API Guide
• 在 IPV4-ACL 模式下配置丢弃或转发筛选器。
seq sequence-number {deny | permit | remark} {ip-protocol-number | icmp | ip | protocol |
tcp | udp} {source prefix | source mask | any | host} {destination mask | any | host ip-
address} [count [byte]] [fragments]
自动生成的序列号
如果您创建的 ACL 仅包含一个或两个筛选器,您可以让系统根据您配置筛选器的顺序分配序列号。系统使用 10 个值的倍数为筛选器
分配序列号。
• 配置拒绝或允许筛选器可检查 IPV4 ACL 模式下的 IP 数据包。
{deny | permit} {source mask | any | host ip-address} [count [byte]] [fragments]
• 配置拒绝或允许筛选器可检查 IPV4 ACL 模式下的 TCP 数据包。
{deny | permit} tcp {source mask] | any | host ip-address}} [count [byte]] [fragments]
• 配置拒绝或允许筛选器可检查 IPV4 ACL 模式下的 UDP 数据包。
{deny | permit} udp {source mask | any | host ip-address}} [count [byte]] [fragments]
为筛选器分配序列号
OS10(config)# ip access-list acl1
OS10(conf-ipv4-acl)# seq 5 deny tcp any any capture session 1 count
通过 ACL 查看处理的 ACL 和数据包
OS10# show ip access-lists in
Ingress IP access-list acl1
Active on interfaces :
ethernet1/1/5
seq 5 permit ip any any count (10000 packets)
Identifier
GUID-68BE7ECE-DBA0-4609-83F2-9C4F8D689A65
Version 1
Status Translation approved
删除 ACL 规则
在低于 10.4.2 的版本中,删除 ACL 规则需要序列号。
在 10.4.2 版本或更高版本后,您也可以使用 CLI 命令的 no 形式删除 ACL 规则,而无需使用序列号。
删除 ACL 规则时,将应用以下条件:
• 输入 CLI 命令的准确 no 形式。每个 ACL 规则都是一个独立的实体。例如,规则 deny ip any any 不同于 deny ip any
any count。
例如,如果您已配置以下规则:
deny ip 1.1.1.1/24 2.2.2.2/24
deny ip any any
使用命令 no deny ip any any 将仅删除 deny ip any any 规则。
要删除 deny ip 1.1.1.1/24 2.2.2.2/24 规则,必须明确使用 no deny ip 1.1.1.1/24 2.2.2.2/24 命令。
注: 通配符选项不受支持。
• 您不能再使用不同的序列号多次配置相同的 ACL 规则。此选项可防止在系统中输入重复的规则并占用内存空间。
• 当您从以前的版本升级到版本 10.4.2 或更高版本时,升级过程会删除所有重复的 ACL 规则,并且系统中仅存在 ACL 规则的一个
实例。
访问控制列表
1061