ACL 和 CoPP
nv show acl
显示交换机上配置的 ACL 规则。
在 Cumulus Linux 5.9 中,您必须运行 nv show acl --rev=applied 命令才能查看输出。
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv show acl
type Summary
-------- ---- --------
EXAMPLE1 ipv4 rule: 10
nv show acl acl-default-dos
显示交换机上的防火墙 DoS 规则。
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv show acl acl-default-dos
applied pending
---- ------- -------
type ipv4 ipv4
rule
=======
Number Summary
------ ----------------------------------------
30 match.ip.protocol: tcp
40 match.ip.protocol: tcp
41 match.ip.protocol: tcp
42 match.ip.protocol: tcp
50
60 match.ip.protocol: tcp
70 match.ip.protocol: tcp
80 match.ip.protocol: tcp
90 match.ip.protocol: tcp
match.ip.tcp.all-mss-except: 536-65535
100 match.ip.recent-list.action: set
match.ip.tcp.dest-port: 22
110 match.ip.recent-list.action: update
match.ip.recent-list.hit-count: 100
match.ip.recent-list.update-interval: 60
match.ip.tcp.dest-port: 22
120 match.ip.hashlimit.burst: 2
match.ip.hashlimit.expire: 30000
match.ip.hashlimit.mode: src-ip
match.ip.hashlimit.name: TCPRST
match.ip.hashlimit.rate-above: 5/min
match.ip.hashlimit.source-mask: 32
match.ip.protocol: tcp
130 match.ip.hashlimit.burst: 30
match.ip.hashlimit.expire: 30000
match.ip.hashlimit.mode: src-ip
match.ip.hashlimit.name: TCPGENERAL
match.ip.hashlimit.rate-above: 50/second
match.ip.hashlimit.source-mask: 32
match.ip.protocol: tcp
nv show acl acl-default-dos rule <rule-id>
显示有关交换机上指定防火墙 DoS 规则的信息。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@leaf01:mgmt:~$ nv show acl acl-default-dos rule 120
applied pending
----------------- ------- -------
match
ip
protocol tcp tcp
hashlimit
name TCPRST TCPRST
rate-above 5/min 5/min
burst 2 2
source-mask 32 32
expire 30000 30000
mode src-ip src-ip
nv show acl acl-default-whitelist
显示交换机上的防火墙白名单规则。
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv show acl acl-default-whitelist
applied pending
---- ------- -------
type ipv4 ipv4
rule
=======
Number Summary
------ -------------------------------------------------
5 match.ip.protocol: tcp
match.ip.tcp.dest-port: ssh
10 match.ip.protocol: tcp
match.ip.tcp.dest-port: bgp
15 match.ip.protocol: tcp
match.ip.tcp.dest-port: ldap
20 match.ip.protocol: tcp
match.ip.tcp.dest-port: 8765
25 match.ip.protocol: tcp
match.ip.tcp.dest-port: https
30 match.ip.protocol: tcp
match.ip.tcp.dest-port: clag
35 match.ip.protocol: tcp
match.ip.tcp.source-port: 49
40 match.ip.protocol: udp
match.ip.udp.dest-port: dhcp-client
45 match.ip.protocol: udp
match.ip.udp.dest-port: dhcp-server
50 match.ip.protocol: udp
match.ip.udp.dest-port: ntp
55 match.ip.protocol: udp
match.ip.udp.dest-port: 323
60 match.ip.protocol: udp
match.ip.udp.dest-port: snmp
65 match.ip.protocol: udp
match.ip.udp.dest-port: tftp
70 match.ip.protocol: udp
match.ip.udp.dest-port: ldap
73 match.ip.udp.source-port: 3020
74 match.ip.udp.source-port: 3022
75 match.ip.protocol: udp
match.ip.udp.source-port: 1812
80 match.ip.protocol: udp
match.ip.udp.source-port: 1813
85 match.ip.protocol: udp
match.ip.udp.dest-port: 6343
90 match.ip.protocol: udp
match.ip.udp.dest-port: 6344
95 match.ip.protocol: udp
match.ip.udp.dest-port: 514
100 match.ip.protocol: udp
match.ip.udp.dest-port: bfd
105 match.ip.protocol: udp
match.ip.udp.dest-port: bfd-multihop
110 match.ip.protocol: udp
match.ip.udp.dest-port: 4789
115 match.ip.protocol: udp
match.ip.udp.dest-port: 319
120 match.ip.protocol: udp
match.ip.udp.dest-port: 320
125 match.ip.protocol: tcp
match.ip.tcp.dest-port: 9339
130 match.ip.protocol: tcp
match.ip.tcp.dest-port: 31980
match.ip.tcp.dest-port: 31982
135 match.ip.protocol: tcp
match.ip.tcp.dest-port: 639
140 match.ip.protocol: udp
match.ip.udp.source-port: 53
145 match.ip.protocol: tcp
match.ip.tcp.dest-port: 9999
150 match.ip.protocol: ospf
155 match.ip.protocol: pim
160 match.ip.protocol: vrrp
165 match.ip.protocol: igmp
170 match.ip.protocol: icmp
175 match.ip.protocol: udp
match.ip.udp.dest-port: clag
9999 Log Level: 5
action.log.log-prefix: IPTables-Dropped:
Log Rate: 1
nv show acl acl-default-whitelist rule <rule-id>
显示有关交换机上指定防火墙白名单规则的信息。
命令语法
| 语法 | 描述 |
|---|---|
<rule-id> | 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv show acl acl-default-whitelist rule 150
applied pending
------------ ------- -------
match
ip
protocol ospf ospf
nv show acl <acl-id>
显示指定的 ACL 配置。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv show acl EXAMPLE1
operational applied
---- ----------- -------
type ipv4
rule
=======
nv show acl <acl-id> rule
显示指定 ACL 的规则。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv show acl EXAMPLE1 rule
Number Summary
------ --------------------------------
10 match.ip.dest-ip: 10.0.15.8/32
match.ip.dest-port: ANY
match.ip.protocol: tcp
match.ip.source-ip: 10.0.14.2/32
match.ip.source-port: ANY
nv show acl <acl-id> rule <rule-id>
显示有关具有指定规则编号的 ACL 的配置信息。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv show acl EXAMPLE1 rule 10
operational applied
----------------- ------------ ------------
match
ip
dest-ip 10.0.15.8/32 10.0.15.8/32
protocol tcp tcp
source-ip 10.0.14.2/32 10.0.14.2/32
[dest-port] ANY ANY
[source-port] ANY ANY
nv show acl <acl-id> rule <rule-id> action
显示指定 ACL 规则的操作。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv show acl EXAMPLE1 rule 10 action
operational applied
----------- -------
permit
nv show acl <acl-id> rule <rule-id> action erspan
显示指定 ACL 规则的 ERSPAN 会话。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv show acl EXAMPLE1 rule 10 action erspan
operational applied pending
--- ----------- ------- -------
ttl 200
nv show acl <acl-id> rule <rule-id> action police
显示指定 ACL 规则的匹配数据包和字节的策略。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | ACL 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv show acl EXAMPLE1 rule 10 action police
operational applied
----- ----------- -------
burst 200
mode packet
rate 400
nv show acl <acl-id> rule <rule-id> action recent
显示 ACL 规则的最近操作。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv show acl acl-default-whitelist rule 73 action recent
nv show acl <acl-id> rule <rule-id> match
显示指定 ACL 规则的 ACL 匹配标准。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv show acl EXAMPLE1 rule 10 match
operational applied
---------- ----------- -------
ip
protocol tcp
nv show acl <acl-id> rule <rule-id> match ip
显示指定 ACL 规则的 IPv4 或 IPv6 匹配标准。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv show acl EXAMPLE1 rule 10 match ip
operational applied
----------- ----------- -------
protocol tcp
[dest-port] 200
nv show acl <acl-id> rule <rule-id> match ip connection-state
显示匹配 IP ACL 规则的连接状态。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv show acl acl-default-whitelist rule 73 match ip connection-state
applied
-----------
new
established
nv show acl <acl-id> rule <rule-id> match ip ecn flags
显示指定 ACL 规则的 ECN 协议标志匹配标准。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | 规则编号。 |
版本历史
在 Cumulus Linux 5.2.0 中引入
示例
cumulus@switch:~$ nv show acl EXAMPLE1 rule 10 match ip ecn flags
operational applied
----------- -------
tcp-cwr
tcp-ece
tcp-cwr
tcp-ece
nv show acl <acl-id> rule <rule-id> match ip hashlimit
显示匹配 IP ACL 规则的哈希限制。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv show acl acl-default-whitelist rule 73 match ip hashlimit
nv show acl <acl-id> rule <rule-id> match ip recent-list
显示匹配 IP ACL 规则的最近列表。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | 规则编号。 |
版本历史
在 Cumulus Linux 5.9.0 中引入
示例
cumulus@switch:~$ nv show acl acl-default-whitelist rule 73 match ip recent-list
nv show acl <acl-id> rule <rule-id> match ip tcp flags
显示指定 ACL 规则的 TCP 标志匹配标准。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv show acl EXAMPLE1 rule 10 match ip tcp flags
operational applied
----------- -------
syn
nv show acl <acl-id> rule <rule-id> match ip tcp mask
显示指定 ACL 规则的 TCP 协议标志掩码匹配标准。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv show acl EXAMPLE1 rule 10 match ip tcp mask
operational applied
----------- -------
syn
nv show acl <acl-id> rule <rule-id> match mac
显示指定 ACL 规则的 MAC 地址匹配标准。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | 规则编号。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv show acl EXAMPLE1 rule 10 match mac
operational applied
--------------- ----------- -----------------
dest-mac 08:9e:01:ce:e2:04
dest-mac-mask ff:ff:ff:ff:ff:ff
source-mac 00:00:00:00:00:12
source-mac-mask ff:ff:ff:ff:ff:ff
nv show interface <interface-id> acl
显示指定接口上的 ACL。 您可以使用 ACL 来匹配数据包并执行操作。
命令语法
| 语法 | 描述 |
|---|---|
<interface-id> | ACL 在其上运行的接口。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv show interface swp1 acl
ACL Name Rule ID In Packets In Bytes Out Packets Out Bytes
-------- ------- ---------- -------- ----------- ---------
EXAMPLE1 10 0 0
nv show interface <interface-id> acl <acl-id>
显示有关指定接口上特定 ACL 的信息。 您可以使用 ACL 来匹配数据包并执行操作。
命令语法
| 语法 | 描述 |
|---|---|
<interface-id> | ACL 在其上运行的接口。 |
<acl-id> | ACL 名称。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv show interface swp1 acl EXAMPLE1
Statistics
=============
Rule In Packet In Byte Out Packet Out Byte Summary
---- --------- ------- ---------- -------- -----------------------
10 0 0 Bytes match.ip.dest-port: 200
match.ip.protocol: tcp
nv show interface <interface-id> acl <acl-id> inbound
显示有关应用于指定接口上入站流量的 ACL 的信息。
命令语法
| 语法 | 描述 |
|---|---|
<interface-id> | ACL 在其上运行的接口。 |
<acl-id> | ACL 名称。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv show interface swp1 acl EXAMPLE1 inbound
nv show interface <interface-id> acl <acl-id> inbound control-plane
显示有关应用于指定接口上控制平面的 ACL 的信息。
命令语法
| 语法 | 描述 |
|---|---|
<interface-id> | ACL 在其上运行的接口。 |
<acl-id> | ACL 名称。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv show interface swp1 acl EXAMPLE1 inbound control-plane
nv show interface <interface-id> acl <acl-id> statistics
显示指定接口上特定 ACL 的统计信息。
命令语法
| 语法 | 描述 |
|---|---|
<interface-id> | ACL 在其上运行的接口。 |
<acl-id> | ACL 名称。 |
版本历史
在 Cumulus Linux 5.2.0 中引入
示例
cumulus@switch:~$ nv show interface swp1 acl EXAMPLE1 statistics
Rule In Packet In Byte Out Packet Out Byte Summary
---- --------- ------- ---------- -------- -----------------------
10 0 0 Bytes match.ip.dest-port: 200
match.ip.protocol: tcp
nv show interface <interface-id> acl <acl-id> statistics <rule-id>
显示指定接口上特定 ACL 规则的统计信息。
命令语法
| 语法 | 描述 |
|---|---|
<interface-id> | ACL 在其上运行的接口。 |
<acl-id> | ACL 名称。 |
版本历史
在 Cumulus Linux 5.2.0 中引入
示例
cumulus@switch:~$ nv show interface swp1 acl EXAMPLE1 statistics 10
operational applied
--------------- ----------- -------
match
ip
protocol tcp
[dest-port] 200
outbound
byte 0 Bytes
packet 0
nv show interface acl-statistics
显示所有接口的 ACL 统计信息。
版本历史
在 Cumulus Linux 5.2.0 中引入
示例
cumulus@switch:~$ nv show interface acl-statistics
Interface ACL Name Rule ID In Packets In Bytes Out Packets Out Bytes
--------- -------- ------- ---------- -------- ----------- ---------
swp1 EXAMPLE1 10 0 0 Bytes
nv show system acl
显示 ACL 模式设置;原子或非原子
版本历史
在 Cumulus Linux 5.3.0 中引入
示例
cumulus@switch:~$ nv show system acl
applied
---- -------
mode atomic
nv show system control-plane
显示控制平面配置。
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv show system control-plane
trap
=======
policer
==========
Policer State Policer Rate Policer Burst Summary
------------- ----- ------------ ------------- -------------------
acl-log on 100 100 Policer CBS: 7
Policer CIR: 100
Policer Id: 6
To CPU Bytes: 0
To CPU Pkts: 0
Trap Group: 18
Violated Packets: 0
arp on 800 800 Policer CBS: 10
Policer CIR: 800
Policer Id: 9
To CPU Bytes: 0
To CPU Pkts: 0
Trap Group: 13
Violated Packets: 0
bfd on 2000 2000 Policer CBS: 11
Policer CIR: 2000
Policer Id: 10
To CPU Bytes: 0
To CPU Pkts: 0
Trap Group: 17
Violated Packets: 0
bgp on 2000 2000 Policer CBS: 11
...
nv show system control-plane acl
显示交换机上配置的控制平面 ACL。 您可以使用控制平面 ACL 为转发到 CPU 的所有数据包应用单个规则,而无需考虑交换机上的源接口或目标接口。 控制平面 ACL 允许您比陷阱更精细地 регулировать 转发到交换机上应用程序的流量,并配置 ACL 以阻止来自特定地址或子网的 SSH。
版本历史
在 Cumulus Linux 5.5.0 中引入
示例
cumulus@switch:~$ nv show system control-plane acl
ACL Name Rule ID In Packets In Bytes Out Packets Out Bytes
--------- ------- ---------- -------- ----------- ---------
ACL1 1 0 0 0 0
65535 0 0 0 0
ACL2 1 0 0 0 0
65535 0 0 0 0
nv show system control-plane acl <acl-id>
显示有关指定控制平面 ACL 的信息。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
版本历史
在 Cumulus Linux 5.5.0 中引入
示例
cumulus@switch:~$ nv show system control-plane acl ACL1
nv show system control-plane acl <acl-id> statistics
显示指定控制平面 ACL 的统计信息。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
版本历史
在 Cumulus Linux 5.5.0 中引入
示例
cumulus@switch:~$ nv show system control-plane acl ACL1 statistics
Rule In Packet In Byte Out Packet Out Byte Summary
---- --------- ------- ---------- -------- ---------------------------
1 0 0 Bytes 0 0 Bytes match.ip.dest-ip: 9.1.2.3
2 0 0 Bytes 0 0 Bytes match.ip.source-ip: 7.8.2.3
nv show system control-plane acl <acl-id> statistics <rule-id>
显示指定控制平面 ACL 规则的统计信息。
命令语法
| 语法 | 描述 |
|---|---|
<acl-id> | ACL 名称。 |
<rule-id> | 规则编号。 |
版本历史
在 Cumulus Linux 5.5.0 中引入
示例
cumulus@switch:~$ nv show system control-plane acl ACL1 statistics 2
nv show system control-plane policer
显示控制平面策略器配置。
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv show system control-plane policer
Policer State Policer Rate Policer Burst Summary
------------- ----- ------------ ------------- -------------------
acl-log on 100 100 Policer CBS: 7
Policer CIR: 100
Policer Id: 6
To CPU Bytes: 0
To CPU Pkts: 0
Trap Group: 18
Violated Packets: 0
arp on 800 800 Policer CBS: 10
Policer CIR: 800
Policer Id: 9
To CPU Bytes: 0
To CPU Pkts: 0
Trap Group: 13
Violated Packets: 0
bfd on 2000 2000 Policer CBS: 11
...
nv show system control-plane policer <policer-id>
显示特定控制平面策略器的配置信息。 策略器可以是:acl-log、arp、bfd、bgp、brief、catch-all、clag、dhcp、eapol、icmp6-def-mld、icmp6-neigh、icmp-def、igmp、ip2me、l3-local、lacp、lldp-ptp、nat、pim-ospf-rip、rpvst、span-cpu、ssh、stp 或 unknown-ipmc。
命令语法
| 语法 | 描述 |
|---|---|
<policer-id> | 策略器 ID。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv show system control-plane policer bfd
operational applied
--------------- ----------- -------
burst 2000
rate 2000
state on
statistics
policer-cbs 11
policer-cir 2000
policer-id 10
to-cpu-bytes 0
to-cpu-pkts 0
trap-group-id 17
violated-pkts 0
nv show system control-plane policer <policer-id> statistics
显示特定控制平面策略器的统计信息。 策略器可以是:acl-log、arp、bfd、bgp、brief、catch-all、clag、dhcp、eapol、icmp6-def-mld、icmp6-neigh、icmp-def、igmp、ip2me、l3-local、lacp、lldp-ptp、nat、pim-ospf-rip、rpvst、span-cpu、ssh、stp 或 unknown-ipmc。
命令语法
| 语法 | 描述 |
|---|---|
<policer-id> | 策略器 ID。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv show system control-plane policer bfd statistics
operational applied
------------- ----------- -------
policer-cbs 11
policer-cir 2000
policer-id 10
to-cpu-bytes 0
to-cpu-pkts 0
trap-group-id 17
violated-pkts 0
nv show system control-plane trap
显示控制平面陷阱配置。
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv show system control-plane trap
nv show system control-plane trap <trap-id>
显示特定控制平面陷阱配置。
命令语法
| 语法 | 描述 |
|---|---|
<trap-id> | 陷阱 ID。 |
版本历史
在 Cumulus Linux 5.0.0 中引入
示例
cumulus@switch:~$ nv show system control-plane trap l3-mtu-err
operational applied
----- ----------- -------
state off off