packet-filter

您好，参考

1.1.15  packet-filter global

packet-filter global命令用来全局应用ACL进行报文过滤。

undo packet-filter global命令用来取消全局应用ACL进行报文过滤。

【命令】

packet-filter [ ipv6 | mac | user-defined ] { acl-number | name acl-name } global { inbound | outbound } [ hardware-count ]

undo packet-filter [ ipv6 | mac | user-defined ] { acl-number | name acl-name } global { inbound | outbound }

【缺省情况】

全局不对报文进行过滤。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv6：指定ACL类型为IPv6 ACL。

mac：指定ACL类型为二层ACL。

user-defined：指定ACL类型为用户自定义ACL。

acl-number：指定ACL的编号，取值范围及其代表的ACL类型如下：

·     2000～2999：表示基本ACL。

·     3000～3999：表示高级ACL。

·     4000～4999：表示二层ACL。

·     5000～5999：表示用户自定义ACL。

name acl-name：指定ACL的名称。acl-name表示ACL的名称，为1～63个字符的字符串，不区分大小写。

global：表示全局（即所有物理接口）配置。

inbound：对收到的报文进行过滤。

outbound：对发出的报文进行过滤。

hardware-count：表示开启规则匹配硬件统计功能，缺省为关闭。

【使用指导】

通过编号引用ACL，请遵循如下规则：

·     当需要引用IPv4类型ACL时，请直接指定acl-number。

·     当需要引用IPv6类型ACL时，必须首先指定ipv6关键字，再指定acl-number。

·     当需要引用二层或用户自定义类型ACL时，可首先指定mac或user-defined关键字再指定acl-number，或直接指定acl-number。

通过名称引用ACL，请遵循如下规则：

·     当需要引用IPv4类型ACL时，请直接指定name acl-name。

·     当需要引用IPv6、二层或用户自定义类型ACL时，必须首先指定ipv6、mac或user-defined关键字，再指定name acl-name。

hardware-count关键字用于开启指定ACL内所有规则的规则匹配硬件统计功能，而rule命令中的counting关键字则用于开启当前规则的匹配统计功能。

如果设备资源不足，必须先执行undo packet-filter命令取消报文过滤，然后再配置不携带hardware-count关键字的报文过滤，以此关闭规则匹配硬件统计功能。

如果设备资源充足，可通过不携带hardware-count关键字重新配置报文过滤，以此关闭规则匹配硬件统计功能。

【举例】

# 全局应用IPv4基本ACL 2001对收到的报文进行过滤，并开启规则匹配硬件统计功能。

<Sysname> system-view

[Sysname] packet-filter 2001 global inbound hardware-count