S5560X-30C-EI全局应用acl命令

ACL -- ACL配置命令 -- acl

acl命令用来创建一个ACL，并进入相应的ACL视图。

undo acl命令用来删除指定或全部ACL。

【命令】

acl [ ipv6 ] number acl-number [ name acl-name ] [ match-order { auto | config } ]

undo acl [ ipv6 ] { all | name acl-name | number acl-number }

【缺省情况】

不存在任何ACL。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

number acl-number：指定ACL的编号。acl-number表示ACL的编号，取值范围及其代表的ACL类型如下（不同型号的设备支持的取值范围不同，请以设备的实际情况为准）：

·              2000～2999：若未指定ipv6关键字，表示IPv4基本ACL；否则表示IPv6基本ACL。

·              3000～3999：若未指定ipv6关键字，表示IPv4高级ACL；否则表示IPv6高级ACL。

·              4000～4999：表示二层ACL（指定ipv6关键字后不能配置本项）。

·              5000～5999：表示用户自定义ACL（指定ipv6关键字后不能配置本项）。

name acl-name：指定ACL的名称。acl-name表示ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

match-order { auto | config }：指定规则的匹配顺序，auto表示按照自动排序（即“深度优先”原则）的顺序进行规则匹配，config表示按照配置顺序进行规则匹配。缺省情况下，规则的匹配顺序为配置顺序。用户自定义ACL不支持本参数，其规则匹配顺序只能为配置顺序。

all：指定全部ACL。若未指定ipv6关键字，表示全部IPv4基本ACL、IPv4高级ACL、二层ACL和用户自定义ACL；否则，表示全部IPv6基本ACL和IPv6高级ACL。

【使用指导】

·              使用acl命令时，如果指定编号的ACL不存在，则创建该ACL并进入其视图，否则直接进入其视图。

·              ACL的名称只能在创建时设置。ACL一旦创建，便不允许再修改或删除其原有名称。

·              当ACL内不存在任何规则时，用户可以使用本命令对该ACL的规则匹配顺序进行修改，否则不允许进行修改。

【举例】

# 创建一个编号为2000的IPv4基本ACL，并进入其视图。

<Sysname> system-view

[Sysname] acl number 2000

[Sysname-acl-basic-2000]

# 创建一个编号为2001的IPv4基本ACL，指定其名称为flow，并进入其视图。

<Sysname> system-view

[Sysname] acl number 2001 name flow

[Sysname-acl-basic-2001-flow]

【相关命令】

·              display acl

ACL -- ACL配置命令 -- acl copy

acl copy命令用来复制并生成一个新的ACL。

【命令】

acl [ ipv6 ] copy { source-acl-number | name source-acl-name } to { dest-acl-number | name dest-acl-name }

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

source-acl-number：指定源ACL的编号，该ACL必须存在。本参数的取值范围及其代表的ACL类型如下（不同型号的设备支持的取值范围不同，请以设备的实际情况为准）：

·              2000～2999：若未指定ipv6关键字，表示IPv4基本ACL；否则表示IPv6基本ACL。

·              3000～3999：若未指定ipv6关键字，表示IPv4高级ACL；否则表示IPv6高级ACL。

·              4000～4999：表示二层ACL（指定ipv6关键字后不能配置本项）。

·              5000～5999：表示用户自定义ACL（指定ipv6关键字后不能配置本项）。

name source-acl-name：指定源ACL的名称，该ACL必须存在。source-acl-name为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。对于基本ACL或高级ACL，若未指定ipv6关键字，表示IPv4基本ACL或IPv4高级ACL的名称，否则表示IPv6基本ACL或IPv6高级ACL的名称。

dest-acl-number：指定目的ACL的编号，该ACL必须不存在。若未指定本参数，系统将为目的ACL自动分配一个与源ACL类型相同且可用的最小编号。本参数的取值范围及其代表的ACL类型如下（不同型号的设备支持的取值范围不同，请以设备的实际情况为准）：

·              2000～2999：若未指定ipv6关键字，表示IPv4基本ACL；否则表示IPv6基本ACL。

·              3000～3999：若未指定ipv6关键字，表示IPv4高级ACL；否则表示IPv6高级ACL。

·              4000～4999：表示二层ACL（指定ipv6关键字后不会显示本项）。

·              5000～5999：表示用户自定义ACL（指定ipv6关键字后不会显示本项）。

name dest-acl-name：指定目的ACL的名称，该ACL必须不存在。dest-acl-name为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。若未指定本参数，系统将不会为目的ACL设置名称。对于基本ACL或高级ACL，若未指定ipv6关键字，表示IPv4基本ACL或IPv4高级ACL的名称，否则表示IPv6基本ACL或IPv6高级ACL的名称。

【使用指导】

·              目的ACL的类型要与源ACL的类型相同。

·              目的ACL的名称只能在复制时设置。目的ACL一旦生成，便不允许再修改或删除其原有名称。

·              除了ACL的编号和名称不同外，新生成的ACL（即目的ACL）的匹配顺序、规则匹配统计功能的使能情况、规则编号的步长、所包含的规则、规则的描述信息以及ACL的描述信息等都与源ACL的相同。

【举例】

# 通过复制已存在的IPv4基本ACL 2001，来生成一个新的编号为2002的同类型ACL。

<Sysname> system-view

[Sysname] acl copy 2001 to 2002

ACL -- ACL配置命令 -- acl hardware-mode

acl hardware-mode basic命令用来指定ACL的硬件模式。

【命令】

acl hardware-mode { advanced | basic }

【缺省情况】

ACL的硬件模式为高级模式。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

advanced：表示高级模式。在高级模式下，单板除了支持IPv4基本ACL、IPv4高级ACL和二层ACL外，还支持IPv6基本ACL、IPv6高级ACL和用户自定义ACL。

basic：表示基本模式。在基本模式下，单板仅支持IPv4基本ACL、IPv4高级ACL和二层ACL。

【使用指导】

本命令不会立即生效，必须在保存配置后待系统下次启动时才生效。

【举例】

# 指定ACL的硬件模式为基本模式。

<Sysname> system-view

[Sysname] acl hardware-mode basic

【相关命令】

·              display acl hardware-mode

ACL -- ACL配置命令 -- acl hardware-mode ipv6

acl hardware-mode ipv6命令用来开启或关闭ACL硬件模式下的IPv6功能。

【命令】

acl hardware-mode ipv6 { disable | enable }

【缺省情况】

ACL硬件模式下的IPv6功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

disable：表示关闭IPv6功能。当IPv6功能关闭时，单板仅支持IPv4基本ACL、IPv4高级ACL和二层ACL。

enable：表示开启IPv6功能。当IPv6功能开启时，单板除了支持IPv4基本ACL、IPv4高级ACL和二层ACL外，还支持IPv6基本ACL、IPv6高级ACL和用户自定义ACL。

【使用指导】

本命令不会立即生效，必须在保存配置后待系统下次启动时才生效。

【举例】

# 开启ACL硬件模式下的IPv6功能。

<Sysname> system-view

[Sysname] acl hardware-mode ipv6 enable

【相关命令】

·              display acl hardware-mode

ACL -- ACL配置命令 -- acl logging interval

acl logging interval命令用来配置报文过滤日志的生成与发送周期，设备将周期性地生成并发送报文过滤的日志信息，包括该周期内被匹配的报文数量以及所使用的ACL规则。

undo acl logging interval命令用来恢复缺省情况。

【命令】

acl [ ipv6 ] logging interval interval

undo acl [ ipv6 ] logging interval

【缺省情况】

报文过滤日志的生成与发送周期为0分钟，即不记录报文过滤的日志。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interval：若未指定ipv6关键字，表示IPv4报文过滤日志的生成与发送周期，否则表示IPv6报文过滤日志的生成与发送周期。取值范围为0～1440，且必须为5的整数倍，0表示不进行记录，单位为分钟。

【使用指导】

系统只支持对应用IPv4基本ACL、IPv4高级ACL、IPv6基本ACL或IPv6高级ACL进行报文过滤的日志进行记录，且在上述ACL中配置规则时必须指定logging参数。

【举例】

# 配置IPv4报文过滤日志的生成与发送周期为10分钟。

<Sysname> system-view

[Sysname] acl logging interval 10

【相关命令】

·              rule (IPv4 advanced ACL view)

·              rule (IPv4 basic ACL view)

·              rule (IPv6 advanced ACL view)

·              rule (IPv6 basic ACL view)

ACL -- ACL配置命令 -- acl name

acl name命令用来进入指定名称的ACL视图。

【命令】

acl [ ipv6 ] name acl-name

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

acl-name：指定ACL的名称，该ACL必须存在。acl-name为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。对于基本ACL或高级ACL，若未指定ipv6关键字，表示IPv4基本ACL或IPv4高级ACL的名称，否则表示IPv6基本ACL或IPv6高级ACL的名称。

【举例】

# 进入已存在的、名称为flow的IPv4基本ACL的视图。

<Sysname> system-view

[Sysname] acl name flow

[Sysname-acl-basic-2001-flow]

# 进入已存在的、名称为flow的IPv6基本ACL的视图。

<Sysname> system-view

[Sysname] acl ipv6 name flow

[Sysname-acl6-basic-2001-flow]

【相关命令】

·              acl

ACL -- ACL配置命令 -- description

description命令用来配置ACL的描述信息。

undo description命令用来删除ACL的描述信息。

【命令】

description text

undo description

【缺省情况】

ACL没有任何描述信息。

【视图】

IPv4基本ACL视图/IPv4高级ACL视图/IPv6基本ACL视图/IPv6高级ACL视图/二层ACL视图/用户自定义ACL视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

text：表示ACL的描述信息，为1～127个字符的字符串，区分大小写。

【举例】

# 为IPv4基本ACL 2000配置描述信息。

<Sysname> system-view

[Sysname] acl number 2000

[Sysname-acl-basic-2000] description This is an IPv4 basic ACL.

【相关命令】

·              display acl

ACL -- ACL配置命令 -- display acl

display acl命令用来显示ACL的配置和运行情况。

【命令】

display acl [ ipv6 ] { acl-number | all | name acl-name }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

acl-number：显示指定编号的ACL的配置和运行情况。acl-number表示ACL的编号，取值范围及其代表的ACL类型如下（不同型号的设备支持的取值范围不同，请以设备的实际情况为准）：

·              2000～2999：若未指定ipv6关键字，表示IPv4基本ACL；否则表示IPv6基本ACL。

·              3000～3999：若未指定ipv6关键字，表示IPv4高级ACL；否则表示IPv6高级ACL。

·              4000～4999：表示二层ACL（指定ipv6关键字后不能指定本项）。

·              5000～5999：表示用户自定义ACL（指定ipv6关键字后不能指定本项）。

all：显示全部ACL的配置和运行情况。若未指定ipv6关键字，表示全部IPv4基本ACL、IPv4高级ACL、二层ACL和用户自定义ACL；否则，表示全部IPv6基本ACL和IPv6高级ACL。

name acl-name：显示指定名称的ACL的配置和运行情况。acl-name表示ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。对于基本ACL或高级ACL，若未指定ipv6关键字，表示IPv4基本ACL或IPv4高级ACL的名称，否则表示IPv6基本ACL或IPv6高级ACL的名称。

【使用指导】

本命令将按照实际匹配顺序来排列ACL内的规则，即：当ACL的规则匹配顺序为配置顺序时，各规则将按照编号由小到大排列；当ACL的规则匹配顺序为自动排序时，各规则将按照“深度优先”原则由深到浅排列。

【举例】

# 显示IPv4基本ACL 2001的配置和运行情况。

<Sysname> display acl 2001

Basic ACL  2001, named flow, 2 rules, match-order is auto,

This is an IPv4 basic ACL.

ACL's step is 5

ACL accelerated

 rule 5 permit source 1.1.1.1 0 (5 times matched)

 rule 5 comment This rule is used on GigabitEthernet 1/0/1.

 rule 10 permit source object-group permit (5 times matched)

表1-1 display acl命令显示信息描述表

ACL -- ACL配置命令 -- display acl accelerate

display acl accelerate命令用来显示ACL的加速状态。

【命令】

集中式设备：

display acl accelerate { summary [ ipv6 ] | verbose [ ipv6 ] acl-number }

分布式设备/集中式IRF设备：

display acl accelerate { summary [ ipv6 ] | verbose [ ipv6 ] acl-number slot slot-number [ cpu cpu-number ] }

分布式IRF设备：

display acl accelerate { summary [ ipv6 ] | verbose [ ipv6 ] acl-number chassis chassis-number slot slot-number [ cpu cpu-number ] }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

summary：显示ACL加速的概要信息。

verbose：显示ACL加速的详细信息。

ipv6：显示IPv6 ACL的加速状态。

acl-number：指定ACL的编号。acl-number表示ACL的编号，取值范围及其代表的ACL类型如下（不同型号的设备支持的取值范围不同，请以设备的实际情况为准）：

·              2000～2999：若未指定ipv6关键字，表示IPv4基本ACL；否则表示IPv6基本ACL。

·              3000～3999：若未指定ipv6关键字，表示IPv4高级ACL；否则表示IPv6高级ACL。

·              4000～4999：表示二层ACL（指定ipv6关键字后不会显示本项）。

·              5000～5999：表示用户自定义ACL（指定ipv6关键字后不会显示本项）。

slot slot-number：显示指定单板的ACL加速信息，该单板必须为加速芯片所在单板，slot-number表示单板所在的槽位号。（分布式设备－独立运行模式）

slot slot-number：显示指定成员设备的ACL加速信息，该设备必须为加速芯片所在成员设备，slot-number表示设备在IRF中的成员编号。（集中式IRF设备）

chassis chassis-number slot slot-number：显示指定成员设备上指定单板的ACL加速信息，该单板必须为加速芯片所在单板，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。（分布式设备－IRF模式）

cpu cpu-number：显示指定CPU上ACL加速信息，cpu-number表示CPU的编号。本参数的支持情况与设备的型号有关，请以设备的实际情况为准。

【举例】

# 显示加速概要信息。

<Sysname> display acl accelerate summary

ACL 2000, named -none-.

ACL 3000, named -none-.

# 显示加速详细信息。

<Sysname> display acl accelerate verbose 2000

ACL 2000, named -none-.

 rule 0 permit

 rule 1 deny (failed)

表1-2 display acl accelerate verbose命令显示信息描述表

ACL -- ACL配置命令 -- display acl hardware-mode

display acl hardware-mode命令用来显示ACL的硬件模式及其IPv6状态。

【命令】

display acl hardware-mode

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【举例】

# 显示ACL的硬件模式及其IPv6状态。

<Sysname> display acl hardware-mode

Current ACL hardware mode:

 Mode: Advanced

 IPv6 status: Disabled

Next startup ACL hardware mode:

 Mode: Basic

 IPv6 status: Enabled

表1-3 display acl hardware-mode命令显示信息描述表

ACL -- ACL配置命令 -- display packet-filter

display packet-filter命令用来显示ACL在报文过滤中的应用情况。

【命令】

集中式设备：

display packet-filter { { global | interface [ interface-type interface-number ] | vlan [ vlan-id ] } [ inbound | outbound ] | zone-pair security [ source source-zone-name destination destination-zone-name ] }

分布式设备－独立运行模式/集中式IRF设备：

display packet-filter { interface [ interface-type interface-number ] [ inbound | outbound ] | { { global | interface vlan-interface vlan-interface-number | vlan [ vlan-id ] } [ inbound | outbound ] | zone-pair security [ source source-zone-name destination destination-zone-name ] } [ slot slot-number [ cpu cpu-number ] ] }

分布式设备－IRF模式：

display packet-filter { interface [ interface-type interface-number ] [ inbound | outbound ] | { { global | interface vlan-interface vlan-interface-number | vlan [ vlan-id ] } [ inbound | outbound ] | zone-pair security [ source source-zone-name destination destination-zone-name ] } [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

global：显示ACL在报文过滤中的全局（即所有物理接口）应用情况。

interface [ interface-type interface-number ]：显示指定接口上ACL在报文过滤中的应用情况。interface-type interface-number表示接口类型和接口编号。若未指定接口类型和接口编号，将显示所有接口上ACL在报文过滤中的应用情况。（集中式设备）

interface [ interface-type interface-number ]：显示指定接口上ACL在报文过滤中的应用情况。interface-type interface-number表示接口类型和接口编号，这里的接口类型不包括VLAN接口。若未指定接口类型和接口编号，将显示除VLAN接口以外的所有接口上ACL在报文过滤中的应用情况。（分布式设备－独立运行模式、集中式IRF设备和分布式设备－IRF模式）

interface vlan-interface vlan-interface-number：显示指定VLAN接口上ACL在报文过滤中的应用情况。vlan-interface-number表示VLAN接口的编号。

vlan [ vlan-id ]：显示指定VLAN中ACL在报文过滤中的应用情况。vlan-id表示VLAN的编号。若未指定VLAN编号，将显示所有VLAN中ACL在报文过滤中的应用情况。

zone-pair security [ source source-zone-name destination destination-zone-name ]：显示指定安全域间实例上ACL在报文过滤中的应用情况。source-zone-name：表示安全域间实例源安全域的名称，为1～31个字符的字符串，不区分大小写。destination-zone-name：表示安全域间实例目的安全域的名称，为1～31个字符的字符串，不区分大小写。

inbound：显示入方向上ACL在报文过滤中的应用情况。

outbound：显示出方向上ACL在报文过滤中的应用情况。

slot slot-number：显示指定单板上ACL在报文过滤中的应用情况，slot-number表示单板所在的槽位号。若未指定本参数，将显示主用主控板上ACL在报文过滤中的应用情况。（分布式设备－独立运行模式）

slot slot-number：显示指定成员设备上ACL在报文过滤中的应用情况，slot-number表示设备在IRF中的成员编号。若未指定本参数，将显示主用设备上ACL在报文过滤中的应用情况。（集中式IRF设备）

chassis chassis-number slot slot-number：显示指定成员设备指定单板上ACL在报文过滤中的应用情况，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。若未指定本参数，将显示全局主用主控板上ACL在报文过滤中的应用情况。（分布式设备－IRF模式）

cpu cpu-number：显示指定CPU上ACL在报文过滤中的应用情况，cpu-number表示CPU的编号。本参数的支持情况与设备的型号有关，请以设备的实际情况为准。

【使用指导】

显示安全域间实例上的应用情况时不区分方向，其他情况，若未指定inbound和outbound参数，将同时显示出、入方向上ACL在报文过滤中的应用情况。

【举例】

# 显示VLAN 2中出、入方向上ACL在报文过滤中的应用情况。

<Sysname> display packet-filter vlan 2

VLAN: 2

 In-bound policy:

  ACL 2001

  ACL6 2001

  ACL 4001

  IPv4 default action: Deny

  IPv6 default action: Deny

  MAC default action: Deny

 Out-bound policy:

  ACL6 2001 (Failed)

  IPv6 default action: Deny (Failed)

# 显示接口GigabitEthernet1/0/1入方向上ACL在报文过滤中的应用情况。

<Sysname> display packet-filter interface gigabitethernet 1/0/1 inbound

Interface: GigabitEthernet1/0/1

 In-bound policy:

  ACL 2001

  ACL6 2002 (Failed)

  ACL 4003 (Failed), Hardware-count (Failed)

  ACL 2004, Hardware-count (Failed)

  IPv4 default action: Deny, Hardware-count

# 显示出、入方向上ACL在报文过滤中的全局应用情况。

<Sysname> display packet-filter global

Global:

 In-bound policy:

  ACL 2001

  ACL6 2001

  ACL 4001

  IPv4 default action: Deny (Failed)

  IPv6 default action: Deny (Failed)

  MAC default action: Deny

 Out-bound policy:

  ACL 4001, Hardware-count

  MAC default action: Deny

# 显示安全域间实例源域office到目的域library上ACL在报文过滤中的应用情况。

<Sysname> display packet-filter zone-pair security source office destination library

Zone-pair security: source office destination library

  ACL 2001

  ACL 2002

表1-4 display packet-filter命令显示信息描述表

ACL -- ACL配置命令 -- display packet-filter statistics

display packet-filter statistics命令用来显示ACL在报文过滤中应用的统计信息以及报文过滤缺省动作的统计信息。

【命令】

display packet-filter statistics { { global | interface interface-type interface-number | vlan vlan-id } { inbound | outbound } [ default | [ ipv6 ] { acl-number | name acl-name } ] | zone-pair security source source-zone-name destination destination-zone-name [ [ ipv6 ] { acl-number | name acl-name } ] } [ brief ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

global：显示全局（即所有物理接口）统计信息。

interface interface-type interface-number：显示指定接口上的统计信息。interface-type interface-number表示接口类型和接口编号。

vlan vlan-id：显示指定VLAN中的统计信息。vlan-id表示VLAN的编号。

zone-pair security source source-zone-name destination destination-zone-name：显示指定安全域间实例上的统计信息。source-zone-name：表示安全域间实例源安全域的名称，为1～31个字符的字符串，不区分大小写。destination-zone-name：表示安全域间实例目的安全域的名称，为1～31个字符的字符串，不区分大小写。

inbound：显示入方向上的统计信息。

outbound：显示出方向上的统计信息。

default：显示报文过滤缺省动作的统计信息。

acl-number：显示指定编号ACL在报文过滤中应用的统计信息。acl-number表示ACL的编号，取值范围及其代表的ACL类型如下（不同型号的设备支持的取值范围不同，请以设备的实际情况为准）：

·              2000～2999：若未指定ipv6关键字，表示IPv4基本ACL；否则表示IPv6基本ACL。

·              3000～3999：若未指定ipv6关键字，表示IPv4高级ACL；否则表示IPv6高级ACL。

·              4000～4999：表示二层ACL（指定ipv6关键字后不能指定本项）。

·              5000～5999：表示用户自定义ACL（指定ipv6关键字后不能指定本项）。

name acl-name：显示指定名称ACL在报文过滤中应用的统计信息。acl-name表示ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。对于基本ACL或高级ACL，若未指定ipv6关键字，表示IPv4基本ACL或IPv4高级ACL的名称，否则表示IPv6基本ACL或IPv6高级ACL的名称。

brief：显示简要统计信息。

【使用指导】

·              若未指定default、acl-number和name acl-name参数，将显示全部ACL（若未指定ipv6关键字，表示全部IPv4基本ACL、IPv4高级ACL、二层ACL和用户自定义ACL；否则，表示全部IPv6基本ACL和IPv6高级ACL）在报文过滤中应用的统计信息以及报文过滤缺省动作的统计信息。

·              显示安全域间实例统计信息时不区分方向。

【举例】

# 显示接口GigabitEthernet1/0/1入方向上全部ACL（包括IPv4基本ACL、IPv4高级ACL、二层ACL和用户自定义ACL）在报文过滤中应用的统计信息以及报文过滤缺省动作的统计信息。

<Sysname> display packet-filter statistics interface gigabitethernet 1/0/1 inbound

Interface: GigabitEthernet1/0/1

 In-bound policy:

  ACL 2001, Hardware-count

   From 2011-06-04 10:25:21 to 2011-06-04 10:35:57

   rule 0 permit source 2.2.2.2 0 (2 packets)

   rule 5 permit source 1.1.1.1 0 (Failed)

   rule 10 permit vpn-instance test (No resource)

   Totally 2 permitted, 0 packets denied

   Totally 100% permitted, 0% denied

  ACL 2002 (Failed)

  ACL 4000

   From 2011-06-04 10:25:34 to 2011-06-04 10:35:57

   rule 0 permit  

  ACL ipv6 2000

  IPv4 default action: Deny, Hardware-count

   From 2011-06-04 10:25:21 to 2011-06-04 10:35:57

   Totally 7 packets

  IPv6 default action: Deny, Hardware-count

   From 2011-06-04 10:25:41 to 2011-06-04 10:35:57

   Totally 0 packets

  MAC default action: Deny, Hardware-count

   From 2011-06-04 10:25:34 to 2011-06-04 10:35:57

   Totally 0 packets

# 显示VLAN 2中入方向上IPv4高级ACL 3000在报文过滤中应用的统计信息。

<Sysname> display packet-filter statistics vlan 2 inbound 3000

VLAN: 2

 In-bound policy:

  ACL 3000, Hardware-count (Failed)

   From 2011-06-04 10:25:34 to 2011-06-04 10:35:57

   rule 0 permit source 2.2.2.2 0

   rule 5 permit source 1.1.1.1 0 counting (2 packets)

   rule 10 permit vpn-instance test (Failed)

# 显示安全域间实例zone-pair security source office destination library上IPv4高级ACL 3000在报文过滤中应用的统计信息。

<Sysname> display packet-filter statistics zone-pair security source office destination library 3001

Zone-pair security: source office destination library

ACL 3001

   rule 0 permit source 2.2.2.2 0

   rule 5 permit source 1.1.1.1 0 counting (2 packets)

   rule 10 permit vpn-instance test (Failed)

   Totally 2 permitted, 0 packets denied

   Totally 100% permitted, 0% denied

表1-5 display packet-filter statistics命令显示信息描述表

【相关命令】

·              reset packet-filter statistics

ACL -- ACL配置命令 -- display packet-filter statistics sum

display packet-filter statistics sum命令用来显示ACL在报文过滤中应用的累加统计信息。

【命令】

display packet-filter statistics sum { inbound | outbound } [ ipv6 ] { acl-number | name acl-name } [ brief ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

inbound：显示入方向上ACL在报文过滤中应用的累加统计信息。

outbound：显示出方向上ACL在报文过滤中应用的累加统计信息。

acl-number：显示指定编号ACL在报文过滤中应用的累加统计信息。acl-number表示ACL的编号，取值范围及其代表的ACL类型如下（不同型号的设备支持的取值范围不同，请以设备的实际情况为准）：

·              2000～2999：若未指定ipv6关键字，表示IPv4基本ACL；否则表示IPv6基本ACL。

·              3000～3999：若未指定ipv6关键字，表示IPv4高级ACL；否则表示IPv6高级ACL。

·              4000～4999：表示二层ACL（指定ipv6关键字后不能指定本项）。

·              5000～5999：表示用户自定义ACL（指定ipv6关键字后不能指定本项）。

name acl-name：显示指定名称ACL在报文过滤中应用的累加统计信息。acl-name表示ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。对于基本ACL或高级ACL，若未指定ipv6关键字，表示IPv4基本ACL或IPv4高级ACL的名称，否则表示IPv6基本ACL或IPv6高级ACL的名称。

brief：显示ACL在报文过滤中应用的简要累加统计信息。

【举例】

# 显示入方向上IPv4基本ACL 2001在报文过滤中应用的累加统计信息。

<Sysname> display packet-filter statistics sum inbound 2001

Sum:

 In-bound policy:

  ACL 2001

   rule 0 permit source 2.2.2.2 0 (2 packets)

   rule 5 permit source 1.1.1.1 0

   rule 10 permit vpn-instance test

   Totally 2 packets permitted, 0 packets denied

   Totally 100% permitted, 0% denied

表1-6 display packet-filter statistics sum命令显示信息描述表

【相关命令】

·              reset packet-filter statistics

ACL -- ACL配置命令 -- display packet-filter verbose

display packet-filter verbose命令用来显示ACL在报文过滤中的详细应用情况。

【命令】

集中式设备：

display packet-filter verbose { { global | interface interface-type interface-number | vlan vlan-id } { inbound | outbound } | zone-pair security source source-zone-name destination destination-zone-name } [ [ ipv6 ] { acl-number | name acl-name } ]

分布式设备－独立运行模式/集中式IRF设备：

display packet-filter verbose { { global | interface interface-type interface-number | vlan vlan-id } { inbound | outbound } | zone-pair security source source-zone-name destination destination-zone-name } [ [ ipv6 ] { acl-number | name acl-name } ] [ slot slot-number [ cpu cpu-number ] ]

分布式设备－IRF模式：

display packet-filter verbose { { global | interface interface-type interface-number | vlan vlan-id } { inbound | outbound } | zone-pair security source source-zone-name destination destination-zone-name } [ [ ipv6 ] { acl-number | name acl-name } ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

global：显示ACL在报文过滤中的全局（即所有物理接口）详细应用情况。

interface interface-type interface-number：显示指定接口上ACL在报文过滤中的详细应用情况。interface-type interface-number表示接口类型和接口编号。

vlan vlan-id：显示指定VLAN中ACL在报文过滤中的详细应用情况。vlan-id表示VLAN的编号。

zone-pair security source source-zone-name destination destination-zone-name：显示指定安全域间实例上ACL在报文过滤中的详细应用情况。source-zone-name：表示安全域间实例源安全域的名称，为1～31个字符的字符串，不区分大小写。destination-zone-name：表示安全域间实例目的安全域的名称，为1～31个字符的字符串，不区分大小写。

inbound：显示入方向上ACL在报文过滤中的详细应用情况。

outbound：显示出方向上ACL在报文过滤中的详细应用情况。

acl-number：显示指定编号ACL在报文过滤中的详细应用情况。acl-number表示ACL的编号，取值范围及其代表的ACL类型如下（不同型号的设备支持的取值范围不同，请以设备的实际情况为准）：

·              2000～2999：若未指定ipv6关键字，表示IPv4基本ACL；否则表示IPv6基本ACL。

·              3000～3999：若未指定ipv6关键字，表示IPv4高级ACL；否则表示IPv6高级ACL。

·              4000～4999：表示二层ACL（指定ipv6关键字后不能指定本项）。

·              5000～5999：表示用户自定义ACL（指定ipv6关键字后不能指定本项）。

name acl-name：显示指定名称ACL在报文过滤中的详细应用情况。acl-name表示ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。对于基本ACL或高级ACL，若未指定ipv6关键字，表示IPv4基本ACL或IPv4高级ACL的名称，否则表示IPv6基本ACL或IPv6高级ACL的名称。

slot slot-number：显示指定单板上ACL在报文过滤中的详细应用情况，slot-number表示单板所在的槽位号。若未指定本参数，将显示主用主控板上ACL在报文过滤中的详细应用情况。（分布式设备－独立运行模式）

slot slot-number：显示指定成员设备上ACL在报文过滤中的详细应用情况，slot-number表示设备在IRF中的成员编号。若未指定本参数，将显示主用设备上ACL在报文过滤中的详细应用情况。（集中式IRF设备）

chassis chassis-number slot slot-number：显示指定成员设备指定单板上ACL在报文过滤中的详细应用情况，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。若未指定本参数，将显示全局主用主控板上ACL在报文过滤中的详细应用情况。（分布式设备－IRF模式）

cpu cpu-number：显示指定CPU上ACL在报文过滤中的详细应用情况，cpu-number表示CPU的编号。本参数的支持情况与设备的型号有关，请以设备的实际情况为准。

【使用指导】

·              若未指定acl-number和name acl-name参数，将显示全部ACL（若未指定ipv6关键字，表示全部IPv4基本ACL、IPv4高级ACL、二层ACL和用户自定义ACL；否则，表示全部IPv6基本ACL和IPv6高级ACL）在报文过滤中的详细应用情况。

·              显示安全域间实例详细应用情况时不区分方向。

【举例】

# 显示VLAN 2中入方向上全部ACL（包括IPv4基本ACL、IPv4高级ACL、二层ACL和用户自定义ACL）在报文过滤中的详细应用情况。

<Sysname> display packet-filter verbose vlan 2 inbound

VLAN: 2

 In-bound policy:

  ACL 2001, Hardware-count

   rule 0 permit

   rule 5 permit source 1.1.1.1 0 (Failed)

   rule 10 permit vpn-instance test (Failed)

  ACL 2002 (Failed)

# 显示接口GigabitEthernet1/0/1入方向上全部ACL（包括IPv4基本ACL、IPv4高级ACL、二层ACL和用户自定义ACL）在报文过滤中的详细应用情况。

<Sysname> display packet-filter verbose interface gigabitethernet 1/0/1 inbound

Interface: GigabitEthernet1/0/1

 In-bound policy:

  ACL 2001, Hardware-count (Failed)

   rule 0 permit

   rule 5 permit source 1.1.1.1 0 (Failed)

   rule 10 permit vpn-instance test (Failed)

  ACL 2002 (Failed), Hardware-count (Failed)

  ACL6 2000, Hardware-count

   rule 0 permit

  ACL 4000, Hardware-count

  IPv4 default action: Deny, Hardware-count (Failed)

  IPv6 default action: Deny, Hardware-count (Failed)

  MAC default action: Deny, Hardware-count

# 显示入方向上全部ACL（包括IPv4基本ACL、IPv4高级ACL、二层ACL和用户自定义ACL）在报文过滤中的全局详细应用情况。

<Sysname> display packet-filter verbose global inbound

Global:

 In-bound policy:

  ACL 2001

   rule 0 permit

   rule 5 permit source 1.1.1.1 0 (Failed)

   rule 10 permit vpn-instance test (Failed)

  ACL 2002 (Failed)

  ACL6 2000, Hardware-count

  ACL 4000, Hardware-count

   rule 0 permit

  IPv4 default action: Deny

  IPv6 default action: Deny

  MAC default action: Deny

#显示安全域间实例zone-pair security source office destination library上全部ACL（包括IPv4基本ACL、IPv4高级ACL、二层ACL和用户自定义ACL）在报文过滤中的详细应用情况。

<Sysname> display packet-filter verbose zone-pair security source office destination library

Zone-pair security: source office destination library

  ACL 2001

   rule 0 permit

   rule 5 permit source 1.1.1.1 0

   rule 10 permit vpn-instance test

表1-7 display packet-filter verbose命令显示信息描述表

ACL -- ACL配置命令 -- display qos-acl resource

display qos-acl resource命令用来显示QoS和ACL资源的使用情况。

【命令】

集中式设备：

display qos-acl resource

分布式设备－独立运行模式/集中式IRF设备：

display qos-acl resource [ slot slot-number [ cpu cpu-number ] ]

分布式设备－IRF模式：

display qos-acl resource [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

slot slot-number：显示指定单板上QoS和ACL资源的使用情况，slot-number表示单板所在的槽位号。若未指定本参数，将显示所有单板上QoS和ACL资源的使用情况。（分布式设备－独立运行模式）

slot slot-number：显示指定成员设备上QoS和ACL资源的使用情况，slot-number表示设备在IRF中的成员编号。若未指定本参数，将显示IRF中所有成员设备上QoS和ACL资源的使用情况。（集中式IRF设备）

chassis chassis-number slot slot-number：显示指定成员设备指定单板上QoS和ACL资源的使用情况，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。若未指定本参数，将显示IRF中所有成员设备的所有单板上QoS和ACL资源的使用情况。（分布式设备－IRF模式）

cpu cpu-number：显示指定CPU上QoS和ACL资源的使用情况，cpu-number表示CPU的编号。本参数的支持情况与设备的型号有关，请以设备的实际情况为准。

【使用指导】

如果指定的单板/成员设备不支持统计QoS和ACL资源，将不会显示该单板/成员设备上QoS和ACL资源的使用情况。

【举例】

# 显示QoS和ACL资源的使用情况。

<Sysname> display qos-acl resource

Interfaces: GE1/0/1 to GE1/0/2

---------------------------------------------------------------------

 Type             Total      Reserved   Configured Remaining  Usage

---------------------------------------------------------------------

 IPv4 ACL         2048       512        0          1536       25%

 IPv6 ACL         8192       1536       6656       0          100%

表1-8 display qos-acl resource命令显示信息描述表

ACL -- ACL配置命令 -- packet-filter(Interface view)

packet-filter命令用来在接口上应用ACL进行报文过滤。

undo packet-filter命令用来取消在接口上应用ACL进行报文过滤。

【命令】

packet-filter [ ipv6 ] { acl-number | name acl-name } { inbound | outbound } [ hardware-count ]

undo packet-filter [ ipv6 ] { acl-number | name acl-name } { inbound | outbound }

【缺省情况】

接口不对报文进行过滤。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

acl-number：指定ACL的编号，取值范围及其代表的ACL类型如下（不同型号的设备支持的取值范围不同，请以设备的实际情况为准）：

·              2000～2999：若未指定ipv6关键字，表示IPv4基本ACL；否则表示IPv6基本ACL。

·              3000～3999：若未指定ipv6关键字，表示IPv4高级ACL；否则表示IPv6高级ACL。

·              4000～4999：表示二层ACL（指定ipv6关键字后不能配置本项）。

·              5000～5999：表示用户自定义ACL（指定ipv6关键字后不能配置本项）。

name acl-name：指定ACL的名称。acl-name表示ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。对于基本ACL或高级ACL，若未指定ipv6关键字，表示IPv4基本ACL或IPv4高级ACL的名称，否则表示IPv6基本ACL或IPv6高级ACL的名称。

inbound：对收到的报文进行过滤。

outbound：对发出的报文进行过滤。

hardware-count：表示使能规则匹配统计功能，缺省为关闭。本参数用于使能指定ACL内所有规则的匹配统计功能，而rule命令中的counting参数则用于使能当前规则的匹配统计功能。

【举例】

# 应用IPv4基本ACL 2001对接口GigabitEthernet1/0/1收到的报文进行过滤，并对过滤的报文进行统计。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] packet-filter 2001 inbound hardware-count

【相关命令】

·              display packet-filter

·              display packet-filter statistics

·              display packet-filter verbose

ACL -- ACL配置命令 -- packet-filter(Zone-pair security view)

packet-filter命令用来在安全域间实例上应用ACL进行报文过滤。

undo packet-filter命令用来取消在安全域间实例上应用ACL进行报文过滤。

【命令】

packet-filter [ ipv6 ] { acl-number | name acl-name }

undo packet-filter [ ipv6 ] { acl-number | name acl-name }

【缺省情况】

安全域间实例不对报文进行过滤。

【视图】

安全域间实例视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

acl-number：指定ACL的编号，取值范围及其代表的ACL类型如下（不同型号的设备支持的取值范围不同，请以设备的实际情况为准）：

·              2000～2999：若未指定ipv6关键字，表示IPv4基本ACL；否则表示IPv6基本ACL。

·              3000～3999：若未指定ipv6关键字，表示IPv4高级ACL；否则表示IPv6高级ACL。

name acl-name：指定ACL的名称。acl-name表示ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。对于基本ACL或高级ACL，若未指定ipv6关键字，表示IPv4基本ACL或IPv4高级ACL的名称，否则表示IPv6基本ACL或IPv6高级ACL的名称。

【举例】

# 应用IPv4基本ACL 2002对安全域间实例source office destination library收到的报文进行过滤。

<Sysname> system-view

[Sysname] zone-pair security source office destination library

[Sysname-zone-pair-security-office-library] packet-filter 2002

【相关命令】

·              display packet-filter

·              display packet-filter statistics

·              display packet-filter verbose

ACL -- ACL配置命令 -- packet-filter default deny

packet-filter default deny命令用来配置报文过滤的缺省动作为Deny，即禁止未匹配上ACL规则的报文通过。

undo packet-filter default deny命令用来恢复缺省情况。

【命令】

packet-filter default deny

undo packet-filter default deny

【缺省情况】

报文过滤的缺省动作为Permit，即允许未匹配上ACL规则的报文通过。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

配置报文过滤的缺省动作会在所有的应用对象下添加一个缺省动作应用，该应用也会像其它应用的ACL一样显示。

【举例】

# 配置报文过滤的缺省动作为Deny。

<Sysname> system-view

[Sysname] packet-filter default deny

【相关命令】

·              display packet-filter

·              display packet-filter statistics

·              display packet-filter verbose

ACL -- ACL配置命令 -- packet-filter default hardware-count

packet-filter default hardware-count命令用来在接口上使能报文过滤缺省动作统计功能。

undo packet-filter default hardware-count命令用来在接口上关闭报文过滤缺省动作统计功能。

【命令】

packet-filter default { inbound | outbound } hardware-count

undo packet-filter default { inbound | outbound } hardware-count

【缺省情况】

报文过滤缺省动作统计功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

inbound：表示收到的报文。

outbound：表示发出的报文。

【使用指导】

在接口上只有应用了ACL进行报文过滤，才允许使能报文过滤缺省动作统计功能。

【举例】

# 配置报文过滤的缺省动作为Deny，在接口GigabitEthernet1/0/1上对收到的报文应用IPv4基本ACL 2001进行过滤，并使能报文过滤缺省动作统计功能。

<Sysname> system-view

[Sysname] packet-filter default deny

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] packet-filter 2001 inbound

[Sysname-GigabitEthernet1/0/1] packet-filter default inbound hardware-count

【相关命令】

·              packet-filter

·              packet-filter default deny

·              display packet-filter

·              display packet-filter statistics

ACL -- ACL配置命令 -- packet-filter global

packet-filter global命令用来全局应用ACL进行报文过滤。

undo packet-filter global命令用来取消全局应用ACL进行报文过滤。

【命令】

packet-filter [ ipv6 ] { acl-number | name acl-name } global { inbound | outbound } [ hardware-count ]

undo packet-filter [ ipv6 ] { acl-number | name acl-name } global { inbound | outbound }

【缺省情况】

全局不对报文进行过滤。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

acl-number：指定ACL的编号，取值范围及其代表的ACL类型如下（不同型号的设备支持的取值范围不同，请以设备的实际情况为准）：

·              2000～2999：若未指定ipv6关键字，表示IPv4基本ACL；否则表示IPv6基本ACL。

·              3000～3999：若未指定ipv6关键字，表示IPv4高级ACL；否则表示IPv6高级ACL。

·              4000～4999：表示二层ACL（指定ipv6关键字后不能配置本项）。

·              5000～5999：表示用户自定义ACL（指定ipv6关键字后不能配置本项）。

name acl-name：指定ACL的名称。acl-name表示ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。对于基本ACL或高级ACL，若未指定ipv6关键字，表示IPv4基本ACL或IPv4高级ACL的名称，否则表示IPv6基本ACL或IPv6高级ACL的名称。

global：表示全局（即所有物理接口）配置。