的动作决定。
使用命令undorule删除规则的时候,rule-id必须是一个已经存在的ACL规则
编号,如果不知道规则的编号,可以使用命令displayacl来查看。
使用实例
#在ACL4001中增加一条规则,匹配目的MAC地址是0-0-1,源MAC地址是0-0-2,
二层协议类型值为0x0800的报文。
[Quidway]acl4001
[Quidway-acl-L2-4001]rulepermitdestination-mac0-0-1source-mac
0-0-2l2-protocol0x0800
四、rule(高级ACL6视图)
命令功能
rule命令用来增加或修改高级ACL6规则。
undorule命令用来删除ACL6规则。
命令格式
•当参数protocol为TCP时,高级ACL6的命令格式为:
rule[rule-id]{deny|permit}{tcp|protocol-number}
[destination{destination-ipv6-addressprefix-length|
destination-ipv6-address/prefix-length|postfixpostfix-length|
any}|destination-port{eq|gt|lt|range}port|dscpdscp
|fragment|logging|precedenceprecedence|source
{source-ipv6-addressprefix-length|
source-ipv6-address/prefix-length|source-ipv6-addresspostfix
.
.
postfix-length|any}|source-port{eq|gt|lt|range}port
|time-rangetime-name|tostos]*
•当参数protocol为UDP时,高级ACL6的命令格式为:
rule[rule-id]{deny|permit}{udp|protocol-number}
[destination{destination-ipv6-addressprefix-length|
destination-ipv6-address/prefix-length|postfixpostfix-length|
any}|destination-port{eq|gt|lt|range}port|dscpdscp
|fragment|logging|precedenceprecedence|source
{source-ipv6-addressprefix-length|
source-ipv6-address/prefix-length|source-ipv6-addresspostfix
postfix-length|any}|source-port{eq|gt|lt|range}port
|time-rangetime-name|tostos]*
•当参数protocol为ICMPv6时,高级ACL6的命令格式为:
rule[rule-id]{deny|permit}{icmpv6|protocol-number}
[destination{destination-ipv6-addressprefix-length|
destination-ipv6-address/prefix-length|postfixpostfix-length|
any}|dscpdscp|fragment|icmp6-type{icmp6-type-name|
icmp6-typeicmp6-code}|logging|precedenceprecedence|source
{source-ipv6-addressprefix-length|
source-ipv6-address/prefix-length|source-ipv6-addresspostfix
postfix-length|any}|time-rangetime-name|tostos]*
•当protocol为其他协议时,高级ACL6的命令格式为:
rule[rule-id]{deny|permit}{protocol-number|gre|ipv6
|ospf}[destination{destination-ipv6-addressprefix-length|
destination-ipv6-address/prefix-length|
destination-ipv6-addresspostfixpostfix-length|any}|dscpdscp
|fragment|logging|precedenceprecedence|source
{source-ipv6-addressprefix-length|
source-ipv6-address/prefix-length|source-ipv6-addresspostfix
postfix-length|any}|time-rangetime-name|tostos]*
删除高级ACL6的规则:
undorulerule-id[destination|destination-port|fragment|
icmp6-type|precedence|source|source-port|time-range|tos]
参数说明
.
.
参数参数说明取值
rule-id规则ID。
•如果指
定了ID
的规则
存在,可
以对其
进行修
改。如果
不存在,
将会创
建一条
带有指
定ID的
新规则。
•如果未
指定规
则ID,在
创建新
规则时
系统会
自动分
配规则
ID。
整数形式,取值范围是
0~2047。
deny丢弃符合条件
的数据包。
-
permit允许符合条件
的数据包通过。
-
tcp指定匹配协议
类型为TCP。
-
udp指定匹配协议
类型为UDP。
-
icmpv6指定匹配协议
类型为ICMPv6。
-
protocol-number用名字或数字
表示的IP承载
的协议类型。
数字范围为1~255;用
名字表示时,可以选取:
GRE、ICMPv6、IPv6、
OSPF、TCP和UDP。
.
.
destination
{destination-ipv6-address
prefix-length|
destination-ipv6-address/prefix-
length|any}
数据包的目的
地址和前缀。
destination-ipv6-add
ress用点分十进制表
示。prefix-length的取
值范围1~128。或用
“any”代表任何目的
地址。
destination
destination-ipv6-addresspostfix
postfix-length
数据包的目的
地址和地址后
缀掩码长度。
destination-ipv6-add
ress点分十进制表示目
的地址。
postfix-length表示地
址后缀掩码长度,整数
形式,取值范围1~64。
dscpdscp指定区分服务
代码点
(Differentia
tedServices
CodePoint)。
其中dscp表示
区分服务代码
点的取值。
dscp的取值形式是整数
形式或名称。采用整数
形式时,取值范围是0~
63。采用名称时,取值
为如下关键字af11,
af12,af13,af21,af22,
af23,af31,af32,af33,
af41,af42,af43,cs1,
cs2,cs3,cs4,cs5,
cs6,cs7,default或
ef。
fragment指定该规则是
否仅对非首片
分片报文有效。
当包含此参数
时表示该规则
仅对非首片分
片报文有效。
-
logging指定对ACL的匹
配信息写日志。
-
precedenceprecedence数据包可以依
据优先级字段
进行过滤。
用名字或数字表示。数
字的取值范围是0~7。
source{source-ipv6-address
prefix-length|
source-ipv6-address/prefix-lengt
h|any}
数据包的源地
址和前缀。
source-ipv6-address
点分十进制表示源地
址。prefix-length整数
形式,取值范围是1~
128。或用“any”代表
任何源地址。
.
.
sourcesource-ipv6-address
postfixpostfix-length
数据包的源地
址和地址后缀
掩码长度。
source-ipv6-address
点分十进制表示源地
址。postfix-length表
示地址后缀掩码长度,
整数形式,取值范围1~
64。
{eq|gt|lt|range}比较源或者目
的地址的端口
号的操作符。当
IP承载的协议
类型是TCP或
UDP时,支持比
较操作。只有
range需要两个
端口号做操作
数,其他的只需
要一个端口号
做操作数。
操作符包括:lt(小于),
gt(大于),eq(等于),
neq(不等于),range
(在范围内)。
portTCP或UDP的端
口号,用名字或
数字表示。
用名字或数字表示。数
字的取值范围是0~
65535。
icmpv6-type{icmp6-type-name|
icmp6-typeicmp6-code
指定ICMPv6报
文的类型和消
息码信息,仅仅
在报文协议是
ICMP的情况下
有效。如果不配
置,表示任何
ICMP类型的报
文都匹配。
icmp6-type:ICMP的消
息类型,取值为0~
65535的数字。
icmp6-code:ICMP消息
码,取值为0~255的数
字。icmp6-type-name
的取值及对应的
ICMP-Type和
ICMP-Code,如下表所
示。
time-rangetime-name表示设置的
ACL6规则仅在
规定时间段内
生效。
time-name表示
生效时间段的
名称。
time-name字符串形式,
长度范围是1~32。
tostos数据包可以依
据服务类型字
段进行过滤。
用名字或数字表示。数
字的取值范围是0~15。
.
.
表1icmp6-type-name的取值及对应的ICMP-Type和ICMP-Code
icmp6-type-nameicmp-typeicmp-code
Redirect1370
Echo1280
Echo-reply1290
Err-Header-field40
Frag-time-exceeded31
Hop-limit-exceeded30
Host-admin-prohib11
Host-unreachable13
Neighbor-advertiment1360
Neighbor-solicitation1350
Network-unreachable10
Packet-too-big20
Port-unreachable14
Router-advertiment1340
Router-solicitation1330
Unknown-ipv6-opt42
Unknown-next-hdr41
视图
高级ACL6视图
缺省级别
2:配置级
使用指南
删除或修改已有规则时,必须指定规则ID。
.
.
使用实例
#为编号为3000的ACL6增加一条规则,禁止从2001::1网段内的主机建立与
2003::1网段内的主机的端口号大于128的UDP(用户数据报协议)连接。
[Quidway]aclipv63000
[Quidway-acl-adv-3000]ruledenyudpsource2001::164destination
2003::164destination-portgt128
五、rule(高级ACL视图)
命令功能
rule命令用来在对应的高级ACL视图下增加一个规则。
undorule命令用来删除一个规则。
命令格式
•当参数protocol为ICMP时,高级访问控制列表的命令格式为:
orule[rule-id]{deny|permit}{protocol-number|icmp}
[destination{destination-addressdestination-wildcard|
any}|dscpdscp|fragment|icmp-type{icmp-name|
icmp-typeicmp-code}|precedenceprecedence|source
{source-addresssource-wildcard|any}|time-range
time-name|tostos]*
oundorulerule-id[description|destination|
destination-port|dscp|fragment|icmp-type|precedence
|source|source-port|time-range|tos]*
•当参数protocol为TCP时,高级访问控制列表的命令格式为:
orule[rule-id]{deny|permit}{protocol-number|tcp}
[destination{destination-addressdestination-wildcard|
any}|destination-port{eq|gt|lt|range}port|dscp
dscp|fragment|precedenceprecedence|source
{source-addresssource-wildcard|any}|source-port{eq
|gt|lt|range}port|tcp-flag{ack|fin|psh|rst
|syn|urg}*|time-rangetime-name|tostos]*
oundorulerule-id[description|destination|
destination-port|dscp|fragment|icmp-type|precedence
|source|source-port|time-range|tos]*
.
.
•当参数protocol为UDP时,高级访问控制列表的命令格式为:
orule[rule-id]{deny|permit}{protocol-number|udp}
[destination{destination-addressdestination-wildcard|
any}|destination-port{eq|gt|lt|range}port|dscp
dscp|fragment|precedenceprecedence|source
{source-addresssource-wildcard|any}|source-port{eq
|gt|lt|range}port|time-rangetime-name|tostos]*
oundorulerule-id[description|destination|
destination-port|dscp|fragment|icmp-type|precedence
|source|source-port|time-range|tos]*
•当参数protocol为TCP、UDP和ICMP之外的其他协议时,高级访问控制
列表的命令格式为:
orule[rule-id]{deny|permit}{protocol-number|gre
|igmp|ip|ipinip|ospf}[destination
{destination-addressdestination-wildcard|any}|dscp
dscp|fragment|precedenceprecedence|source
{source-addresssource-wildcard|any}|time-range
time-name|tostos]*
oundorulerule-id[description|destination|
destination-port|dscp|fragment|icmp-type|precedence
|source|source-port|time-range|tos]*
说明:
参数dscpdscp和precedenceprecedence不能同时配置。
参数说明
参数参数说明取值
.
.
参数参数说明取值
rule-id指定ACL的规则ID。该参数只
对匹配规则是config的ACL有
效。
•如果指定ID的规则已经
存在,则会在旧规则的基
础上叠加新定义的规则,
相当于编辑一个已经存
在的规则;如果指定ID
的规则不存在,则使用指
定的ID创建一个新规
则,并且按照ID的大小
决定规则插入的位置。
•如果不指定ID,则增加
一个新规则时S9300自
动会为这个规则分配一
个ID,ID按照大小排序。
系统自动分配ID时会留
有一定的空间,具体的相
邻ID范围由step命令指
定。
说明:
S9300自动生成的规则ID从步
长值起始,缺省步长为5,即从
5开始并按照5的倍数生成规则
序号,序号分别为5、10、15、……
整数形式,取值范围
是0~4294967294。
deny表示拒绝符合条件的数据包。-
permit表示允许符合条件的数据包。-
icmp指定协议类型为ICMP。也可以
采用数值1表示指定ICMP协议。
-
destination
destination-address
destination-wildcard
指定ACL规则的目的地址信息。
如果不配置,表示报文的任何目
的地址都匹配。其中:
•destination-address:
指定数据包的目的地址。
•destination-wildcard:
指定目的地址通配符。
destination-addres
s为点分十进制格
式。或用any代表目
的地址0.0.0.0。
destination-wildca
rd为点分十进制格
式,数值上是目的地
址掩码的反掩码形
.
.
参数参数说明取值
式。当目的地址是
any时,通配符是
255.255.255.255;当
目的地址是主机时,
通配符是0。
any表示数据包的任意源地址或目
的地址。
-
fragment指定该规则是否仅对非首片分
片报文有效。当包含此参数时表
示该规则仅对非首片分片报文
有效。
-
icmp-typeicmp-name|
icmp-typeicmp-code
指定ICMP报文的类型和消息码
信息,仅在报文协议是ICMP的
情况下有效。如果不配置,表示
任何ICMP类型的报文都匹配。
其中可以采用两种方式表示:
•icmp-name:ICMP包可以
依据ICMP的消息名称进
行过滤。
•icmp-typeicmp-code:
表示根据ICMP消息类型
来进行过滤。其中
icmp-type表示ICMP的
消息类型。icmp-code表
示ICMP消息类型的消息
码
说明:
icmp-name的取值和ICMP-Type
和ICMP-Code相对应,对应关系
参见表2。
icmp-type为整数形
式,取值范围是0~
255。
icmp-code为整数形
式,取值范围是0~
255。
precedenceprecedence表示数据包可以依据优先级字
段进行过滤。
数字范围为0~7,和
数字一一对应的名字
分别为routine、
priority、
immediate、flash、
flash-override、
critical、internet、
network。
.
.
参数参数说明取值
sourcesource-address
source-wildcard
指定ACL规则的源地址信息。如
果不配置,表示报文的任何源地
址都匹配。其中:
•source-address:指定数
据包的源地址。
•source-wildcard:指定
源地址通配符。
source-address为
点分十进制形式。或
用any代表任意源地
址0.0.0.0。
source-wildcard为
点分十进制形式,数
值上是源地址掩码的
反掩码形式。当目的
地址是any时,通配
符是
255.255.255.255;当
目的地址是主机时,
通配符是0。
ack指定TCP报文头中SYNFlag的
类型为ack(010000)。
-
fin指定TCP报文头中SYNFlag的
类型为fin(000001)。
-
psh指定TCP报文头中SYNFlag的
类型为psh(001000)。
-
rst指定TCP报文头中SYNFlag的
类型为rst(000100)。
-
urg指定TCP报文头中SYNFlag的
类型为urg(100000)。
-
time-rangetime-name指定ACL生效的时间段。其中
time-name表示ACL规则生效的
时间段名称。
time-name为字符串
形式,长度范围是
1~32。
tcp|udp指定协议类型为TCP或UDP。也
可以采用数值6表示指定TCP协
议,数值17表示UDP协议。
-
destination-port{eq
|gt|lt|range}port
指定UDP或者TCP报文的目的端
口,仅在报文协议是TCP或者
UDP时有效。如果不指定,表示
TCP/UDP报文的任何目的端口都
匹配。其中:
•eq:指定源端口或者目的
端口比较的操作符,意义
port用名字或数字
表示,数字的取值范
围是0~65535。
.
.
参数参数说明取值
是等于。
•gt:指定源端口或者目的
端口比较的操作符,意义
是大于。
•lt:指定源端口或者目的
端口比较的操作符,意义
是小于。
•range:指定源端口或者
目的端口比较的操作符,
意义是在范围内。
•port:指定用于比较的
TCP或UDP端口号。
source-port{eq|gt|
lt|range}port
指定UDP或者TCP报文的源端
口,仅在报文协议是TCP或者
UDP时有效。如果不指定,表示
TCP/UDP报文的任何源端口都匹
配。其中:
•eq:指定源端口或者目的
端口比较的操作符,意义
是等于。
•gt:指定源端口或者目的
端口比较的操作符,意义
是大于。
•lt:指定源端口或者目的
端口比较的操作符,意义
是小于。
•range:指定源端口或者
目的端口比较的操作符,
意义是在范围内。
•port:指定用于比较的
TCP或UDP端口号。
port用名字或数字
表示,数字的取值范
围是0~65535。
protocol-number指定用名字或数字表示的协议
类型。
说明:
对不同的协议类型,有不同的参
数组合,TCP和UDP有
[source-porteq
port-number]
整数形式,取值范围
是1~255;用名字表
示时可以选取gre、
icmp、igmp、ip、
ipinip、ospf、tcp、
udp。其中icmp是1,
tcp是6,udp是17。
.
.
参数参数说明取值
[destination-porteq
port-number]可选项,其它协
议类型没有。
dscpdscp指定区分服务代码点
(DifferentiatedServices
CodePoint)。其中dscp表示区
分服务代码点的取值。
dscp的取值形式是
整数形式或名称,其
中:
•采用整数形式
时,取值范围
是0~63。
•采用名称时,
取值为如下关
键字af11,
af12,af13,
af21,af22,
af23,af31,
af32,af33,
af41,af42,
af43,cs1,
cs2,cs3,cs4,
cs5,cs6,cs7,
default或
ef。
tostos数据包可以依据服务类型字段
进行过滤,可选参数。其中tos
表示数据包过滤依据的服务类
型。
tos的取值形式可以
是整数形式或名称,
其中:
•采用整数形式
时,取值为0、
1、2、4、8的
数字。
•采用名称时,
取值如
normal、
min-monetary
-cost等。可
输入的ToS名
称和取值之间
的对应关系如
表1所示。
.
.
表1ToS名称和取值之间的对应关系
ToS名称取值ToS名称取值
normal0max-reliabilit
y
2
min-monetary-co
st
1max-throughput4
min-delay8--
表2icmp-name的取值及对应的ICMP-Type和ICMP-Code
icmp-nameicmp-typeicmp-code
Echo80
Echo-reply00
Parameter-problem120
Port-unreachable33
Protocol-unreachable32
Reasmbly-timeout111
Source-quench40
Source-route-failed35
Timestamp-reply140
Timestamp-request130
Ttl-exceeded110
Fragmentneed-DFt34
Host-redirect51
Host-tos-redirect53
Host-unreachable31
Information-reply160
Information-request150
Net-redirect50
Net-tos-redirect52
Net-unreachable30
视图
.
.
高级ACL视图
缺省级别
2:配置级
使用指南
当ACL被QoS功能引用时,如果ACL规则中定义的动作为deny,则匹配此ACL
的报文就被丢弃。如果ACL规则中定义的动作为permit,则S9300对匹配此ACL
的报文采取的动作由QoS中流行为定义的动作决定。
使用命令undorule删除规则的时候,rule-id必须是一个已经存在的ACL规则
编号,如果不知道规则的编号,可以使用命令displayacl来查看。
使用实例
#配置在ACL3000中增加一条规则,基于icmpcode域的流分类。
[Quidway]acl3000
[Quidway-acl-adv-3000]rule1permiticmp
#配置在ACL3000中删除一条规则,基于icmpcode域的流分类。
[Quidway]acl3000
[Quidway-acl-adv-3000]undorule1
#配置在ACL3000中增加一条规则,基于igmpprotocoltype的流分类。
[Quidway]acl3000
[Quidway-acl-adv-3000]rule2permitigmp
#配置在ACL3000中增加一条规则,基于dscp域的流分类。
[Quidway]acl3000
[Quidway-acl-adv-3000]rule3permitipdscpcs1
#配置在ACL3001中增加一条规则,匹配从129.9.0.0网段的主机向
202.38.160.0网段的主机发送的所有IP报文。
.
.
[Quidway]acl3001
[Quidway-acl-adv-3001]rulepermitipsource129.9.0.00.0.255.255
destination202.38.160.00.0.0.255
#配置在ACL3001中增加一条规则,匹配从一切主机建立与IP地址为
202.38.160.1的主机的Telnet(23)的连接。
[Quidway]acl3001
[Quidway-acl-adv-3001]ruledenytcpdestination202.38.160.10
destination-porteqtelnet
#配置在ACL3001中增加一条规则,匹配从129.9.8.0网段内的主机建立与端口
号等于128的202.38.160.0网段内的主机的UDP(用户数据报协议)连接。
[Quidway]acl3001
[Quidway-acl-adv-3001]ruledenyudpsource129.9.8.00.0.0.255
destination202.38.160.00.0.0.255destination-porteq128
六、rule(基本ACL6视图)
命令功能
rule命令用来增加或修改基本ACL6规则。
undorule命令用来删除ACL6规则。
命令格式
rule[rule-id]{deny|permit}[fragment|logging|source
{source-ipv6-addressprefix-length|source-ipv6-address/prefix-length
|source-ipv6-addresspostfixpostfix-length|any}|time-range
time-name]*
undorulerule-id[fragment|logging|source|time-range]*
参数说明
参数参数说明取值
.
.
rule-id规则ID。
•如果
指定
了ID
的规
则存
在,可
以对
其进
行修
改。如
果不
存在,
将会
创建
一条
带有
指定
ID的
新规
则。
•如果
未指
定规
则ID,
在创
建新
规则
时系
统会
自动
分配
规则
ID。
整数形式,取值范围是
0~2047。
deny丢弃符合条
件的数据包。
-
permit允许符合条
件的数据包
通过。
-
fragment指定该规则-
.
.
是否仅对非
首片分片报
文有效。当包
含此参数时
表示该规则
仅对非首片
分片报文有
效。
logging指定对ACL的
匹配信息写
日志。
-
source{source-ipv6-address
prefix-length|
source-ipv6-address/prefix-length}
数据包的源
地址和前缀。
source-ipv6-address
点分十进制表示源地
址。prefix-length整
数形式,取值范围是
1~128。
sourcesource-ipv6-addresspostfix
postfix-length
数据包的源
地址和地址
后缀掩码长
度。
source-ipv6-address
点分十进制表示源地
址。postfix-length
表示地址后缀掩码长
度,整数形式,取值范
围1~64。
any代表任何源
地址。
-
time-rangetime-name表示设置的
ACL6规则仅
在规定时间
段内生效。
time-name表
示生效时间
段的名称。
time-name字符串形
式,长度范围是1~32。
视图
基本ACL6视图
缺省级别
2:配置级
.
.
使用指南
基本ACL6只采用源地址信息来定义ACL6规则。增加新规则时,必须设置源参数。
删除或修改已有规则时,必须指定规则ID。
使用实例
#为编号为2000的ACL6增加一条规则,禁止从源2001::1/64的报文通过。
[Quidway]aclipv62000
[Quidway-acl6-basic-2000]ruledenysource2001::1/64
七、rule(基本ACL视图)
命令功能
rule命令用来在当前的基本ACL视图下增加一个规则。
undorule命令用来删除一个基本ACL规则。
命令格式
rule[rule-id]{deny|permit}[fragment|source{source-address
source-wildcard|any}|time-rangetime-name]*
undorulerule-id[fragment|source|time-range]*
参数说明
参数参数说明取值
rule-id指定ACL的规则ID。该参数只
对匹配规则是config的ACL
有效。
•如果指定ID的规则已
经存在,则会在旧规则
的基础上叠加新定义的
规则,相当于编辑一个
整数形式,取值范围是
0~4294967294。
.
.
参数参数说明取值
已经存在的规则;如果
指定ID的规则不存在,
则使用指定的ID创建
一个新规则,并且按照
ID的大小决定规则插
入的位置。
•如果不指定ID,则增加
一个新规则时S9300自
动会为这个规则分配一
个ID,ID按照大小排
序。系统自动分配ID
时会留有一定的空间,
具体的相邻ID范围由
step命令指定。
说明:
S9300自动生成的规则ID从步
长值起始,缺省步长为5,即
从5开始并按照5的倍数生成
规则序号,序号分别为5、10、
15、……
deny表示拒绝符合条件的数据包。-
permit表示允许符合条件的数据包。-
fragment指定该规则是否仅对非首片分
片报文有效。当包含此参数时
表示该规则仅对非首片分片报
文有效。
-
source
source-address
source-wildcard
指定ACL规则的源地址信息。
如果不配置,表示报文的任何
源地址都匹配。其中:
•source-address:指定
数据包的源地址。
•source-wildcard:指定
源地址通配符。
source-address为点分
十进制形式。或用any
代表任意源地址
0.0.0.0。
source-wildcard为点
分十进制形式,数值上
是源地址掩码的反掩码
形式。当目的地址是any
时,通配符是
255.255.255.255;当目
的地址是主机时,通配
符是0。
.
.
参数参数说明取值
any表示数据包的任意源地址。-
time-rangetime-name指定ACL生效的时间段。其中
time-name表示ACL规则生效
的时间段名称。
time-name为字符串形
式,长度范围是1~32。
视图
基本ACL视图
缺省级别
2:配置级
使用指南
在S9300上使用rule命令定义用于流分类的匹配规则,不仅根据rule命令中的
permit和deny参数对信息进行过滤操作,还需要结合流行为进行过滤。
使用命令undorule删除规则的时候,rule-id必须是一个已经存在的ACL规则
编号,如果不知道规则的编号,可以使用命令displayacl来查看。
使用实例
#配置在ACL2001中增加一条规则,允许源地址是192.168.32.1的报文通过。
[Quidway]acl2001
[Quidway-acl-basic-2001]rulepermitsource192.168.32.10
#配置在ACL2001中删除一条规则,删除规则1。
[Quidway]acl2001
[Quidway-acl-basic-2001]undorule1
八、save
.
.
命令功能
save命令用来保存当前配置信息到系统默认的存储路径中。
系统默认的存储路径及文件名为cfcard:/。
命令格式
save[all][configuration-file]
参数说明
参数参数说明取值
all保存所有的配置,包括不在
位的板卡的配置。
-
configuration-file配置文件的文件名。字符串形式,绝对路径的长
度范围是5~48。
视图
用户视图
缺省级别
2:配置级
使用指南
当完成一组配置,并且已经达到预定功能,则应将当前配置文件保存到存储设备
中。
saveconfiguration-file命令用来保存当前配置信息到存储设备中的指定文
件中。该命令通常情况下不影响系统当前的启动配置文件;除非当
configuration-file与系统默认的存储路径及配置文件名完全相同时,则此命
令的作用等同于save命令。
saveall命令用来保存当前所有的配置,包括不在位的板卡的配置,至系统默
认的存储路径中。
.
.
saveallconfiguration-file命令用来保存当前配置信息到存储设备中的指定
文件中。该命令通常情况下不影响系统当前的启动配置文件;除非当
configuration-file与系统默认的存储路径及配置文件名完全相同时,则此命
令的作用等同于saveall命令。
配置文件必须以“.cfg”或“.zip”作为扩展名,而且系统启动配置文件必须
存放在存储设备的根目录下。如果您选择缺省路径,系统配置文件将存储在CF
卡的根目录下。
当在主用主控板上执行保存当前配置文件的操作时,系统在主用主控板上的配置
文件保存完毕之后,将会提示用户确认备用主控板上是否需要保存同样名称的配
置文件。
使用实例
#保存当前配置文件到默认存储设备中。
Thecurrentconfigurationwillbewrittentothedevice.
Areyousuretocontinue?[Y/N]y
Nowsavingthecurrentconfigurationtotheslot13..
Info:Savetheconfigurationsuccessfully.
ACL规则
一、aclipv6(用户界面视图)
命令功能
aclipv6命令用来通过引用ACL6控制列表,对VTY(Telnet、SSH)等类型的用
户界面的呼入、呼出权限进行限制。
undoaclipv6命令用来取消当前配置。
缺省情况下,不对呼入、呼出进行限制。
命令格式
.
.
aclipv6acl6-number{inbound|outbound}
undoaclipv6{inbound|outbound}
参数说明
参数参数说明取值
acl6-number指定ACL6访问控制列表
的序号。地址访问控制列
表号分为两种:
•基本访问控制列表
号。
•高级访问控制列表
号。
整数形式,取值范围是
2000~3999。
•基本访问控制列表
序号的取值范围是
2000~2999。
•高级访问控制列表
序号的取值范围是
3000~3999。
inbound表示对用户界面的呼入进
行限制,即限制某个地址
或地址段的用户登录到
S9300。
-
outbound表示对用户界面的呼出进
行限制,即限制已经登录
的用户登录到其它
S9300。
-
视图
用户界面视图
缺省级别
3:管理级
使用指南
该命令可以使用基本访问控制列表限制来自指定源地址的访问。使用高级访问控
制列表既可以限制来自指定源地址的访问,也可以限制到指定目的地址的访问。
.
.
使用实例
#在VTY0用户界面上,限制Telnet呼出。
[Quidway]ur-interfacevty0
[Quidway-ui-vty0]aclipv62000outbound
#在VTY0用户界面上,取消对Telnet呼出的限制。
[Quidway]ur-interfacevty0
[Quidway-ui-vty0]undoaclipv6outbound
二、aclipv6(系统视图)
命令功能
aclipv6命令用来创建ACL6并进入ACL6视图。
undoaclipv6命令用来用来删除ACL6。
命令格式
aclipv6[number]acl6-number[match-order{auto|config}]
undoaclipv6{all|[number]acl6-number}
参数说明
参数参数说明取值
number利用数字标识一个ACL。-
acl6-number指定ACL6编号。整数形式,取值范围是
2000~3999。其中2000~
2999是基本ACL6,3000~
3999是高级ACL6。
auto表示ACL6规则是自动排序,也就是“深
度优先”的顺序。
-
.
.
若“深度优先”的顺序相同,则匹配该
规则时按用户的配置顺序。
config表示ACL6规则按照配置顺序进行匹配。
指定匹配该规则时按用户的配置顺序,
是指在用户没有指定rule-id的前提
下。若用户指定了rule-id,则匹配规
则时,按rule-id由小到大的顺序。
-
all删除所有配置的ACL6。-
视图
系统视图
缺省级别
2:配置级
使用指南
创建ACL6时,需要指定如下参数:
•指定一个数字,该数字标识ACL6类型。例如2000~2999为基本ACL6,
3000~3999为高级ACL6。
•ACL6的匹配顺序,该参数是一个可选参数,缺省情况下匹配顺序为config
(配置顺序)。
使用实例
#创建匹配顺序为config,编号为2000的ACL6。
[Quidway]aclipv62000match-orderconfig
[Quidway-acl6-basic-2000]
#创建一个编号为3000的ACL6。
[Quidway]aclipv6number3000
[Quidway-acl6-adv-3000]
.
.
三、aclipv6name
命令功能
aclipv6name命令用来创建一个命名型的ACL6,并且进入ACL6视图。
undoaclipv6name命令用来删除命名型的ACL6。
命令格式
aclipv6nameacl6-name[advance|basic|acl6-number][match-order
{auto|config}]
undoaclipv6nameacl6-name
参数说明
参数参数说明取值
acl6-nameACL6的名称。字符串形式,长度范围是
1~32,以英文字母a~z
或A~Z开始。
advance指定ACL6的类型为高级
ACL。
-
basic指定ACL6的类型为基本
ACL。
-
acl6-number指定ACL6的编号。整数形式,取值范围是
2000~3999。
•2000~2999是设
置基本ACL6。
•3000~3999是设
置高级ACL6。
match-order{auto|
config}
指定ACL6规则的配置顺
序。
•auto:
-
.
.
参数参数说明取值
匹配规则时系统自
动排序(按“深度
优先”的顺序)。
若“深度优先”的
顺序相同,则匹配
规则时按用户的配
置顺序。
•config:匹配规则
时按用户的配置顺
序。
指定匹配该规则时
按用户的配置顺
序,是指在用户没
有指定rule-id的
前提下。若用户指
定了rule-id,则
匹配规则时,按
rule-id由小到大
的顺序。
视图
系统视图
缺省级别
2:配置级
使用指南
如果没有指定命名型ACL6的编号,S9300会为其自动分配编号。主要包括以下
两种情况。
•如果只为命名型ACL6指定了类型,S9300为其分配的编号是该类型ACL6
编号取值范围内的最大值。
.
.
•如果既没有指定命名型ACL6的编号,也没有指定命名型ACL6的类型,
S9300认为该ACL6为高级ACL6,为其分配高级ACL6编号取值范围内的最
大值。
使用实例
#创建名称为test1的高级ACL6,匹配顺序为自动排序。
[Quidway]aclipv6nametest1advancematch-orderauto
#创建名称为test2的基本ACL6,编号为2001。
[Quidway]aclipv6nametest22001
四、aclname
命令功能
aclname命令用来创建一个命名型的ACL,并且进入ACL视图。
undoacl命令用来删除命名型的ACL。
命令格式
aclnameacl-name[advance|basic|link|ur|acl-number]
[match-order{auto|config}]
undoaclnameacl-name
参数说明
参数参数说明取值
acl-nameACL的名称。字符串形式,长度范围是
1~32,以英文字母a~z
或A~Z开始。
advance指定ACL的类型为高级
ACL。
-
.
.
参数参数说明取值
basic指定ACL的类型为基本
ACL。
-
link指定ACL的类型为二层
ACL。
-
ur指定ACL的类型为用户自
定义ACL。
-
acl-number指定ACL的编号。整数形式,取值范围是
2000~5999。
•2000~2999是设
置基本ACL。
•3000~3999是设
置高级ACL。
•4000~4999是设
置二层ACL。
•5000~5999是设
置用户自定义
ACL。
match-order{auto|
config}
指定ACL规则的配置顺
序。
•auto:
匹配规则时系统自
动排序(按“深度
优先”的顺序)。
若“深度优先”的
顺序相同,则匹配
规则时按用户的配
置顺序。
•config:匹配规则
时按用户的配置顺
序。
指定匹配该规则时
按用户的配置顺
序,是指在用户没
有指定rule-id的
-
.
.
参数参数说明取值
前提下。若用户指
定了rule-id,则
匹配规则时,按
rule-id由小到大
的顺序。
视图
系统视图
缺省级别
2:配置级
使用指南
如果没有指定命名型ACL的编号,S9300会为其自动分配编号。主要包括以下两
种情况。
•如果只为命名型ACL指定了类型,S9300为其分配的编号是该类型ACL编
号取值范围内的最大值。
•如果既没有指定命名型ACL的编号,也没有指定命名型ACL的类型,S9300
认为该ACL为高级ACL,为其分配高级ACL编号取值范围内的最大值。
S9300不会为命名型ACL重复分配编号。
使用实例
#创建名称为test1的ACL,编号为2001。
[Quidway]aclnametest12001
[Quidway-acl-basic-test1]
#创建名称为test2的高级ACL,匹配顺序为自动排序。
[Quidway]aclnametest2advancematch-orderauto
[Quidway-acl-adv-test2]
.
.
五、acl(系统视图)
命令功能
acl命令用来使用编号创建一个ACL访问控制列表,并进入ACL视图。
undoacl命令用来删除指定的ACL访问控制列表。
命令格式
acl[number]acl-number[match-order{auto|config}]
undoacl{[number]acl-number|all}
参数说明
参数参数说明取值
number表示由数字标识的一个访
问控制列表。
-
acl-number表示访问控制列表的序
号。
整数形式,取值范围是
2000~5999。
•2000~2999是设
置基本ACL。
•3000~3999是设
置高级ACL。
•4000~4999是设
置二层ACL。
•5000~5999是设
置用户自定义
ACL。
match-order{auto|
config}
指定ACL规则的配置顺
序。
•auto:
匹配规则时系统自
动排序(按“深度
-
.
.
参数参数说明取值
优先”的顺序)。
若“深度优先”的
顺序相同,则匹配
规则时按用户的配
置顺序。
•config:匹配规则
时按用户的配置顺
序。
指定匹配该规则时
按用户的配置顺
序,是指在用户没
有指定rule-id的
前提下。若用户指
定了rule-id,则
匹配规则时,按
rule-id由小到大
的顺序。
all表示删除所有的ACL。-
视图
系统视图
缺省级别
2:配置级
使用指南
一个访问控制列表是由若干permit或deny语句组成的一系列规则的列表,若干
个规则列表构成一个访问控制列表。访问控制列表的规则之前,首先需要创建一
个访问控制列表。
创建一个访问控制列表,需要指定如下参数:
•指定一个数字,该数字为ACL种类的标示。例如2000~2999为基本ACL,
3000~3999为高级ACL。
.
.
•访问控制列表规则的匹配顺序,该参数是一个可选参数,缺省情况下匹配
顺序为config(配置顺序)。
使用实例
#创建一个序号为2000的访问控制列表。
[Quidway]aclnumber2000
[Quidway-acl-basic-2000]
六、acl(用户界面视图)
命令功能
acl命令用来通过引用ACL控制列表,对VTY(Telnet、SSH)等类型的用户界面
的呼入、呼出权限进行限制。
undoacl命令用来取消当前配置。
缺省情况下,不对呼入、呼出进行限制。
命令格式
aclacl-number{inbound|outbound}
undoacl{inbound|outbound}
参数说明
参数参数说明取值
acl-number指定ACL访问控制列表的
序号。地址访问控制列表
号分为两种:
•基本访问控制列表
号。
•高级访问控制列表
号。
整数形式,取值范围是
2000~3999。
•基本访问控制列表
序号的取值范围是
2000~2999。
•高级访问控制列表
序号的取值范围是
.
.
参数参数说明取值
3000~3999。
inbound表示对用户界面的呼入进
行限制,即限制某个地址
或地址段的用户登录到
S9300。
-
outbound表示对用户界面的呼出进
行限制,即限制已经登录
的用户登录到其它
S9300。
-
视图
用户界面视图
缺省级别
3:管理级
使用指南
该命令可以使用基本访问控制列表限制来自指定源地址的访问。使用高级访问控
制列表既可以限制来自指定源地址的访问,也可以限制到指定目的地址的访问。
使用实例
#在VTY0用户界面上,限制Telnet呼出。
[Quidway]ur-interfacevty0
[Quidway-ui-vty0]acl2000outbound
#在VTY0用户界面上,取消对Telnet呼出的限制。
[Quidway]ur-interfacevty0
[Quidway-ui-vty0]undoacloutbound
.
.
ARP规则
ARP配置命令
•arpdetect-modeunicast
•arpdetect-times
•arpexpire-time
•arpstatic
•arpstaticcevid
•arp-pingip
•arp-pingmac
•arp-proxyenable
•arp-proxyinner-sub-vlan-proxyenable
•arp-proxyinter-sub-vlan-proxyenable
•arp-suppresnable
•displayarpall
•displayarpdynamic
•displayarpinterface
•displayarpnetwork
•displayarpstatic
•displayarpstatistics
•displayarptrack
•displayarpvpn-instance
•l2-topologydetectenable
•retarp
一、arpstatic
命令功能
arpstatic命令用来配置静态ARP映射表。
undoarpstatic命令用来取消ARP映射表中对应地址的静态映射项。
缺省情况下,系统ARP映射表为空,由动态ARP获取地址映射。
命令格式
arpstaticip-addressmac-address[vpn-instancevpn-instance-name]
.
.
ip-addressmac-address[vpn-instancevpn-instance-name]
arpstaticip-addressmac-address[vpn-instancevpn-instance-name]vid
vlan-id
arpstaticip-addressmac-address[vidvlan-idinterfaceinterface-type
interface-number]
undoarpstaticip-address[vpn-instance-name|vidvlan-idinterface
interface-typeinterface-number]
参数说明
参数参数说明取值
ip-addressARP映射项的IP地址。在设备上同时
配置静态ARP和VRRP时,不能VLANIF
接口下所配置的VRRP备份组的虚拟IP
地址作为该静态ARP表项中的IP地址,
否则会生成错误的主机路由,影响正常
转发。
为点分十进制
格式。
mac-addressARP映射项的以太网MAC地址。形式是H-H-H,
其中H为1至4
位的十六进制
数。
vpn-instance
vpn-instance-name
VPN实例的名称。此参数用于对MPLS
VPN特性的支持。在指定该参数时,表
示该ARP表项是相应VPN实例内的ARP
表项。
字符串形式,
长度范围是
1~31。
vidvlan-idIP地址所对应的VLANID。如果不配置
此参数,认为VLANID为0。在指定该
参数时,表示该ARP表项是相应VLAN
内的ARP表项。
整数形式,取
值范围是1~
4094。
interface
interface-type
interface-number
指定ARP报文的出接口。-
视图
系统视图
.
.
缺省级别
2:配置级
使用指南
静态ARP映射项中的IP地址和MAC地址之间有固定的映射关系,主机和路由设
备不能动态调整此映射关系。静态ARP表项在路由设备正常工作时一直有效。
命令的具体使用情况如下所示:
•配置普通静态ARP表项时,执行命令arpstaticip-addressmac-address
[vpn-instancevpn-instance-name]。
•为接口配置静态ARP表项时,执行命令arpstaticip-address
mac-address[vpn-instancevpn-instance-name]vidvlan-id。
•为VLANIF配置静态ARP表项时,执行命令arpstaticip-address
mac-address[vidvlan-idinterfaceinterface-type
interface-number]。
说明:
•配置的ip-address应保证和通过参数interface指定出接口的地址在同
一个网段。
•ARP映射表只用于局域网内,对于广域网的地址解析,有其它的配置或获
取方法(如帧中继的逆向地址解析)。
•为VLANIF配置静态ARP表项时如果只配置IP地址和MAC地址,不指定
VLANID和ARP报文的出接口,系统会自动选择出接口;如果指定了VLAN
ID和ARP报文的出接口,系统会按照配置的出接口转发报文。
.
.
使用实例
#配置IP地址129.102.0.1对应的MAC地址为00e0-fc01-0000。
[Quidway]arpstatic129.102.0.1e0-fc01-0
#配置一条ARP静态映射,IP地址为1.1.1.1,对应的MAC地址为
0efc-0505-86e3,此条ARP静态映射属于VLAN10。
[Quidway]arpstatic1.1.1.10efc-0505-86e3vid10
#配置一条ARP静态映射,IP地址为1.1.1.1,对应的MAC地址为
0efc-0505-86e3,此ARP静态映射属于VPN实例vpn1,且属于VLAN10。
[Quidway]arpstatic1.1.1.10efc-0505-86e3vpn-instancevpn1vid10
二、arp-pingip
命令功能
arp-pingip命令用来在局域网范围内查询某IP地址是否被其它设备使用的情
况。
命令格式
arp-pingipip-address[interfaceinterface-typeinterface-number
[vlan-idvlan-id]]
参数说明
参数参数说明取值
ip-address目的IP地
址。
为点分十进制格式。
interface
interface-type
interface-number
指定发送
ARP报文的
接口编号和
-
.
.
接口类型。
vlan-idvlan-idVLANID。整数形式,取值范围是1~4094。如果不
配置此参数,认为VLANID为0。当指定
出接口为二层接口时,必须配置该参数,
当指定出接口为三层接口时,不可配置
该参数。
视图
所有视图
缺省级别
1:监控级
使用指南
arp-pingip命令是利用ARP报文在局域网内探测IP地址是否被其它设备使用
的一种方法。
通过ping命令也可以探测该IP地址是否被网络上的其他设备使用。但是如果带
有防火墙功能的目的主机和路由设备设置了对ping报文不进行回复的功能时,
就不会响应ping报文,造成该IP没有被使用的假象。由于ARP报文是二层协议,
大多数情况下可以透过设置了对ping报文不进行回复的防火墙,从而避免了此
类情况的发生。
arp-pingip命令不支持对本机IP地址的操作(ping命令可以对本机进行操作)。
使用实例
#使用arp-pingip命令查看IP地址是否已被使用。
ARP-Pinging10.1.1.1:
10.1.1.1isudby00e0-fc91-8d70
三、arp-pingmac
命令功能
.
.
arp-pingmac命令用来在局域网范围内查询某MAC地址是否被其它的设备使用
的情况。
命令格式
arp-pingmacmac-address{ip-address[vpn-instancevpn-instance-name]
|interfaceinterface-typeinterface-number}
参数说明
参数参数说明取值
mac-address指定目的MAC地址。-
ip-addressIPv4形式的主网段地址。为点分十进制格
式。
vpn-instance
vpn-instance-name
VPN实例的名称。字符串形式,长度
范围是1~31。
interfaceinterface-type
interface-number
指定发送和接收ICMP报文
的接口编号和接口类型。
-
视图
所有视图
缺省级别
1:监控级
使用指南
arp-pingmac命令是利用ICMP报文在局域网范围内探测MAC地址是否被其它的
设备使用的一种方法。
当只知道该网段一个特定的MAC地址而不知道其对应的IP地址时,通过
arp-pingmac命令发送广播的ICMP报文可以得到该MAC所对应的IP地址。
arp-pingmac命令不支持对本机MAC地址的操作。
.
.
使用实例
#使用arp-pingmac命令在10.1.1.0网段内查询某个MAC地址是否已被使用。
LanIP:10.1.1.0MAC[00-13-46-E7-2E-F5],pressCTRL_Ctobreak
-----ARP-PingMACstatistics-----
1packet(s)transmitted
1packet(s)received
IPADDRESSMACADDRESS
10.1.1.100-13-46-E7-2E-F5
四、arpspeed-limitsource-ip
命令功能
arpspeed-limitsource-ip命令用来启动基于源IP地址的ARP限速。
undoarpspeed-limitsource-ip用来恢复ARP报文的源IP地址抑制速率为缺
省值。
缺省情况下,ARP报文的源IP地址抑制速率值为5。
命令格式
arpspeed-limitsource-ip[ip-address]maximummaximum
undoarpspeed-limitsource-ip[ip-address]
参数说明
参数参数说明取值
ip-address指定IP地址。如果指定该参数,表
示对特定IP地址用户的ARP报文进
行源抑制。
如果不指定IP地址,则针对所有IP
地址的ARP报文进行源抑制。
点分十进制格式。
maximum指定基于源IP地址的ARP报文的抑取值范围为0~16384,单位
.
.
maximum
制速率。
如果是针对所有报文的速率抑制,
在不影响系统性能的情况下,速率
建议适当配大一些,防止把可能的
正常报文丢失。
如果确定该某指定IP地址的报文是
攻击报文,可以把最大值设得偏小。
是个/秒。如果取值为0,表
示不进行ARP报文源抑制。
视图
系统视图
缺省级别
2:配置级
使用指南
应用场景
ARP的攻击报文中,有一种攻击报文的源IP地址是相对固定的,源MAC地址在
不断变化,可以配置S9300针对某一固定源IP地址、不同源MAC地址的ARP进
行限速,造成ARP表项溢出或者CPU进程忙,对正常业务的转发和处理造成影响。
如果不配置指定源IP地址的ARP限速,就会对所有的ARP报文进行限速,此时
如果S9300上还使用arpspeed-limitsource-mac配置了所有源MAC地址的ARP
报文限速的话,S9300以arpspeed-limitsource-mac命令配置的限速速率优
先。
前置条件
不建议对所有的报文进行抑制,最好通过搜集报文统计信息的方法,判断攻击源,
进行指定源IP地址的ARP抑制。
配置影响
配置arpspeed-limitsource-ip命令后,S9300将上送的ARP报文根据源IP
地址进行统计,如果在单位时间内收到的报文超过配置的个数则丢弃报文。
该命令为覆盖式命令。
.
.
配置结果可以通过displayarpanti-attackconfiguration命令查询。
使用实例
#配置ARP报文的IP地址源抑制速率为100个/秒。
[Quidway]arpspeed-limitsource-ipmaximum100
#配置IP地址为10.0.0.1的用户的ARP报文源抑制速率为50个/秒。
[Quidway]arpspeed-limitsource-ip10.0.0.1maximum50
五、arpspeed-limitsource-mac
命令功能
arpspeed-limitsource-mac命令用来启动基于源MAC地址的ARP限速,如果
指定MAC地址,则基于指定地址限速;如果不指定MAC地址,则所有源MAC地址
的ARP报文均限速到这个值。
undoarpspeed-limitsource-mac命令用来恢复ARP报文的源MAC地址抑制速
率为缺省值。
缺省情况下,ARP报文的源MAC地址抑制速率值为0,即不进行ARP报文源抑制。
命令格式
arpspeed-limitsource-mac[mac_addr]maximummaximum
undoarpspeed-limitsource-mac[mac_addr]
参数说明
参数参数说明取值
mac_addr指定MAC地址。如果指定该参数,
表示对特定MAC地址用户的ARP
报文进行源速率抑制。
如果不指定MAC地址,则针对所
H-H-H格式。
.
.
有IP地址的ARP报文进行源速率
抑制。
maximum
maximum
ARP报文的源抑制速率。取值范围为0~16384,单位是个
/秒。如果取值为0,表示不进行
ARP报文源抑制。
视图
系统视图
缺省级别
2:配置级
使用指南
应用场景
ARP的攻击报文中,有一种攻击报文的源MAC地址是相对固定的,源IP地址在
不断变化,可以配置S9300针对某一固定源MAC地址、不同源IP地址地址的ARP
进行限速,防止此类攻击造成ARP表项溢出或者CPU进程忙,对正常业务的转发
和处理造成影响。
如果不配置指定源MAC地址的ARP限速,就会对所有的ARP报文进行限速,此时
如果S9300上还使用arpspeed-limitsource-ip配置了所有源IP地址的ARP
报文限速的话,两者同时生效,但是S9300以arpspeed-limitsource-mac命
令配置的限速速率优先。
前置条件
不建议对所有的报文进行抑制,最好通过搜集报文统计信息的方法,判断攻击源,
进行指定源MAC地址的ARP抑制。
配置影响
配置arpspeed-limitsource-mac命令后,S9300将上送的ARP报文根据源MAC
地址进行统计,如果在单位时间内收到的报文超过配置的个数则丢弃报文。
该命令为覆盖式命令,新配置覆盖旧配置。
配置结果可以通过displayarpanti-attackconfiguration命令查询。
.
.
使用实例
#配置ARP报文的MAC地址源抑制速率为100个/秒。
[Quidway]arpspeed-limitsource-macmaximum100
#配置MAC地址为0-0-1的用户的ARP报文源抑制速率为50个/秒。
[Quidway]arpspeed-limitsource-mac0-0-1maximum50
父主题:ARP安全配置命令
六、arp-suppresnable
命令功能
arp-suppresnable命令用来使能当前设备上的ARP抑制功能。
undoarp-suppress命令用来去使能当前设备上的ARP抑制功能。
命令格式
arp-suppresnable
undoarp-suppress
参数说明
无
视图
系统视图
缺省级别
2:配置级
.
.
使用指南
执行arp-suppresnable命令后,ARP抑制功能只对Eth-Trunk和VLANIF接
口生效。学到某IP地址的ARP表项之后,如果1s内还收到多次以该IP为源IP
地址的ARP报文,就只应答,不更新。
使用实例
#使能ARP抑制功能。
[Quidway]arp-suppresnable
本文发布于:2023-01-04 07:11:44,感谢您对本站的认可!
本文链接:http://www.wtabcd.cn/fanwen/fan/90/89385.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |
