12.1端口安全命令
12.1.1clear port-security address-table static
命令功能
使用此命令清除静态的安全MAC地址。
命令语法
clear port-security address-table static ( interface IFNAME | vlan VLAN_ID | address MAC_ADDR | )
| 参数 |
参数说明 |
参数取值 |
| MAC_ADDR |
根据特定地址清除安全MAC地址 |
HHHH.HHHH.HHHH 格式的MAC地址 |
| IFNAME |
根据端口清除安全MAC地址 |
支持物理端口和聚合端口 |
| VLAN_ID |
根据VLAN清除安全MAC地址 |
1-4094 |
命令模式
特权模式
默认配置
无
使用说明
使用此命令清除静态的安全MAC地址。
举例说明
以下例子展示如何清除全局的安全MAC地址表
Switch# clear port-security address-table static
以下例子展示如何清除端口eth-0-1上的安全MAC地址表
Switch# clear port-security address-table static interface eth-0-1
相关命令
show mac address-table
12.1.2switchport port-security
命令功能
使用此命令在端口上启用端口安全功能,使用no switchport port-security命令关闭端口安全功能。
命令语法
switchport port-security
no switchport port-security
命令模式
端口配置模式
默认配置
关闭
使用说明
当关闭端口安全功能时,所有动态学习的安全MAC地址将被清除。静态的MAC地址不会被清除但将被置成无效。
举例说明
以下示例展示如何在端口上启用端口安全
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# switchport port-security
以下示例展示如何在端口上关闭端口安全
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# no switchport port-security
相关命令
show port-security interface
12.1.3switchport port-security mac-address
命令功能
使用此命令添加静态的安全MAC地址。
命令语法
switchport port-security mac-address MAC_ADDR vlan VLAN_ID
no switchport port-security mac-address MAC_ADDR vlan VLAN_ID
| 参数 |
参数说明 |
参数取值 |
| MAC_ADDR |
MAC地址 |
HHHH.HHHH.HHHH 格式的MAC地址 |
| VLAN_ID |
MAC地址所关联的VLAN id |
1-4094 |
命令模式
端口配置模式
默认配置
无
使用说明
无
举例说明
以下示例展示如何添加静态安全地址
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# switchport port-security mac-address 0.0.1 vlan 1
以下示例展示如何删除静态安全地址
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# no switchport port-security mac-address 0.0.1 vlan 1
相关命令
show mac address-table
12.1.4switchport port-security maximum
命令功能
使用此命令配置端口上允许的安全MAC地址的最大值,使用no switchport port-security maximum命令将该最大值恢复成默认。
命令语法
switchport port-security maximum MAXIMUM
no switchport port-security maximum
| 参数 |
参数说明 |
参数取值 |
| MAXIMUM |
端口上允许的最大安全MAC的条数 |
0-16384 |
命令模式
端口配置模式
默认配置
默认是1
使用说明
如果新配置的最大值小于已存在的安全MAC的条数,则不允许修改。
如果端口上的安全MAC地址达到最大值,不会有更多的MAC地址在端口上学到。
为了保证端口的动态学习MAC地址安全,允许端口上的安全MAC地址的最大值设置为0,这样端口就不会学习MAC地址,只能允许静态配置安全MAC地址。
举例说明
以下用例展示如何配置端口上允许的安全MAC地址的最大值
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# switchport port-security maximum 1024
以下用例展示如何将最大值改回默认
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# no switchport port-security maximum
相关命令
switchport port-security violation
show port-security maximum mac-num interface IFNAME
12.1.5switchport port-security violation
命令功能
使用此命令配置当违反安全时系统处理行为,使用no switchport port-security violation命令恢复默认。
命令语法
switchport port-security violation ( protect | restrict | errdisable )
no switchport port-security violation
| 参数 |
参数说明 |
参数取值 |
| protect |
丢弃报文 |
- |
| restrict |
丢弃报文且打印日志 |
- |
| errdisable |
丢弃报文,打印日志且将端口设成error-disable状态 |
- |
命令模式
端口配置模式
默认配置
丢弃报文
使用说明
使用该命令前,先在端口上启用端口安全。
举例说明
以下示例展示如何配置当违反端口安全时丢弃报文
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# switch port-security violation protect
相关命令
switchport port-security
12.1.6show port-security address-table
命令功能
使用此命令显示安全MAC地址。
命令语法
show port-security address-table ( static | dynamic | ) ( interface IFNAME | vlan VLAN_ID | address MAC_ADDR | )
| 参数 |
参数说明 |
参数取值 |
| dynamic |
显示动态学习的安全MAC地址条目 |
- |
| static |
显示静态配置的安全MAC地址条目 |
- |
| MAC_ADDR |
显示特定MAC地址的条目 |
HHHH.HHHH.HHHH 格式的MAC地址 |
| IFNAME |
显示特定端口上的安全MAC地址条目 |
支持物理口 |
| VLAN_ID |
显示特定VLAN上的安全MAC地址条目 |
1-4094 |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
以下用例展示如何显示所有安全MAC地址条目
Switch# show port-security address-table
Secure Mac Address Table
----------------------------------------------------------------------
Vlan Mac Address Type Ports
---- --------------------- ----------------------- -----------
1 0001.00ce.ef01 SecureConfigured eth-0-11
41 001a.a02c.a1dc SecureConfigured eth-0-41
相关命令
无
12.1.7show port-security current mac-num interface
命令功能
使用此命令显示端口上现有的安全MAC地址条数。
命令语法
show port-security current mac-num interface IFNAME
| 参数 |
参数说明 |
参数取值 |
| IFNAME |
显示特定端口上的安全MAC地址条目的数量 |
支持物理口 |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
以下用例展示端口eth-0-1上现有的安全MAC地址条数
Switch# show port-security current mac-num interface eth-0-1
Current dynamic MAC addresses : 0
Current static MAC addresses : 0
Current total MAC addresses : 0
相关命令
switchport port-security maximum
show port-security maximum mac-num interface interface
12.1.8show port-security interface
命令功能
使用此命令显示指定端口上的端口安全相关信息。
命令语法
show port-security interface IFNAME
| 参数 |
参数说明 |
参数取值 |
| IFNAME |
显示特定端口上的端口安全信息 |
支持物理口 |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
以下用例展示如何显示端口上的端口安全相关信息
Switch# show port-security interface eth-0-1
Port Security : disabled
Violation mode : discard packet silence
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Static configured MAC Addresses :1
相关命令
无
12.1.9show port-security maximum mac-num interface
命令功能
使用此命令显示端口上允许配置的安全MAC地址的最大值。
命令语法
show port-security maximum mac-num interface IFNAME
| 参数 |
参数说明 |
参数取值 |
| IFNAME |
显示特定端口上允许配置的最大安全MAC地址 |
支持物理口 |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
以下用例显示了端口eth-0-1上允许的安全MAC地址的最大值
Switch# show port-security maximum mac-num interface eth-0-1
Maximum dynamic MAC addresses : 1
相关命令
switchport port-security maximum
show port-security current mac-num interface
12.2VLAN安全命令
12.2.1vlan mac-limit maximum
命令功能
使用此命令配置指定vlan内最大的fdb的数目。使用no vlan mac-limit maximum命令取消限制。
命令语法
vlan VLAN_ID mac-limit maximum MAXINUM
no vlan VLAN_ID mac-limit maximum
| 参数 |
参数说明 |
参数取值 |
| VLAN_ID |
配置的VLAN id |
1-4094 |
| MAXINUM |
最大数目 |
1-65535 |
命令模式
VLAN配置模式
默认配置
所有vlan内fdb数目不受限。
使用说明
限制fdb的vlan必须先创建。如果不使用此命令配置fdb限制,vlan内的fdb数目不受限。
举例说明
使用此命令配置指定vlan的最大fdb的数目
Switch# configure terminal
Switch(config)# vlan database
Switch(config-vlan)# vlan 2
Switch(config-vlan)# vlan 2 mac-limit maximum 1000
Switch(config-vlan)# no vlan 2 mac-limit maximum
相关命令
show vlan-security
12.2.2vlan mac-limit action
命令功能
使用此命令配置vlan内fdb数目达到限制时的行为。使用no vlan mac-limit action命令恢复默认行为。
命令语法
vlan VLAN_ID mac-limit action ( discard | warn | forward )
no vlan VLAN_ID mac-limit action
| 参数 |
参数说明 |
参数取值 |
| VLAN_ID |
配置的VLAN id |
1-4094 |
| discard |
当VLAN内fdb数目达到限制时,进入此VLAN的未知源mac的报文将会被丢弃,并且不会进行fdb学习 |
- |
| warn |
当VLAN内fdb数目达到限制时,进入此VLAN的未知源mac的报文将会被丢弃,不会进行fdb学习,而且在syslog中打印信息 |
- |
| forward |
当VLAN内fdb数目达到限制时,进入此VLAN的未知源mac的报文将会进行转发,并且不会进行fdb学习 |
- |
命令模式
VLAN配置模式
默认配置
默认行为是forward
使用说明
Vlan必须先创建
举例说明
如下例子显示了如何配置vlan内fdb达到数目限制时的行为
Switch# configure terminal
Switch(config)# vlan database
Switch(config-vlan)# vlan 2
Switch(config-vlan)# vlan 2 mac-limit action warn
Switch(config-vlan)# no vlan 2 mac-limit action
相关命令
show vlan-security
12.2.3vlan mac learning
命令功能
使能此命令使能或去使能vlan内fdb的学习功能。
命令语法
vlan VLAN_ID mac learning ( enable | disable )
| 参数 |
参数说明 |
参数取值 |
| VLAN_ID |
配置的VLAN id |
1-4094 |
| enable |
使能mac学习功能 |
- |
| disable |
去使能mac学习功能 |
- |
命令模式
VLAN配置模式
默认配置
所有vlan的mac learning默认使能
使用说明
Vlan必须先创建
举例说明
如下例子显示了如何关闭vlan内fdb的学习功能
Switch# configure terminal
Switch(config)# vlan database
Switch(config-vlan)# vlan 2
Switch(config-vlan)# vlan 2 mac learning enable
相关命令
show vlan-security
12.2.4show vlan-security
命令功能
使用此命令查看vlan安全的配置。
命令语法
show vlan-security ( vlan VLAN_ID )
| 参数 |
参数说明 |
参数取值 |
| VLAN_ID |
需要显示的VLAN id |
1-4094 |
命令模式
特权模式
默认配置
无
使用说明
使用此命令可以查看所有vlan的mac learning状态、当前和最大的fdb数目、达到最大数目是的行为等信息。
举例说明
下面例子显示了如何查看vlan安全的信息
Switch# configure terminal
Switch(config)# vlan database
Switch(config-vlan)# vlan 2
Switch(config-vlan)# vlan 2 mac-limit maximum 1000
Switch(config-vlan)# vlan 2 mac-limit action warn
Switch# show vlan-security
Vlan learning-en max-mac-count cur-mac-count action
- $$---------------------------------------------------------------------------------
2 Enable 1000 0 Warn
相关命令
vlan mac-limit maximum
vlan mac-limit action
12.3Time Range命令
12.3.1time-range
命令功能
使用此命令定义时间段。
使用此命令的no格式删除时间段。
命令语法
time-range TIME-RANGE-NAME
no time-range
| 参数 |
参数说明 |
参数取值 |
| TIME-RANGE-NAME |
定义的名字 |
不超过40个字符的字符串 |
命令模式
全局配置模式
默认配置
无
使用说明
时间范围是用于确定一个时间范围,在此期间内规则是有效的。
举例说明
定义名字为my-time-range的时间段规则
Switch# configure terminal
Switch(config)# time-range my-time-range
Switch(config-tm-range)#
相关命令
show time-range
12.3.2absolute
命令功能
使用此命令定义绝对时间段。
命令语法
absolute ( start HH:MM:SS MONTH DAY YEAR ) ( end HH:MM:SS MONTH DAY YEAR )
| 参数 |
参数说明 |
参数取值 |
| start |
定义开始的时间 |
- |
| end |
定义结束的时间 |
- |
| HH:MM:SS |
定义小时,分钟,秒 |
以HH:MM:SS格式表示小时、分钟、秒 |
| MONTH |
定义月份 |
1-12 |
| DAY |
定义日期 |
1-31(具体范围与月份相关) |
| YEAR |
定义年份 |
2000-2037 |
命令模式
时间段配置模式
默认配置
无
使用说明
配置绝对时间范围。
举例说明
定义开始时刻为2008年1月1日11时11分0秒,结束时刻为2009年5月1日0时0分0秒的时间段
Switch# configure terminal
Switch(config)# time-range my-time-range
Switch(config-tm-range)# absolute start 11:11:00 jan 1 2008 end 00:00:00 may 1 2009
相关命令
periodic
12.3.3periodic
命令功能
定义周期时间段。
命令语法
periodic HH:MM WEEKDAY to HH:MM ( WEEKDAY | )
periodic HH:MM ( weekdays | weekend | daily ) to HH:MM
| 参数 |
参数说明 |
参数取值 |
| HH:MM |
定义小时分钟 |
以HH:MM格式表示小时、分钟 |
| weekdays |
定义一周的周一至周五 |
- |
| weekend |
定义周末,周六,周日 |
- |
| daily |
定义一周的每一天 |
- |
| WEEKDAY |
定义每周的第几天 |
Monday-Sunday,如果使用缩写,至少保留前3个字符。 |
命令模式
时间段配置模式
默认配置
无
使用说明
与绝对时间比较,选择一个合适的类型。
举例说明
定义开始时间为周一的10时10分,结束时间为周三的11时10分的时间段
Switch# configure terminal
Switch(config)# time-range my-time-range
Switch(config-tm-range)# periodic 10:10 mon to 11:10 wed
定义开始时间为每天的09时00分,结束时间为每天的17时00分的时间段
Switch# configure terminal
Switch(config)# time-range my-time-range
Switch(config-tm-range)# periodic 09:00 daily to 17:00
相关命令
absolute
12.3.4show time-range
命令功能
使用此命令查看时间访问控制列表。
命令语法
show time-range ( TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| TIME-RANGE-NAME |
时间访问控制列表名称;如果指定了此项,则查看此列表的表项;否则查看所有列表 |
不超过40个字符的字符串 |
命令模式
特权模式
默认配置
无
使用说明
如果ACL没有在端口上被引用,那么不会生效。
举例说明
查看所有时间访问控制列表
Switch# show time-range
time-range range1
periodic 00:01 weekdays to 12:01
相关命令
time-range
12.4ACL 命令
12.4.1mac access-list
命令功能
此命令创建MAC访问控制列表并进入访问控制列表配置模式。
使用no mac access-list命令删除指定的MAC访问控制列表。
命令语法
mac access-list ACL_NAME
no mac access-list ACL_NAME
| 参数 |
参数说明 |
参数取值 |
| ACL_NAME |
MAC访问控制列表名称 |
不超过40个字符的字符串 |
命令模式
全局配置模式
默认配置
无
使用说明
如果访问控制列表名称为一个已经存在的名称,则此命令表示进入MAC访问控制列表配置模式;如果访问控制列表名称为新名称,则此命令表示创建此列表并进入MAC访问控制列表配置模式;此处创建的访问控制列表配合match access-group命令使用,具体见相关章节。
举例说明
创建一个名为list_mac_1的MAC访问控制列表并进入配置模式
Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)#
删除一个名为list_mac_1的MAC访问控制列表
Switch# configure terminal
Switch(config)# no mac access-list list_mac_1
相关命令
match access-group
12.4.2sequence-num
命令功能
使用此命令删除指定的控制规则。
命令语法
no sequence-num SEQUENCE_NUM
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
规则序号 |
1-131071 |
命令模式
Mac访问列表配置模式
IP访问列表配置模式
默认配置
无
使用说明
如果ACL所在的class-map、class-map所在的policy-map已经应用到端口,删除动作立即生效。
举例说明
MAC ACL模式下删除顺序号为10的规则
Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# no sequence-num 10
IP访问列表配置模式下删除顺序号为10的规则
Switch# configure terminal
Switch(config)# ip access-list list_ip_1
Switch(config-ip-acl)# no sequence-num 10
相关命令
deny
deny tcp
deny udp
deny icmp
deny igmp
permit
permit tcp
permit udp
permit icmp
permit igmp
12.4.3deny src-mac
命令功能
使用此命令在MAC访问控制列表中添加访问控制规则;此规则拒绝指定源MAC地址的报文通过。
命令语法
( SEQUENCE_NUM | ) deny src-mac ( any | MAC_ADDR MAC_ADDR_MASK | host MAC_ADDR ) ( dest-mac ( any | MAC_ADDR MAC_ADDR_MASK | host MAC_ADDR ) | ) ( untag-vlan | ( ( vlan VLAN_ID | ) ( cos COS | ) ( inner-vlan INNER_VLAN | ) ( inner-cos INNER_COS | ) ) ( protocol ( arp ( arp-op-code ) | rarp | ETH_TYPE mask ETH_TYPE_MASK ) | packet-length OPERATOR LENGTH | ) ( TIME_RANGE_NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在MAC访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| any |
任何主机 |
- |
| MAC_ADDR MAC_ADDR_MASK |
某一类主机 |
HHHH.HHHH.HHHH格式的MAC地址和掩码 |
| host MAC_ADDR |
某一台主机 |
HHHH.HHHH.HHHH格式的地址 |
| dest-mac |
目的MAC地址 |
- |
| untag-vlan |
没有vlan tag |
- |
| VLAN_ID |
VLAN-ID |
1-4094 |
| COS |
CoS值 |
0-7 |
| INNER_VLAN |
内层VLAN-ID |
1-4094 |
| INNER_COS |
内层CoS值 |
0-7 |
| protocol |
指定ARP、RARP或者是指定的Ether type |
- |
| arp |
ARP协议 |
- |
| arp-op-code |
arp-op-code |
0-65535 |
| rarp |
RARP协议 |
- |
| ETH_TYPE |
指定的Ether type |
0-0xFFFF |
| ETH_TYPE_MASK |
Ether type的掩码 |
0-0xFFFF |
| TIME_RANGE_NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
Mac访问列表配置模式
默认配置
无
使用说明
如果顺序号为空,交换机会自动给此规则分配顺序号。而分配的顺序号是在现在存在的最大的顺序号的基础上有一个增量;如果现在的最大的顺序号是100,则分配的顺序号就为110(以10为增量)。
举例说明
添加规则拒绝源MAC地址为001A.A02C.A1DF的报文通过
Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# 1 deny src-mac host 001A.A02C.A1DF
添加规则拒绝任何报文通过
Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# 2 deny src-mac any
添加规则拒绝源MAC地址为某一范围内的报文通过
Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# 3 deny src-mac 001A.A02C.A1DF 001A.A02C.0000
相关命令
no sequence-num
12.4.4permit src-mac
命令功能
使用此命令在MAC访问控制列表中添加访问控制规则;此规则允许指定源MAC地址的报文通过。
命令语法
( SEQUENCE_NUM | ) permit src-mac ( any | MAC_ADDR MAC_ADDR_MASK | host MAC_ADDR ) ( dest-mac ( any | MAC_ADDR MAC_ADDR_MASK | host MAC_ADDR ) | ) ( untag-vlan | ( vlan VLAN | ) ( cos COS | ) ( inner-vlan INNER_VLAN | ) ( inner-cos INNER_COS | ) ) ( protocol ( arp ( arp-op-code ) | rarp | ETH_TYPE mask ETH_TYPE_MASK ) | packet-length OPERATOR LENGTH | ) ( TIME_RANGE_NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在MAC访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| any |
任何主机 |
- |
| MAC_ADDR MAC_ADDR_MASK |
某一类主机 |
HHHH.HHHH.HHHH格式的地址和掩码 |
| host MAC_ADDR |
某一台主机 |
HHHH.HHHH.HHHH格式的地址 |
| dest-mac |
目的MAC地址 |
- |
| untag-vlan |
没有vlan tag |
- |
| VLAN |
VLAN-ID |
1-4094 |
| COS |
CoS |
0-7 |
| INNER_VLAN |
内层VLAN-ID |
1-4094 |
| INNER_COS |
内层CoS |
0-7 |
| protocol |
指定ARP、RARP或者是指定的Ether type |
- |
| arp |
ARP协议 |
- |
| arp-op-code |
arp op code |
0-65535 |
| rarp |
RARP协议 |
- |
| ETH_TYPE |
指定的Ether type |
0-0xFFFF |
| ETH_TYPE_MASK |
Ether type的掩码 |
0-0xFFFF |
| TIME_RANGE_NAME |
应用此选项可以产生基于时间的访问控制列表,指定一个Time range的名字。详见相关章节。 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
Mac访问列表配置模式
默认配置
无
使用说明
如果顺序号为空,交换机会自动给此规则分配顺序号。而分配的顺序号是在现在存在的最大的顺序号的基础上有一个增量;如果现在的最大的顺序号是100,则分配的顺序号就为110(以10为增量)。
举例说明
添加规则允许源mac地址为001A.A02C.A1DF的报文通过
Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# 1 permit src-mac host 001A.A02C.A1DF
添加规则允许任何报文通过
Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# 2 permit src-mac any
添加规则允许源mac地址为某一范围内的报文通过
Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# 3 permit src-mac 001A.A02C.A1DF 001A.A02C.0000
相关命令
no sequence-num
12.4.5remark
命令功能
使用此命令给MAC或IPv4访问控制列表添加说明。
使用关键字no删除对访问控制列表的说明。
命令语法
remark REMARK
no remark
| 参数 |
参数说明 |
参数取值 |
| REMARK |
所添加的说明 |
不超过100个字符的字符串 |
命令模式
Mac访问列表配置模式
IP访问列表配置模式
默认配置
无
使用说明
所添加的说明最多可以有100个字符,超过的字符会被丢弃,不会被存储。
举例说明
为本列表添加说明“remark of list for mac”
Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# remark remark of List for mac
删除此列表说明
Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# no remark
相关命令
mac access-list
12.4.6show access-list mac
命令功能
使用此命令查看MAC访问控制列表。
命令语法
show access-list mac ( ACL_NAME | )
| 参数 |
参数说明 |
参数取值 |
| ACL_NAME |
MAC访问控制列表名称 |
不超过40个字符的字符串 |
命令模式
特权模式
默认配置
无
使用说明
查看访问控制列表的内容。
举例说明
Switch# show access-list mac
mac access-list list_mac_1
10 deny src-mac host 0000.0001.0002
20 permit src-mac any
相关命令
mac access-list
12.4.7ip access-list
命令功能
此命令创建IPv4访问控制列表并进入访问控制列表配置模式。
使用关键字no删除指定的IPv4访问控制列表。
命令语法
ip access-list ACL_NAME
no ip access-list ACL_NAME
| 参数 |
参数说明 |
参数取值 |
| ACL_NAME |
IP ACL名字 |
不超过40个字符的字符串 |
命令模式
全局配置模式
默认配置
无
使用说明
如果访问控制列表名称为一个已经存在的名称,则此命令表示进入IPv4访问控制列表配置模式;如果访问控制列表名称为新名称,则此命令表示创建此列表并进入IPv4访问控制列表配置模式;此处创建的访问控制列表配合match access-group命令使用,具体见相关章节。
举例说明
创建一个名为list_ipv4_1的IPv4访问控制列表并进入配置模式
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)#
删除名称为list_ipv4_1的IPv4访问控制列表
Switch# configure terminal
Switch(config)# no ip access-list list_ipv4_1
相关命令
match access-group
12.4.8deny
命令功能
使用此命令拒绝符合规则的IPv4报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny ( PROTO_NUM | any ) ( SRC_MAC SRC_MAC_MASK | any | host SRC_MAC ) ( DST_MAC DST_MAC_MASK | any | host DST_MAC ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( TIME_RANGE_NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在IP访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| PROTO_NUM |
协议编号 |
0-255 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| SRC_MAC SRC_MAC_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
|
- |
| host SRC_MAC |
源地址为特定地址的某台主机 |
IPv4地址 |
| DST_MAC DST_MAC_MASK |
目的地址为特定地址的某台主机 |
IPv4地址和掩码 |
| any |
|
- |
| host DST_MAC |
目的地址为特定地址的某台主机 |
IPv4地址 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME_RANGE_NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
IP访问列表配置模式
默认配置
无
使用说明
如果顺序号为空,交换机会自动给此规则分配顺序号。而分配的顺序号是在现在存在的最大的顺序号的基础上有一个增量;如果现在的最大的顺序号是100,则分配的顺序号就为110(以10为增量)。
举例说明
添加规则拒绝使用任何协议的任何报文通过
拒绝报文中源地址为1.1.1.1,目的地址为任意的IP分片报文报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 2 deny any host 1.1.1.1 any fragments
添加规则拒绝任何路由报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 3 deny any any any routed-packet
相关命令
no sequence-num
12.4.9deny tcp
命令功能
使用此命令拒绝符合规则的TCP报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny tcp ( SRC_MAC SRC_MAC_MASK | any | host SRC_MAC ) ( src-port OPERATOR SRC_PORT | ) ( DST_MAC DST_MAC_MASK | any | host DST_MAC ) ( dst-port OPERATOR DST_PORT | ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( established | ( match-any | match-all FLAG-NAME | ) | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( TIME_RANGE_NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在IPv4访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_MAC SRC_MAC_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
第一处any是指地址可以为任何地址的主机 |
- |
| host SRC_MAC |
源地址为特定地址的某台主机 |
IPv4地址 |
| OPERATOR SRC_PORT |
源端口运算符和端口值 |
源端口,范围是0-65535。 |
| DST_MAC DST_MAC_MASK |
目的地址为特定地址的某台主机 |
IPv4地址和掩码 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_MAC |
目的地址为特定地址的某台主机 |
IPv4地址 |
| OPERATOR DST_PORT |
目的端口运算符和端口值 |
目的端口,范围是0-65535。 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| established |
匹配已经建立的连接 |
- |
| match-any |
匹配任何flag-name |
- |
| FLAG-NAME |
匹配TCP报文中的flag位所有名称,包括ack、fin、psh、rst、syn和urg |
ack、fin、psh、rst、syn和urg |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME_RANGE_NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
IP访问列表配置模式
默认配置
无
使用说明
无
举例说明
添加规则拒绝任何TCP报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 1 deny tcp any any
添加规则拒绝TCP报文中源地址为1.1.1.1,源端口号为0~100,目的地址为任意的报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 2 deny tcp host 1.1.1.1 src-port range 0 100 any
添加规则拒绝任何已建立连接的报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 3 deny tcp any any established
添加规则拒绝源IP地址为10.10.10.0的发起连接的TCP报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 4 deny tcp 10.10.10.0 0.0.0.0 any match-any ack
相关命令
no sequence-num
12.4.10deny udp
命令功能
使用此命令拒绝符合规则的UDP报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny udp ( SRC_MAC SRC_MAC_MASK | any | host SRC_MAC ) ( src-port OPERATOR SRC_PORT | ) ( DST_MAC DST_MAC_MASK | any | host DST_MAC ) ( dst-port OPERATOR DST_PORT | ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( TIME_RANGE_NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在IPv4访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_MAC SRC_MAC_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
第一处any是指地址可以为任何地址的主机 |
- |
| host SRC_MAC |
源地址为特定地址的某台主机 |
IPv4地址 |
| OPERATOR SRC_PORT |
源端口运算符和端口值 |
源端口,范围是0-65535。 |
| DST_MAC DST_MAC_MASK |
目的地址为特定地址的某台主机 |
IPv4地址和掩码 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_MAC |
目的地址为特定地址的某台主机 |
IPv4地址 |
| OPERATOR DST_PORT |
目的端口运算符和端口值 |
目的端口,范围是0-65535。 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME_RANGE_NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
IP访问列表配置模式
默认配置
无
使用说明
无
举例说明
添加规则拒绝任何UDP报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 1 deny udp any any
添加规则拒绝UDP报文中源地址为1.1.1.1,源端口号为10,目的地址为任意,目的端口号小于2000的报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 2 deny udp host 1.1.1.1 src-port eq 10 any dst-port lt 2000
相关命令
no sequence-num
12.4.11deny icmp
命令功能
使用此命令拒绝符合规则的ICMP报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny icmp ( SRC_MAC SRC_MAC_MASK | any | host SRC_MAC ) ( DST_MAC DST_MAC_MASK | any | host DST_MAC ) ( icmp-type TYPE-NUM ( icmp-code CODE-NUM | ) | ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( TIME_RANGE_NAME | )
| 参数 |
参数说明 |
参数取值 |
| TYPE-NUM |
ICMP报文类型 |
0-255 |
| CODE-NUM |
ICMP报文代码 |
0-255 |
| SEQUENCE_NUM |
此规则在MPLS访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_MAC SRC_MAC_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
|
- |
| host SRC_MAC |
源地址为特定地址的某台主机 |
IPv4地址 |
| DST_MAC DST_MAC_MASK |
目的地址为特定地址的某台主机 |
IPv4地址和掩码 |
| any |
|
- |
| host DST_MAC |
目的地址为特定地址的某台主机 |
IPv4地址 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME_RANGE_NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
IP访问列表配置模式
默认配置
无
使用说明
IPv4访问控制列表配置模式
相关注意事项请见上文“deny tcp”。
举例说明
添加规则拒绝使用ICMP协议的任何报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 1 deny icmp any any
添加规则拒绝任何报文类型为3,报文号为3的ICMP报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 2 deny icmp any any icmp-type 3 icmp-code 3
相关命令
no sequence-num
12.4.12deny igmp
命令功能
使用此命令拒绝符合规则的IGMP报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny igmp ( SRC_MAC SRC_MAC_MASK | any | host SRC_MAC ) ( DST_MAC DST_MAC_MASK | any | host DST_MAC ) ( IGMP-TYPE | ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( TIME_RANGE_NAME | )
| 参数 |
参数说明 |
参数取值 |
| IGMP-TYPE |
IGMP类型 |
包括dvmrp、host-query、host-report、mtrace、mtrace-response、pim、precedence、trace、v2-leave、v2-report和v3-report |
| SEQUENCE_NUM |
此规则在MPLS访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_MAC SRC_MAC_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
|
- |
| host SRC_MAC |
源地址为特定地址的某台主机 |
IPv4地址 |
| DST_MAC DST_MAC_MASK |
目的地址为特定地址的某台主机 |
IPv4地址和掩码 |
| any |
|
- |
| host DST_MAC |
目的地址为特定地址的某台主机 |
IPv4地址 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME_RANGE_NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
IP访问列表配置模式
默认配置
无
使用说明
Please reference to command “deny” for the other parameters.
举例说明
添加规则拒绝任何IGMP报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 1 deny igmp any any
添加规则拒绝IGMP报文中源地址为1.1.1.1,目的地址为任意,IGMP报文类型为 pim 的报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 2 deny igmp host 1.1.1.1 any pim
相关命令
no sequence-num
12.4.13deny gre
命令功能
使用此命令拒绝符合规则的GRE报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny gre ( SRC_MAC SRC_MAC_MASK | any | host SRC_MAC ) ( DST_MAC DST_MAC_MASK | any | host DST_MAC ) ( key KEY mask KEY-MASK ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( TIME_RANGE_NAME | )
| 参数 |
参数说明 |
参数取值 |
| KEY |
GRE的KEY |
0-4294967295 |
| KEY-MASK |
GRE的KEY掩码 |
0-0xFFFFFFFF |
| SEQUENCE_NUM |
此规则在MPLS访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_MAC SRC_MAC_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
|
- |
| host SRC_MAC |
源地址为特定地址的某台主机 |
IPv4地址 |
| DST_MAC DST_MAC_MASK |
目的地址为特定地址的某台主机 |
IPv4地址和掩码 |
| any |
|
- |
| host DST_MAC |
目的地址为特定地址的某台主机 |
IPv4地址 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME_RANGE_NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
IP访问列表配置模式
默认配置
无
使用说明
过滤类型为GRE的报文。
举例说明
添加规则拒绝任何GRE报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 1 deny gre any any key 0 mask 0
添加规则拒绝GRE报文中源地址为1.1.1.1,目的地址为任意,key为10的报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 2 deny gre host 1.1.1.1 any key 10 mask 0xffffffff
相关命令
no sequence-num
12.4.14deny nvgre
命令功能
使用此命令拒绝符合规则的NVGRE报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny nvgre ( SRC_MAC SRC_MAC_MASK | any | host SRC_MAC ) ( DST_MAC DST_MAC_MASK | any | host DST_MAC ) ( vsid VSID mask VSID-MASK ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( TIME_RANGE_NAME | )
Please reference to command “deny” for the other parameters.
| 参数 |
参数说明 |
参数取值 |
| VSID |
NVGRE的VSID |
0-16777215 |
| VSID-MASK |
NVGRE的VSID掩码 |
0-0xFFFFFF |
| SEQUENCE_NUM |
此规则在MPLS访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| PROTO_NUM |
协议编号 |
0-255 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| SRC_MAC SRC_MAC_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
|
- |
| host SRC_MAC |
源地址为特定地址的某台主机 |
IPv4地址 |
| DST_MAC DST_MAC_MASK |
目的地址为特定地址的某台主机 |
IPv4地址和掩码 |
| any |
|
- |
| host DST_MAC |
目的地址为特定地址的某台主机 |
IPv4地址 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME_RANGE_NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
IP访问列表配置模式
默认配置
无
使用说明
过滤类型为NVGRE的报文。
举例说明
添加规则拒绝任何NVGRE报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 1 deny nvgre any any vsid 0 mask 0
添加规则拒绝NVGRE报文中源地址为1.1.1.1,目的地址为任意,VSID为10 的报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 2 deny gre host 1.1.1.1 any vsid 10 mask 0xffffff
相关命令
no sequence-num
12.4.15permit
命令功能
使用此命令允许符合规则的IPv4报文通过端口。
命令语法
( SEQUENCE_NUM | ) permit ( PROTO_NUM | any ) ( SRC_MAC SRC_MAC_MASK | any | host SRC_MAC ) ( DST_MAC DST_MAC_MASK | any | host DST_MAC ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( TIME_RANGE_NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在MPLS访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| PROTO_NUM |
协议编号 |
0-255 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| SRC_MAC SRC_MAC_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
|
- |
| host SRC_MAC |
源地址为特定地址的某台主机 |
IPv4地址 |
| DST_MAC DST_MAC_MASK |
目的地址为特定地址的某台主机 |
IPv4地址和掩码 |
| any |
|
- |
| host DST_MAC |
目的地址为特定地址的某台主机 |
IPv4地址 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME_RANGE_NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
IP访问列表配置模式
默认配置
无
使用说明
如果顺序号为空,交换机会自动给此规则分配顺序号。而分配的顺序号是在现在存在的最大的顺序号的基础上有一个增量;如果现在的最大的顺序号是100,则分配的顺序号就为110(以10为增量)。
举例说明
添加规则拒绝NVGRE报文中源地址为1.1.1.1,目的地址为任意,VSID为10 的报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 2 deny gre host 1.1.1.1 any vsid 10 mask 0xffffff
相关命令
no sequence-num
12.4.16permit tcp
命令功能
使用此命令允许符合规则的TCP报文通过端口。
命令语法
( SEQUENCE_NUM | ) permit tcp ( SRC_MAC SRC_MAC_MASK | any | host SRC_MAC ) ( src-port OPERATOR SRC_PORT | ) ( DST_MAC DST_MAC_MASK | any | host DST_MAC ) ( dst-port OPERATOR DST_PORT | ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( established | ( match-any | match-all FLAG-NAME | ) | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( TIME_RANGE_NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在IPv4访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_MAC SRC_MAC_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
第一处any是指地址可以为任何地址的主机 |
- |
| host SRC_MAC |
源地址为特定地址的某台主机 |
IPv4地址 |
| OPERATOR SRC_PORT |
源端口运算符和端口值 |
源端口,范围是0-65535。 |
| DST_MAC DST_MAC_MASK |
目的地址为特定地址的某台主机 |
IPv4地址和掩码 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_MAC |
目的地址为特定地址的某台主机 |
IPv4地址 |
| OPERATOR DST_PORT |
目的端口运算符和端口值 |
目的端口,范围是0-65535。 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| established |
匹配已经建立的连接 |
- |
| match-any |
匹配任何flag-name |
- |
| FLAG-NAME |
匹配TCP报文中的flag位所有名称,包括ack、fin、psh、rst、syn和urg |
ack、fin、psh、rst、syn和urg |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME_RANGE_NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
IP访问列表配置模式
默认配置
无
使用说明
无
举例说明
添加规则允许使用任何协议的任何报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 10 permit any any any
添加规则允许报文中源地址为1.1.1.1,目的地址为任意的IP分片报文报文
Switch# configure terminal
Switch(config-ex-ip-acl)# 20 permit tcp host 1.1.1.1 any non-first-fragments
添加规则允许任何路由报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 30 permit any any any routed-packet
添加规则允许源IP地址为10.10.10.0的发起连接的TCP报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 4 permit tcp 10.10.10.0 0.0.0.0 any match-any ack
相关命令
no sequence-num
12.4.17permit udp
命令功能
使用此命令允许符合规则的UDP报文通过端口。
命令语法
( SEQUENCE_NUM | ) permit udp ( SRC_MAC SRC_MAC_MASK | any | host SRC_MAC ) ( src-port OPERATOR SRC_PORT | ) ( DST_MAC DST_MAC_MASK | any | host DST_MAC ) ( dst-port OPERATOR DST_PORT | ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( TIME_RANGE_NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在IPv4访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_MAC SRC_MAC_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
第一处any是指地址可以为任何地址的主机 |
- |
| host SRC_MAC |
源地址为特定地址的某台主机 |
IPv4地址 |
| OPERATOR SRC_PORT |
源端口运算符和端口值 |
源端口,范围是0-65535。 |
| DST_MAC DST_MAC_MASK |
目的地址为特定地址的某台主机 |
IPv4地址和掩码 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_MAC |
目的地址为特定地址的某台主机 |
IPv4地址 |
| OPERATOR DST_PORT |
目的端口运算符和端口值 |
目的端口,范围是0-65535。 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME_RANGE_NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
IP访问列表配置模式
默认配置
无
使用说明
无
举例说明
添加规则允许任何UDP报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 1 permit udp any any
添加规则允许UDP报文中源地址为1.1.1.1,源端口号为10,目的地址为任意,目的端口号小于2000的报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 2 permit udp host 1.1.1.1 src-port eq 10 any dst-port lt 2000
相关命令
no sequence-num
12.4.18permit icmp
命令功能
使用此命令允许符合规则的ICMP报文通过端口。
命令语法
( SEQUENCE_NUM | ) permit icmp ( SRC_MAC SRC_MAC_MASK | any | host SRC_MAC ) ( DST_MAC DST_MAC_MASK | any | host DST_MAC ) ( icmp-type TYPE-NUM ( icmp-code CODE-NUM | ) | ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( TIME_RANGE_NAME | )
| 参数 |
参数说明 |
参数取值 |
| icmp-type TYPE-NUM |
ICMP报文类型 |
0-255 |
| icmp-code CODE-NUM |
ICMP报文代码 |
0-255 |
| SEQUENCE_NUM |
此规则在MPLS访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_MAC SRC_MAC_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
|
- |
| host SRC_MAC |
源地址为特定地址的某台主机 |
IPv4地址 |
| DST_MAC DST_MAC_MASK |
目的地址为特定地址的某台主机 |
IPv4地址和掩码 |
| any |
|
- |
| host DST_MAC |
目的地址为特定地址的某台主机 |
IPv4地址 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME_RANGE_NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
IP访问列表配置模式
默认配置
无
使用说明
IPv6访问控制列表配置模式
相关注意事项请见上文“permit tcp”。
举例说明
添加规则允许使用ICMP协议的任何报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 1 permit icmp any any
添加规则允许任何报文类型为3,报文号为3的ICMP报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 2 permit icmp any any icmp-type 3 icmp-code 3
相关命令
deny icmp
no sequence-num
12.4.19permit igmp
命令功能
使用此命令允许符合规则的IGMP报文通过端口。
命令语法
( SEQUENCE_NUM | ) permit igmp ( SRC_MAC SRC_MAC_MASK | any | host SRC_MAC ) ( DST_MAC DST_MAC_MASK | any | host DST_MAC ) ( IGMP-TYPE | ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( TIME_RANGE_NAME | )
| 参数 |
参数说明 |
参数取值 |
| IGMP-TYPE |
IGMP类型 |
IGMP类型,包括dvmrp、host-query、host-report、mtrace、mtrace-response、pim、precedence、trace、v2-leave、v2-report和v3-report |
| SEQUENCE_NUM |
此规则在MPLS访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_MAC SRC_MAC_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
|
- |
| host SRC_MAC |
源地址为特定地址的某台主机 |
IPv4地址 |
| DST_MAC DST_MAC_MASK |
目的地址为特定地址的某台主机 |
IPv4地址和掩码 |
| any |
|
- |
| host DST_MAC |
目的地址为特定地址的某台主机 |
IPv4地址 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME_RANGE_NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
IP访问列表配置模式
默认配置
无
使用说明
无
举例说明
添加规则允许任何IGMP报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 1 permit igmp any any
添加规则允许IGMP报文中源地址为1.1.1.1,目的地址为任意,IGMP报文类型为 pim 的报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 2 permit igmp host 1.1.1.1 any pim
相关命令
no sequence-num
12.4.20permit gre
命令功能
使用此命令允许符合规则的GRE报文通过端口。
命令语法
( SEQUENCE_NUM | ) permit gre ( SRC_MAC SRC_MAC_MASK | any | host SRC_MAC ) ( DST_MAC DST_MAC_MASK | any | host DST_MAC ) ( key KEY mask KEY-MASK ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( TIME_RANGE_NAME | )
| 参数 |
参数说明 |
参数取值 |
| KEY |
GRE的KEY |
0-4294967295 |
| KEY-MASK |
GRE的KEY掩码 |
0-0xFFFFFFFF |
| SEQUENCE_NUM |
此规则在MPLS访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_MAC SRC_MAC_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
|
- |
| host SRC_MAC |
源地址为特定地址的某台主机 |
IPv4地址 |
| DST_MAC DST_MAC_MASK |
目的地址为特定地址的某台主机 |
IPv4地址和掩码 |
| any |
|
- |
| host DST_MAC |
目的地址为特定地址的某台主机 |
IPv4地址 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME_RANGE_NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
IP访问列表配置模式
默认配置
无
使用说明
过滤类型为GRE的报文。
举例说明
添加规则允许任何GRE报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 1 permit gre any any key 0 mask 0
添加规则允许GRE报文中源地址为1.1.1.1,目的地址为任意,key为10的报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 2 permit gre host 1.1.1.1 any key 10 mask 0xffffffff
相关命令
no sequence-num
12.4.21permit nvgre
命令功能
使用此命令允许符合规则的NVGRE报文通过端口。
命令语法
( SEQUENCE_NUM | ) permit nvgre ( SRC_MAC SRC_MAC_MASK | any | host SRC_MAC ) ( DST_MAC DST_MAC_MASK | any | host DST_MAC ) ( vsid VSID mask VSID-MASK ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( TIME_RANGE_NAME | )
Please reference to command “deny nvgre” for the other parameters.
| 参数 |
参数说明 |
参数取值 |
| VSID |
NVGRE的VSID |
0-16777215 |
| VSID-MASK |
NVGRE的VSID掩码 |
0-0xFFFFFF |
| SEQUENCE_NUM |
此规则在MPLS访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_MAC SRC_MAC_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
|
- |
| host SRC_MAC |
源地址为特定地址的某台主机 |
IPv4地址 |
| DST_MAC DST_MAC_MASK |
目的地址为特定地址的某台主机 |
IPv4地址和掩码 |
| any |
|
- |
| host DST_MAC |
目的地址为特定地址的某台主机 |
IPv4地址 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME_RANGE_NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
IP访问列表配置模式
默认配置
无
使用说明
过滤类型为NVGRE的报文。
举例说明
添加规则允许任何NVGRE报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 1 permit nvgre any any vsid 0 mask 0
添加规则允许NVGRE报文中源地址为1.1.1.1,目的地址为任意,VSID为10 的报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 2 permit gre host 1.1.1.1 any vsid 10 mask 0xffffff
相关命令
no sequence-num
12.4.22show access-list ip
命令功能
使用此命令查看IPv4访问控制列表。
命令语法
show access-list ip ( ACL_NAME | )
| 参数 |
参数说明 |
参数取值 |
| ACL_NAME |
IP访问控制列表名称 |
不超过40个字符的字符串 |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
如何显示IP ACL的配置信息
Switch# show access-list ip
ip access-list list_ipv4_1
2 permit tcp host 1.1.1.1 any
3 deny icmp any any
12 permit tcp any any
相关命令
ip access-list
12.4.23user-define access-list
命令功能
此命令创建UDF访问控制列表并进入访问控制列表配置模式。
使用此命令的no格式删除指定的UDF访问控制列表。
命令语法
user-define access-list ACL_NAME
no user-define access-list ACL_NAME
| 参数 |
参数说明 |
参数取值 |
| ACL_NAME |
UDF访问控制列表名称 |
不超过40个字符的字符串 |
命令模式
全局配置模式
默认配置
无
使用说明
如果访问控制列表名称为一个已经存在的名称,则此命令表示进入UDF访问控制列表配置模式;如果访问控制列表名称为新名称,则此命令表示创建此列表并进入UDF访问控制列表配置模式;此处创建的访问控制列表配合match access-group命令使用,具体见相关章节。
举例说明
创建一个名为list_udf_1的UDF访问控制列表并进入配置模式
Switch# configure terminal
Switch(config)# user-define access-list list_udf_1
Switch(config-udf-acl)#
删除一个名为list_udf_1的UDF访问控制列表
Switch# configure terminal
Switch(config)# no user-define access-list list_udf_1
相关命令
permit udf
deny udf
12.4.24user-define acl enable
命令功能
此命令用于使能物理接口入方向的UDF访问控制功能。
使用no user-define acl enable命令去使能接口入方向上UDF访问控制功能。
命令语法
user-define acl enable
no user-define acl enable
命令模式
端口配置模式
默认配置
无
使用说明
将UDF ACL应用到接口入方向之前,需要先使用该命令使能接口上的UDF ACL功能。
举例说明
在物理接口上使能UDF ACL功能
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# user-define acl enable
在物理接口上去使能UDF ACL功能
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# no user-define acl enable
相关命令
无
12.4.25permit udf
命令功能
使用此命令允许符合规则的报文通过端口。
命令语法
( SEQUENCE_NUM | ) permit ipv4-head HEX_RULE HEX_MASK OFFSET ( time-range TIME_RANGE_NAME | )
( SEQUENCE_NUM | ) permit ipv6-head HEX_RULE HEX_MASK OFFSET ( time-range TIME_RANGE_NAME | )
( SEQUENCE_NUM | ) permit l2-head HEX_RULE HEX_MASK OFFSET ( time-range TIME_RANGE_NAME | )
( SEQUENCE_NUM | ) permit l4-head HEX_RULE HEX_MASK OFFSET ( time-range TIME_RANGE_NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在UDF访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| HEX_RULE |
规则字符串 |
以“0x”开头,且不超过10个字符(含“0x”) |
| HEX_MASK |
规则字符串的掩码 |
以“0x”开头,且不超过10个字符(含“0x”) |
| OFFSET |
规则、掩码在报文中的偏移位置(单位:字节) |
能被4整除的整数(含0) |
| TIME_RANGE_NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
命令模式
UDF访问列表配置模式
默认配置
无
使用说明
无
举例说明
过滤任何类型的报文。
Switch# configure terminal
Switch(config)# user-define access-list list_udf_1
Switch(config-udf-acl)# 1 permit l4-head 0x10 0x01 20
相关命令
无
12.4.26deny udf
命令功能
使用此命令拒绝符合规则的报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny ipv4-head HEX_RULE HEX_MASK OFFSET ( time-range TIME_RANGE_NAME | )
( SEQUENCE_NUM | ) deny ipv6-head HEX_RULE HEX_MASK OFFSET ( time-range TIME_RANGE_NAME | )
( SEQUENCE_NUM | ) deny l2-head HEX_RULE HEX_MASK OFFSET ( time-range TIME_RANGE_NAME | )
( SEQUENCE_NUM | ) deny l4-head HEX_RULE HEX_MASK OFFSET ( time-range TIME_RANGE_NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在UDF访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| HEX_RULE |
规则字符串 |
以“0x”开头,且不超过10个字符(含“0x”) |
| HEX_MASK |
规则字符串的掩码 |
以“0x”开头,且不超过10个字符(含“0x”) |
| OFFSET |
规则、掩码在报文中的偏移位置(单位:字节) |
能被4整除的整数(含0) |
| TIME_RANGE_NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
命令模式
UDF访问列表配置模式
默认配置
无
使用说明
无
举例说明
过滤任何类型的报文。
Switch# configure terminal
Switch(config)# user-define access-list list_udf_1
Switch(config-udf-acl)# 1 deny l4-head 0x10 0x01 20
相关命令
无
12.4.27show access-list udf
命令功能
使用此命令查看UDF访问控制列表。
命令语法
show access-list user-define ( ACL_NAME | )
| 参数 |
参数说明 |
参数取值 |
| ACL_NAME |
UDF访问控制列表名称 |
不超过40个字符的字符串 |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
如何显示UDF ACL的配置信息
Switch# show access-list user-define
user-define access-list list_udf_1
10 permit l2-head 0x00000010 0x00000001 20
相关命令
user-define access-list
12.4.28description
命令功能
使用此命令给访问控制列表的规则添加说明。
使用关键字no删除对访问控制列表规则的说明。
命令语法
SEQUENCE_NUM description LINE
no sequence-num SEQUENCE_NUM description
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在访问控制列表中的顺序。 |
1-131071 |
| LINE |
所添加的说明 |
不超过127个字符的字符串 |
命令模式
Mac访问列表配置模式
IP访问列表配置模式
UDF访问列表配置模式
默认配置
无
使用说明
所添加的说明最多可以有127个字符,超过的字符会被丢弃,不会被存储。
举例说明
为访问控制列表中的某个规格添加说明。
Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# 10 permit src-mac any
Switch(config-mac-acl)# 10 description permit src-mac any
删除访问控制列表中某个规则的说明
Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# no sequence-num 10 description
相关命令
mac access-list
ip access-list
user-define access-list
12.5Extend ACL命令
12.5.1ip access-list extend
命令功能
此命令创建扩展IPv4访问控制列表并进入访问控制列表配置模式。
使用关键字no删除指定的IPv4访问控制列表。
命令语法
ip access-list ACL_NAME extend
no ip access-list ACL_NAME extend
| 参数 |
参数说明 |
参数取值 |
| ACL_NAME |
扩展IP ACL名字 |
不超过40个字符的字符串 |
命令模式
全局配置模式
默认配置
无
使用说明
如果访问控制列表名称为一个已经存在的名称,则此命令表示进入扩展IPv4访问控制列表配置模式;如果访问控制列表名称为新名称,则此命令表示创建此列表并进入扩展IPv4访问控制列表配置模式;此处创建的访问控制列表配合match access-group命令使用,具体见相关章节。
举例说明
创建一个名为list_ipv4_1的扩展IPv4访问控制列表并进入配置模式
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)#
删除名称为list_ipv4_1的扩展IPv4访问控制列表
Switch# configure terminal
Switch(config)# no ip access-list list_ipv4_1 extend
相关命令
match access-group
12.5.2sequence-num
命令功能
使用此命令删除指定的控制规则。
命令语法
no sequence-num SEQUENCE_NUM
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
规则序号 |
1-131071 |
命令模式
扩展IP访问列表配置模式
默认配置
无
使用说明
无
举例说明
删除顺序号为10的规则
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# no sequence-num 10
相关命令
deny
deny udp
deny icmp
deny igmp
permit
permit tcp
permit udp
permit icmp
permit igmp
deny src-mac
permit src-mac
12.5.3deny src-mac
命令功能
使用此命令拒绝符合规则的报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny src-mac ( any | MAC_ADDR MAC_ADDR_MASK | host MAC_ADDR ) ( dest-mac ( any | MAC_ADDR MAC_ADDR_MASK | host MAC_ADDR ) | ) ( untag-vlan | ( vlan VLAN_ID | ) ( cos COS | ) ( inner-vlan INNER_VLAN_ID | ) ( inner-cos INNER_COS | ) ) ( arp-packet ( ( arp-op-code ) ( sender-ip ( IP_ADDR IP_ADDR_MASK | any | host IP_ADDR ) | ) ( target-ip ( IP_ADDR IP_ADDR_MASK | any | host IP_ADDR ) | ) ) | packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在IP访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| any |
任何主机 |
- |
| MAC_ADDR MAC_ADDR_MASK |
某一类主机 |
HHHH.HHHH.HHHH格式的地址和掩码 |
| host MAC_ADDR |
某一台主机 |
HHHH.HHHH.HHHH格式的地址 |
| dest-mac |
目的MAC地址 |
- |
| untag-vlan |
untag-vlan |
- |
| VLAN_ID |
VLAN-ID |
1-4094 |
| COS |
CoS |
0-7 |
| INNER_VLAN_ID |
内层VLAN-ID |
1-4094 |
| INNER_COS |
内层CoS |
0-7 |
| arp |
ARP协议 |
- |
| arp-op-code |
arp-op-code |
0-65535 |
| sender-ip |
sender-ip |
- |
| target-ip |
target-ip |
- |
| IP_ADDR IP_ADDR_MASK |
IP地址和掩码 |
IPv4地址和掩码 |
| any |
任何主机 |
- |
| host IP_ADDR |
某一台主机 |
IPv4地址 |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
扩展IP访问列表配置模式
默认配置
无
使用说明
如果顺序号为空,交换机会自动给此规则分配顺序号。而分配的顺序号是在现在存在的最大的顺序号的基础上有一个增量;如果现在的最大的顺序号是100,则分配的顺序号就为110(以10为增量)。
举例说明
添加规则拒绝源MAC地址为001A.A02C.A1DF的报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 1 deny src-mac host 001A.A02C.A1DF
添加规则拒绝任何报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 2 deny src-mac any
规则拒绝源MAC地址为某一范围内的报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 3 deny src-mac 001A.A02C.A1DF 001A.A02C.0000
相关命令
no sequence-num
12.5.4permit src-mac
命令功能
使用此命令允许符合规则的报文通过端口。
命令语法
( SEQUENCE_NUM | ) permit src-mac ( any | MAC_ADDR MAC_ADDR_MASK | host MAC_ADDR ) ( dest-mac ( any | MAC_ADDR MAC_ADDR_MASK | host MAC_ADDR ) | ) ( untag-vlan | ( vlan VLAN_ID | ) ( cos VALUE | ) ( inner-vlan INNER_VLAN_ID | ) ( inner-cos INNER_COS | ) ) ( arp-packet ( ( arp-op-code ) ( sender-ip ( IP_ADDR IP_ADDR_MASK | any | host IP_ADDR ) | ) ( target-ip ( IP_ADDR IP_ADDR_MASK | any | host IP_ADDR ) | ) ) | packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在扩展IP访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| any |
任何主机 |
- |
| MAC_ADDR MAC_ADDR_MASK |
某一类主机 |
HHHH.HHHH.HHHH格式的地址和掩码 |
| host MAC_ADDR |
某一台主机 |
HHHH.HHHH.HHHH格式的地址 |
| dest-mac |
目的MAC地址 |
- |
| untag-vlan |
untag-vlan |
- |
| VLAN_ID |
VLAN-ID |
1-4094 |
| COS |
CoS |
0-7 |
| INNER_VLAN_ID |
内层VLAN-ID |
1-4094 |
| INNER_COS |
内层CoS |
0-7 |
| arp |
ARP协议 |
- |
| arp-op-code |
arp-op-code |
0-65535 |
| sender-ip |
sender-ip |
- |
| target-ip |
target-ip |
- |
| IP_ADDR IP_ADDR_MASK |
IP地址和掩码 |
IPv4地址和掩码 |
| any |
任何主机 |
- |
| host IP_ADDR |
某一台主机 |
IPv4地址 |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
扩展IP访问列表配置模式
默认配置
无
使用说明
如果顺序号为空,交换机会自动给此规则分配顺序号。而分配的顺序号是在现在存在的最大的顺序号的基础上有一个增量;如果现在的最大的顺序号是100,则分配的顺序号就为110(以10为增量)。
举例说明
添加规则允许源mac地址为001A.A02C.A1DF的报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-ac)# 1 permit src-mac host 001A.A02C.A1DF
添加规则允许任何报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-ac)# 2 permit src-mac any
添加规则允许源mac地址为某一范围内的报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 3 permit src-mac 001A.A02C.A1DF 001A.A02C.0000
相关命令
no sequence-num
12.5.5deny
命令功能
使用此命令拒绝符合规则的IPv4报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny ( PROTO_NUM | any ) ( SRC_IP SRC_IP_MASK | any | host SRC_IP ) ( DST_IP DST_IP_MASK | any | host DST_IP ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在扩展的IP访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| PROTO_NUM |
An IP protocol number |
0-255 |
| any |
第一处any是指使用任何协议的IP报文 |
- |
| SRC_IP SRC_IP_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
第二处any是指地址可以为任何地址的主机 |
- |
| host SRC_IP |
源地址为特定地址的某台主机 |
IPv4地址 |
| DST_IP DST_IP_MASK |
目的地址为特定地址的某台主机 |
IPv4地址 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IP |
目的地址为特定地址的某台主机 |
IPv4地址 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
扩展IP访问列表配置模式
默认配置
无
使用说明
此处创建的访问控制列表不仅限制了报文所使用的协议,而且限制了源地址和目的地址;地址掩码中,为1的部分是无关部分,为0的部分是要求严格匹配的;使用地址掩码可以指定某一类的IP地址;比如10.10.10.0 0.0.0.255,这个表示地址从10.10.10.0~10.10.10.255的地址都符合要求。
如果顺序号为空,交换机会自动给此规则分配顺序号。而分配的顺序号是在现在存在的最大的顺序号的基础上有一个增量;如果现在的最大的顺序号是100,则分配的顺序号就为110(以10为增量)。
举例说明
添加规则拒绝使用任何协议的任何报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 1 deny any any any
拒绝报文中源地址为1.1.1.1,目的地址为任意的IP分片报文报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 2 deny any host 1.1.1.1 any fragments
添加规则拒绝任何路由报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 3 deny any any any routed-packet
相关命令
no sequence-num
12.5.6deny tcp
命令功能
使用此命令拒绝符合规则的TCP报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny tcp ( SRC_IP SRC_IP_MASK | any | host SRC_IP ) ( src-port OPERATOR SRC_PORT | ) ( DST_IP DST_IP_MASK | any | host DST_IP ) ( dst-port OPERATOR DST_PORT | ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( established | ( match-any | match-all FLAG-NAME | ) | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在IP访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_IP SRC_IP_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
第一处any是指地址可以为任何地址的主机 |
- |
| host SRC_IP |
源地址为特定地址的某台主机 |
IPv4地址 |
| OPERATOR SRC_PORT |
源端口运算符和端口值 |
源端口,范围是0-65535。 |
| DST_IP DST_IP_MASK |
目的地址为特定地址的某台主机 |
IPv4地址和掩码 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IP |
目的地址为特定地址的某台主机 |
IPv4地址 |
| OPERATOR DST_PORT |
目的端口运算符和端口值 |
目的端口,范围是0-65535。 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| established |
匹配已经建立的连接 |
- |
| match-any |
匹配任何flag-name |
- |
| FLAG-NAME |
匹配TCP报文中的flag位所有名称,包括ack、fin、psh、rst、syn和urg |
ack、fin、psh、rst、syn和urg |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
扩展IP访问列表配置模式
默认配置
无
使用说明
如果指定了四层信息,如src-port,则fragments无效。
其他事项请见上文“deny”。
举例说明
添加规则拒绝任何TCP报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 1 deny tcp any any
添加规则拒绝TCP报文中源地址为1.1.1.1,源端口号为0~100,目的地址为任意的报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 2 deny tcp host 1.1.1.1 src-port range 0 100 any
添加规则拒绝任何已建立连接的报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 3 deny tcp any any established
添加规则拒绝源IP地址为10.10.10.0的发起连接的TCP报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 4 deny tcp 10.10.10.0 0.0.0.0 any match-any ack
相关命令
no sequence-num
12.5.7deny udp
命令功能
使用此命令拒绝符合规则的UDP报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny udp ( SRC_IP SRC_IP_MASK | any | host SRC_IP ) ( src-port OPERATOR SRC_PORT | ) ( DST_IP DST_IP_MASK | any | host DST_IP ) ( dst-port OPERATOR DST_PORT | ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在IP访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_IP SRC_IP_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
第一处any是指地址可以为任何地址的主机 |
- |
| host SRC_IP |
源地址为特定地址的某台主机 |
IPv4地址 |
| OPERATOR SRC_PORT |
源端口运算符和端口值 |
源端口,范围是0-65535。 |
| DST_IP DST_IP_MASK |
目的地址为特定地址的某台主机 |
IPv4地址和掩码 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IP |
目的地址为特定地址的某台主机 |
IPv4地址 |
| OPERATOR DST_PORT |
目的端口运算符和端口值 |
目的端口,范围是0-65535。 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
扩展IP访问列表配置模式
默认配置
无
使用说明
如果指定了四层信息,如src-port,则fragments无效。
其他事项请见上文“deny”。
举例说明
添加规则拒绝任何UDP报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 1 deny udp any any
添加规则拒绝UDP报文中源地址为1.1.1.1,源端口号为10,目的地址为任意,目的端口号小于2000的报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 2 deny udp host 1.1.1.1 src-port eq 10 any dst-port lt 2000
相关命令
no sequence-num
12.5.8deny icmp
命令功能
使用此命令拒绝符合规则的ICMP报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny icmp ( SRC_IP SRC_IP_MASK | any | host SRC_IP ) ( DST_IP DST_IP_MASK | any | host DST_IP ) ( icmp-type TYPE-NUM ( icmp-code CODE-NUM | ) | ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| TYPE-NUM |
ICMP报文类型 |
0-255 |
| CODE-NUM |
ICMP报文代码 |
0-255 |
| SEQUENCE_NUM |
此规则在扩展的IP访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_IP SRC_IP_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
第二处any是指地址可以为任何地址的主机 |
- |
| host SRC_IP |
源地址为特定地址的某台主机 |
IPv4地址 |
| DST_IP DST_IP_MASK |
目的地址为特定地址的某台主机 |
IPv4地址 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IP |
目的地址为特定地址的某台主机 |
IPv4地址 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
扩展IP访问列表配置模式
默认配置
无
使用说明
无
举例说明
添加规则拒绝使用ICMP协议的任何报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 1 deny udp any any
添加规则拒绝任何报文类型为3,报文号为3的ICMP报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 2 deny udp host 1.1.1.1 src-port eq 10 any dst-port lt 2000
相关命令
no sequence-num
12.5.9deny igmp
命令功能
使用此命令拒绝符合规则的IGMP报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny igmp ( SRC_IP SRC_IP_MASK | any | host SRC_IP ) ( DST_IP DST_IP_MASK | any | host DST_IP ) ( IGMP-TYPE | ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| IGMP-TYPE |
IGMP类型 |
包括dvmrp、host-query、host-report、mtrace、mtrace-response、pim、precedence、trace、v2-leave、v2-report和v3-report |
| SEQUENCE_NUM |
此规则在扩展的IP访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_IP SRC_IP_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
第二处any是指地址可以为任何地址的主机 |
- |
| host SRC_IP |
源地址为特定地址的某台主机 |
- |
| DST_IP DST_IP_MASK |
目的地址为特定地址的某台主机 |
IPv4地址 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IP |
目的地址为特定地址的某台主机 |
IPv4地址 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
扩展IP访问列表配置模式
默认配置
无
使用说明
无
举例说明
添加规则拒绝任何IGMP报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 1 deny icmp any any
添加规则拒绝IGMP报文中源地址为1.1.1.1,目的地址为任意,IGMP报文类型为 pim 的报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 2 deny icmp any any icmp-type 3 icmp-code 3
相关命令
no sequence-num
12.5.10deny gre
命令功能
使用此命令拒绝符合规则的GRE报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny gre ( SRC_IP SRC_IP_MASK | any | host SRC_IP ) ( DST_IP DST_IP_MASK | any | host DST_IP ) ( key KEY mask KEY-MASK ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment | ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| KEY |
GRE的KEY |
0-4294967295 |
| KEY-MASK |
GRE的KEY掩码 |
0-0xFFFFFFFF |
| SEQUENCE_NUM |
此规则在扩展的IP访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_IP SRC_IP_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
第二处any是指地址可以为任何地址的主机 |
- |
| host SRC_IP |
源地址为特定地址的某台主机 |
- |
| DST_IP DST_IP_MASK |
目的地址为特定地址的某台主机 |
IPv4地址 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IP |
目的地址为特定地址的某台主机 |
IPv4地址 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
扩展IP访问列表配置模式
默认配置
无
使用说明
过滤类型为GRE的报文。
举例说明
添加规则拒绝任何GRE报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 1 deny igmp any any
添加规则拒绝GRE报文中源地址为1.1.1.1,目的地址为任意,key为10的报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 2 deny igmp host 1.1.1.1 any pim
相关命令
no sequence-num
12.5.11deny nvgre
命令功能
使用此命令拒绝符合规则的NVGRE报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny nvgre ( SRC_IP SRC_IP_MASK | any | host SRC_IP ) ( DST_IP DST_IP_MASK | any | host DST_IP ) ( vsid VSID mask VSID-MASK ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment | ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| VSID |
NVGRE的VSID |
0-16777215 |
| VSID-MASK |
NVGRE的VSID掩码 |
0-0xFFFFFF |
| SEQUENCE_NUM |
此规则在扩展的IP访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_IP SRC_IP_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
第二处any是指地址可以为任何地址的主机 |
- |
| host SRC_IP |
源地址为特定地址的某台主机 |
- |
| DST_IP DST_IP_MASK |
目的地址为特定地址的某台主机 |
IPv4地址 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IP |
目的地址为特定地址的某台主机 |
IPv4地址 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
扩展IP访问列表配置模式
默认配置
无
使用说明
过滤类型为NVGRE的报文。
举例说明
添加规则拒绝任何NVGRE报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 1 deny gre any any key 0 mask 0
添加规则拒绝NVGRE报文中源地址为1.1.1.1,目的地址为任意,VSID为10 的报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 2 deny gre host 1.1.1.1 any key 10 mask 0xffffffff
相关命令
no sequence-num
12.5.12permit
命令功能
使用此命令允许符合规则的IPv4报文通过端口。
命令语法
( SEQUENCE_NUM | ) permit ( PROTO_NUM | any ) ( SRC_IP SRC_IP_MASK | any | host SRC_IP ) ( DST_IP DST_IP_MASK | any | host DST_IP ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在扩展的IP访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| PROTO_NUM |
An IP protocol number |
0-255 |
| any |
第一处any是指使用任何协议的IP报文 |
- |
| SRC_IP SRC_IP_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
第二处any是指地址可以为任何地址的主机 |
- |
| host SRC_IP |
源地址为特定地址的某台主机 |
- |
| DST_IP DST_IP_MASK |
目的地址为特定地址的某台主机 |
IPv4地址 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IP |
目的地址为特定地址的某台主机 |
IPv4地址 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
扩展IP访问列表配置模式
默认配置
无
使用说明
此处创建的访问控制列表不仅可以匹配报文所使用的协议,而且可以匹配源地址和目的地址;地址掩码中,为1的部分是无关部分,为0的部分是要求严格匹配的;使用地址掩码可以指定某一类的IP地址;比如10.10.10.0 0.0.0.255,这个表示地址从10.10.10.0~10.10.10.255的地址都符合要求。
如果顺序号为空,交换机会自动给此规则分配顺序号。而分配的顺序号是在现在存在的最大的顺序号的基础上有一个增量;如果现在的最大的顺序号是100,则分配的顺序号就为110(以10为增量)。
举例说明
添加规则允许使用任何协议的任何报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 1 deny nvgre any any vsid 0 mask 0
添加规则允许报文中源地址为1.1.1.1,目的地址为任意的IP分片报文报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 2 deny gre host 1.1.1.1 any vsid 10 mask 0xffffff
添加规则允许任何路由报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 30 permit any any any routed-packet
相关命令
no sequence-num
12.5.13permit tcp
命令功能
使用此命令允许符合规则的TCP报文通过端口。
命令语法
( SEQUENCE_NUM | ) permit tcp ( SRC_IP SRC_IP_MASK | any | host SRC_IP ) ( src-port OPERATOR SRC_PORT | ) ( DST_IP DST_IP_MASK | any | host DST_IP ) ( dst-port OPERATOR DST_PORT | ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( established | ( match-any | match-all FLAG-NAME | ) | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在IP访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_IP SRC_IP_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
第一处any是指地址可以为任何地址的主机 |
- |
| host SRC_IP |
源地址为特定地址的某台主机 |
IPv4地址 |
| OPERATOR SRC_PORT |
源端口运算符和端口值 |
源端口,范围是0-65535。 |
| DST_IP DST_IP_MASK |
目的地址为特定地址的某台主机 |
IPv4地址和掩码 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IP |
目的地址为特定地址的某台主机 |
IPv4地址 |
| OPERATOR DST_PORT |
目的端口运算符和端口值 |
目的端口,范围是0-65535。 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| established |
匹配已经建立的连接 |
- |
| match-any |
匹配任何flag-name |
- |
| FLAG-NAME |
匹配TCP报文中的flag位所有名称,包括ack、fin、psh、rst、syn和urg |
ack、fin、psh、rst、syn和urg |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
- |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
扩展IP访问列表配置模式
默认配置
无
使用说明
如果指定了四层信息,如src-port,则fragments无效。
其他事项请见上文“permit”。
举例说明
添加规则允许任何TCP报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 10 permit tcp any any
添加规则允许TCP报文中源地址为1.1.1.1,源端口号为0~100,目的地址为任意的报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 20 permit tcp host 1.1.1.1 src-port range 0 100 any
添加规则允许任何已建立连接的报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 30 permit tcp any any established
添加规则允许源IP地址为10.10.10.0的发起连接的TCP报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 4 permit tcp 10.10.10.0 0.0.0.0 any match-any ack
相关命令
no sequence-num
12.5.14permit udp
命令功能
使用此命令允许符合规则的UDP报文通过端口。
命令语法
( SEQUENCE_NUM | ) permit udp ( SRC_IP SRC_IP_MASK | any | host SRC_IP ) ( src-port OPERATOR SRC_PORT | ) ( DST_IP DST_IP_MASK | any | host DST_IP ) ( dst-port OPERATOR DST_PORT | ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在IP访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_IP SRC_IP_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
第一处any是指地址可以为任何地址的主机 |
- |
| host SRC_IP |
源地址为特定地址的某台主机 |
IPv4地址 |
| OPERATOR SRC_PORT |
源端口运算符和端口值 |
源端口,范围是0-65535。 |
| DST_IP DST_IP_MASK |
目的地址为特定地址的某台主机 |
IPv4地址和掩码 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IP |
目的地址为特定地址的某台主机 |
IPv4地址 |
| OPERATOR DST_PORT |
目的端口运算符和端口值 |
目的端口,范围是0-65535。 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
- |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
扩展IP访问列表配置模式
默认配置
无
使用说明
其他事项请见上文“permit”。
举例说明
添加规则允许任何UDP报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 1 permit udp any any
添加规则允许UDP报文中源地址为1.1.1.1,源端口号为10,目的地址为任意,目的端口号小于2000的报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 2 permit udp host 1.1.1.1 src-port eq 10 any dst-port lt 2000
相关命令
no sequence-num
12.5.15permit icmp
命令功能
使用此命令允许符合规则的ICMP报文通过端口。
命令语法
( SEQUENCE_NUM | ) permit icmp ( SRC_IP SRC_IP_MASK | any | host SRC_IP ) ( DST_IP DST_IP_MASK | any | host DST_IP ) ( icmp-type TYPE-NUM ( icmp-code CODE-NUM | ) | ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| icmp-type TYPE-NUM |
ICMP报文类型 |
0-255 |
| icmp-code CODE-NUM |
ICMP报文代码 |
0-255 |
| SEQUENCE_NUM |
此规则在扩展的IP访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_IP SRC_IP_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
第二处any是指地址可以为任何地址的主机 |
- |
| host SRC_IP |
源地址为特定地址的某台主机 |
- |
| DST_IP DST_IP_MASK |
目的地址为特定地址的某台主机 |
IPv4地址 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IP |
目的地址为特定地址的某台主机 |
IPv4地址 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
扩展IP访问列表配置模式
默认配置
无
使用说明
过滤类型为ICMP报文。
举例说明
添加规则允许使用ICMP协议的任何报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 1 permit icmp any any
添加规则允许任何报文类型为3,报文号为3的ICMP报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 2 permit icmp any any icmp-type 3 icmp-code 3
相关命令
无
12.5.16permit igmp
命令功能
使用此命令允许符合规则的IGMP报文通过端口。
命令语法
( SEQUENCE_NUM | ) permit igmp ( SRC_IP SRC_IP_MASK | any | host SRC_IP ) ( DST_IP DST_IP_MASK | any | host DST_IP ) ( IGMP-TYPE | ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| IGMP-TYPE |
IGMP类型 |
包括dvmrp、host-query、host-report、mtrace、mtrace-response、pim、precedence、trace、v2-leave、v2-report和v3-report |
| SEQUENCE_NUM |
此规则在扩展的IP访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| PROTO_NUM |
An IP protocol number |
0-255 |
| any |
第一处any是指使用任何协议的IP报文 |
- |
| SRC_IP SRC_IP_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| DST_IP DST_IP_MASK |
目的地址为特定地址的某台主机 |
IPv4地址 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IP |
目的地址为特定地址的某台主机 |
IPv4地址 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
扩展IP访问列表配置模式
默认配置
无
使用说明
无
举例说明
添加规则允许任何IGMP报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 1 permit igmp any any
添加规则允许IGMP报文中源地址为1.1.1.1,目的地址为任意,IGMP报文类型为 pim 的报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 2 permit igmp host 1.1.1.1 any pim
相关命令
no sequence-num
12.5.17permit gre
命令功能
使用此命令允许符合规则的GRE报文通过端口。
命令语法
( SEQUENCE_NUM | ) permit gre ( SRC_IP SRC_IP_MASK | any | host SRC_IP ) ( DST_IP DST_IP_MASK | any | host DST_IP ) ( key KEY mask KEY-MASK ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment | ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| KEY |
GRE的KEY |
0-4294967295 |
| KEY-MASK |
GRE的KEY掩码 |
0-0xFFFFFFFF |
| SEQUENCE_NUM |
此规则在扩展的IP访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_IP SRC_IP_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
第二处any是指地址可以为任何地址的主机 |
- |
| host SRC_IP |
源地址为特定地址的某台主机 |
IPv4地址 |
| DST_IP DST_IP_MASK |
目的地址为特定地址的某台主机 |
IPv4地址 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IP |
目的地址为特定地址的某台主机 |
IPv4地址 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
扩展IP访问列表配置模式
默认配置
无
使用说明
过滤类型为GRE的报文。
举例说明
添加规则允许任何GRE报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 1 permit gre any any key 0 mask 0
添加规则允许GRE报文中源地址为1.1.1.1,目的地址为任意,key为10的报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 2 permit gre host 1.1.1.1 any key 10 mask 0xffffffff
相关命令
no sequence-num
12.5.18permit nvgre
命令功能
使用此命令允许符合规则的NVGRE报文通过端口。
命令语法
( SEQUENCE_NUM | ) permit nvgre ( SRC_IP SRC_IP_MASK | any | host SRC_IP ) ( DST_IP DST_IP_MASK | any | host DST_IP ) ( vsid VSID mask VSID-MASK ) ( ip-precedence PRECEDENCE | dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment | ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| VSID |
NVGRE的VSID |
0-16777215 |
| VSID-MASK |
NVGRE的VSID掩码 |
0-0xFFFFFF |
| SEQUENCE_NUM |
此规则在扩展的IP访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_IP SRC_IP_MASK |
地址为某一类的IPv4地址的主机和地址掩码 |
IPv4地址和掩码 |
| any |
第二处any是指地址可以为任何地址的主机 |
- |
| host SRC_IP |
源地址为特定地址的某台主机 |
- |
| DST_IP DST_IP_MASK |
目的地址为特定地址的某台主机 |
IPv4地址 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IP |
目的地址为特定地址的某台主机 |
IPv4地址 |
| PRECEDENCE |
IP报文优先级 |
0-7 |
| DSCP |
DSCP号 |
0-63 |
| ECN |
ECN值 |
0-3 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| routed-packet |
报文为路由报文 |
- |
| options |
报文携带IP选项 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
扩展IP访问列表配置模式
默认配置
无
使用说明
过滤类型为NVGRE的报文。
举例说明
添加规则允许任何NVGRE报文通过
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 1 permit nvgre any any vsid 0 mask 0
添加规则允许NVGRE报文中源地址为1.1.1.1,目的地址为任意,VSID为10 的报文
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 2 permit gre host 1.1.1.1 any vsid 10 mask 0xffffff
相关命令
no sequence-num
12.5.19remark
命令功能
使用此命令给扩展IPv4访问控制列表添加说明。
使用关键字no删除对控制列表的说明。
命令语法
remark REMARK
no remark
| 参数 |
参数说明 |
参数取值 |
| REMARK |
所添加的说明 |
不超过100个字符的字符串 |
命令模式
扩展IP访问列表配置模式
默认配置
无
使用说明
所添加的说明最多可以有100个字符,超过的字符会被丢弃,不会被存储。
举例说明
为本列表添加说明“remarkoflist1”
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# remark remard0flist1
删除此列表的说明
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# no remark
相关命令
无
12.5.20show access-list ip extend
命令功能
使用此命令查看扩展IPv4访问控制列表。
命令语法
show access-list ip ( ACL_NAME extend | )
| 参数 |
参数说明 |
参数取值 |
| ACL_NAME extend |
扩展IP ACL名字 |
不超过40个字符的字符串 |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
如何显示IP ACL的配置信息
Switch# show access-list ip
ip access-list ex_ip_list_ipv4_1 extend
2 permit tcp host 1.1.1.1 any
3 deny icmp any any
12 permit tcp any any
相关命令
ip access-list extend
12.5.21description
命令功能
使用此命令给访问控制列表的规则添加说明。
使用关键字no删除对访问控制列表规则的说明。
命令语法
SEQUENCE_NUM description LINE
no sequence-num SEQUENCE_NUM description
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在访问控制列表中的顺序。 |
1-131071 |
| LINE |
所添加的说明 |
不超过127个字符的字符串 |
命令模式
扩展IP访问列表配置模式
默认配置
无
使用说明
所添加的说明最多可以有127个字符,超过的字符会被丢弃,不会被存储。
举例说明
为访问控制列表中的某个规格添加说明。
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 10 permit any any any
Switch(config-ex-ip-acl)# 10 description permit any any any
删除访问控制列表中某个规则的说明
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# no sequence-num 10 description
相关命令
ip access-list extend
12.6ACLv6 命令
12.6.1ipv6 access-list
命令功能
此命令创建IPv6访问控制列表并进入访问控制列表配置模式。
使用关键字no删除指定的IPv6访问控制列表。
命令语法
ipv6 access-list ACL_NAME
no ipv6 access-list ACL_NAME
| 参数 |
参数说明 |
参数取值 |
| ACL_NAME |
IPv6访问控制列表名称 |
不超过40个字符的字符串 |
命令模式
全局配置模式
默认配置
无
使用说明
如果访问控制列表名称为一个已经存在的名称,则此命令表示进入IPv6访问控制列表配置模式;如果访问控制列表名称为新名称,则此命令表示创建此列表并进入IPv6访问控制列表配置模式;此处创建的访问控制列表配合match access-group命令使用,具体见相关章节。
举例说明
创建一个名为list_ipv6_1的IPv6访问控制列表并进入配置模式
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)#
删除一个名为list_ipv6_1的IPv6访问控制列表
Switch# configure terminal
Switch(config)# no ipv6 access-list list_ipv6_1
相关命令
match access-group
12.6.2sequence-num
命令功能
使用此命令删除指定的控制规则。
命令语法
no sequence-num SEQUENCE_NUM
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
规则序号 |
范围 1-131071 |
命令模式
IPv6访问列表配置模式
默认配置
无
使用说明
如果ACL所在的class-map、class-map所在的policy-map已经应用到端口,删除动作立即生效。
举例说明
IPv6访问列表配置模式下删除顺序号为10的规则
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# no sequence-num 10
相关命令
deny
deny tcp
deny udp
deny icmp
permit
permit tcp
permit udp
permit icmp
12.6.3remark
命令功能
使用此命令给IPv6访问控制列表添加说明。
使用关键字no删除对访问控制列表的说明。
命令语法
remark REMARK
no remark
| 参数 |
参数说明 |
参数取值 |
| REMARK |
所添加的说明 |
不超过100个字符的字符串 |
命令模式
IPv6访问列表配置模式
默认配置
无
使用说明
所添加的说明最多可以有100个字符,超过的字符会被丢弃,不会被存储。
举例说明
为本列表添加说明“remark of list for ipv6”
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# remark remark of List for ipv6
删除此列表说明
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# no remark
相关命令
ipv6 access-list
12.6.4deny
命令功能
使用此命令拒绝符合规则的IPv6报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny ( PROTO_NUM | any ) ( SRC_IPV6 SRC_IPV6_MASK | any | host SRC_IPV6 ) ( DST_IPV6 DST_IPV6_MASK | any | host DST_IPV6 ) ( flow-label FLOW_LABEL | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment | ) ( dscp DSCP | ) ( routed-packet | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在IPv6访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| PROTO_NUM |
协议编号 |
0-255 |
| any |
第一处any是指使用任何协议的IPv6报文 |
- |
| SRC_IPV6 SRC_IPV6_MASK |
源地址为某一类的IPv6地址 |
IPv6地址和掩码长度 |
| any |
第二处any是指源地址可以为任何地址的主机 |
- |
| host SRC_IPV6 |
源地址为特定地址的某台主机 |
IPv6地址 |
| DST_IPV6 DST_IPV6_MASK |
目的地址为某一类的IPv6地址 |
IPv6地址和掩码长度 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IPV6 |
目的地址为特定地址的某台主机 |
IPv6地址 |
| flow-label FLOW_LABEL |
Flow label号 |
0-1048575 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为非首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| DSCP |
DSCP号 |
0-63 |
| routed-packet |
报文为路由报文 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
IPv6访问列表配置模式
默认配置
无
使用说明
如果顺序号为空,交换机会自动给此规则分配顺序号。而分配的顺序号是在现在存在的最大的顺序号的基础上有一个增量;如果现在的最大的顺序号是100,则分配的顺序号就为110(以10为增量)。
举例说明
添加规则拒绝使用任何协议的任何报文通过
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 1 deny any any any
添加规则拒绝任何路由报文通过
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 2 deny any any any routed-packet
相关命令
no sequence-num
12.6.5deny tcp
命令功能
使用此命令拒绝符合规则的TCP报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny tcp ( SRC_IPV6 SRC_IPV6_MASK | any | host SRC_IPV6 ) ( src-port OPERATOR SRC_PORT | ) ( DST_IPV6 DST_IPV6_MASK | any | host DST_IPV6 ) ( dst-port OPERATOR DST_PORT | ) ( flow-label FLOW_LABEL | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment | ) ( dscp DSCP | ) ( routed-packet | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在IPv6访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_IPV6 SRC_IPV6_MASK |
源地址为某一类的IPv6地址前缀 |
IPv6地址和掩码长度 |
| any |
第一处any是指地址可以为任何地址的主机 |
- |
| host SRC_IPV6 |
源地址为特定地址的某台主机 |
IPv6地址 |
| OPERATOR SRC_PORT |
源端口运算符和端口值 |
源端口,范围是0-65535。 |
| DST_IPV6 DST_IPV6_MASK |
目的地址为某一类的IPv6地址前缀 |
IPv6地址和掩码长度 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IPV6 |
目的地址为特定地址的某台主机 |
IPv6地址 |
| OPERATOR DST_PORT |
目的端口运算符和端口值 |
目的端口,范围是0-65535。 |
| flow-label FLOW_LABEL |
Flow label号 |
0-1048575 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为非首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| DSCP |
DSCP号 |
0-63 |
| routed-packet |
报文为路由报文 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
IPv6访问列表配置模式
默认配置
无
使用说明
无
举例说明
添加规则拒绝任何TCP报文
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 1 deny tcp any any
添加规则拒绝TCP报文中源地址为20012020,源端口号为8080,目的地址为任意的报文
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 2 deny tcp host 2001::2020 src-port eq 8080 any
相关命令
no sequence-num
12.6.6deny udp
命令功能
使用此命令拒绝符合规则的UDP报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny udp ( SRC_IPV6 SRC_IPV6_MASK | any | host SRC_IPV6 ) ( src-port OPERATOR SRC_PORT | ) ( DST_IPV6 DST_IPV6_MASK | any | host DST_IPV6 ) ( dst-port OPERATOR DST_PORT | ) ( flow-label FLOW_LABEL | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment | ) ( dscp DSCP | ) ( routed-packet | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在IPv6访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_IPV6 SRC_IPV6_MASK |
源地址为某一类的IPv6地址前缀 |
IPv6地址和掩码长度 |
| any |
第一处any是指地址可以为任何地址的主机 |
- |
| host SRC_IPV6 |
源地址为特定地址的某台主机 |
IPv6地址 |
| OPERATOR SRC_PORT |
源端口运算符和端口值 |
源端口,范围是0-65535。 |
| DST_IPV6 DST_IPV6_MASK |
目的地址为某一类的IPv6地址前缀 |
IPv6地址和掩码长度 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IPV6 |
目的地址为特定地址的某台主机 |
IPv6地址 |
| OPERATOR DST_PORT |
目的端口运算符和端口值 |
目的端口,范围是0-65535。 |
| flow-label FLOW_LABEL |
Flow label号 |
0-1048575 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为非首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| DSCP |
DSCP号 |
0-63 |
| routed-packet |
报文为路由报文 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
IPv6访问列表配置模式
默认配置
无
使用说明
无
举例说明
添加规则拒绝任何UDP报文通过
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 1 deny udp any any
添加规则拒绝UDP报文中源地址为20012020,源端口号为8080,目的地址为任意
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 2 deny udp host 2001::2020 src-port eq 8080 any
相关命令
no sequence-num
12.6.7deny icmp
命令功能
使用此命令拒绝符合规则的ICMP报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny icmp ( SRC_IPV6 SRC_IPV6_MASK | any | host SRC_IPV6 ) ( DST_IPV6 DST_IPV6_MASK | any | host DST_IPV6 ) ( icmp-type TYPE-NUM ( icmp-code CODE-NUM | ) | ) ( flow-label FLOW_LABEL | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment | ) ( dscp DSCP | ) ( routed-packet | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| TYPE-NUM |
ICMP报文类型 |
0-255 |
| CODE-NUM |
ICMP报文代码 |
0-255 |
| SEQUENCE_NUM |
此规则在IPv6访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_IPV6 SRC_IPV6_MASK |
源地址为某一类的IPv6地址 |
IPv6地址和掩码长度 |
| any |
第二处any是指源地址可以为任何地址的主机 |
- |
| host SRC_IPV6 |
源地址为特定地址的某台主机 |
IPv6地址 |
| DST_IPV6 DST_IPV6_MASK |
目的地址为某一类的IPv6地址 |
IPv6地址和掩码长度 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IPV6 |
目的地址为特定地址的某台主机 |
IPv6地址 |
| flow-label FLOW_LABEL |
Flow label号 |
0-1048575 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为非首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| DSCP |
DSCP号 |
0-63 |
| routed-packet |
报文为路由报文 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
IPv6访问列表配置模式
默认配置
无
使用说明
IPv6访问控制列表配置模式
相关注意事项请见上文“deny tcp”。
举例说明
添加规则拒绝使用ICMP协议的任何报文通过
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 1 deny icmp any any
添加规则拒绝任何报文类型为3,报文号为3的ICMP报文通过
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 2 deny icmp any any icmp-type 3 icmp-code 3
相关命令
no sequence-num
12.6.8deny gre
命令功能
使用此命令拒绝符合规则的GRE报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny gre ( SRC_IPV6 SRC_IPV6_MASK | any | host SRC_IPV6 ) ( DST_IPV6 DST_IPV6_MASK | any | host DST_IPV6 ) ( flow-label FLOW-LABEL-VALUE | ) ( key KEY mask KEY-MASK ) ( dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment | ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| FLOW-LABEL-VALUE |
流标签 |
0-1048575 |
| KEY |
GRE的KEY |
0-4294967295 |
| KEY-MASK |
GRE的KEY掩码 |
0-0xFFFFFFFF |
| SEQUENCE_NUM |
此规则在IPv6访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_IPV6 SRC_IPV6_MASK |
源地址为某一类的IPv6地址 |
IPv6地址和掩码长度 |
| any |
第二处any是指源地址可以为任何地址的主机 |
- |
| host SRC_IPV6 |
源地址为特定地址的某台主机 |
IPv6地址 |
| DST_IPV6 DST_IPV6_MASK |
目的地址为某一类的IPv6地址 |
IPv6地址和掩码长度 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IPV6 |
目的地址为特定地址的某台主机 |
IPv6地址 |
| routed-packet |
报文为路由报文 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
| ECN |
ECN值 |
0-3 |
命令模式
IPv6访问列表配置模式
默认配置
无
使用说明
过滤类型为GRE的报文。
举例说明
添加规则拒绝任何GRE报文通过
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 1 deny gre any any key 0 mask 0
添加规则拒绝GRE报文中源地址为20001,目的地址为任意,key为10的报文
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 2 deny gre host 2000::1 any key 10 mask 0xffffffff
相关命令
no sequence-num
12.6.9deny nvgre
命令功能
使用此命令拒绝符合规则的NVGRE报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny nvgre ( SRC_IPV6 SRC_IPV6_MASK | any | host SRC_IPV6 ) ( DST_IPV6 DST_IPV6_MASK | any | host DST_IPV6 ) ( flow-label FLOW-LABEL-VALUE | ) ( vsid VSID mask VSID-MASK ) ( dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment | ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| FLOW-LABEL-VALUE |
流标签 |
0-1048575 |
| VSID |
NVGRE的VSID |
0-16777215 |
| VSID-MASK |
NVGRE的VSID掩码 |
0-0xFFFFFF |
| SEQUENCE_NUM |
此规则在IPv6访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_IPV6 SRC_IPV6_MASK |
源地址为某一类的IPv6地址 |
IPv6地址和掩码长度 |
| any |
第二处any是指源地址可以为任何地址的主机 |
- |
| host SRC_IPV6 |
源地址为特定地址的某台主机 |
IPv6地址 |
| DST_IPV6 DST_IPV6_MASK |
目的地址为某一类的IPv6地址 |
IPv6地址和掩码长度 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IPV6 |
目的地址为特定地址的某台主机 |
IPv6地址 |
| routed-packet |
报文为路由报文 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
| ECN |
ECN值 |
0-3 |
命令模式
IPv6访问列表配置模式
默认配置
无
使用说明
过滤类型为NVGRE的报文。
举例说明
添加规则拒绝任何NVGRE报文通过
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 1 deny nvgre any any vsid 0 mask 0
添加规则拒绝NVGRE报文中源地址为20001,目的地址为任意,VSID为10 的报文
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 2 deny gre host 2000::1 any vsid 10 mask 0xffffff
相关命令
no sequence-num
12.6.10permit
命令功能
使用此命令允许符合规则的IPv6报文通过端口。
命令语法
( SEQUENCE_NUM | ) permit ( PROTO_NUM | any ) ( SRC_IPV6 SRC_IPV6_MASK | any | host SRC_IPV6 ) ( DST_IPV6 DST_IPV6_MASK | any | host DST_IPV6 ) ( flow-label FLOW_LABEL | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment | ) ( dscp DSCP | ) ( routed-packet | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在IPv6访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| PROTO_NUM |
协议编号 |
0-255 |
| any |
第一处any是指使用任何协议的IPv6报文 |
- |
| SRC_IPV6 SRC_IPV6_MASK |
源地址为某一类的IPv6地址 |
IPv6地址和掩码长度 |
| any |
第二处any是指源地址可以为任何地址的主机 |
- |
| host SRC_IPV6 |
源地址为特定地址的某台主机 |
IPv6地址 |
| DST_IPV6 DST_IPV6_MASK |
目的地址为某一类的IPv6地址 |
IPv6地址和掩码长度 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IPV6 |
目的地址为特定地址的某台主机 |
IPv6地址 |
| flow-label FLOW_LABEL |
Flow label号 |
0-1048575 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为非首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| DSCP |
DSCP号 |
0-63 |
| routed-packet |
报文为路由报文 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR LENGTH |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
IPv6访问列表配置模式
默认配置
无
使用说明
如果顺序号为空,交换机会自动给此规则分配顺序号。而分配的顺序号是在现在存在的最大的顺序号的基础上有一个增量;如果现在的最大的顺序号是100,则分配的顺序号就为110(以10为增量)。
举例说明
添加规则允许使用任何协议的任何报文通过
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 1 permit any any any
添加规则允许任何路由报文通过
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 2 permit any any any routed-packet
相关命令
no sequence-num
12.6.11permit tcp
命令功能
使用此命令允许符合规则的TCP报文通过端口。
命令语法
( SEQUENCE_NUM | ) permit tcp ( SRC_IPV6 SRC_IPV6_MASK | any | host SRC_IPV6 ) ( src-port OPERATOR SRC_PORT | ) ( DST_IPV6 DST_IPV6_MASK | any | host DST_IPV6 ) ( dst-port OPERATOR DST_PORT | ) ( flow-label FLOW_LABEL | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment | ) ( dscp DSCP | ) ( routed-packet | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在IPv6访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_IPV6 SRC_IPV6_MASK |
源地址为某一类的IPv6地址前缀 |
IPv6地址和掩码长度 |
| any |
第一处any是指地址可以为任何地址的主机 |
- |
| host SRC_IPV6 |
源地址为特定地址的某台主机 |
IPv6地址 |
| OPERATOR SRC_PORT |
源端口运算符和端口值 |
源端口,范围是0-65535。 |
| DST_IPV6 DST_IPV6_MASK |
目的地址为某一类的IPv6地址前缀 |
IPv6地址和掩码长度 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IPV6 |
目的地址为特定地址的某台主机 |
IPv6地址 |
| OPERATOR DST_PORT |
目的端口运算符和端口值 |
目的端口,范围是0-65535。 |
| flow-label FLOW_LABEL |
Flow label号 |
0-1048575 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为非首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| DSCP |
DSCP号 |
0-63 |
| routed-packet |
报文为路由报文 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
IPv6访问列表配置模式
默认配置
无
使用说明
无
举例说明
添加规则允许任何TCP报文
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 1 permit tcp any any
添加规则允许TCP报文中源地址为20012020,源端口号为8080,目的地址为任意的报文
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 2 permit tcp host 2001::2020 src-port eq 8080 any
相关命令
no sequence-num
12.6.12permit udp
命令功能
使用此命令允许符合规则的UDP报文通过端口。
命令语法
( SEQUENCE_NUM | ) permit udp ( SRC_IPV6 SRC_IPV6_MASK | any | host SRC_IPV6 ) ( src-port OPERATOR SRC_PORT | ) ( DST_IPV6 DST_IPV6_MASK | any | host DST_IPV6 ) ( dst-port OPERATOR DST_PORT | ) ( flow-label FLOW_LABEL | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment | ) ( dscp DSCP | ) ( routed-packet | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在IPv6访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_IPV6 SRC_IPV6_MASK |
源地址为某一类的IPv6地址前缀 |
IPv6地址和掩码长度 |
| any |
第一处any是指地址可以为任何地址的主机 |
- |
| host SRC_IPV6 |
源地址为特定地址的某台主机 |
IPv6地址 |
| OPERATOR SRC_PORT |
源端口运算符和端口值 |
源端口,范围是0-65535。 |
| DST_IPV6 DST_IPV6_MASK |
目的地址为某一类的IPv6地址前缀 |
IPv6地址和掩码长度 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IPV6 |
目的地址为特定地址的某台主机 |
IPv6地址 |
| OPERATOR DST_PORT |
目的端口运算符和端口值 |
目的端口,范围是0-65535。 |
| flow-label FLOW_LABEL |
Flow label号 |
0-1048575 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为非首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| DSCP |
DSCP号 |
0-63 |
| routed-packet |
报文为路由报文 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
IPv6访问列表配置模式
默认配置
无
使用说明
无
举例说明
添加规则允许任何UDP报文通过
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 1 permit udp any any
添加规则允许UDP报文中源地址为20012020,源端口号为8080,目的地址为任意
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 2 permit udp host 2001::2020 src-port eq 8080 any
相关命令
no sequence-num
12.6.13permit icmp
命令功能
使用此命令允许符合规则的ICMP报文通过端口。
命令语法
( SEQUENCE_NUM | ) permit icmp ( SRC_IPV6 SRC_IPV6_MASK | any | host SRC_IPV6 ) ( DST_IPV6 DST_IPV6_MASK | any | host DST_IPV6 ) ( icmp-type TYPE-NUM ( icmp-code CODE-NUM | ) | ) ( flow-label FLOW_LABEL | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment | ) ( dscp DSCP | ) ( routed-packet | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| icmp-type TYPE-NUM |
ICMP报文类型 |
0-255 |
| icmp-code CODE-NUM |
ICMP报文代码 |
0-255 |
| SEQUENCE_NUM |
此规则在IPv6访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_IPV6 SRC_IPV6_MASK |
源地址为某一类的IPv6地址 |
IPv6地址和掩码长度 |
| any |
第二处any是指源地址可以为任何地址的主机 |
- |
| host SRC_IPV6 |
源地址为特定地址的某台主机 |
IPv6地址 |
| DST_IPV6 DST_IPV6_MASK |
目的地址为某一类的IPv6地址 |
IPv6地址和掩码长度 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IPV6 |
目的地址为特定地址的某台主机 |
IPv6地址 |
| flow-label FLOW_LABEL |
Flow label号 |
0-1048575 |
| non-fragment |
报文为IP非分片报文 |
- |
| first-fragment |
报文为IP分片报文且为首片报文 |
- |
| non-or-first-fragment |
报文为IP非分片报文或者报文为IP分片报文且为非首片报文 |
- |
| small-fragment |
报文为IP小片报文 |
- |
| non-first-fragment |
报文为IP分片报文且为非首片报文 |
- |
| DSCP |
DSCP号 |
0-63 |
| routed-packet |
报文为路由报文 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
命令模式
IPv6访问列表配置模式
默认配置
无
使用说明
IPv6访问控制列表配置模式
相关注意事项请见上文“permit tcp”。
举例说明
添加规则允许使用ICMP协议的任何报文通过
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 1 permit icmp any any
添加规则允许任何报文类型为3,报文号为3的ICMP报文通过
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 2 permit icmp any any icmp-type 3 icmp-code 3
相关命令
no sequence-num
12.6.14permit gre
命令功能
使用此命令允许符合规则的GRE报文通过端口。
命令语法
( SEQUENCE_NUM | ) permit gre ( SRC_IPV6 SRC_IPV6_MASK | any | host SRC_IPV6 ) ( DST_IPV6 DST_IPV6_MASK | any | host DST_IPV6 ) ( flow-label FLOW-LABEL-VALUE | ) ( key KEY mask KEY-MASK ) ( dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment | ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| FLOW-LABEL-VALUE |
流标签 |
0-1048575 |
| KEY |
GRE的KEY,范围0~4294967295 |
0-4294967295 |
| KEY-MASK |
GRE的KEY掩码,范围0~0xFFFFFFFF |
0-0xFFFFFFFF |
| SEQUENCE_NUM |
此规则在IPv6访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_IPV6 SRC_IPV6_MASK |
源地址为某一类的IPv6地址 |
IPv6地址和掩码长度 |
| any |
第二处any是指源地址可以为任何地址的主机 |
- |
| host SRC_IPV6 |
源地址为特定地址的某台主机 |
IPv6地址 |
| DST_IPV6 DST_IPV6_MASK |
目的地址为某一类的IPv6地址 |
IPv6地址和掩码长度 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IPV6 |
目的地址为特定地址的某台主机 |
IPv6地址 |
| routed-packet |
报文为路由报文 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
| ECN |
ECN值 |
0-3 |
命令模式
IPv6访问列表配置模式
默认配置
无
使用说明
过滤类型为GRE的报文。
举例说明
添加规则允许任何GRE报文通过
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 1 permit gre any any key 0 mask 0
添加规则允许GRE报文中源地址为20001,目的地址为任意,key为10的报文
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 2 permit gre host 2000::1 any key 10 mask 0xffffffff
相关命令
no sequence-num
12.6.15permit nvgre
命令功能
使用此命令允许符合规则的NVGRE报文通过端口。
命令语法
( SEQUENCE_NUM | ) permit nvgre ( SRC_IPV6 SRC_IPV6_MASK | any | host SRC_IPV6 ) ( DST_IPV6 DST_IPV6_MASK | any | host DST_IPV6 ) ( flow-label FLOW-LABEL-VALUE | ) ( vsid VSID mask VSID-MASK ) ( dscp DSCP | ) ( ecn <0-3> | ) ( non-fragment | first-fragment | non-or-first-fragment | small-fragment | non-first-fragment | ) ( routed-packet | ) ( options | ) ( packet-length OPERATOR LENGTH | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| FLOW-LABEL-VALUE |
流标签,范围0~1048575 |
0-1048575 |
| VSID |
NVGRE的VSID,范围0~16777215 |
0-16777215 |
| VSID-MASK |
NVGRE的VSID掩码,范围0~0xFFFFFF |
0-0xFFFFFF |
| SEQUENCE_NUM |
此规则在IPv6访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| SRC_IPV6 SRC_IPV6_MASK |
源地址为某一类的IPv6地址 |
IPv6地址和掩码长度 |
| any |
第二处any是指源地址可以为任何地址的主机 |
- |
| host SRC_IPV6 |
源地址为特定地址的某台主机 |
IPv6地址 |
| DST_IPV6 DST_IPV6_MASK |
目的地址为某一类的IPv6地址 |
IPv6地址和掩码长度 |
| any |
第三处any是指目的地址可以为任何地址的主机 |
- |
| host DST_IPV6 |
目的地址为特定地址的某台主机 |
IPv6地址 |
| routed-packet |
报文为路由报文 |
- |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
| OPERATOR |
报文长度算符,包括eq (equal to)、lt (less than)、gt (greater than)、和range |
eq (equal to)、lt (less than)、gt (greater than)、和range |
| LENGTH |
报文长度值 |
64-16382 |
| ECN |
ECN值 |
0-3 |
命令模式
IPv6访问列表配置模式
默认配置
无
使用说明
过滤类型为NVGRE的报文。
举例说明
添加规则允许任何NVGRE报文通过
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 1 permit nvgre any any vsid 0 mask 0
添加规则允许NVGRE报文中源地址为20001,目的地址为任意,VSID为10 的报文
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 2 permit gre host 2000::1 any vsid 10 mask 0xffffff
相关命令
no sequence-num
12.6.16show access-list ipv6
命令功能
使用此命令查看IPv6访问控制列表。
命令语法
show access-list ipv6 ( ACL_NAME | )
| 参数 |
参数说明 |
参数取值 |
| ACL_NAME |
IPv6访问控制列表名称 |
不超过40个字符的字符串 |
命令模式
特权模式
默认配置
无
使用说明
查看访问控制列表的内容。
举例说明
查看ipv6访问控制列表
Switch# show access-list ipv6
ipv6 access-list list_ipv6_1
10 deny any 2001::/48 any
20 permit any any any
相关命令
ipv6 access-list
12.6.17description
命令功能
使用此命令给访问控制列表的规则添加说明。
使用关键字no删除对访问控制列表规则的说明。
命令语法
SEQUENCE_NUM description LINE
no sequence-num SEQUENCE_NUM description
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在访问控制列表中的顺序。 |
1-131071 |
| LINE |
所添加的说明 |
不超过127个字符的字符串 |
命令模式
IPv6访问列表配置模式
默认配置
无
使用说明
所添加的说明最多可以有127个字符,超过的字符会被丢弃,不会被存储。
举例说明
为访问控制列表中的某个规格添加说明。
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# 10 permit any any any
Switch(config-ipv6-acl)# 10 description permit any any any
删除访问控制列表中某个规则的说明
Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# no sequence-num 10 description
相关命令
ipv6 access-list
12.7Port Group命令
12.7.1port-group
命令功能
此命令创建端口聚合组并进入端口聚合组配置模式。
使用no port-group命令删除指定的端口聚合组。
命令语法
port-group PORT_GROUP_NAME
no port-group PORT_GROUP_NAME
| 参数 |
参数说明 |
参数取值 |
| PORT_GROUP_NAME |
端口聚合组名称 |
不超过32个字符的字符串 |
命令模式
全局配置模式
默认配置
无
使用说明
如果端口聚合组名称为一个已经存在的名称,则此命令表示进入端口聚合组配置模式;如果端口聚合组名称为新名称,则此命令表示创建此端口聚合组并进入端口聚合组配置模式。
举例说明
创建一个名为port_group_1的端口聚合组并进入配置模式
Switch# configure terminal
Switch(config)# port-group port_group_1
Switch(config-port-group)#
删除一个名为port_group_1的端口聚合组
Switch# configure terminal
Switch(config)# no port-group port_group_1
相关命令
无
12.7.2member interface
命令功能
使用此命令添加物理口或者AGG口到端口聚合组。使用no member interface命令删除指定的物理口或AGG口。
命令语法
member interface ( IFPHYSICAL | IFAGG )
no member interface
| 参数 |
参数说明 |
参数取值 |
| IFPHYSICAL |
物理口名称 |
支持物理口 |
| IFAGG |
AGG口名称 |
支持AGG口 |
命令模式
端口组配置模式
默认配置
无
使用说明
如果接口已经是AGG成员端口则无法添加。
如果接口已经加入到其他的port-group则无法再次添加。
举例说明
创建端口聚合组的成员口
Switch# configure terminal
Switch(config)# port-group port_group_1
Switch(config-port-group)# member interface eth-0-1
删除端口聚合组的成员口
Switch# configure terminal
Switch(config)# port-group port_group_1
Switch(config-port-group)# no member interface eth-0-1
相关命令
无
12.8Vlan Group命令
12.8.1vlan-group
命令功能
此命令创建Vlan聚合组并进入Vlan聚合组配置模式。
使用no vlan-group命令删除指定的Vlan聚合组。
命令语法
vlan-group VLAN_GROUP_NAME
no vlan-group VLAN_GROUP_NAME
| 参数 |
参数说明 |
参数取值 |
| VLAN_GROUP_NAME |
Vlan聚合组名称 |
不超过32个字符的字符串 |
命令模式
全局配置模式
默认配置
无
使用说明
如果Vlan聚合组名称为一个已经存在的名称,则此命令表示进入Vlan聚合组配置模式;如果Vlan聚合组名称为新名称,则此命令表示创建此Vlan聚合组并进入Vlan聚合组配置模式。
举例说明
创建一个名为vlan_group_1的Vlan聚合组并进入配置模式
Switch# configure terminal
Switch(config)# vlan-group vlan_group_1
Switch(config-vlan-group)#
删除一个名为vlan_group_1的Vlan聚合组
Switch# configure terminal
Switch(config)# no vlan-group vlan_group_1
相关命令
无
12.8.2menber vlan
命令功能
使用此命令添加Vlan到Vlan聚合组。使用no member vlan命令删除指定的Vlan。
命令语法
member vlan VLAN_ID
no member vlan
| 参数 |
参数说明 |
参数取值 |
| VLAN_ID |
Vlan的值 |
1-4094 |
命令模式
VLAN组配置模式
默认配置
无
使用说明
如果Vlan已经加入到其他的vlan-group则无法再次添加。
举例说明
创建Vlan聚合组的成员Vlan
Switch# configure terminal
Switch(config)# vlan-group vlan_group_1
Switch(config-vlan-group)# member vlan 10
删除Vlan聚合组的成员Vlan
Switch# configure terminal
Switch(config)# vlan-group vlan_group_1
Switch(config-vlan-group)# no member vlan 10
相关命令
无
12.9全局acl命令
12.9.1global-acl enable
命令功能
此命令用来使能global acl功能;
使用关键字no来去使能global acl功能。
命令语法
global-acl enable
no global-acl enable
命令模式
全局配置模式
默认配置
无
使用说明
该命令是系统保存重启后才能生效。
举例说明
下面举例如何使能global acl功能
Switch# configure terminal
Switch(config)# global-acl enable
相关命令
无
12.9.2service-policy global
命令功能
使用该命令应用global acl下的流策略;
使用no命令删除应用到global acl下的流策略
命令语法
service-policy global ( input | output ) NAME
no service-policy global ( input | output )
| 参数 |
参数说明 |
参数取值 |
| input |
入方向 |
- |
| output |
出方向 |
- |
| NAME |
流策略名 |
不超过40个字符的字符串 |
命令模式
全局配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何配置全局acl的流策略
Switch# configure terminal
Switch(config)# service-policy global input pmap
相关命令
无
12.9.3access-group global
命令功能
使用该命令应用global acl下的access group。
使用no命令删除应用到global acl下的access group。
命令语法
access-group global ( input | output ) NAME
no access-group global ( input | output )
| 参数 |
参数说明 |
参数取值 |
| input |
入方向 |
- |
| output |
出方向 |
- |
| NAME |
控制组名 |
不超过40个字符的字符串 |
命令模式
全局配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何配置全局acl的控制组名
Switch# configure terminal
Switch(config)# access-group global input aaa
相关命令
无
12.9.4show policy-map statistics global ace
命令功能
使用该命令显示global acl的ace统计计数
命令语法
show policy-map statistics global ( input | output ) ace ( class-based | ace-based ) ( class NAME | )
| 参数 |
参数说明 |
参数取值 |
| input |
入方向 |
- |
| output |
出方向 |
- |
| NAME |
具体流分类的名称 |
不超过40个字符的字符串 |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用该命令显示全局acl的统计
Switch # show policy-map statistics global input ace
相关命令
无
12.9.5show policy-map statistics global policer
命令功能
使用该命令显示global acl的policer统计计数
命令语法
show policy-map statistics global ( input | output ) policer ( class NAME | )
| 参数 |
参数说明 |
参数取值 |
| input |
入方向 |
- |
| output |
出方向 |
- |
| NAME |
具体流分类的名称 |
不超过40个字符的字符串 |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用该命令显示全局acl的policer统计
Switch# show policy-map statistics global input policer
相关命令
无
12.9.6clear policy-map statistics global ace
命令功能
使用该命令清除基于global acl的ace报文统计
命令语法
clear policy-map statistics global ( input | output ) ace
| 参数 |
参数说明 |
参数取值 |
| input |
入方向 |
- |
| output |
出方向 |
- |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用该命令清除基于全局acl的ace统计
Switch# clear policy-map statistics global input ace
相关命令
无
12.9.7clear policy-map statistics global policer
命令功能
使用该命令清除基于global acl的policer报文统计
命令语法
clear policy-map statistics global ( input | output ) policer
| 参数 |
参数说明 |
参数取值 |
| input |
入方向 |
- |
| output |
出方向 |
- |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用该命令清除基于全局acl的policer统计
Switch# clear policy-map statistics global input policer
相关命令
无
12.10MPLS ACL 命令
12.10.1mpls access-list
命令功能
此命令创建MPLS访问控制列表并进入访问控制列表配置模式。
使用关键字no删除指定的MPLS访问控制列表。
命令语法
mpls access-list ACL_NAME
no mpls access-list ACL_NAME
| 参数 |
参数说明 |
参数取值 |
| ACL_NAME |
MPLS访问控制列表名称 |
不超过40个字符的字符串 |
命令模式
全局配置模式
默认配置
无
使用说明
如果访问控制列表名称为一个已经存在的名称,则此命令表示进入MPLS访问控制列表配置模式;如果访问控制列表名称为新名称,则此命令表示创建此列表并进入MPLS访问控制列表配置模式;此处创建的访问控制列表配合match access-group命令使用,具体见相关章节。
举例说明
创建一个名为list_mpls_1的MPLS访问控制列表并进入配置模式
Switch# configure terminal
Switch(config)# mpls access-list list_mpls_1
Switch(config-mpls-acl)#
删除一个名为list_mpls_1的MPLS访问控制列表
Switch# configure terminal
Switch(config)# no mpls access-list list_mpls_1
相关命令
match access-group
12.10.2sequence-num
命令功能
使用此命令删除指定的控制规则。
命令语法
no sequence-num SEQUENCE_NUM
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
规则序号 |
1-131071 |
命令模式
MPLS访问列表配置模式
默认配置
无
使用说明
如果ACL所在的class-map、class-map所在的policy-map已经应用到端口,删除动作立即生效。
举例说明
MPLS访问列表配置模式下删除顺序号为10的规则
Switch# configure terminal
Switch(config)# mpls access-list list_mpls_1
Switch(config-mpls-acl)# no sequence-num 10
相关命令
deny
permit
12.10.3remark
命令功能
使用此命令给MPLS访问控制列表添加说明。
使用关键字no删除对访问控制列表的说明。
命令语法
remark REMARK
no remark
| 参数 |
参数说明 |
参数取值 |
| REMARK |
所添加的说明 |
不超过100个字符的字符串 |
命令模式
MPLS访问列表配置模式
默认配置
无
使用说明
所添加的说明最多可以有100个字符,超过的字符会被丢弃,不会被存储。
举例说明
为本列表添加说明“remark of list for mpls”
Switch# configure terminal
Switch(config)# mpls access-list list_mpls_1
Switch(config-mpls-acl)# remark remark of list for mpls
删除此列表说明
Switch# configure terminal
Switch(config)# mpls access-list list_mpls_1
Switch(config-mpls-acl)# no remark
相关命令
mpls access-list
12.10.4show access-list mpls
命令功能
使用此命令查看MPLS访问控制列表。
命令语法
show access-list mpls ( ACL_NAME | )
| 参数 |
参数说明 |
参数取值 |
| ACL_NAME |
MPLS访问控制列表名称 |
不超过40个字符的字符串 |
命令模式
特权模式
默认配置
无
使用说明
查看访问控制列表的内容。
举例说明
查看mpls访问控制列表
Switch# show access-list mpls
mpls access-list list_mpls_1
10 permit topmost-label 1 next-label 2
20 deny topmost-label any
相关命令
mpls access-list
12.10.5deny
命令功能
使用此命令拒绝符合规则的MPLS报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny topmost-label ( ( MPLS-LABEL ( mask MPLS-LABEL-MASK | ) | any ) ( exp EXP-VALUE | ) ( ttl TTL-VALUE | ) next-label | ) ( ( MPLS-LABEL ( mask MPLS-LABEL-MASK | ) | any ) ( exp EXP-VALUE | ) ( ttl TTL-VALUE | ) next-label | ) ( ( MPLS-LABEL ( mask MPLS-LABEL-MASK | ) | any ) ( exp EXP-VALUE | ) ( ttl TTL-VALUE | ) next-label | ) ( MPLS-LABEL ( mask MPLS-LABEL-MASK | ) | any ) ( exp EXP-VALUE | ) ( ttl TTL-VALUE | ) ( stack-bottom | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在MPLS访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| topmost-label |
配置topmost标签 |
- |
| next-label |
配置下一层标签 |
- |
| MPLS-LABEL |
MPLS标签 |
0-1048575 |
| MPLS-LABEL-MASK |
MPLS标签掩码 |
0-0xFFFFF |
| EXP-VALUE |
exp值 |
0-7 |
| TTL-VALUE |
ttl值 |
0-255 |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
命令模式
MPLS访问列表配置模式
默认配置
无
使用说明
如果顺序号为空,交换机会自动给此规则分配顺序号。而分配的顺序号是在现在存在的最大的顺序号的基础上有一个增量;如果现在的最大的顺序号是100,则分配的顺序号就为110(以10为增量)。
举例说明
添加规则拒绝任何MPLS报文通过
Switch# configure terminal
Switch(config)# mpls access-list list_mpls_1
Switch(config-mpls-acl)# 1 deny topmost-label any
添加规则拒绝第一层标签值为1,第二层标签值为2的MPLS报文通过
Switch# configure terminal
Switch(config)# mpls access-list list_mpls_1
Switch(config-mpls-acl)# 2 deny topmost-label 1 next-label 2
相关命令
no sequence-num
12.10.6permit
命令功能
使用此命令允许符合规则的MPLS报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny topmost-label ( ( MPLS-LABEL ( mask MPLS-LABEL-MASK | ) | any ) ( exp EXP-VALUE | ) ( ttl TTL-VALUE | ) next-label | ) ( ( MPLS-LABEL ( mask MPLS-LABEL-MASK | ) | any ) ( exp EXP-VALUE | ) ( ttl TTL-VALUE | ) next-label | ) ( ( MPLS-LABEL ( mask MPLS-LABEL-MASK | ) | any ) ( exp EXP-VALUE | ) ( ttl TTL-VALUE | ) next-label | ) ( MPLS-LABEL ( mask MPLS-LABEL-MASK | ) | any ) ( exp EXP-VALUE | ) ( ttl TTL-VALUE | ) ( stack-bottom | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在MPLS访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| topmost-label |
配置topmost标签 |
- |
| next-label |
配置下一层标签 |
- |
| MPLS-LABEL |
MPLS标签 |
0-1048575 |
| MPLS-LABEL-MASK |
MPLS标签掩码 |
0-0xFFFFF |
| EXP-VALUE |
exp值 |
0-7 |
| TTL-VALUE |
ttl值 |
0-255 |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
命令模式
MPLS访问列表配置模式
默认配置
无
使用说明
如果顺序号为空,交换机会自动给此规则分配顺序号。而分配的顺序号是在现在存在的最大的顺序号的基础上有一个增量;如果现在的最大的顺序号是100,则分配的顺序号就为110(以10为增量)。
举例说明
添加规则允许任何MPLS报文通过
Switch# configure terminal
Switch(config)# mpls access-list list_mpls_1
Switch(config-mpls-acl)# 1 permit topmost-label any
添加规则允许第一层标签值为1,第二层标签值为2的MPLS报文通过
Switch# configure terminal
Switch(config)# mpls access-list list_mpls_1
Switch(config-mpls-acl)# 2 permit topmost-label 1 next-label 2
相关命令
no sequence-num
12.10.7description
命令功能
使用此命令给访问控制列表的规则添加说明。
使用关键字no删除对访问控制列表规则的说明。
命令语法
SEQUENCE_NUM description LINE
no sequence-num SEQUENCE_NUM description
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在访问控制列表中的顺序。 |
1-131071 |
| LINE |
所添加的说明 |
不超过127个字符的字符串 |
命令模式
MPLS访问列表配置模式
默认配置
无
使用说明
所添加的说明最多可以有127个字符,超过的字符会被丢弃,不会被存储。
举例说明
为访问控制列表中的某个规格添加说明。
Switch# configure terminal
Switch(config)# mpls access-list list_mpls_1
Switch(config-mpls-acl)# 10 permit topmost-label 1 next-label 2
Switch(config-mpls-acl)# 10 description permit topmost-label 1 next-label 2
删除访问控制列表中某个规则的说明
Switch# configure terminal
Switch(config)# mpls access-list list_mpls_1
Switch(config-mpls-acl)# no sequence-num 10 description
相关命令
mpls access-list
12.11Extend MPLS ACL 命令
12.11.1mpls access-list extend
命令功能
此命令创建扩展MPLS访问控制列表并进入访问控制列表配置模式。
使用关键字no删除指定的扩展MPLS访问控制列表。
命令语法
mpls access-list ACL_NAME extend
no mpls access-list ACL_NAME extend
| 参数 |
参数说明 |
参数取值 |
| ACL_NAME |
扩展的MPLS访问控制列表名称 |
不超过40个字符的字符串 |
命令模式
全局配置模式
默认配置
无
使用说明
如果访问控制列表名称为一个已经存在的名称,则此命令表示进入扩展MPLS访问控制列表配置模式;如果访问控制列表名称为新名称,则此命令表示创建此列表并进入扩展MPLS访问控制列表配置模式;此处创建的访问控制列表配合match access-group命令使用,具体见相关章节。
举例说明
创建一个名为list_ex_mpls_1的扩展MPLS访问控制列表并进入配置模式:
Switch# configure terminal
Switch(config)# mpls access-list list_ex_mpls_1 extend
Switch(config-ex-mpls-acl)#
删除一个名为list_mpls_1的MPLS访问控制列表:
Switch# configure terminal
Switch(config)# no mpls access-list list_ex_mpls_1 extend
相关命令
match access-group
12.11.2sequence-num
命令功能
使用此命令删除指定的控制规则。
命令语法
no sequence-num SEQUENCE_NUM
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
规则序号 |
范围 1-131071 |
命令模式
扩展MPLS访问列表配置模式
默认配置
无
使用说明
如果ACL所在的class-map、class-map所在的policy-map已经应用到端口,删除动作立即生效。
举例说明
扩展MPLS访问列表配置模式下删除顺序号为10的规则
Switch# configure terminal
Switch(config)# mpls access-list list_ex_mpls_1 extend
Switch(config-ex-mpls-acl)# no sequence-num 10
相关命令
deny
permit
12.11.3remark
命令功能
使用此命令给扩展MPLS访问控制列表添加说明。
使用关键字no删除对访问控制列表的说明。
命令语法
remark REMARK
no remark
| 参数 |
参数说明 |
参数取值 |
| REMARK |
所添加的说明 |
不超过100个字符的字符串 |
命令模式
扩展MPLS访问列表配置模式
默认配置
无
使用说明
所添加的说明最多可以有100个字符,超过的字符会被丢弃,不会被存储。
举例说明
为本列表添加说明“remark of list for mpls”
Switch# configure terminal
Switch(config)# mpls access-list list_ex_mpls_1 extend
Switch(config-ex-mpls-acl)# remark remark of List for mpls
删除此列表说明
Switch# configure terminal
Switch(config)# mpls access-list list_ex_mpls_1 extend
Switch(config-ex-mpls-acl)# no remark
相关命令
mpls access-list
12.11.4deny src-mac
命令功能
使用此命令拒绝符合规则的MPLS报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny src-mac ( any | MAC_ADDR MAC_ADDR_MASK | host MAC_ADDR ) ( dest-mac ( any | MAC_ADDR MAC_ADDR_MASK | host MAC_ADDR ) | ) ( vlan VLAN_ID | ) ( cos COS | ) ( inner-vlan INNER_VLAN_ID | ) ( inner-cos INNER_COS | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在扩展的MPLS访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| any |
任何主机 |
- |
| MAC_ADDR MAC_ADDR_MASK |
某一类主机 |
MAC地址和掩码 |
| host MAC_ADDR |
某一台主机 |
MAC地址 |
| dest-mac |
目的MAC地址 |
MAC地址和掩码 |
| VLAN_ID |
VLAN-ID |
1-4094 |
| COS |
CoS |
0-7 |
| INNER_VLAN_ID |
内层VLAN-ID |
1-4094 |
| INNER_COS |
内层CoS |
0-7 |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
命令模式
扩展MPLS访问列表配置模式
默认配置
无
使用说明
如果顺序号为空,交换机会自动给此规则分配顺序号。而分配的顺序号是在现在存在的最大的顺序号的基础上有一个增量;如果现在的最大的顺序号是100,则分配的顺序号就为110(以10为增量)。
举例说明
添加规则:拒绝源MAC地址为001A.A02C.A1DF的报文通过
Switch# configure terminal
Switch(config)# mpls access-list list_ex_mpls_1 extend
Switch(config-ex-mpls-acl)# 1 deny src-mac host 001A.A02C.A1DF
添加规则:拒绝任何报文通过
Switch# configure terminal
Switch(config)# mpls access-list list_ex_mpls_1 extend
Switch(config-ex-mpls-acl)# 2 deny src-mac any
规则:拒绝源MAC地址为某一范围内的报文通过
Switch# configure terminal
Switch(config)# mpls access-list list_ex_mpls_1 extend
Switch(config-ex-mpls-acl)# 3 deny src-mac 001A.A02C.A1DF 001A.A02C.0000
相关命令
no sequence-num
12.11.5permit src-mac
命令功能
使用此命令允许符合规则的MPLS报文通过端口。
命令语法
( SEQUENCE_NUM | ) permit src-mac ( any | MAC_ADDR MAC_ADDR_MASK | host MAC_ADDR ) ( dest-mac ( any | MAC_ADDR MAC_ADDR_MASK | host MAC_ADDR ) | ) ( vlan VLAN_ID | ) ( cos VALUE | ) ( inner-vlan INNER_VLAN_ID | ) ( inner-cos INNER_COS | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在扩展的MPLS访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| any |
任何主机 |
- |
| MAC_ADDR MAC_ADDR_MASK |
某一类主机 |
MAC地址和掩码 |
| host MAC_ADDR |
某一台主机 |
MAC地址 |
| dest-mac |
目的MAC地址 |
MAC地址和掩码 |
| VLAN_ID |
VLAN-ID |
1-4094 |
| COS |
CoS |
0-7 |
| INNER_VLAN_ID |
内层VLAN-ID |
1-4094 |
| INNER_COS |
内层CoS |
0-7 |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
命令模式
扩展MPLS访问列表配置模式
默认配置
无
使用说明
如果顺序号为空,交换机会自动给此规则分配顺序号。而分配的顺序号是在现在存在的最大的顺序号的基础上有一个增量;如果现在的最大的顺序号是100,则分配的顺序号就为110(以10为增量)。
举例说明
添加规则允许源mac地址为001A.A02C.A1DF的报文通过
Switch# configure terminal
Switch(config)# mpls access-list list_ex_mpls_1 extend
Switch(config-ex-mpls-ac)# 1 permit src-mac host 001A.A02C.A1DF
添加规则允许任何报文通过
Switch# configure terminal
Switch(config)# mpls access-list list_ex_mpls_1 extend
Switch(config-ex-mpls-ac)# 2 permit src-mac any
添加规则允许源mac地址为某一范围内的报文通过
Switch# configure terminal
Switch(config)# mpls access-list list_ex_mpls_1 extend
Switch(config-ex-mpls-acl)# 3 permit src-mac 001A.A02C.A1DF 001A.A02C.0000
相关命令
no sequence-num
12.11.6deny
命令功能
使用此命令拒绝符合规则的MPLS报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny topmost-label ( ( MPLS-LABEL ( mask MPLS-LABEL-MASK | ) | any ) ( exp EXP-VALUE | ) ( ttl TTL-VALUE | ) next-label | ) ( ( MPLS-LABEL ( mask MPLS-LABEL-MASK | ) | any ) ( exp EXP-VALUE | ) ( ttl TTL-VALUE | ) next-label | ) ( ( MPLS-LABEL ( mask MPLS-LABEL-MASK | ) | any ) ( exp EXP-VALUE | ) ( ttl TTL-VALUE | ) next-label | ) ( MPLS-LABEL ( mask MPLS-LABEL-MASK | ) | any ) ( exp EXP-VALUE | ) ( ttl TTL-VALUE | ) ( stack-bottom | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在扩展的MPLS访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| topmost-label |
配置topmost标签 |
- |
| next-label |
配置下一层标签 |
- |
| MPLS-LABEL |
MPLS标签 |
0-1048575 |
| MPLS-LABEL-MASK |
MPLS标签掩码 |
0-0xFFFFF |
| EXP-VALUE |
exp值 |
0-7 |
| TTL-VALUE |
ttl值 |
0-255 |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
命令模式
扩展MPLS访问列表配置模式
默认配置
无
使用说明
如果顺序号为空,交换机会自动给此规则分配顺序号。而分配的顺序号是在现在存在的最大的顺序号的基础上有一个增量;如果现在的最大的顺序号是100,则分配的顺序号就为110(以10为增量)。
举例说明
添加规则拒绝任何MPLS报文通过
Switch# configure terminal
Switch(config)# mpls access-list list_ex_mpls_1 extend
Switch(config-ex-mpls-acl)# 1 deny topmost-label any
添加规则拒绝第一层标签值为1,第二层标签值为2的MPLS报文通过
Switch# configure terminal
Switch(config)# mpls access-list list_ex_mpls_1 extend
Switch(config-ex-mpls-acl)# 2 deny topmost-label 1 next-label 2
相关命令
no sequence-num
12.11.7permit
命令功能
使用此命令允许符合规则的MPLS报文通过端口。
命令语法
( SEQUENCE_NUM | ) deny topmost-label ( ( MPLS-LABEL ( mask MPLS-LABEL-MASK | ) | any ) ( exp EXP-VALUE | ) ( ttl TTL-VALUE | ) next-label | ) ( ( MPLS-LABEL ( mask MPLS-LABEL-MASK | ) | any ) ( exp EXP-VALUE | ) ( ttl TTL-VALUE | ) next-label | ) ( ( MPLS-LABEL ( mask MPLS-LABEL-MASK | ) | any ) ( exp EXP-VALUE | ) ( ttl TTL-VALUE | ) next-label | ) ( MPLS-LABEL ( mask MPLS-LABEL-MASK | ) | any ) ( exp EXP-VALUE | ) ( ttl TTL-VALUE | ) ( stack-bottom | ) ( time-range TIME-RANGE-NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在扩展的MPLS访问控制列表中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| topmost-label |
配置topmost标签 |
- |
| next-label |
配置下一层标签 |
- |
| MPLS-LABEL |
MPLS标签 |
0-1048575 |
| MPLS-LABEL-MASK |
MPLS标签掩码 |
0-0xFFFFF |
| EXP-VALUE |
exp值 |
0-7 |
| TTL-VALUE |
ttl值 |
0-255 |
| TIME-RANGE-NAME |
应用此选项可以产生基于时间的访问控制列表,详见相关章节 |
不超过40个字符的字符串 |
命令模式
扩展MPLS访问列表配置模式
默认配置
无
使用说明
如果顺序号为空,交换机会自动给此规则分配顺序号。而分配的顺序号是在现在存在的最大的顺序号的基础上有一个增量;如果现在的最大的顺序号是100,则分配的顺序号就为110(以10为增量)。
举例说明
添加规则允许任何MPLS报文通过
Switch# configure terminal
Switch(config)# mpls access-list list_ex_mpls_1 extend
Switch(config-ex-mpls-acl)# 1 permit topmost-label any
添加规则允许第一层标签值为1,第二层标签值为2的MPLS报文通过
Switch# configure terminal
Switch(config)# mpls access-list list_ex_mpls_1 extend
Switch(config-ex-mpls-acl)# 2 permit topmost-label 1 next-label 2
相关命令
no sequence-num
12.11.8show access-list mpls extend
命令功能
使用此命令查看扩展MPLS访问控制列表。
命令语法
show access-list mpls ( ACL_NAME extend | )
| 参数 |
参数说明 |
参数取值 |
| ACL_NAME |
MPLS访问控制列表名称 |
不超过40个字符的字符串 |
命令模式
特权模式
默认配置
无
使用说明
查看访问控制列表的内容。
举例说明
查看mpls访问控制列表
Switch# show access-list mpls
mpls access-list list_ex_mpls_1 extend
10 permit topmost-label 1 next-label 2
20 deny topmost-label any
相关命令
mpls access-list extend
12.11.9description
命令功能
使用此命令给访问控制列表的规则添加说明。
使用关键字no删除对访问控制列表规则的说明。
命令语法
SEQUENCE_NUM description LINE
no sequence-num SEQUENCE_NUM description
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在访问控制列表中的顺序。 |
1-131071 |
| LINE |
所添加的说明 |
不超过127个字符的字符串 |
命令模式
扩展MPLS访问列表配置模式
默认配置
无
使用说明
所添加的说明最多可以有127个字符,超过的字符会被丢弃,不会被存储。
举例说明
为访问控制列表中的某个规格添加说明。
Switch# configure terminal
Switch(config)# mpls access-list list_ex_mpls_1 extend
Switch(config-ex-mpls-acl)# 10 permit topmost-label 1 next-label 2
Switch(config-ex-mpls-acl)# 10 description permit topmost-label 1 next-label 2
删除访问控制列表中某个规则的说明
Switch(config)# mpls access-list list_ex_mpls_1 extend
Switch(config-ex-mpls-acl)# no sequence-num 10 description
相关命令
mpls access-list extend
12.12控制面板策略命令
12.12.1control-plane access-list
命令功能
此命令创建Control-plane 控制面板策略并进入控制面板策略模式
使用关键字no 删除指定的Control-plane 控制面板策略
命令语法
control-plane access-list NAME
no control-plane access-list NAME
| 参数 |
参数说明 |
参数取值 |
| NAME |
Control-plane 控制面板策略名称 |
不超过40个字符的字符串 |
命令模式
全局配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何创建Control-plane 控制面板策略并进入控制面板策略模式.
Switch # configure terminal
Switch (config)# control-plane access-list test
Switch (config-cp-acl)# quit
相关命令
match access-group
12.12.2(deny|permit) exception any
命令功能
使用permit命令允许上送到cpu的任何类型的报文通过
使用deny命令过滤掉上送cpu的任何类型的报文
命令语法
( SEQUENCE_NUM | ) ( deny | permit ) exception any ( time-range TIME_RANGE_NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在CoPP控制面板策略中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| TIME_RANGE_NAME |
应用此选项可以产生基于时间的控制面板策略,详见相关章节 |
不超过40个字符的字符串 |
命令模式
控制平面ACL配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用deny命令过滤掉上送cpu的任何类型的报文.
Switch# configure terminal
Switch (config)# control-plane access-list test
Switch (config-cp-acl)#deny exception any
Switch (config-cp-acl)#
相关命令
Control-plane access-list
12.12.3(deny|permit) exception ipda
命令功能
使用permit命令允许上送到cpu的ipda类型的报文通过
使用deny命令过滤掉上送cpu的ipda类型的报文
命令语法
( SEQUENCE_NUM | ) deny | permit exception ipda ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception ipda ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv4 ) ( <0-255> | any ) ( IP_ADDR IP_MASK | any | host IP_ADDR ) ( any ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception ipda ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv4 ) ( icmp ) ( IP_ADDR IP_MASK | any | host IP_ADDR ) ( any ) ( icmp-type ICMP_TYPE ( icmp-code ICMP_CODE | ) | ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception ipda ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv4 ) ( udp ) ( IP_ADDR IP_MASK | any | host IP_ADDR ) ( any ) ( src-port ( eq L4_PORT ) | ) ( dst-port ( eq L4_PORT ) | ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception ipda ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv4 ) ( gre ) ( IP_ADDR IP_MASK | any | host IP_ADDR ) ( any ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception ipda ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv6 ) ( <0-255> | any ) ( any ) ( any ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception ipda ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv6 ) ( udp ) ( any ) ( any ) ( src-port ( eq L4_PORT ) | ) ( dst-port ( eq L4_PORT ) | ) ( time-range NAME | )
( SEQUENCE_NUM | ) ( deny | permit ) exception ipda ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv6 ) ( gre ) ( any ) ( any ) ( time-range NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在CoPP控制面板策略中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| VLAN_ID |
VLAN ID |
1-4094 |
| COS |
cos范围为0-7 |
0-7 |
| any |
任意源Ip地址 |
- |
| host IP_ADDR |
具体的某个源Ip地址 |
IPv4地址 |
| eq |
等于某一个端口号 |
- |
| ICMP_TYPE |
Icmp type字段 |
0-255 |
命令模式
控制平面ACL配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用deny命令过滤掉上送cpu的ipda类型的报文.
Switch# configure terminal
Switch (config)# control-plane access-list test
Switch (config-cp-acl)#deny exception ipda
Switch (config-cp-acl)#
相关命令
Control-plane access-list
12.12.4(deny|permit) exception fwd-to-cpu
命令功能
使用permit命令允许上送到cpu的fwd-to-cpu类型的报文通过
使用deny命令过滤掉上送cpu的fwd-to-cpu类型的报文
命令语法
( SEQUENCE_NUM | ) deny | permit exception fwd-to-cpu ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception fwd-to-cpu ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv4 ) ( <0-255> | any ) ( IP_ADDR IP_MASK | any | host IP_ADDR ) ( any ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception fwd-to-cpu ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv4 ) ( icmp ) ( IP_ADDR IP_MASK | any | host IP_ADDR ) ( any ) ( icmp-type ICMP_TYPE ( icmp-code ICMP_CODE | ) | ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception fwd-to-cpu ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv4 ) ( tcp ) ( IP_ADDR IP_MASK | any | host IP_ADDR ) ( any ) ( src-port ( eq L4_PORT ) | ) ( dst-port ( eq L4_PORT ) | ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception fwd-to-cpu ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv4 ) ( udp ) ( IP_ADDR IP_MASK | any | host IP_ADDR ) ( any ) ( src-port ( eq L4_PORT ) | ) ( dst-port ( eq L4_PORT ) | ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception fwd-to-cpu ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv4 ) ( gre ) ( IP_ADDR IP_MASK | any | host IP_ADDR ) ( any ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception fwd-to-cpu ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv6 ) ( <0-255> | any ) ( any ) ( any ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception fwd-to-cpu ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv6 ) ( icmp ) ( any ) ( any ) ( icmp-type ICMP_TYPE ( icmp-code ICMP_CODE | ) | ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception fwd-to-cpu ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv6 ) ( tcp ) ( any ) ( any ) ( src-port ( eq L4_PORT ) | ) ( dst-port ( eq L4_PORT ) | ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception fwd-to-cpu ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv6 ) ( udp ) ( any ) ( any ) ( src-port ( eq L4_PORT ) | ) ( dst-port ( eq L4_PORT ) | ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception fwd-to-cpu ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv6 ) ( gre ) ( any ) ( any ) ( time-range NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在CoPP控制面板策略中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| VLAN_ID |
VLAN ID范围为1-4094 |
1-4094 |
| COS |
cos范围为0-7 |
0-7 |
| IP_ADDR IP_MASK |
源Ip地址为某一个网段 |
IPv4地址和掩码 |
| any |
任意源Ip地址 |
- |
| host IP_ADDR |
具体的某个源Ip地址 |
IPv4地址 |
| eq |
等于某一个端口号 |
- |
| ICMP_TYPE |
ICMP 类型 |
0-255 |
| ICMP_CODE |
icmp-code范围为0-255 |
0-255 |
命令模式
控制平面ACL配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用deny命令过滤掉上送cpu的fwd-to-cpu类型的报文.
Switch# configure terminal
Switch (config)# control-plane access-list test
Switch (config-cp-acl)#deny exception fwd-to-cpu
Switch (config-cp-acl)#
相关命令
Control-plane access-list
12.12.5(deny|permit) exception slow-protocol
命令功能
使用permit命令允许上送到cpu的slow-protocol类型的报文通过
使用deny命令过滤掉上送cpu的slow-protocol类型的报文
命令语法
( SEQUENCE_NUM | ) deny | permit exception slow-protocol ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception slow-protocol ( sub-type TYPE ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception slow-protocol ( efm | lacp | synce ) ( time-range NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在CoPP控制面板策略中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| TYPE |
sub-type字段范围为0-255 |
0-255 |
| efm |
slow-protocol efm类型的报文 |
- |
| lacp |
slow-protocol lacp类型的报文 |
- |
| synce |
slow-protocol synce类型的报文 |
- |
命令模式
控制平面ACL配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用deny命令过滤掉上送cpu的slow-protocol类型的报文.
Switch# configure terminal
Switch (config)# control-plane access-list test
Switch (config-cp-acl)#deny exception slow-protocol
Switch (config-cp-acl)#
相关命令
Control-plane access-list
12.12.6(deny|permit) exception dhcp
命令功能
使用permit命令允许上送到cpu的dhcp类型的报文通过
使用deny命令过滤掉上送cpu的dhcp类型的报文
命令语法
( SEQUENCE_NUM | ) deny | permit exception dhcp ( time-range NAME | ) ( SEQUENCE_NUM | ) deny | permit exception dhcp ( dhcp ) ( IP_ADDR IP_MASK | any | host IP_ADDR ) ( any ) ( client | server | ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception dhcp ( dhcpv6 ) ( any ) ( any ) ( reply | request | ) ( time-range NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在CoPP控制面板策略中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| IP_ADDR IP_MASK |
源Ip地址为某一个网段的dhcp报文 |
IPv4地址和掩码 |
| any |
任何源Ip地址的dhcp报文 |
- |
| host IP_ADDR |
某一固定源Ip地址的dhcp报文 |
IPv4地址 |
| client |
dhcp client 报文 |
- |
| server |
dhcp server 报文 |
- |
| request |
dhcp request 报文 |
- |
| reply |
dhcp reply报文 |
- |
命令模式
控制平面ACL配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用deny命令过滤掉上送cpu的dhcp类型的报文.
Switch# configure terminal
Switch (config)# control-plane access-list test
Switch (config-cp-acl)#deny exception dhcp dhcp any any
Switch (config-cp-acl)#
相关命令
Control-plane access-list
12.12.7(deny|permit) exception rip
命令功能
使用permit命令允许上送到cpu的rip类型的报文通过
使用deny命令过滤掉上送cpu的rip类型的报文
命令语法
( SEQUENCE_NUM | ) deny | permit exception rip ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception rip ( rip ) ( IP_ADDR IP_MASK | any | host IP_ADDR ) ( any ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception rip ( ripng ) ( any ) ( any ) ( time-range NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在CoPP控制面板策略中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| IP_ADDR IP_MASK |
源Ip地址为某一个网段的rip报文 |
IPv4地址和掩码 |
| any |
任何源Ip地址的rip报文 |
- |
| host IP_ADDR |
某一固定源Ip地址的rip报文 |
IPv4地址 |
命令模式
控制平面ACL配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用deny命令过滤掉上送cpu的rip类型的报文.
Switch# configure terminal
Switch (config)# control-plane access-list test
Switch (config-cp-acl)#deny exception rip rip any any
Switch (config-cp-acl)#
相关命令
Control-plane access-list
12.12.8(deny|permit) exception ospf
命令功能
使用permit命令允许上送到cpu的ospf类型的报文通过
使用deny命令过滤掉上送cpu的ospf类型的报文
命令语法
( SEQUENCE_NUM | ) deny | permit exception ospf ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception ospf ( ospfv2 ) ( IP_ADDR IP_MASK | any | host IP_ADDR ) ( any ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception ospf ( ospfv3 ) ( any ) ( any ) ( time-range NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在CoPP控制面板策略中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| IP_ADDR IP_MASK |
源Ip地址为某一个网段的ospf报文 |
IPv4地址和掩码 |
| any |
任何源Ip地址的ospf报文 |
- |
| host IP_ADDR |
固定源Ip地址的ospf报文 |
IPv4地址 |
| ospfv2 |
ospfv2 类型的报文 |
- |
| ospfv3 |
ospfv3 类型的报文 |
- |
命令模式
控制平面ACL配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用deny命令过滤掉上送cpu的ospf类型的报文.
Switch# configure terminal
Switch (config)# control-plane access-list test
Switch (config-cp-acl)#deny exception ospf ospfv2 any any
Switch (config-cp-acl)#
相关命令
Control-plane access-list
12.12.9(deny|permit) exception pim
命令功能
使用permit命令允许上送到cpu的pim类型的报文通过
使用deny命令过滤掉上送cpu的pim类型的报文
命令语法
( SEQUENCE_NUM | ) deny | permit exception pim ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception pim ( pim ) ( IP_ADDR IP_MASK | any | host IP_ADDR ) ( any ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception pim ( pimv6 ) ( any ) ( any ) ( time-range NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在CoPP控制面板策略中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| IP_ADDR IP_MASK |
源Ip地址为某一个网段的pim报文 |
IPv4地址和掩码 |
| any |
任何源Ip地址的pim报文 |
- |
| host IP_ADDR |
某一固定源Ip地址的pim报文 |
IPv4地址 |
| pimv6 |
pimv6 类型的报文 |
- |
命令模式
控制平面ACL配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用deny命令过滤掉上送cpu的pim类型的报文.
Switch# configure terminal
Switch (config)# control-plane access-list test
Switch (config-cp-acl)#deny exception pim pim any any
Switch (config-cp-acl)#
相关命令
Control-plane access-list
12.12.10(deny|permit) exception bgp
命令功能
使用permit命令允许上送到cpu的bgp类型的报文通过
使用deny命令过滤掉上送cpu的bgp类型的报文
命令语法
( SEQUENCE_NUM | ) deny | permit exception bgp ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception bgp ( bgp ) ( IP_ADDR IP_MASK | any | host IP_ADDR ) ( any ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception bgp ( bgp4plus ) ( any ) ( any ) ( time-range NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在CoPP控制面板策略中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| IP_ADDR IP_MASK |
源Ip地址为某一个网段的bgp报文 |
IPv4地址和掩码 |
| any |
任何源Ip地址的bgp报文 |
- |
| host IP_ADDR |
某一固定源Ip地址的bgp报文 |
IPv4地址 |
| bgp4plus |
bgp4plus类型的报文 |
- |
命令模式
控制平面ACL配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用deny命令过滤掉上送cpu的bgp类型的报文.
Switch# configure terminal
Switch (config)# control-plane access-list test
Switch (config-cp-acl)#deny exception bgp bgp any any
Switch (config-cp-acl)#
相关命令
Control-plane access-list
12.12.11(deny|permit) exception vrrp
命令功能
使用permit命令允许上送到cpu的vrrp类型的报文通过
使用deny命令过滤掉上送cpu的vrrp类型的报文
命令语法
( SEQUENCE_NUM | ) deny | permit exception vrrp ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception vrrp ( vrrp ) ( IP_ADDR IP_MASK | any | host IP_ADDR ) ( any ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception vrrp ( vrrpv6 ) ( any ) ( any ) ( time-range NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在CoPP控制面板策略中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| IP_ADDR IP_MASK |
源Ip地址为某一个网段的vrrp报文 |
IPv4地址和掩码 |
| any |
任何源Ip地址的vrrp报文 |
- |
| host IP_ADDR |
某一固定源Ip地址的vrrp报文 |
IPv4地址 |
| vrrpv6 |
vrrpv6类型的报文 |
- |
命令模式
控制平面ACL配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用deny命令过滤掉上送cpu的vrrp类型的报文.
Switch# configure terminal
Switch (config)# control-plane access-list test
Switch (config-cp-acl)#deny exception vrrp vrrp any any
Switch (config-cp-acl)#
相关命令
Control-plane access-list
12.12.12(deny|permit) exception ssh
命令功能
使用permit命令允许上送到cpu的ssh类型的报文通过
使用deny命令过滤掉上送cpu的ssh类型的报文
命令语法
( SEQUENCE_NUM | ) deny | permit exception ssh ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception ssh ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv4 ) ( tcp ) ( IP_ADDR IP_MASK | any | host IP_ADDR ) ( any ) ( src-port ( eq L4_PORT ) | ) ( time-range NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在CoPP控制面板策略中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| IP_ADDR IP_MASK |
源Ip地址为某一个网段 |
IPv4地址和掩码 |
| any |
任何源Ip地址的报文 |
- |
| host IP_ADDR |
某一固定源Ip地址的报文 |
IPv4地址 |
命令模式
控制平面ACL配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用deny命令过滤掉上送cpu的ssh类型的报文.
Switch# configure terminal
Switch (config)# control-plane access-list test
Switch (config-cp-acl)#deny exception ssh
Switch (config-cp-acl)#
相关命令
Control-plane access-list
12.12.13(deny|permit) exception telnet
命令功能
使用permit命令允许上送到cpu的telnet类型的报文通过
使用deny命令过滤掉上送cpu的telnet类型的报文
命令语法
( SEQUENCE_NUM | ) deny | permit exception telnet ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception telnet ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv4 ) ( tcp ) ( IP_ADDR IP_MASK | any | host IP_ADDR ) ( any ) ( src-port ( eq L4_PORT ) | ) ( time-range NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在CoPP控制面板策略中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| IP_ADDR IP_MASK |
源Ip地址为某一个网段 |
IPv4地址和掩码 |
| any |
任何源Ip地址的报文 |
- |
| host IP_ADDR |
某一固定源Ip地址的报文 |
IPv4地址 |
命令模式
控制平面ACL配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用deny命令过滤掉上送cpu的telnet类型的报文.
Switch# configure terminal
Switch (config)# control-plane access-list test
Switch (config-cp-acl)#deny exception telnet
Switch (config-cp-acl)#
相关命令
Control-plane access-list
12.12.14(deny|permit) exception tcp
命令功能
使用permit命令允许上送到cpu的tcp类型的报文通过
使用deny命令过滤掉上送cpu的tcp类型的报文
命令语法
( SEQUENCE_NUM | ) deny | permit exception tcp ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception tcp ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv4 ) ( tcp ) ( IP_ADDR IP_MASK | any | host IP_ADDR ) ( any ) ( src-port ( eq L4_PORT ) | ) ( dst-port ( eq L4_PORT ) | ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception tcp ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv6 ) ( tcp ) ( any ) ( any ) ( src-port ( eq L4_PORT ) | ) ( dst-port ( eq L4_PORT ) | ) ( time-range NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在CoPP控制面板策略中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| IP_ADDR IP_MASK |
源Ip地址为某一个网段 |
IPv4地址和掩码 |
| any |
任何源Ip地址的报文 |
- |
| host IP_ADDR |
某一固定源Ip地址的报文 |
IPv4地址 |
命令模式
控制平面ACL配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用deny命令过滤掉上送cpu的tcp类型的报文.
Switch# configure terminal
Switch (config)# control-plane access-list test
Switch (config-cp-acl)#deny exception tcp
Switch (config-cp-acl)#
相关命令
Control-plane access-list
12.12.15(deny|permit) exception mlag
命令功能
使用permit命令允许上送到cpu的mlag类型的报文通过
使用deny命令过滤掉上送cpu的mlag类型的报文
命令语法
( SEQUENCE_NUM | ) deny | permit exception mlag ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception mlag ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv4 ) ( tcp ) ( IP_ADDR IP_MASK | any | host IP_ADDR ) ( any ) ( src-port ( eq L4_PORT ) | ) ( time-range NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在CoPP控制面板策略中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| IP_ADDR IP_MASK |
源Ip地址为某一个网段 |
IPv4地址和掩码 |
| any |
任何源Ip地址的报文 |
- |
| host IP_ADDR |
某一固定源Ip地址的报文 |
IPv4地址 |
命令模式
控制平面配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用deny命令过滤掉上送cpu的mlag类型的报文.
Switch# configure terminal
Switch (config)# control-plane access-list test
Switch (config-cp-acl)#deny exception mlag
Switch (config-cp-acl)#
相关命令
Control-plane access-list
12.12.16(deny|permit) exception arp
命令功能
使用permit命令允许上送到cpu的arp类型的报文通过
使用deny命令过滤掉上送cpu的arp类型的报文
命令语法
( SEQUENCE_NUM | ) deny | permit exception arp ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( arp-op-code ARP_OP_CODE | ) ( sender-ip ( IP_ADDR IP_MASK | any | host IP_ADDR ) | ) ( target-ip ( IP_ADDR IP_MASK | any | host IP_ADDR ) | ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception arp ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( garp ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception arp ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( arp-reply | arp-request ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception arp ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( rarp-reply | rarp-request ) ( time-range NAME | )
| 参数 |
参数说明 |
参数取值 |
| IP_ADDR IP_MASK |
源Ip地址为某一网段的arp报文 |
IPv4地址和掩码 |
| any |
任何源Ip地址的arp报文 |
- |
| host IP_ADDR |
某一固定源Ip地址的arp报文 |
IPv4地址 |
| VLAN_ID |
VlAN ID 为1-4094 |
1-4094 |
| COS |
cos范围为0-7 |
0-7 |
| ARP_OP_CODE |
Arp code字段范围为0-65535 |
0-65535 |
| arp-request |
Arp request报文 |
- |
| arp-reply |
Arp reply 报文 |
- |
| rarp-request |
Rarp request 报文 |
- |
| rarp-reply |
Rarp reply 报文 |
- |
命令模式
控制平面ACL配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用deny命令过滤掉上送cpu的arp类型的报文.
Switch# configure terminal
Switch (config)# control-plane access-list test
Switch (config-cp-acl)#deny exception arp arp-op-code 1 any
Switch (config-cp-acl)#
相关命令
Control-plane access-list
12.12.17(deny|permit) exception igmp
命令功能
使用permit命令允许上送到cpu的igmp类型的报文通过
使用deny命令过滤掉上送cpu的igmp类型的报文
命令语法
( SEQUENCE_NUM | ) ( deny | permit ) exception igmp ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( igmp ) ( IP_ADDR IP_MASK | any | host IP_ADDR ) ( any ) ( dvmrp | host-query | host-report | mtrace | mtrace-response | pim | precedence | trace | v2-leave | v2-report | v3-report | ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception igmp ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( igmp ) ( IP_ADDR IP_MASK | any | host IP_ADDR ) ( any ) ( igmp-type IGMP_TYPE ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception igmp ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( mld ) ( any ) ( any ) ( mld-query | mld-report | mld-done | mldv2-report | ) ( time-range NAME | )
| 参数 |
参数说明 |
参数取值 |
| IP_ADDR IP_MASK |
源Ip地址为某一网段下的Igmp报文 |
IPv4地址和掩码 |
| any |
任何源Ip地址的Igmp报文 |
- |
| host IP_ADDR |
某一固定源Ip地址的Igmp报文 |
IPv4地址 |
| VLAN_ID |
VLAN ID为1-4094 |
1-4094 |
| COS |
cos范围为0-7 |
0-7 |
| IGMP_TYPE |
Igmp type字段为0-255 |
0-255 |
| dvmrp |
dvmrp类型的报文 |
- |
| host-query |
host-query类型的报文 |
- |
| host-report |
host-report类型的报文 |
- |
| mtrace |
mtrace类型的报文 |
- |
| mtrace-response |
mtrace-response类型的报文 |
- |
| pim |
pim类型的报文 |
- |
| trace |
trace类型的报文 |
- |
| v2-leave |
v2-leave类型的报文 |
- |
| v2-report |
v2-report类型的报文 |
- |
| v3-report |
v3-report类型的报文 |
- |
| mld-query |
Multicast Listener Query(130) |
- |
| mld-report |
Multicast Listener Report(131) |
- |
| mld-done |
Multicast Listener Done(132) |
- |
| mldv2-report |
MLDv2 Multicast Listener Report(143) |
- |
命令模式
控制平面ACL配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用deny命令过滤掉上送cpu的igmp类型的报文.
Switch# configure terminal
Switch (config)# control-plane access-list test
Switch (config-cp-acl)#deny exception igmp igmp any any
Switch (config-cp-acl)#
相关命令
Control-plane access-list
12.12.18(deny|permit) exception icmpv6
命令功能
使用permit命令允许上送到cpu的icmpv6类型的报文通过
使用deny命令过滤掉上送cpu的icmpv6类型的报文
命令语法
( SEQUENCE_NUM | ) deny | permit exception icmpv6 ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( any ) ( any ) ( icmp-type ICMP_TYPE ( icmp-code ICMP_CODE | ) | ) ( time-range NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在CoPP控制面板策略中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| VLAN_ID |
VLAN ID |
1-4094 |
| COS |
cos范围为0-7 |
0-7 |
| any |
任意源Ip地址 |
- |
| ICMP_TYPE |
Icmp type字段 |
0-129, 138-142, 144-255 |
| ICMP_CODE |
Icmp code字段 |
0-255 |
命令模式
控制平面ACL配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用deny命令过滤掉上送cpu的icmpv6类型的报文.
Switch# configure terminal
Switch (config)# control-plane access-list test
Switch (config-cp-acl)#deny exception icmpv6 any any
Switch (config-cp-acl)#
下面举例如何使用permit命令允许icmpv6报文上送cpu.
Switch# configure terminal
Switch (config)# control-plane access-list test
Switch (config-cp-acl)#permit exception icmpv6 any any
Switch (config-cp-acl)#
相关命令
Control-plane access-list
12.12.19(deny|permit) exception mcast-rpf-fail
命令功能
使用permit命令允许上送到cpu的mcast-rpf-fail类型的报文通过
使用deny命令过滤掉上送cpu的mcast-rpf-fail类型的报文
命令语法
( SEQUENCE_NUM | ) deny | permit exception mcast-rpf-fail ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception mcast-rpf-fail ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv4 ) ( <0-255> | any ) ( IP_ADDR IP_MASK | any | host IP_ADDR ) ( any ) ( time-range NAME | )
( SEQUENCE_NUM | ) deny | permit exception mcast-rpf-fail ( untag-vlan | { vlan VLAN_ID | cos COS } | ) ( ipv6 ) ( <0-255> | any ) ( any ) ( any ) ( time-range NAME | )
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在CoPP控制面板策略中的顺序;如果没有指定此项,则系统会自动给此规则分配顺序号。 |
1-131071 |
| VLAN_ID |
VLAN ID |
1-4094 |
| COS |
cos范围为0-7 |
0-7 |
| IP_ADDR IP_MASK |
源Ip地址为某一个网段 |
IPv4地址和掩码 |
| any |
任何源Ip地址的报文 |
- |
| host IP_ADDR |
某一固定源Ip地址的报文 |
IPv4地址 |
命令模式
控制平面ACL配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用deny命令过滤掉上送cpu的mcast-rpf-fail类型的报文.
Switch# configure terminal
Switch (config)# control-plane access-list test
Switch (config-cp-acl)#deny exception mcast-rpf-fail
Switch (config-cp-acl)#
下面举例如何使用deny命令过允许上送cpu的mcast-rpf-fail类型的报文.
Switch# configure terminal
Switch (config)# control-plane access-list test
Switch (config-cp-acl)#permit exception mcast-rpf-fail
Switch (config-cp-acl)#
相关命令
Control-plane access-list
12.12.20(deny|permit) exception
命令功能
使用permit命令允许上送到cpu的指定类型的报文通过
使用deny命令过滤掉上送cpu的指定类型的报文
命令语法
( SEQUENCE_NUM | ) deny | permit exception ( bpdu | erps | eapol | smart-link | ldp | ptp | rsvp | icmp-redirect | macsa-mismatch | vlan-security-discard | port-security-discard | ip-option | udld | dot1x-mac-bypass | l2protocol-tunnel | ndp ) ( time-range NAME | )
| 参数 |
参数说明 |
参数取值 |
| IP_ADDR IP_MASK |
源Ip地址为某一网段的arp报文 |
IPv4地址和掩码 |
命令模式
控制平面ACL配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用deny命令过滤掉上送cpu的bpdu类型的报文.
Switch# configure terminal
Switch (config)# control-plane access-list test
Switch (config-cp-acl)#deny exception bpdu
Switch (config-cp-acl)#
相关命令
Control-plane access-list
12.12.21show access-list control-plane
命令功能
使用此命令查看控制面访问控制列表。
命令语法
show access-list control-plane ( ACL_NAME | )
| 参数 |
参数说明 |
参数取值 |
| ACL_NAME |
控制面访问控制列表名称 |
不超过40个字符的字符串 |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
如何显示控制面访问控制列表的配置信息
Switch# show access-list control-plane
control-plane access-list aaa
10 permit exception arp vlan 10
20 permit exception igmp vlan 10 igmp any any
相关命令
control-plane access-list
12.12.22class-map type (control-plane)
命令功能
使用此命令创建一个Control-plane的流分类
使用关键字no删除Control-plane的流分类
命令语法
class-map type ( control-plane ) NAME
no class-map NAME
| 参数 |
参数说明 |
参数取值 |
| NAME |
指定流分类名字 |
不超过40个字符的字符串 |
命令模式
全局配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用该命令创建一个控制面流分类。
Switch # configure terminal
Switch (config)# class-map type control-plane test
Switch (config-cmap-cp)
相关命令
class type control-plane
12.12.23match access-group
命令功能
使用此命令将创建的Control-plane控制面板策略添加到流分类中
使用no命令将Control-plane控制面板策略从流分类中移除
命令语法
match access-group NAME
| 参数 |
参数说明 |
参数取值 |
| NAME |
Control-plane的控制面板策略的名字 |
不超过40个字符的字符串 |
命令模式
class-map配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用该命令添加ACL到流分类
Switch# configure terminal
Switch (config)# class-map type control-plane test
Switch (config-cmap-cp)# match access-group test
相关命令
Class-map type control-plane
12.12.24policy-map type (control-plane)
命令功能
使用此命令创建一个Control-plane的流策略
使用no命令删除一个Control-plane的流策略
命令语法
policy-map type ( control-plane ) NAME
no policy-map NAME
| 参数 |
参数说明 |
参数取值 |
| NAME |
流策略的名字 |
不超过40个字符的字符串 |
命令模式
全局配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用该命令创建一个流策略
Switch # configure terminal
Switch (config)# policy-map type control-plane test
Switch (config-pmap-cp)#
相关命令
service-policy type control-plane input
12.12.25class type control-plane
命令功能
使用此命令将流分类添加到流策略中
使用no命令将流策略中的流分类移除
命令语法
class type control-plane ( NAME | class-default )
no class type control-plane ( NAME | class-default )
| 参数 |
参数说明 |
参数取值 |
| NAME |
流策略的名字 |
不超过40个字符的字符串 |
命令模式
config-pmap-c配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用该命令绑定流分类到流策略。
Switch# configure terminal
Switch (config)# policy-map type control-plane test
Switch (config-pmap-cp)# class type control-plane test
Switch (config-pmap-cp-c)#
相关命令
class-map type (control-plane)
12.12.26statistics enable
命令功能
使用该命令允许数据通过
使用no命令删除所有的速率限制条件
命令语法
statistics enable
no statistics enable
命令模式
全局配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用该命令使能policer统计
Switch# configure terminal
Switch (config)# policy-map type control-plane test
Switch (config-pmap-cp)# class type control-plane test
Switch (config-pmap-cp-c)# statistics enable
相关命令
class-map type (control-plane)
12.12.27control-plane
命令功能
使用该命令进入Control-plane视图下
命令语法
control-plane
命令模式
全局配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用该命令进入全局控制面配置视图。
Switch# configure terminal
Switch (config)# control-plane
Switch (Config-control-plain)#
相关命令
service-policy type control-plane input
12.12.28service-policy type control-plane input
命令功能
使用该命令应用Control-plane下的流策略
使用no命令删除应用到Control-plane下的流策略
命令语法
service-policy type control-plane input NAME
no service-policy type control-plane input
| 参数 |
参数说明 |
参数取值 |
| NAME |
流策略的名字 |
不超过40个字符的字符串 |
命令模式
控制平面配置模式
端口配置模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用该命令应用流策略
Switch# configure terminal
Switch (Config-control-plain)# service-policy type control-plane input test
Switch (Config-control-plain)#
Switch# configure terminal
Switch(config)# interface eth-0-2
Switch(config-if)# service-policy type control-plane input p1
相关命令
policy-map type control-plane
12.12.29show policy-map type control-plane statistics input ace
命令功能
使用该命令打印copp ace统计计数
命令语法
show policy-map type control-plane statistics ( interface IFNAME | global | ) input ace ( class-based | ace-based ) ( class NAME | )
clear policy-map type control-plane statistics ( interface IFNAME | global | ) input ace
| 参数 |
参数说明 |
参数取值 |
| IFNAME |
端口名称 |
支持物理端口,聚合端口,VLAN端口 |
| global |
全局配置 |
- |
| class-based |
查看基于Class-Map的统计 |
- |
| ace-based |
查看基于ACE的统计 |
- |
| NAME |
具体流分类的名称 |
不超过40个字符的字符串 |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
下面举例如何使用该命令显示ace统计
Switch # show policy-map type control-plane statistics input ace ace-based
相关命令
statistics enable
12.12.30policer cir
命令功能
在PMAPC_CP_MODE模式下,使用该命令可以配置CIR CBS及policer统计使能
命令语法
policer cir CIR ( cbs CBS | ) ( statistics | )
| 参数 |
参数说明 |
参数取值 |
| CIR |
确保信息速率 |
0-148809523 |
| CBS |
确保桶深 |
0-7600 |
| statistics |
使能统计 |
- |
命令模式
config-pmap-c配置模式
默认配置
默认没有配置
如果配置时不指定CBS,默认值为4400
使用说明
限制到cpu特定流量的速率
举例说明
配置arp流量的速率并且使能统计
Switch# configure terminal
Switch(config)#control-plane access-list testacl
Switch(config-cp-acl)#10 permit exception arp
Switch(config-cp-acl)#class-map type control-plane testclass
Switch(config-cmap-cp)#match access-group testacl
Switch(config-cmap-cp)#policy-map type control-plane testpolicy
Switch(config-pmap-cp)#class type control-plane testclass
Switch(config-pmap-cp-c)#policer cir 100 statistics
Switch(config-pmap-cp-c)#control-plane
Switch(Config-control-plain)service-policy type control-plane input testpolicy
相关命令
show policy-map type control-plane statistics input
12.12.31show policy-map type control-plane statistics input policer
命令功能
显示相应策略的流量统计, 可以指定类型
命令语法
show policy-map type control-plane statistics ( interface IFNAME | global | ) input policer ( class NAME | )
clear policy-map type control-plane statistics ( interface IFNAME | global | ) input policer
| 参数 |
参数说明 |
参数取值 |
| IFNAME |
端口名称 |
支持物理端口,聚合端口,VLAN端口 |
| global |
全局配置 |
- |
| NAME |
指定统计类的名字 |
不超过40个字符的字符串 |
命令模式
特权模式
默认配置
无
使用说明
显示相应策略的流量统计, 可以指定类型和端口
举例说明
显示相应策略的流量统计, 可以指定类型
Switch#show policy-map type control-plane statistics input policer
相关命令
policer cir
12.12.32description
命令功能
使用此命令给控制面访问控制列表的规则添加说明。
使用关键字no删除对控制面访问控制列表规则的说明。
命令语法
SEQUENCE_NUM description LINE
no sequence-num SEQUENCE_NUM description
| 参数 |
参数说明 |
参数取值 |
| SEQUENCE_NUM |
此规则在访问控制列表中的顺序。 |
1-131071 |
| LINE |
所添加的说明 |
不超过127个字符的字符串 |
命令模式
控制平面ACL配置模式
默认配置
无
使用说明
所添加的说明最多可以有127个字符,超过的字符会被丢弃,不会被存储。
举例说明
为控制面访问控制列表中的某个规格添加说明。
Switch# configure terminal
Switch(config)# control-plane access-list copp
Switch(config-cp-acl)# 10 permit exception any
Switch(config-cp-acl)# 10 description permit exception any
删除控制面访问控制列表中某个规则的说明
Switch# configure terminal
Switch(config)# control-plane access-list copp
Switch(config-cp-acl)# no sequence-num 10 description
相关命令
control-plane access-list
12.13IEEE 802.1x命令
12.13.1dot1x system-auth-ctrl
命令功能
使用dot1x system-auth-ctrl命令,全局启用dot1x认证功能。
在原命令之前加上关键字”no”,删除上述配置。
命令语法
dot1x system-auth-ctrl
no dot1x system-auth-ctrl
命令模式
全局配置模式
默认配置
关闭dot1x认证功能
使用说明
无.
举例说明
在全局配置模式下启用和关闭dot1x认证功能
Switch# configure terminal
Switch(config)# dot1x system-auth-ctrl
Switch(config)# no dot1x system-auth-ctrl
相关命令
show dot1x
dot1x port-control
12.13.2dot1x initialize
命令功能
使用“dot1x initialize”命令,可以强制某一个使能了dot1x认证的端口恢复到初始状态,即“未授权”状态。
命令语法
dot1x initialize interface IFNAME
| 参数 |
参数说明 |
参数取值 |
| IFNAME |
指定一个需要恢复初始状态的接口名 |
支持三层口和access口,不支持trunk口 |
命令模式
特权模式
默认配置
无
使用说明
使用这个命令来初始化一个端口上的IEEE 802.1x状态机,这个端口将开始一个全新的认证过程。
使用这条命令之后,指定端口上的认证状态恢复到未授权状态。
举例说明
在特权模式下重新开始eth-0-1的dot1x认证
Switch# dot1x initialize interface eth-0-1
相关命令
show dot1x
12.13.3dot1x max-req
命令功能
使用“ dot1x max-req”命令,设置交换机在认证不通过的情况下,向用户发起重新认证请求的最大尝试次数。
在原命令之前加上关键字“no”,恢复默认配置。
命令语法
dot1x max-req COUNT
no dot1x max-req
| 参数 |
参数说明 |
参数取值 |
| COUNT |
交换机向用户发起重新认证请求的最大尝试次数 |
1-10 |
命令模式
端口配置模式
默认配置
缺省尝试重认证次数为2次。
使用说明
修改这个最大尝试次数,只是为了应对某些特殊情况:例如不可靠的链接、某些客户端和认证服务器的具体行为等。
举例说明
在端口配置模式下,配置交换机向用户发起重新认证请求的最大尝试次数为4次
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x max-req 4
相关命令
show dot1x
12.13.4dot1x port-control
命令功能
使用“dot1x port-control”命令在端口上启用dot1x认证功能。
在原命令之前加上关键字“no”,删除上述配置。
命令语法
dot1x port-control ( auto | force-authorized | force-unauthorized | dir ( both | in ) )
no dot1x port-control
| 参数 |
参数说明 |
参数取值 |
| auto |
设置本端口根据认证结果自动设置端口状态 |
- |
| force-authorized |
强制本端口的状态为已认证 |
- |
| force-unauthorized |
强制本端口的状态为未认证 |
- |
| dir |
设置报文控制方向 |
- |
| both |
丢弃发送和接受的报文 |
- |
| in |
只丢弃接受的报文 |
- |
命令模式
端口配置模式
默认配置
端口默认不使能dot1x.
使能dot1x认证后,默认只对入方向的报文进行控制。
使用说明
全局必须使能dot1x认证功能。(详见“dot1x system-auth-ctrl”命令说明。)
端口默认不使能dot1x认证功能。使能dot1x认证后,默认只对入方向的报文进行控制。
举例说明
在端口配置模式下使能dot1x认证功能,根据认证结果自动设置端口状态
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x port-control auto
相关命令
show dot1x
12.13.5dot1x protocol-version
命令功能
使用“dot1x protocol-version”命令设置EAPOL协议报文的版本。
在原命令之前加上关键字“no”,恢复默认配置。
命令语法
dot1x protocol-version VER
no dot1x protocol-version
| 参数 |
参数说明 |
参数取值 |
| VER |
设置EAPOL协议报文版本 |
1-2 |
命令模式
端口配置模式
默认配置
默认EAPOL协议报文版本为2。
使用说明
必须先在端口使能dot1x功能,然后才能配置EAPOL协议报文的版本。(详见“dot1x port-control”命令说明)。
举例说明
在端口配置模式下配置EAPOL协议报文的版本为1
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x protocol-version 1
相关命令
show dot1x
12.13.6dot1x timeout quiet-period
命令功能
使用“dot1x timeout quiet-period”命令设置端口在验证失败以后的静默时间。
在原命令之前加上关键字“no”,恢复默认配置。
命令语法
dot1x timeout quiet-period SECONDS
no dot1x timeout quiet-period
| 参数 |
参数说明 |
参数取值 |
| SECONDS |
端口在认证失败后的静默时间;以秒为单位 |
1-65535 秒 |
命令模式
端口配置模式
默认配置
缺省端口在验证失败后的静默时间为60秒。
使用说明
在静默期间,交换机不接受或发起任何身份验证请求。如果你想给用户提供更快的响应时间,输入一个小于默认的数值。
举例说明
在端口配置模式下设置端口在认证失败后的静默时间为100秒
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x timeout quiet-period 100
相关命令
show dot1x
12.13.7dot1x handshake
命令功能
使用“dot1x handshake”命令,在端口启用周期性保活功能。
在原命令之前加上关键字“no”,删除上述配置。
命令语法
dot1x handshake
no dot1x handshake
命令模式
端口配置模式
默认配置
缺省端口没有开启保活功能。
使用说明
当周期性保活不使能的时候,保活的超时时间配置是无效的。
举例说明
在端口配置模式下,启用周期性保活功能
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x handshake
相关命令
dot1x timeout
dot1x max-req
12.13.8dot1x timeout handshake-period
命令功能
使用“dot1x timeout handshake-period”命令设置端口下用户认证成功后的保活周期。
在原命令之前加上关键字“no”,恢复默认配置。
命令语法
dot1x timeout handshake-period SECONDS
no dot1x timeout handshake-period
| 参数 |
参数说明 |
参数取值 |
| SECONDS |
端口下认证通过用户的保活周期;以秒为单位 |
5-7200 秒 |
命令模式
端口配置模式
默认配置
缺省端口下在线用户的保活周期为60秒。
使用说明
如果端口下已经使能了保活功能,中途修改保活周期会对在线用户立刻生效。
举例说明
在端口配置模式下设置端口下认证成功用户的保活时间为100秒
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x timeout handshake-period 100
相关命令
dot1x handshake
dot1x max-req
12.13.9dot1x reauthentication
命令功能
使用“dot1x reauthentication”命令,在端口启用周期性重新认证功能。
在原命令之前加上关键字“no”,删除上述配置。
命令语法
dot1x reauthentication
no dot1x reauthentication
命令模式
端口配置模式
默认配置
缺省端口没有开启周期性重新认证功能。
使用说明
当周期性重新认证不使能的时候,重认证的超时时间配置是无效的。
举例说明
在端口配置模式下,启用周期性重新认证功能
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x reauthentication
相关命令
show dot1x
dot1x timeout
12.13.10dot1x re-authenticate
命令功能
使用“dot1x re-authenticate”命令,使接口重新开始dot1x认证。
命令语法
dot1x re-authenticate interface IFNAME
| 参数 |
参数说明 |
参数取值 |
| IFNAME |
指定一个需要重新开始dot1x认证的接口名 |
支持三层口和access口,不支持trunk口 |
命令模式
特权模式
默认配置
无
使用说明
使用此命令在指定的端口上发起重新认证,不需要等待周期性重认证时间。
举例说明
在eth-0-1端口上进行重新认证
Switch# dot1x re-authenticate interface eth-0-1
相关命令
show dot1x
12.13.11dot1x timeout
命令功能
使用“dot1x timeout”命令设置端口的dot1x定时器。
在原命令之前加上关键字“no”,恢复dot1x定时器为默认。
命令语法
dot1x timeout ( re-authperiod SECONDS | server-timeout SECONDS | supp-timeout SECONDS | tx-period SECONDS )
no dot1x timeout ( reauth-period | server-timeout | supp-timeout | tx-period )
| 参数 |
参数说明 |
参数取值 |
| re-authperiod SECONDS |
设置强制重新认证的超时时间;缺省为3600秒 |
60-65535 秒 |
| server-timeout SECONDS |
设置等待认证服务器回复的超时时间;缺省为30秒 |
1-65535 秒 |
| supp-timeout SECONDS |
设置等待客户端回复的超时时间;缺省为30秒 |
1-65535 秒 |
| tx-period SECONDS |
设置同一ID发送连续请求的时间间隔;缺省为30秒 |
1-65535 秒 |
命令模式
端口配置模式
默认配置
重新认证的时间默认为3600秒;
连续请求时间间隔默认为30秒;
客户端超时时间默认为30秒;
服务器超时时间默认为30秒。
使用说明
修改这些定时器的时间长度,只是为了应对某些特殊情况:例如不可靠的链接、某些客户端和认证服务器的具体行为等。
重新认证的时间间隔只有在使能了周期性重认证的时候才有效。
举例说明
设置周期性重新认证的间隔时间为4000秒
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000
相关命令
dot1x reauthentication
show dot1x
12.13.12dot1x guest-vlan
命令功能
使用“dot1x guest-vlan”命令,配置dot1x guest vlan功能。
在原命令之前加上关键字“no”,删除该配置。
命令语法
dot1x guest-vlan VLAN_ID
no dot1x guest-vlan
| 参数 |
参数说明 |
参数取值 |
| VLAN_ID |
指定一个可用的vlan作为dot1x guest vlan。 |
2-4094 |
命令模式
端口配置模式
默认配置
默认情况下系统没有配置guest vlan。
使用说明
配置一个guest vlan后,使能了dot1x认证的端口,在客户端通过认证之前都属于该vlan。
Guest vlan功能对三层接口和trunk口无效,只能使用在access接口上。
举例说明
配置vlan 5 作为接口eth-0-1上的dot1x guest vlan
Switch# configure terminal
Switch(config)#vlan database
Switch(config-vlan)#vlan 5
Switch(config-vlan)#exit
Switch(config)# interface eth-0-1
Switch(config-if)#switchport mode access
Switch(config-if)#dot1x port-control auto
Switch(config-if)#dot1x guest-vlan 5
相关命令
show dot1x
12.13.13show dot1x
命令功能
使用“show dot1x”命令查看802.1x的全局配置信息。
命令语法
show dot1x interface IFNAME
show dot1x session brief ( ( interface IFPHYSICAL ( mac MACADDR | ) ) | )
show dot1x ( all | )
| 参数 |
参数说明 |
参数取值 |
| IFNAME |
指定的接口 |
支持物理端口 |
| MACADDR |
指定mac地址 |
HHHH.HHHH.HHHH 格式的MAC地址 |
| all |
命令查看802.1x的全局配置信息 |
- |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
查看802.1x的全局配置信息。
可以在特权模式下使用“show dot1x [interface interface-id]”检查配置
Switch# show dot1x all
DUT1# show dot1x all
802.1X Port-Based Authentication Enabled
=====================================
802.1X info for interface eth-0-2
portEnabled : false
portControl : Auto
portMode : Port based
portStatus : Unauthorized
Mac Auth bypass : disabled
reAuthenticate : enabled
reAuthPeriod : 3600
Max user number : 255
Current session number : 0
Accept user number : 0
Reject user number : 0
Guest VLAN : N/A
Assign VLAN : N/A
QuietPeriod : 60
ReqMax : 2
TxPeriod : 30
SuppTimeout : 30
ServerTimeout : 30
CD: adminControlledDirections : in
CD: operControlledDirections : in
CD: bridgeDetected : false
========================================
相关命令
dot1x system-auth-ctrl
dot1x port-control
12.13.14show dot1x statistics
命令功能
使用“show dot1x”命令查看802.1x的端口下的EAPOL报文统计。
命令语法
show dot1x statistics interface IFNAME
show dot1x statistics ( all | )
| 参数 |
参数说明 |
参数取值 |
| IFNAME |
指定的接口 |
支持物理端口 |
| all |
命令查看802.1x的所有端口下的EAPOL报文统计 |
- |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
查看802.1x接口下的的EAPOL报文统计
Switch# show dot1x statistics interface eth-0-1
802.1X statistics for interface eth-0-1
EAPOL Frames Rx: 0 - EAPOL Frames Tx: 323
EAPOL Start Frames Rx: 0 - EAPOL Logoff Frames Rx: 0
EAP Rsp/Id Frames Rx: 0 - EAP Response Frames Rx: 0
EAP Req/Id Frames Tx: 241 - EAP Request Frames Tx: 0
Invalid EAPOL Frames Rx: 0 - EAP Length Error Frames Rx: 0
EAPOL Last Frame Version Rx: 0 - EAPOL Last Frame Src: 0000.0000.0000
相关命令
dot1x system-auth-ctrl
dot1x port-control
12.13.15debug dot1x
命令功能
使用此命令可以打开dot1x的模块的调试功能。
在原命令之前加上关键字“no”,关闭调试功能。
命令语法
debug dot1x ( event | timer | packet | all )
no debug dot1x ( event | timer | packet | all )
| 参数 |
参数说明 |
参数取值 |
| event |
调试dot1x事件信息 |
- |
| timer |
dot1x的定时器信息调试信息 |
- |
| packet |
dot1x的数据包信息的调试信息,包括发送和接收 |
- |
| all |
上面提到的所有调试信息 |
- |
命令模式
特权模式
默认配置
无
使用说明
使用“terminal monitor”打印消息
举例说明
使用如下命令,打开dot1x的所有调试信息
Switch# debug dot1x all
相关命令
terminal monitor
show logging buffer
12.13.16clear dot1x statistics
命令功能
使用“clear dot1x statistics”命令来清空dot1x统计数据。
命令语法
clear dot1x statistics ( all | )
| 参数 |
参数说明 |
参数取值 |
| all |
清空所有统计信息 |
- |
命令模式
特权模式
默认配置
无
使用说明
使用“clear dot1x”命令来清空dot1x统计数据。
使用“show dot1x”命令可以看到统计数据。
举例说明
在特权模式下使用“clear dot1x”命令
Switch# clear dot1x statistics
Switch# clear dot1x session-statistics
相关命令
dot1x system-auth-ctrl
dot1x port-control
show dot1x
12.13.17dot1x port-mode
命令功能
使用 “dot1x port-mode” 命令,设置端口dot1x控制模式。
在原命令行之前加上no关键字,恢复默认模式。
命令语法
dot1x port-mode ( port | mac )
no dot1x port-mode
| 参数 |
参数说明 |
参数取值 |
| port |
设置为基于端口的模式 |
- |
| mac |
设置为基于mac的模式 |
- |
命令模式
端口配置模式
默认配置
默认情况下,端口dot1x一启用即为基于端口的模式。
使用说明
使用 “dot1x port-mode” 命令,设置端口dot1x控制模式。
在原命令行之前加上no关键字,恢复默认模式。
在设置控制模式之前,必须先在端口启用dot1x功能。
该配置在用户在线的情况下,不允许更改。
举例说明
以下例子使用了 dot1x port-mode命令修改端口上的dot1x控制模式为基于mac
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x port-mode mac
相关命令
dot1x port-control
12.13.18dot1x max-user
命令功能
使用 “dot1x max-user”命令,设置接口上支持mac用户的最大数量。
在原命令行之前加上no关键字,恢复默认。
命令语法
dot1x max-user COUNT
no dot1x max-user
| 参数 |
参数说明 |
参数取值 |
| COUNT |
接口最大用户数 |
1-255 |
命令模式
端口配置模式
默认配置
默认情况下接口不控制mac用户的数量,用户数量受限于全局硬件规格。
使用说明
使用 “dot1x max-user”命令,设置接口上支持mac用户的最大数量。
在原命令行之前加上no关键字,恢复默认。
配置最大mac用户数量之前,端口上必须先启用dot1x功能。
如果已经有用户在线,则配置值小于当前用户数时配置会失败。
配置值受限于全局硬件规格。
该配置影响处于“accept”,“reject”和“reauth”状态的用户数,因为处在上述状态的用户需要占用一个硬件表项来实现转发或丢弃。包括“waiting”状态在内的总用户数量是该配置的两倍。
举例说明
以下命令在接口上配置最大用户数为10
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x max-user 10
相关命令
dot1x port-control
12.13.19dot1x re-active radius-server
命令功能
使用“dot1x re-active”命令,立即激活认证失败而进入“未激活”状态的Radius服务器。
命令语法
dot1x re-active radius-server ( host HOST_IP_ADDR ( auth-port PORT | ) | interface IFNAME | all )
| 参数 |
参数说明 |
参数取值 |
| host HOST_IP_ADDR |
激活指定ip地址Radius服务器 |
IPv4 Address |
| PORT |
激活指定ip地址和udp端口号的Radius服务器。如果不指定端口,默认为1812。 |
1-65535 |
| IFNAME |
为指定的客户端接口激活Radius服务器 |
支持三层口和access口,不支持trunk口 |
| all |
激活所有的Radius服务器 |
- |
命令模式
特权模式
默认配置
无
使用说明
用户可以使用此命令直接激活认证失败而处于“未激活”状态的服务器。
举例说明
在特权模式下使用“dot1x re-active radius-server”命令
Switch# dot1x re-activate radius-server
Switch# dot1x re-activate radius-server host 3.3.3.3 auth-port 1812
Switch# dot1x re-activate radius-server interface eth-0-9
相关命令
radius-server host
radius-server deadtime
show radius-server
12.13.20dot1x accounting-mode radius
命令功能
使用dot1x accounting-mode radius命令,全局启用dot1x计费功能。
在原命令之前加上关键字”no”,删除上述配置。
命令语法
dot1x accounting-mode radius
no dot1x accounting-mode
命令模式
全局配置模式
默认配置
关闭dot1x计费功能
使用说明
使用此命令全局打开dot1x计费功能,该命令对已经上线的用户不会立刻生效。
举例说明
在全局配置模式下启用和关闭dot1x计费功能
Switch# configure terminal
Switch(config)# dot1x accounting-mode radius
Switch(config)# no dot1x accounting-mode
相关命令
无
12.13.21dot1x accounting start-fail
命令功能
使用dot1x accounting start-fail命令配置开始计费失败的策略。
在原命令之前加上关键字”no”,恢复开始计费失败策略为缺省配置。
命令语法
dot1x accounting start-fail ( offline | online )
no dot1x accounting start-fail
| 参数 |
参数说明 |
参数取值 |
| offline |
指定开始计费失败策略为:如果开始计费失败,拒绝用户上线。 |
- |
| online |
指定开始计费失败策略为:如果开始计费失败,允许用户上线。 |
- |
命令模式
全局配置模式
默认配置
缺省情况下,如果开始计费失败,用户将不能上线,即采用offline方式
使用说明
用户上线后会发送计费开始报文给计费服务器,如果没有收到计费服务器的响应导致计费失败则需要执行相应的策略,该命令对已经上线的用户不会立刻生效。
举例说明
在全局配置模式下配置dot1x计费失败策略
Switch# configure terminal
Switch(config)# dot1x accounting start-fail online
Switch(config)# no dot1x start-fail
相关命令
dot1x accounting-mode radius
12.13.22dot1x accounting realtime
命令功能
使用dot1x accounting realtime命令来使能实时计费功能,并设置实时计费时间间隔。
在原命令之前加上关键字”no”,删除上述配置。
命令语法
dot1x accounting realtime INTERVAL
no dot1x accounting realtime
| 参数 |
参数说明 |
参数取值 |
| INTERVAL |
指定实时计费的时间间隔。 |
1-65535 分钟 |
命令模式
全局配置模式
默认配置
缺省情况下,实时计费间隔未配置,表示不使能实时计费
使用说明
使用此命令全局打开dot1x实时计费功能或者修改实时计费间隔,该命令对已经上线的用户不会立刻生效。
举例说明
在全局配置模式下启用和关闭dot1x实时计费功能
Switch# configure terminal
Switch(config)# dot1x accounting realtime 1
Switch(config)# no dot1x accounting realtime
相关命令
dot1x accounting-mode radius
12.13.23dot1x accounting interim-fail
命令功能
使用dot1x accounting interim-fail命令来配置允许的实时计费请求最大无响应次数,以及实时计费失败后采取的策略。
在原命令之前加上关键字”no”,恢复实时计费失败策略为缺省配置。
命令语法
dot1x accounting interim-fail ( max-times TIMES | ) ( offline | online )
no dot1x accounting interim-fail
| 参数 |
参数说明 |
参数取值 |
| TIMES |
指定允许实时计费请求最大无响应次数 |
1-255 |
| offline |
指定实时计费失败策略为:如果实时计费失败,拒绝用户上线。 |
- |
| online |
指定实时计费失败策略为:如果实时计费失败,允许用户上线。 |
- |
命令模式
全局配置模式
默认配置
缺省情况下,允许的实时计费请求最大无响应次数为3次,实时计费失败后允许用户在线。
使用说明
只有连续几次的实时计费请求都没有响应才会确认为实时计费失败。
该命令对已经上线的用户不会立刻生效。
举例说明
在全局配置模式下配置dot1x实时计费失败策略
Switch# configure terminal
Switch(config)# dot1x accounting interim-fail max-times 2 offline
Switch(config)# no dot1x accounting interim-fail
相关命令
dot1x accounting-mode radius
dot1x accounting realtime
12.13.24dot1x mac-auth-bypass
命令功能
使用“dot1x mac-auth-bypass”命令来打开端口的MAC旁路认证功能。
在原命令之前加上关键字“no”,关闭MAC旁路认证功能。
命令语法
dot1x mac-auth-bypass
no dot1x mac-auth-bypass
命令模式
端口配置模式
默认配置
默认dot1x mac旁路认证功能处于关闭状态
使用说明
必须先在端口使能dot1x功能,然后才能配置使能MAC旁路认证功能。
举例说明
在端口下配置使能MAC旁路认证功能
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x mac-auth-bypass
相关命令
show dot1x
dot1x port-control
12.13.25dot1x mac-auth-bypass mab-first
命令功能
使用“dot1x mac-auth-bypass mab-first”命令来配置是否端口优先进行MAC旁路认证。
在原命令之前加上关键字“no”,恢复默认值,优先进行dot1x认证。
命令语法
dot1x mac-auth-bypass mab-first
no dot1x mac-auth-bypass mab-first
命令模式
端口配置模式
默认配置
默认情况下,旁路认证优先处于关闭状态。
使用说明
使用 “dot1x mac-auth-bypass mab-first” 命令,设置端口MAC旁路认证优先。
默认优先进行dot1x认证。
在设置MAC旁路认证优先认证之前,必须先在端口启用dot1x功能。
举例说明
以下例子在端口下配置使能MAC旁路认证优先功能
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x mac-auth-bypass mab-first
相关命令
dot1x port-control
dot1x mac-auth-bypass
12.13.26dot1x mac-auth-bypass username fixed
命令功能
使用“dot1x mac-auth-bypass username fixed”命令来指定MAC旁路认证用户采用的用户名为固定用户名。
在原命令之前加上关键字“no”,恢复默认值。
命令语法
dot1x mac-auth-bypass username fixed WORD password ( 8 | ) STRING
no dot1x mac-auth-bypass username fixed
| 参数 |
参数说明 |
参数取值 |
| WORD |
指定MAC旁路认证用户的固定用户名 |
首字母必须是a-z或A-Z,取值范围“0-9A-Za-z.-_”且最大长度为63 |
| 8 |
|
- |
| STRING |
指定MAC旁路认证用户的密码 |
指定密码为密文时最大长度为127,否则最大长度为63 |
命令模式
全局配置模式
默认配置
默认MAC旁路认证的用户名为mac地址.
使用说明
设备使用管理员配置的固定用户名和密码进行MAC旁路认证
举例说明
以下例子在全局配置模式下配置MAC旁路认证用户的固定用户名密码
Switch# configure terminal
Switch(config)# dot1x mac-auth-bypass username fixed username admin password admin123
相关命令
dot1x mac-auth-bypass username mac-address format
12.13.27dot1x mac-auth-bypass username mac-address format
命令功能
使用“dot1x mac-auth-bypass username mac-address format”命令来配置进行mac旁路认证时使用mac地址作为用户名,并且指定mac地址的格式。
在原命令之前加上关键字“no”,恢复默认值。
命令语法
dot1x mac-auth-bypass username mac-address format ( with-separator ( colon | hyphen | dot ) groupsize ( 1 | 2 | 4 ) | without-separator ) ( uppercase | ) ( password ( 8 | ) STRING | )
no dot1x mac-auth-bypass username mac-address format
| 参数 |
参数说明 |
参数取值 |
| with-separator (colon|hyphen|dot) |
指定用冒号”:“连字符”-“或者点“.”来分隔mac地址。 |
- |
| groupsize (1|2|4) |
指定有分隔符分隔mac地址时每组1,2或者4个十六进制字符 |
- |
| without-separator |
mac地址不包含分隔符 |
- |
| uppercase |
指定mac地址十六进制字符为大写形式 |
- |
| password (8|) STRING |
指定用户的密文或者明文密码。 |
指定密码为密文时最大长度为127,否则最大长度为63 |
命令模式
全局配置模式
默认配置
默认情况下,MAC旁路认证的用户名为没有分隔符的十六进制小写字母组成的mac地址。
使用说明
设备使用含指定分隔符的MAC地址作为用户名进行认证,同时可以使用MAC地址或者自定义的字符串作为密码
举例说明
以下例子在全局配置模式下配置MAC旁路认证用户使用mac地址作为用户名,以及mac地址的格式
Switch# configure terminal
Switch(config)# dot1x mac-auth-bypass username mac-address format with-separator colon groupsize 2 uppercase
相关命令
dot1x mac-auth-bypass username fixed
12.13.28clear dot1x session mac-auth-bypass
命令功能
使用“clear dot1x session mac-auth-bypass ”命令来清空指定端口下的全部或者指定某个mac地址的MAC旁路认证用户,或者清空设备上所有MAC旁路认证用户
命令语法
clear dot1x session mac-auth-bypass ( ( interface IFPHYSICAL ( mac MACADDR | ) ) | )
| 参数 |
参数说明 |
参数取值 |
| interface IFPHYSICAL |
指定的接口 |
- |
| mac MACADDR |
指定端口下指定mac地址 |
HHHH.HHHH.HHHH 格式的MAC地址 |
命令模式
特权模式
默认配置
无
使用说明
可以使用此命令直接删除正在进行或者已经完成MAC旁路认证的用户。
举例说明
以下例子在特权模式下清空端口eth-0-1下所有的MAC旁路认证用户
Switch# clear dot1x session mac-auth-bypass interface eth-0-1
相关命令
无
12.14Arp Inspection 命令
12.14.1show ip arp inspection
命令功能
使用此命令查看arp inspection的配置。
命令语法
show ip arp inspection
命令模式
特权模式
默认配置
无
使用说明
显示arp inspection的配置及其统计。
举例说明
显示arp inspection配置
Switch# show ip arp inspection
Source Mac Validation : Disabled
Destination Mac Validation : Disabled
IP Address Validation : Disabled
Vlan Configuration ACL Match Static ACL
=================================================================
1 enabled acl
Vlan ACL Logging DHCP Logging
=================================================================
1 deny deny
Vlan Forwarded Dropped DHCP Drops ACL Drops
=================================================================
1 0 0 0 0
Vlan DHCP Permits ACL Permits Source MAC Failures
=================================================================
1 0 0 0
Vlan Dest MAC Failures IP Validation Failures Invalid Protocol Data
=================================================================
1 0 0 0
相关命令
ip arp inspection vlan
12.14.2show ip arp inspection interfaces
命令功能
此命令查看端口是否被设置为可信任端口。
命令语法
show ip arp inspection interfaces ( IFNAME | )
| 参数 |
参数说明 |
参数取值 |
| IFNAME |
接口名称 |
支持物理端口,聚合端口,环回端口,VLAN端口,隧道端口 |
命令模式
特权模式
默认配置
无
使用说明
查看端口是否为可信任端口。
举例说明
查看所有端口是否为可信,详细参见如下
Switch# show ip arp inspection interfaces
Interface Trust State
================================
eth-0-1 untrusted
eth-0-2 untrusted
eth-0-3 untrusted
eth-0-4 untrusted
eth-0-5 untrusted
eth-0-6 untrusted
eth-0-7 untrusted
eth-0-8 untrusted
eth-0-9 untrusted
eth-0-10 untrusted
eth-0-11 untrusted
eth-0-12 untrusted
eth-0-13 untrusted
eth-0-14 untrusted
eth-0-15 untrusted
eth-0-16 untrusted
eth-0-17 untrusted
eth-0-18 untrusted
eth-0-19 untrusted
eth-0-20 untrusted
eth-0-21 untrusted
eth-0-22 untrusted
eth-0-23 untrusted
eth-0-24 untrusted
eth-0-25 untrusted
eth-0-26 untrusted
eth-0-27 untrusted
eth-0-28 untrusted
eth-0-29 untrusted
eth-0-30 untrusted
eth-0-31 untrusted
eth-0-32 untrusted
eth-0-33 untrusted
eth-0-34 untrusted
eth-0-35 untrusted
eth-0-36 untrusted
eth-0-37 untrusted
eth-0-38 untrusted
eth-0-39 untrusted
eth-0-40 untrusted
eth-0-41 untrusted
eth-0-42 untrusted
eth-0-43 untrusted
eth-0-44 untrusted
eth-0-45 untrusted
eth-0-46 untrusted
eth-0-47 untrusted
eth-0-48 untrusted
相关命令
ip arp inspection trust
12.14.3show ip arp inspection log
命令功能
此命令查看ARP Inspection日志信息。默认LOG 32条。
命令语法
show ip arp inspection log ( NUMBER | )
| 参数 |
参数说明 |
参数取值 |
| NUMBER |
指定消息的条目 |
1-1024 |
命令模式
特权模式
默认配置
无
使用说明
查看所有ARP Inspection记录。
举例说明
查看所有ARP Inspection日志消息
Switch# show ip arp inspection log
Total Log Buffer Size : 32
Syslog rate : 5 entries per 1 seconds.
No entries in log buffer
相关命令
ip arp inspection log-buffer
12.14.4show ip arp inspection statistics
命令功能
此命令查看ARP Inspection统计信息。包含MAC验证失败,IP验证失败的ACL允许和拒绝的,DHCP允许和拒绝。
命令语法
show ip arp inspection statistics ( vlan VLAN_RNG_STR | )
| 参数 |
参数说明 |
参数取值 |
| vlan VLAN_RNG_STR |
VLAN范围 |
Vlan范围1-4094。使用短横杠连接连续的vlan,使用逗号连接不连续的vlan。例如:1,3-5,7,9-11 |
命令模式
特权模式
默认配置
无
使用说明
查看所有VLAN的ARP Inspection统计信息。
举例说明
查看VLAN 2的ARP Inspection统计信息
Switch# show ip arp inspection statistics vlan 1
Vlan Forwarded Dropped DHCP Drops ACL Drops
=================================================================
1 0 0 0 0
Vlan DHCP Permits ACL Permits Source MAC Failures
=================================================================
1 0 0 0
Vlan Dest MAC Failures IP Validation Failures Invalid Protocol Data
=================================================================
1 0 0 0
相关命令
clear ip arp inspection statistics
12.14.5show ip arp inspection vlan
命令功能
此命令查看指定vlan上的ARP Inspection配置信息。
命令语法
show ip arp inspection vlan VLAN_RNG_STR
| 参数 |
参数说明 |
参数取值 |
| vlan VLAN_RNG_STR |
VLAN范围 |
Vlan范围1-4094。使用短横杠连接连续的vlan,使用逗号连接不连续的vlan。例如:1,3-5,7,9-11 |
命令模式
特权模式
默认配置
无
使用说明
如果没有VLAN被指定,那么将无法被显示VLAN的inspection信息。
举例说明
查看此VLAN 1的ARP Inspection统计信息
Switch# show ip arp inspection vlan 1
Source Mac Validation : Disabled
Destination Mac Validation : Disabled
IP Address Validation : Disabled
Vlan Configuration ACL Match Static ACL
=================================================================
1 enabled acl
Vlan ACL Logging DHCP Logging
=================================================================
1 deny deny
相关命令
ip arp inspection vlan
12.14.6show debugging arp inspection
命令功能
使用此命令调试arp inspection信息。
命令语法
show debugging arp inspection
命令模式
特权模式
默认配置
默认不开启。
使用说明
无
举例说明
显示交换机的arp insepction调试信息
Switch# show debugging arp inspection
arp inspection debugging status:
packet debugging is on
error debugging is on
相关命令
debug arp inspection
12.14.7debug arp inspection
命令功能
使用此命令配置arp insepction的调试功能。
命令语法
debug arp inspection ( all | packet | events | error )
| 参数 |
参数说明 |
参数取值 |
| all |
打开所有的debug信息 |
- |
| packet |
ARP 消息 |
- |
| events |
ARP查看事件 |
- |
| error |
错误的dhcp消息 |
- |
命令模式
特权模式
默认配置
无
使用说明
使用此命令配置arp insepction的调试功能包含:all, error,events, packet。
举例说明
设置交换机打开arp insepction的error调试功能
Switch# debug ip arp inspection error
相关命令
show debugging arp inspection
12.14.8ip arp inspection filter vlan
命令功能
此命令为指定VLAN添加ARP访问控制列表。
使用关键字no删除指定VLAN上的ARP访问控制列表。
命令语法
ip arp inspection filter acl vlan VLAN_RNG_STR ( static | )
| 参数 |
参数说明 |
参数取值 |
| acl |
ARP访问控制列表 |
- |
| VLAN_RNG_STR |
VLAN范围 |
Vlan范围1-4094。使用短横杠连接连续的vlan,使用逗号连接不连续的vlan。例如:1,3-5,7,9-11 |
| static |
如果指定此项,则不匹配此访问控制列表的报文会被丢掉;否则,当报文不匹配此访问控制列表时,交换机会继续查找DHCP Snooping表,如果匹配,则转发;如果不匹配,则丢弃 |
- |
命令模式
全局配置模式
默认配置
无
使用说明
在vlan上引用arp的访问控制列表。默认情况下VLAN上不指定任何的arp访问控制列表。
举例说明
在VLAN2上引用arp访问控制列表
Switch# configure terminal
Switch(config)# ip arp inspection filter acl vlan 2 static
相关命令
arp access-list
12.14.9ip arp inspection log-buffer entries
命令功能
此命令设置ARP Inspection日志记录的数量。
使用关键字no恢复此设置为默认。
命令语法
ip arp inspection log-buffer entries NUMBER
| 参数 |
参数说明 |
参数取值 |
| NUMBER |
设置可记录到日志缓冲区的ARP Inspection日志最大数量 |
10-1024 |
命令模式
全局配置模式
默认配置
无
使用说明
缺省可记录到日志缓冲区的ARP Inspection日志最大数量为32。
举例说明
设置可记录到日志缓冲区的ARP Inspection日志数量为10
Switch# configure terminal
Switch(config)# ip arp inspection log-buffer entries 10
相关命令
show ip arp inspection log
12.14.10ip arp inspection log-buffer logs interval
命令功能
设置单位周期内可记录到日志缓冲区的ARP Inspection日志最大数量。
命令语法
ip arp inspection log-buffer logs NUMBER interval INTERVAL
no ip arp inspection log-buffer logs
| 参数 |
参数说明 |
参数取值 |
| NUMBER |
设置可记录到日志缓冲区的ARP Inspection日志最大数量 |
0-1024 |
| INTERVAL |
设置记录Arp Inspection日志的最大速率;单位为每秒 |
0-86400 秒 |
命令模式
全局配置模式
默认配置
默认缓冲区日志数量是5,速率是1秒
使用说明
interval为0表示log都会立刻记录到系统日志。
interval不为0时,logs为0则不记录到系统日志,logs不为0则每interval时间记录到系统日志。
举例说明
设置可记录到系统日志的ARP Inspection日志数量每两秒2个
Switch# configure terminal
Switch(config)# ip arp inspection log-buffer logs 12 interval 2
相关命令
无
12.14.11ip arp inspection validate
命令功能
此命令设置验证ARP报文中的指定字段。
使用关键字no恢复此设置为默认。
命令语法
[ no ] ip arp inspection validate ( dst-mac | ip | src-mac )
| 参数 |
参数说明 |
参数取值 |
| dst-mac |
设置验证目的MAC地址 |
- |
| ip |
设置验证IP地址 |
- |
| src-mac |
设置验证源MAC地址 |
- |
命令模式
全局配置模式
默认配置
无
使用说明
src-mac:检查以太网报头中的源mac,检查ARP请求和响应。一旦启用,如果发现不匹配的源mac将被丢弃。
dst-mac:检查以太网报头中的目的mac,检查ARP请求和响应。一旦启用,如果发现不匹配的目的mac将被丢弃。
IP:检查以太网报文中的目的IP字段是否合法。
缺省ARP Inspection不验证ARP报文的任何字段。
举例说明
设置ARP Inspection验证目的MAC
Switch# configure terminal
Switch(config)# ip arp inspection validate dst-mac
相关命令
show ip arp inspection
12.14.12ip arp inspection vlan
命令功能
此命令在指定VLAN上启用ARP Inspection。
使用关键字no在指定VLAN上关闭ARP Inspection。
命令语法
[ no ] ip arp inspection vlan VLAN_ID
| 参数 |
参数说明 |
参数取值 |
| VLAN_ID |
VLAN范围 |
Vlan范围1-4094。使用短横杠连接连续的vlan,使用逗号连接不连续的vlan。例如:1,3-5,7,9-11 |
命令模式
全局配置模式
默认配置
无
使用说明
在VLAN上启用arp insepction。
举例说明
设置交换机VLAN2上启用arp inspection
Switch# configure terminal
Switch(config)# ip arp inspection vlan 2
相关命令
show ip arp inspection vlan 2
12.14.13ip arp inspection vlan logging acl-macth
命令功能
使用此命令对arp inspction的日志进行过滤。
命令语法
[ no ] ip arp inspection vlan VLAN_ID logging acl-macth ( matchlog | none )
| 参数 |
参数说明 |
参数取值 |
| VLAN_ID |
VLAN范围 |
Vlan范围1-4094。使用短横杠连接连续的vlan,使用逗号连接不连续的vlan。例如:1,3-5,7,9-11 |
| matchlog |
将匹配的信息记录日志文件 |
- |
| none |
将不匹配的信息记录日志文件 |
- |
命令模式
全局配置模式
默认配置
无
使用说明
根据访问控制列表来过滤相应的日志消息。
举例说明
设置交换机的VLAN2允许arp包
Switch# configure terminal
Switch(config)# ip arp inspection vlan 2 logging acl-match matchlog
相关命令
ip arp inspection vlan
12.14.14ip arp inspection vlan logging dhcp-bindings
命令功能
使用此命令根据dhcp绑定表来过滤日志文件。
命令语法
[ no ] ip arp inspection vlan VLAN_ID logging dhcp-bindings ( all | none | permit )
| 参数 |
参数说明 |
参数取值 |
| VLAN_ID |
VLAN范围 |
Vlan范围1-4094。使用短横杠连接连续的vlan,使用逗号连接不连续的vlan。例如:1,3-5,7,9-11 |
| all |
将匹配的所有信息记录到日志文件 |
- |
| permit |
将匹配不通过的信息记录到日志文件 |
- |
| none |
将匹配通过的信息记录到日志文件 |
- |
命令模式
全局配置模式
默认配置
无
使用说明
根据dhcp绑定表来过滤日志报文。
举例说明
记录在VLAN2上匹配dhcp 绑定表的所有日志信息
Switch# configure terminal
Switch(config)# ip arp inspection vlan 2 logging dhcp-bindings all
相关命令
show ip arp inspection vlan
12.14.15clear ip arp inspection log-buffer
命令功能
使用此命令清除所有的arp inspection日志文件。
命令语法
clear ip arp inspection log-buffer
命令模式
特权模式
默认配置
无
使用说明
此命令清除所有的arp inspection日志文件。
举例说明
设置交换机删除所有的日志文件
Switch# clear ip arp inspection log-buffer
相关命令
ip arp inspection log-buffer logs
12.14.16clear ip arp inspection statistics
命令功能
使用此命令删除所有的arp inspection统计。
命令语法
clear ip arp inspection statistics
命令模式
全局配置模式
默认配置
无
使用说明
此命令删除所有的arp inspection统计。
举例说明
删除交换机上所有的arp inspection统计
Switch(config)# clear ip arp inspection statistics
相关命令
show ip arp inspection statistics
12.14.17ip arp inspection trust
命令功能
此命令指定本端口为可信端口。
使用关键字no设置本端口为不可信端口。
命令语法
ip arp inspection trust
no ip arp inspection trust
命令模式
端口配置模式
默认配置
无
使用说明
缺省端口为不可信端口;
如果端口被设置为可信端口,则在启用ARP Inspection以后,通过此端口的ARP报文不会被验证。
举例说明
设置交换机的eth-0-2端口为非信任端口
untrusted state
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# no ip arp inspection trust
相关命令
show ip arp inspection interfaces
12.14.18arp access-list
命令功能
使用此命令配置arp访问控制列表。
命令语法
arp access-list ACL_NAME
no arp access-list ACL_NAME
| 参数 |
参数说明 |
参数取值 |
| ACL_NAME |
指定acl名字 |
不超过40个字符的字符串 |
命令模式
全局配置模式
默认配置
无
使用说明
在非DHCP环境中,动态ARP检测可以通过设置访问控制列表来验证ARP报文。
举例说明
创建一个arp 访问控制列表
Switch# configure terminal
Switch(config)# arp access-list acl1
相关命令
show access-list arp
12.14.19ip mac
命令功能
使用此命令配置arp的ace。
命令语法
( deny | permit ) ( request | response | ) ip ( IP_ADDR IP_ADDR_MASK | any | host IP_ADDR ) mac ( MAC_ADDR MAC_ADDR_MASK | any | host MAC_ADDR ) ( log | )
| 参数 |
参数说明 |
参数取值 |
| deny |
拒绝指定的包 |
- |
| permit |
允许指定的包 |
- |
| request |
arp请求 |
- |
| response |
arp 响应 |
- |
| IP_ADDR |
源地址 |
IPv4地址 |
| IP_ADDR_MASK |
反掩码地址 |
IPv4反掩码 |
| any |
任何源地址 |
- |
| host |
主机地址 |
- |
| MAC_ADDR |
主机的源mac地址 |
HHHH.HHHH.HHHH格式 |
| MAC_ADDR_MASK |
主机的源mac地址掩码 |
HHHH.HHHH.HHHH格式 |
| log |
匹配的日志 |
- |
命令模式
ARP访问列表配置模式
默认配置
无
使用说明
无.
举例说明
使用如下命令,配置ARP ACE
Switch# configure terminal
Switch(config)# arp access-list acl1
Switch(config-arp-acl)# permit ip host 192.168.1.1 mac any
相关命令
show access-list arp
12.14.20no sequence-num
命令功能
使用此命令可删除ARP ACE。
命令语法
no sequence-num NUMBER
| 参数 |
参数说明 |
参数取值 |
| NUMBER |
指定一个序号 |
1-131071 |
命令模式
ARP访问列表配置模式
默认配置
无
使用说明
使用此命令删除ARP的ACE序号。
举例说明
适应如下命令,删除一个ARP ACE
Switch# configure terminal
Switch(config)# arp access-list acl1
Switch(config-arp-acl)# no sequence-num 10
相关命令
show access-list arp
12.14.21show access-list arp
命令功能
使用此命令显示arp的访问控制列表。
命令语法
show access-list arp ( ACL_NAME | )
| 参数 |
参数说明 |
参数取值 |
| ACL_NAME |
访问控制列表名字 |
不超过40个字符的字符串 |
命令模式
特权模式
默认配置
无
使用说明
使用此命令显示arp的访问控制列表。
举例说明
显示ARP的访问控制列表
Switch# show access-list arp
arp access-list acl
10 permit request ip 1.1.1.1 0.255.255.255 mac any
相关命令
arp access-list
12.15DHCP Snooping命令
12.15.1clear dhcp snooping
命令功能
在全局配置模式下使用clear dhcp snooping命令来清除DHCP绑定数据库中动态学习条目或DHCP snooping统计计数信息。
命令语法
clear dhcp snooping ( bindings ( learning | manual ) ( ipv4 IP_ADDR | mac MAC_ADDR | vlan VLAN_ID | interface IFNAME | ) | statistics )
| 参数 |
参数说明 |
参数取值 |
| bindings |
清除DHCP snooping 绑定数据库 |
- |
| IP_ADDR |
按照IP地址清除绑定条目 |
IPv4地址 |
| MAC_ADDR |
按照MAC地址清除绑定条目 |
MAC地址 |
| VLAN_ID |
按照VLAN清除绑定条目 |
1-4094 |
| IFNAME |
按照端口名称清除绑定条目 |
支持物理口和AGG口 |
| statistics |
清除DHCP snooping统计计数 |
- |
命令模式
全局配置模式
默认配置
无
使用说明
该命令用于清除DHCP snooping绑定条目或计数信息。
举例说明
配置清除DHCP snooping统计计数
Switch(config)# clear dhcp snooping statistics
相关命令
show dhcp snooping binding
show dhcp snooping statistics
12.15.2dhcp snooping
命令功能
在全局配置模式下使用dhcp snooping命令配置交换机全局使能DHCP snooping。使用命令相应的no形式恢复为默认设置。
命令语法
dhcp snooping
no dhcp snooping
命令模式
全局配置模式
默认配置
默认情况下,DHCP snooping未使能。
使用说明
必需在全局使能DHCP snooping,才可以使DHCP snooping的配置生效。
只有在全局配置模式下使用dhcp snooping vlan vlan-id命令在VLAN上使能snooping,DHCP snooping才会起作用。
可以在特权模式下使用show dhcp snooping config命令验证配置是否启用。
举例说明
配置使能DHCP snooping
Switch# configure terminal
Switch(config)# dhcp snooping
相关命令
dhcp snooping vlan
show dhcp snooping config
12.15.3dhcp snooping binding
命令功能
在全局配置模式下,使用dhcp snooping binding命令配置DHCP snooping绑定数据库以及向数据库中添加静态绑定条目。
命令语法
dhcp snooping binding mac MAC_ADDR vlan VLAN_ID ipv4 IP_ADDR interface IFNAME expiry SECONDS
no dhcp snooping bindings ( ipv4 IP_ADDR | mac MAC_ADDR | vlan VLAN_ID | interface IFNAME | )
| 参数 |
参数说明 |
参数取值 |
| MAC_ADDR |
指定MAC地址 |
MAC地址 |
| VLAN_ID |
指定VLAN 序号。 |
1-4094 |
| IP_ADDR |
指定IP地址 |
IPv4地址 |
| IFNAME |
指定添加或删除绑定条目的接口 |
支持物理口和AGG口 |
| expiry SECONDS |
指定时间间隔(单位为秒)后绑定条目无效。 |
0 - 86400 |
命令模式
全局配置模式
默认配置
无
使用说明
当你在测试或调试交换机时使用该条命令。
在DHCP snooping绑定数据库中,每一个数据条目都有一个IP地址,一个关联的MAC地址,一个租约时间,提供绑定数据的接口,以及该接口属于的VALN。
在特权模式下,使用show dhcp snooping binding命令显示配置的绑定信息。
举例说明
为在VLAN1的接口eth-0-1上配置一个DHCP 绑定,MAC地址为0001.000c.01ef,IP地址为10.10.1.1,过期时间为1000秒
Switch# configure terminal
Switch(config)# dhcp snooping binding mac 0001.000c.01ef vlan 1 ipv4 10.10.1.1 interface eth-0-1 expiry 1000
相关命令
dhcp snooping
show dhcp snooping binding
12.15.4dhcp snooping no-binding vlan
命令功能
在全局配置模式下使用dhcp snooping no-binding vlan命令配置交换机使能DHCP snooping不记录指定vlan的动态表项。使用命令相应的no形式恢复为默认设置。
命令语法
dhcp snooping no-binding vlan VLAN-RANGE
no dhcp snooping no-binding vlan VLAN-RANGE
| 参数 |
参数说明 |
参数取值 |
| VLAN-RANGE |
指定使能不记录dhcp snooping动态表项的VLAN范围,以‘-’ 和‘,’符号相连接,如 “1-10,15,20,30-40” |
1-4094 |
命令模式
全局配置模式
默认配置
默认情况下DHCP snooping不记录动态表项在所有VLAN都未使能。
使用说明
你可以输入VLAN序号指定单独一个VLAN ID,或者输入几个VLAN序号使用逗号间隔,或输入一个VLAN范围使用连字号间隔,或输入VLAN开始ID和VLAN结束ID使用空格间隔。使能了不记录动态表项功能后,该VLAN对应的DHCP snooping动态表项会被删除。
举例说明
在VLAN10上配置DHCP snooping no-binding
Switch# configure terminal
Switch(config)# dhcp snooping no-binding vlan 10
相关命令
show dhcp snooping config
12.15.5dhcp snooping database
命令功能
在全局配置模式下,使用dhcp snooping database命令位置交换机的DHCP snooping绑定数据库代理。
使用命令相应的no形式取消代理,或重置超时时间,或重置保存延期时间。
命令语法
dhcp snooping database auto-save interval SECONDS
| 参数 |
参数说明 |
参数取值 |
| interval SECONDS |
指定保存绑定数据库的时间间隔 (单位为秒) 。 |
15-1200秒 |
命令模式
全局配置模式
默认配置
默认时间间隔为600秒。
使用说明
DHCP snooping绑定数据库存储在flash:/dhcpsnooping中。
举例说明
配置DHCP snooping自动保存数据库时间间隔为120秒
Switch# configure terminal
Switch(config)# dhcp snooping database auto-save interval 120
相关命令
dhcp snooping
dhcp snooping binding
12.15.6dhcp snooping information option
命令功能
在全局配置模式下使用dhcp snooping information option命令使能DHCP报文中插入Option82数据。使用命令相应的no形式取消DHCP插入Option82数据。
命令语法
dhcp snooping information option
no dhcp snooping information option
命令模式
全局配置模式
默认配置
默认情况下,不插入DHCP Option82数据。
使用说明
你必须在全局配置模式下使用dhcp snooping命令全局使能DHCP snooping ,有关DHCP snooping的配置才会生效。
当Option82功能使能时,交换机收到主机发送的DHCP请求报文,会在报文中加入Option82选项信息。Option82选项信息包含交换机的MAC地址(远端ID选项),收到DHCP报文端口的ID(电路ID选项),该端口为vlan模式端口。交换机转发包含Option82选项的DHCP请求报文给DHCP服务器。
当DHCP服务器收到报文,可以使用远端ID,电路ID,或分配IP地址和执行政策,例如限制IP地址的数目可以分配到一个单独的远端ID或电路ID。之后DHCP服务器回复带有Option82选项的DHCP回复报文。
如果DHCP请求报文由中继转发给服务器,DHCP服务器单播DHCP回复报文给交换机。当DHCP客户端和DHCP服务器在同一子网时,DHCP服务器广播DHCP回复报文。交换机检测远端ID,以及可能存在的电路ID来检测DHCP报文是否原先就包含Option82选项。交换机移除报文的Option82选项,转发报文到连接发送DHCP请求报文主机的端口。
举例说明
配置使能插入DHCP Option82选项信息
Switch# configure terminal
Switch(config)# dhcp snooping information option
你可以在特权模式下使用show dhcp snooping config命令验证你的配置
Switch# show dhcp snooping config
dhcp snooping service: enabled
dhcp snooping switch: enabled
Verification of hwaddr field: enabled
Insertion of relay agent information (option 82): enabled
Relay agent information (option 82) on untrusted port: not allowed
dhcp snooping vlan 1
相关命令
show dhcp snooping config
show dhcp snooping binding
12.15.7dhcp snooping information option allow-untrusted
命令功能
在全局配置模式下使用dhcp snooping information option allow-untrusted命令配置汇聚交换机接收不信任接口收到的含有Option82选项的DHCP报文,不信任接口可能连接到一个边缘交换机。使用命令相应的no形式恢复默认设置。
命令语法
dhcp snooping information option allow-untrusted
no dhcp snooping information option allow-untrusted
命令模式
全局配置模式
默认配置
默认情况下,交换机丢弃不信任接口接收到的含有Option82的DHCP报文,该不信任接口可能连接到一个边缘交换机。
使用说明
你可能想要一个边缘交换机连接的主机在你的边缘网络中DHCP报文插入Option82选项。你可能也想在一个汇聚交换机上使能DHCP安全特性,例如DHCP snooping,IP源地址绑定,或动态ARP检测。但是,如果在一个汇聚交换机上使能DHCP snooping,交换机会丢弃从不信任接口收到的含有Option82选项的DHCP报文,无法学到连接信任接口设备的DHCP snooping绑定信息。
如果你想要汇聚交换机启用DHCP snooping功能,并能接收从边缘交换机连接主机发来的带有Option82选项的DHCP报文,使用dhcp snooping information option allow-untrusted命令配置汇聚交换机。汇聚交换机可以学到从不信任端口收到的DHCP报文的绑定系信息。你也可以在汇聚交换机使能DHCP安全特性。边缘交换机连接到汇聚交换机的端口必需被配置为信任端口。
举例说明
配置接入交换机接收不信任端口收到的从边缘交换机发来的含有Option82的DHCP报文
Switch# configure terminal
Switch(config)# dhcp snooping information option allow-untrusted
相关命令
show dhcp snooping config
12.15.8dhcp snooping information option allow-untrusted (interface)
命令功能
在接口配置模式下使用dhcp snooping information option allow-untrusted命令配置汇聚交换机接收不信任接口收到的含有Option82选项的DHCP报文,不信任接口可能连接到一个边缘交换机。使用命令相应的no形式恢复默认设置。
命令语法
dhcp snooping information option allow-untrusted
no dhcp snooping information option allow-untrusted
命令模式
端口配置模式
默认配置
默认情况下,接口没有配置信任,对于带有Option-82的报文,采用全局配置。
使用说明
你可能想要一个边缘交换机连接的主机在你的边缘网络中DHCP报文插入Option82选项。你可能也想在一个汇聚交换机上使能DHCP安全特性,例如DHCP snooping,IP源地址绑定,或动态ARP检测。但是,如果在一个汇聚交换机上使能DHCP snooping,交换机会丢弃从不信任接口收到的含有Option82选项的DHCP报文,无法学到连接信任接口设备的DHCP snooping绑定信息。
如果你想要汇聚交换机启用DHCP snooping功能,并能接收从边缘交换机连接主机发来的带有Option82选项的DHCP报文,使用dhcp snooping information option allow-untrusted命令配置汇聚交换机。汇聚交换机可以学到从不信任端口收到的DHCP报文的绑定系信息。你也可以在汇聚交换机使能DHCP安全特性。边缘交换机连接到汇聚交换机的端口必需被配置为信任端口。
举例说明
配置端口信任收到的从边缘交换机发来的含有Option82的DHCP报文
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dhcp snooping information option allow-untrusted
相关命令
show dhcp snooping config
12.15.9dhcp snooping trust
命令功能
在端口配置模式下使用dhcp snooping trust命令配置接口对DHCP snooping为信任接口。使用命令相应的no形式恢复为默认设置。
命令语法
dhcp snooping trust
no dhcp snooping trust
命令模式
端口配置模式
默认配置
默认情况下,为DHCP snooping不信任接口。
使用说明
配置连接DHCP服务器或其他交换机或路由器的接口为信任接口。配置连接DHCP客户端的接口为不信任接口。
举例说明
配置接口为DHCP snooping信任接口
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dhcp snooping trust
相关命令
show dhcp snooping config
12.15.10dhcp snooping no-binding
命令功能
在端口配置模式下使用dhcp snooping no-binding命令配置接口对DHCP snooping不记录动态表项。使用命令相应的no形式恢复为默认设置。
命令语法
dhcp snooping no-binding
no dhcp snooping no-binding
命令模式
端口配置模式
默认配置
默认情况下,DHCP snooping会记录动态表项。
使用说明
端口下使能不记录动态表项功能后,会删除对应端口的用户绑定表项。
举例说明
配置接口使能DHCP snooping no-binding功能
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dhcp snooping no-binding
相关命令
无
12.15.11dhcp snooping verify
命令功能
在全局配置模式下使用dhcp snooping verify命令配置在不信任端口打开DHCP源MAC匹配客户端硬件地址的检查功能。使用命令相应的no形式关闭MAC地址检查功能。
命令语法
dhcp snooping verify mac-address
no dhcp snooping verify mac-address
命令模式
全局配置模式
默认配置
默认情况下,交换机检查从不信任端口接收到的DHCP报文中的源MAC地址和客户端硬件地址是否一致。
使用说明
在一个服务提供端网络中,当交换机从不信任接口收到DHCP客户端发送的DHCP报文,会自动对报文的源MAC地址和DHCP客户端硬件地址进行检查。如果地址一致,交换机转发该报文,否则丢弃该报文。
举例说明
配置不对DHCP报文MAC地址检查
Switch# configure terminal
Switch(config)# no dhcp snooping verify mac-address
相关命令
show dhcp snooping config
12.15.12dhcp snooping vlan
命令功能
在全局配置模式下使用dhcp snooping vlan命令配置交换机在VLAN使能DHCP snooping。使用命令相应的no形式恢复为默认设置。
命令语法
dhcp snooping vlan VLAN-RANGE
no dhcp snooping vlan VLAN-RANGE
| 参数 |
参数说明 |
参数取值 |
| VLAN-RANGE |
指定使能DHCP snooping的VLAN ID或VLAN的范围。 |
1-4094 |
命令模式
全局配置模式
默认配置
默认情况下DHCP snooping在所有VLAN都未使能。
使用说明
你可以输入VLAN序号指定单独一个VLAN ID,或者输入几个VLAN序号使用逗号间隔,或输入一个VLAN范围使用连字号间隔,或输入VLAN开始ID和VLAN结束ID使用空格间隔。在VLAN上使能DHCP snooping 前,必须先全局使能DHCP snooping。
举例说明
在VLAN10上配置DHCP snooping
Switch# configure terminal
Switch(config)# dhcp snooping vlan 10
相关命令
show dhcp snooping config
12.15.13dhcp snooping vlan information option format-type circuit-id string
命令功能
在端口配置模式下使用dhcp snooping vlan vlanId information option format-type circuit-id string命令配置Option82选项中的电路ID。使用命令相应的no形式设置为默认电路ID。
命令语法
dhcp snooping vlan VLAN_ID information option format-type circuit-id string STRING
no dhcp snooping vlan VLAN_ID information option format-type circuit-id string
| 参数 |
参数说明 |
参数取值 |
| VLAN_ID |
指定使能DHCP snooping 的VLAN ID。 |
1-4094 |
| STRING |
ASCII 字符串 |
不超过63个ASCII码的字符串 |
命令模式
端口配置模式
默认配置
无
使用说明
必需在全局使能DHCP snooping,才可以使DHCP snooping的配置生效。
举例说明
在vlan2配置Option82中的电路ID为vlan2
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dhcp snooping vlan 2 information option format-type circuit-id string vlan2
相关命令
无
12.15.14dhcp snooping information option format remote-id
命令功能
在全局配置模式下使用dhcp snooping information option format remote-id命令配置Option82选项中的远端ID。使用命令相应的no形式设置为默认远端ID。
命令语法
dhcp snooping information option format remote-id ( string NAME | hostname )
no dhcp snooping information option format remote-id
| 参数 |
参数说明 |
参数取值 |
| NAME |
指定远端ID |
1到63 ASCII码对应的字符(不可以为空) |
| hostname |
指定交换机的主机名作为远端ID |
- |
命令模式
全局配置模式
默认配置
无
使用说明
必需在全局使能DHCP snooping,才可以使DHCP snooping的配置生效。
举例说明
配置Option82的远端ID为hostname
Switch# configure terminal
Switch(config)# dhcp snooping information option format remote-id hostname
相关命令
无
12.15.15dhcp snooping information option format remote-id(interface)
命令功能
在端口配置模式下使用dhcp snooping information option format remote-id命令配置Option82选项中的远端ID。使用命令相应的no形式设置为默认远端ID。
命令语法
dhcp snooping information option format remote-id ( string NAME | hostname )
no dhcp snooping information option format remote-id
| 参数 |
参数说明 |
参数取值 |
| NAME |
指定远端ID |
1到63 ASCII码对应的字符(不可以为空) |
| hostname |
指定交换机的主机名作为远端ID |
- |
命令模式
端口配置模式
默认配置
无
使用说明
必需在全局使能DHCP snooping,才可以使DHCP snooping的配置生效。端口配置优先于全局配置。
举例说明
在端口上配置Option82的远端ID为hostname
Switch# configure terminal
Switch(config)# interface eth-0-17
Switch(config-if)# dhcp snooping information option format remote-id hostname
相关命令
无
12.15.16dhcp snooping vlan information option format circuit-id
命令功能
在端口配置模式下使用该命令配置Option82选项中的电路ID。使用命令相应的no形式设置为默认电路ID。
命令语法
dhcp snooping ( vlan VLAN_ID | ) information option format circuit-id { vlan-id | ifname | hostname | mac | string STRING }
no dhcp snooping vlan VLAN_ID information option format circuit-id
| 参数 |
参数说明 |
参数取值 |
| VLAN_ID |
指定使能DHCP snooping 的VLAN ID。 |
1-4094 |
| STRING |
ASCII 字符串 |
不超过63个ASCII码的字符串 |
| hostname |
交换机的主机名 |
- |
| ifname |
端口名字 |
- |
| mac |
端口MAC地址 |
- |
| vlan-id |
Vlan ID |
- |
命令模式
端口配置模式
默认配置
无
使用说明
必需在全局使能DHCP snooping,才可以使DHCP snooping的配置生效。
举例说明
在vlan2配置Option82中的电路ID为vlan2
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dhcp snooping vlan 2 information option format-type circuit-id string vlan2
相关命令
无
12.15.17dhcp snooping information option format circuit-id vlan
命令功能
在全局配置模式下使用该命令配置Option82选项中的电路ID。使用命令相应的no形式设置为默认电路ID。
命令语法
dhcp snooping information option format circuit-id ( vlan VLAN_ID | ) { vlan-id | ifname | hostname | mac | string STRING }
no dhcp snooping information option format circuit-id ( vlan VLAN_ID | )
| 参数 |
参数说明 |
参数取值 |
| VLAN_ID |
指定使能DHCP snooping 的VLAN ID。 |
1-4094 |
| STRING |
ASCII 字符串 |
不超过63个ASCII码的字符串 |
| hostname |
交换机的主机名 |
- |
| ifname |
端口名字 |
- |
| mac |
端口MAC地址 |
- |
| vlan-id |
Vlan ID |
- |
命令模式
全局配置模式
默认配置
无
使用说明
必需在全局使能DHCP snooping,才可以使DHCP snooping的配置生效。
举例说明
在所有的vlan中配置circuit-id为ifname加mac加hostname
Switch# configure terminal
Switch(config)# dhcp snooping information option format circuit-id ifname mac hostname
Switch(config)#
相关命令
无
12.15.18dhcp snooping information option format remote-id vlan
命令功能
在全局配置模式下使用该命令配置Option82选项中的远端ID。使用命令相应的no形式设置为默认远端ID。
命令语法
dhcp snooping information option format remote-id ( vlan VLAN_ID | ) { vlan-id | ifname | hostname | mac | string STRING }
no dhcp snooping information option format remote-id
| 参数 |
参数说明 |
参数取值 |
| VLAN_ID |
指定使能DHCP snooping 的VLAN ID。 |
1-4094 |
| STRING |
ASCII 字符串 |
不超过63个ASCII码的字符串 |
| hostname |
交换机的主机名 |
- |
| ifname |
端口名字 |
- |
| mac |
端口MAC地址 |
- |
| vlan-id |
Vlan ID |
- |
命令模式
全局配置模式
默认配置
无
使用说明
必需在全局使能DHCP snooping,才可以使DHCP snooping的配置生效。
举例说明
配置Option82的远端ID为hostname
Switch# configure terminal
Switch(config)# dhcp snooping information option format remote-id hostname
相关命令
无
12.15.19dhcp snooping vlan information option format remote-id
命令功能
在端口配置模式下使用该命令配置Option82选项中的远端ID。使用命令相应的no形式设置为默认远端ID。
命令语法
dhcp snooping ( vlan VLAN_ID | ) information option format remote-id { vlan-id | ifname | hostname | mac | string STRING }
no dhcp snooping information option format remote-id
| 参数 |
参数说明 |
参数取值 |
| VLAN_ID |
指定使能DHCP snooping 的VLAN ID。 |
1-4094 |
| STRING |
指定远端ID |
1到63 ASCII码对应的字符(不可以为空) |
| hostname |
指定交换机的主机名作为远端ID |
- |
| ifname |
端口名字 |
- |
| mac |
端口MAC地址 |
- |
| vlan-id |
Vlan ID |
- |
命令模式
端口配置模式
默认配置
无
使用说明
必需在全局使能DHCP snooping,才可以使DHCP snooping的配置生效。端口配置优先于全局配置。
举例说明
在端口上配置Option82的远端ID为hostname
Switch# configure terminal
Switch(config)# interface eth-0-17
Switch(config-if)# dhcp snooping information option format remote-id hostname
相关命令
无
12.15.20dhcp snooping information option policy(interface)
命令功能
在端口配置模式下使用dhcp snooping information option policy命令配置带有option82 remote-id的DHCP报文的策略。
命令语法
dhcp snooping information option policy ( drop | keep | replace )
no dhcp snooping information option policy
| 参数 |
参数说明 |
参数取值 |
| drop |
丢弃带有option82 remote-id信息的请求消息 |
- |
| keep |
保留现有的option82信息 |
- |
| replace |
替换掉存在的option82 |
- |
命令模式
端口配置模式
默认配置
无
使用说明
端口视图下的策略的优先级大于全局视图下的策略的优先级。
举例说明
配置端口下的策略为keep
Switch# configure terminal
Switch(config)# interface eth-0-17
Switch(config-if)# dhcp snooping information option policy keep
Switch(config-if)#
相关命令
无
12.15.21dhcp snooping information option policy
命令功能
在全局配置模式下使用dhcp snooping information option policy命令配置带有option82 remote-id的DHCP报文的策略。
命令语法
dhcp snooping information option policy ( drop | keep | replace )
no dhcp snooping information option policy
| 参数 |
参数说明 |
参数取值 |
| drop |
丢弃带有option82 remote-id信息的请求消息 |
- |
| keep |
保留现有的option82信息 |
- |
| replace |
替换掉存在的option82 |
- |
命令模式
全局配置模式
默认配置
Replace
使用说明
端口视图下的策略的优先级大于全局视图下的策略的优先级。
举例说明
配置全局模式下的策略为keep
Switch# configure terminal
Switch(config)# dhcp snooping information option policy keep
Switch(config)#
相关命令
无
12.15.22dhcp snooping database ftp
命令功能
使用这条命令配置dhcp snooping本地表项上传ftp服务器。使用该命令的no形式关闭上传。
命令语法
dhcp snooping database ftp file NAME ( host ( mgmt-if | vrf WORD | ) A.B.C.D ) ( port <0-65535> | ) ( username STRING ) ( ( password ( 8 | ) | secret ) STRING ) ( interval <300-864000> | )
no dhcp snooping database ftp
| 参数 |
参数说明 |
参数取值 |
| NAME |
服务器上的文件名字 |
- |
| mgmt-if |
管理口 |
- |
| vrf WORD |
VPN路由转发实例名 |
不超过31个字符 |
| A.B.C.D |
远端服务器ip地址 |
- |
| port |
远端服务器端口号 |
<1-65535>,默认是21 |
| username STRING |
用户名 |
- |
| password |
用户密码 |
- |
| (8|) |
指定密码加密 |
- |
| secret |
指定密码加密 |
- |
| STRING |
用户密码字符串 |
- |
| interval |
上传时间间隔 |
范围是300-864000,单位是秒,默认值是300秒 |
命令模式
全局配置模式
默认配置
无
使用说明
该配置只支持配置一条,再次配置会覆盖掉之前的配置。
举例说明
下面的例子显示如何配置本地表项上传到ftp服务器
Switch(config)# dhcp snooping database ftp file test_ftp_202107132041 host mgmt-if 10.10.25.33 username admin secret admin interval 500
Switch(config)#
相关命令
dhcp snooping database ftp load
12.15.23dhcp snooping database ftp load
命令功能
使用这条命令下载ftp服务器上的备份文件到本地,并且加载到本地表项中。
命令语法
dhcp snooping database ftp load file NAME ( host ( mgmt-if | vrf WORD | ) A.B.C.D ) ( port <0-65535> | ) ( username STRING ) ( password ( 8 | ) STRING )
| 参数 |
参数说明 |
参数取值 |
| NAME |
服务器上的文件名字 |
- |
| mgmt-if |
管理口 |
- |
| vrf WORD |
VPN路由转发实例名 |
不超过31个字符 |
| A.B.C.D |
远端服务器ip地址 |
- |
| port |
远端服务器端口号 |
<1-65535>,默认是21 |
| username STRING |
用户名 |
- |
| password |
用户密码 |
- |
| (8|) |
指定密码加密 |
- |
| STRING |
用户密码字符串 |
- |
命令模式
特权模式
默认配置
无
使用说明
这个命令的使用前提是dhcp 服务已经打开,dhcp 服务需要同时配置service dhcp enable,dhcp snooping,dhcp snooping vlan VLANID三条命令才能使能。
举例说明
下面的例子显示如何从服务器下载备份并且加载到本地表项
Switch# dhcp snooping database ftp load file test_ftp_202107171555 host mgmt-if 10.10.25.33 username admin password admin
Download from URL to temporary file.
Get file from ftp://admin@10.10.25.33:21/test_ftp_202107171555
Connected to 10.10.25.33 (10.10.25.33).
220 Hello
Name (10.10.25.33:admin):
331 User name okay, need admin.
230 User logged in, proceed.
Remote system type is UNIX.
Using binary mode to transfer files.
200 Type set to I.
local: /tmp/recv20700 remote: test_ftp_202107171555
200 PORT command successful.
150 Opening BINARY mode data connection for test_ftp_202107171555 (259 Bytes).
.
226 Transfer complete. 259 bytes transferred. 0.25 KB/sec.
259 bytes received in 0.00205 secs (1.2e+02 Kbytes/sec)
Copy the temporary file to its destination.
.
259 bytes in 0.0 seconds, inf kbytes/second
--------------------------------------------------
Total number of binding item in remote file: 2
2 successful, 0 failed.
--------------------------------------------------
Invalid interfaces :0
Invalid vlans :0
Invalid leases :0
Invalid macs :0
Invalid ip address :0
Invalid type :0
Expired leases :0
Exceeds max limits :0
Duplication items :0
Out of memory :0
Parse failures :0
--------------------------------------------------
相关命令
dhcp snooping database ftp
12.15.24dhcp snooping database tftp
命令功能
使用这条命令配置dhcp snooping本地表项上传tftp服务器。使用该命令的no形式关闭上传。
命令语法
dhcp snooping database tftp file NAME ( host ( mgmt-if | vrf WORD | ) A.B.C.D ) ( port <0-65535> | ) ( interval <300-864000> | )
no dhcp snooping database tftp
| 参数 |
参数说明 |
参数取值 |
| NAME |
服务器上的文件名字 |
- |
| mgmt-if |
管理口 |
- |
| vrf WORD |
VPN路由转发实例名 |
不超过31个字符 |
| A.B.C.D |
远端服务器ip地址 |
- |
| port |
远端服务器端口号 |
<1-65535>,默认是69 |
| interval |
上传时间间隔 |
范围是300-864000,单位是秒,默认值是300秒 |
命令模式
全局配置模式
默认配置
无
使用说明
该配置只支持配置一条,再次配置会覆盖掉之前的配置。
举例说明
下面的例子显示如何配置本地表项上传到tftp服务器
Switch(config)# dhcp snooping database tftp file test_tftp_202107131558 host mgmt-if 10.10.38.160
Switch(config)#
相关命令
dhcp snooping database tftp load
12.15.25dhcp snooping database tftp load
命令功能
使用这条命令下载tftp服务器上的备份文件到本地,并且加载到本地表项中。
命令语法
dhcp snooping database tftp load file NAME ( host ( mgmt-if | vrf WORD | ) A.B.C.D ) ( port <0-65535> | )
| 参数 |
参数说明 |
参数取值 |
| NAME |
服务器上的文件名字 |
- |
| mgmt-if |
管理口 |
- |
| vrf WORD |
VPN路由转发实例名 |
不超过31个字符 |
| A.B.C.D |
远端服务器ip地址 |
- |
| port |
远端服务器端口号 |
<1-65535>,默认是69 |
命令模式
特权模式
默认配置
无
使用说明
这个命令的使用前提是dhcp 服务已经打开,dhcp 服务需要同时配置service dhcp enable,dhcp snooping,dhcp snooping vlan VLANID三条命令才能使能。
举例说明
下面的例子显示如何从tftp服务器下载备份并且加载到本地表项
Switch#dhcp snooping database tftp load file test_tftp_202107171439 host mgmt-if 10.10.38.160
Download from URL to temporary file.
Get file from tftp://10.10.38.160/test_tftp_202107171439
.
Received 259 bytes in 0.0 seconds
Copy the temporary file to its destination.
.
259 bytes in 0.0 seconds, inf kbytes/second
--------------------------------------------------
Total number of binding item in remote file: 2
0 successful, 2 failed.
--------------------------------------------------
Invalid interfaces :0
Invalid vlans :0
Invalid leases :0
Invalid macs :0
Invalid ip address :0
Invalid type :0
Expired leases :0
Exceeds max limits :0
Duplication items :2
Out of memory :0
Parse failures :0
--------------------------------------------------
相关命令
dhcp snooping database tftp
12.15.26debug dhcp snooping
命令功能
使用此命令可以打开dhcp snooping的模块的调试功能。
在原命令之前加上关键字“no”,关闭调试功能。
命令语法
debug dhcp snooping ( events | error | dump | packet | all )
no debug dhcp snooping ( events | error | dump | packet | all )
| 参数 |
参数说明 |
参数取值 |
| events |
调试dhcp snooping事件信息 |
- |
| error |
调试dhcp snooping错误信息 |
- |
| packet |
调试dhcp snooping的数据包信息 |
- |
| dump |
以十六进制调试dhcp snooping的数据包信息 |
- |
| all |
上面提到的所有调试信息 |
- |
命令模式
特权模式
默认配置
无
使用说明
使用“terminal monitor”打印消息
举例说明
使用如下命令,打开dhcp snooping的所有调试信息
Switch# debug dhcp snooping all
相关命令
terminal monitor
show logging buffer
12.15.27show dhcp snooping binding
命令功能
在特权模式下使用show dhcp snooping binding命令显示设备DHCP snooping绑定数据库和所有接口的配置信息。
命令语法
show dhcp snooping binding ( (all | manual | learning ) ( ipv4 IP_ADDR | mac MAC_ADDR | vlan VLAN_ID | interface IFNAME | ) summary | database )
| 参数 |
参数说明 |
参数取值 |
| all |
显示所有绑定条目 |
- |
| manual |
显示静态绑定条目 |
- |
| learning |
显示动态绑定条目 |
- |
| MAC_ADDR |
指定MAC地址 |
MAC地址 |
| VLAN_ID |
指定VLAN 序号。 |
1-4094 |
| IP_ADDR |
指定IP地址 |
IPv4地址 |
| IFNAME |
指定添加或删除绑定条目的接口 |
支持物理端口和聚合端口 |
| summary |
显示DHCP snooping绑定的概要信息 |
- |
| database |
显示DHCP snooping绑定数据库信息 |
- |
命令模式
特权模式
默认配置
无
使用说明
如果使能了DHCP snooping功能,即使接口变为断开状态,交换机也不会删除静态配置的绑定条目。
举例说明
显示dhcp snooping绑定信息
Switch# show dhcp snooping binding all
DHCP snooping binding table:
VLAN MAC Address Interface Lease(s) IP Address
============================================================
1 0001.0001.0001 eth-0-2 static 1.1.1.1
相关命令
dhcp snooping binding
12.15.28show dhcp snooping config
命令功能
在特权模式下使用show dhcp snooping config命令显示DHCP snooping配置。
命令语法
show dhcp snooping config
命令模式
特权模式
默认配置
无
使用说明
该命令用于显示DHCP snooping配置信息。
举例说明
显示dhcp snooping配置信息
Switch# show dhcp snooping config
dhcp snooping service: enabled
dhcp snooping switch: enabled
Verification of hwaddr field: enabled
Insertion of relay agent information (option 82): enabled
Relay agent information (option 82) on untrusted port: not allowed
dhcp snooping vlan 1
相关命令
dhcp snooping binding
12.15.29show dhcp snooping statistics
命令功能
在特权模式下使用show dhcp snooping statistics命令显示DHCP snooping统计信息。
命令语法
show dhcp snooping statistics
命令模式
特权模式
默认配置
无
使用说明
该命令用于显示DHCP snooping统计信息。
举例说明
显示dhcp snooping统计信息
Switch# show dhcp snooping statistics
DHCP snooping statistics:
============================================================
DHCP packets 11257
BOOTP packets 0
Packets forwarded 10381
Packets invalid 844
Packets MAC address verify failed 354
Packets dropped 516
相关命令
clear dhcp snooping statistics
12.15.30show dhcp snooping trusted-sources
命令功能
在特权模式下使用show dhcp snooping trusted-sources命令显示DHCP snooping信任端口。
命令语法
show dhcp snooping trusted-sources
命令模式
特权模式
默认配置
无
使用说明
该命令用于显示DHCP snooping信任端口。
举例说明
显示dhcp snooping信任端口信息
Switch# show dhcp snooping trusted-sources
List of DHCP snooping trusted interface(s):
============================================================
eth-0-2
相关命令
dhcp snooping trust
12.16IP Source Guard 命令
12.16.1ip source binding
命令功能
使用“ip source binding ”命令配置IP、MAC、VLAN、接口四者的绑定关系条目。
在原命令前加上关键字“no”删除该绑定条目。
命令语法
ip source binding mac MAC_ADDR vlan VLAN_ID ip IP_ADDR interface IFNAME
no ip source binding mac MAC_ADDR vlan VLAN_ID ip IP_ADDR interface IFNAME
| 参数 |
参数说明 |
参数取值 |
| MAC_ADDR |
指定绑定的MAC |
MAC地址 |
| VLAN_ID |
指定绑定的VLAN ID |
1-4094 |
| IP_ADDR |
指定绑定的IPv4地址 |
IPv4地址 |
| IFNAME |
指定绑定的接口 |
支持物理端口和聚合端口 |
命令模式
全局配置模式
默认配置
无
使用说明
一条静态的IP绑定条目包括一个IP地址,一个MAC地址,以及VLAN ID和接口名字。
同一个IP地址或MAC地址,端口相同,只能出现在一个绑定条目中,不允许重复出现。绑定条目配置以后不能修改,只能删除重配。
默认情况下系统未配置任何绑定条目。
举例说明
绑定MAC 0001.1234.1234,VLAN 1,IP 172.20.50.5和接口eth-0-1到一个绑定条目中
Switch# configure terminal
Switch(config)# ip source binding mac 0001.1234.1234 vlan 1 ip 172.20.50.5 interface eth-0-1
相关命令
show ip source binding
no ip source binding
12.16.2ipv6 source binding
命令功能
使用“ip source binding ”命令配置IP、MAC、VLAN、接口四者的绑定关系条目。
在原命令前加上关键字“no”删除该绑定条目。
命令语法
ip source binding mac MAC_ADDR vlan VLAN_ID ipv6 IPV6_ADDR interface IFNAME
no ip source binding mac MAC_ADDR vlan VLAN_ID ipv6 IPV6_ADDR interface IFNAME
| 参数 |
参数说明 |
参数取值 |
| MAC_ADDR |
指定绑定的MAC |
MAC地址 |
| VLAN_ID |
指定绑定的VLAN ID |
1-4094 |
| IPV6_ADDR |
指定绑定的IPv6地址 |
IPv6地址 |
| IFNAME |
指定绑定的接口 |
支持物理端口和聚合端口 |
命令模式
全局配置模式
默认配置
无
使用说明
一条静态的IP绑定条目包括一个IP地址,一个MAC地址,以及VLAN ID和接口名字。
同一个IP地址或MAC地址,端口相同,只能出现在一个绑定条目中,不允许重复出现。绑定条目配置以后不能修改,只能删除重配。
默认情况下系统未配置任何绑定条目。
举例说明
绑定MAC 0001.1234.1234,VLAN 1,ipv6 1::12:11和接口eth-0-1到一个绑定条目中
Switch# configure terminal
Switch(config)# ip source binding mac 0001.1234.1234 vlan 1 ipv6 1::12:11 interface eth-0-1
相关命令
show ip source binding
no ip source binding
12.16.3no ip source binding entries
命令功能
使用此命令删除一条或多条已经配置的绑定条目。
命令语法
no ip source binding entries
no ip source binding entries vlan VLAN_ID
no ip source binding entries interface IFNAME
| 参数 |
参数说明 |
参数取值 |
| VLAN_ID |
绑定到该VLAN的条目 |
1-4094 |
| IFNAME |
绑定到该接口的条目 |
支持物理端口和聚合端口 |
命令模式
全局配置模式
默认配置
无
使用说明
如果不指定VLAN或者接口,那么所有的绑定条目都将被删除。
举例说明
删除所有绑定到接口eth-0-1的条目
Switch# configure terminal
Switch(config)# no ip source binding entries interface eth-0-1
删除所有绑定到vlan 2的条目
Switch# configure terminal
Switch(config)# no ip source binding entries vlan 2
相关命令
ip source binding
show ip source binding
12.16.4ip source maximal binding
命令功能
使用“ip source maximal binding”命令,配置每个端口上最多绑定的条目数。
在原命令之前加上关键字“no”恢复该配置为默认。
命令语法
ip source maximal binding number per-port NUMBER
no ip source maximal binding number per-port
| 参数 |
参数说明 |
参数取值 |
| NUMBER |
指定端口上最多绑定的条目数 |
0-30 |
命令模式
全局配置模式
默认配置
10
使用说明
指定端口上最多绑定的条目数,范围在0~30之间。0表示不限定。默认为10条。
举例说明
删除所有绑定条目
Switch# configure terminal
Switch(config)# no ip source binding entries
设置每个端口上最多绑定的条目数为20
Switch# configure terminal
Switch(config)# ip source maximal binding number per-port 20
相关命令
show ip source binding
12.16.5ip verify source
命令功能
使用“ip verify source”在接口上使能IP绑定检查功能,并指定检查项。
在原命令前加上关键字“no”删除该配置。
命令语法
ip verify source ( ip | ip-mac | ip-vlan | ip-mac-vlan )
no ip verify source
| 参数 |
参数说明 |
参数取值 |
| ip |
检查源IP地址 |
- |
| ip-mac |
检查源IP地址和源MAC地址 |
- |
| ip-vlan |
检查源IP地址和源VLAN |
- |
| ip-mac-vlan |
检查源IP地址、源MAC地址,和源VLAN |
- |
命令模式
端口配置模式
默认配置
无
使用说明
在access端口上,不带tag的报文是可以通过源VLAN检查的。
默认情况下接口不使能IP绑定检查功能。
举例说明
在接口上使能IP绑定检查功能,检查源IP和MAC
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# ip verify source ip-mac
相关命令
ip source binding
show ip source binding
12.16.6show ip source binding
命令功能
使用“show ip source binding”显示ip绑定检查的功能的相关配置和绑定条目。
命令语法
show ip source binding ( interface IFNAME | )
| 参数 |
参数说明 |
参数取值 |
| IFNAME |
显示绑定到指定端口的条目 |
- |
命令模式
特权模式
默认配置
无
使用说明
如果不指定端口,那么所有绑定表项都会被显示出来。
举例说明
显示命令输出结果
Switch# show ip source binding
The total number of ip binding is 1, the max ip number limit is 127
The total number of ipv6 binding is 0, the max ipv6 number limit is 128
IP source guard binding table:
VLAN MAC Address Type Interface State IP Address
================================================================================
3 0001.0002.0003 static eth-0-1 ip 10.0.0.2
相关命令
ip source binding
no ip source binding
12.17AAA命令
12.17.1aaa new-model
命令功能
使用此命令使能鉴权,授权,统计(AAA)访问控制模块。
使用此命令的no形式去使能AAA模块。
命令语法
aaa new-model
no aaa new-model
命令模式
全局配置模式
默认配置
无
使用说明
使能AAA访问控制模块。
举例说明
下面举例,使能AAA访问控制模块
Switch# configure terminal
Switch(config)# aaa new-model
相关命令
show aaa status
12.17.2aaa authentication login
命令功能
使用此命令设置用户登陆鉴权方式链表。
命令语法
aaa authentication login ( default | LISTNAME ) { enable | line | none | radius | local | tacacs-plus }
no aaa authentication login ( default | LISTNAME )
| 参数 |
参数说明 |
参数取值 |
| default |
默认方式链表 |
- |
| LISTNAME |
鉴权方式链表名 |
不超过31个字符的字符串 |
| enable |
Enable密码 |
- |
| line |
Line密码 |
- |
| none |
无鉴权 |
- |
| radius |
RADIUS方式 |
- |
| local |
本地用户 |
- |
| tacacs-plus |
TACACS+方式 |
- |
命令模式
全局配置模式
默认配置
无
使用说明
使用该命令,设置用户登陆鉴权方式链表。
举例说明
下面举例,配置用户登陆鉴权方式使用本地用户,RADIUS,无鉴权
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa authentication login default local radius none
相关命令
show aaa method-lists authentication
12.17.3aaa authorization exec
命令功能
设置用户登陆授权方式链表。
命令语法
aaa authorization exec ( default | LISTNAME ) { none | radius | local | tacacs-plus }
no aaa authorization exec ( default | LISTNAME )
| 参数 |
参数说明 |
参数取值 |
| default |
默认方式链表 |
- |
| LISTNAME |
授权方式链表名 |
不超过31个字符的字符串 |
| none |
无授权 |
- |
| radius |
RADIUS方式 |
- |
| local |
本地用户 |
- |
| tacacs-plus |
TACACS+方式 |
- |
命令模式
全局配置模式
默认配置
无
使用说明
使用该命令设置用户登陆授权方式链表。
举例说明
下面举例,配置用户登陆授权方式使用TACACS+和无授权
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa authorization exec default local radius none
相关命令
无
12.17.4aaa accounting exec
命令功能
设置用户exec计费方式链表。
命令语法
aaa accounting exec ( default | LISTNAME ) ( ( ( start-stop | stop-only ) { radius | tacacs-plus } ( none | ) ) | none )
no aaa accounting exec ( default | LISTNAME )
| 参数 |
参数说明 |
参数取值 |
| default |
默认方式链表 |
- |
| LISTNAME |
计费方式链表名 |
不超过31个字符的字符串 |
| start-stop |
用户登录和退出都会发送计费请求 |
- |
| stop-only |
用户退出时会发送计费请求 |
- |
| none |
前面计费方式失败则不计费(否则如果计费失败会强制用户下线) |
- |
| radius |
RADIUS方式 |
- |
| tacacs-plus |
TACACS+方式 |
- |
命令模式
全局配置模式
默认配置
无
使用说明
使用该命令设置用户exec计费方式链表。
举例说明
下面举例,配置用户exec计费方式使用TACACS+
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa accounting exec default start-stop tacacs-plus none
相关命令
无
12.17.5aaa accounting commands
命令功能
设置用户命令行计费方式链表。
命令语法
aaa accounting commands ( default | LISTNAME ) ( ( tacacs-plus ( none | ) ) | none )
no aaa accounting commands ( default | LISTNAME )
| 参数 |
参数说明 |
参数取值 |
| default |
默认方式链表 |
- |
| LISTNAME |
计费方式链表名 |
不超过32个字符的字符串 |
| none |
前面计费方式失败则不计费(否则如果计费失败会记录到日志中) |
- |
| tacacs-plus |
TACACS+方式 |
- |
命令模式
全局配置模式
默认配置
无
使用说明
使用该命令,设置用户命令行计费方式链表。
举例说明
下面举例,配置用户命令行计费方式使用TACACS+
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa accounting commands default tacacs-plus none
相关命令
无
12.17.6aaa privilege mapping
命令功能
设置设备和服务器之间的级别映射关系。
命令语法
aaa privilege mapping LEVEL1 LEVEL2 LEVEL3
no aaa privilege mapping
| 参数 |
参数说明 |
参数取值 |
| LEVEL1 |
设备级别1对应server中级别的最大值 |
0-12 |
| LEVEL2 |
设备级别2对应server中级别的最大值 |
1-13 |
| LEVEL3 |
设备级别3对应server中级别的最大值 |
2-14 |
命令模式
全局配置模式
默认配置
无
使用说明
Server中privilege的级别一般是015而设备中的级别范围是14。默认三参数是0、1、10:
0:表示server级别0映射到设备级别1
1:表示server级别1映射到设备级别2
9:表示server级别2~9映射到设备级别3
剩下的10~15则映射到设备级别4
举例说明
下面举例,配置设备和服务器之间的级别映射关系
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa privilege mapping 0 1 14
相关命令
无
12.17.7login authentication
命令功能
设置用户登陆鉴权方式链表。
命令语法
login authentication ( default | LISTNAME )
no login authentication
| 参数 |
参数说明 |
参数取值 |
| default |
默认AAA鉴权方式链表名。 |
- |
| LISTNAME |
AAA鉴权方式链表名。 |
不超过31个字符的字符串 |
命令模式
Line配置模式
默认配置
无
使用说明
使能AAA鉴权用户登陆。
举例说明
下面举例,使能AAA鉴权用户登陆
Switch# configure terminal
Switch(config)# line vty 0 7
Switch(config-line)# login authentication default
相关命令
show aaa method-lists authentication
12.17.8authorization exec
命令功能
设置用户登陆鉴权方式链表。
命令语法
authorization exec ( default | LISTNAME )
no authorization exec
| 参数 |
参数说明 |
参数取值 |
| default |
默认AAA授权方式链表名。 |
- |
| LISTNAME |
AAA授权方式链表名。 |
不超过31个字符的字符串 |
命令模式
Line配置模式
默认配置
无
使用说明
使能AAA授权用户登陆。
举例说明
下面举例,使能AAA授权用户登陆
Switch# configure terminal
Switch(config)# line vty 0 7
Switch(config-line)# authorization exec default
相关命令
无
12.17.9accounting exec
命令功能
设置用户登陆exec计费方式链表。
命令语法
accounting exec ( default | LISTNAME )
no accounting exec
| 参数 |
参数说明 |
参数取值 |
| default |
默认AAA exec计费方式链表名。 |
- |
| LISTNAME |
AAA exec计费方式链表名。 |
不超过31个字符的字符串 |
命令模式
Line配置模式
默认配置
无
使用说明
使能AAA用户exec计费。
举例说明
下面举例,使能AAA exec计费
Switch# configure terminal
Switch(config)# line vty 0 7
Switch(config-line)# accounting exec default
相关命令
无
12.17.10accounting commands
命令功能
设置用户命令行计费方式链表。
命令语法
accounting commands ( default | LISTNAME )
no accounting commands
| 参数 |
参数说明 |
参数取值 |
| default |
默认AAA 命令行计费方式链表名。 |
- |
| LISTNAME |
AAA 命令行计费方式链表名。 |
不超过31个字符的字符串 |
命令模式
Line配置模式
默认配置
无
使用说明
使能AAA用户命令行计费。
举例说明
下面举例,使能AAA 命令行计费
Switch# configure terminal
Switch(config)# line vty 0 7
Switch(config-line)# accounting commands default
相关命令
无
12.17.11show aaa method-lists authentication
命令功能
使用此命令,显示鉴权,授权,统计方式链表。
命令语法
show aaa method-lists authentication
命令模式
特权模式
默认配置
无
使用说明
使用此命令,显示鉴权,授权,统计方式链表。
举例说明
下面举例,显示系统中鉴权方式链表
Switch# show aaa method-lists authentication
authen queue = AAA_ML_AUTHEN_LOGIN
name = default state = ALIVE : radius
authen queue = AAA_ML_AUTHEN_LOGIN
name = group_a state = ALIVE : radius local line enable none
authen queue=AAA_ML_AUTHEN_LOGIN
name = group_b state = ALIVE : local line none
相关命令
aaa authentication login
12.17.12show aaa status
命令功能
使用此命令,显示鉴权,授权,统计(AAA)状态。
命令语法
show aaa status
命令模式
特权模式
默认配置
无
使用说明
使用此命令,显示鉴权,授权,统计(AAA)状态。
举例说明
下面举例,显示系统AAA状态
Switch# show aaa status
aaa stats:
Authentication enable
相关命令
aaa new-model
12.17.13show aaa privilege mapping
命令功能
使用此命令显示设备和服务器之间的级别映射关系。
命令语法
show aaa privilege mapping
命令模式
特权模式
默认配置
无
使用说明
使用此命令显示设备和服务器之间的级别映射关系。
举例说明
下面举例,显示设备和服务器之间的级别映射关系
Switch# show aaa privilege mapping
Server Switch Server
=====================================
0 1 0
1 2 1
2~10 3 10
11~15 4 15
相关命令
aaa privilege mapping
12.17.14login-security enable
命令功能
使用此命令来使能或去使能登陆安全功能,使用该命令的no形式来关闭登录安全功能。
命令语法
login-security enable
no login-security enable
命令模式
全局配置模式
默认配置
打开
使用说明
如果关闭登录安全功能,将清除所有记录,即未锁定的用户失败记录清空,已锁定用户会解锁。
举例说明
如下示例,打开登录安全功能
Switch# configure terminal
Switch(config)# login-security enable
如下示例,关闭登录安全功能
Switch# configure terminal
Switch(config)# no login-security enable
相关命令
无
12.17.15login-security max-fail-num
命令功能
使用该命令来设置登录安全中的最大登录失败次数和失败记录周期,使用该命令的no形式来恢复默认值。
命令语法
login-security max-fail-num MAX_FAIL_NUM PERIOD
no login-security max-fail-num
| 参数 |
参数说明 |
参数取值 |
| MAX_FAIL_NUM |
最大登录失败次数 |
取值范围是1-10 |
| PERIOD |
登录失败记录周期 |
取值范围是1-120,单位是分钟 |
命令模式
全局配置模式
默认配置
默认最大登录失败次数5次
默认登录失败记录周期5分钟
使用说明
无
举例说明
如下示例,配置最大登录失败次数和失败记录周期
Switch# configure terminal
Switch(config)# login-security max-fail-num 7 9
如下示例,将最大登录失败次数和失败记录周期恢复成默认值
Switch# configure terminal
Switch(config)# no login-security max-fail-num
相关命令
无
12.17.16login-security lock-duration
命令功能
使用该命令来设置登录安全中的账户锁定时长,使用该命令的no形式来恢复默认值。
命令语法
login-security lock-duration LOCK_PEROID
no login-security lock-duration
| 参数 |
参数说明 |
参数取值 |
| LOCK_PEROID |
账户锁定时长 |
取值范围是0-1000,单位是分钟 |
命令模式
全局配置模式
默认配置
5
使用说明
用户锁定时间如果配置为0,代表永久锁定。
举例说明
如下示例,配置账户锁定时长
Switch# configure terminal
Switch(config)#login-security lock-duration
如下示例,将账户锁定时长恢复成默认值
Switch# configure terminal
Switch(config)# no login-security lock-duration
相关命令
无
12.17.17show login-security
命令功能
使用此命令显示登录失败用户的信息记录。
命令语法
show login-security
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
如下示例,显示登录安全配置信息和登录失败记录
Switch# show login-security
Switch# show login-security
Login Security: Enable
Max Fail Number: 5
Fail Period: 5 min
Lock Duration: 5 min
Login Security Records:
User name Local Locked Resume Time(s) Fail Count
================================================================================
admin 1 0 0 1
abcdefg 0 1 295 0
相关命令
无
12.17.18clear login-security record
命令功能
使用此命令清除用户登录的失败记录或者解锁用户。
命令语法
clear login-security record ( USERNAME | )
| 参数 |
参数说明 |
参数取值 |
| USERNAME |
用户名 |
首字母必须是a-z或A-Z,取值范围“0-9A-Za-z.-_”且最大长度为31 |
命令模式
特权模式
默认配置
无
使用说明
不指定用户名使用该命令,清除所有的登录失败记录,指定用户名的情况下则指定清除该记录。
举例说明
如下示例,清除登录失败记录
Switch# clear login-security record admin1
相关命令
无
12.18RADIUS认证命令
12.18.1radius-server deadtime
命令功能
使用“radius-server deadtime”命令配置重新激活认证服务器的时间间隔。
在原命令之前加上关键字“no”,恢复该配置为默认。
命令语法
radius-server deadtime MINUTES
no radius-server deadtime
| 参数 |
参数说明 |
参数取值 |
| MINUTES |
设置重新激活认证服务器的时间间隔 |
1-20分钟 |
命令模式
全局配置模式
默认配置
默认重新激活认证服务器的时间间隔为5分钟。
使用说明
当某一个用户在一个服务器上认证失败若干次以后,这个服务器将被标记为“未激活”。设备不会向一个未激活的服务器发出任何认证请求。防止对服务器造成冲击。
设置重新激活认证服务器的时间间隔有助于认证失败后能及时更新
缺省重新激活认证服务器的时间间隔为5分钟。
举例说明
设置重新激活认证服务器的时间间隔为10分钟
Switch# configure terminal
Switch(config)# radius deadtime 10
相关命令
radius-server host
12.18.2radius-server host
命令功能
使用“radius-server host”命令添加认证服务器。
在原命令之前加上关键字“no”,删除该配置。
命令语法
radius-server host HOST_IP_ADDR ( source-interface IFNAME | source-ip SRC_IP_ADDR | )
radius-server host HOST_IP_ADDR { key ( 8 | secret | ) STRING | retransmit RETRIES | timeout SEC | mgmt-if IPV4_ADDR | auth-port AUTH_PORT | acct-port ACCT_PORT } ( source-interface IFNAME | source-ip SRC_IP_ADDR | )
radius-server host mgmt-if IPV4_ADDR
radius-server host mgmt-if IPV4_ADDR { key ( 8 | secret | ) STRING | retransmit RETRIES | timeout SEC | mgmt-if IPV4_ADDRauth-port AUTH_PORT }
no radius-server host ( mgmt-if | ) IPV4_ADDR ( mgmt-if IPV4_ADDRauth-port AUTH_PORT | )
| 参数 |
参数说明 |
参数取值 |
| mgmt-if |
通过管理口认证 |
- |
| IPV4_ADDR |
Radius服务器的IPv4地址 |
IPv4 地址 |
| IPV6_ADDR |
Radius服务器的IPv6地址 |
- |
| AUTH_PORT |
Radius服务器的认证的端口,UDP端口号,默认1812 |
1-65535 |
| ACCT_PORT |
Radius服务器的认证的端口,UDP端口号,默认1813 |
1-65535 |
| SECONDS |
设备和服务器之间的报文等待超时时间。默认是 5,单位“秒” |
1-1000秒 |
| RETRIES |
设备到服务器之间的request报文。默认为3次。 |
1-100 |
| STRING |
指定密钥字符串 |
不超过256个字符的字符串 |
| IFNAME |
指定源接口名称 |
支持物理端口,聚合端口,环回端口,VLAN端口,隧道端口 |
| SRC_IP_ADDR |
指定源IP 地址 |
IPv4 地址 |
命令模式
全局配置模式
默认配置
无
使用说明
用户可以使用” radius-server host “命令添加多个认证服务器。系统会以配置先后顺序依次向这些服务器发起认证请求。
如果没有单独为某个服务器指定超时时间、重传次数、密钥等,系统将会使用全局配置的属性。如果指定源接口或者源IP地址,将会使用对应的IP地作为发出报文的源IP地址。
举例说明
添加认证服务器,地址为10.10.1.1,密钥为abcde
Switch# configure terminal
Switch(config)# radius-server host 10.10.1.1 key abcde
相关命令
radius-server key
radius-server timeout
12.18.3radius-server retransmit
命令功能
使用“radius-server retransmit”命令设置交换机发往RADISU服务器的Request报文的最大重传次数。
在原命令之前加上关键字“no”,恢复该配置为默认。
命令语法
radius-server retransmit RETRIES
no radius-server retransmit
| 参数 |
参数说明 |
参数取值 |
| RETRIES |
交换机发往RADISU服务器的Request报文的最大重传次数,默认为3次 |
1-100 |
命令模式
全局配置模式
默认配置
交换机发往RADISU服务器的Request报文的最大重传默认为3次。
使用说明
交换机会尝试所有的服务器,分别计算重传次数。如果设备到RADIUS服务器之间跳数较多,我们建议您配置RADIUS服务器重传次数为5。默认是3次尝试。
举例说明
设置交换机发往RADISU服务器的Request报文的最大重传次数为5次
Switch# configure terminal
Switch(config)# radius retransmit 5
相关命令
radius-server host
radius-server key
12.18.4radius-server timeout
命令功能
使用”radius-server timeout”命令设置交换机等待来自RADIUS服务器的Response报文的超时时间。
在原命令之前加上关键字”no”,恢复该配置为默认。
命令语法
radius-server timeout SECONDS
no radius-server timeout
| 参数 |
参数说明 |
参数取值 |
| SECONDS |
设置交换机等待来自RADIUS Server的Response的超时时间。默认5秒 |
1-1000秒 |
命令模式
全局配置模式
默认配置
默认是5秒。
使用说明
使用此命令来设置一个交换机和一台服务器response报文超时之前等待的秒数。如果设备到RADIUS服务器之间跳数较多,我们建议您配置RADIUS服务器超时为15秒。
举例说明
设置交换机等待来自RADIUS Server的Response的超时时间为15秒
Switch# configure terminal
Switch(config)# radius retransmit 15
相关命令
radius-server host
radius-server key
12.18.5radius-server key
命令功能
使用“radius-server key”命令设置交换机与认证服务器交互的共享密钥。
在原命令之前加上关键字“no”,删除该配置。
命令语法
radius-server key KEY_STRING
no radius-server key
| 参数 |
参数说明 |
参数取值 |
| KEY_STRING |
交换机与认证服务器交互的共享密钥 |
- |
命令模式
全局配置模式
默认配置
无
使用说明
缺省没有共享密钥;
共享密钥的长度在1-64个字符之间。
举例说明
设置交换机与认证服务器交互的共享密钥为“simple-key”
Switch# configure terminal
Switch(config)# radius-server key simple-key
相关命令
radius-server host
12.18.6show dot1x radius-server status
命令功能
使用“show dot1x radius-server status”命令显示dot1x的Radius服务器状态。
命令语法
show dot1x radius-server status ( interface IFNAME | )
| 参数 |
参数说明 |
参数取值 |
| IFNAME |
指定dot1x端口 |
支持物理端口 |
命令模式
特权模式
默认配置
无
使用说明
使用此命令显示每个会话中除以激活状态和非激活状态下的所有Radius服务器。
举例说明
在特权模式下使用“show dot1x radius-server status (interface IFPHYSICAL|)”命令
Switch# show dot1x radius-server status
=====================================
802.1X session on interface eth-0-9:
current radius server:
retransmit count : 3
server address : 3.3.3.3:1812
socket descriptor : 15
last state :
radius servers in dead list:
N/A
=====================================
相关命令
radius-server host
12.19TACACS+认证命令
12.19.1tacacs-server host
命令功能
使用此命令,增删TACACS+服务器。
命令语法
tacacs-server host HOST_IP_ADDR ( { key ( 8 | secret | ) STRING | timeout SECONDS | port PORT | single-connection | primary } | ) ( source-interface IFNAME | source-ip SRC_IP_ADDR | )
tacacs-server host mgmt-if IP_ADDR ( { key ( 8 | secret | ) STRING | timeout SECONDS | port PORT | single-connection | primary } | )
no tacacs-server host ( mgmt-if | ) IP_ADDR ( port PORT | )
| 参数 |
参数说明 |
参数取值 |
| mgmt-if |
通过管理口认证 |
- |
| IP_ADDR |
TACACS+服务器地址 |
IPv4地址 |
| single-connection |
维持TCP连接 |
- |
| primary |
TACACS+ 主服务器 |
- |
| PORT |
TACACS+ 端口号。(默认 49) |
1-65535 |
| SECONDS |
服务器应答超时时间,取值范围<1-20>。(默认5秒) |
1-20 |
| STRING |
TACACS+ 加密字 |
不超过256个字符的字符串 |
| 8 |
隐藏密钥 |
- |
| secret |
显示密文 |
- |
| IFNAME |
指定源接口名称 |
支持物理端口,聚合端口,环回端口,VLAN端口,隧道端口 |
| SRC_IP_ADDR |
指定源IP 地址 |
IPv4地址 |
命令模式
全局配置模式
默认配置
默认没有设置Tacacs+服务器
使用说明
使用此命令,增删TACACS+ 服务器。如果指定源接口或者源IP地址,将会使用对应的IP地作为发出报文的源IP地址。
举例说明
下面举例,配置10.10.10.1的TACACS+ 主服务器
Switch# configure terminal
Switch(config)# tacacs-server host 10.10.10.1 port 55 key my_key primary
相关命令
show tacacs
12.19.2clear tacacs statistics
命令功能
使用此命令,清空所有TACACS统计值。
命令语法
clear tacacs statistics
命令模式
特权模式
默认配置
无
使用说明
使用此命令,清空所有TACACS统计值。
举例说明
Switch# clear tacacs statistics
相关命令
show tacacs
12.19.3show tacacs
命令功能
使用此命令,显示TACACS+相关统计。
命令语法
show tacacs
命令模式
特权模式
默认配置
无
使用说明
使用此命令,显示TACACS+相关统计。
举例说明
下面举例,清空所有TACACS统计值
Switch(config)# clear tacacs statistics
下面举例,显示系统中TACACS+ 相关统计信息
Switch# show tacacs
Tacacs+ Primary Server : 10.10.33.29(mgmt-if) port 49
Tacacs+ Current Server : 10.10.33.29(mgmt-if) port 49
Tacacs+ Primary Server : 10.10.33.29(mgmt-if)
Server port : 49
Socket opens : 42
Socket closes : 42
Socket aborts : 0
Socket errors : 0
Socket Timeouts : 0
Failed Connect Attempts : 3
Total Packets Sent : 66
Total Packets Recv : 66
相关命令
tacacs-server host
12.19.4tacacs-server timeout quiet-time
命令功能
使用此命令,配置主用服务器恢复激活状态的静默时间。
在原命令之前加上关键字“no”,恢复该配置为默认。
命令语法
tacacs-server timeout quiet-time MINUTES
no tacacs-server timeout quiet-time
| 参数 |
参数说明 |
参数取值 |
| MINUTES |
设置主用服务器恢复激活状态的静默时间 |
1-255 分钟 |
命令模式
全局配置模式
默认配置
5分钟
使用说明
当tacacs+主用服务器无响应时,通过设置静默时间,保证主用服务器尽快恢复激活状态,同时减少服务器切换时的探测次数。默认5分钟。
举例说明
设置tacacs+主用服务器恢复激活状态时间
Switch# configure terminal
Switch(config)# tacacs-server timeout quiet-time 10
相关命令
tacacs-server host
12.20Port-Isolate命令
12.20.1port-isolate group
命令功能
使用“port-isolate group”指定端口所在的隔离组号。
在原命令前加上关键字“no”删除该配置。
命令语法
port-isolate group GROUP
no port-isolate group
| 参数 |
参数说明 |
参数取值 |
| GROUP |
隔离组号 |
1-30 |
命令模式
端口配置模式
默认配置
无
使用说明
属于同一隔离组的两个端口之间将受端口隔离功能的控制。属于不同隔离组的两个端口不受该功能影响。
隔离组可以配在物理端口或者聚合端口上。
举例说明
设置端口属于隔离组4
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# port-isolate group 4
相关命令
port-isolate mode
12.20.2port-isolate mode
命令功能
使用“port-isolate mode”命令配置端口隔离的模式。有隔离二层报文和全部隔离两种模式可供选择。
在原命令前加上关键字“no”恢复该配置为默认。
命令语法
port-isolate mode ( all | l2 )
no port-isolate mode
| 参数 |
参数说明 |
参数取值 |
| all |
隔离所有二层报文和三层报文 |
- |
| l2 |
仅隔离二层报文 |
- |
命令模式
全局配置模式
默认配置
无
使用说明
如果隔离模式为隔离二层,三层报文将不受影响。
如果隔离模式为全部隔离,所有报文都将受端口隔离功能的控制。
默认为仅隔离二层。
举例说明
配置端口隔离模式为全部隔离
Switch# configure terminal
Switch(config)# port-isolate mode all
相关命令
port-isolate group
12.20.3show port-isolate
命令功能
使用“show port-isolate”命令显示端口隔离相关配置。
命令语法
show port-isolate ( group GROUP )
| 参数 |
参数说明 |
参数取值 |
| GROUP |
隔离组号 |
1-30 |
命令模式
特权模式
默认配置
无
使用说明
如果不指定隔离组号,所有端口隔离信息都将被显示。
举例说明
显示命令的输出结果
switch # show port-isolate group 12
Port Isolate Mode : L2
------------------------------------------------------------------
Port Isolate Groups:
------------------------------------------------------------------
Groups ID: 12
eth-0-1 eth-0-2 eth-0-3 eth-0-4 eth-0-5
eth-0-6
------------------------------------------------------------------
相关命令
port-isolate group
12.20.4port-isolate am
命令功能
使用此命令使能单向隔离。
使用此命令的no格式关闭单向隔离。
命令语法
port-isolate am interface IFNAME
port-isolate am interface range IFRNG
no port-isolate am interface IFNAME
no port-isolate am interface range IFRNG
no port-isolate am
| 参数 |
参数说明 |
参数取值 |
| IFNAME |
端口名字 |
支持物理端口和聚合端口 |
| IFRNG |
端口范围 |
支持物理端口和聚合端口,使用逗号和短横连接一组范围内的端口。 |
命令模式
端口配置模式
默认配置
无
使用说明
单项隔离和隔离组不能再同一个端口上同时配置。
举例说明
下面的例子隔离了从eth-0-9收取、发送到eth-0-10的报文
Switch# configure terminal
Switch(config)# interface eth-0-9
Switch(config-if)# port-isolate am interface eth-0-10
相关命令
show port-isolate
12.21私有 Vlan命令
12.21.1private-vlan
命令功能
使用此命令指定私有vlan的主vlan。
使用此命令的no模式来恢复默认。
命令语法
private-vlan
no private-vlan
命令模式
VLAN配置模式
默认配置
缺省情况下,没有配置当前VLAN为主VLAN。
使用说明
只能配置VLAN 2 - 4094。
举例说明
下面的例子指定了VLAN 10为主vlan。
Switch# configure terminal
Switch(config)# vlan 10
Switch(config-vlan)# private-vlan
Switch(config-vlan)# end
Switch# configure terminal
Switch(config)# vlan 10
Switch(config-vlan)# no private-vlan
Switch(config-vlan)# end
相关命令
无
12.21.2secondary
命令功能
使用此命令指定私有vlan的从vlan。
使用此命令的no模式来恢复默认。
命令语法
secondary ( isolated VLAN_ID | community VLAN_LIST )
no secondary ( isolated VLAN_ID | community VLAN_LIST )
| 参数 |
参数说明 |
参数取值 |
| isolated VLAN_ID |
配置为隔离VLAN |
2-4094 |
| community VLAN_LIST |
配置为互通VLAN,VLAN序列 |
VLAN序列以‘-’ 和‘,’符号相连接,如 “2-10,15,20,30-40” |
命令模式
VLAN配置模式
默认配置
缺省情况下,没有配置主VLAN下的从VLAN。
使用说明
无
举例说明
下面的例子显示如何指定vlan11-15为从VLAN。
Switch# configure terminal
Switch(config)# vlan 10
Switch(config-vlan)# secondary isolated 11
Switch(config-vlan)# secondary community 12-15
Switch(config-vlan)# end
Switch# configure terminal
Switch(config)# vlan 10
Switch(config-vlan)# no secondary isolated 11
Switch(config-vlan)# no secondary community 12-15
Switch(config-vlan)# end
相关命令
无
12.21.3switchport private-vlan enable
命令功能
使用此命令在access口和trunk口使能私有vlan。
使用此命令的no模式来恢复默认。
命令语法
switchport private-vlan enable vlan VLAN_LIST
no switchport private-vlan enable vlan VLAN_LIST
| 参数 |
参数说明 |
参数取值 |
| VLAN_LIST |
使能指定的私有vlan,VLAN序列 |
VLAN序列以‘-’ 和‘,’符号相连接,如 “2-10,15,20,30-40” |
命令模式
端口配置模式
默认配置
缺省情况下,端口的PVLAN功能未使能。
使用说明
无
举例说明
下面的例子显示接口使能主vlan。
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan add 10-12,20-22
Switch(config-if)# switchport private-vlan enable vlan 10,20
Switch(config-vlan)# end
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# switchport mode trunk
Switch(config-if)# no switchport private-vlan enable vlan 10,20
Switch(config-vlan)# end
相关命令
无
12.21.4show vlan private-vlan
命令功能
在EXEC模式下使用该命令,显示私有vlan 配置情况。
命令语法
show vlan private-vlan ( VLAN_ID | )
| 参数 |
参数说明 |
参数取值 |
| VLAN_ID |
根据主vlan显示 |
<2-4094> |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
下面的例子显示了所有私有VLAN的配置情况
Switch# show vlan private-vlan
Primary Secondary Type Ports
--------------------------------------------------------------------------------
10 -- primary eth-0-5
10 11 isolate eth-0-2
10 12 community eth-0-3
10 13 community
10 14 community
10 15 community
20 -- primary eth-0-5
20 22 isolate eth-0-1
20 21 community eth-0-2
下面的例子显示了私有VLAN 20的配置情况
Switch# show vlan private-vlan 20
Primary Secondary Type Ports
--------------------------------------------------------------------------------
20 -- primary eth-0-5
20 22 isolate eth-0-1
20 21 community eth-0-2
相关命令
无
12.22DDOS命令
12.22.1ip icmp intercept
命令功能
可以用在全局配置模式下的ip icmp intercept 命令,来配置交换机防御ICMP泛洪攻击。使用命令相应的no形式关闭该项功能。
命令语法
ip icmp intercept ( maxcount NUMBER | )
no ip icmp intercept
| 参数 |
参数说明 |
参数取值 |
| NUMBER |
设定最大接收数据包的速率,单位为 包/每秒 |
0-1000 |
命令模式
全局配置模式
默认配置
默认情况下此功能未打开。
打开后如果不配置maxcount,则默认值为500。
使用说明
使用该条命令可以设置系统限制接收ICMP报文的速率。
举例说明
下面的例子表明了如何在设备上启用ICMP泛洪攻击检测
Switch# configure terminal
Switch(config)# ip icmp intercept maxcount 100
下面的例子为关闭ICMP泛洪攻击检测
Switch# configure terminal
Switch(config)# no ip icmp intercept
相关命令
show ip-intercept config
12.22.2ip smurf intercept
命令功能
在全局配置模式下使用ip smurf intercept 命令,来配置交换机防御smurf攻击。使用命令相应的no形式关闭该项功能。
命令语法
ip smurf intercept
no ip smurf intercept
命令模式
全局配置模式
默认配置
默认情况下此功能打开。
使用说明
使用该条命令可以配置系统抵御smurf攻击。
举例说明
下面的例子为配置防御smurf攻击检测
Switch# configure terminal
Switch(config)# ip smurf intercept
下面的例子为关闭smurf攻击检测
Switch# configure terminal
Switch(config)# no ip smurf intercept
相关命令
show ip-intercept config
12.22.3ip fraggle intercept
命令功能
在全局配置模式下使用ip fraggle intercept 命令,来配置交换机防御fraggle攻击。使用命令相应的no形式关闭该项功能。
命令语法
ip fraggle intercept
no ip fraggle intercept
命令模式
全局配置模式
默认配置
默认情况下此功能未打开。
使用说明
使用该条命令可以配置系统抵御fraggle攻击。
举例说明
下面的例子为配置防御攻击检测
Switch# configure terminal
Switch(config)# ip fraggle intercept
下面的例子为关闭fraggle攻击检测
Switch# configure terminal
Switch(config)# no ip fraggle intercept
相关命令
show ip-intercept config
12.22.4ip udp intercept
命令功能
在全局配置模式下使用ip udp intercept 命令,来配置交换机防御UDP泛洪攻击。使用命令相应的no形式关闭该项功能。
命令语法
ip udp intercept ( maxcount NUMBER | )
no ip udp intercept
| 参数 |
参数说明 |
参数取值 |
| NUMBER |
设定最大接收数据包的速率,单位为 包/每秒 |
0-1000 |
命令模式
全局配置模式
默认配置
默认情况下此功能未打开。
打开后如果不配置maxcount,则默认值为500。
使用说明
使用该条命令可以设置系统限制接收UDP报文的速率。
举例说明
下面的例子为配置防御UDP泛洪攻击检测
Switch# configure terminal
Switch(config)# ip udp intercept maxcount 100
下面的例子为关闭UDP泛洪检测
Switch# configure terminal
Switch(config)# no ip udp intercept
相关命令
show ip-intercept config
12.22.5ip tcp intercept
命令功能
可以用在全局配置模式下的ip tcp intercept 命令,来配置交换机防御SYN泛洪攻击。使用命令相应的no形式关闭该项功能。
命令语法
ip tcp intercept ( maxcount number | )
no ip tcp intercept
| 参数 |
参数说明 |
参数取值 |
| NUMBER |
设定最大接收数据包的速率,单位为 包/每秒 |
0-1000 |
命令模式
全局配置模式
默认配置
默认情况下此功能未打开。
打开后如果不配置maxcount,则默认值为500。
使用说明
使用该条命令可以设置系统限制接收TCP协议的SYN报文的速率。
举例说明
下面的例子为配置防御SYN泛洪攻击检测
Switch# configure terminal
Switch(config)# ip tcp intercept maxcount 100
下面的例子为关闭SYN泛洪攻击检测
Switch# configure terminal
Switch(config)# no ip tcp intercept
相关命令
show ip-intercept config
12.22.6ip small-packet intercept
命令功能
在全局配置模式下,使用ip small-packet intercept命令配置系统过滤ip小报文。使用命令相应的no形式关闭该项功能。
命令语法
ip small-packet intercept ( length number | )
no ip small-packet intercept
| 参数 |
参数说明 |
参数取值 |
| NUMBER |
设定ip小报文的长度 |
28-65535 |
命令模式
全局配置模式
默认配置
默认情况下此功能未打开。
打开后如果不配置报文长度,则默认值为28字节。
使用说明
使用该条命令可以设置系统丢弃IP报文长度小于命令配置长度。
举例说明
下面的例子为配置防御IP小报文攻击检测
Switch# configure terminal
Switch(config)# ip small-packet intercept length 32
下面的例子为关闭IP小报文检测
Switch# configure terminal
Switch(config)# no small-packet intercept
相关命令
show ip-intercept config
12.22.7ip maceq intercept
命令功能
在全局配置模式下,使用ip maceq intercept命令配置系统过滤源MAC地址等于目的MAC地址的报文。使用命令相应的no形式关闭该项功能。
命令语法
ip maceq intercept
no ip maceq intercept
命令模式
全局配置模式
默认配置
默认情况下此功能未打开。
使用说明
使用该条命令可以设置系统丢弃源MAC地址等于目的MAC地址的报文。
举例说明
下面的例子为配置防御目的MAC地址等于源MAC地址的报文攻击检测
Switch# configure terminal
Switch(config)# ip maceq intercept
下面的例子为关闭目的MAC地址等于源MAC地址的报文攻击检测
Switch# configure terminal
Switch(config)# no ip maceq intercept
相关命令
show ip-intercept config
12.22.8ip ipeq intercept
命令功能
在全局配置模式下,使用ip ipeq intercept命令配置系统过滤源IP地址等于目的IP地址的报文。使用命令相应的no形式关闭该项功能。
命令语法
ip ipeq intercept
no ip ipeq intercept
命令模式
全局配置模式
默认配置
默认情况下此功能未打开。
使用说明
使用该条命令可以设置系统丢弃源MAC地址等于目的MAC地址的报文。
举例说明
下面的例子为配置防御目的IP地址等于源IP地址的报文攻击检测
Switch# configure terminal
Switch(config)# ip ipeq intercept
下面的例子为关闭目的IP地址等于源IP地址的报文攻击检测
Switch# configure terminal
Switch(config)# no ip ipeq intercept
相关命令
show ip-intercept config
12.22.9show ip-intercept config
命令功能
在特权模式下,使用show ip-intercept config命令显示当前DDoS防御配置。
命令语法
show ip-intercept config
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
下面的例子显示系统当前DDos防御配置
Switch# show ip-intercept config
Current DDoS Prevent configuration:
============================================================
ICMP Flood Intercept :Enable Maxconut:100
UDP Flood Intercept :Enable Maxconut:100
SYN Flood Intercept :Enable Maxconut:100
Small-packet Attack Intercept :Enable Packet Length:32
Sumrf Attack Intercept :Enable
Fraggle Attack Intercept :Enable
MAC Equal Intercept :Disable
IP Equal Intercept :Disable
相关命令
show ip-intercept config
12.22.10show ip-intercept statistics
命令功能
在特权模式下,使用show ip-intercept statistics命令显示当前攻击检测丢包统计信息。
命令语法
show ip-intercept statistics
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
下面的例子显示当前系统攻击检测丢包统计信息
Switch# show ip-intercept statistics
Current DDoS Prevent statistics:
============================================================
Resist Small-packet Attack packets number : 17307
Resist ICMP Flood packets number : 0
Resist SYN Flood packets number : 0
Resist Fraggle Attack packets number : 0
Resist UDP Flood packets number : 0
Current DDoS Prevent mgmt-if statistics:
============================================================
Resist ICMP Flood packets number : 0
Resist SYN Flood packets number : 0
Resist Fraggle Attack packets number : 0
Resist UDP Flood packets number : 0
相关命令
clear ip-intercept statistics
12.22.11clear ip-intercept statistics
命令功能
在特权模式下,使用clear ip-intercept statistics命令清除攻击检测丢包统计信息。
命令语法
clear ip-intercept statistics
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
下面的例子为清除攻击检测丢包统计信息
Switch# clear ip-intercept statistics
Switch# show ip-intercept statistics
Current DDoS Prevent statistics:
============================================================
Resist Small-packet Attack packets number : 0
Resist ICMP Flood packets number : 0
Resist SYN Flood packets number : 0
Resist Fraggle Attack packets number : 0
Resist UDP Flood packets number : 0
Current DDoS Prevent mgmt-if statistics:
============================================================
Resist ICMP Flood packets number : 0
Resist SYN Flood packets number : 0
Resist Fraggle Attack packets number : 0
Resist UDP Flood packets number : 0
相关命令
show ip-intercept statistics
12.23Key Chain命令
12.23.1key chain
命令功能
在全局配置模式下,使用命令key chain创建密钥链。使用该命令的no形式删除配置。
命令语法
key chain WORD
no key chain WORD
| 参数 |
参数说明 |
参数取值 |
| WORD |
密钥链名称 |
不超过20个字符的字符串 |
命令模式
全局配置模式
默认配置
默认情况下系统没有密钥链条。
使用说明
密钥链通常使用在路由协议或网络应用中,具体的应用配置参见相关章节的配置文档。
举例说明
以下例子创建了一个密钥链
Switch# configure terminal
Switch(config)# key chain test
Switch(config-keychain)#
相关命令
key
key-string
show key chain
12.23.2key
命令功能
在Key Chain配置模式下,使用命令key 创建密钥。使用命令相关的no形式删除该配置。
命令语法
key KEY_ID
no key KEY_ID
| 参数 |
参数说明 |
参数取值 |
| KEY_ID |
key id |
0-31 |
命令模式
Key Chain配置模式
默认配置
密钥链中没有配置密钥。
使用说明
只有密钥中配置了密钥字符串,该密钥才会被使用。
举例说明
以下例子创建了一个密钥
Switch# configure terminal
Switch(config)# key chain test
Switch(config-keychain)# key 1
相关命令
key chain
key-string
accept-lifetime
send-lifetime
12.23.3key-string
命令功能
在Key Chain配置模式下,使用命令key-string 配置密钥字符串。使用命令相关的no形式删除配置。
命令语法
key-string LINE
no key-string LINE
| 参数 |
参数说明 |
参数取值 |
| LINE |
密钥字符串 |
不超过255个字符的字符串 |
命令模式
key配置模式
默认配置
没有配置密钥字符串
使用说明
使用该命令配置密钥的字符串,如果不设置发送或接收的有效时间,则密钥永久有效。
举例说明
以下例子配置了密钥字符串
Switch# configure terminal
Switch(config)# key chain test
Switch(config-keychain)# key 2
Switch(config-keychain-key)# key-string ##test_keywords##
相关命令
key
accept-lifetime
send-lifetime
12.23.4accept-lifetime
命令功能
在Key Chain配置模式下,使用accept-lifetime命令配置密钥的有效接收时间。使用命令的no形式删除配置。
命令语法
accept-lifetime START-TIME EXPIRE-TIME
no accept-lifetime
| 参数 |
参数说明 |
参数取值 |
| START-TIME |
密钥有效接收开始时间 |
密钥有效接收开始时间,格式可以为:HH:MM:SS <1-31> MONTH <1993-2035> 或HH:MM:SS MONTH <1-31> <1993-2035>,其中MONTH为月份英文首位三个字母 |
| EXPIRE-TIME |
密钥有效接收结束时间 |
密钥有效接收结束时间,格式可以为:HH:MM:SS <1-31> MONTH <1993-2035> ,HH:MM:SS MONTH <1-31> <1993-2035>,Infinite,duration <1-2147483646>,其中MONTH为月份英文首位三个字母 |
命令模式
key配置模式
默认配置
密钥接收永久有效。
使用说明
该命令配置密钥的接收有效时间,当时间到期以后该密钥无效。
举例说明
配置密钥有效接收时间从2012-1-2 00:00:01开始
Switch# configure terminal
Switch(config)# key chain test
Switch(config-keychain)# key 2
Switch(config-keychain-key)# accept-lifetime 0:0:1 2 jan 2012 infinite
相关命令
key
key-string
12.23.5send-lifetime
命令功能
在Key Chain配置模式下,使用send-lifetime命令配置密钥的有效发送时间。使用命令的no形式删除配置。
命令语法
send-lifetime START-TIME EXPIRE-TIME
no send-lifetime
| 参数 |
参数说明 |
参数取值 |
| START-TIME |
密钥有效接收开始时间 |
密钥有效接收开始时间,格式可以为:HH:MM:SS <1-31> MONTH <1993-2035> 或HH:MM:SS MONTH <1-31> <1993-2035>,其中MONTH为月份英文首位三个字母 |
| EXPIRE-TIME |
密钥有效接收结束时间 |
密钥有效接收结束时间,格式可以为:HH:MM:SS <1-31> MONTH <1993-2035> ,HH:MM:SS MONTH <1-31> <1993-2035>,Infinite,duration <1-2147483646>,其中MONTH为月份英文首位三个字母 |
命令模式
key配置模式
默认配置
密钥发送永久有效。
使用说明
该命令配置密钥的发送有效时间,当时间到期以后该密钥无效。
举例说明
配置密钥有效发送时间从2012-1-2 00:00:01 开始
Switch# configure terminal
Switch(config)# key chain test
Switch(config-keychain)# key 2
Switch(config-keychain-key)# send-lifetime 0:0:1 2 jan 2012 infinite
相关命令
key
key-string
12.23.6show key chain
命令功能
使用show key chain显示密钥链信息。
命令语法
show key chain ( WORD | )
| 参数 |
参数说明 |
参数取值 |
| WORD |
密钥链名称 |
不超过20个字符的字符串 |
命令模式
特权模式
默认配置
无.
使用说明
无
举例说明
显示密钥链test-chain信息
Switch# show key chain test
key chain test:
key 1 -- text "key-string ##test_keywords_1##"
accept-lifetime <00:00:01 Jan 01 2012> - <infinite>
send-lifetime <always valid> - <always valid> [valid now]
key 2 -- text "key-string ##test_keywords_2##"
accept-lifetime <always valid> - <always valid> [valid now]
send-lifetime <00:00:01 Jan 02 2012> - <infinite>
相关命令
key chain
12.24Port Block命令
12.24.1port-block
命令功能
在端口配置模式下,使用命令port-block创建端口阻塞。使用该命令的no形式删除配置。
命令语法
port-block ( known-unicast | known-multicast | unknown-unicast | unknown-multicast | broadcast )
no port-block ( known-unicast | known-multicast | unknown-unicast | unknown-multicast | broadcast )
| 参数 |
参数说明 |
参数取值 |
| known-unicast |
对目的MAC地址已知的单播进行阻塞 |
- |
| known-multicast |
对目的MAC地址已知的组播进行阻塞 |
- |
| unknown-unicast |
对目的MAC地址未知的单播进行阻塞 |
- |
| unknown-multicast |
对目的MAC地址未知的组播进行阻塞 |
- |
| broadcast |
对广播进行阻塞 |
- |
命令模式
端口配置模式
默认配置
对MAC地址已知的单播和组播都是不阻塞的;
对MAC地址未知的单播和组播都是不阻塞的;
广播也是不阻塞的。
使用说明
默认情况下,MAC地址未知的单播或组播可以传输到所有端口。用户在端口上可以配置该命令行对这些报文进行阻塞。在被保护的端口没有对这类报文进行阻塞,将可能出现安全问题。
port-block只对二层组播报文有效,包含三层头信息的组播报文将不被阻塞。
举例说明
对已知单播进行阻塞配置
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# port-block known-unicast
相关命令
show port-block (interface IFPHYSICAL | interface IFAGG |)
12.24.2show port-block
命令功能
使用此命令显示指定端口的port-block配置信息。
命令语法
show port-block ( interface IFNAME | )
| 参数 |
参数说明 |
参数取值 |
| IFNAME |
指定端口 |
支持物理端口和聚合端口 |
命令模式
特权模式
默认配置
N/A
使用说明
如不指定端口,则显示所有端口情况。
举例说明
显示端口的port-block配置信息
Switch# show port-block interface eth-0-1
相关命令
port-block (known-unicast | known-multicast | unknown-unicast | unknown-multicast | broadcast)
12.25设备管理安全命令
12.25.1ip telnet server acl
命令功能
在全局配置模式下,使用该命令可以过滤telnet client ip。使用该命令的no形式删除配置。
命令语法
ip telnet server acl NAME
no ip telnet server acl
| 参数 |
参数说明 |
参数取值 |
| NAME |
对应创建的ip access-list名字 |
不超过40个字符的字符串 |
命令模式
全局配置模式
默认配置
不过滤任何telnet client ip
使用说明
为了防止网络上的暴力破解,可以使用该命令过滤指定的telnet client ip。
在使用此命令前必须先创建access-list。
ACE不支持配置不连续的掩码
举例说明
启用telnet acl,过滤源ip为1.1.1.1的报文
Switch# configure terminal
Switch(config)# ip access-list telnetACL
Switch(config-ip-acl)# 10 deny tcp host 1.1.1.1 any
Switch(config-ip-acl)# exit
Switch(config)# ip telnet server acl telnetACL
相关命令
无
12.25.2ip ssh server acl
命令功能
在全局配置模式下,使用该命令可以过滤ssh client ip。使用该命令的no形式删除配置。
此外,该命令行也会对netconf服务生效,对netconf服务进行过滤。
命令语法
ip ssh server acl NAME
ip no ssh server acl
| 参数 |
参数说明 |
参数取值 |
| NAME |
对应创建的ip access-list名字 |
不超过40个字符的字符串 |
命令模式
全局配置模式
默认配置
不过滤任何ssh client ip和netconf client ip。
使用说明
为了防止暴力破解,可以使用该命令过滤指定的ssh client ip和netconf client ip。
在使用此命令前必须先创建access-list。
ACE不支持配置不连续的掩码
举例说明
启用ssh acl
启用ssh acl,过滤源ip为1.1.1.1的报文
Switch# configure terminal
Switch(config)# ip access-list telnetACL
Switch(config-ip-acl)# 10 deny tcp host 1.1.1.1 any
Switch(config-ip-acl)# exit
Switch(config)# ip ssh server acl telnetACL
相关命令
无
12.25.3service password-encryption
命令功能
在全局配置模式下,使用该命令可以加密用户和终端的密码。使用该命令的no形式删除配置。
命令语法
service password-encryption
no service password-encryption
命令模式
全局配置模式
默认配置
无
使用说明
使用此命令为用户和终端的密码加密,使用该命令后,已经存在的密码和新配置的密码都会被加密。
举例说明
下面举例如何对用户密码加密
Switch# configure terminal
Switch(config)# service password-encryption
Switch# show running-config
username admin privilege 4 password 8 56ab359baafb02a3
相关命令
无
12.25.4http server acl
命令功能
配置http/https服务的访问权限。
命令语法
http server acl NAME
no http server acl
| 参数 |
参数说明 |
参数取值 |
| NAME |
对应创建的ip access-list名字 |
不超过40个字符的字符串 |
命令模式
全局配置模式
默认配置
默认情况下不配置http/https服务的访问权限
使用说明
在使用此命令前必须先创建access-list。ACE只可以配置TCP协议与源ip地址
ACE不支持配置不连续的掩码
举例说明
以下例子只允许源ip地址为10.13.16.39的客户端访问web页面
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# ip access-list web1
Switch(config-ip-acl)# permit tcp 10.13.16.39 0.0.0.0 any
Switch(config-ip-acl)# quit
Switch(config)#http server acl web1
相关命令
无
12.25.5service rpc-api acl
命令功能
配置rpc-api http/https服务的访问权限
命令语法
service rpc-api acl NAME
no service rpc-api acl
| 参数 |
参数说明 |
参数取值 |
| NAME |
对应创建的ip access-list名字 |
不超过40个字符的字符串 |
命令模式
全局配置模式
默认配置
默认情况下不配置rpc-api http/https服务的访问权限
使用说明
在使用此命令前必须先创建access-list。ACE只可以配置TCP协议与源ip地址
ACE不支持配置不连续的掩码
举例说明
以下例子只允许源ip地址为10.13.16.39的客户端使用RPC-API的服务
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# ip access-list a1
Switch(config-ip-acl)# permit tcp 10.13.16.39 0.0.0.0 any
Switch(config-ip-acl)# quit
Switch(config)# service rpc-api acl a1
相关命令
无
12.25.6ftp server acl
命令功能
配置ftp server服务的访问权限
命令语法
ftp server acl NAME
no ftp server acl
| 参数 |
参数说明 |
参数取值 |
| NAME |
对应创建的ip access-list名字 |
不超过40个字符的字符串 |
命令模式
全局配置模式
默认配置
默认情况下不配置ftp server服务的访问权限
使用说明
在使用此命令前必须先创建access-list。ACE只可以配置TCP协议与源ip地址
ACE不支持配置不连续的掩码
举例说明
以下例子只允许源ip地址为10.13.16.39的客户端使用ftp server的服务
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# ip access-list a1
Switch(config-ip-acl)# permit tcp 10.13.16.39 0.0.0.0 any
Switch(config-ip-acl)# quit
Switch(config)# ftp server acl a1
相关命令
无
12.26MACsec命令
12.26.1mka policy
命令功能
创建或配置一个MKA策略,并进入该目录的配置模式。
命令语法
mka policy NAME
no mka policy NAME
| 参数 |
参数说明 |
参数取值 |
| NAME |
MKA策略名称。 |
最大支持16个字节,只能是字母、数字、连字符、下划线组成,区分大小写。 |
命令模式
全局配置模式
默认配置
存在一个缺省MKA策略,名称为default-policy。
使用说明
MKA策略表用来管理MKA相关配置。
用户可以创建一个MKA策略表,在mka apply policy时进行应用。
缺省MKA策略default-policy不能被删除或者修改,用户也不可创建与default-policy大小写相似的策略表。
举例说明
Switch# configure terminal
Switch(config)# mka policy test
相关命令
mka apply policy
12.26.2replay-protection enable
命令功能
用来开启MACsec重播保护功能。
命令语法
replay-protection enable
no replay-protection enable
命令模式
MKA策略视图
默认配置
开启状态。
使用说明
重播保护功能可以单独开启,且仅针对接收到的数据帧。重播保护为了防止收到乱序或重复的数据帧。
当接口上应用了MKA策略时,MKA中的replay-protection状态会覆盖接口上replay-protection状态。
举例说明
Switch# configure terminal
Switch(config)# mka policy test
Switch(config-mka-policy)# replay-protection enable
相关命令
replay-protection window-size
macsec replay-protection enable
12.26.3replay-protection window-size
命令功能
用来配置MACsec重播保护窗口大小。
命令语法
replay-protection window-size SIZE
no replay-protection window-size
| 参数 |
参数说明 |
参数取值 |
| SIZE |
重播保护窗口大小 |
重播保护窗口大小范围为0-4294967295个数据帧。 |
命令模式
MKA策略视图
默认配置
0
使用说明
在某些组网下(如数据帧穿过运营商网络),数据帧因为发送优先级的不同,在转发过程中会被重新排序,最终到达接收端会出现乱序。如果要正常接收这些乱序的数据帧,需配置重播保护窗口。假设配置的重播保护窗口大小为a,如果接收到了一个报文序号(PN,Packet Number)为x的报文,则下一个允许被接收的报文的PN必须大于或等于x-a。
该功能仅在重播保护功能开启的情况下有效。
当接口上应用了MKA策略时,MKA中的window-size大小会覆盖接口上window-size大小。
举例说明
Switch# configure terminal
Switch(config)# mka policy test
Switch(config-mka-policy)# replay-protection enable
Switch(config-mka-policy)# replay-protection window-size 100
相关命令
replay-protection enable
macsec replay-protection window-size
12.26.4validation-mode
命令功能
用来配置MACsec校验行为。
命令语法
validation-mode ( check | strict )
no validation-mode
| 参数 |
参数说明 |
参数取值 |
| check |
检查模式,表示只作校验,但不丢弃非法数据帧。 |
- |
| strict |
严格校验模式,表示校验数据帧,并丢弃非法数据帧。 |
- |
命令模式
MKA策略视图
默认配置
Strict。
使用说明
当接口上应用了MKA策略时,MKA中的validation-mode行为会覆盖接口上validation-mode行为。
举例说明
Switch# configure terminal
Switch(config)# mka policy test
Switch(config-mka-policy)# validation-mode check
相关命令
macsec validation-mode
12.26.5icv-mode
命令功能
用来配置MACsec校验模式。
命令语法
icv-mode ( normal | integrity-only )
no icv-mode
| 参数 |
参数说明 |
参数取值 |
| normal |
既进行数据加密又进行完整性校验。 |
- |
| integrity-only |
只进行完整性校验不进行数据加密。 |
- |
命令模式
MKA策略视图
默认配置
Normal。
使用说明
完整性校验:接收方对接收的数据进行完整性校验,以判定报文是否被篡改。发送端根据数据内容和加密算法计算出完整性校验值ICV(Integrity Check Value),附
加在数据后,接受端收到报文后根据除去ICV部分的报文和相同的加密算法计算出
ICV,同报文中的ICV比较。若二者相同,则认为报文完整,校验通过;否则,丢
弃报文。
当接口上应用了MKA策略时,MKA中的icv-mode模式会覆盖接口上icv-mode模式。
举例说明
Switch# configure terminal
Switch(config)# mka policy test
Switch(config-mka-policy)# icv-mode integrity-only
相关命令
confidentiality-offset
macsec icv-mode
12.26.6confidentiality-offset
命令功能
用来配置MACsec加密偏移量。
命令语法
confidentiality-offset ( 0 | 30 | 50 )
no confidentiality-offset
| 参数 |
参数说明 |
参数取值 |
| 0 |
加密偏移量为0字节,表示整个数据帧都需要加密。 |
- |
| 30 |
加密偏移量为30字节,表示数据帧从帧头开始偏移30字节后开始加密,主要用于IPv4帧负载均衡场景。 |
- |
| 50 |
加密偏移量为50字节,表示数据帧从帧头开始偏移50字节后开始加密,主要用于IPv6帧负载均衡场景。 |
- |
命令模式
MKA策略视图
默认配置
0
使用说明
如果本端不是密钥服务器,则应用密钥服务器发布的加密偏移量;如果本端是密钥服务器,则应用本端配置的加密偏移量,并将该值发布给对端。
该功能仅在icv-mode为normal模式下有效。
当接口上应用了MKA策略时,MKA中的confidentiality-offset大小会覆盖接口上confidentiality-offset大小。
举例说明
Switch# configure terminal
Switch(config)# mka policy test
Switch(config-mka-policy)# icv-mode normal
Switch(config-mka-policy)# confidentiality-offset 30
相关命令
icv-mode
macsec confidentiality-offset
12.26.7mka apply policy
命令功能
用来在接口上应用MKA策略。
命令语法
mka apply policy NAME
no mka apply policy
| 参数 |
参数说明 |
参数取值 |
| NAME |
MKA策略名称。 |
最大支持16个字节,只能是字母、数字、连字符、下划线组成,区分大小写。 |
命令模式
全局配置模式
默认配置
接口上未应用MKA策略。
使用说明
MKA接口上应用了MKA策略时,策略下配置的MACsec参数,包括重播保护功能、重播保护窗口值、校验行为、校验模式、加密偏移会覆盖接口下配置的对应的MACsec参数。
当修改策略下的配置时,接口相应的配置也会改变。
举例说明
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# mka apply policy test
相关命令
mka policy
12.26.8macsec replay-protection enable
命令功能
用来开启MACsec重播保护功能。
命令语法
macsec replay-protection enable
no macsec replay-protection enable
命令模式
端口配置模式
默认配置
开启状态。
使用说明
重播保护功能可以单独开启,且仅针对接收到的数据帧。重播保护为了防止收到乱序或重复的数据帧。
当接口上应用了MKA策略时,MKA中的replay-protection状态会覆盖接口上replay-protection状态。
举例说明
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# macsec replay-protection enable
相关命令
macsec replay-protection window-size
replay-protection enable
12.26.9macsec replay-protection window-size
命令功能
用来配置MACsec重播保护窗口大小。
命令语法
macsec replay-protection window-size SIZE
no macsec replay-protection window-size
| 参数 |
参数说明 |
参数取值 |
| SIZE |
重播保护窗口大小 |
重播保护窗口大小范围为0-4294967295个数据帧。 |
命令模式
端口配置模式
默认配置
0
使用说明
在某些组网下(如数据帧穿过运营商网络),数据帧因为发送优先级的不同,在转发过程中会被重新排序,最终到达接收端会出现乱序。如果要正常接收这些乱序的数据帧,需配置重播保护窗口。假设配置的重播保护窗口大小为a,如果接收到了一个报文序号(PN,Packet Number)为x的报文,则下一个允许被接收的报文的PN必须大于或等于x-a。
该功能仅在重播保护功能开启的情况下有效。
当接口上应用了MKA策略时,MKA中的window-size大小会覆盖接口上window-size大小。
举例说明
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# macsec replay-protection enable
Switch(config-if)# macsec replay-protection window-size 100
相关命令
macsec replay-protection enable
replay-protection window-size
12.26.10macsec validation-mode
命令功能
用来配置MACsec校验模式。
命令语法
macsec validation-mode ( check | strict )
no macsec validation-mode
| 参数 |
参数说明 |
参数取值 |
| check |
检查模式,表示只作校验,但不丢弃非法数据帧。 |
- |
| strict |
严格校验模式,表示校验数据帧,并丢弃非法数据帧。 |
- |
命令模式
端口配置模式
默认配置
Strict。
使用说明
当接口上应用了MKA策略时,MKA中的validation-mode模式会覆盖接口上validation-mode模式。
举例说明
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# macsec validation-mode check
相关命令
validation-mode
12.26.11macsec icv-mode
命令功能
用来配置MACsec校验模式。
命令语法
macsec icv-mode ( normal | integrity-only )
no macsec icv-mode
| 参数 |
参数说明 |
参数取值 |
| normal |
既进行数据加密又进行完整性校验。 |
- |
| integrity-only |
只进行完整性校验不进行数据加密。 |
- |
命令模式
端口配置模式
默认配置
Normal。
使用说明
完整性校验:接收方对接收的数据进行完整性校验,以判定报文是否被篡改。发
送端根据数据内容和加密算法计算出完整性校验值ICV(Integrity Check Value),附
加在数据后,接受端收到报文后根据除去ICV部分的报文和相同的加密算法计算出
ICV,同报文中的ICV比较。若二者相同,则认为报文完整,校验通过;否则,丢
弃报文。
当接口上应用了MKA策略时,MKA中的icv-mode模式会覆盖接口上icv-mode模式。
举例说明
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# macsec icv-mode integrity-only
相关命令
macsec confidentiality-offset
icv-mode
12.26.12macsec confidentiality-offset
命令功能
用来配置MACsec加密偏移量。
命令语法
macsec confidentiality-offset ( 0 | 30 | 50 )
no macsec confidentiality-offset
| 参数 |
参数说明 |
参数取值 |
| 0 |
加密偏移量为0字节,表示整个数据帧都需要加密。 |
- |
| 30 |
加密偏移量为30字节,表示数据帧从帧头开始偏移30字节后开始加密,主要用于IPv4帧负载均衡场景。 |
- |
| 50 |
加密偏移量为50字节,表示数据帧从帧头开始偏移50字节后开始加密,主要用于IPv6帧负载均衡场景。 |
- |
命令模式
端口配置模式
默认配置
0
使用说明
如果本端不是密钥服务器,则应用密钥服务器发布的加密偏移量;如果本端是密钥服务器,则应用本端配置的加密偏移量,并将该值发布给对端。
该功能仅在icv-mode为normal模式下有效。
当接口上应用了MKA策略时,MKA中的confidentiality-offset大小会覆盖接口上confidentiality-offset大小。
举例说明
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# macsec icv-mode normal
Switch(config-if)# macsec confidentiality-offset 30
相关命令
macsec icv-mode
confidentiality-offset
12.26.13macsec plain-packet-policy
命令功能
对协商过程中是否允许明文传输。
命令语法
macsec plain-packet-policy ( permit | drop )
no macsec plain-packet-policy
| 参数 |
参数说明 |
参数取值 |
| permit |
允许在协商过程中明文传输。 |
- |
| drop |
禁止在协商过程中明文传输。 |
- |
命令模式
端口配置模式
端口配置模式
默认配置
Drop。
使用说明
在drop模式下,协商认证过程中,禁止明文进行收发。
在permit模式下,协商过程中允许明文进行收发。
举例说明
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# macsec plain-packet-policy drop
相关命令
无
12.26.14macsec desire
命令功能
用来配置是否期望MACsec保护。
命令语法
macsec desire
no macsec desire
命令模式
端口配置模式
默认配置
不开启。
使用说明
仅用来告知对端,本端发送的数据帧需要进行MACsec保护,但最终本端发送的数据帧是否启用MACsec保护,要由密钥服务器来决策。决策策略是:密钥服务器和它的对端支持MACsec功能,且它们至少有一个请求MACsec保护。
举例说明
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# macsec desire
相关命令
无
12.26.15mka priority
命令功能
用来配置MKA密钥服务器优先级。
命令语法
mka priority PRIORITY
no mka priority
| 参数 |
参数说明 |
参数取值 |
| PRIORITY |
MKA密钥服务器优先级。 |
范围0~255,数值越小,优先级越高。 |
命令模式
端口配置模式
默认配置
0
使用说明
MACsec使用的安全密钥通过MKA协议进行协商生成。密钥服务器负责生成和发布MKA会话所使用的安全密钥。
如果采用802.1X认证生成的CAK,接入设备的接口自动被选举为密钥服务器。
如果采用用户配置的预共享密钥,优先级较高(值较小)的接口被选举为密钥服务器。如果两端的优先级相同,则比较SCI(MAC地址+端口的ID),SCI值较小的一端将被选举为密钥服务器。
优先级为255的设备端口不能被选举为密钥服务器。相互连接的端口不能都配置优先级为255,否则MKA会话选举不出密钥服务器。
举例说明
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# macsec priority 16
相关命令
无
12.26.16mka enable
命令功能
用来使能接口上MKA协议。
命令语法
mka enable
no mka enable
命令模式
端口配置模式
默认配置
未使能
使用说明
接口使能MKA协议后,将触发密钥协商过程,并在密钥协商成功之后建立MKA会话。
MKA协议负责接口上MACsec安全通道的建立和管理,以及MACsec所使用密钥的协商。
举例说明
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# mka enable
相关命令
无
12.26.17reset mka session
命令功能
用来重建接口上MKA会话。
命令语法
reset mka session interface IFNAME
| 参数 |
参数说明 |
参数取值 |
| IFNAME |
接口名称。 |
- |
命令模式
特权模式
默认配置
无
使用说明
在接口上使能了MKA协议并同对端建立会话后,执行该命令会触发同对端重新建立会话。
请在MKA会话状态为succeeded时执行该命令,否则可能造成短暂的不确定状态,有可能会影响之前的数据流。
举例说明
Switch# reset mka session interface eth-0-1
相关命令
无
12.26.18show mka policy
命令功能
用来显示MKA策略信息。
命令语法
show mka ( default-policy | policy ( NAME | ) )
| 参数 |
参数说明 |
参数取值 |
| default-policy |
表示显示默认的MKA策略信息。 |
- |
| NAME |
MKA策略名称。 |
指定该参数时,表示现时指定的MKA策略信息。 |
命令模式
特权模式
默认配置
无
使用说明
参数说明: | 字段 |描述 | | - | - | | PolicyName |MKA策略名称 | | ReplayProtection |重播保护功能是否开启 | | WindowSize |重播保护窗口大小,单位数据帧 | | IcvMode |ICV校验模式 | | ConfOffset |加密偏移量,单位字节 | | Validation |校验行为 |
举例说明
Switch# show mka policy
PolicyName ReplayProtection WindowSize IcvMode ConfOffset Validation
default-policy yes 0 normal 0 strict
相关命令
无
12.26.19show mka session
命令功能
用来显示MKA会话信息。
命令语法
show mka session interface ( IFNAME | )
| 参数 |
参数说明 |
参数取值 |
| IFNAME |
接口名称。 |
|
命令模式
特权模式
默认配置
无
使用说明
参数说明: | 字段 |描述 | | - | - | | Interface |接口名称 | | Tx-SCI |发送SCI,采用16进制 | | Priority |密钥服务器优先级,范围0~255 | | Capability |MACsec能力,取值如下:
0: 表示不支持MACsec功能
1: 表示只支持完整性检查,不支持加密
2: 表示支持完整性检查,可选择支持加密(加密偏移量只能为0)
3: 表示支持完整性检查,可选择支持加密(加密偏移量支持0,30及50) | | CKN for participant |MKA实例的CKN | | Key server |本端是否为密钥服务器 | | MI (MN) |MI:成员标识,采用16进制
MN:消息序号 | | Principal actor |MKA实例是否为主要行动者 | | MKA session status |MKA会话状态:
IDLE:空闲状态
INITIATED:初始状态
POTENTIAL_PEER_ESTABLISHED:邻居关系正在建立状态
SAK_READY:密钥服务器发布SAK状态
SAK_EXPECTED:非密钥服务器接收SAK状态
SUCCEEDED:协商成功状态 | | Confidentiality offset |加密偏移量 | | Current SAK status |当前使用的SAK的状态
tx表示用于发送
rx表示用于接收 | | Current SAK AN |当前SAK的SA编号 |
举例说明
Switch# show mka session interface eth-0-1
Interface eth-0-1:
Tx-SCI : 001E 080D 9D65 0001
Priority : 1
Capability : 3
CKN for participant : ABCD 0000 0000 0000 0000 0000 0000 0000
Key server : yes
MI (MN) : 28A0 00A8 0900 0804 2829 A90C (16)
Principal actor : no
MKA session status : succeeded
Confidentiality offset : 0 bytes
Current SAK status : rx & tx
Current SAK AN : 1
Current SAK KI (KN) : FA5A 8196 B770 6903 C2A7 576D D869 F63F (2)
Previous SAK status : N/A
Previous SAK AN : 0
Previous SAK KI (KN) : 0000 0000 0000 0000 0000 0000 0000 0000 (0)
Peer list:
MI MN Priority Capability Rx-SCI
3044 0421 5441 3545 6105 3035 15 0 3 001E 080E 0FCA 0001
相关命令
无
12.26.20show macsec
命令功能
用来显示MACsec运行信息。
命令语法
show macsec interface ( IFNAME | )
| 参数 |
参数说明 |
参数取值 |
| IFNAME |
接口名称。 |
|
命令模式
特权模式
默认配置
无
使用说明
参数说明: | 字段 |描述 | | - | - | | Interface |接口名称 | | Protect frames |是否开启MACsec数据帧保护功能 | | Active MKA policy |接口应用的MKA策略 | | Replay protection |重播保护功能的开启状态 | | Replay window size |重播保护窗口大小,单位为数据帧 | | Confidentiality offset |加密偏移量,单位为字节 | | Validation mode |数据帧校验模式 | | Included SCI |数据帧的SecTAG里是否携带SCI | | Transmit secure channel |发送数据帧的安全通道信息 | | SCI |本端SCI信息,采用16进制 | | Elapsed time |本端SC存在的时间 | | Current SA |当前发送SA编号 | | Receive secure channel |接收数据帧的安全通道信息 | | SCI |对端SCI信息,采用16进制 | | Elapsed time |对端SC存在的时间 | | Current SA |当前接收SA编号 | | Previous SA |前一个接收SA编号 |
举例说明
Switch# show macsec interface eth-0-1
Interface eth-0-1:
Protect frames : yes
Active MKA policy : N/A
Replay protection : yes
Replay window size : 0 frames
Confidentiality offset : 0 bytes
Validation mode : strict
Included SCI : yes
Transmit secure channel
SCI : 001E 080D 9D65 0001
Elapsed time : 00h:01m:39s
Current SA : AN 1
Receive secure channel
SCI : 001E 080E 0FCA 0001
Elapsed time : 00h:01m:39s
Current SA : AN 1
Previous SA : AN 0
相关命令
无
12.26.21show mka statistics
命令功能
用来显示MKA会话统计信息。
命令语法
show mka statistics interface ( IFNAME | )
| 参数 |
参数说明 |
参数取值 |
| IFNAME |
接口名称。 |
指定该参数时,表示显示该接口MKA会话统计信息。 |
命令模式
特权模式
默认配置
无
使用说明
参数说明: | 字段 |描述 | | - | - | | Interface |接口名称 | | MKPDUs with invalid CKN |收到的且找不到匹配CKN的MKA协议报文个数 | | MKPDUs with invalid ICV |ICV校验失败的MKA协议报文个数 | | MKPDUs with Rx error |接收到错误的MKA协议报文个数 | | CKN for participant |MKA实例的CKN | | Tx MKPDUs |实例发送的MKA协议报文个数 | | Rx MKPDUs |实例接收的MKA协议报文个数 | | MKPDUs with invalid MN |实例接收到非法MN的MKA协议报文个数 | | MKPDUs with Tx error |实例发送错误的MKA协议报文个数 | | SAKs distributed |实例分发的SAK个数 | | SAKs received |实例接收的SAK个数 |
举例说明
Switch# show mka statistics interface eth-0-1
Interface eth-0-1 statistics:
MKPDUs with invalid CKN : 0
MKPDUs with invalid ICV : 0
MKPDUs with Rx error : 3
CKN for participant : ABCD 0000 0000 0000 0000 0000 0000 0000
Tx MKPDUs : 557
Rx MKPDUs : 553
MKPDUs with invalid MN : 0
MKPDUs with Tx error : 0
SAKs distributed : 1
SAKs received : 1
相关命令
无
12.26.22show macsec statistics
命令功能
用来显示MACsec统计信息。
命令语法
show macsec statistics interface ( IFNAME | )
| 参数 |
参数说明 |
参数取值 |
| IFNAME |
接口名称。 |
指定该参数时,表示显示该接口MACsec统计信息。 |
命令模式
特权模式
默认配置
无
使用说明
参数说明: | 字段 |描述 | | - | - | | Interface |接口名称 | | Input |接收的经过MACsec保护的报文统计信息 | | SC OK packets |当前SC下所有SA累计ICV校验和重传保护检查通过的报文个数 | | SC Unchecked packets |当前SC下所有SA累计未进行ICV校验的报文个数 | | SC Delayed packets |当前SC下所有SA累计使能了重播保护功能后低于lowestPN的报文个数 | | SC Invalid packets |当前SC下所有SA累计check校验模式下ICV校验失败的报文个数 | | SC NotValid packets |当前SC下所有SA累计strict校验模式下ICV校验失败的报文个数 | | SC Late packets |当前SC下所有SA累计未使能重播保护功能后低于lowestPN的报文个数 | | SC NotUsingSA packets |当前SC下所有SA累计strict校验模式下SA未使用的报文个数 | | SC UnusedSA packets |当前SC下所有SA累计check校验模式下SA未使用的报文个数 | | SA OK packets |当前SA累计ICV校验和重传保护检查通过的报文个数 | | SA Unchecked packets |当前SA累计未进行ICV校验的报文个数 | | SA Delayed packets |当前SA累计使能了重播保护功能后低于lowestPN的报文个数 | | SA Invalid packets |当前SA 累计check校验模式下ICV校验失败的报文个数 | | SA NotValid packets |当前SA累计strict校验模式下ICV校验失败的报文个数 | | SA Late packets |当前SA累计未使能重播保护功能后低于lowestPN的报文个数 | | SA NotUsingSA packets |当前SA累计strict校验模式下SA未使用的报文个数 | | SA UnusedSA packets |当前SA累计check校验模式下SA未使用的报文个数 | | Output |发送的经过MACsec保护的报文统计信息 | | SC Protected packets |当前SC下所有SA累计不加密只进行ICV计算的报文个数 | | SC Encrypted packets |当前SC下所有SA累计既加密又进行ICV计算的报文个数 | | SA Protected packets |当前SA累计不加密只进行ICV计算的报文个数 | | SA Encrypted packets |当前SA累计既加密又进行ICV计算的报文个数 |
举例说明
Switch# show macsec statistics interface eth-0-1
Interface eth-0-1 statistics:
Input:
SC OK packets : 0
SC Unchecked packets : 0
SC Delayed packets : 0
SC Invalid packets : 0
SC NotValid packets : 0
SC Late packets : 0
SC NotUsingSA packets : 0
SC UnusedSA packets : 0
SA OK packets : 0
SA Unchecked packets : 0
SA Delayed packets : 0
SA Invalid packets : 0
SA NotValid packets : 0
SA Late packets : 0
SA NotUsingSA packets : 0
SA UnusedSA packets : 0
Output:
SC Protected packets : 0
SC Encrypted packets : 0
SA Protected packets : 0
SA Encrypted packets : 0
相关命令
无
12.26.23clear mka statistics
命令功能
用来清除MKA会话统计信息。
命令语法
clear mka statistics interface ( IFNAME | )
| 参数 |
参数说明 |
参数取值 |
| IFNAME |
接口名称。 |
指定该参数时,表示清除该接口MKA会话统计信息。 |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
Switch# clear mka statistics interface eth-0-1
相关命令
无
12.26.24clear macsec statistics
命令功能
用来清除MACsec统计信息。
命令语法
clear macsec statistics interface ( IFNAME | )
| 参数 |
参数说明 |
参数取值 |
| IFNAME |
接口名称。 |
指定该参数时,表示清除该接口MACsec统计信息。 |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
Switch# clear macsec statistics interface eth-0-1
相关命令
无