any } | dscp dscp | fragment | icmp6-type { icmp6-type-name | icmp6-type icmp6-code } | logging | precedence precedence | source { source-ipv6-address prefix-length |
source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | time-range time-name | tos tos ] *
?
当protocol为其他协议时,高级ACL6的命令格式为:
rule [ rule-id ] { deny | permit } { protocol-number | gre | ipv6 | ospf } [ destination { destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | destination-ipv6-address postfix postfix-length | any } | dscp dscp | fragment | logging | precedence precedence | source { source-ipv6-address prefix-length |
source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | time-range time-name | tos tos ] *
删除高级ACL6的规则:
undo rule rule-id [ destination | destination-port | fragment |
icmp6-type | precedence | source | source-port | time-range | tos ]
参数说明
参数 参数说明 规则ID。 ? 取值 整数形式,取值范围是0~2047。 rule-id 如果指定了ID的规则存在,可以对其进行修改。如果不存在,将会创建一条带有指定ID的新规则。 ? 如果未指定规则ID,在创建新规则时系统会自动分配规则ID。 deny permit tcp udp icmpv6 丢弃符合条件的数据包。 - 允许符合条件- 的数据包通过。 指定匹配协议类型为TCP。 指定匹配协议类型为UDP。 - - 指定匹配协议- 类型为ICMPv6。 用名字或数字数字范围为1~255;用表示的IP承载名字表示时,可以选取:的协议类型。 GRE、ICMPv6、IPv6、OSPF、TCP和UDP。 protocol-number 数据包的目的destination-ipv6-add地址和前缀。 ress用点分十进制表示。prefix-length的取destination-ipv6-address/prefix-值范围1~128。或用length | any } “any”代表任何目的地址。 destination { destination-ipv6-address prefix-length | 数据包的目的destination-ipv6-adddestination-ipv6-address postfix 地址和地址后ress点分十进制表示目postfix-length 缀掩码长度。 的地址。postfix-length表示地址后缀掩码长度,整数形式,取值范围1~64。 destination dscp dscp 指定区分服务代码点(Differentiated Services CodePoint)。其中dscp表示dscp的取值形式是整数形式或名称。采用整数形式时,取值范围是0~63。采用名称时,取值为如下关键字af11,af12,af13,af21,af22,区分服务代码点的取值。 af23,af31,af32,af33,af41,af42,af43,cs1,cs2,cs3,cs4,cs5,cs6,cs7,default或ef。 fragment 指定该规则是- 否仅对非首片分片报文有效。当包含此参数时表示该规则仅对非首片分片报文有效。 指定对ACL的匹- 配信息写日志。 数据包可以依据优先级字段进行过滤。 数据包的源地址和前缀。 用名字或数字表示。数字的取值范围是0~7。 logging precedence precedence source { source-ipv6-address prefix-length | source-ipv6-address点分十进制表示源地址。prefix-length整数形式,取值范围是1~128。或用“any”代表任何源地址。 source-ipv6-address/prefix-length | any } source source-ipv6-address postfix postfix-length 数据包的源地址和地址后缀掩码长度。 source-ipv6-address点分十进制表示源地址。postfix-length表示地址后缀掩码长度,整数形式,取值范围1~64。 操作符包括:lt(小于),gt(大于),eq(等于),neq(不等于),range(在范围内)。 { eq | gt | lt | range } 比较源或者目的地址的端口号的操作符。当IP承载的协议类型是TCP或UDP时,支持比较操作。只有range需要两个端口号做操作数,其他的只需要一个端口号做操作数。 port TCP或UDP的端用名字或数字表示。数口号,用名字或字的取值范围是0~数字表示。 65535。 icmpv6-type { icmp6-type-name | 指定ICMPv6报icmp6-type icmp6-code 文的类型和消息码信息,仅仅在报文协议是ICMP的情况下有效。如果不配置,表示任何ICMP类型的报文都匹配。 time-range time-name icmp6-type:ICMP的消息类型,取值为0~65535的数字。icmp6-code:ICMP消息码,取值为0~255的数字。icmp6-type-name的取值及对应的ICMP-Type 和ICMP-Code,如下表所示。 表示设置的time-name字符串形式,ACL6规则仅在长度范围是1~32。 规定时间段内生效。time-name表示生效时间段的名称。 数据包可以依用名字或数字表示。数据服务类型字字的取值范围是0~15。 段进行过滤。 tos tos 表1 icmp6-type-name的取值及对应的ICMP-Type和ICMP-Code icmp6-type-name Redirect Echo Echo-reply Err-Header-field Frag-time-exceeded Hop-limit-exceeded Host-admin-prohib Host-unreachable 137 128 129 4 3 3 1 1 icmp-type 0 0 0 0 1 0 1 3 0 0 0 icmp-code Neighbor-advertisement 136 Neighbor-solicitation 135 Network-unreachable 1 表1 icmp6-type-name的取值及对应的ICMP-Type和ICMP-Code icmp6-type-name Packet-too-big Port-unreachable Router-advertisement Router-solicitation Unknown-ipv6-opt Unknown-next-hdr 2 1 134 133 4 4 icmp-type 0 4 0 0 2 1 icmp-code 视图
高级ACL6视图
缺省级别
2:配置级
使用指南
删除或修改已有规则时,必须指定规则ID。
使用实例
# 为编号为3000的ACL6增加一条规则,禁止从2001::1 网段内的主机建立与2003::1网段内的主机的端口号大于128的UDP(用户数据报协议)连接。
[Quidway-acl-adv-3000] rule deny udp source 2001::1 64 destination 2003::1 64 destination-port gt 128
五、rule(高级ACL视图)
命令功能
rule命令用来在对应的高级ACL视图下增加一个规则。
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库RULE规则(3)在线全文阅读。
相关推荐: