防火墙
nv unset 命令删除您使用等效的 nv set 命令设置的配置。本指南仅在 nv unset 命令与 nv set 命令不同时描述 nv unset 命令。
nv set acl acl-default-dos rule <rule-id> action deny
配置防火墙 DoS 规则的拒绝操作以拒绝数据包。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 action deny
nv set acl acl-default-dos rule <rule-id> action dest-nat translate-ip <range-id>
为防火墙 DoS 规则配置 IP 地址目标 NAT。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
<range-id> | IPv4 范围;例如,<ip-address> to <ip-address> |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 action dest-nat translate-ip 172.30.58.0 to 172.30.58.80
nv set acl acl-default-dos rule <rule-id> action dest-nat translate-port <port-id>
为防火墙 DoS 规则配置端口目标 NAT。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
<port-id> | 端口 ID 或端口范围。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 action dest-nat translate-port 22
nv set acl acl-default-dos rule <rule-id> action erspan dest-ip
为防火墙 DoS 规则配置 ERSPAN 目标 IP 地址。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 action erspan dest-ip 10.10.10.3
nv set acl acl-default-dos rule <rule-id> action erspan source-ip
为防火墙 DoS 规则配置 ERSPAN 源 IP 地址。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 action erspan dest-ip 10.10.10.10
nv set acl acl-default-dos rule <rule-id> action erspan ttl
为防火墙 DoS 规则配置 ERSPAN 生存时间 (TTL)。您可以指定介于 1 到 255 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 action erspan ttl 200
nv set acl acl-default-dos rule <rule-id> action log level
为防火墙 DoS 规则配置日志级别。您可以指定介于 1 到 7 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 action log level 5
nv set acl acl-default-dos rule <rule-id> action log log-prefix <prefix>
为具有特定前缀的数据包配置日志记录,用于防火墙 DoS 规则。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
<prefix> | 您要记录匹配数据包的前缀。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 action log log-prefix 10.10.10.1/32
nv set acl acl-default-dos rule <rule-id> action log rate
配置您要为防火墙 DoS 规则生成的每分钟日志数。您可以设置介于 1 到 50000 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 action log rate 30000
nv set acl acl-default-dos rule <rule-id> action permit
配置允许操作以允许防火墙 DoS 规则的数据包。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 action permit
nv set acl acl-default-dos rule <rule-id> action police burst
为防火墙 DoS 规则的流量配置服务质量。使用 QoS 策略器,您可以限制流量速率,以便传入数据包在超过指定阈值时被丢弃。此命令配置策略突发速率;允许顺序到达的数据包或千字节 (KB) 数。您可以指定介于 1 到 2147483647 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 action police burst 1000
nv set acl acl-default-dos rule <rule-id> action police class
为防火墙 DoS 规则的流量配置服务质量。使用 QoS 策略器,您可以限制流量速率,以便传入数据包在超过指定阈值时被丢弃。此命令配置策略操作类。您可以指定介于 0 到 7 之间的整数。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 action police class 5
nv set acl acl-default-dos rule <rule-id> action police mode
为防火墙 DoS 规则的流量配置服务质量。使用 QoS 策略器,您可以限制流量速率,以便传入数据包在超过指定阈值时被丢弃。此命令配置流量模式。您可以指定 packet、kbps、mbps 或 gbps。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 action police mode mbps
nv set acl acl-default-dos rule <rule-id> action police rate
为防火墙 DoS 规则的流量配置服务质量。使用 QoS 策略器,您可以限制流量速率,以便传入数据包在超过指定阈值时被丢弃。此命令配置策略速率。您可以指定介于 1 到 2147483647 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 action police rate 2000
nv set acl acl-default-dos rule <rule-id> action recent
将防火墙 DoS 规则配置为最近的规则。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 action recent
nv set acl acl-default-dos rule <rule-id> action set class
修改防火墙 DoS 规则的数据包分类的类值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 action set class 3
nv set acl acl-default-dos rule <rule-id> action set cos
配置要在防火墙 DoS 规则的数据包中修改的 802.1p CoS 值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 action set cos 6
nv set acl acl-default-dos rule <rule-id> action set dscp
配置要在防火墙 DoS 规则的数据包中修改的 DSCP 值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 action set dscp af12
nv set acl acl-default-dos rule <rule-id> action source-nat translate-ip <range-id>
配置动态 NAT 操作 DoS 规则,以将源 IP 地址范围转换为公共地址。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
<range-id> | IP 地址范围;例如,<ip-address> to <ip-address>。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 action source-nat translate-ip 172.30.58.0 to 172.30.58.80
nv set acl acl-default-dos rule <rule-id> action source-nat translate-port <port-id>
配置 NAT 操作 DoS 规则以转换源 IP 端口。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
<port-id> | 端口号或端口范围(用 - 分隔)。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 action source-nat translate-port 1024-1200
nv set acl acl-default-dos rule <rule-id> action span <interface-id>
为防火墙 DoS 规则的指定接口配置 SPAN 会话。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
<interface-id> | 接口名称。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 action span swp1
nv set acl acl-default-dos rule <rule-id> match ip connection-state
配置要为防火墙 DoS 规则匹配的连接状态。您可以将值设置为 established、related、new 或 invalid。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip connection-state related
nv set acl acl-default-dos rule <rule-id> match ip dest-ip <ip-address-id>
配置要为防火墙 DoS 规则匹配的目标 IP 地址。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
<ip-address-id> | 目标 IP 地址。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip dest-ip 10.0.15.8/32
nv set acl acl-default-dos rule <rule-id> match ip dscp
配置要为防火墙 DoS 规则匹配的 DSCP 值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip dscp af13
nv set acl acl-default-dos rule <rule-id> match ip ecn flags tcp-cwr
配置防火墙 DoS 规则以匹配 TCP 拥塞窗口减少标志。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip ecn flags tcp-cwr
nv set acl acl-default-dos rule <rule-id> match ip ecn flags tcp-ece
配置防火墙 DoS 规则以匹配 TCP ECN 回显标志。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip ecn flags tcp-ece
nv set acl acl-default-dos rule <rule-id> match ip ecn ip-ect
配置防火墙 DoS 规则以匹配 ECT 位。ECT 代码点协商连接是否支持 ECN,方法是将两个位中的一个设置为 1。路由器也使用 ECT 位来指示它们正经历拥塞,方法是将两个 ECT 代码点都设置为 1。
默认情况下,ECN 规则匹配设置了位的数据包。您可以使用感叹号 (!) 反转匹配。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip ecn ip-ect
nv set acl acl-default-dos rule <rule-id> match ip fragment
为防火墙 DoS 规则配置 IP 分片数据包匹配。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip fragment
nv set acl acl-default-dos rule <rule-id> match ip hashlimit burst
配置要为防火墙 DoS 规则匹配的 hashlimit 突发速率。您可以指定介于 1 到 4294967295 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip hashlimit burst 10
nv set acl acl-default-dos rule <rule-id> match ip hashlimit destination-mask
配置要为防火墙 DoS 规则匹配的 hashlimit 目标掩码。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip hashlimit destination-mask 32
nv set acl acl-default-dos rule <rule-id> match ip hashlimit expire
配置要为防火墙 DoS 规则匹配的 hashlimit 过期时间(以毫秒为单位)。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip hashlimit expire 1000
nv set acl acl-default-dos rule <rule-id> match ip hashlimit mode
配置要为防火墙 DoS 规则匹配的 hashlimit 模式。您可以指定 src-ip 或 dst-ip。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip hashlimit mode dst-ip
nv set acl acl-default-dos rule <rule-id> match ip hashlimit name
配置要为防火墙 DoS 规则匹配的 hashlimit 名称。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip hashlimit name SSH
nv set acl acl-default-dos rule <rule-id> match ip hashlimit rate-above
配置要为防火墙 DoS 规则匹配的超出 hashlimit 速率的量。您可以指定 <integer>/second、<integer>/min 或 <integer>/hour。最大速率为 1000000/second。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip hashlimit rate-above 1000/min
nv set acl acl-default-dos rule <rule-id> match ip hashlimit source-mask
配置要为防火墙 DoS 规则匹配的 hashlimit 源掩码。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip hashlimit source-mask 32
nv set acl acl-default-dos rule <rule-id> match ip icmp-type
配置要为防火墙 DoS 规则匹配的 IP ICMP 类型。您可以指定:dest-unreachable、echo-reply、echo-request、port-unreachable、time-exceeded 或介于 0 到 255 之间的整数。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip icmp-type dest-unreachable
nv set acl acl-default-dos rule <rule-id> match ip icmpv6-type
配置要为防火墙 DoS 规则匹配的 IP ICMPv6 类型。您可以指定 router-solicitation、router-advertisement、neighbor-solicitation、neighbor-advertisement 或介于 0 到 255 之间的整数。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip icmpv6-type router-solicitation
nv set acl acl-default-dos rule <rule-id> match ip protocol
配置要为防火墙 DoS 规则匹配的 IP 协议。您可以指定 tcp、udp、ospf、pim、icmp、icmpv6 或 igmp。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip protocol tcp
nv set acl acl-default-dos rule <rule-id> match ip recent-list action
配置要为防火墙 DoS 规则匹配的 IP 最近列表操作。您可以指定 set 或 update。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip recent-list action update
nv set acl acl-default-dos rule <rule-id> match ip recent-list hit-count
配置要为防火墙 DoS 规则匹配的 IP 最近列表命中计数。您可以指定介于 1 到 4294967295 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip recent-list hit-count 2000
nv set acl acl-default-dos rule <rule-id> match ip recent-list name
配置要为防火墙 DoS 规则匹配的 IP 最近列表名称。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip recent-list name list1
nv set acl acl-default-dos rule <rule-id> match ip recent-list update-interval
配置要为防火墙 DoS 规则匹配的 IP 最近列表更新间隔。您可以指定介于 1 到 4294967295 之间的值
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip recent-list update-interval 1000
nv set acl acl-default-dos rule <rule-id> match ip source-ip
配置要为防火墙 DoS 规则匹配的源 IP 地址。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip source-ip 10.0.14.2/32
nv set acl acl-default-dos rule <rule-id> match ip tcp all-mss-except
配置防火墙 DoS 规则以匹配除指定值之外的所有 TCP 最大分段大小 (MSS) 值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip tcp all-mss-except 536
nv set acl acl-default-dos rule <rule-id> match ip tcp flags
配置要在防火墙 DoS 规则的数据包中匹配的 IP TCP 标志。您可以指定 ack、all、fin、none、psh、rst、syn 或 urg。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip tcp flags syn
nv set acl acl-default-dos rule <rule-id> match ip tcp mask
配置要在防火墙 DoS 规则的数据包中匹配的 IP TCP 掩码。您可以指定 ack、all、fin、none、psh、rst、syn 或 urg。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip tcp mask ack
nv set acl acl-default-dos rule <rule-id> match ip tcp mss
配置要在防火墙 DoS 规则的数据包中匹配的 TCP 最大分段大小 (MSS)。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip tcp mss 536
nv set acl acl-default-dos rule <rule-id> match ip tcp state established
配置防火墙 DoS 规则以匹配 TCP 已建立状态。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip tcp state established
nv set acl acl-default-dos rule <rule-id> match ip ttl
配置防火墙 DoS 规则以匹配 IP TTL。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip ttl 100
nv set acl acl-default-dos rule <rule-id> match ip udp dest-port
配置防火墙 DoS 规则以匹配指定的 IP UDP 目标端口。您可以指定 ANY、bootps、http、ntp、telnet、bfd、clag、https、pop3、tftp、bfd-echo、dhcp-client、imap2、smtp、bfd-multihop、dhcp-server、ldap、snmp、bgp、domain、ldaps、snmp-trap、bootpc、ftp、msdp 或 ssh。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip udp dest-port https
nv set acl acl-default-dos rule <rule-id> match ip udp source-port
配置防火墙 DoS 规则以匹配指定的 IP UDP 源端口。您可以指定 ANY、bootps、http、ntp、telnet、bfd、clag、https、pop3、tftp、bfd-echo、dhcp-client、imap2、smtp、bfd-multihop、dhcp-server、ldap、snmp、bgp、domain、ldaps、snmp-trap、bootpc、ftp、msdp 或 ssh。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match ip udp source-port https
nv set acl acl-default-dos rule <rule-id> match mac dest-mac
配置防火墙 DoS 规则以匹配指定的目标 MAC 地址。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match mac dest-mac any
nv set acl acl-default-dos rule <rule-id> match mac dest-mac-mask
配置防火墙 DoS 规则以匹配指定的目标 MAC 地址掩码。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match mac dest-mac-mask 00:00:00:00:00:12
nv set acl acl-default-dos rule <rule-id> match mac protocol
配置防火墙 DoS 规则以匹配指定的目标 MAC 协议。您可以指定 ANY、arp、ipv4、ipv6 或介于 0 到 255 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match mac protocol arp
nv set acl acl-default-dos rule <rule-id> match mac source-mac
配置防火墙 DoS 规则以匹配指定的源 MAC 地址。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match mac source-mac any
nv set acl acl-default-dos rule <rule-id> match mac source-mac-mask
配置防火墙 DoS 规则以匹配指定的源 MAC 地址掩码。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match mac source-mac-mask any
nv set acl acl-default-dos rule <rule-id> match vlan
配置防火墙 DoS 规则以匹配指定的 VLAN ID。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 match vlan 10
nv set acl acl-default-dos rule <rule-id> remark
配置关于防火墙 DoS 规则中拒绝或允许条件的备注(描述)。您必须将多个单词用双引号 (") 括起来。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-dos rule 10 remark "The following line permits TCP packets"
nv set acl acl-default-whitelist rule <rule-id> action deny
为防火墙白名单规则配置拒绝操作以拒绝数据包。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 action deny
nv set acl acl-default-whitelist rule <rule-id> action dest-nat translate-ip <range-id>
为防火墙白名单规则配置 IP 地址目标 NAT。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
<range-id> | IPv4 范围;例如,<ip-address> to <ip-address> |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 action dest-nat translate-ip 172.30.58.0 to 172.30.58.80
nv set acl acl-default-whitelist rule <rule-id> action dest-nat translate-port <port-id>
为防火墙白名单规则配置端口目标 NAT。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
<port-id> | 端口 ID 或端口范围。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 action dest-nat translate-port 22
nv set acl acl-default-whitelist rule <rule-id> action erspan dest-ip
为防火墙白名单规则配置 ERSPAN 目标 IP 地址。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 action erspan dest-ip 10.10.10.3
nv set acl acl-default-whitelist rule <rule-id> action erspan source-ip
为防火墙白名单规则配置 ERSPAN 源 IP 地址。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 action erspan source-ip 10.10.10.10
nv set acl acl-default-whitelist rule <rule-id> action erspan ttl
为防火墙白名单规则配置 ERSPAN 生存时间 (TTL)。您可以指定介于 1 到 255 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 action erspan ttl 200
nv set acl acl-default-whitelist rule <rule-id> action log
为防火墙白名单规则配置日志记录。
nv set acl acl-default-whitelist rule <rule-id> action log level
为防火墙白名单规则配置日志级别。您可以指定介于 1 到 7 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 action log level 5
nv set acl acl-default-whitelist rule <rule-id> action log log-prefix <prefix>
为具有特定前缀的数据包配置日志记录,用于防火墙白名单规则。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
<prefix> | 您要记录匹配数据包的前缀。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 action log log-prefix 10.10.10.1/32
nv set acl acl-default-whitelist rule <rule-id> action log rate
配置您要为防火墙白名单规则生成的每分钟日志数。您可以设置介于 1 到 50000 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 action log rate 30000
nv set acl acl-default-whitelist rule <rule-id> action permit
配置允许操作以允许防火墙白名单规则的数据包。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 action permit
nv set acl acl-default-whitelist rule <rule-id> action police burst
为防火墙白名单规则的流量配置服务质量。使用 QoS 策略器,您可以限制流量速率,以便传入数据包在超过指定阈值时被丢弃。此命令配置策略突发速率;允许顺序到达的数据包或千字节 (KB) 数。您可以指定介于 1 到 2147483647 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 action police burst 1000
nv set acl acl-default-whitelist rule <rule-id> action police class
为防火墙白名单规则的流量配置服务质量。使用 QoS 策略器,您可以限制流量速率,以便传入数据包在超过指定阈值时被丢弃。此命令配置策略操作类。您可以指定介于 0 到 7 之间的整数。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 action police class 5
nv set acl acl-default-whitelist rule <rule-id> action police mode
为防火墙白名单规则的流量配置服务质量。使用 QoS 策略器,您可以限制流量速率,以便传入数据包在超过指定阈值时被丢弃。此命令配置流量模式。您可以指定 packet、kbps、mbps 或 gbps。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 action police mode mbps
nv set acl acl-default-whitelist rule <rule-id> action police rate
为防火墙白名单规则的流量配置服务质量。使用 QoS 策略器,您可以限制流量速率,以便传入数据包在超过指定阈值时被丢弃。此命令配置策略速率。您可以指定介于 1 到 2147483647 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 action police rate 2000
nv set acl acl-default-whitelist rule <rule-id> action recent
将防火墙白名单规则配置为最近的规则。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 action recent
nv set acl acl-default-whitelist rule <rule-id> action set class
修改防火墙白名单规则的数据包分类的类值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 action set class 3
nv set acl acl-default-whitelist rule <rule-id> action set cos
配置要在防火墙白名单规则的数据包中修改的 802.1p CoS 值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 action set cos 6
nv set acl acl-default-whitelist rule <rule-id> action set dscp
配置要在防火墙白名单规则的数据包中修改的 DSCP 值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 action set dscp af12
nv set acl acl-default-whitelist rule <rule-id> action source-nat translate-ip <range-id>
配置动态 NAT 操作白名单规则,以将源 IP 地址范围转换为公共地址。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
<range-id> | IP 地址范围;例如,<ip-address> to <ip-address>。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 action source-nat translate-ip 172.30.58.0 to 172.30.58.80
nv set acl acl-default-whitelist rule <rule-id> action source-nat translate-port <port-id>
配置 NAT 操作白名单规则以转换源 IP 端口。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
<port-id> | 端口号或端口范围(用 - 分隔)。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 action source-nat translate-port 1024-1200
nv set acl acl-default-whitelist rule <rule-id> action span <interface-id>
为防火墙白名单规则的指定接口配置 SPAN 会话。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
<interface-id> | 接口名称。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 action span swp1
nv set acl acl-default-whitelist rule <rule-id> match ip connection-state
配置要为防火墙白名单规则匹配的连接状态。您可以将值设置为 established、related、new 或 invalid。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip connection-state related
nv set acl acl-default-whitelist rule <rule-id> match ip dest-ip <ip-address-id>
配置要为防火墙白名单规则匹配的目标 IP 地址。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
<ip-address-id> | 目标 IP 地址。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip dest-ip 10.0.15.8/32
nv set acl acl-default-whitelist rule <rule-id> match ip dscp
配置要为防火墙白名单规则匹配的 DSCP 值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip dscp af13
nv set acl acl-default-whitelist rule <rule-id> match ip ecn flags tcp-cwr
配置防火墙白名单规则以匹配 TCP 拥塞窗口减少标志。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip ecn flags tcp-cwr
nv set acl acl-default-whitelist rule <rule-id> match ip ecn flags tcp-ece
配置防火墙白名单规则以匹配 TCP ECN 回显标志。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip ecn flags tcp-ece
nv set acl acl-default-whitelist rule <rule-id> match ip ecn ip-ect
配置防火墙白名单规则以匹配 ECT 位。ECT 代码点协商连接是否支持 ECN,方法是将两个位中的一个设置为 1。路由器也使用 ECT 位来指示它们正经历拥塞,方法是将两个 ECT 代码点都设置为 1。
默认情况下,ECN 规则匹配设置了位的数据包。您可以使用感叹号 (!) 反转匹配。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip ecn ip-ect
nv set acl acl-default-whitelist rule <rule-id> match ip fragment
为防火墙白名单规则配置 IP 分片数据包匹配。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip fragment
nv set acl acl-default-whitelist rule <rule-id> match ip hashlimit burst
配置要为防火墙白名单规则匹配的 hashlimit 突发速率。您可以指定介于 1 到 4294967295 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip hashlimit burst 10
nv set acl acl-default-whitelist rule <rule-id> match ip hashlimit destination-mask
配置要为防火墙白名单规则匹配的 hashlimit 目标掩码。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip hashlimit destination-mask 32
nv set acl acl-default-whitelist rule <rule-id> match ip hashlimit expire
配置要为防火墙白名单规则匹配的 hashlimit 过期时间(以毫秒为单位)。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip hashlimit expire 1000
nv set acl acl-default-whitelist rule <rule-id> match ip hashlimit mode
配置要为防火墙白名单规则匹配的 hashlimit 模式。您可以指定 src-ip 或 dst-ip。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip hashlimit mode dst-ip
nv set acl acl-default-whitelist rule <rule-id> match ip hashlimit name
配置要为防火墙白名单规则匹配的 hashlimit 名称。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip hashlimit name SSH
nv set acl acl-default-whitelist rule <rule-id> match ip hashlimit rate-above
配置要为防火墙白名单规则匹配的超出 hashlimit 速率的量。您可以指定 <integer>/second、<integer>/min 或 <integer>/hour。最大速率为 1000000/second。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip hashlimit rate-above 1000/min
nv set acl acl-default-whitelist rule <rule-id> match ip hashlimit source-mask
配置要为防火墙白名单规则匹配的 hashlimit 源掩码。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip hashlimit source-mask 32
nv set acl acl-default-whitelist rule <rule-id> match ip icmp-type
配置要为防火墙白名单规则匹配的 IP ICMP 类型。您可以指定:dest-unreachable、echo-reply、echo-request、port-unreachable、time-exceeded 或介于 0 到 255 之间的整数。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip icmp-type dest-unreachable
nv set acl acl-default-whitelist rule <rule-id> match ip icmpv6-type
配置要为防火墙白名单规则匹配的 IP ICMPv6 类型。您可以指定 router-solicitation、router-advertisement、neighbor-solicitation、neighbor-advertisement 或介于 0 到 255 之间的整数。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip icmpv6-type router-solicitation
nv set acl acl-default-whitelist rule <rule-id> match ip protocol
配置要为防火墙白名单规则匹配的 IP 协议。您可以指定 tcp、udp、ospf、pim、icmp、icmpv6 或 igmp。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip protocol tcp
nv set acl acl-default-whitelist rule <rule-id> match ip recent-list action
配置要为防火墙白名单规则匹配的 IP 最近列表操作。您可以指定 set 或 update。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip recent-list action update
nv set acl acl-default-whitelist rule <rule-id> match ip recent-list hit-count
配置要为防火墙白名单规则匹配的 IP 最近列表命中计数。您可以指定介于 1 到 4294967295 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip recent-list hit-count 2000
nv set acl acl-default-whitelist rule <rule-id> match ip recent-list name
配置要为防火墙白名单规则匹配的 IP 最近列表名称。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip recent-list name list1
nv set acl acl-default-whitelist rule <rule-id> match ip recent-list update-interval
配置要为防火墙白名单规则匹配的 IP 最近列表更新间隔。您可以指定介于 1 到 4294967295 之间的值
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip recent-list update-interval 1000
nv set acl acl-default-whitelist rule <rule-id> match ip source-ip
配置要为防火墙白名单规则匹配的源 IP 地址。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip source-ip 10.0.14.2/32
nv set acl acl-default-whitelist rule <rule-id> match ip tcp all-mss-except
配置防火墙白名单规则以匹配除指定值之外的所有 TCP 最大分段大小 (MSS) 值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip tcp all-mss-except 536
nv set acl acl-default-whitelist rule <rule-id> match ip tcp flags
配置要在防火墙白名单规则的数据包中匹配的 IP TCP 标志。您可以指定 ack、all、fin、none、psh、rst、syn 或 urg。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip tcp flags syn
nv set acl acl-default-whitelist rule <rule-id> match ip tcp mask
配置要在防火墙白名单规则的数据包中匹配的 IP TCP 掩码。您可以指定 ack、all、fin、none、psh、rst、syn 或 urg。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip tcp mask ack
nv set acl acl-default-whitelist rule <rule-id> match ip tcp mss
配置要在防火墙白名单规则的数据包中匹配的 TCP 最大分段大小 (MSS)。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip tcp mss 536
nv set acl acl-default-whitelist rule <rule-id> match ip tcp state established
配置防火墙白名单规则以匹配 TCP 已建立状态。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip tcp state established
nv set acl acl-default-whitelist rule <rule-id> match ip ttl
配置防火墙白名单规则以匹配 IP TTL。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip ttl 100
nv set acl acl-default-whitelist rule <rule-id> match ip udp dest-port
配置防火墙白名单规则以匹配指定的 IP UDP 目标端口。您可以指定 ANY、bootps、http、ntp、telnet、bfd、clag、https、pop3、tftp、bfd-echo、dhcp-client、imap2、smtp、bfd-multihop、dhcp-server、ldap、snmp、bgp、domain、ldaps、snmp-trap、bootpc、ftp、msdp 或 ssh。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip udp dest-port https
nv set acl acl-default-whitelist rule <rule-id> match ip udp source-port
配置防火墙白名单规则以匹配指定的 IP UDP 源端口。您可以指定 ANY、bootps、http、ntp、telnet、bfd、clag、https、pop3、tftp、bfd-echo、dhcp-client、imap2、smtp、bfd-multihop、dhcp-server、ldap、snmp、bgp、domain、ldaps、snmp-trap、bootpc、ftp、msdp 或 ssh。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match ip udp source-port https
nv set acl acl-default-whitelist rule <rule-id> match mac dest-mac
配置防火墙白名单规则以匹配指定的目标 MAC 地址。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match mac dest-mac any
nv set acl acl-default-whitelist rule <rule-id> match mac dest-mac-mask
配置防火墙白名单规则以匹配指定的目标 MAC 地址掩码。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match mac dest-mac-mask 00:00:00:00:00:12
nv set acl acl-default-whitelist rule <rule-id> match mac protocol
配置防火墙白名单规则以匹配指定的目标 MAC 协议。您可以指定 ANY、arp、ipv4、ipv6 或介于 0 到 255 之间的值。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
| ——— | ————– |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match mac protocol arp
nv set acl acl-default-whitelist rule <rule-id> match mac source-mac
配置防火墙白名单规则以匹配指定的源 MAC 地址。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match mac source-mac any
nv set acl acl-default-whitelist rule <rule-id> match mac source-mac-mask
配置防火墙白名单规则以匹配指定的源 MAC 地址掩码。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match mac source-mac-mask any
nv set acl acl-default-whitelist rule <rule-id> match vlan
配置防火墙白名单规则以匹配指定的 VLAN ID。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 match vlan 10
nv set acl acl-default-whitelist rule <rule-id> remark
配置关于防火墙白名单规则中拒绝或允许条件的备注(描述)。您必须将多个单词用双引号 (") 括起来。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv set acl acl-default-whitelist rule 10 remark "The following line permits TCP packets"
nv set system control-plane acl acl-default-dos inbound
启用或禁用 Cumulus Linux 默认 Dos 防火墙规则,这些规则保护交换机控制平面和 CPU 免受 DOS 攻击。Cumulus Linux 提供防火墙 DoS 规则以
- 仅允许内部流量到环回接口。
- 接受已建立的连接和出站流量。
- 设置 - allow 选项以着色来自特定接口的数据包。当需要为不同的 eth 接口应用不同的策略时使用。
- 如果第一个 TCP 段不是 SYN,则丢弃数据包。
- 丢弃分片的 IP 数据包。
- 丢弃圣诞树数据包;设置了所有 TCP 标志的数据包。
- 丢弃 NULL 数据包。
- 丢弃无效数据包。
- 丢弃奇怪的 MSS 值。
- 提供暴力保护。
- 丢弃路由标头类型为 0 的数据包。
- 丢弃跃点限制大于 1 的数据包。
- 限制过多的 TCP 重置数据包。
- 防止 SYN 洪水攻击。
- 限制每个 IP 地址的新 TCP 连接速率。
- 记录所有剩余数据包,然后丢弃它们。
在 Cumulus Linux 5.8 及更早版本中,默认防火墙规则集更开放;Cumulus Linux 接受来自所有地址和协议的数据包。Cumulus Linux 5.9 及更高版本提供了一组默认防火墙规则,该规则仅允许特定地址和端口,并丢弃不允许的数据包。
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv unset system control-plane acl acl-default-dos inbound
nv set system control-plane acl acl-default-whitelist inbound
启用或禁用 Cumulus Linux 默认白名单防火墙规则,这些规则指定在交换机上启用的服务或应用程序端口。Cumulus Linux 提供防火墙白名单规则以启用 TCP 端口和 UDP 端口。
在 Cumulus Linux 5.8 及更早版本中,默认防火墙规则集更开放;Cumulus Linux 接受来自所有地址和协议的数据包。Cumulus Linux 5.9 及更高版本提供了一组默认防火墙规则,该规则仅允许特定地址和端口,并丢弃不允许的数据包。
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv unset system control-plane acl acl-default-whitelist inbound