- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
02-报文过滤命令
本章节下载: 02-报文过滤命令 (240.30 KB)
目 录
1.1.4 display packet-filter statistics
1.1.5 display packet-filter statistics sum
1.1.6 display packet-filter verbose
1.1.7 packet-filter (interface view)
1.1.8 packet-filter (user-profile view)
1.1.9 packet-filter default deny
acl logging interval命令用来配置报文过滤日志信息的生成与发送周期,同时开启报文的首包上送功能。
undo acl logging interval命令用来恢复缺省情况。
【命令】
acl logging interval interval
undo acl logging interval
【缺省情况】
报文过滤日志信息的生成与发送周期为0分钟,即不记录报文过滤的日志。报文首包上送功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:报文过滤日志信息的生成与发送周期,取值范围为0~1440,且必须为5的整数倍,0表示不进行记录,单位为分钟。
【使用指导】
系统只支持对应用IPv4基本ACL、IPv4高级ACL、IPv6基本ACL或IPv6高级ACL进行报文过滤的报文过滤日志信息进行记录,且在上述ACL中配置规则时必须指定logging参数。
报文过滤日志的生成与发送周期起始于报文过滤中ACL匹配数据流的第一个数据包,报文过滤日志包括周期内被匹配的报文数量以及所使用的ACL规则。在一个周期内:
· 对于规则匹配数据流的第一个数据包,设备会立即生成报文过滤日志并发送到信息中心;
· 对于规则匹配数据流的其他数据包,设备将在周期结束后生成报文过滤日志并发送到信息中心。
有关信息中心的详细介绍请参见“设备管理配置指导”中的“信息中心”。
【举例】
# 配置IPv4报文过滤日志的生成与发送周期为10分钟。
<Sysname> system-view
[Sysname] acl logging interval 10
【相关命令】
· rule (IPv4 advanced ACL view)
· rule (IPv4 basic ACL view)
· rule (IPv6 advanced ACL view)
· rule (IPv6 basic ACL view)
acl trap interval命令用来配置报文过滤告警信息的生成与发送周期。
undo acl trap interval命令用来恢复缺省情况。
【命令】
acl trap interval interval
undo acl trap interval
【缺省情况】
报文过滤告警信息的生成与发送周期为0分钟,即不记录报文过滤的告警信息。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:报文过滤告警信息的生成与发送周期,取值范围为0~1440,且必须为5的整数倍,0表示不进行记录,单位为分钟。
【使用指导】
系统只支持对应用IPv4基本ACL、IPv4高级ACL、IPv6基本ACL或IPv6高级ACL进行报文过滤的报文过滤告警信息进行记录,且在上述ACL中配置规则时必须指定logging参数。
报文过滤告警信息的生成与发送周期起始于报文过滤中ACL匹配数据流的第一个数据包,报文过滤告警信息包括周期内被匹配的报文数量以及所使用的ACL规则。在一个周期内:
· 对于规则匹配数据流的第一个数据包,设备会立即生成报文过滤告警信息并发送到SNMP模块;
· 对于规则匹配数据流的其他数据包,设备将在周期结束后生成报文过滤告警信息并发送到SNMP模块。
有关SNMP的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
【举例】
# 配置IPv4报文过滤告警信息的生成与发送周期为10分钟。
<Sysname> system-view
[Sysname] acl trap interval 10
【相关命令】
· rule (IPv4 advanced ACL view)
· rule (IPv4 basic ACL view)
· rule (IPv6 advanced ACL view)
· rule (IPv6 basic ACL view)
display packet-filter命令用来显示ACL在报文过滤中的应用情况。
【命令】
display packet-filter { interface [ interface-type interface-number ] } [ inbound | outbound ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface [ interface-type interface-number ]:显示指定接口上ACL在报文过滤中的应用情况。interface-type interface-number表示接口类型和接口编号。若未指定接口类型和接口编号,将显示除VA接口外所有接口上ACL在报文过滤中的应用情况。
inbound:显示入方向上ACL在报文过滤中的应用情况。
outbound:显示出方向上ACL在报文过滤中的应用情况。
【使用指导】
如果未指定inbound和outbound参数,将同时显示出、入方向上ACL在报文过滤中的应用情况。
【举例】
# 显示接口GigabitEthernet1/0/1入方向上ACL在报文过滤中的应用情况。
<Sysname> display packet-filter interface gigabitethernet 1/0/1 inbound
Interface: GigabitEthernet1/0/1
Inbound policy:
IPv4 ACL 2001
IPv6 ACL 2002 (Failed)
MAC ACL 4003
表1-1 display packet-filter命令显示信息描述表
|
字段 |
描述 |
|
Interface |
ACL在指定接口上的应用情况 |
|
Inbound policy |
ACL在入方向上的应用情况 |
|
Outbound policy |
ACL在出方向上的应用情况 |
|
IPv4 ACL 2001 |
IPv4基本ACL 2001应用成功 |
|
IPv6 ACL 2002 (Failed) |
IPv6基本ACL 2002应用失败 |
|
IPv4 default action |
报文过滤的缺省动作,包括: · Deny:报文过滤缺省动作为Deny应用成功 · Deny (Failed):报文过滤缺省动作为Deny应用失败,实际动作仍为Permit · Permit:报文过滤缺省动作为Permit · Hardware-count:规则匹配硬件统计功能应用成功 · Hardware-count (Failed):规则匹配硬件统计功能应用失败 |
|
IPv6 default action |
报文过滤的缺省动作,包括: · Deny:报文过滤缺省动作为Deny应用成功 · Deny (Failed):报文过滤缺省动作为Deny应用失败,实际动作仍为Permit · Permit:报文过滤缺省动作为Permit · Hardware-count:规则匹配硬件统计功能应用成功 · Hardware-count (Failed):规则匹配硬件统计功能应用失败 |
|
MAC default action |
报文过滤的缺省动作,包括: · Deny:报文过滤缺省动作为Deny应用成功 · Deny (Failed):报文过滤缺省动作为Deny应用失败,实际动作仍为Permit · Permit:报文过滤缺省动作为Permit · Hardware-count:规则匹配硬件统计功能应用成功 · Hardware-count (Failed):规则匹配硬件统计功能应用失败 |
display packet-filter statistics命令用来显示ACL在报文过滤中应用的统计信息。
【命令】
display packet-filter statistics { interface interface-type interface-number } { inbound | outbound } [ default ] [ brief ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口上的统计信息。interface-type interface-number表示接口类型和接口编号。
inbound:显示入方向上的统计信息。
outbound:显示出方向上的统计信息。
default:显示报文过滤缺省动作的统计信息。
brief:显示简要统计信息。
【使用指导】
如果未指定任何可选参数,将显示全部ACL在报文过滤中应用的统计信息。
对于基本或高级ACL,如果未指定ipv6参数,则表示IPv4 ACL。
【举例】
# 显示接口GigabitEthernet1/0/1入方向上全部ACL在报文过滤中应用的统计信息。
<Sysname> display packet-filter statistics interface gigabitethernet 1/0/1 inbound
Interface: GigabitEthernet1/0/1
Inbound policy:
IPv4 ACL 2001, Hardware-count
From 2019-06-04 10:25:21 to 2019-06-04 10:35:57
rule 0 permit source 2.2.2.2 0 (2 packets)
rule 5 permit source 1.1.1.1 0 (Failed)
Totally 2 packets permitted, 0 packets denied
Totally 100% permitted, 0% denied
IPv6 ACL 2000
MAC ACL 4000
rule 0 permit
IPv4 default action: Deny, Hardware-count
From 2019-06-04 10:25:21 to 2019-06-04 10:35:57
Totally 7 packets
IPv6 default action: Deny, Hardware-count
From 2019-06-04 10:25:41 to 2019-06-04 10:35:57
Totally 0 packets
MAC default action: Deny, Hardware-count
From 2019-06-04 10:25:34 to 2019-06-04 10:35:57
Totally 0 packets
表1-2 display packet-filter statistics命令显示信息描述表
|
字段 |
描述 |
|
Interface |
在指定接口上应用的统计信息 |
|
Inbound policy |
在入方向上应用的统计信息 |
|
Outbound policy |
在出方向上应用的统计信息 |
|
IPv4 ACL 2001 |
IPv4基本ACL 2001应用成功 |
|
IPv4 ACL 2002 (Failed) |
IPv4基本ACL 2002应用失败 |
|
From 2019-06-04 10:25:21 to 2019-06-04 10:35:57 |
硬件统计的起始和终止时间 |
|
2 packets |
该规则匹配了2个包(当匹配的包个数为0时不显示本字段) |
|
No resource |
该规则对应的统计资源不足。在显示统计信息时,若该规则的统计资源不足,便会显示本字段 |
|
rule 5 permit source 1.1.1.1 0 (Failed) |
规则5应用失败 |
|
Totally 2 packets permitted, 0 packets denied |
该ACL允许和拒绝符合条件报文的个数 |
|
Totally 100% permitted, 0% denied |
该ACL允许符合条件报文的通过率和拒绝符合条件报文的丢弃率 |
|
IPv4 default action |
报文过滤的缺省动作,包括: · Deny:报文过滤缺省动作为Deny应用成功 · Deny (Failed):报文过滤缺省动作为Deny应用失败,实际动作仍为Permit · Permit:报文过滤缺省动作为Permit · Hardware-count:规则匹配硬件统计功能应用成功 · Hardware-count (Failed):规则匹配硬件统计功能应用失败 |
|
IPv6 default action |
报文过滤的缺省动作,包括: · Deny:报文过滤缺省动作为Deny应用成功 · Deny (Failed):报文过滤缺省动作为Deny应用失败,实际动作仍为Permit · Permit:报文过滤缺省动作为Permit · Hardware-count:规则匹配硬件统计功能应用成功 · Hardware-count (Failed):规则匹配硬件统计功能应用失败 |
|
MAC default action |
报文过滤的缺省动作,包括: · Deny:报文过滤缺省动作为Deny应用成功 · Deny (Failed):报文过滤缺省动作为Deny应用失败,实际动作仍为Permit · Permit:报文过滤缺省动作为Permit · Hardware-count:规则匹配硬件统计功能应用成功 · Hardware-count (Failed):规则匹配硬件统计功能应用失败 |
|
Totally 7 packets |
报文过滤缺省动作的硬件统计功能执行次数 |
【相关命令】
· reset packet-filter statistics
display packet-filter statistics sum命令用来显示ACL在报文过滤中应用的累加统计信息。
【命令】
display packet-filter statistics sum { inbound | outbound } [ brief ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
inbound:显示入方向上ACL在报文过滤中应用的累加统计信息。
outbound:显示出方向上ACL在报文过滤中应用的累加统计信息。
brief:显示ACL在报文过滤中应用的简要累加统计信息。
【使用指导】
对于基本或高级ACL,如果未指定ipv6参数,则表示IPv4 ACL。
【举例】
# 显示入方向上IPv4基本ACL 2001在报文过滤中应用的累加统计信息。
<Sysname> display packet-filter statistics sum inbound 2001
Sum:
Inbound policy:
IPv4 ACL 2001
rule 0 permit source 2.2.2.2 0 (2 packets)
rule 5 permit source 1.1.1.1 0
Totally 2 packets permitted, 0 packets denied
Totally 100% permitted, 0% denied
# 显示入方向上IPv4基本ACL 2000在报文过滤中应用的简要累加统计信息。
<Sysname> display packet-filter statistics sum inbound 2000 brief
Sum:
Inbound policy:
IPv4 ACL 2000
Totally 2 packets permitted, 0 packets denied
Totally 100% permitted, 0% denied
表1-3 display packet-filter statistics sum命令显示信息描述表
|
字段 |
描述 |
|
Sum |
ACL在报文过滤中应用的累加统计信息 |
|
Inbound policy |
ACL在入方向上应用的累加统计信息 |
|
Outbound policy |
ACL在出方向上应用的累加统计信息 |
|
IPv4 ACL 2001 |
IPv4基本ACL 2001应用的累加统计信息 |
|
2 packets |
该规则匹配了2个包(当匹配的包个数为0时不显示本字段) |
|
Totally 2 packets permitted, 0 packets denied |
该ACL允许和拒绝符合条件报文的个数 |
|
Totally 100% permitted, 0% denied |
该ACL允许符合条件报文的通过率和拒绝符合条件报文的丢弃率 |
【相关命令】
· reset packet-filter statistics
display packet-filter verbose命令用来显示ACL在报文过滤中的详细应用情况。
【命令】
display packet-filter verbose { interface interface-type interface-number } { inbound | outbound }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口上ACL在报文过滤中的详细应用情况。interface-type interface-number表示接口类型和接口编号。当接口类型为以太网接口时,不需要指定slot参数。
inbound:显示入方向上ACL在报文过滤中的详细应用情况。
outbound:显示出方向上ACL在报文过滤中的详细应用情况。
【举例】
# 显示接口GigabitEthernet1/0/1入方向上全部ACL在报文过滤中的详细应用情况。
<Sysname> display packet-filter verbose interface gigabitethernet 1/0/1 inbound
Interface: GigabitEthernet1/0/1
Inbound policy:
IPv4 ACL 2001
rule 0 permit
rule 5 permit source 1.1.1.1 0 (Failed)
IPv6 ACL 2000
rule 0 permit
MAC ACL 4000
IPv4 default action: Deny
IPv6 default action: Deny, Hardware-count (Failed)
MAC default action: Deny
表1-4 display packet-filter verbose命令显示信息描述表
|
字段 |
描述 |
|
Interface |
ACL在指定接口上的详细应用情况 |
|
Inbound policy |
ACL在入方向上的详细应用情况 |
|
Outbound policy |
ACL在出方向上的详细应用情况 |
|
IPv4 ACL 2001 |
IPv4基本ACL 2001应用成功 |
|
IPv4 ACL 2002 (Failed) |
IPv4基本ACL 2002应用失败 |
|
rule 5 permit source 1.1.1.1 0 (Failed) |
规则5应用失败 |
|
IPv4 default action |
报文过滤的缺省动作,包括: · Deny:报文过滤缺省动作为Deny应用成功 · Deny (Failed):报文过滤缺省动作为Deny应用失败,实际动作仍为Permit · Permit:报文过滤缺省动作为Permit · Hardware-count:规则匹配硬件统计功能应用成功 · Hardware-count (Failed):规则匹配硬件统计功能应用失败 |
|
IPv6 default action |
报文过滤的缺省动作,包括: · Deny:报文过滤缺省动作为Deny应用成功 · Deny (Failed):报文过滤缺省动作为Deny应用失败,实际动作仍为Permit · Permit:报文过滤缺省动作为Permit · Hardware-count:规则匹配硬件统计功能应用成功 · Hardware-count (Failed):规则匹配硬件统计功能应用失败 |
|
MAC default action |
报文过滤的缺省动作,包括: · Deny:报文过滤缺省动作为Deny应用成功 · Deny (Failed):报文过滤缺省动作为Deny应用失败,实际动作仍为Permit · Permit:报文过滤缺省动作为Permit · Hardware-count:规则匹配硬件统计功能应用成功 · Hardware-count (Failed):规则匹配硬件统计功能应用失败 |
packet-filter命令用来在接口上应用ACL进行报文过滤。
undo packet-filter命令用来取消在接口上应用ACL进行报文过滤。
【命令】
packet-filter [ ipv6 | mac ] { acl-number | name acl-name } { inbound }
undo packet-filter [ ipv6 | mac ] { acl-number | name acl-name } { inbound }
【缺省情况】
接口不对报文进行过滤。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
ipv6:指定ACL类型为IPv6 ACL。
mac:指定ACL类型为二层ACL。
acl-number:指定ACL的编号,取值范围及其代表的ACL类型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高级ACL。
· 4000~4999:表示二层ACL。
name acl-name:指定ACL的名称。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写。
inbound:对收到的报文进行过滤。
【使用指导】
对于基本或高级ACL,如果未指定ipv6参数,则表示IPv4 ACL。
一个接口在一个方向上最多可应用32个ACL进行报文过滤。
对于同一VLAN接口的同一个方向,可以在VLAN接口视图下配置packet-filter命令实现报文过滤功能,也可以在系统视图下配置packet-filter vlan-interface命令实现报文过滤功能,但二者不可同时配置。
【举例】
# 应用IPv4基本ACL 2001对接口GigabitEthernet1/0/1收到的报文进行过滤,并开启规则匹配硬件统计功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] packet-filter 2001 inbound hardware-count
· display packet-filter
· display packet-filter statistics
· display packet-filter verbose
packet-filter命令用来在User Profile下应用ACL进行报文过滤。
undo packet-filter命令用来取消在User Profile下应用ACL进行报文过滤。
【命令】
packet-filter [ ipv6 ] { acl-number | name acl-name } { inbound | outbound }
undo packet-filter [ ipv6 ] { acl-number | name acl-name } { inbound | outbound }
【缺省情况】
User Profile下未应用ACL进行过滤。
【视图】
User Profile视图
【缺省用户角色】
network-admin
【参数】
ipv6:指定ACL类型为IPv6 ACL。
acl-number:指定ACL的编号,取值范围及其代表的ACL类型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高级ACL。
name acl-name:指定ACL的名称。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写。
inbound:对收到的报文进行过滤。
outbound:对发出的报文进行过滤。
【使用指导】
如果未指定ipv6参数,则表示IPv4 ACL。
在User Profile视图下同一个方向上,仅支持应用1个ACL进行报文过滤。
若引用的ACL不存在,或者引用的ACL中没有配置规则,则表示不引用ACL进行报文过滤。
【举例】
# 应用IPv4基本ACL 2001对user-profile1收到的报文进行过滤。
<Sysname> system-view
[Sysname] user-profile user-profile1
[Sysname-user-profile-user-profile1] packet-filter 2001 inbound
【相关命令】
· display user-profile(用户接入与认证命令参考/User Profile)
packet-filter default deny命令用来配置报文过滤的缺省动作为Deny,即禁止未匹配上ACL规则的报文通过。
undo packet-filter default deny命令用来恢复缺省情况。
【命令】
packet-filter default deny
undo packet-filter default deny
【缺省情况】
报文过滤的缺省动作为Permit,即允许未匹配上ACL规则的报文通过。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
配置报文过滤的缺省动作会在所有的应用对象下添加一个缺省动作应用,该应用也会像其它应用的ACL一样显示。
【举例】
# 配置报文过滤的缺省动作为Deny。
<Sysname> system-view
[Sysname] packet-filter default deny
【相关命令】
· display packet-filter
· display packet-filter statistics
· display packet-filter verbose
packet-filter default hardware-count命令用来在接口上开启报文过滤缺省动作硬件统计功能。
undo packet-filter default hardware-count命令用来在接口上关闭报文过滤缺省动作硬件统计功能。
【命令】
packet-filter default { inbound | outbound } hardware-count
undo packet-filter default { inbound | outbound } hardware-count
【缺省情况】
报文过滤缺省动作统计功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
inbound:表示入方向。
outbound:表示出方向。
【使用指导】
在接口上只有应用了ACL进行报文过滤,才允许开启报文过滤缺省动作统计功能。
【举例】
# 配置报文过滤的缺省动作为Deny,在接口GigabitEthernet1/0/1上对收到的报文应用IPv4基本ACL 2001进行过滤,并开启报文过滤缺省动作统计功能。
<Sysname> system-view
[Sysname] packet-filter default deny
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] packet-filter 2001 inbound
[Sysname-GigabitEthernet1/0/1] packet-filter default inbound hardware-count
【相关命令】
· packet-filter
· packet-filter default deny
· display packet-filter
· display packet-filter statistics
reset packet-filter statistics命令用来清除ACL在报文过滤中应用的统计信息。
【命令】
reset packet-filter statistics { interface [ interface-type interface-number ] } { inbound | outbound } [ default | [ ipv6 | mac | user-defined ] { acl-number | name acl-name } ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface [ interface-type interface-number ]:清除指定接口上的统计信息。interface-type interface-number表示接口类型和接口编号。若未指定接口类型和接口编号,将清除所有接口上的统计信息。
inbound:清除入方向上的统计信息。
outbound:清除出方向上的统计信息。
default:清除缺省动作在报文过滤中应用的统计信息。
ipv6:指定ACL类型为IPv6 ACL。
mac:指定ACL类型为二层ACL。
acl-number:清除指定编号ACL在报文过滤中应用的统计信息。acl-number表示ACL的编号,取值范围及其代表的ACL类型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高级ACL。
· 4000~4999:表示二层ACL。
name acl-name:清除指定名称ACL在报文过滤中应用的统计信息。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
如果未指定default、acl-number、name acl-name和ACL类型(ipv6、mac、user-defined)参数,将清除全部ACL在报文过滤中应用的统计信息。
对于基本或高级ACL,如果未指定ipv6参数,则表示IPv4 ACL。
【举例】
# 清除在接口GigabitEthernet1/0/1入方向上IPv4基本ACL 2001在报文过滤中应用的统计信息。
<Sysname> reset packet-filter statistics interface gigabitethernet 1/0/1 inbound 2001
【相关命令】
· display packet-filter statistics
· display packet-filter statistics sum
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
