RULE规则.doc

RULE规则一、rule description命令功能rule description 命令用来配置某条规则的描述信息。undo rule description命令用来删除某条规则的描述信息。缺省情况下，各规则没有描述信息。命令格式rule rule-id descriptionundo rule rule-id description参数说明参数参数说明取值rule-id指定ACL的规则ID。整数形式，取值范围是04294967294。description指定某rule-id规则的描述信息。用户可以通过这个描述信息更详细地记录规则，便于识别规则。字符串形式，不超过127个字符。视图基本ACL视图、高级ACL视图 、二层ACL视图、 UCL视图 、基本ACL6视图、 高级ACL6视图 缺省级别2：配置级使用指南使用场景当前规则的标识方式主要是使用rule-id，一个数字很难很好地表达该规则的含义、用途等信息，不便于用户标记，一定长度字符串的标记方式就可以解决这个问题。前置条件在使用rule rule-id description进行描述信息配置的时候，必须保证该rule-id的规则已经存在，否则系统提示错误信息：Warning: The acl subitem number does not exist.该rule-id的规则的配置可以在使用不同视图下的rule命令来配置，分别为：rule（高级ACL6视图）、rule（高级ACL视图）、rule（基本ACL6视图）、rule（基本ACL视图）、rule（二层ACL视图）、rule（UCL视图）。配置影响该命令是覆盖式命令，配置结果可以使用display acl和display acl ipv6查询。使用实例#假设ACL 2001的规则5是允许源地址是192.168.32.1的报文，配置增加规则5的描述信息。 system-viewQuidway acl 2001Quidway-acl-basic-2001 rule 5 description permit 192.168.32.1Quidway-acl-basic-2001 display acl 2001Basic ACL 2001, 2 rulesAcls step is 5 rule 2 deny rule 5 permit source 192.168.32.1 0 rule 5 description permit 192.168.32.1# 配置在ACL 2001中删除规则5的描述信息。 system-viewQuidway acl 2001Quidway-acl-basic-2001 undo rule 5 descriptionQuidway-acl-basic-2001 display acl 2001Basic ACL 2001, 2 rulesAcls step is 5 rule 2 deny rule 5 permit source 192.168.32.1 0 二、rule（UCL视图）命令功能rule命令用来在对应的UCL视图下增加一个规则。undo rule命令用来删除一个规则。命令格式rule rule-id deny | permit l2-head | ipv4-head | ipv6-head | l4-head rule-string rule-mask offset time-range time-range-name undo rule rule-id参数说明参数参数说明取值rule-id指定ACL的规则ID。该参数只对匹配规则是config的ACL有效。 如果指定ID的规则已经存在，则会在旧规则的基础上叠加新定义的规则，相当于编辑一个已经存在的规则；如果指定ID的规则不存在，则使用指定的ID创建一个新规则，并且按照ID的大小决定规则插入的位置。 如果不指定ID，则增加一个新规则时S9300动会为这个规则分配一个ID，ID按照大小排序。系统自动分配ID时会留有一定的空间，具体的相邻ID范围由step命令指定。整数形式，取值范围为04294967294。deny表示拒绝符合条件的数据包。-permit表示允许符合条件的数据包。-l2-head | ipv4-head | ipv6-head | l4-head表示从指定位置开始偏移，其中： l2-head表示从报文的二层头部开始偏移； ipv4-head表示从IPv4头部开始偏移； ipv6-head表示从IPv6头部开始偏移； l4-head表示从四层头部开始偏移。-rule-string表示用户自定义的规则字符串。16进制形式，字符长度必须是偶数，最大支持4个字节。rule-mask表示规则字符串的掩码。16进制形式，字符长度必须是偶数，最大支持4个字节。当用户定义的规则字符串对应的掩码为“1”时，ACL对该位进行匹配；当用户定义的规则字符串对应的掩码为“0”时，ACL不对该位进行匹配。offset表示偏移值。整数形式，单位是字节。根据偏移位置不同，offset取值范围不同。取值范围为：298。time-range time-range-name表示定义一个ACL规则生效的时间段。time-range-name表示时间段的名称。字符串形式，长度范围是132。视图UCL视图缺省级别2：配置级使用指南在S9300上使用rule命令定义用于流分类的匹配规则，不仅根据rule命令中的permit和deny参数对信息进行过滤操作，还需要结合流行为进行过滤。rule （UCL视图）命令每次固定匹配4个字节的内容，当配置的rule-string参数长度不满4个字节时，在前面补0凑足4个字节进行匹配。使用命令undo rule删除规则的时候，rule-id必须是一个已经存在的ACL规则编号，如果不知道规则的编号，可以使用命令display acl来查看。说明： 用户自定义ACL只能应用于上行策略。使用实例# 在编号为5001的ACL中增加一条规则，从二层报文头开始匹配4个字节的字符串，字符串内容为0180C200。 system-viewQuidway acl 5001Quidway-acl-user-5001 rule permit l2-head 0x0180C200 0xFFFFFFFF 14三、rule（二层ACL视图）命令功能rule命令用来在对应的二层ACL视图下增加一个规则。undo rule命令用来删除一个二层ACL规则。命令格式rule rule-id permit | deny ether-ii | 802.3 | snap | l2-protocol type-value type-mask | destination-mac dest-mac-address dest-mac-mask | source-mac source-mac-address source-mac-mask | vlan-id vlan-id vlan-id-mask | 8021p 802.1p-value | cvlan-id cvlan-id cvlan-id-mask | cvlan-8021p 802.1p-value | double-tag * time-range time-range-name undo rule rule-id参数说明参数参数说明取值rule-id指定ACL的规则ID。该参数只对匹配规则是config的ACL有效。 如果指定ID的规则已经存在，则会在旧规则的基础上叠加新定义的规则，相当于编辑一个已经存在的规则；如果指定ID的规则不存在，则使用指定的ID创建一个新规则，并且按照ID的大小决定规则插入的位置。 如果不指定ID，则增加一个新规则时S9300自动会为这个规则分配一个ID，ID按照大小排序。系统自动分配ID时会留有一定的空间，具体的相邻ID范围由step命令指定。说明： S9300自动生成的规则ID从步长值起始，缺省步长为5，即从5开始并按照5的倍数生成规则序号，序号分别为5、10、15、整数形式，取值范围是04294967294。deny表示拒绝符合条件的数据包。-permit表示允许符合条件的数据包。-ether-ii | 802.3 | snap表示匹配报文的封装格式。其中： ether-ii表示Ethernet II封装； 802.3表示802.3封装； snap表示SNAP封装；-l2-protocol type-value type-mask表示二层协议的类型，对应Ethernet_II类型中的Ethernet type和Ethernet_SNAP类型帧中的type-code域。其中： type-value表示二层协议类型值； type-mask表示二层协议类型掩码。十六进制表示，取值范围是0x00xFFFF。其中： ARP的协议类型值为0x0806 IP的协议类型值为0x0800 IPv6的协议类型值为0x86dddestination-mac dest-mac-address dest-mac-mask指定ACL规则的目的MAC地址信息。其中： dest-mac-address：数据包的目的MAC地址。 dest-mac-mask：目的MAC地址掩码。dest-mac-address和dest-mac-mask格式均为H-H-H，其中H为1至4位的十六进制数。这两个参数共同作用可以得到用户感兴趣的目的MAC地址范围。比如00e0-fc01-0101 ffff-ffff-ffff指定了一个MAC地址：00e0-fc01-0101，而00e0-fc01-0101 ffff-ffff-0000则指定了一个MAC地址范围：00e0-fc01-000000e0-fc01-ffff。source-mac source-mac-address source-mac-mask指定ACL规则的源MAC地址信息。其中： source-mac-address：表示数据包的源MAC地址。 source-mac-mask：表示源MAC地址掩码。source-mac-address和source-mac-mask的格式均为H-H-H，其中H为1至4位的十六进制数。这两个参数共同作用可以得到用户感兴趣的源MAC地址范围。比如00e0-fc01-0101 ffff-ffff-ffff指定了一个MAC地址：00e0-fc01-0101，而00e0-fc01-0101 ffff-ffff-0000则指定了一个MAC地址范围：00e0-fc01-000000e0-fc01-ffff。vlan-id vlan-id vlan-id-mask指定匹配报文的外层VLAN的编号，其中: vlan-id表示外层VLAN ID的值； vlan-id-mask表示外层VLAN ID值的掩码。vlan-id为整数形式，取值范围是14094。vlan-id-mask为十六进制形式，取值范围是00xFFF，缺省值为0xFFF。8021p 802.1p-value指定匹配报文的外层VLAN的802.1p优先级。整数形式，取值范围是07。cvlan-id cvlan-id cvlan-id-mask指定匹配报文的内层VLAN的编号。 vlan-id表示外层VLAN ID的值； vlan-id-mask表示外层VLAN ID值的掩码。vlan-id为整数形式，取值范围是14094。vlan-id-mask为十六进制形式，取值范围是00xFFF，缺省值为0xFFF。cvlan-8021p 802.1p-value指定匹配报文的内层VLAN的802.1p优先级。整数形式，取值范围是07。double-tag指定匹配带双层tag的报文。-time-range time-range-name表示定义一个ACL规则生效的时间段。time-range-name表示时间段的名称。time-range-name为字符串形式，长度范围是132。视图二层ACL视图缺省级别2：配置级使用指南当ACL被QoS功能引用时，如果ACL规则中定义的动作为deny，则匹配此ACL的报文就被丢弃。如果ACL规则中定义的动作为permit，则S9300对匹配此ACL的报文采取的动作由QoS中流行为定义的动作决定。使用命令undo rule删除规则的时候，rule-id必须是一个已经存在的ACL规则编号，如果不知道规则的编号，可以使用命令display acl来查看。使用实例# 在ACL 4001中增加一条规则，匹配目的MAC地址是0-0-1，源MAC地址是0-0-2，二层协议类型值为0x0800的报文。 system-viewQuidway acl 4001Quidway-acl-L2-4001 rule permit destination-mac 0-0-1 source-mac 0-0-2 l2-protocol 0x0800四、rule（高级ACL6视图）命令功能rule命令用来增加或修改高级ACL6规则。undo rule命令用来删除ACL6规则。命令格式 当参数protocol为TCP时，高级ACL6的命令格式为：rule rule-id deny | permit tcp | protocol-number destination destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | postfix postfix-length | any | destination-port eq | gt | lt | range port | dscp dscp | fragment | logging | precedence precedence | source source-ipv6-address prefix-length | source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any | source-port eq | gt | lt | range port | time-rangetime-name | tos tos * 当参数protocol为UDP时，高级ACL6的命令格式为：rule rule-id deny | permit udp | protocol-number destination destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | postfix postfix-length | any | destination-port eq | gt | lt | range port | dscp dscp | fragment | logging | precedence precedence | source source-ipv6-address prefix-length | source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any | source-port eq | gt | lt | range port | time-range time-name | tos tos * 当参数protocol为ICMPv6时，高级ACL6的命令格式为：rule rule-id deny | permit icmpv6 | protocol-number destination destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | postfix postfix-length | any | dscp dscp | fragment | icmp6-type icmp6-type-name | icmp6-type icmp6-code | logging | precedence precedence | source source-ipv6-address prefix-length | source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any | time-range time-name | tos tos * 当protocol为其他协议时，高级ACL6的命令格式为： rule rule-id deny | permit protocol-number | gre | ipv6 | ospf destination destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | destination-ipv6-address postfix postfix-length | any | dscp dscp | fragment | logging | precedence precedence | source source-ipv6-address prefix-length | source-ipv6-address/prefix-length | source-ipv6-address postfix postfix-length | any | time-range time-name | tos tos *删除高级ACL6的规则：undo rule rule-id destination | destination-port | fragment | icmp6-type | precedence | source | source-port | time-range | tos 参数说明参数参数说明取值rule-id规则ID。 如果指定了ID的规则存在，可以对其进行修改。如果不存在，将会创建一条带有指定ID的新规则。 如果未指定规则ID，在创建新规则时系统会自动分配规则ID。整数形式，取值范围是02047。deny丢弃符合条件的数据包。-permit允许符合条件的数据包通过。-tcp指定匹配协议类型为TCP。-udp指定匹配协议类型为UDP。-icmpv6指定匹配协议类型为ICMPv6。-protocol-number用名字或数字表示的IP承载的协议类型。数字范围为1255；用名字表示时，可以选取：GRE、ICMPv6、IPv6、OSPF、TCP和UDP。destination destination-ipv6-address prefix-length | destination-ipv6-address/prefix-length | any 数据包的目的地址和前缀。destination-ipv6-address用点分十进制表示。prefix-length的取值范围1128。或用“any”代表任何目的地址。destination destination-ipv6-address postfix postfix-length数据包的目的地址和地址后缀掩码长度。destination-ipv6-address点分十进制表示目的地址。postfix-length表示地址后缀掩码长度，整数形式，取值范围164。dscp dscp指定区分服务代码点（Differentiated Services CodePoint）。其中dscp表示区分服务代码点的取值。dscp的取值形式是整数形式或名称。采用整数形式时，取值范围是063。采用名称时，取值为如下关键字af11，af12，af13，af21，af22，af23，af31，af32，af33，af41，af42，af43，cs1，cs2，cs3，cs4，cs5，cs6，cs7，default或ef。fragment指定该规则是否仅对非首片分片报文有效。当包含此参数时表示该规则仅对非首片分片报文有效。-logging指定对ACL的匹配信息写日志。-precedence precedence数据包可以依据优先级字段进行过滤。用名字或数字表示。数字的取值范围是07。source source-ipv6-address prefix-length | source-ipv6-address/prefix-length | any 数据包的源地址和前缀。source-ipv6-address点分十进制表示源地址。prefix-length整数形式，取值范围是1128。或用“any”代表任何源地址。source source-ipv6-address postfix postfix-length数据包的源地址和地址后缀掩码长度。source-ipv6-address点分十进制表示源地址。postfix-length表示地址后缀掩码长度，整数形式，取值范围164。 eq | gt | lt | range 比较源或者目的地址的端口号的操作符。当IP承载的协议类型是TCP或UDP时，支持比较操作。只有range需要两个端口号做操作数，其他的只需要一个端口号做操作数。操作符包括：lt（小于），gt（大于），eq（等于），neq（不等于），range（在范围内）。portTCP或UDP的端口号，用名字或数字表示。用名字或数字表示。数字的取值范围是065535。icmpv6-type icmp6-type-name | icmp6-type icmp6-code指定ICMPv6报文的类型和消息码信息，仅仅在报文协议是ICMP的情况下有效。如果不配置，表示任何ICMP类型的报文都匹配。icmp6-type：ICMP的消息类型，取值为065535的数字。icmp6-code：ICMP消息码，取值为0255的数字。icmp6-type-name的取值及对应的ICMP-Type 和ICMP-Code，如下表所示。time-range time-name表示设置的ACL6规则仅在规定时间段内生效。time-name表示生效时间段的名称。time-name字符串形式，长度范围是132。tos tos数据包可以依据服务类型字段进行过滤。用名字或数字表示。数字的取值范围是015。表1 icmp6-type-name的取值及对应的ICMP-Type和ICMP-Codeicmp6-type-nameicmp-typeicmp-codeRedirect1370Echo1280Echo-reply1290Err-Header-field40Frag-time-exceeded31Hop-limit-exceeded30Host-admin-prohib11Host-unreachable13Neighbor-advertisement1360Neighbor-solicitation1350Network-unreachable10Packet-too-big20Port-unreachable14Router-advertisement1340Router-solicitation1330Unknown-ipv6-opt42Unknown-next-hdr41视图高级ACL6视图缺省级别2：配置级使用指南删除或修改已有规则时，必须指定规则ID。使用实例# 为编号为3000的ACL6增加一条规则，禁止从2001:1 网段内的主机建立与2003:1网段内的主机的端口号大于128的UDP（用户数据报协议）连接。 system-viewQuidway acl ipv6 3000Quidway-acl-adv-3000 rule deny udp source 2001:1 64 destination 2003:1 64 destination-port gt 128五、rule（高级ACL视图）命令功能rule命令用来在对应的高级ACL视图下增加一个规则。undo rule命令用来删除一个规则。命令格式 当参数protocol为ICMP时，高级访问控制列表的命令格式为： o rule rule-id deny | permit protocol-number | icmp destination destination-address destination-wildcard | any | dscp dscp | fragment | icmp-type icmp-name | icmp-type icmp-code | precedence precedence | source source-address source-wildcard | any | time-range time-name | tos tos * o undo rule rule-id description | destination | destination-port | dscp | fragment | icmp-type | precedence | source | source-port | time-range | tos * 当参数protocol为TCP时，高级访问控制列表的命令格式为： o rule rule-id deny | permit protocol-number | tcp destination destination-address destination-wildcard | any | destination-port eq | gt | lt | range port | dscp dscp | fragment | precedence precedence | source source-address source-wildcard | any | source-port eq | gt | lt | range port | tcp-flag ack | fin | psh | rst | syn | urg * | time-range time-name | tos tos * o undo rule rule-id description | destination | destination-port | dscp | fragment | icmp-type | precedence | source | source-port | time-range | tos * 当参数protocol为UDP时，高级访问控制列表的命令格式为： o rule rule-id deny | permit protocol-number | udp destination destination-address destination-wildcard | any | destination-port eq | gt | lt | range port | dscp dscp | fragment | precedence precedence | source source-address source-wildcard | any | source-port eq | gt | lt | range port | time-range time-name | tos tos * o undo rule rule-id description | destination | destination-port | dscp | fragment | icmp-type | precedence | source | source-port | time-range | tos * 当参数protocol为TCP、UDP和ICMP之外的其他协议时，高级访问控制列表的命令格式为： o rule rule-id deny | permit protocol-number | gre | igmp | ip | ipinip | ospf destination destination-address destination-wildcard | any | dscp dscp | fragment | precedence precedence | source source-address source-wildcard | any | time-range time-name | tos tos * o undo rule rule-id description | destination | destination-port | dscp | fragment | icmp-type | precedence | source | source-port | time-range | tos *说明： 参数dscp dscp和precedence precedence不能同时配置。参数说明参数参数说明取值rule-id指定ACL的规则ID。该参数只对匹配规则是config的ACL有效。 如果指定ID的规则已经存在，则会在旧规则的基础上叠加新定义的规则，相当于编辑一个已经存在的规则；如果指定ID的规则不存在，则使用指定的ID创建一个新规则，并且按照ID的大小决定规则插入的位置。 如果不指定ID，则增加一个新规则时S9300自动会为这个规则分配一个ID，ID按照大小排序。系统自动分配ID时会留有一定的空间，具体的相邻ID范围由step命令指定。说明： S9300自动生成的规则ID从步长值起始，缺省步长为5，即从5开始并按照5的倍数生成规则序号，序号分别为5、10、15、整数形式，取值范围是04294967294。deny表示拒绝符合条件的数据包。-permit表示允许符合条件的数据包。-icmp指定协议类型为ICMP。也可以采用数值1表示指定ICMP协议。-destination destination-address destination-wildcard指定ACL规则的目的地址信息。如果不配置，表示报文的任何目的地址都匹配。其中： destination-address：指定数据包的目的地址。 destination-wildcard：指定目的地址通配符。destination-address为点分十进制格式。或用any代表目的地址0.0.0.0。destination-wildcard为点分十进制格式，数值上是目的地址掩码的反掩码形式。当目的地址是any时，通配符是255.255.255.255；当目的地址是主机时，通配符是0。any表示数据包的任意源地址或目的地址。-fragment指定该规则是否仅对非首片分片报文有效。当包含此参数时表示该规则仅对非首片分片报文有效。-icmp-type icmp-name | icmp-type icmp-code指定ICMP报文的类型和消息码信息，仅在报文协议是ICMP的情况下有效。如果不配置，表示任何ICMP类型的报文都匹配。其中可以采用两种方式表示： icmp-name：ICMP包可以依据ICMP的消息名称进行过滤。 icmp-type icmp-code：表示根据ICMP消息类型来进行过滤。其中icmp-type表示ICMP的消息类型。icmp-code表示ICMP消息类型的消息码说明： icmp-name的取值和ICMP-Type和ICMP-Code相对应，对应关系参见表2。icmp-type为整数形式，取值范围是0255。icmp-code为整数形式，取值范围是0255。precedence precedence表示数据包可以依据优先级字段进行过滤。数字范围为07，和数字一一对应的名字分别为routine、priority、immediate、flash、flash-override、critical、internet、network。source source-address source-wildcard指定ACL规则的源地址信息。如果不配置，表示报文的任何源地址都匹配。其中： source-address：指定数据包的源地址。 source-wildcard：指定源地址通配符。source-address为点分十进制形式。或用any代表任意源地址0.0.0.0。source-wildcard为点分十进制形式，数值上是源地址掩码的反掩码形式。当目的地址是any时，通配符是255.255.255.255；当目的地址是主机时，通配符是0。ack指定TCP报文头中SYN Flag的类型为ack(010000)。-fin指定TCP报文头中SYN Flag的类型为fin(000001)。-psh指定TCP报文头中SYN Flag的类型为psh(001000)。-rst指定TCP报文头中SYN Flag的类型为rst(000100)。-urg指定TCP报文头中SYN Flag的类型为urg(100000)。-time-range time-name指定ACL生效的时间段。其中time-name表示ACL规则生效的时间段名称。time-name为字符串形式，长度范围是132。tcp | udp指定协议类型为TCP或UDP。也可以采用数值6表示指定TCP协议，数值17表示UDP协议。-destination-port eq | gt | lt | range port指定UDP或者TCP报文的目的端口，仅在报文协议是TCP或者UDP时有效。如果不指定，表示TCP/UDP报文的任何目的端口都匹配。其中： eq：指定源端口或者目的端口比较的操作符，意义是等于。 gt：指定源端口或者目的端口比较的操作符，意义是大于。 lt：指定源端口或者目的端口比较的操作符，意义是小于。 range：指定源端口或者目的端口比较的操作符，意义是在范围内。 port：指定用于比较的TCP或UDP端口号。port用名字或数字表示，数字的取值范围是065535。source-port eq | gt | lt | range port指定UDP或者TCP报文的源端口，仅在报文协议是TCP或者UDP时有效。如果不指定，表示TCP/UDP报文的任何源端口都匹配。其中： eq：指定源端口或者目的端口比较的操作符，意义是等于。 gt：指定源端口或者目的端口比较的操作符，意义是大于。 lt：指定源端口或者目的端口比较的操作符，意义是小于。 range：指定源端口或者目的端口比较的操作符，意义是在范围内。 port：指定用于比较的TCP或UDP端口号。port用名字或数字表示，数字的取值范围是065535。protocol-number指定用名字或数字表示的协议类型。 说明： 对不同的协议类型，有不同的参数组合，TCP和UDP有 source-port eq port-number destination-port eq port-number 可选项，其它协议类型没有。整数形式，取值范围是1255；用名字表示时可以选取gre、icmp、igmp、ip、ipinip、ospf、tcp、udp。其中icmp是1，tcp是6，udp是17。dscp dscp指定区分服务代码点（Differentiated Services CodePoint）。其中dscp表示区分服务代码点的取值。dscp的取值形式是整数形式或名称，其中： 采用整数形式时，取值范围是063。 采用名称时，取值为如下关键字af11，af12，af13，af21，af22，af23，af31，af32，af33，af41，af42，af43，cs1，cs2，cs3，cs4，cs5，cs6，cs7，default或ef。tos tos数据包可以依据服务类型字段进行过滤，可选参数。其中tos表示数据包过滤依据的服务类型。tos的取值形式可以是整数形式或名称，其中： 采用整数形式时，取值为0、1、2、4、8的数字。 采用名称时，取值如normal、min-monetary-cost等。可输入的ToS名称和取值之间的对应关系如表1所示。表1 ToS名称和取值之间的对应关系ToS名称取值ToS名称取值normal0max-reliability2min-monetary-cost1max-throughput4min-delay8-表2 icmp-name的取值及对应的ICMP-Type和ICMP-Codeicmp-nameicmp-typeicmp-codeEcho80Echo-reply00Parameter-problem120Port-unreachable33Protocol-unreachable32Reassembly-timeout111Source-quench40Source-route-failed35Timestamp-reply140Timestamp-request130Ttl-exceeded110Fragmentneed-DFset34Host-redirect51Host-tos-redirect53Host-unreachable31Information-reply160Information-request150Net-redirect50Net-tos-redirect52Net-unreachable30视图高级ACL视图缺省级别2：配置级使用指南当ACL被QoS功能引用时，如果ACL规则中定义的动作为deny，则匹配此ACL的报文就被丢弃。如果ACL规则中定义的动作为permit，则S9300对匹配此ACL的报文采取的动作由QoS中流行为定义的动作决定。使用命令undo rule删除规则的时候，rule-id必须是一个已经存在的ACL规则编号，如果不知道规则的编号，可以使用命令display acl来查看。使用实例# 配置在ACL3000中增加一条规则，基于icmp code域的流分类。 system-viewQuidway acl 3000Quidway-acl-adv-3000 rule 1 permit icmp# 配置在ACL3000中删除一条规则，基于icmp code域的流分类。 system-viewQuidway acl 3000Quidway-acl-adv-3000 undo rule 1# 配置在ACL3000中增加一条规则，基于igmp protocol type的流分类。 system-viewQuidway acl 3000Quidway-acl-adv-3000 rule 2 permit igmp# 配置在ACL3000中增加一条规则，基于dscp域的流分类。 system-viewQuidway acl 3000Quidway-acl-adv-30