2023年12月15日发(作者:)
锐捷路由器命令参考
命令描述的约定:
命令和关键字使用粗体字;
变量使用斜体字;
方括号([])之间的内容是可选的参数;
花括号({})之间的内容是必须从多个参数中选择一个,参数之间用(|)隔开。
分类目录:
基本操作命令
基本系统管理命令
线路配置命令
文件系统操作命令
以太网接口配置命令
同步串行口配置命令
逻辑接口配置命令
路由配置命令
RIP协议配置命令
OSPF协议配置命令
HDLC协议配置命令
PPP协议配置命令
帧中继配置命令
NAT配置命令
DHCP配置命令
ACL配置命令
基本操作命令
命令
configure terminal
disable
enable
end
exit
ping
reload
telnet
描述
进入全局配置模式
返回用户模式
进入特权模式
返回特权模式
退出当前模式
对指定的地址进行ping操作
重新启动路由器
远程登录其它设备
show privilege
show running-config
show startup-config
查看用户的级别
查看运行配置文件
查看启动配置文件
基本系统管理命令
命令
copy
enable
enable password
enable secret
enable service
hostname
prompt
write
描述
复制或传输文件
配置特权密码
配置安全加密的特权密码
开启/禁止Telnet等服务功能
配置主机名
配置提示符
保存/显示配置文件
线路配置命令
命令
exec-timeout
history
history
history size
line
描述
配置Console或Telnet的超时时间
开启/关闭命令历史保存功能
设置可保存命令的最大条数
进入串口线路配置模式
进入远程登录线路配置模式
开启/关闭登录认证功能
配置登录口令
配置串口速率
查看线路信息
line console
line vty
login
password
speed
speed (Console)
show line
文件系统操作命令
命令
cd
描述
切换目录
cp
del
dir、ls
mkdir
more
mv
pwd
rename
rm
rmdir
复制文件
删除Flash中的文件
显示Flash中的文件列表
在Flash中创建一个空目录
显示Flash中文本文件的内容
移动文件
查看当前工作路径
重命名Flash中的文件
移除Flash中的文件
移除Flash中的空目录
以太网接口配置命令
命令
description
duplex
interface
interface ethernet
interface fastethernet
interface gigabitethernet
ip address
mac-address
shutdown
speed
speed
描述
配置接口描述
配置接口双工模式
指定一个Ethernet接口
指定一个FastEthernet接口
指定一个GigabitEthernet接口
配置接口的IP地址
配置接口的MAC地址
打开/关闭接口
配置接口速率
同步串行口(Serial)配置命令
命令
clock rate
description
encapsulation
ignore-dcd
描述
配置接口的时钟速率
配置接口描述
配置接口的链路封装协议
在接口上配置忽略DCD信号
interface
interface serial
interface serial (子接口)
invert txclock
ip address
nrzi-encoding
shutdown
指定一个Serial接口
创建一个Serial子接口
在接口上配置反转时钟
配置接口的IP地址
配置接口的编解码方式
打开/关闭接口
逻辑接口配置命令
命令
description
interface
interface loopback
interface serial (子接口)
ip address
描述
配置接口描述
创建一个回环接口
创建一个Serial子接口
配置接口的IP地址
路由配置命令
命令
ip default-network
ip route
ip routing
show ip route
描述
配置缺省网络
配置静态路由
开启/关闭IP路由
查看路由表
RIP协议配置命令
命令
ip rip
ip rip receive version
ip rip send version
network
network (RIP)
router
router rip
timers basic
描述
设置接口上RIP接收版本
设置接口上RIP发送版本
设置RIP协议范围
开启RIP协议
设置RIP的定时器
version
show ip protocols
show ip route
设置RIP的版本
查看路由协议信息
查看路由表
OSPF协议配置命令
命令
network
network (OSPF)
router
router ospf
show ip protocols
show ip route
描述
设置OSPF协议范围
开启OSPF协议
查看路由协议信息
查看路由表
HDLC协议配置命令
命令
encapsulation
encapsulation hdlc
keepalive
描述
在接口上配置HDLC协议
设置HDLC协议的keepalive时间间隔
PPP协议配置命令
命令
encapsulation
encapsulation ppp
ppp
描述
在接口上配置PPP协议
在接口上启用用户身份验证
ppp authentication
配置接口上使用的CHAP验证用户名
ppp chap hostname
配置接口上使用的CHAP验证密码
ppp chap password
ppp pap sent-username
配置接口发送的PAP验证的用户名和密码
ppp
配置PPP协议的LCP协商的超时时间
negotiation-timeout
username
设置本地用户数据库
帧中继配置命令
命令
encapsulation
描述
encapsulation frame-relay
在接口上配置帧中继封装
设置本地管理接口(LMI)的类型
配置帧中继静态映射
配置子接口的DLCI地址
配置接口的DLCI地址
frame-relay
frame-relay lmi-type
frame-relay map
frame-relay interface-dlci
frame-relay local-dlci
NAT配置命令
命令
address
address
address interface
clear ip nat translation
ip nat
ip nat
ip nat inside destination
ip nat inside source list
ip nat inside source static
ip nat outside source list
ip nat outside source static
ip nat pool
ip nat translation
show ip nat statistics
show ip nat translations
描述
向NAT地址池中添加地址范围
向NAT地址池中添加接口地址
清除NAT转换表中的记录
定义应用NAT的接口
启用NAT内部目标地址转换
启用内部源地址转换的动态NAT
启用内部源地址转换的静态NAT
启用外部源地址转换的动态NAT
启用外部源地址转换的静态NAT
定义一个IP地址池
配置NAT转换记录的参数
查看NAT规则和统计数据
查看NAT转换记录
DHCP配置命令
命令
client-identifier
default-router
dns-server
hardware-address
host
ip dhcp
ip
excluded-address
描述
设置DHCP地址绑定时的客户端标识
设置DHCP地址池的默认网关
设置DHCP地址池的DNS服务器地址
设置DHCP地址绑定时的客户端硬件地址
设置DHCP地址绑定时的客户端地址
dhcp
设置DHCP服务器中排除的IP地址
设置DHCP服务器ping包的个数
ip dhcp ping packet
ip dhcp ping timeout
ip dhcp pool
设置ping操作的等待应答超时时间
配置DHCP地址池
设置DHCP服务器地址
设置DHCP地址池中地址的租约期限
设置DHCP地址池的WINS服务器地址
设置DHCP地址池的NetBIOS节点类型
设置DHCP服务器地址池中的地址
在路由器上启用DHCP服务器和DHCP中继代理功能
ip helper-address
lease
netbios
netbios-name-server
netbios-node-type
network
network (DHCP)
service dhcp
ACL配置命令
命令
absolute
access-list
expert access
expert access-list
expert access-group
deny
ip access-group
描述
在一个时间区间中添加绝对时间段
配置标号访问控制列表
配置命名的Expert扩展访问控制列表
把Expert扩展访问控制列表应用于接口上
在访问列表中加入一条拒绝规则
把IP访问控制列表应用于接口上
ip access-list
配置命名的IP访问控制列表
ip access-list
ip access-list
对命名的IP访问控制列表的表项重排
resequence
mac access
mac access-list
mac access-group
periodic
permit
配置命名的MAC扩展访问控制列表
把MAC扩展访问控制列表应用于接口上
在一个时间区间中添加周期时间段
在访问列表中加入一条允许规则
time-range
创建/进入一个时间区间
NAT配置命令
address命令
address
语法:
address start-address end-address [match interface interface-id]
no address start-address end-address [match interface
interface-id]
本命令可以向NAT地址池中添加地址范围。使用 no 选项可删除地址池中的一个地址范围。
参数:
start-address:地址块的起始IP地址。
end-address:地址块的结束IP地址。
match interface interface-id:可选,用于NAT有多个outside口的情况,可指定这个地址块用在哪个outside口的NAT转换中。
缺省值:没有定义地址范围。
命令模式:NAT地址池配置模式。
说明:如果需要定义只有一个地址块的地址池,只要用 ip nat pool 命令定义就可以了。当需要定义由多个地址块组成的地址池时,应该先用 ip nat pool 命令建立一个空地址池,并进入NAT地址池配置模式,再用 address 命令添加地址块。
范例:
Ruijie(config)#ip nat pool mulpool netmask 255.255.255.0
Ruijie(config)#address 200.10.6.1 200.10.6.10
Ruijie(config)#address 200.10.7.100 200.10.7.130
本例建立了一个名为 mulpool 的地址池,并在其中定义了两个地址块。
相关命令:
ip nat pool
创建一个NAT地址池
address interface
语法:
address interface interface-id [match interface interface-id]
no address interface interface-id [match interface interface-id]
本命令可以向NAT地址池中添加一个地址,该地址是指定接口的IP地址。使用
no 选项可删除地址池中的一个地址。
参数:
interface-id:指定的接口。
match interface interface-id:可选,用于NAT有多个outside口的情况,可指定添加的地址用在哪个outside口的NAT转换中。
缺省值:没有定义地址范围。
命令模式:NAT地址池配置模式。
说明:本命令用于向地址池中添加一个接口的IP地址,这样当接口的IP地址发生改变时,不需要重新定义地址池。这种方法多用于那种使用 outside 口地址作为NAT转换地址的情况。
如果使用了 match interface interface-id 选项,要保证两个接口必须一致,否则会引起NAT不通。
范例:
Ruijie(config)#ip nat pool p1 netmask 255.255.255.0
Ruijie(config)#address interface s0/0
本例建立了一个名为 p1 的地址池,并在其中加入了 Serial 0/0 口的IP地址。
相关命令:
ip nat pool
创建一个NAT地址池
clear命令
clear ip nat translation
语法:
clear ip nat translation *
本命令用于清除NAT转换表中的记录。
参数:
*:删除所有动态NAT转换记录。
命令模式:特权模式。
说明:NAT转换记录可以用 show ip nat translations 命令查看,如果记录太多,可以用本命令清除所有转换记录。但要注意清除操作会影响当前会话,可能导致 FTP 之类的连接丢失,所以,此命令应谨慎使用。
范例:
Ruijie(config)#clear ip nat translation *
相关命令:
show ip nat translations
查看NAT转换记录
本站首页→网络技术→锐捷路由器命令参考
回顶部
ip nat命令
ip nat
语法:
ip nat {inside | outside}
no ip nat {inside | outside}
本命令用于设置应用NAT的内网和外网的接口。使用 no 选项可使接口不再应用NAT。
参数:
inside:表示该接口连接内部网络。
outside:表示该接口连接外部网络。
缺省值:接口上没有应用NAT。
命令模式:接口配置模式。
说明:数据包只有在 outside 接口和 inside 接口之间路由时,并且符合一定规则的,才会进行NAT转换。所以实现NAT的路由器必须配置至少一个
outside 接口和一个 inside 接口,也可配置多个。
范例:
Ruijie(config)#interface f0/0
Ruijie(config-if)#ip address 192.168.10.1 255.255.255.0
Ruijie(config-if)#ip nat inside
Ruijie(config-if)#no shutdown
Ruijie(config-if)#interface f0/1
Ruijie(config-if)#ip address 200.19.12.17 255.255.255.0
Ruijie(config-if)#ip nat outside
Ruijie(config-if)#no shutdown
本例路由器的 fastethernet 0/0 连接的是内网,被定义为 inside 接口,
fastethernet 0/1 连接的是外网,被定义为 outside 接口。
相关命令:
show ip nat
statistics
查看NAT统计数据和规则,包括inside和outside接口
ip nat inside destination
语法:
ip nat inside destination list access-list-number pool pool-name
no ip nat inside destination list access-list-number pool
pool-name
启用NAT内部目标地址转换。使用 no 选项可关闭NAT内部目标地址转换。
参数:
access-list-number:访问控制列表的表号。它指定由哪个访问控制列表来定
义目标地址的规则。
pool-name:IP地址池名字。该地址池定义了用于NAT转换的内部本地地址。
缺省值:没有启用NAT内部目标地址转换。
命令模式:全局配置模式。
说明:NAT内部目标地址转换可用于实现TCP负载均衡,你可以用一台虚拟主机代替多台实际主机接收用户的TCP请求,由NAT把这些请求轮流映射到各个实际主机上,达到负载分流的目的。
配置TCP负载均衡时,访问控制列表定义的是虚拟主机的地址,IP地址池中定义的是各台实际主机的地址。
范例:
Ruijie(config)#ip nat pool np 192.168.1.1 192.168.1.3 netmask
255.255.255.0 type rotary
Ruijie(config)#access-list 1 permit 60.8.1.1 0.0.0.0
Ruijie(config)#ip nat inside destination list 1 pool np
本例定义了一个TCP负载均衡,虚拟主机地址为60.8.1.1,由access-list 1定义,实际主机地址为192.168.1.1~192.168.1.3,由地址池np定义。
相关命令:
ip nat pool
access-list
创建一个NAT地址池
定义访问控制列表
ip nat inside source list
语法:
ip nat inside source list access-list-number {pool pool-name |
interface interface-id} [overload]
no ip nat inside source list access-list-number
启用内部源地址转换的动态NAT。使用 no 选项可关闭该动态NAT。
参数:
access-list-number:访问控制列表的表号。它指定由哪个访问控制列表来定义源地址的规则。
pool-name:IP地址池名字。该地址池定义了用于NAT转换的内部全局地址。
interface-id:接口号。指定用该接口的IP地址作为内部全局地址。
overload:启用端口复用,使每个全局地址可以和多个本地地址建立映射。
缺省值:没有启用NAT。
命令模式:全局配置模式。
说明:在锐捷路由器中,端口复用默认是启用的,有没有overload关键字都是一样的,保留这个参数是为了和Cisco的命令兼容。
配置内部源地址的动态NAT时,访问控制列表定义的是内部本地地址的规则,IP地址池中定义的是内部全局地址,它通常是注册的合法地址。
范例1:
Ruijie(config)#ip nat pool np 200.10.10.1 200.10.10.9 netmask
255.255.255.0
Ruijie(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Ruijie(config)#access-list 1 permit 172.16.0.0 0.0.255.255
Ruijie(config)#ip nat inside source list 1 pool np overload
本例定义了一个内部源地址动态NAT,内部本地地址为192.168.1.*和172.16.*.*的格式,由access-list 1定义,只有这两种地址才会进行NAT转换。内部全局地址为200.10.10.1~200.10.10.9,共9个地址,由地址池np定义。每个全局地址都可以和多个本地地址建立映射,用端口号区分各个映射。
范例2:
Ruijie(config)#access-list 1 permit 192.168.0.0 0.0.255.255
Ruijie(config)#ip nat inside source list 1 interface s1/0 overload
本例定义了一个内部源地址动态NAT,内部本地地址为192.168.*.*的格式,由access-list 1定义。内部全局地址为 Serial 1/0 的IP地址。所有本地地址都会映射为这一个IP地址,用端口号区分各个映射。
相关命令:
ip nat pool
access-list
创建一个NAT地址池
定义访问控制列表
ip nat inside source static
语法:
ip nat inside source static local-address global-address
[permit-inside]
no ip nat inside source static local-address global-address
[permit-inside]
ip nat inside source static protocol local-address local-port
global-address global-port [permit-inside]
no ip nat inside source static protocol local-address local-port
global-address global-port [permit-inside]
启用内部源地址转换的静态NAT。使用 no 选项可删除该静态NAT。
参数:
local-address:内部本地地址。是主机在网络内部的IP地址,一般是未注册的私有地址。
global-address:内部全局地址。是内部主机在外部网络表现出的地址,一般是注册的合法地址。
protocol:协议。可以是 TCP 或 UDP。
local-port:本地地址的服务端口号。
global-port:全局地址的服务端口号,它可以和local-port不同。
permit-inside:允许内部用户使用全局地址访问本地主机。
缺省值:没有启用NAT。
命令模式:全局配置模式。
说明:静态NAT主要用于那些对需要对外部用户开放的服务,如Web服务器等,它可以把本地地址映射为指定的全局地址。
第一种格式实现的是一对一的NAT映射。第二种格式可实现一对多的映射,即一个全局地址可映射多个内部地址,用端口号区分各个映射。
范例1:
Ruijie(config)#ip nat inside source static 192.168.1.6 200.10.10.2
本例定义了一个内部源地址静态NAT,内部本地地址为192.168.1.6,内部全局地址为200.10.10.2。外网用户只能用200.10.10.2访问这台主机,内网用户只能用192.168.1.6访问这台主机,如果加上permit-inside关键字,内网用户也能用200.10.10.2访问。
范例2:
Ruijie(config)#ip nat inside source static tcp 192.168.1.6 80
200.10.10.2 80
Ruijie(config)#ip nat inside source static tcp 192.168.1.8 80
200.10.10.2 8080
本例定义了两个内部源地址静态NAT,两个服务都是Web服务,内网用户可以用192.168.1.6和192.168.1.8访问这两个网站,外网用户需要用200.10.10.2和200.10.10.2:8080访问这两个网站。
ip nat outside source list
语法:
ip nat outside source list access-list-number pool pool-name
no ip nat outside source list access-list-number
启用外部源地址转换的动态NAT。使用 no 选项可关闭该动态NAT。
参数:
access-list-number:访问控制列表的表号。它指定由哪个访问控制列表来定义源地址的规则。
pool-name:IP地址池名字。该地址池定义了用于NAT转换的外部本地地址。
缺省值:没有启用NAT。
命令模式:全局配置模式。
说明:外部源地址NAT用于有地址重叠的情况。当两个需要互访的私有网络使用了同样的IP地址,或一个私有网络和公有网络使用了同样的IP地址,则产生
地址重叠。这时需要把外部全局地址映射为一个本地没有的外部本地地址才能实现互访。
配置外部源地址的动态NAT时,访问控制列表定义的是外部全局地址的格式,IP地址池中定义的是外部本地地址,它应该和内部本地地址没有重叠。
范例:
Ruijie(config)#ip nat pool outp 172.18.1.1 172.18.1.254 netmask
255.255.255.0
Ruijie(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Ruijie(config)#ip nat outside source list 1 pool outp
本例定义了一个外部源地址动态NAT,外部全局地址为192.168.1.*的格式,由access-list 1定义,它和内部地址有重叠。外部本地地址为172.18.1.1~172.18.1.254,由地址池outp定义,这组地址是内部网络中不使用的可路由地址。当从外部来的数据包,源地址是192.168.1.*的格式时,用172.18.1.*的地址替换,再进入内部网络。
相关命令:
ip nat pool
access-list
创建一个NAT地址池
定义访问控制列表
ip nat outside source static
语法:
ip nat outside source static global-address local-address
no ip nat outside source static global-address local-address
ip nat outside source static protocol global-address global-port
local-address local-port
no ip nat outside source static protocol global-address global-port
local-address local-port
启用外部源地址转换的静态NAT。使用 no 选项可删除该静态NAT。
参数:
global-address:外部全局地址。是外部主机在外部网络的地址。
local-address:外部本地地址。是外部主机在网络内部表现的IP地址。
protocol:协议。可以是 TCP 或 UDP。
global-port:外部全局地址的服务端口号。
local-port:外部本地地址的服务端口号,它可以和global-port不同。
缺省值:没有启用NAT。
命令模式:全局配置模式。
说明:外部源地址静态NAT用于有地址重叠的情况。第一种格式实现的是一对一的NAT映射。第二种格式可实现一对多的映射,即一个本地地址可映射多个全局地址,用端口号区分各个映射。
范例:
Ruijie(config)#ip nat outside source static 192.168.1.1 172.18.1.6
本例定义了一个外部源地址静态NAT,外部全局地址为192.168.1.1,外部本地地址为172.18.1.6。当从外部来的数据包,源地址是192.168.1.1时,用172.18.1.6的地址替换,再进入内部网络。
ip nat pool
语法:
ip nat pool pool-name start-address end-address {netmask
subnet-mask|prefix-length prefix-length} [type rotary]
ip nat pool pool-name {netmask subnet-mask|prefix-length
prefix-length} [type rotary]
no ip nat pool pool-name
定义一个IP地址池。使用 no 选项可删除地址池。
参数:
pool-name:地址池名字。在动态NAT配置命令中用这个名字引用地址池。
start-address:地址块起始IP地址。
end-address:地址块结束IP地址。
subnet-mask:地址块的子网掩码。
prefix-length:使用长度表示的掩码,是掩码的简化写法。
type rotary:表示定义为轮转型地址池,每个地址分配的概率相等。锐捷路由器默认的地址池类型就是轮转型,所以有没有 rotary 关键字都一样,保留此关键字是为了和 Cisco 命令兼容。
缺省值:没有定义地址池。
命令模式:全局配置模式。
说明:第一种格式定义了一个包含地址块的地址池。第二种格式定义的是一个空地址池,之后可以用 address 命令向其中添加一个或多个地址块。
范例1:
Ruijie(config)#ip nat pool np1 200.10.10.1 200.10.10.9 netmask
255.255.255.0
本例定义了一个名为 np 的地址池,地址范围是
200.10.10.1~200.10.10.9,掩码是 255.255.255.0。
范例2:
Ruijie(config)#ip nat pool np2 200.10.10.1 200.10.10.9 prefix-length
24
本例定义的地址池和例1完全相同,只是掩码用的是长度写法。
范例3:
Ruijie(config)#ip nat pool np3 netmask 255.255.255.0
Ruijie(config)#address 200.10.10.1 200.10.10.9
Ruijie(config)#address 201.15.8.17 201.15.8.25
本例先定义了一个空地址池,再用 addess 命令向其中加入了两个地址块。
相关命令:
addess
向NAT地址池中添加地址
ip nat translation
语法:
ip nat translation
参数名
参数值
no ip nat translation
参数名
配置NAT转换记录的超时时间和转换记录条数限制。使用 no 选项可恢复缺省配置。
该命令有多种用法:
ip nat translation dns-timeout seconds
定义DNS转换记录的超时时间,单位为秒。缺省值为 60 秒。
ip nat translation finrst-timeout seconds
定义TCP连接FIN及RESET后转换记录的超时时间,单位为秒。缺省值为 60
秒。
ip nat translation icmp-timeout seconds
定义ICMP转换记录的超时时间,单位为秒。缺省值为 60 秒。
ip nat translation syn-timeout seconds
定义TCP发出syn后没有收到应答的超时时间,单位为秒。缺省值为 60 秒。
ip nat translation tcp-timeout seconds
定义TCP连接转换记录的超时时间,单位为秒。缺省值为 1 天。
ip nat translation udp-timeout seconds
定义UDP连接转换记录的超时时间,单位为秒。缺省值为 300 秒。
ip nat translation max-entries number
定义NAT转换记录的最大个数。缺省为 30000 条。
ip nat translation pre-user user-ip [number]
指定内网某个用户所允许的最大转换记录数。user-ip时用户的IP地址,如果为 0.0.0.0,则内网所有用户使用相同的条数限制。具体IP的配置优先级高于
0.0.0.0 的配置。如果user-ip后没有给出具体数值,则为300条。缺省情况下,不做限制。
命令模式:全局配置模式。
范例1:
Ruijie(config)#ip nat translation pre-user 0.0.0.0 500
Ruijie(config)#ip nat translation pre-user 192.168.5.112 1000
本例对内网用户转换记录条数做了限制,用户192.168.5.112限制为1000条,其他用户统一限制为500条。
范例2:
Ruijie(config)#ip nat translation icmp-timeout 30
本例把ICMP的NAT转换记录的超时时间设置为30秒。
ACL配置命令
absolute 命令
absolute
语法:
absolute [start time-date] [end time-date]
no absolute
在一个时间区间中添加一个绝对时间段。使用 no 选项可删除绝对时间段。
参数:
start time-date:起始时间。最早的起始时间是 1990年1月1日00:00。
end time-date:终止时间。最晚的终止时间是 2050年12月31日23:59。终止时间必须晚于起始时间。
time-date 用24小时制的“小时:分钟 日 月 年”的形式表示。
其中“月份”应该用英文表示:january(一月)、february(二月)、march(三月)、april(四月)、may(五月)、june(六月)、july(七月)、august(八月)、september(九月)、october(十月)、november(十一月)、december(十二月)。
缺省值:如果省略起始时间,则表示从当前时间开始。如果省略终止时间,则表示不限制终止时间。
命令模式:时间区间配置模式。
说明:在一个时间区间中只能定义一个绝对时间段,但可以定义多个周期时间段。
时间区间中的时间是以系统时间为准的,所以使用本功能时应该把系统时间校准。
范例1:
Ruijie(config)#time-range time1
Ruijie(config-time-range)#absolute start 8:10 1 jul 2009 end 8:10 1
aug 2009
本例定义了一个从2009年7月1日8:10到2009年8月1日8:10的时间区间,名字为 time1。
范例2:
Ruijie(config)#time-range time2
Ruijie(config-time-range)#absolute end 19:00 1 nov 2009
本例定义了一个从现在到2009年11月1日19:00的时间区间,名字为
time2。
相关命令:
time-range
periodic
show time-range
创建/进入一个时间区间
定义周期的时间段
查看定义的时间区间
access-list 命令
access-list命令的基本格式是:
access-list list-id
规则
no access-list list-id
规则
access-list 命令定义一条标准访问列表规则。使用 no 选项可删除该规则。
access-list 命令的参数很多,以下是各参数的说明。
参数
list-id
含义
访问列表的标号,用于区分各访问列表,并指定其类型。
IP标准ACL:可用标号 1~99,1300~1999。
IP扩展ACL:可用标号 100~199,2000~2699。
MAC扩展ACL:可用标号 700~799。
Expert扩展ACL:可用标号 2700~2899。
deny
permit
定义拒绝的规则。当数据包匹配此项规则时,就被丢弃。
定义允许的规则。当数据包匹配此项规则时,就可以通过。
protocol
定义协议规则。用于测试数据包使用的协议是否匹配。
取值可以为ip、icmp、tcp、udp、igmp、eigrp、gre、ipinip、nos、ospf,也可以用代表协议的0~255的编号。
source-address
定义源IP地址规则。用于测试数据包的源IP地址是否匹配。有三种形式:
any:表示IP地址为任意值。
host ip-address:表示单一的IP地址。
address wildcard:表示一组IP地址。其中
address 是个样板,wildcard 是通配符掩码,其中取值为“0”的位表示匹配,为“1”的位表示忽略。
destination-address
定义目的IP地址规则。用于测试数据包的目的IP地址是否匹配。有三种形式:
any:表示IP地址为任意值。
host ip-address:表示单一的IP地址。
address wildcard:表示一组IP地址。
source-mac-address
定义源MAC地址规则。用于测试数据包的源MAC地址是否匹配。有两种形式:
any:表示MAC地址为任意值。
host mac-address:表示单一的MAC地址。
用于测试数据包的destination-mac-address
定义目的MAC地址规则。目的MAC地址是否匹配。有两种形式:
any:表示MAC地址为任意值。
host mac-address:表示单一的MAC地址。
operator port [port]
定义端口规则。用于测试数据包的端口号是否匹配。
operator 是运算符,有eq(等于)、neq(不
等于)、lt(小于)、gt(大于)、range(范围)几种。
port [port] 是端口号,使用 range 算符时,需指定两个端口号,其它都只指定一个。
eq port-name
定义端口规则。用于测试数据包的端口号是否匹配。
eq 是等于算符,port-name是端口名称。
TCP端口名称有:bgp、chargen、cmd、daytime、discard、domain、echo、exec、figer、ftp、ftp-data、gopher、hostname、ident、irc、klogin、kshell、login、nntp、pim-auto-rp、pop2、pop3、smtp、sunrpc、syslog、tacacs、talk、telnet、time、uucp、whois、www。
UDP端口名称有:biff、bootpc、bootps、discard、dnsix、domain、echo、isakmp、mobile-ip、nameserver、netbios-dgm、netbios-ns、netbios-ss、ntp、pim-auto-rp、rip、snmp、snmptrap、sunrpc、syslog、tacacs、talk、tftp、time、who、xdmcp。
icmp-type icmp-code
定义ICMP类型规则。用于测试数据包的ICMP报文的消息类型是否匹配。
icmp-type 是ICMP消息的类型(0~255),icmp-code 是ICMP消息的代码(0~255)。
icmp-message
定义ICMP类型规则。用于测试数据包的ICMP报文的消息类型是否匹配。
icmp-message 是ICMP消息名称。取值有:
administratively-prohibited、dod-host-prohibited、dod-net-prohibited、echo、echo-reply、fragment-time-exceeded、general-paramenter-problem、
host-isolated、host-precedence-unreachable、host-redirect、host-tos-redirect、host-tos-unreachable、host-unknown、host-unreachable、information-reply、information-request、mask-reply、mask-request、mobile-redirect、net-redirect、net-tos-redirect、net-tos-unreachable、net-unreachable、network-unknown、no-room-for-option、option-missing、packet-too-big、parameter-problem、port-unreachable、precedence-unreachable、prot-unreachable、redirect、router-advertisement、router-solicitation、src-quench、src-route-failed、time-exceeded、timestamp-reply、timestamp-request、ttl-exceeded、unreachable。
precedence precedence
定义优先级规则。用于测试数据包的优先级是否匹配。
precedence 是报文的优先级别(0~7)。
tos tos
定义服务类型规则。用于测试数据包的服务类型是否匹配。
tos 是报文的服务类型(0~15)。
ethernet-type
定义以太网协议类型。用于测试数据包的以太网协议类型是否匹配。可以用名称或0xXXXX的代码表示,名称有:
aarp、appletalk、decnet-iv、diagnostic、etype-6000、etype-8042、lat、lavc-sca、mop-console、mop-dump、mumps、netbios、vines-echo、xns-idp。
cos cos
time-range
time-range-name
定义报文cos值(0~7)。
指定规则的有效时间。time-range-name
是时间区间的名字。
access-list(1~99,1300~1999)
语法:
access-list list-id {deny|permit} source-address [time-range
time-range-name]
定义一条标准访问列表规则。使用 no 选项可删除该规则。
参数:
list-id:访问列表标号。取值范围1~99,1300~1999。属于同一个访问列表的各个access-list命令使用相同的标号。
deny:定义拒绝的规则。当数据包匹配此项规则时,就被丢弃。
permit:定义允许的规则。当数据包匹配此项规则时,就可以通过。
source-address:定义源IP地址规则。它指定了一个对IP地址的要求,当数据包的源IP地址符合此要求时,就按 deny 或 permit 处理。例如:
any
表示任意IP地址。
host 192.168.6.1
表示单一的IP地址192.168.6.1。
192.168.2.0 0.0.0.255
表示地址的前3个数必须为192、168、2,最后一个数忽略。这样
192.168.2.0~192.168.2.255的地址都是满足条件的地址。
192.168.2.8 0.0.0.3
表示地址前3个数必须为192、168、2,最后一个数的前2位必须为二进制数10,后2位忽略。这样只有192.168.2.8~192.168.2.11的地址能满足要求。
(注:8的二进制值为1000,11的二进制值为1011。)
time-range time-range-name:指定规则的有效时间。这个有效时间是用
time-range 命令定义的一个时间区间,这里引用的是时间区间的名字。如果省略此参数,则规则一直有效。
缺省值:缺省没有定义访问列表。
命令模式:全局配置模式。
说明:此命令用于定义标号的访问列表,一个设备中可定义多个访问列表,用标号区分,属于用一个访问列表的 access-list 命令使用相同的标号。
范例:
Ruijie(config)#access-list 1 deny 192.168.2.0 0.0.0.255
Ruijie(config)#access-list 1 deny host 192.168.10.5
Ruijie(config)#access-list 1 permit any
Ruijie(config)#interface f0/1
Ruijie(config-if)#ip access-group 1 in
本例定义了一个标号为1的标准访问控制列表,它在设备的f0/1口上对输入流进行过滤,它拒绝源IP地址为192.168.2.*和192.168.10.5的数据包通过,其它的都允许通过。
注意:在每个标准访问控制列表的末尾都隐含着一个 deny any 规则,所以例子中的 permit any 规则不能省略,否则会造成所有数据包都不能通过。
相关命令:
ip access-group
show ip access-lists
在接口上应用访问列表
查看IP访问列表
access-list(100~199,2000~2699)
基本语法:
access-list list-id {deny|permit} protocol source-address
destination-address [others]
定义一条扩展访问列表规则。使用 no 选项可删除该规则。
必需参数:
list-id:访问列表标号。取值范围100~199,2000~2699。属于同一个访问列表的各个access-list命令使用相同的标号。
deny:定义拒绝的规则。当数据包匹配此项规则时,就被丢弃。
permit:定义允许的规则。当数据包匹配此项规则时,就可以通过。
protocol:定义协议规则。用于测试数据包使用的协议是否匹配。常用取值有:ip、icmp、tcp、udp。
source-address:定义源IP地址规则。用于测试数据包的源IP地址是否匹配。
destination-address:定义目的IP地址规则。用于测试数据包的目的IP地址是否匹配。
说明:该命令在不同协议时匹配的参数有所不同,以下是几种主要协议的语法:
IP协议:
access-list list-id {deny|permit} ip source-address
destination-address [precedence precedence] [tos tos]
[time-range time-range-name]
可选参数:
precedence precedence:定义优先级规则。用于测试数据包的优先级是否匹配。取值0~7。
tos tos:定义服务类型规则。用于测试数据包的服务类型是否匹配。取值0~15。
time-range time-range-name:指定规则的有效时间。如果省略此参数,则规则一直有效。
范例:
Ruijie(config)#access-list 100 deny ip host 192.168.6.1 any
Ruijie(config)#access-list 100 deny ip any 192.168.10.0 0.0.0.255
Ruijie(config)#access-list 100 permit ip any any
① 拒绝源自 192.168.6.1 的IP数据报。
② 拒绝目的为 192.168.10.* 的IP数据报。
③ 允许其它IP数据报。
TCP协议:
access-list list-id {deny|permit} tcp source-address [port-rule]
destination-address [port-rule] [precedence precedence] [tos tos]
[time-range time-range-name]
port-rule:定义端口规则。用于测试数据包的源和目的端口号是否匹配。它有以下两种形式:
① operator port [port]
用来指定一个端口号或端口号范围。
operator 是运算符,有eq(等于)、neq(不等于)、lt(小于)、gt(大于)、range(范围)几种。
port [port] 是端口号,使用 range 算符时,需指定两个端口号,其它都只指定一个。
②eq port-name
用端口名称表示使用的端口。常用的有:domain(DNS端口)、ftp(FTP端口)、
pop3(POP3端口)、smtp(SMTP端口)、telnet(Telnet端口)、www(HTTP端口)。
范例:
Ruijie(config)#access-list 101 deny tcp any host 192.168.6.1 eq
telnet
Ruijie(config)#access-list 101 deny tcp 192.168.10.0 0.0.0.255 gt
3000 any gt 3000
Ruijie(config)#access-list 101 permit ip any any
① 拒绝目的为 192.168.6.1 的 Telnet 应用。
② 拒绝源为 192.168.10.* 的所有端口号大于3000的应用。
③ 允许其它IP数据报。
UDP协议:
access-list list-id {deny|permit} udp source-address [port-rule]
destination-address [port-rule] [precedence precedence] [tos tos]
[time-range time-range-name]
常用的UDP端口名称有:domain(DNS端口)、rip(RIP端口)、snmp(SNMP端口)、tftp(TFTP端口)。
ICMP协议:
access-list list-id {deny|permit} icmp source-address
destination-address [icmp-rule] [precedence precedence] [tos tos]
[time-range time-range-name]
icmp-rule:定义ICMP类型规则。用于测试数据包的ICMP报文的消息类型是否匹配。它有以下两种形式:
① icmp-type icmp-code
icmp-type 是ICMP消息的类型(0~255),icmp-code 是ICMP消息的代码(0~255)。
② icmp-message
icmp-message 是ICMP消息名称。常用的有:echo(回声请求)、echo-reply(回声响应)。它们是ping命令产生的ICMP消息。
范例:
Ruijie(config)#access-list 102 deny icmp any 192.168.6.0 0.0.0.7
echo
Ruijie(config)#access-list 102 permit ip any any
① 拒绝目的地址为 192.168.6.0~192.168.6.7 的 Ping 操作。
② 允许其它IP数据报。
相关命令:
ip access-group
show ip access-lists
在接口上应用访问列表
查看IP访问列表
access-list(700~799)
语法:
access-list list-id {deny|permit} source-mac-address
destination-mac-address [ethernet-type] [cos cos]
定义一条MAC扩展访问列表规则。使用 no 选项可删除该规则。
参数:
list-id:访问列表标号。取值范围700~799。
deny:定义拒绝的规则。当数据包匹配此项规则时,就被丢弃。
permit:定义允许的规则。当数据包匹配此项规则时,就可以通过。
source-mac-address:定义源MAC地址规则。它指定了对帧中源MAC地址的要求。例如:
any
表示任意MAC地址。
host 0013.2a66.0453
表示单一的MAC地址0013.2a66.0453。
destination-mac-address:定义目的MAC地址规则。它指定了对帧中目的MAC地址的要求。
ethernet-type:定义以太网协议类型,常用值有:0x0800,表明帧中封装的是IP数据报;0x0806,表明帧中封装的是ARP报文。
cos cos:定义cos规则,取值为0~7。
缺省值:缺省没有定义访问列表。
命令模式:全局配置模式。
说明:此命令用于定义标号的访问列表,一个设备中可定义多个访问列表,用标号区分,属于用一个访问列表的 access-list 命令使用相同的标号。
范例:
Ruijie(config)#access-list 701 deny any host 0025.2a08.03d1
Ruijie(config)#access-list 701 deny host 0013.2049.8272 any
0x0800
Ruijie(config)#access-list 701 permit any any
① 拒绝目的MAC地址为 0025.2a08.03d1 的帧通过。
② 拒绝源MAC地址为 0013.2049.8272,封装了IP数据报的帧通过。
③ 允许其它帧。
mac access-group
show access-lists
在接口上应用MAC访问列表
查看各种访问列表
access-list(2700~2899)
语法:
access-list list-id {deny|permit} [protocol|{[ethernet-type] [cos
cos]}] source-address source-mac-address destination-address
destination-mac-address [precedence precedence] [tos tos]
[time-range time-range-name]
定义一条Expert扩展访问列表规则。使用 no 选项可删除该规则。
Expert扩展访问列表是IP扩展访问列表和MAC扩展访问列表的综合体。参数可参考这两种访问列表。
说明:
当命令中使用了 ethernet-type 或 cos cos 字段时,命令中不能使用IP地址规则,只能使用MAC地址规则。
当命令中使用了 protocol 字段时,命令中可同时使用IP地址规则和MAC地址规则。
缺省值:缺省没有定义访问列表。
命令模式:全局配置模式。
说明:此命令用于定义标号的访问列表,一个设备中可定义多个访问列表,用标号区分,属于用一个访问列表的 access-list 命令使用相同的标号。
范例:
Ruijie(config)#access-list 2701 deny tcp host 192.168.7.5 host
0013.2049.8272 any any
Ruijie(config)#access-list 2701 permit any any any any
① 拒绝源IP地址为192.168.7.5,源MAC地址为 0013.2049.8272 的TCP报文通过。
② 允许其它数据包。
expert access-group
show access-lists
在接口上应用Expert访问列表
查看各种访问列表
expert access 命令
expert access-list
语法:
expert access-list extended {list-id|list-name}
no expert access-list extended {list-id|list-name}
用命名的方式创建Expert扩展访问控制列表。使用 no 选项可删除整个访问控制列表。
参数:
list-id:访问列表标号。
list-name:访问列表名字。
缺省值:没有访问列表。
命令模式:全局配置模式。
说明:如果使用标号区分ACL,Expert扩展ACL的标号取值为2700~2899。
本命令执行后,会进入访问列表配置模式,Expert扩展ACL的提示符是“(config-exp-nacl)#”。
范例:
Ruijie(config)#expert access-list extended els
Ruijie(config-exp-nacl)#
创建一个名为 els 的Expert扩展访问控制列表,并进入它的配置模式。
相关命令:
deny
permit
access-list
定义访问控制列表的拒绝规则
定义访问控制列表的允许规则
用标号的方式创建访问控制列表
expert access-group
语法:
expert access-group {list-id|list-name} {in|out}
no expert access-group {list-id|list-name} {in|out}
把Expert扩展访问控制列表应用于接口上。使用 no 选项可取消访问列表和接口的关联。
参数:
list-id:访问列表标号。
list-name:访问列表名字。
in:在接口的输入流中使用访问列表进行过滤。
out:在接口的输出流中使用访问列表进行过滤。
缺省值:接口没有应用访问列表。
命令模式:接口配置模式。
说明:把不同种类的ACL关联到接口上使用的命令是不同的。
范例:
Ruijie(config)#expert access-list extended els
Ruijie(config-exp-nacl)#deny host 192.168.5.1 host 0013.2049.8272
any any
Ruijie(config-exp-nacl)#permit any any any any
Ruijie(config-exp-nacl)#exit
Ruijie(config)#interface f0/1
Ruijie(config-if)#expert access-group els in
本例定义了一个Expert扩展访问控制列表,并把它应用在 f0/1 接口上,对输入流进行包过滤。
相关命令:
ip access-group
mac access-group
show access-lists
show expert access-group
把IP访问控制列表应用于接口上
把MAC扩展访问控制列表应用于接口上
查看所有访问控制列表
查看接口上关联的Expert访问控制列表
deny 命令
deny(标准ACL)
语法:
[sn] deny source-address [time-range time-range-name]
no [sn]
在标准访问列表中加入一条拒绝规则。使用 no 选项可删除该规则。
参数:
sn:项目序号。它决定了这条规则在ACL中的位置。如果省略此参数,新规则
会添加在ACL的末尾。
source-address:定义源IP地址规则。它指定了一个对IP地址的要求,当数据包的源IP地址符合此要求时,就拒绝通过。有三种取值:
any
表示任意IP地址。
host ip-address
表示单一的IP地址。
address wildcard
表示一组IP地址。address 是地址的样板,wildcard 是通配符掩码,与“0”对应的位要求匹配,与“1”对应的位要求忽略。
time-range time-range-name:指定规则的有效时间。这个有效时间是用
time-range 命令定义的一个时间区间,这里引用的是时间区间的名字。如果省略此参数,则规则一直有效。
缺省值:缺省没有表项。
命令模式:标准访问列表配置模式。
说明:IP标准ACL只过滤源IP地址。通过序号可以在访问列表的适当位置添加规则,也可方便删除一条规则。
范例1:
Ruijie(config)#ip access-list standard ls1
Ruijie(config-std-nacl)#deny 192.168.2.0 0.0.0.255
Ruijie(config-std-nacl)#deny host 192.168.10.5
Ruijie(config-std-nacl)#permit any
本例定义了一个名为 ls1 的标准访问控制列表,它的各个表项的序号默认为10、20、30。
范例2:
Ruijie(config)#ip access-list standard ls1
Ruijie(config-std-nacl)#5 permit host 192.168.2.1
本例在 ls1 的访问列表中添加了一条规则,位置在最前面。
相关命令:
ip access-list standard
permit
进入标准访问列表配置模式
在访问列表中添加允许的规则
deny(扩展ACL)
语法:
[sn] deny protocol source-address destination-address
[precedence precedence] [tos tos] [time-range time-range-name]
no [sn]
在扩展访问列表中加入一条拒绝规则。使用 no 选项可删除该规则。
参数:参考 access-list 命令的参数说明。
缺省值:缺省没有表项。
命令模式:扩展访问列表配置模式。
说明:IP扩展ACL可过滤源和目的IP地址、使用的协议、使用的端口等。
范例:
Ruijie(config)#ip access-list extended els
Ruijie(config-ext-nacl)#permit tcp host 192.168.10.5 any eq www
Ruijie(config-ext-nacl)#deny ip host 192.168.10.5 any
Ruijie(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 any
本例定义了一个名为 els 的扩展访问控制列表,并且用 permit 和 deny 命令定义了若干规则。
相关命令:
ip access-list extended
permit
进入扩展访问列表配置模式
在访问列表中添加允许的规则
deny(MAC扩展ACL)
语法:
[sn] deny source-mac-address destination-mac-address
[ethernet-type] [cos cos]
no [sn]
在MAC扩展访问列表中加入一条拒绝规则。使用 no 选项可删除该规则。
参数:参考 access-list 命令的参数说明。
缺省值:缺省没有表项。
命令模式:MAC扩展访问列表配置模式。
说明:MAC扩展ACL可过滤源和目的MAC地址、以太网协议类型等。
范例:
Ruijie(config)#mac access-list extended mls
Ruijie(config-mac-nacl)#deny host 0013.2049.8272 any
Ruijie(config-mac-nacl)#permit any any
本例定义了一个名为 mls 的MAC扩展访问控制列表,并且用 permit 和
deny 命令定义了若干规则。
相关命令:
mac access-list extended
permit
进入MAC扩展访问列表配置模式
在访问列表中添加允许的规则
ip access-group 命令
ip access-group
语法:
ip access-group {list-id|list-name} {in|out}
no ip access-group {list-id|list-name} {in|out}
把IP访问控制列表应用于接口上。使用 no 选项可取消访问列表和接口的关联。
参数:
list-id:访问列表标号。
list-name:访问列表名字。
in:在接口的输入流中使用访问列表进行过滤。
out:在接口的输出流中使用访问列表进行过滤。
缺省值:接口没有应用访问列表。
命令模式:接口配置模式。
说明:ip access-group命令使用于把IP访问列表关联到接口上,包括标准访问列表和扩展访问列表。
在每个接口的每个方向上,只能关联一个访问列表。每个接口上最多可关联两个访问列表,一个位于 in 方向,一个位于 out 方向。
范例1:
Ruijie(config)#access-list 1 deny host 192.168.10.5
Ruijie(config)#access-list 1 permit any
Ruijie(config)#interface f0/1
Ruijie(config-if)#ip access-group 1 in
本例用标号的方式定义了一个标准访问控制列表,并把它应用在 f0/1 接口上,对输入流进行包过滤。
范例2:
Ruijie(config)#ip access-list extended els1
Ruijie(config-ext-nacl)#deny tcp any host 192.168.10.5 eq telnet
Ruijie(config-ext-nacl)#permit ip any any
Ruijie(config-ext-nacl)#exit
Ruijie(config)#interface f0/1
Ruijie(config-if)#ip access-group els1 out
本例用命名的方式定义了一个扩展访问控制列表,并把它应用在 f0/1 接口上,对输出流进行包过滤。
相关命令:
mac access-group
expert access-group
show access-lists
show ip access-group
把MAC扩展访问控制列表应用于接口上
把Expert扩展访问控制列表应用于接口上
查看所有访问控制列表
查看接口上关联的IP访问控制列表
ip access-list 命令
ip access-list
语法:
ip access-list {standard|extended} {list-id|list-name}
no ip access-list {standard|extended} {list-id|list-name}
用命名的方式创建IP访问控制列表。使用 no 选项可删除整个访问控制列表。
参数:
standard:创建标准访问控制列表。
extended:创建扩展访问控制列表。
list-id:访问列表标号。
list-name:访问列表名字。
缺省值:没有访问列表。
命令模式:全局配置模式。
说明:如果使用标号区分ACL,标准ACL的标号取值为1~99,1300~1999。扩展ACL的标号取值为100~199,2000~2699。
本命令执行后,会进入访问列表配置模式,标准ACL的提示符是“(config-std-nacl)#”,扩展ACL的提示符是“(config-ext-nacl)#”。
范例1:
Ruijie(config)#ip access-list standard ls1
Ruijie(config-std-nacl)#
创建一个名为 ls1 的标准访问控制列表,并进入它的配置模式。
范例2:
Ruijie(config)#ip access-list extended els
Ruijie(config-ext-nacl)#
发布评论