11-ACL和QoS命令参考

ACL使能加速，资源不足会导致ACL加速失败，但是匹配依然生效。规则有变化或者重新加速，在资源足够的前提下加速会生效。

ACL加速成功后，再去修改或添加新的规则，可能由于资源不足，会导致新的规则加速失败，规则匹配不生效，但是不影响之前加速成功的规则。

# 开启ACL加速功能。

[Sysname] acl basic 2000

[Sysname-acl-ipv4-basic-2000] accelerate

· display acl accelerate

1.1.2 acl

acl命令用来创建一个ACL，并进入相应的ACL视图。

undo acl命令用来删除指定或全部ACL。

acl [ ipv6 ] { advanced | basic } { acl-number | name acl-name } [ match-order { auto | config } ]

acl mac { acl-number | name acl-name } [ match-order { auto | config } ]

undo acl [ ipv6 ] { all | { advanced | basic } { acl-number | name acl-name } }

undo acl mac { all | acl-number | name acl-name }

ipv6：指定ACL类型为IPv6 ACL。

basic：指定创建基本ACL。

advanced：指定创建高级ACL。

mac：指定创建二层ACL。

number acl-number：指定ACL的编号。acl-number表示ACL的编号，取值范围及其代表的ACL类型如下：

· 2000～2999：表示基本ACL。

· 3000～3999：表示高级ACL。

· 4000～4999：表示二层ACL。

name acl-name：指定ACL的名称。acl-name表示ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

match-order { auto | config }：指定规则的匹配顺序，auto表示按照自动排序（即“深度优先”原则）的顺序进行规则匹配，config表示按照配置顺序进行规则匹配。缺省情况下，规则的匹配顺序为配置顺序。

all：指定类型中全部ACL。

· 使用acl命令时，如果指定编号或名称的ACL不存在，则创建该ACL并进入其视图，否则直接进入其视图。

· 当ACL内不存在任何规则时，用户可以使用本命令对该ACL的规则匹配顺序进行修改，否则不允许进行修改。

· 若未指定ipv6或mac参数，则表示IPv4 ACL。

# 创建一个编号为2000的IPv4基本ACL，并进入其视图。

<Sysname> system-view

[Sysname] acl basic 2000

[Sysname-acl-ipv4-basic-2000]

# 创建一个IPv4基本ACL，指定其名称为flow，并进入其视图。

[Sysname] acl basic name flow

[Sysname-acl-ipv4-basic-flow]

# 创建一个编号为2000的IPv6基本ACL，并进入其视图。

[Sysname] acl ipv6 basic 2000

[Sysname-acl-ipv6-basic-2000]

# 创建一个IPv6基本ACL，其名称为flow，并进入其视图。

[Sysname] acl ipv6 basic name flow

[Sysname-acl-ipv6-basic-flow]

# 创建一个编号为4000的MAC ACL，并进入其视图。

[Sysname] acl mac 4000

[Sysname-acl-mac-4000]

# 创建一个MAC ACL，其名称为flow，并进入其视图。

[Sysname] acl mac name flow

[Sysname-acl-mac-flow]

1.1.3 acl copy

acl copy命令用来复制并生成一个新的ACL。

acl [ ipv6 | mac ] copy { source-acl-number | name source-acl-name } to { dest-acl-number | name dest-acl-name }

ipv6：指定ACL类型为IPv6 ACL。

mac：指定ACL类型为二层ACL。

source-acl-number：指定源ACL的编号，该ACL必须存在。本参数的取值范围及其代表的ACL类型如下：

· 2000～2999：表示基本ACL。

· 3000～3999：表示高级ACL。

· 4000～4999：表示二层ACL。

name source-acl-name：指定源ACL的名称，该ACL必须存在。source-acl-name为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。

dest-acl-number：指定目的ACL的编号，该ACL必须不存在。若未指定本参数，系统将为目的ACL自动分配一个与源ACL类型相同且可用的最小编号。本参数的取值范围及其代表的ACL类型如下：

· 2000～2999：表示基本ACL。

· 3000～3999：表示高级ACL。

· 4000～4999：表示二层ACL。

name dest-acl-name：指定目的ACL的名称，该ACL必须不存在。dest-acl-name为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

· 目的ACL的类型要与源ACL的类型相同。

· 除了ACL的编号或名称不同外，新生成的ACL（即目的ACL）的匹配顺序、规则匹配统计功能的使能情况、规则编号的步长、所包含的规则、规则的描述信息以及ACL的描述信息等都与源ACL的相同。

· 若未指定ipv6或mac参数，则表示IPv4 ACL。

# 通过复制已存在的IPv4基本ACL 2001，来生成一个新的编号为2002的同类型ACL。

[Sysname] acl copy 2001 to 2002

# 通过复制已存在的IPv4基本ACL test，来生成名为paste的同类型ACL。

[Sysname] acl copy name test to name paste

1.1.4 acl interval

acl { logging | trap } interval命令用来配置报文过滤日志信息或告警信息的生成与发送周期，同时使能报文的首包上送功能。

undo acl { logging | trap } interval命令用来恢复缺省情况。

acl { logging | trap } interval interval

undo acl { logging | trap } interval

【缺省情况】

报文过滤日志信息或告警信息的生成与发送周期为0分钟，即不记录报文过滤的日志。报文首包上送功能处于关闭状态。

logging：指定周期性地生成报文过滤日志信息并发送到信息中心。有关信息中心的详细介绍请参见“网络管理和监控配置指导”中的“信息中心”。

trap：指定周期性地生成告警信息并发送到SNMP模块。有关告警信息的详细介绍，请参见“网络管理和监控配置指导”中的“SNMP”。

interval interval：报文过滤日志信息或告警信息的生成与发送周期，取值范围为0～1440，且必须为5的整数倍，0表示不进行记录，单位为分钟。

系统只支持对应用IPv4基本ACL、IPv4高级ACL、IPv6基本ACL、IPv6高级ACL或二层ACL进行报文过滤的报文过滤日志信息或告警信息进行记录，且在上述ACL中配置规则时必须指定logging参数。

# 配置IPv4报文过滤日志的生成与发送周期为10分钟。

[Sysname] acl logging interval 10

· rule (IPv4 advanced ACL view)

· rule (IPv4 basic ACL view)

· rule (IPv6 advanced ACL view)

· rule (IPv6 basic ACL view)

· rule (MAC ACL view)

1.1.5 description

description命令用来配置ACL的描述信息。

undo description命令用来删除ACL的描述信息。

description text

undo description

【缺省情况】

ACL没有任何描述信息。

【视图】

IPv4基本ACL视图/IPv4高级ACL视图/IPv6基本ACL视图/IPv6高级ACL视图/二层ACL视图

【缺省用户角色】

network-admin

【参数】

text：表示ACL的描述信息，为1～127个字符的字符串，区分大小写。

# 为IPv4基本ACL 2000配置描述信息。

[Sysname] acl basic 2000

[Sysname-acl-ipv4-basic-2000] description This is an IPv4 basic ACL.

1.1.6 display acl

display acl命令用来显示ACL的配置和运行情况。

display acl [ ipv6 | mac ] { acl-number | all | name acl-name }

ipv6：指定ACL类型为IPv6 ACL。

mac：指定ACL类型为二层ACL。

acl-number：显示指定编号的ACL的配置和运行情况。acl-number表示ACL的编号，取值范围及其代表的ACL类型如下：

· 2000～2999：表示基本ACL。

· 3000～3999：表示高级ACL。

· 4000～4999：表示二层ACL。

all：显示指定类型中全部ACL的配置和运行情况。

name acl-name：显示指定名称的ACL的配置和运行情况。acl-name表示ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

本命令将按照实际匹配顺序来排列ACL内的规则，即：当ACL的规则匹配顺序为配置顺序时，各规则将按照编号由小到大排列；当ACL的规则匹配顺序为自动排序时，各规则将按照“深度优先”原则由深到浅排列。

若未指定ipv6或mac参数，则表示IPv4 ACL。

<Sysname> display acl 2001

# 显示IPv4基本ACL 2001的配置和运行情况。

Basic IPv4 ACL 2001, 1 rules, match-order is auto,

This is an IPv4 basic ACL.

ACL's step is 5

ACL accelerated

rule 5 permit source 1.1.1.1 0 (5 times matched)

rule 5 comment This rule is used on GigabitEthernet 2/0/1.

表1-1 display acl命令显示信息描述表

字段	描述
Basic IPv4 ACL 2001	该ACL的类型和编号，ACL的类型包括： · Basic IPv4 ACL：表示IPv4基本ACL · Advanced IPv4 ACL：表示IPv4高级ACL · Basic IPv6 ACL：表示IPv6基本ACL · Advanced IPv6 ACL：表示IPv6高级ACL · MAC ACL：表示二层ACL
1 rules	该ACL内包含的规则数量
match-order is auto	该ACL的规则匹配顺序为自动排序（匹配顺序为配置顺序时不显示本字段）
This is an IPv4 basic ACL.	该ACL的描述信息
ACL's step is 5	该ACL的规则编号的步长值为5
ACL accelerated	该ACL使能了加速功能
rule 5 permit source 1.1.1.1 0	规则5的具体内容，源地址为具体地址
5 times matched	该规则匹配的次数为5（仅统计软件ACL的匹配次数，当匹配次数为0时不显示本字段）
rule 5 comment This rule is used on GigabitEthernet 2/0/1.	规则5的描述信息

1.1.7 display acl accelerate

display acl accelerate命令用来显示ACL的加速状态。

display acl accelerate { summary [ ipv6 | mac ] | verbose [ ipv6 | mac ] { acl-number | name acl-name } }

集中式设备：

分布式设备－独立运行模式/集中式IRF设备：

display acl accelerate { summary [ ipv6 | mac ] | verbose [ ipv6 | mac ] { acl-number | name acl-name } slot slot-number }

分布式设备－IRF模式：

display acl accelerate { summary [ ipv6 | mac ] | verbose [ ipv6 | mac ] { acl-number | name acl-name } chassis chassis-number slot slot-number }

summary：显示ACL加速的概要信息。

verbose：显示ACL加速的详细信息。

ipv6：显示IPv6 ACL的加速状态。

mac：显示二层ACL的加速状态。

acl-number：显示指定编号的ACL的加速状态。acl-number表示ACL的编号，取值范围及其代表的ACL类型如下：

· 2000～2999：表示基本ACL。

· 3000～3999：表示高级ACL。

· 4000～4999：表示二层ACL。

name acl-name：显示指定名称的ACL的加速状态。acl-name表示ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

slot slot-number：显示指定单板的ACL加速信息，该单板必须为加速芯片所在单板，slot-number表示单板所在的槽位号。（分布式设备－独立运行模式）

slot slot-number：显示指定成员设备的ACL加速信息，该设备必须为加速芯片所在成员设备，slot-number表示设备在IRF中的成员编号。（集中式IRF设备）

chassis chassis-number slot slot-number：显示指定成员设备上指定单板的ACL加速信息，该单板必须为加速芯片所在单板，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。（分布式设备－IRF模式）

若未指定ipv6或mac参数，则表示IPv4 ACL。

<Sysname> display acl accelerate summary

# 显示加速概要信息。

Basic IPv4 ACL 2000

ACL named acl.

# 显示加速详细信息。

<Sysname> display acl accelerate verbose 2000

Basic IPv4 ACL 2000.

rule 0 permit

rule 1 deny (failed)

表1-2 display acl accelerate verbose命令显示信息描述表

字段	描述
failed	表示此规则加速失败，匹配不生效

1.1.8 display packet-filter

display packet-filter命令用来显示ACL在报文过滤中的应用情况。

display packet-filter { interface [ interface-type interface-number ] [ inbound | outbound ] | zone-pair security [ source source-zone-name destination destination-zone-name ] }

集中式设备：

分布式设备－独立运行模式/集中式IRF设备：

分布式设备－IRF模式：

interface [ interface-type interface-number ]：显示指定接口上ACL在报文过滤中的应用情况。interface-type interface-number表示接口类型和接口编号。若未指定接口类型和接口编号，将显示所有接口上ACL在报文过滤中的应用情况。

zone-pair security [ source source-zone-name destination destination-zone-name ]：显示指定安全域间实例上ACL在报文过滤中的应用情况。source-zone-name：表示安全域间实例源安全域的名称，为1～31个字符的字符串，不区分大小写。destination-zone-name：表示安全域间实例目的安全域的名称，为1～31个字符的字符串，不区分大小写。

inbound：显示入方向上ACL在报文过滤中的应用情况。

outbound：显示出方向上ACL在报文过滤中的应用情况。

slot slot-number：显示指定单板上ACL在报文过滤中的应用情况，slot-number表示单板所在的槽位号。若未指定本参数，将显示主用主控板上ACL在报文过滤中的应用情况。（分布式设备－独立运行模式）

slot slot-number：显示指定成员设备上ACL在报文过滤中的应用情况，slot-number表示设备在IRF中的成员编号。若未指定本参数，将显示主用设备上ACL在报文过滤中的应用情况。（集中式IRF设备）

chassis chassis-number slot slot-number：显示指定成员设备指定单板上ACL在报文过滤中的应用情况，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。若未指定本参数，将显示全局主用主控板上ACL在报文过滤中的应用情况。（分布式设备－IRF模式）

显示安全域间实例上的应用情况时不区分方向，其他情况，若未指定inbound和outbound参数，将同时显示出、入方向上ACL在报文过滤中的应用情况。

<Sysname> display packet-filter interface gigabitethernet 2/0/1 inbound

# 显示接口GigabitEthernet2/0/1入方向上ACL在报文过滤中的应用情况。

Interface: GigabitEthernet2/0/1

In-bound policy:

IPv4 ACL 2001

IPv6 ACL 2002 (Failed)

MAC ACL 4003 (Failed)

IPv4 ACL 2004

IPv4 default action: Deny, Hardware-count

# 显示安全域间实例源域office到目的域library上ACL在报文过滤中的应用情况。

<Sysname> display packet-filter zone-pair security source office destination library

Zone-pair: source office destination library

IPv4 ACL 2001

IPv4 ACL 2002

表1-3 display packet-filter命令显示信息描述表

字段	描述
Interface	ACL在指定接口上的应用情况
Zone-pair	ACL在指定安全域间实例上的应用情况
In-bound policy	ACL在入方向上的应用情况
Out-bound policy	ACL在出方向上的应用情况
IPv4 ACL 2001	IPv4基本ACL 2001应用成功
IPv6 ACL 2002 (Failed)	IPv6基本ACL 2002应用失败
IPv4 default action	报文过滤的缺省动作，包括： · Deny：报文过滤缺省动作为Deny应用成功 · Deny (Failed)：报文过滤缺省动作为Deny应用失败，实际动作仍为Permit · Permit：报文过滤缺省动作为Permit · Hardware-count：报文过滤缺省动作统计功能应用成功 · Hardware-count (Failed)：报文过滤缺省动作统计功能应用失败
IPv6 default action	报文过滤的缺省动作，包括： · Deny：报文过滤缺省动作为Deny应用成功 · Deny (Failed)：报文过滤缺省动作为Deny应用失败，实际动作仍为Permit · Permit：报文过滤缺省动作为Permit · Hardware-count：报文过滤缺省动作统计功能应用成功 · Hardware-count (Failed)：报文过滤缺省动作统计功能应用失败
MAC default action	报文过滤的缺省动作，包括： · Deny：报文过滤缺省动作为Deny应用成功 · Deny (Failed)：报文过滤缺省动作为Deny应用失败，实际动作仍为Permit · Permit：报文过滤缺省动作为Permit · Hardware-count：报文过滤缺省动作统计功能应用成功 · Hardware-count (Failed)：报文过滤缺省动作统计功能应用失败

1.1.9 display packet-filter statistics

display packet-filter statistics命令用来显示ACL在报文过滤中应用的统计信息以及报文过滤缺省动作的统计信息。

display packet-filter statistics { interface interface-type interface-number { inbound | outbound } [ default | [ ipv6 | mac ] { acl-number | name acl-name } ] | zone-pair security source source-zone-name destination destination-zone-name [ [ ipv6 ] { acl-number | name acl-name } ] } [ brief ]

interface interface-type interface-number：显示指定接口上的统计信息。interface-type interface-number表示接口类型和接口编号。

zone-pair security source source-zone-name destination destination-zone-name：显示指定安全域间实例上的统计信息。source-zone-name：表示安全域间实例源安全域的名称，为1～31个字符的字符串，不区分大小写。destination-zone-name：表示安全域间实例目的安全域的名称，为1～31个字符的字符串，不区分大小写。

inbound：显示入方向上的统计信息。

outbound：显示出方向上的统计信息。

default：显示报文过滤缺省动作的统计信息。

ipv6：指定ACL类型为IPv6 ACL。

mac：指定ACL类型为二层ACL。

acl-number：显示指定编号ACL在报文过滤中应用的统计信息。acl-number表示ACL的编号，取值范围及其代表的ACL类型如下：

· 2000～2999：表示基本ACL。

· 3000～3999：表示高级ACL。

· 4000～4999：表示二层ACL。

name acl-name：显示指定名称ACL在报文过滤中应用的统计信息。acl-name表示ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

brief：显示简要统计信息。

· 若未指定default、acl-number、name acl-name和ACL类型（ipv6、mac）参数，将显示全部ACL在报文过滤中应用的统计信息以及报文过滤缺省动作的统计信息。

· 显示安全域间实例统计信息时不区分方向。

· 若未指定ipv6或mac参数，则表示IPv4 ACL。

<Sysname> display packet-filter statistics interface gigabitethernet 2/0/1 inbound

# 显示接口GigabitEthernet2/0/1入方向上全部ACL在报文过滤中应用的统计信息以及报文过滤缺省动作的统计信息。

Interface: GigabitEthernet2/0/1

In-bound policy:

IPv4 ACL 2001

From 2011-06-04 10:25:21 to 2011-06-04 10:35:57

rule 0 permit source 2.2.2.2 0 (2 packets)

rule 5 permit source 1.1.1.1 0 (Failed)

rule 10 permit vpn-instance test

Totally 2 packets permitted, 0 packets denied

Totally 100% permitted, 0% denied

IPv4 ACL 2002 (Failed)

MAC ACL 4000

From 2011-06-04 10:25:34 to 2011-06-04 10:35:57

rule 0 permit

IPv6 ACL 2000

IPv4 default action: Deny, Hardware-count

From 2011-06-04 10:25:21 to 2011-06-04 10:35:57

Totally 7 packets

IPv6 default action: Deny, Hardware-count

From 2011-06-04 10:25:41 to 2011-06-04 10:35:57

Totally 0 packets

MAC default action: Deny, Hardware-count

From 2011-06-04 10:25:34 to 2011-06-04 10:35:57

Totally 0 packets

# 显示安全域间实例源域office到目的域library上IPv4高级ACL 3000在报文过滤中应用的统计信息。

<Sysname> display packet-filter statistics zone-pair security source office destination library 3001

Zone-pair: source office destination library

IPv4 ACL 3001

rule 0 permit source 2.2.2.2 0

rule 5 permit source 1.1.1.1 0 counting (2 packets)

rule 10 permit vpn-instance test (Failed)

Totally 2 packets permitted, 0 packets denied

Totally 100% permitted, 0% denied

表1-4 display packet-filter statistics命令显示信息描述表

字段	描述
Interface	在指定接口上应用的统计信息
Zone-pair	在指定安全域间实例上应用的统计信息
In-bound policy	在入方向上应用的统计信息
Out-bound policy	在出方向上应用的统计信息
IPv4 ACL 2001	IPv4基本ACL 2001应用成功
IPv4 ACL 2002 (Failed)	IPv4基本ACL 2002应用失败
From 2011-06-04 10:25:21 to 2011-06-04 10:35:57	该统计的起始和终止时间
2 packets	该规则匹配了2个包（当匹配的包个数为0时不显示本字段）
rule 5 permit source 1.1.1.1 0 (Failed)	规则5应用失败
Totally 2 packets permitted, 0 packets denied	该ACL允许和拒绝符合条件报文的个数
Totally 100% permitted, 0% denied	该ACL允许符合条件报文的通过率和拒绝符合条件报文的丢弃率
IPv4 default action	报文过滤的缺省动作，包括： · Deny：报文过滤缺省动作为Deny应用成功 · Deny (Failed)：报文过滤缺省动作为Deny应用失败，实际动作仍为Permit · Permit：报文过滤缺省动作为Permit · Hardware-count：报文过滤缺省动作统计功能应用成功 · Hardware-count (Failed)：报文过滤缺省动作统计功能应用失败
IPv6 default action	报文过滤的缺省动作，包括： · Deny：报文过滤缺省动作为Deny应用成功 · Deny (Failed)：报文过滤缺省动作为Deny应用失败，实际动作仍为Permit · Permit：报文过滤缺省动作为Permit · Hardware-count：报文过滤缺省动作统计功能应用成功 · Hardware-count (Failed)：报文过滤缺省动作统计功能应用失败
MAC default action	报文过滤的缺省动作，包括： · Deny：报文过滤缺省动作为Deny应用成功 · Deny (Failed)：报文过滤缺省动作为Deny应用失败，实际动作仍为Permit · Permit：报文过滤缺省动作为Permit · Hardware-count：报文过滤缺省动作统计功能应用成功 · Hardware-count (Failed)：报文过滤缺省动作统计功能应用失败
Totally 7 packets	报文过滤缺省动作的执行次数

1.1.10 display packet-filter statistics sum

display packet-filter statistics sum命令用来显示ACL在报文过滤中应用的累加统计信息。

display packet-filter statistics sum { inbound | outbound } [ ipv6 | mac ] { acl-number | name acl-name } [ brief ]

inbound：显示入方向上ACL在报文过滤中应用的累加统计信息。

outbound：显示出方向上ACL在报文过滤中应用的累加统计信息。

ipv6：指定ACL类型为IPv6 ACL。

mac：指定ACL类型为二层ACL。

acl-number：显示指定编号ACL在报文过滤中应用的累加统计信息。acl-number表示ACL的编号，取值范围及其代表的ACL类型如下：

· 2000～2999：表示基本ACL。

· 3000～3999：表示高级ACL。

· 4000～4999：表示二层ACL。

name acl-name：显示指定名称ACL在报文过滤中应用的累加统计信息。acl-name表示ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

brief：显示ACL在报文过滤中应用的简要累加统计信息。

若未指定ipv6或mac参数，则表示IPv4 ACL。

<Sysname> display packet-filter statistics sum inbound 2001

# 显示入方向上IPv4基本ACL 2001在报文过滤中应用的累加统计信息。

Sum:

In-bound policy:

IPv4 ACL 2001

rule 0 permit source 2.2.2.2 0 (2 packets)

rule 5 permit source 1.1.1.1 0

rule 10 permit vpn-instance test

Totally 2 packets permitted, 0 packets denied

Totally 100% permitted, 0% denied

# 显示入方向上IPv4基本ACL 2000在报文过滤中应用的简要累加统计信息。

<Sysname> display packet-filter statistics sum inbound 2000 brief

Sum:

Inbound policy:

IPv4 ACL 2000

Totally 2 packets permitted, 0 packets denied

Totally 100% permitted, 0% denied

表1-5 display packet-filter statistics sum命令显示信息描述表

字段	描述
Sum	ACL在报文过滤中应用的累加统计信息
In-bound policy	ACL在入方向上应用的累加统计信息
Out-bound policy	ACL在出方向上应用的累加统计信息
IPv4 ACL 2001	IPv4基本ACL 2001应用的累加统计信息
2 packets	该规则匹配了2个包（当匹配的包个数为0时不显示本字段）
Totally 2 packets permitted, 0 packets denied	该ACL允许和拒绝符合条件报文的个数
Totally 100% permitted, 0% denied	该ACL允许符合条件报文的通过率和拒绝符合条件报文的丢弃率

1.1.11 display packet-filter verbose

display packet-filter verbose命令用来显示ACL在报文过滤中的详细应用情况。

display packet-filter verbose { interface interface-type interface-number { inbound | outbound } [ [ ipv6 | mac ] { acl-number | name acl-name } ] | zone-pair security source source-zone-name destination destination-zone-name [ [ ipv6 ] { acl-number | name acl-name } ] }

集中式设备：

分布式设备－独立运行模式/集中式IRF设备：

分布式设备－IRF模式：

interface interface-type interface-number：显示指定接口上ACL在报文过滤中的详细应用情况。interface-type interface-number表示接口类型和接口编号。

zone-pair security source source-zone-name destination destination-zone-name：显示指定安全域间实例上ACL在报文过滤中的详细应用情况。source-zone-name：表示安全域间实例源安全域的名称，为1～31个字符的字符串，不区分大小写。destination-zone-name：表示安全域间实例目的安全域的名称，为1～31个字符的字符串，不区分大小写。

inbound：显示入方向上ACL在报文过滤中的详细应用情况。

outbound：显示出方向上ACL在报文过滤中的详细应用情况。

ipv6：指定ACL类型为IPv6 ACL。

mac：指定ACL类型为二层ACL。

acl-number：显示指定编号ACL在报文过滤中的详细应用情况。acl-number表示ACL的编号，取值范围及其代表的ACL类型如下：

· 2000～2999：表示基本ACL。

· 3000～3999：表示高级ACL。

· 4000～4999：表示二层ACL。

name acl-name：显示指定名称ACL在报文过滤中的详细应用情况。acl-name表示ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

slot slot-number：显示指定单板上ACL在报文过滤中的详细应用情况，slot-number表示单板所在的槽位号。若未指定本参数，将显示主用主控板上ACL在报文过滤中的详细应用情况。（分布式设备－独立运行模式）

slot slot-number：显示指定成员设备上ACL在报文过滤中的详细应用情况，slot-number表示设备在IRF中的成员编号。若未指定本参数，将显示主用设备上ACL在报文过滤中的详细应用情况。（集中式IRF设备）

chassis chassis-number slot slot-number：显示指定成员设备指定单板上ACL在报文过滤中的详细应用情况，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。若未指定本参数，将显示全局主用主控板上ACL在报文过滤中的详细应用情况。（分布式设备－IRF模式）

· 显示安全域间实例详细应用情况时不区分方向。

· 若未指定ipv6或mac参数，则表示IPv4 ACL。

<Sysname> display packet-filter verbose interface gigabitethernet 2/0/1 inbound

# 显示接口GigabitEthernet2/0/1入方向上全部ACL在报文过滤中的详细应用情况。

Interface: GigabitEthernet2/0/1

In-bound policy:

IPv4 ACL 2001

rule 0 permit

rule 5 permit source 1.1.1.1 0 (Failed)

rule 10 permit vpn-instance test (Failed)

IPv4 ACL 2002 (Failed)

IPv6 ACL 2000

rule 0 permit

MAC ACL 4000

IPv4 default action: Deny, Hardware-count (Failed)

IPv6 default action: Deny, Hardware-count (Failed)

MAC default action: Deny, Hardware-count (Failed)

#显示安全域间实例源域office到目的域library上全部ACL在报文过滤中的详细应用情况。

<Sysname> display packet-filter verbose zone-pair security source office destination library

Zone-pair: source office destination library

IPv4 ACL 2001

rule 0 permit

rule 5 permit source 1.1.1.1 0

rule 10 permit vpn-instance test

表1-6 display packet-filter verbose命令显示信息描述表

字段	描述
Interface	ACL在指定接口上的详细应用情况
Zone-pair	ACL在指定安全域间实例上的详细应用情况
In-bound policy	ACL在入方向上的详细应用情况
Out-bound policy	ACL在出方向上的详细应用情况
IPv4 ACL 2001	IPv4基本ACL 2001应用成功
IPv4 ACL 2002 (Failed)	IPv4基本ACL 2002应用失败
rule 5 permit source 1.1.1.1 0 (Failed)	规则5应用失败
IPv4 default action	报文过滤的缺省动作，包括： · Deny：报文过滤缺省动作为Deny应用成功 · Deny (Failed)：报文过滤缺省动作为Deny应用失败，实际动作仍为Permit · Permit：报文过滤缺省动作为Permit · Hardware-count：报文过滤缺省动作统计功能应用成功 · Hardware-count (Failed)：报文过滤缺省动作统计功能应用失败
IPv6 default action	报文过滤的缺省动作，包括： · Deny：报文过滤缺省动作为Deny应用成功 · Deny (Failed)：报文过滤缺省动作为Deny应用失败，实际动作仍为Permit · Permit：报文过滤缺省动作为Permit · Hardware-count：报文过滤缺省动作统计功能应用成功 · Hardware-count (Failed)：报文过滤缺省动作统计功能应用失败
MAC default action	报文过滤的缺省动作，包括： · Deny：报文过滤缺省动作为Deny应用成功 · Deny (Failed)：报文过滤缺省动作为Deny应用失败，实际动作仍为Permit · Permit：报文过滤缺省动作为Permit · Hardware-count：报文过滤缺省动作统计功能应用成功 · Hardware-count (Failed)：报文过滤缺省动作统计功能应用失败

1.1.12 packet-filter(Interface view)

packet-filter命令用来在接口上应用ACL进行报文过滤。

undo packet-filter命令用来取消在接口上应用ACL进行报文过滤。

packet-filter [ ipv6 | mac ] { acl-number | name acl-name } { inbound | outbound }

undo packet-filter [ ipv6 | mac ] { acl-number | name acl-name } { inbound | outbound }

ipv6：指定ACL类型为IPv6 ACL。

mac：指定ACL类型为二层ACL。

acl-number：指定ACL的编号，取值范围及其代表的ACL类型如下：

· 2000～2999：表示基本ACL。

· 3000～3999：表示高级ACL。

· 4000～4999：表示二层ACL。

inbound：对收到的报文进行过滤。

outbound：对发出的报文进行过滤。

若未指定ipv6或mac关键字，则表示IPv4 ACL。

# 应用IPv4基本ACL 2001对接口GigabitEthernet2/0/1收到的报文进行过滤。

[Sysname] interface gigabitethernet 2/0/1

[Sysname-GigabitEthernet2/0/1] packet-filter 2001 inbound

· display packet-filter verbose

1.1.13 packet-filter(Zone-pair security view)

设备各款型对于本命令的支持情况有所不同，详细差异信息如下：

型号	特性	描述
MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-LM-HK/810-W-LM-HK	packet-filter	不支持
MSR 2630		支持
MSR3600-28/3600-51		支持
MSR 3610/3620/3620-DP/3640/3660		支持
MSR 5620/5660/5680		支持
MSR2600-10-X1		支持

packet-filter命令用来在安全域间实例上应用ACL进行报文过滤。

undo packet-filter命令用来取消在安全域间实例上应用ACL进行报文过滤。

packet-filter [ ipv6 ] { acl-number | name acl-name }

undo packet-filter [ ipv6 ] { acl-number | name acl-name }

安全域间实例不对报文进行过滤。

安全域间实例视图

ipv6：指定ACL类型为IPv6 ACL。若未指定本参数，则表示IPv4 ACL。

acl-number：指定ACL的编号，取值范围及其代表的ACL类型如下：

· 2000～2999：表示基本ACL。

· 3000～3999：表示高级ACL。

# 应用IPv4基本ACL 2002对安全域间实例（源安全域为office，目的安全域为library）收到的报文进行过滤。

[Sysname] zone-pair security source office destination library

[Sysname-zone-pair-security-office-library] packet-filter 2002

· display packet-filter verbose

1.1.14 packet-filter default deny

packet-filter default deny命令用来配置报文过滤的缺省动作为Deny，即禁止未匹配上ACL规则的报文通过。

undo packet-filter default deny命令用来恢复缺省情况。

packet-filter default deny

undo packet-filter default deny

【缺省情况】

报文过滤的缺省动作为Permit，即允许未匹配上ACL规则的报文通过。

配置报文过滤的缺省动作会在所有的应用对象下添加一个缺省动作应用，该应用也会像其它应用的ACL一样显示。

# 配置报文过滤的缺省动作为Deny。

[Sysname] packet-filter default deny

· display packet-filter verbose

1.1.15 packet-filter default hardware-count

packet-filter default hardware-count命令用来在接口上使能报文过滤缺省动作统计功能。

undo packet-filter default hardware-count命令用来在接口上关闭报文过滤缺省动作统计功能。

packet-filter default { inbound | outbound } hardware-count

undo packet-filter default { inbound | outbound } hardware-count

【参数】

inbound：表示收到的报文。

outbound：表示发出的报文。

在接口上只有应用了ACL进行报文过滤，才允许使能报文过滤缺省动作统计功能。

# 配置报文过滤的缺省动作为Deny，在接口GigabitEthernet2/0/1上对收到的报文应用IPv4基本ACL 2001进行过滤，并使能报文过滤缺省动作统计功能。

[Sysname] packet-filter default deny

[Sysname] interface gigabitethernet 2/0/1

[Sysname-GigabitEthernet2/0/1] packet-filter 2001 inbound

[Sysname-GigabitEthernet2/0/1] packet-filter default inbound hardware-count

· packet-filter default deny

· packet-filter

1.1.16 reset acl counter

reset acl counter命令用来清除ACL的统计信息。

reset acl [ ipv6 | mac ] counter { acl-number | all | name acl-name }

ipv6：指定ACL类型为IPv6 ACL。

mac：指定ACL类型为二层ACL。

acl-number：清除指定编号ACL的统计信息。acl-number表示ACL的编号，取值范围及其代表的ACL类型如下：

· 2000～2999：表示基本ACL。

· 3000～3999：表示高级ACL。

· 4000～4999：表示二层ACL。

all：清除指定类型中全部ACL的统计信息。

name acl-name：清除指定名称ACL的统计信息。acl-name表示ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

若未指定ipv6或mac参数，则表示IPv4 ACL。

<Sysname> reset acl counter 2001

# 清除IPv4基本ACL 2001的统计信息。

1.1.17 reset packet-filter statistics

reset packet-filter statistics命令用来清除ACL在报文过滤中应用的统计信息（包括累加统计信息）以及报文过滤缺省动作的统计信息。

reset packet-filter statistics { interface [ interface-type interface-number ] { inbound | outbound } [ default | [ ipv6 | mac ] { acl-number | name acl-name } ] | zone-pair security [ source source-zone-name destination destination-zone-name ] [ ipv6 ] { acl-number | name acl-name } ] }

interface [ interface-type interface-number ]：清除指定接口上的统计信息。interface-type interface-number表示接口类型和接口编号。若未指定接口类型和接口编号，将清除所有接口上的统计信息。

zone-pair security [ source source-zone-name destination destination-zone-name ]：清除指定接口上的统计信息。source-zone-name：表示安全域间实例源安全域的名称，为1～31个字符的字符串，不区分大小写。destination-zone-name：表示安全域间实例目的安全域的名称，为1～31个字符的字符串，不区分大小写。

inbound：清除入方向上的统计信息。

outbound：清除出方向上的统计信息。

default：清除缺省动作在报文过滤中应用的统计信息。

ipv6：指定ACL类型为IPv6 ACL。

mac：指定ACL类型为二层ACL。

acl-number：清除指定编号ACL在报文过滤中应用的统计信息。acl-number表示ACL的编号，取值范围及其代表的ACL类型如下：

· 2000～2999：表示基本ACL。

· 3000～3999：表示高级ACL。

· 4000～4999：表示二层ACL。

name acl-name：清除指定名称ACL在报文过滤中应用的统计信息。acl-name表示ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

· 若未指定default、acl-number和name acl-name参数，将清除全部ACL（若指定ipv6关键字，表示全部IPv6基本ACL、IPv6高级ACL；若指定mac关键字，表示全部二层 ACL；否则，表示全部IPv4基本ACL和IPv4高级ACL）和缺省动作在报文过滤中应用的统计信息。

· 清除安全域间实例统计信息时不区分方向且不支持default。

· 若未指定ipv6或mac参数，则表示IPv4 ACL。

<Sysname> reset packet-filter statistics interface gigabitethernet 2/0/1 inbound 2001

# 清除接口GigabitEthernet2/0/1入方向上IPv4基本ACL 2001在报文过滤中应用的统计信息。

· display packet-filter statistics sum

1.1.18 rule (MAC ACL view)

rule命令用来为二层ACL创建一条规则。

undo rule命令用来为二层ACL删除一条规则或删除规则中的部分内容。

rule [ rule-id ] { deny | permit } [ cos vlan-pri | counting | dest-mac dest-address dest-mask | { lsap lsap-type lsap-type-mask | type protocol-type protocol-type-mask } | source-mac source-address source-mask | time-range time-range-name ] *

undo rule rule-id [ counting | time-range ] *

二层ACL内不存在任何规则。

二层ACL视图

rule-id：指定二层ACL规则的编号，取值范围为0～65534。若未指定本参数，系统将按照步长从0开始，自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28，步长为5，那么自动分配的新编号将是30。

deny：表示拒绝符合条件的报文。

permit：表示允许符合条件的报文。

cos vlan-pri：指定802.1p优先级。vlan-pri表示802.1p优先级，可输入的形式如下：

· 数字：取值范围为0～7；

· 名称：best-effort、background、spare、excellent-effort、controlled-load、video、voice和network-management，依次对应于数字0～7。

counting：表示使能规则匹配统计功能，缺省为关闭。

dest-mac dest-address dest-mask：指定目的MAC地址范围。dest-address表示目的MAC地址，格式为H-H-H。dest-mask表示目的MAC地址的掩码，格式为H-H-H。

lsap lsap-type lsap-type-mask：指定LLC封装中的DSAP字段和SSAP字段。lsap-type表示数据帧的封装格式，为16比特的十六进制数。lsap-type-mask表示LSAP的类型掩码，为16比特的十六进制数，用于指定屏蔽位。

type protocol-type protocol-type-mask：指定链路层协议类型。protocol-type表示16比特的十六进制数表征的数据帧类型，对应Ethernet_II类型和Ethernet_SNAP类型帧中的type域。protocol-type-mask表示类型掩码，为16比特的十六进制数，用于指定屏蔽位。

source-mac source-address source-mask：指定源MAC地址范围。source-address表示源MAC地址，格式为H-H-H。source-mask表示源MAC地址的掩码，格式为H-H-H。

time-range time-range-name：指定本规则生效的时间段。time-range-name表示时间段的名称，为1～32个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。若该时间段尚未配置，该规则仍会成功创建但系统将给出提示信息，并在该时间段的配置完成后此规则才会生效。有关时间段的详细介绍和具体配置过程，请参见“ACL和QoS配置指导”中的“时间段”。

· 使用rule命令时，如果指定编号的规则不存在，则创建一条新的规则；如果指定编号的规则已存在，则对旧规则进行修改，即在其原有内容的基础上叠加新的内容。

· 当ACL的规则匹配顺序为配置顺序时，允许修改该ACL内的任意一条已有规则；当ACL的规则匹配顺序为自动排序时，不允许修改该ACL内的已有规则，否则将提示出错。

· 使用undo rule命令时，如果没有指定任何可选参数，则删除整条规则；如果指定了可选参数，则只删除该参数所对应的内容。

· 使用undo rule命令时必须指定一个已存在规则的编号，可以使用display acl all命令来查看所有已存在的规则。

# 为二层ACL 4000创建规则如下：允许ARP报文通过，但拒绝RARP报文通过。

[Sysname] acl mac 4000

[Sysname-acl-mac-4000] rule permit type 0806 ffff

[Sysname-acl-mac-4000] rule deny type 8035 ffff

· time-range（ACL和QoS命令参考/时间段）

1.1.19 rule (IPv4 advanced ACL view)

rule命令用来为IPv4高级ACL创建一条规则。

undo rule命令用来为IPv4高级ACL删除一条规则或删除规则中的部分内容。

rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { dest-address dest-wildcard | any } | destination-port operator port1 [ port2 ] | { dscp dscp | { precedence precedence | tos tos } * } | fragment | icmp-type { icmp-type [ icmp-code ] | icmp-message } | logging | source { source-address source-wildcard | any } | source-port operator port1 [ port2 ] | time-range time-range-name | vpn-instance vpn-instance-name ] *

undo rule rule-id [ { { ack | fin | psh | rst | syn | urg } * | established } | counting | destination | destination-port | { dscp | { precedence | tos } * } | fragment | icmp-type | logging | source | source-port | time-range | vpn-instance ] *

IPv4高级ACL内不存在任何规则。

IPv4高级ACL视图

rule-id：指定IPv4高级ACL规则的编号，取值范围为0～65534。若未指定本参数，系统将按照步长从0开始，自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28，步长为5，那么自动分配的新编号将是30。

deny：表示拒绝符合条件的报文。

permit：表示允许符合条件的报文。

protocol：表示IPv4承载的协议类型，可输入的形式如下：

· 数字：取值范围为0～255；

· 名称（括号内为对应的数字）：可选取gre（47）、icmp（1）、igmp（2）、ip、ipinip（4）、ospf（89）、tcp（6）或udp（17）。

protocol之后可配置如表1-7所示的规则信息参数。

表1-7 规则信息参数

参数	类别	作用	说明
source { source-address source-wildcard \| any }	源地址信息	指定ACL规则的源地址信息	source-address：源IP地址 source-wildcard：源IP地址的通配符掩码（为0表示主机地址） any：任意源IP地址
destination { dest-address dest-wildcard \| any }	目的地址信息	指定ACL规则的目的地址信息	dest-address：目的IP地址 dest-wildcard：目的IP地址的通配符掩码（为0表示主机地址） any：任意目的IP地址
counting	统计	使能规则匹配统计功能，缺省为关闭	本参数用于使能本规则的匹配统计功能
precedence precedence	报文优先级	IP优先级	precedence用数字表示时，取值范围为0～7；用文字表示时，分别对应routine、priority、immediate、flash、flash-override、critical、internet、network
tos tos	报文优先级	ToS优先级	tos用数字表示时，取值范围为0～15；用文字表示时，可以选取max-reliability（2）、max-throughput（4）、min-delay（8）、min-monetary-cost（1）、normal（0）
dscp dscp	报文优先级	DSCP优先级	dscp用数字表示时，取值范围为0～63；用文字表示时，可以选取af11（10）、af12（12）、af13（14）、af21（18）、af22（20）、af23（22）、af31（26）、af32（28）、af33（30）、af41（34）、af42（36）、af43（38）、cs1（8）、cs2（16）、cs3（24）、cs4（32）、cs5（40）、cs6（48）、cs7（56）、default（0）、ef（46）
fragment	分片信息	仅对分片报文的非首个分片有效，而对非分片报文和分片报文的首个分片无效	若未指定该参数，则表示该规则对所有报文（包括非分片报文和分片报文的每个分片）均有效
logging	日志操作	对符合条件的报文可记录日志信息	该功能需要使用该ACL的模块支持日志记录功能，例如报文过滤
time-range time-range-name	时间段	指定本规则生效的时间段	time-range-name：时间段的名称，为1～32个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。若该时间段尚未配置，该规则仍会成功创建但系统将给出提示信息，并在该时间段的配置完成后此规则才会生效。有关时间段的详细介绍和具体配置过程，请参见“ACL和QoS配置指导”中的“时间段”
vpn-instance vpn-instance-name	VPN实例	对指定VPN实例中的报文有效	vpn-instance-name：MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写若未指定本参数，表示该规则仅对非VPN报文有效

当protocol为tcp（6）或udp（17）时，用户还可配置如表1-8所示的规则信息参数。

表1-8 TCP/UDP特有的规则信息参数

参数	类别	作用	说明
source-port operator port1 [ port2 ]	源端口	定义TCP/UDP报文的源端口信息	operator为操作符，取值可以为lt（小于）、gt（大于）、eq（等于）、neq（不等于）或者range（在范围内，包括边界值）。只有操作符range需要两个端口号做操作数，其它的只需要一个端口号做操作数 port1、port2：TCP或UDP的端口号，用数字表示时，取值范围为0～65535；用文字表示时，TCP端口号可以选取chargen（19）、bgp（179）、cmd（514）、daytime（13）、discard（9）、dns（53）、domain（53）、echo （7）、exec （512）、finger（79）、ftp（21）、ftp-data（20）、gopher（70）、hostname（101）、irc（194）、klogin（543）、kshell（544）、login（513）、lpd（515）、nntp（119）、pop2（109）、pop3（110）、smtp（25）、sunrpc（111）、tacacs（49）、talk（517）、telnet（23）、time（37）、uucp（540）、whois（43）、www（80）；UDP端口号可以选取biff（512）、bootpc（68）、bootps（67）、discard（9）、dns（53）、dnsix（90）、echo （7）、mobilip-ag（434）、mobilip-mn（435）、nameserver（42）、netbios-dgm（138）、netbios-ns（137）、netbios-ssn（139）、ntp（123）、rip（520）、snmp（161）、snmptrap（162）、sunrpc（111）、syslog（514）、tacacs-ds（65）、talk（517）、tftp（69）、time（37）、who（513）、xdmcp（177）
destination-port operator port1 [ port2 ]	目的端口	定义TCP/UDP报文的目的端口信息
{ ack ack-value \| fin fin-value \| psh psh-value \| rst rst-value \| syn syn-value \| urg urg-value } *	TCP报文标识	定义对携带不同标志位（包括ACK、FIN、PSH、RST、SYN和URG六种）的TCP报文的处理规则	TCP协议特有的参数。表示匹配携带不同标志位的TCP报文，各value的取值可为0或1（0表示不携带此标志位，1表示携带此标志位）对于一条规则中各标志位的配置组合为“或”的关系。譬如：当配置为ack 0 psh 1时，将匹配不携带ACK或携带PSH标志位的TCP报文
established	TCP连接建立标识	定义对TCP连接报文的处理规则	TCP协议特有的参数，表示匹配携带ACK或RST标志位的TCP连接报文

当protocol为icmp（1）时，用户还可配置如表1-9所示的规则信息参数。

表1-9 ICMP特有的规则信息参数

参数	类别	作用	说明
icmp-type { icmp-type icmp-code \| icmp-message }	ICMP报文的消息类型和消息码信息	指定本规则中ICMP报文的消息类型和消息码信息	icmp-type：ICMP消息类型，取值范围为0～255 icmp-code：ICMP消息码，取值范围为0～255 icmp-message：ICMP消息名称。可以输入的ICMP消息名称，及其与消息类型和消息码的对应关系如表1-10所示

icmp-type { icmp-type icmp-code | icmp-message }

ICMP报文的消息类型和消息码信息

指定本规则中ICMP报文的消息类型和消息码信息

icmp-type：ICMP消息类型，取值范围为0～255

icmp-code：ICMP消息码，取值范围为0～255

icmp-message：ICMP消息名称。可以输入的ICMP消息名称，及其与消息类型和消息码的对应关系如表1-10所示

表1-10 ICMP消息名称与消息类型和消息码的对应关系

ICMP消息名称	ICMP消息类型	ICMP消息码
echo	8	0
echo-reply	0	0
fragmentneed-DFset	3	4
host-redirect	5	1
host-tos-redirect	5	3
host-unreachable	3	1
information-reply	16	0
information-request	15	0
net-redirect	5	0
net-tos-redirect	5	2
net-unreachable	3	0
parameter-problem	12	0
port-unreachable	3	3
protocol-unreachable	3	2
reassembly-timeout	11	1
source-quench	4	0
source-route-failed	3	5
timestamp-reply	14	0
timestamp-request	13	0
ttl-exceeded	11	0

· 使用undo rule命令时，如果没有指定任何可选参数，则删除整条规则；如果指定了可选参数，则只删除该参数所对应的内容。

· 使用undo rule命令时必须指定一个已存在规则的编号，可以使用display acl all命令来查看所有已存在的规则。

# 为IPv4高级ACL 3000创建规则如下：允许129.9.0.0/16网段内的主机与202.38.160.0/24网段内主机的WWW端口（端口号为80）建立连接。

[Sysname] acl advanced 3000

[Sysname-acl-ipv4-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80

# 为IPv4高级ACL 3001创建规则如下：允许IP报文通过，但拒绝发往192.168.1.0/24网段的ICMP报文通过。

[Sysname] acl advanced 3001

[Sysname-acl-ipv4-adv-3001] rule deny icmp destination 192.168.1.0 0.0.0.255

[Sysname-acl-ipv4-adv-3001] rule permit ip

# 为IPv4高级ACL 3002创建规则如下：在出、入双方向上都允许建立FTP连接并传输FTP数据。

[Sysname] acl advanced 3002

[Sysname-acl-ipv4-adv-3002] rule permit tcp source-port eq ftp

[Sysname-acl-ipv4-adv-3002] rule permit tcp source-port eq ftp-data

[Sysname-acl-ipv4-adv-3002] rule permit tcp destination-port eq ftp

[Sysname-acl-ipv4-adv-3002] rule permit tcp destination-port eq ftp-data

# 为IPv4高级ACL 3003创建规则如下：在出、入双方向上都允许SNMP报文和SNMP Trap报文通过。

[Sysname] acl advanced 3003

[Sysname-acl-ipv4-adv-3003] rule permit udp source-port eq snmp

[Sysname-acl-ipv4-adv-3003] rule permit udp source-port eq snmptrap

[Sysname-acl-ipv4-adv-3003] rule permit udp destination-port eq snmp

[Sysname-acl-ipv4-adv-3003] rule permit udp destination-port eq snmptrap

· acl logging interval

· time-range（ACL和QoS命令参考/时间段）

1.1.20 rule (IPv4 basic ACL view)

rule命令用来为IPv4基本ACL创建一条规则。

undo rule命令用来为IPv4基本ACL删除一条规则或删除规则中的部分内容。

rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { source-address source-wildcard | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *

IPv4基本ACL内不存在任何规则。

IPv4基本ACL视图

rule-id：指定IPv4基本ACL规则的编号，取值范围为0～65534。若未指定本参数，系统将按照步长从0开始，自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28，步长为5，那么自动分配的新编号将是30。

deny：表示拒绝符合条件的报文。

permit：表示允许符合条件的报文。

counting：表示使能规则匹配统计功能，缺省为关闭。

fragment：表示仅对非首片分片报文有效，而对非分片报文和首片分片报文无效。若未指定本参数，表示该规则对非分片报文和分片报文均有效。

logging：表示对符合条件的报文可记录日志信息。该功能需要使用该ACL的模块支持日志记录功能，例如报文过滤。

source { source-address source-wildcard | any }：指定规则的源IP地址信息。source-address表示报文的源IP地址，source-wildcard表示源IP地址的通配符掩码（为0表示主机地址），any表示任意源IP地址。

vpn-instance vpn-instance-name：表示对指定VPN实例中的报文有效。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。若未指定本参数，表示该规则仅对非VPN报文有效。

· 使用undo rule命令时，如果没有指定任何可选参数，则删除整条规则；如果指定了可选参数，则只删除该参数所对应的内容。

· 使用undo rule命令时必须指定一个已存在规则的编号，可以使用display acl all命令来查看所有已存在的规则。

# 为IPv4基本ACL 2000创建规则如下：仅允许来自10.0.0.0/8、172.17.0.0/16和192.168.1.0/24网段的报文通过，而拒绝来自所有其它网段的报文通过。

[Sysname] acl basic 2000

[Sysname-acl-ipv4-basic-2000] rule permit source 10.0.0.0 0.255.255.255

[Sysname-acl-ipv4-basic-2000] rule permit source 172.17.0.0 0.0.255.255

[Sysname-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255

[Sysname-acl-ipv4-basic-2000] rule deny source any

· acl logging interval

· time-range（ACL和QoS命令参考/时间段）

1.1.21 rule (IPv6 advanced ACL view)

rule命令用来为IPv6高级ACL创建一条规则。

undo rule命令用来为IPv6高级ACL删除一条规则或删除规则中的部分内容。

rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { dest-address dest-prefix | dest-address/dest-prefix | any } | destination-port operator port1 [ port2 ] | dscp dscp | flow-label flow-label-value | fragment | icmp6-type { icmp6-type icmp6-code | icmp6-message } | logging | routing [ type routing-type ] | hop-by-hop [ type hop-type ] | source { source-address source-prefix | source-address/source-prefix | any } | source-port operator port1 [ port2 ] | time-range time-range-name | vpn-instance vpn-instance-name ] *

undo rule rule-id [ { { ack | fin | psh | rst | syn | urg } * | established } | counting | destination | destination-port | dscp | flow-label | fragment | icmp6-type | logging | routing | hop-by-hop | source | source-port | time-range | vpn-instance ] *

IPv6高级ACL内不存在任何规则。

IPv6高级ACL视图

rule-id：指定IPv6高级ACL规则的编号，取值范围为0～65534。若未指定本参数，系统将按照步长从0开始，自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28，步长为5，那么自动分配的新编号将是30。

deny：表示拒绝符合条件的报文。

permit：表示允许符合条件的报文。

protocol：表示IPv6承载的协议类型，可输入的形式如下：

· 数字：取值范围为0～255；

· 名称（括号内为对应的数字）：可选取gre（47）、icmpv6（58）、ipv6、ipv6-ah（51）、ipv6-esp（50）、ospf（89）、tcp（6）或udp（17）。

protocol之后可配置如表1-11所示的规则信息参数。

表1-11 规则信息参数

参数	类别	作用	说明
source { source-address source-prefix \| source-address/source-prefix \| any }	源IPv6地址	指定ACL规则的源IPv6地址信息	source-address：源IPv6地址 source-prefix：源IPv6地址的前缀长度，取值范围1～128 any：任意源IPv6地址
destination { dest-address dest-prefix \| dest-address/dest-prefix \| any }	目的IPv6地址	指定ACL规则的目的IPv6地址信息	dest-address：目的IPv6地址 dest-prefix：目的IPv6地址的前缀长度，取值范围1～128 any：任意目的IPv6地址
counting	统计	使能规则匹配统计功能，缺省为关闭	本参数用于使能本规则的匹配统计功能
dscp dscp	报文优先级	DSCP优先级	dscp：用数字表示时，取值范围为0～63；用名称表示时，可选取af11（10）、af12（12）、af13（14）、af21（18）、af22（20）、af23（22）、af31（26）、af32（28）、af33（30）、af41（34）、af42（36）、af43（38）、cs1（8）、cs2（16）、cs3（24）、cs4（32）、cs5（40）、cs6（48）、cs7（56）、default（0）或ef（46）
flow-label flow-label-value	流标签字段	指定IPv6基本报文头中流标签字段的值	flow-label-value：流标签字段的值，取值范围为0～1048575
fragment	报文分片	仅对分片报文的非首个分片有效，而对非分片报文和分片报文的首个分片无效	若未指定本参数，表示该规则对所有报文（包括非分片报文和分片报文的每个分片）均有效
logging	日志操作	对符合条件的报文可记录日志信息	该功能需要使用该ACL的模块支持日志记录功能，例如报文过滤
routing [ type routing-type ]	路由头	指定路由头的类型	routing-type：路由头类型的值，取值范围为0～255 若指定了type routing-type参数，表示仅对指定类型的路由头有效；否则，表示对IPv6所有类型的路由头都有效
hop-by-hop [ type hop-type ]	逐跳头	指定逐跳头的类型	hop-type：逐跳头类型的值，取值范围为0～255 若指定了type hop-type参数，表示仅对指定类型的逐跳头有效；否则，表示对IPv6所有类型的逐跳头都有效
time-range time-range-name	时间段	指定本规则生效的时间段	time-range-name：时间段的名称，为1～32个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。若该时间段尚未配置，该规则仍会成功创建但系统将给出提示信息，并在该时间段的配置完成后此规则才会生效。有关时间段的详细介绍和具体配置过程，请参见“ACL和QoS配置指导”中的“时间段”
vpn-instance vpn-instance-name	VPN实例	对指定VPN实例中的报文有效	vpn-instance-name：MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写若未指定本参数，表示该规则仅对非VPN报文有效

当protocol为tcp（6）或udp（17）时，用户还可配置如表1-12所示的规则信息参数。

表1-12 TCP/UDP特有的规则信息参数

参数	类别	作用	说明
source-port operator port1 [ port2 ]	源端口	定义TCP/UDP报文的源端口信息	operator：操作符，取值可以为lt（小于）、gt（大于）、eq（等于）、neq（不等于）或者range（在范围内，包括边界值）。只有range操作符需要两个端口号做操作数，其它操作符只需要一个端口号做操作数 port1/port2：TCP或UDP的端口号，用数字表示时，取值范围为0～65535；用名称表示时，TCP端口号可选取chargen（19）、bgp（179）、cmd（514）、daytime（13）、discard（9）、dns（53）、domain（53）、echo （7）、exec （512）、finger（79）、ftp（21）、ftp-data（20）、gopher（70）、hostname（101）、irc（194）、klogin（543）、kshell（544）、login（513）、lpd（515）、nntp（119）、pop2（109）、pop3（110）、smtp（25）、sunrpc（111）、tacacs（49）、talk（517）、telnet（23）、time（37）、uucp（540）、whois（43）或www（80）；UDP端口号可选取biff（512）、bootpc（68）、bootps（67）、discard（9）、dns（53）、dnsix（90）、echo （7）、mobilip-ag（434）、mobilip-mn（435）、nameserver（42）、netbios-dgm（138）、netbios-ns（137）、netbios-ssn（139）、ntp（123）、rip（520）、snmp（161）、snmptrap（162）、sunrpc（111）、syslog（514）、tacacs-ds（65）、talk（517）、tftp（69）、time（37）、who（513）或xdmcp（177）
destination-port operator port1 [ port2 ]	目的端口	定义TCP/UDP报文的目的端口信息
{ ack ack-value \| fin fin-value \| psh psh-value \| rst rst-value \| syn syn-value \| urg urg-value } *	TCP报文标识	定义对携带不同标志位（包括ACK、FIN、PSH、RST、SYN和URG六种）的TCP报文的处理规则	TCP协议特有的参数。表示匹配携带不同标志位的TCP报文，各value的取值可为0或1（0表示不携带此标志位，1表示携带此标志位）对于一条规则中各标志位的配置组合为“或”的关系。譬如：当配置为ack 0 psh 1时，将匹配不携带ACK或携带PSH标志位的TCP报文
established	TCP连接建立标识	定义对TCP连接报文的处理规则	TCP协议特有的参数，表示匹配携带ACK或RST标志位的TCP连接报文

当protocol为icmpv6（58）时，用户还可配置如表1-13所示的规则信息参数。

表1-13 ICMPv6特有的规则信息参数

参数	类别	作用	说明
icmp6-type { icmp6-type icmp6-code \| icmp6-message }	ICMPv6报文的消息类型和消息码	指定本规则中ICMPv6报文的消息类型和消息码信息	icmp6-type：ICMPv6消息类型，取值范围为0～255 icmp6-code：ICMPv6消息码，取值范围为0～255 icmp6-message：ICMPv6消息名称。可以输入的ICMPv6消息名称，及其与消息类型和消息码的对应关系如表1-14所示

icmp6-type { icmp6-type icmp6-code | icmp6-message }

ICMPv6报文的消息类型和消息码

指定本规则中ICMPv6报文的消息类型和消息码信息

icmp6-type：ICMPv6消息类型，取值范围为0～255

icmp6-code：ICMPv6消息码，取值范围为0～255

icmp6-message：ICMPv6消息名称。可以输入的ICMPv6消息名称，及其与消息类型和消息码的对应关系如表1-14所示

表1-14 ICMPv6消息名称与消息类型和消息码的对应关系

ICMPv6消息名称	ICMPv6消息类型	ICMPv6消息码
echo-reply	129	0
echo-request	128	0
err-Header-field	4	0
frag-time-exceeded	3	1
hop-limit-exceeded	3	0
host-admin-prohib	1	1
host-unreachable	1	3
neighbor-advertisement	136	0
neighbor-solicitation	135	0
network-unreachable	1	0
packet-too-big	2	0
port-unreachable	1	4
redirect	137	0
router-advertisement	134	0
router-solicitation	133	0
unknown-ipv6-opt	4	2
unknown-next-hdr	4	1

· 使用undo rule命令时，如果没有指定任何可选参数，则删除整条规则；如果指定了可选参数，则只删除该参数所对应的内容。

· 使用undo rule命令时必须指定一个已存在规则的编号，可以使用display acl ipv6 all命令来查看所有已存在的规则。

# 为IPv6高级ACL 3000创建规则如下：允许2030:5060::/64网段内的主机与FE80:5060::/96网段内主机的WWW端口（端口号为80）建立连接。

[Sysname] acl ipv6 advanced 3000

[Sysname-acl-ipv6-adv-3000] rule permit tcp source 2030:5060::/64 destination fe80:5060::/96 destination-port eq 80

# 为IPv6高级ACL 3001创建规则如下：允许IPv6报文通过，但拒绝发往FE80:5060:1001::/48网段的ICMPv6报文通过。

[Sysname] acl ipv6 advanced 3001

[Sysname-acl-ipv6-adv-3001] rule deny icmpv6 destination fe80:5060:1001:: 48

[Sysname-acl-ipv6-adv-3001] rule permit ipv6

# 为IPv6高级ACL 3002创建规则如下：在出、入双方向上都允许建立FTP连接并传输FTP数据。

[Sysname] acl ipv6 advanced 3002

[Sysname-acl-ipv6-adv-3002] rule permit tcp source-port eq ftp

[Sysname-acl-ipv6-adv-3002] rule permit tcp source-port eq ftp-data

[Sysname-acl-ipv6-adv-3002] rule permit tcp destination-port eq ftp

[Sysname-acl-ipv6-adv-3002] rule permit tcp destination-port eq ftp-data

# 为IPv6高级ACL 3003创建规则如下：在出、入双方向上都允许SNMP报文和SNMP Trap报文通过。

[Sysname] acl ipv6 advanced 3003

[Sysname-acl-ipv6-adv-3003] rule permit udp source-port eq snmp

[Sysname-acl-ipv6-adv-3003] rule permit udp source-port eq snmptrap

[Sysname-acl-ipv6-adv-3003] rule permit udp destination-port eq snmp

[Sysname-acl-ipv6-adv-3003] rule permit udp destination-port eq snmptrap

# 为IPv6高级ACL 3004创建规则如下：在含有逐跳头的报文中，只允许转发含有MLD选项（Type＝5）的报文，丢弃其他报文。

[Sysname] acl ipv6 advanced 3004

[Sysname-acl-ipv6-adv-3004] rule permit ipv6 hop-by-hop type 5

[Sysname-acl-ipv6-adv-3004] rule deny ipv6 hop-by-hop

· acl logging interval

· time-range（ACL和QoS命令参考/时间段）

1.1.22 rule (IPv6 basic ACL view)

rule命令用来为IPv6基本ACL创建一条规则。

undo rule命令用来为IPv6基本ACL删除一条规则或删除规则中的部分内容。