# 在编号为5001的ACL中增加一条规则,从二层报文头开始匹配4个字节的字符串,字符串内容为0180C200。
[Quidway-acl-user-5001] rule permit l2-head 0x0180C200 0xFFFFFFFF 14
三、rule(二层ACL视图)
命令功能
rule命令用来在对应的二层ACL视图下增加一个规则。 undo rule命令用来删除一个二层ACL规则。
命令格式
rule [ rule-id ] { permit | deny } [ [ether-ii | 802.3 | snap ] | l2-protocol type-value [ type-mask ] | destination-mac dest-mac-address
[ dest-mac-mask ] | source-mac source-mac-address [ source-mac-mask ] | vlan-id vlan-id [ vlan-id-mask ] | 8021p 802.1p-value | cvlan-id cvlan-id [ cvlan-id-mask ] | cvlan-8021p 802.1p-value | double-tag ] * [ time-range time-range-name ] undo rule rule-id
参数说明
参数 参数说明 取值 rule-id 指定ACL的规则ID。该参数只对整数形式,取值范围是匹配规则是config的ACL有效。 0~4294967294。 ? 如果指定ID的规则已经存在,则会在旧规则的基础上叠加新定义的规则,相当于编辑一个已经存在的规则;如果指定ID的规则不存在,则使用指定的ID创建一个新规则,并且按照ID的大小决定规则插入的位参数 参数说明 置。 ? 如果不指定ID,则增加一个新规则时S9300自动会为这个规则分配一个ID,ID按照大小排序。系统自动分配ID时会留有一定的空间,具体的相邻ID范围由step命令指定。 说明: S9300自动生成的规则ID从步长值起始,缺省步长为5,即从5开始并按照5的倍数生成规则序号,序号分别为5、10、15、?? 取值 deny permit 表示拒绝符合条件的数据包。 表示允许符合条件的数据包。 - - ether-ii | 802.3 | 表示匹配报文的封装格式。其中: - snap ? ether-ii表示Ethernet II封装; ? 802.3表示802.3封装; ? snap表示SNAP封装; l2-protocol type-value type-mask 表示二层协议的类型,对应十六进制表示,取值范Ethernet_II类型中的Ethernet 围是0x0~0xFFFF。其type和Ethernet_SNAP类型帧中中: 的type-code域。其中: ? ARP的协议类型? type-value表示二层协议值为0x0806 类型值; ? IP的协议类型? type-mask表示二层协议值为0x0800 类型掩码。 ? IPv6的协议类型值为0x86dd 指定ACL规则的目的MAC地址信息。其中: destination-mac dest-mac-address dest-mac-mask dest-mac-address和dest-mac-mask格式均为H-H-H,其中H为1? dest-mac-address:数据包至4位的十六进制数。 的目的MAC地址。 参数 ? 参数说明 地址掩码。 取值 可以得到用户感兴趣的目的MAC地址范围。比如00e0-fc01-0101 ffff-ffff-ffff指定了一个MAC地址:00e0-fc01-0101,而00e0-fc01-0101 ffff-ffff-0000则指定了一个MAC地址范围:00e0-fc01-0000~00e0-fc01-ffff。 dest-mac-mask:目的MAC这两个参数共同作用指定ACL规则的源MAC地址信息。source-mac-addresssource-mac-address 其中: 和source-mac-mask的source-mac-mask 格式均为H-H-H,其中? source-mac-address:表示H为1至4位的十六进数据包的源MAC地址。 制数。 ? source-mac-mask:表示源MAC地址掩码。 这两个参数共同作用可以得到用户感兴趣的源MAC地址范围。比如00e0-fc01-0101 ffff-ffff-ffff指定了一个MAC地址:00e0-fc01-0101,而00e0-fc01-0101 ffff-ffff-0000则指定了一个MAC地址范围:00e0-fc01-0000~00e0-fc01-ffff。 source-mac vlan-id vlan-id vlan-id-mask 指定匹配报文的外层VLAN的编号,其中: ? ? vlan-id为整数形式,取值范围是1~4094。 vlan-id表示外层VLAN IDvlan-id-mask为十六的值; vlan-id-mask表示外层VLAN ID值的掩码。 进制形式,取值范围是0~0xFFF,缺省值为0xFFF。 整数形式,取值范围是0~7。 8021p 802.1p-value 指定匹配报文的外层VLAN的802.1p优先级。 cvlan-id cvlan-id 指定匹配报文的内层VLAN的编vlan-id为整数形式,参数 参数说明 号。 ? ? 取值 取值范围是1~4094。 cvlan-id-mask vlan-id表示外层VLAN IDvlan-id-mask为十六的值; vlan-id-mask表示外层VLAN ID值的掩码。 进制形式,取值范围是0~0xFFF,缺省值为0xFFF。 整数形式,取值范围是0~7。 - cvlan-8021p 802.1p-value double-tag time-range 指定匹配报文的内层VLAN的802.1p优先级。 指定匹配带双层tag的报文。 time-range-name 表示定义一个ACL规则生效的时time-range-name为字间段。time-range-name表示时间符串形式,长度范围是段的名称。 1~32。 视图
二层ACL视图
缺省级别
2:配置级
使用指南
当ACL被QoS功能引用时,如果ACL规则中定义的动作为deny,则匹配此ACL
的报文就被丢弃。如果ACL规则中定义的动作为permit,则S9300对匹配此ACL的报文采取的动作由QoS中流行为定义的动作决定。
使用命令undo rule删除规则的时候,rule-id必须是一个已经存在的ACL规则编号,如果不知道规则的编号,可以使用命令display acl来查看。
使用实例
# 在ACL 4001中增加一条规则,匹配目的MAC地址是0-0-1,源MAC地址是0-0-2,二层协议类型值为0x0800的报文。
[Quidway-acl-L2-4001] rule permit destination-mac 0-0-1 source-mac 0-0-2 l2-protocol 0x0800
四、rule(高级ACL6视图)
命令功能
rule命令用来增加或修改高级ACL6规则。 undo rule命令用来删除ACL6规则。
命令格式
?
当参数protocol为TCP时,高级ACL6的命令格式为:
rule [ rule-id ] { deny | permit } { tcp | protocol-number } [ destination { destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | postfix postfix-length | any } | destination-port { eq | gt | lt | range } port | dscp dscp | fragment | logging | precedence precedence | source { source-ipv6-address prefix-length |
source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | source-port { eq | gt | lt | range } port | time-rangetime-name | tos tos ] *
?
当参数protocol为UDP时,高级ACL6的命令格式为:
rule [ rule-id ] { deny | permit } { udp | protocol-number } [ destination { destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | postfix postfix-length | any } | destination-port { eq | gt | lt | range } port | dscp dscp | fragment | logging | precedence precedence | source { source-ipv6-address prefix-length |
source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | source-port { eq | gt | lt | range } port | time-range time-name | tos tos ] *
?
当参数protocol为ICMPv6时,高级ACL6的命令格式为:
rule [ rule-id ] { deny | permit } { icmpv6 | protocol-number } [ destination { destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | postfix postfix-length |
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库RULE规则(2)在线全文阅读。
相关推荐: