ACL 和 CoPP
nv unset 命令会移除您使用等效的 nv set 命令设置的配置。本指南仅在 nv unset 命令与 nv set 命令不同时描述 nv unset 命令。
nv set system acl mode
配置访问控制列表 (ACL) 模式;原子模式或非原子模式。默认设置为原子模式。
原子模式限制了您可以配置的 ACL 规则的数量。要增加可配置的 ACL 规则的数量,请将交换机配置为在非原子模式下运行,这种模式提供更好的扩展性,因为所有 TCAM 资源都会主动影响流量。使用原子更新,一半的硬件资源处于待机状态,不会主动影响流量。
增量非原子更新是基于表的,因此当您安装新规则时,它们不会中断网络流量。
版本历史
在 Cumulus Linux 5.3.0 中引入
示例
cumulus@switch:~$ nv set system acl mode non-atomic
nv set acl <acl-id> rule <rule-id> action deny
配置拒绝操作以拒绝数据包。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 action deny
nv set acl <acl-id> rule <rule-id> action dest-nat translate-ip
配置静态 NAT 规则以匹配目标 IP 地址并将 IP 地址转换为公共 IP 地址。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.7.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 action dest-nat translate-ip 10.0.0.1
nv set acl <acl-id> rule <rule-id> action dest-nat translate-port
配置静态 PAT 规则以匹配目标 IP 地址以及第 4 层端口,并将 IP 地址和端口转换为公共 IP 地址和端口。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 action dest-nat translate-port 5000
nv set acl <acl-id> rule <rule-id> action erspan dest-ip
配置 ERSPAN 目标 IP 地址。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 action erspan dest-ip 10.10.10.3
nv set acl <acl-id> rule <rule-id> action erspan source-ip
配置 ERSPAN 源 IP 地址。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 action erspan source-ip 10.10.10.10
nv set acl <acl-id> rule <rule-id> action erspan ttl
配置 ERSPAN 生存时间 (TTL)。您可以指定介于 1 到 255 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 action erspan ttl 200
nv set acl <acl-id> rule <rule-id> action log level
为指定的 ACL 规则配置日志级别。您可以设置介于 0 和 7 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 action log level 5
nv set acl <acl-id> rule <rule-id> action log log-prefix <prefix>
为具有特定前缀的数据包配置日志记录。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
<prefix> | 您要记录匹配数据包的前缀。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 action log log-prefix 10.10.10.1/32
nv set acl <acl-id> rule <rule-id> action log rate
配置您要为指定的 ACL 规则生成的每分钟日志数。您可以设置介于 1 和 50000 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 action log rate 30000
nv set acl <acl-id> rule <rule-id> action permit
配置允许操作以允许数据包。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 action permit
nv set acl <acl-id> rule <rule-id> action police burst
为数据平面上的流量配置服务质量。使用 QoS 策略器,您可以限制流量速率,以便传入数据包在超出指定阈值时被丢弃。此命令配置策略突发速率;允许连续到达的数据包或千字节 (KB) 数。您可以指定介于 1 和 2147483647 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 action police burst 1000
nv set acl <acl-id> rule <rule-id> action police class
为数据平面上的流量配置服务质量。使用 QoS 策略器,您可以限制流量速率,以便传入数据包在超出指定阈值时被丢弃。此命令配置策略操作类。您可以指定介于 0 和 7 之间的整数。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 action police class 5
nv set acl <acl-id> rule <rule-id> action police mode
为数据平面上的流量配置服务质量。使用 QoS 策略器,您可以限制流量速率,以便传入数据包在超出指定阈值时被丢弃。此命令配置流量模式。您可以指定 packet、kbps、mbps 或 gbps。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 action police mode mbps
nv set acl <acl-id> rule <rule-id> action police rate
为数据平面上的流量配置服务质量。使用 QoS 策略器,您可以限制流量速率,以便传入数据包在超出指定阈值时被丢弃。此命令配置策略速率。您可以指定介于 1 和 2147483647 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 action police rate 2000
nv set acl <acl-id> rule <rule-id> action recent
将 ACL 规则配置为最近的规则。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 action recent
nv set acl <acl-id> rule <rule-id> action set class
修改数据包分类的类值。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 action set class 3
nv set acl <acl-id> rule<rule-id> action set cos
配置要在数据包中修改的 802.1p CoS 值。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 action set cos 6
nv set acl <acl-id> rule <rule-id> action set dscp
配置要在数据包中修改的 DSCP 值。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 action set dscp af12
nv set acl <acl-id> rule <rule-id> action source-nat translate-ip
配置 NAT 操作规则以转换源 IP 地址。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.7.0 中引入
示例
cumulus@switch:~$ nv set acl acl_3 rule 1 action source-nat translate-ip 172.30.58.80
nv show acl <acl-id> rule <rule-id> action source-nat translate-ip <range-id> to <ipv4>
配置动态 NAT 操作规则以将源 IP 地址范围转换为公共地址。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.7.0 中引入
示例
cumulus@switch:~$ nv set acl acl_1 rule 1 action source-nat translate-ip 172.30.58.0 to 172.30.58.80
nv set acl <acl-id> rule <rule-id> action source-nat translate-port
配置 NAT 操作规则以转换源 IP 端口。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.7.0 中引入
示例
cumulus@switch:~$ nv set acl acl_2 rule 1 action source-nat translate-port 1024-1200
nv set acl <acl-id> rule <rule-id> action span <interface-name>
为指定的接口配置 SPAN 会话。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
<interface-name> | 接口名称。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 action span swp1
nv set acl <acl-id> rule <rule-id> match ip connection-state
配置您要匹配的连接状态(仅限控制平面)。您可以将值设置为 established、related、new 或 invalid。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip connection-state related
nv set acl <acl-id> rule <rule-id> match ip dest-ip <ip-address-id>
配置您要匹配的目标 IP 地址。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
<ip-address-id> | 目标 IP 地址。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip dest-ip 10.0.15.8/32
nv set acl <acl-id> rule <rule-id> match ip dscp
配置您要匹配的 DSCP 值。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip dscp af13
nv set acl <acl-id> rule <rule-id> match ip ecn ip-ect
配置 ACL 以匹配 ECT 位。ECT 码位通过将两个位中的一个设置为 1 来协商连接是否支持 ECN。路由器还使用 ECT 位来指示它们正在经历拥塞,方法是将两个 ECT 码位都设置为 1。
默认情况下,ECN 规则匹配设置了位的数据包。您可以使用感叹号 (!) 反转匹配。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.3.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip ecn ip-ect
nv set acl <acl-id> rule <rule-id> match ip ecn tcp-cwr
配置 ACL 以匹配 CWR 位(窗口减少)。CWR 位通知连接的另一端它已接收到 ECE 并对其做出反应。
默认情况下,ECN 规则匹配设置了位的数据包。您可以使用感叹号 (!) 反转匹配。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.3.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip ecn tcp-cwr
nv set acl <acl-id> rule <rule-id> match ip ecn flags tcp-ece
配置 ACL 以匹配 ECE 位。在端点接收到路由器设置了 CE 位的数据包后,它会在返回的 ACK 数据包中设置 ECE 位,以通知另一端它需要减速。
默认情况下,ECN 规则匹配设置了位的数据包。您可以使用感叹号 (!) 反转匹配。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.3.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip ecn flags tcp-ece
nv set acl <acl-id> rule <rule-id> match ip fragment
配置 IP 分片数据包匹配。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip fragment
nv set acl <acl-id> rule <rule-id> match ip hashlimit burst
配置您要匹配的 hashlimit 突发速率。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip hashlimit burst 10
nv set acl <acl-id> rule <rule-id> match ip hashlimit destination-mask
配置您要匹配的 hashlimit 目标掩码;用于屏蔽源 IP 地址的目标掩码。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip hashlimit destination-mask 32
nv set acl <acl-id> rule <rule-id> match ip hashlimit expire
配置您要匹配的 hashlimit 过期时间(以毫秒为单位)。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip hashlimit expire 1000
nv set acl <acl-id> rule <rule-id> match ip hashlimit mode
配置您要匹配的 hashlimit 模式。您可以指定 src-ip 或 dst-ip。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip hashlimit mode dst-ip
nv set acl <acl-id> rule <rule-id> match ip hashlimit name
配置您要匹配的 hashlimit 名称。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip hashlimit name NAME
nv set acl <acl-id> rule <rule-id> match ip hashlimit rate-above
配置您要匹配的超出 hashlimit 速率多少。您可以指定 <integer>/second <integer>/min 或 <integer>/hour。最大速率为每秒 1000000。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip hashlimit rate-above 1000/min
nv set acl <acl-id> rule <rule-id> match ip hashlimit source-mask
配置您要匹配的 hashlimit 源掩码;用于屏蔽源 IP 地址的源掩码。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip hashlimit source-mask 32
nv set acl <acl-id> rule <rule-id> match ip icmp-type
配置您要匹配的 IP ICMP 类型。您可以指定:dest-unreachable、echo-reply、echo-request、port-unreachable、time-exceeded 或介于 0 和 255 之间的整数。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip icmp-type dest-unreachable
nv set acl <acl-id> rule <rule-id> match ip icmpv6-type
配置您要匹配的 IP ICMPv6 类型。您可以指定:router-solicitation、router-advertisement、neighbor-solicitation、neighbor-advertisement 或介于 0 和 255 之间的整数。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip icmpv6-type router-advertisement
nv set acl <acl-id> rule <rule-id> match ip protocol
配置您要匹配的 IP 协议。您可以指定 tcp、udp、ospf、pim、icmp、icmpv6 或 igmp。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip protocol tcp
nv set acl <acl-id> rule <rule-id> match ip recent-list action
配置您要匹配的最近列表操作。您可以指定 set 或 update。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip recent-list action update
nv set acl <acl-id> rule <rule-id> match ip recent-list hit-count
配置您要匹配的最近列表命中计数。您可以指定介于 1 和 4294967295 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip recent-list hit-count 2000
nv set acl <acl-id> rule <rule-id> match ip recent-list name
配置您要匹配的最近列表名称。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip recent-list name list1
nv set acl <acl-id> rule <rule-id> match ip recent-list update-interval
配置您要匹配的最近列表更新间隔。您可以指定介于 1 和 4294967295 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip recent-list update-interval 1000
nv set acl <acl-id> rule <rule-id> match ip source-ip <ip-address>
配置您要匹配的源 IP 地址。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
<ip-address-id> | 源 IP 地址。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip source-ip 10.0.14.2/32
nv set acl <acl-id> rule <rule-id> match ip source-port
配置 IP 源端口匹配。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip source-port 22
nv set acl <acl-id> rule <rule-id> match ip tcp
配置您要匹配的 IP TCP 属性。
nv set acl <acl-id> rule <rule-id> match ip tcp all-mss-except
配置交换机以匹配除指定值之外的所有 TCP 最大分段大小 (MSS) 值。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip tcp all-mss-except 536
nv set acl <acl-id> rule <rule-id> match ip tcp dest-port
配置交换机以匹配 TCP 目标端口。您可以指定 ANY、bootpc、bootps、clag、dhcp-client、dhcp-server、domain、ftp、http、https、imap2、ldap、ldaps、ntp、msdp、pop3、smtp、snmp snmp-trap、ssh、telnet、tftp、bgp、bfd、bfd-echo、bfd-multihop 或介于 0 和 65535 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip tcp dest-port ANY
nv set acl <acl-id> rule <rule-id> match ip tcp flags
配置您要在数据包中匹配的 IP TCP 标志。您可以指定:ack、all、fin、none、psh、rst、syn 或 urg。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip tcp flags syn
nv set acl <acl-id> rule <rule-id> match ip tcp mask
配置您要匹配的数据包中的 IP TCP 掩码。您可以指定:ack、all、fin、none、psh、rst、syn 或 urg。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip tcp mask ack
nv set acl <acl-id> rule <rule-id> match ip tcp mss
配置您要匹配的指定 TCP 最大分段大小 (MSS) 值。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip tcp mss 536
nv set acl <acl-id> rule <rule-id> match ip tcp source-port
配置交换机以匹配 TCP 源端口。您可以指定 ANY、bootpc、bootps、clag、dhcp-client、dhcp-server、domain、ftp、http、https、imap2、ldap、ldaps、ntp、msdp、pop3、smtp、snmp snmp-trap、ssh、telnet、tftp、bgp、bfd、bfd-echo、bfd-multihop 或介于 0 和 65535 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip tcp source-port ANY
nv set acl <acl-id> rule <rule-id> match ip tcp state established
配置您要匹配的 TCP 已建立状态。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match ip tcp state established
nv set acl <acl-id> rule <rule-id> match mac dest-mac <mac-address>
配置您要匹配的目标 MAC 地址。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
<mac-address> | 目标 MAC 地址。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match mac dest-mac any
nv set acl <acl-id> rule <rule-id> match mac dest-mac-mask <mac>
配置您要匹配的目标 MAC 地址掩码。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
<mac> | 目标 MAC 地址掩码。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match mac dest-mac-mask 00:00:00:00:00:12
nv set acl <acl-id> rule <rule-id> match mac protocol
配置您要匹配的 MAC 协议。您可以指定 ANY、arp、ipv4 或 ipv6,或介于 0 和 255 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match mac protocol ipv4
nv set acl <acl-id> rule <rule-id> match mac source-mac <source-mac>
配置您要匹配的源 MAC 地址。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
<source-mac> | 源 MAC 地址。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match mac source-mac any
nv set acl <acl-id> rule <rule-id> match mac source-mac-mask <source-mac-mask>
配置您要匹配的源 MAC 地址掩码。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
<source-mac-mask> | 源 MAC 地址掩码。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match mac source-mac-mask 00:00:00:00:00:12
nv set acl <acl-id> rule <rule-id> match mac vlan <vlan-id>
配置要匹配的 VLAN ID。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
<vlan-id> | VLAN 名称。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 match mac vlan 10
nv set acl <acl-id> rule <rule-id> remark
配置关于规则中拒绝或允许条件的 ACL 规则备注(描述)。您必须将多个单词括在双引号 (") 中。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.4.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 rule 10 remark "The following line permits TCP packets"
nv set acl <acl-id> type
配置 ACL 规则类型。您可以指定 ipv4、ipv6 或 mac。
配置其他 ACL 设置时,您必须运行此命令。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set acl EXAMPLE1 type ipv4
nv set interface <interface-id> acl <acl-id> inbound
配置要在入站方向应用的 ACL 规则。
命令语法
| 语法 | 描述 |
|---|---|
<interface-id> | 您要配置的接口。 |
<acl-id> | ACL 名称。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set interface swp1 acl EXAMPLE1 inbound
nv set interface <interface-id> acl <acl-id> inbound control-plane
配置要应用于入站方向控制平面接口的 ACL 规则。
命令语法
| 语法 | 描述 |
|---|---|
<interface-id> | 您要配置的接口。 |
<acl-id> | ACL 名称。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set interface swp1 acl EXAMPLE1 inbound control-plane
nv set interface <interface-id> acl <acl-id> outbound
配置要应用在出站方向的 ACL 规则。
命令语法
| 语法 | 描述 |
|---|---|
<interface-id> | 您要配置的接口。 |
<acl-id> | ACL 名称。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set interface swp1 acl EXAMPLE1 outbound
nv set interface <interface-id> acl <acl-id> outbound control-plane
配置要应用于出站方向控制平面接口的 ACL 规则。
命令语法
| 语法 | 描述 |
|---|---|
<interface-id> | 您要配置的接口。 |
<acl-id> | ACL 名称。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv set interface swp1 acl EXAMPLE1 outbound control-plane
nv set system control-plane acl <acl-id>
配置控制平面 ACL,以将单个规则应用于转发到 CPU 的所有数据包,而与交换机上的源接口或目标接口无关。控制平面 ACL 允许您比 traps 更精细地 регулировать 转发到交换机上的应用程序的流量,并配置 ACL 以阻止来自特定地址或子网的 SSH。
nv set system control-plane acl <acl-id> inbound
配置入站 ACL。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
版本历史
在 Cumulus Linux 5.5.0 中引入
示例
cumulus@switch:~$ nv set system control-plane acl ACL1 inbound
nv set system control-plane acl <acl-id> outbound
配置出站控制平面 ACL。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
版本历史
在 Cumulus Linux 5.5.0 中引入
示例
cumulus@switch:~$ nv set system control-plane acl ACL1 outbound