undo rule命令用来删除一个规则。
命令格式
当参数protocol为ICMP时,高级访问控制列表的命令格式为:
o rule [ rule-id ] { deny | permit } { protocol-number | icmp }
[ destination { destination-address destination-wildcard | any } | dscp dscp | fragment | icmp-type { icmp-name | icmp-type icmp-code } | precedence precedence | source { source-address source-wildcard | any } | time-range time-name | tos tos ]*
o undo rule rule-id [ description | destination |
destination-port | dscp | fragment | icmp-type | precedence | source | source-port | time-range | tos ]*
? 当参数protocol为TCP时,高级访问控制列表的命令格式为:
o rule [ rule-id ] { deny | permit } { protocol-number | tcp }
[ destination { destination-address destination-wildcard | any } | destination-port { eq | gt | lt | range } port | dscp dscp | fragment | precedence precedence | source
{ source-address source-wildcard | any } | source-port { eq | gt | lt | range } port | tcp-flag { ack | fin | psh | rst | syn | urg }* | time-range time-name | tos tos ]* o undo rule rule-id [ description | destination |
destination-port | dscp | fragment | icmp-type | precedence | source | source-port | time-range | tos ]*
? 当参数protocol为UDP时,高级访问控制列表的命令格式为:
o rule [ rule-id ] { deny | permit } { protocol-number | udp }
[ destination { destination-address destination-wildcard | any } | destination-port { eq | gt | lt | range } port | dscp dscp | fragment | precedence precedence | source
{ source-address source-wildcard | any } | source-port { eq | gt | lt | range } port | time-range time-name | tos tos ]* o undo rule rule-id [ description | destination |
destination-port | dscp | fragment | icmp-type | precedence
*
| source | source-port | time-range | tos ]
? 当参数protocol为TCP、UDP和ICMP之外的其他协议时,高级访问控制列表的命令格式为:
o rule [ rule-id ] { deny | permit } { protocol-number | gre
| igmp | ip | ipinip | ospf } [ destination
{ destination-address destination-wildcard | any } | dscp dscp | fragment | precedence precedence | source
{ source-address source-wildcard | any } | time-range time-name | tos tos ]*
?
o
undo rule rule-id [ description | destination |
destination-port | dscp | fragment | icmp-type | precedence | source | source-port | time-range | tos ]*
说明:
参数dscp dscp和precedence precedence不能同时配置。
参数说明
参数 参数说明 取值 rule-id 指定ACL的规则ID。该参数只整数形式,取值范围对匹配规则是config的ACL有是0~4294967294。 效。 如果指定ID的规则已经存在,则会在旧规则的基础上叠加新定义的规则,相当于编辑一个已经存在的规则;如果指定ID的规则不存在,则使用指定的ID创建一个新规则,并且按照ID的大小决定规则插入的位置。 ? 如果不指定ID,则增加一个新规则时S9300自动会为这个规则分配一个ID,ID按照大小排序。系统自动分配ID时会留有一定的空间,具体的相邻ID范围由step命令指定。 ? 说明: S9300自动生成的规则ID从步长值起始,缺省步长为5,即从5开始并按照5的倍数生成规则序号,序号分别为5、10、15、?? deny permit 表示拒绝符合条件的数据包。 - 表示允许符合条件的数据包。 - 参数 icmp destination 参数说明 指定协议类型为ICMP。也可以- 采用数值1表示指定ICMP协议。 取值 指定ACL规则的目的地址信息。destination-addresdestination-address 如果不配置,表示报文的任何目s为点分十进制格destination-wildcard 的地址都匹配。其中: 式。或用any代表目的地址0.0.0.0。 ? destination-address:指定数据包的目的地址。 destination-wildca? destination-wildcard:rd为点分十进制格指定目的地址通配符。 式,数值上是目的地址掩码的反掩码形式。当目的地址是any时,通配符是255.255.255.255;当目的地址是主机时,通配符是0。 any fragment 表示数据包的任意源地址或目的地址。 - 指定该规则是否仅对非首片分- 片报文有效。当包含此参数时表示该规则仅对非首片分片报文有效。 icmp-type icmp-name | 指定ICMP报文的类型和消息码icmp-type icmp-code 信息,仅在报文协议是ICMP的情况下有效。如果不配置,表示任何ICMP类型的报文都匹配。其中可以采用两种方式表示: icmp-type为整数形式,取值范围是0~255。 icmp-code为整数形式,取值范围是0~? icmp-name:ICMP包可以255。 依据ICMP的消息名称进行过滤。 ? icmp-type icmp-code:表示根据ICMP消息类型来进行过滤。其中icmp-type表示ICMP的消息类型。icmp-code表示ICMP消息类型的消息码 说明: 参数 参数说明 取值 icmp-name的取值和ICMP-Type和ICMP-Code相对应,对应关系参见表2。 precedence precedence 表示数据包可以依据优先级字段进行过滤。 数字范围为0~7,和数字一一对应的名字分别为routine、priority、immediate、flash、flash-override、critical、internet、network。 source source-address 指定ACL规则的源地址信息。如source-address为source-wildcard 果不配置,表示报文的任何源地点分十进制形式。或址都匹配。其中: 用any代表任意源地址0.0.0.0。 ? source-address:指定数据包的源地址。 source-wildcard为? source-wildcard:指定点分十进制形式,数源地址通配符。 值上是源地址掩码的反掩码形式。当目的地址是any时,通配符是255.255.255.255;当目的地址是主机时,通配符是0。 ack fin psh rst urg 指定TCP报文头中SYN Flag的- 类型为ack(010000)。 指定TCP报文头中SYN Flag的- 类型为fin(000001)。 指定TCP报文头中SYN Flag的- 类型为psh(001000)。 指定TCP报文头中SYN Flag的- 类型为rst(000100)。 指定TCP报文头中SYN Flag的- 类型为urg(100000)。 time-range time-name 指定ACL生效的时间段。其中time-name为字符串time-name表示ACL规则生效的形式,长度范围是时间段名称。 1~32。 参数 tcp | udp 参数说明 指定协议类型为TCP或UDP。也- 可以采用数值6表示指定TCP协议,数值17表示UDP协议。 取值 destination-port { eq 指定UDP或者TCP报文的目的端port用名字或数字| gt | lt | range } port 口,仅在报文协议是TCP或者表示,数字的取值范UDP时有效。如果不指定,表示围是0~65535。 TCP/UDP报文的任何目的端口都匹配。其中: ? ? ? ? ? eq:指定源端口或者目的端口比较的操作符,意义是等于。 gt:指定源端口或者目的端口比较的操作符,意义是大于。 lt:指定源端口或者目的端口比较的操作符,意义是小于。 range:指定源端口或者目的端口比较的操作符,意义是在范围内。 port:指定用于比较的TCP或UDP端口号。 source-port { eq | gt | 指定UDP或者TCP报文的源端port用名字或数字lt | range } port 口,仅在报文协议是TCP或者表示,数字的取值范UDP时有效。如果不指定,表示围是0~65535。 TCP/UDP报文的任何源端口都匹配。其中: eq:指定源端口或者目的端口比较的操作符,意义是等于。 ? gt:指定源端口或者目的端口比较的操作符,意义是大于。 ? lt:指定源端口或者目的端口比较的操作符,意义是小于。 ? range:指定源端口或者目的端口比较的操作符,意义是在范围内。 ?
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库RULE规则(4)在线全文阅读。
相关推荐: