华为S3000系列命令手册之05-QACL命令 下载本文

reset acl counter命令用来清除对软件处理的报文过滤和流分类的访问控制列表的 统计信息。本命令把访问控制列表被匹配的次数信息清零。

表1-5统计信息的 reset命令的比较

命令功能

reset acl counter

清除访问控制列表的统计信息。本命令适用于对软件处理的报 文过滤和流分类的访问控制列表。ACL被软件引用的情况包 括:路由策略引用 ACL、对登录用户进行控制时引用 ACL等。 在这种情况下,ACL序号的取值范围为 2000~3999。 reset traffic-statistic

清除流量统计信息。本命令适用于直接下发到交换机的硬件中 用于数据转发过程中的过滤和流分类的访问控制列表。一般情 况下,本命令用于将命令 traffic-statistic统计的信息清除。

【举例】

# 下面的命令清除 2000号访问列表的统计信息。

reset acl counter 2000

1.1.7 rule 【命令】

1. 定义或删除基本访问控制列表的子规则

rule [ rule-id ] { permit | deny } [ source { source-addr wildcard | any } | fragment | time-range name ]* 1-7

Quidway S3000-EI系列以太网交换机命令手册 QoS/ACL 第 1章 ACL命令

undo rule rule-id [ source | fragment | time-range ]*

2. 定义或删除高级访问控制列表的子规则

rule [ rule-id ] { permit | deny } protocol [ source { source-addr wildcard | any } ]

[ destination { dest-addr wildcard | any } ] [ source-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type type code ] [ established ] [ [ precedence precedence | tos tos ]* | dscp dscp ] [ fragment ] [ time-range name ]

undo rule rule-id [ destination | destination-port | dscp | fragment | icmp-type | precedence | source | source-port | time-range | tos ]*

3. 定义或删除二层访问控制列表的子规则

rule [ rule-id ]{ permit | deny } [ protocol ] [ cos vlan-pri ] [ ingress

{ { { source-vlan-id | source-mac-addr source-mac-wildcard } | interface { interface-name | interface-type interface-num } }* | any } ] [ egress

{ { dest-mac-addr dest-mac-wildcard | interface { interface-name | interface-type interface-num } }* | any } ] [ time-range name ]

undo rule rule-id

4. 定义或删除用户自定义访问控制列表的子规则

rule [ rule-id ] { permit | deny } { rule-string rule-mask offset }&<1-8> [ time-range name ]

undo rule rule-id

【视图】

相应的访问控制列表视图

【参数】

rule-id:指定访问控制列表的子项,取值范围为 0~127。

permit:表明允许满足条件的报文通过。 deny:表明禁止满足条件的报文通过。

time-range name:时间段的名称,可选参数,表示该规则在此时间段内有效。 1-8

Quidway S3000-EI系列以太网交换机命令手册 QoS/ACL 第 1章 ACL命令

..说明:

以下的参数是数据包携带的各种属性参数,访问控制列表就是根据这些属性参数的 取值制定规则。

..下面是基本访问控制列表特有的参数:

source { source-addr wildcard | any }:source-addr wildcard表示源 IP地址和源地 址通配位,点分十进制表示;any表示所有源地址。本参数适用于定义基本访问控 制列表。

fragment:表示此条规则仅对分片报文有效。如果不选择本参数则表示本规则不以 报文是否分片作为依据对报文进行过滤。本参数适用于定义基本访问控制列表。

..下面是高级访问控制列表特有的参数:

protocol:本参数用来指定协议类型。协议类型可以使用名字表示,也可以使用数字 表示。在使用名字表示时,该参数可以取值 icmp、igmp、tcp、udp、ip、gre、ospf、 ipinip等。如果本参数取值为 IP,表示所有的 IP协议。在使用数字表示时,数字的 取值范围为 1~255。本参数适用于定义高级访问控制列表。

source { source-addr wildcard | any }:source-addr wildcard表示源 IP地址和源地 址通配位,点分十进制表示;any表示所有源地址。本参数适用于定义高级访问控 制列表。

destination { dest-addr wildcard | any }:dest-addr wildcard表示目的 IP地址和目 的地址通配位,点分十进制表示;any表示所有目的地址。本参数适用于定义高级 访问控制列表。

source-port operator port1 [ port2 ]:表示报文使用的源 TCP或者 UDP端口号。 其中 operator表示端口操作符,包括 eq(等于)、 gt(大于)、lt(小于)、neq (不等于 )、 range(在某个范围内 )。注:本参数在 protocol参数取值为 TCP或 UDP时才可用。 port1 [ port2 ]:报文使用的 TCP或者 UDP源端口号,用字符或数字表示。数字的 取值范围为 0~65535,字符取值请参看端口号助记符表。只有操作符为 range时才 会同时出现 port1 port2两个参数,其它操作符只需 port1。本参数适用于定义高级 访问控制列表。

destination-port operator port1 [ port2 ]:表示报文使用的目的 TCP或者 UDP端 口号。具体描述同 source-port operator port1 [ port2 ]。 1-9

Quidway S3000-EI系列以太网交换机命令手册 QoS/ACL 第 1章 ACL命令

..说明:

S3000-EI系列交换机不支持定义了如下 TCP/UDP端口操作符的规则下发到硬件:

gt(大于)、lt(小于)、neq (不等于)、range(在某个范围内 )。

icmp-type type code:当 protocol参数取值 icmp时出现。 type code指定一 ICMP

报文。type代表 ICMP报文类型,用字符或数字表示,数字取值范围为 0~255;code 代表 ICMP码,在协议为 icmp且没有使用字符表示 ICMP报文类型时出现,取值范 围是 0~255。本参数适用于定义高级访问控制列表。

established:表示此条规则仅对 TCP建立连接的第一个 SYN报文有效,可选参数, 当 protocol参数取值 tcp时出现。本参数适用于定义高级访问控制列表。

precedence precedence:可选参数,表示 IP优先级,取值为 0~7的数值或名字。

tos tos:可选参数,数据包可以根据 TOS值来分类,取值为 0~15的数值或名字。 本参数适用于定义高级访问控制列表。

dscp dscp:可选参数,数据包可以根据 DSCP值来分类,取值为 0~63的数值或 名字。本参数适用于定义高级访问控制列表。

fragment:表示此条规则仅对分片报文有效。如果不选择本参数则表示本规则不以 报文是否分片作为依据对报文进行过滤。本参数适用于定义高级访问控制列表。

..下面是二层访问控制列表特有的参数:

protocol:为以太网帧承载的协议类型,可选参数,取值范围为 ip、arp、rarp、 pppoe-control和 pppoe-data。

cos vlan-pri:802.1p优先级,取值范围为 0~7。

ingress { { { source-vlan-id | source-mac-addr source-mac-wildcard } | interface { interface-name | interface-type interface-num } }* | any }:数据包的源信息, [ source-vlan-id ]表示的是数据包的源 VLAN, [ source-mac-addr

source-mac-wildcard ]表示的是数据包的源 MAC地址和 MAC地址的通配符,这两 个参数共同作用可以得到用户感兴趣的源 MAC地址的范围, interface

{ interface-name | interface-type interface-num }表示的是接收该报文的二层端口, any表示从所有端口接收到的所有报文。

egress { { [ dest-mac-addr dest-mac-wildcard ] [ interface { interface-name |

interface-type interface-num } ] } | any }:数据包的目的信息, dest-mac-addr