RULE规则(5)

参数 ? 参数说明 取值 port：指定用于比较的TCP或UDP端口号。 protocol-number 指定用名字或数字表示的协议类型。 说明： 整数形式，取值范围是1～255；用名字表示时可以选取gre、icmp、igmp、ip、对不同的协议类型，有不同的参ipinip、ospf、tcp、数组合，TCP和UDP有 udp。其中icmp是1，[ source-port eq tcp是6，udp是17。 port-number ] [ destination-port eq port-number ]可选项，其它协议类型没有。 指定区分服务代码点dscp的取值形式是（Differentiated Services 整数形式或名称，其CodePoint）。其中dscp表示区中： 分服务代码点的取值。 ? 采用整数形式时，取值范围是0～63。 ? 采用名称时，取值为如下关键字af11，af12，af13，af21，af22，af23，af31，af32，af33，af41，af42，af43，cs1，cs2，cs3，cs4，cs5，cs6，cs7，default或ef。 数据包可以依据服务类型字段tos的取值形式可以进行过滤，可选参数。其中tos是整数形式或名称，表示数据包过滤依据的服务类其中： 型。 ? 采用整数形式时，取值为0、dscp dscp tos tos 参数 参数说明 取值 1、2、4、8的数字。 ? 采用名称时，取值如normal、min-monetary-cost等。可输入的ToS名称和取值之间的对应关系如表1所示。 表1 ToS名称和取值之间的对应关系 ToS名称 normal 0 取值 ToS名称 max-reliabilit2 y max-throughput 4 - - 取值 min-monetary-co1 st min-delay 8 表2 icmp-name的取值及对应的ICMP-Type和ICMP-Code icmp-name Echo Echo-reply Parameter-problem Port-unreachable 8 0 12 3 icmp-type 0 0 0 3 2 1 0 5 0 0 0 4 icmp-code Protocol-unreachable 3 Reassembly-timeout Source-quench 11 4 Source-route-failed 3 Timestamp-reply Timestamp-request Ttl-exceeded Fragmentneed-DFset 14 13 11 3 表2 icmp-name的取值及对应的ICMP-Type和ICMP-Code icmp-name Host-redirect Host-tos-redirect Host-unreachable Information-reply 5 5 3 16 icmp-type 1 3 1 0 0 0 2 0 icmp-code Information-request 15 Net-redirect Net-tos-redirect Net-unreachable 5 5 3 视图

高级ACL视图

缺省级别

2：配置级

使用指南

当ACL被QoS功能引用时，如果ACL规则中定义的动作为deny，则匹配此ACL的报文就被丢弃。如果ACL规则中定义的动作为permit，则S9300对匹配此ACL的报文采取的动作由QoS中流行为定义的动作决定。

使用命令undo rule删除规则的时候，rule-id必须是一个已经存在的ACL规则编号，如果不知道规则的编号，可以使用命令display acl来查看。

使用实例

# 配置在ACL3000中增加一条规则，基于icmp code域的流分类。 system-view [Quidway] acl 3000

[Quidway-acl-adv-3000] rule 1 permit icmp

# 配置在ACL3000中删除一条规则，基于icmp code域的流分类。

system-view [Quidway] acl 3000

[Quidway-acl-adv-3000] undo rule 1

# 配置在ACL3000中增加一条规则，基于igmp protocol type的流分类。 system-view [Quidway] acl 3000

[Quidway-acl-adv-3000] rule 2 permit igmp

# 配置在ACL3000中增加一条规则，基于dscp域的流分类。 system-view [Quidway] acl 3000

[Quidway-acl-adv-3000] rule 3 permit ip dscp cs1

# 配置在ACL3001中增加一条规则，匹配从129.9.0.0网段的主机向202.38.160.0网段的主机发送的所有IP报文。

system-view [Quidway] acl 3001

[Quidway-acl-adv-3001] rule permit ip source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255

# 配置在ACL3001中增加一条规则，匹配从一切主机建立与IP地址为202.38.160.1的主机的Telnet（23）的连接。

system-view [Quidway] acl 3001

[Quidway-acl-adv-3001] rule deny tcp destination 202.38.160.1 0 destination-port eq telnet

# 配置在ACL3001中增加一条规则，匹配从129.9.8.0网段内的主机建立与端口号等于128的202.38.160.0网段内的主机的UDP（用户数据报协议）连接。 system-view [Quidway] acl 3001

[Quidway-acl-adv-3001] rule deny udp source 129.9.8.0 0.0.0.255 destination 202.38.160.0 0.0.0.255 destination-port eq 128

六、rule（基本ACL6视图）

命令功能

rule命令用来增加或修改基本ACL6规则。 undo rule命令用来删除ACL6规则。

命令格式

rule [ rule-id ] { deny | permit } [ fragment | logging | source { source-ipv6-address prefix-length | source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any } | time-range time-name ] *

undo rule rule-id [ fragment | logging | source | time-range ] *

参数说明

参数 参数说明 规则ID。 如果指定了ID的规则存在，可以对其进行修改。如果不存在，将会创建一条带有指定ID的新规则。 ? 如果未指定规则ID，? 取值 整数形式，取值范围是0～2047。 rule-id

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库RULE规则(5)在线全文阅读。