锐捷路由器命令参考.doc

锐捷路由器命令参考命令描述的约定： 命令和关键字使用粗体字； 变量使用斜体字； 方括号()之间的内容是可选的参数； 花括号()之间的内容是必须从多个参数中选择一个，参数之间用(|)隔开。 分类目录： 基本操作命令 基本系统管理命令 线路配置命令 文件系统操作命令 以太网接口配置命令 同步串行口配置命令 逻辑接口配置命令 路由配置命令 RIP协议配置命令 OSPF协议配置命令 HDLC协议配置命令 PPP协议配置命令 帧中继配置命令 NAT配置命令 DHCP配置命令 ACL配置命令 基本操作命令命令描述configure terminal进入全局配置模式disable返回用户模式enable进入特权模式end返回特权模式exit退出当前模式ping对指定的地址进行ping操作reload重新启动路由器telnet远程登录其它设备show privilege查看用户的级别show running-config查看运行配置文件show startup-config查看启动配置文件基本系统管理命令命令描述copy复制或传输文件enable enable password enable secret enable service 配置特权密码配置安全加密的特权密码开启/禁止Telnet等服务功能hostname配置主机名prompt配置提示符write保存/显示配置文件线路配置命令命令描述exec-timeout配置Console或Telnet的超时时间history history history size 开启/关闭命令历史保存功能设置可保存命令的最大条数line line console line vty 进入串口线路配置模式进入远程登录线路配置模式login开启/关闭登录认证功能password配置登录口令speed speed (Console) 配置串口速率show line查看线路信息文件系统操作命令命令描述cd切换目录cp复制文件del删除Flash中的文件dir、ls显示Flash中的文件列表mkdir在Flash中创建一个空目录more显示Flash中文本文件的内容mv移动文件pwd查看当前工作路径rename重命名Flash中的文件rm移除Flash中的文件rmdir移除Flash中的空目录以太网接口配置命令命令描述description配置接口描述duplex配置接口双工模式interface interface ethernet interface fastethernet interface gigabitethernet 指定一个Ethernet接口指定一个FastEthernet接口指定一个GigabitEthernet接口ip address配置接口的IP地址mac-address配置接口的MAC地址shutdown打开/关闭接口speed speed 配置接口速率同步串行口(Serial)配置命令命令描述clock rate配置接口的时钟速率description配置接口描述encapsulation配置接口的链路封装协议ignore-dcd在接口上配置忽略DCD信号interface interface serial interface serial (子接口) 指定一个Serial接口创建一个Serial子接口invert txclock在接口上配置反转时钟ip address配置接口的IP地址nrzi-encoding配置接口的编解码方式shutdown打开/关闭接口逻辑接口配置命令命令描述description配置接口描述interface interface loopback interface serial (子接口) 创建一个回环接口创建一个Serial子接口ip address配置接口的IP地址路由配置命令命令描述ip default-network配置缺省网络ip route配置静态路由ip routing开启/关闭IP路由show ip route查看路由表RIP协议配置命令命令描述ip rip ip rip receive version ip rip send version 设置接口上RIP接收版本设置接口上RIP发送版本network network (RIP) 设置RIP协议范围router router rip 开启RIP协议timers basic设置RIP的定时器version设置RIP的版本show ip protocols查看路由协议信息show ip route查看路由表OSPF协议配置命令命令描述network network (OSPF) 设置OSPF协议范围router router ospf 开启OSPF协议show ip protocols查看路由协议信息show ip route查看路由表HDLC协议配置命令命令描述encapsulation encapsulation hdlc 在接口上配置HDLC协议keepalive设置HDLC协议的keepalive时间间隔PPP协议配置命令命令描述encapsulation encapsulation ppp 在接口上配置PPP协议ppp ppp authentication ppp chap hostname ppp chap password ppp pap sent-username ppp negotiation-timeout 在接口上启用用户身份验证配置接口上使用的CHAP验证用户名配置接口上使用的CHAP验证密码配置接口发送的PAP验证的用户名和密码配置PPP协议的LCP协商的超时时间username设置本地用户数据库帧中继配置命令命令描述encapsulation encapsulation frame-relay 在接口上配置帧中继封装frame-relay frame-relay lmi-type frame-relay map frame-relay interface-dlci frame-relay local-dlci 设置本地管理接口(LMI)的类型配置帧中继静态映射配置子接口的DLCI地址配置接口的DLCI地址NAT配置命令命令描述address address address interface 向NAT地址池中添加地址范围向NAT地址池中添加接口地址clear ip nat translation清除NAT转换表中的记录ip nat ip nat ip nat inside destination ip nat inside source list ip nat inside source static ip nat outside source list ip nat outside source static ip nat pool ip nat translation 定义应用NAT的接口启用NAT内部目标地址转换启用内部源地址转换的动态NAT启用内部源地址转换的静态NAT启用外部源地址转换的动态NAT启用外部源地址转换的静态NAT定义一个IP地址池配置NAT转换记录的参数show ip nat statistics查看NAT规则和统计数据show ip nat translations查看NAT转换记录DHCP配置命令命令描述client-identifier设置DHCP地址绑定时的客户端标识default-router设置DHCP地址池的默认网关dns-server设置DHCP地址池的DNS服务器地址hardware-address设置DHCP地址绑定时的客户端硬件地址host设置DHCP地址绑定时的客户端地址ip dhcp ip dhcp excluded-address ip dhcp ping packet ip dhcp ping timeout ip dhcp pool 设置DHCP服务器中排除的IP地址设置DHCP服务器ping包的个数设置ping操作的等待应答超时时间配置DHCP地址池ip helper-address设置DHCP服务器地址lease设置DHCP地址池中地址的租约期限netbios netbios-name-server netbios-node-type 设置DHCP地址池的WINS服务器地址设置DHCP地址池的NetBIOS节点类型network network (DHCP) 设置DHCP服务器地址池中的地址service dhcp在路由器上启用DHCP服务器和DHCP中继代理功能ACL配置命令命令描述absolute在一个时间区间中添加绝对时间段access-list配置标号访问控制列表expert access expert access-list expert access-group 配置命名的Expert扩展访问控制列表把Expert扩展访问控制列表应用于接口上deny在访问列表中加入一条拒绝规则ip access-group把IP访问控制列表应用于接口上ip access-list ip access-list ip access-list resequence 配置命名的IP访问控制列表对命名的IP访问控制列表的表项重排mac access mac access-list mac access-group 配置命名的MAC扩展访问控制列表把MAC扩展访问控制列表应用于接口上periodic在一个时间区间中添加周期时间段permit在访问列表中加入一条允许规则time-range创建/进入一个时间区间NAT配置命令address命令address语法：address start-address end-address match interface interface-idno address start-address end-address match interface interface-id本命令可以向NAT地址池中添加地址范围。使用 no 选项可删除地址池中的一个地址范围。参数：start-address：地址块的起始IP地址。end-address：地址块的结束IP地址。match interface interface-id：可选，用于NAT有多个outside口的情况，可指定这个地址块用在哪个outside口的NAT转换中。缺省值：没有定义地址范围。命令模式：NAT地址池配置模式。说明：如果需要定义只有一个地址块的地址池，只要用 ip nat pool 命令定义就可以了。当需要定义由多个地址块组成的地址池时，应该先用 ip nat pool 命令建立一个空地址池，并进入NAT地址池配置模式，再用 address 命令添加地址块。范例：Ruijie(config)#ip nat pool mulpool netmask Ruijie(config)#address 0Ruijie(config)#address 00 30本例建立了一个名为 mulpool 的地址池，并在其中定义了两个地址块。相关命令：ip nat pool创建一个NAT地址池address interface语法：address interface interface-id match interface interface-idno address interface interface-id match interface interface-id本命令可以向NAT地址池中添加一个地址，该地址是指定接口的IP地址。使用 no 选项可删除地址池中的一个地址。参数：interface-id：指定的接口。match interface interface-id：可选，用于NAT有多个outside口的情况，可指定添加的地址用在哪个outside口的NAT转换中。缺省值：没有定义地址范围。命令模式：NAT地址池配置模式。说明：本命令用于向地址池中添加一个接口的IP地址，这样当接口的IP地址发生改变时，不需要重新定义地址池。这种方法多用于那种使用 outside 口地址作为NAT转换地址的情况。如果使用了 match interface interface-id 选项，要保证两个接口必须一致，否则会引起NAT不通。范例：Ruijie(config)#ip nat pool p1 netmask Ruijie(config)#address interface s0/0本例建立了一个名为 p1 的地址池，并在其中加入了 Serial 0/0 口的IP地址。相关命令：ip nat pool创建一个NAT地址池clear命令clear ip nat translation语法：clear ip nat translation *本命令用于清除NAT转换表中的记录。参数：*：删除所有动态NAT转换记录。命令模式：特权模式。说明：NAT转换记录可以用 show ip nat translations 命令查看，如果记录太多，可以用本命令清除所有转换记录。但要注意清除操作会影响当前会话，可能导致 FTP 之类的连接丢失，所以，此命令应谨慎使用。范例：Ruijie(config)#clear ip nat translation *相关命令：show ip nat translations查看NAT转换记录本站首页网络技术锐捷路由器命令参考 回顶部ip nat命令ip nat语法：ip nat inside | outsideno ip nat inside | outside本命令用于设置应用NAT的内网和外网的接口。使用 no 选项可使接口不再应用NAT。参数：inside：表示该接口连接内部网络。outside：表示该接口连接外部网络。缺省值：接口上没有应用NAT。命令模式：接口配置模式。说明：数据包只有在 outside 接口和 inside 接口之间路由时，并且符合一定规则的，才会进行NAT转换。所以实现NAT的路由器必须配置至少一个 outside 接口和一个 inside 接口，也可配置多个。范例：Ruijie(config)#interface f0/0Ruijie(config-if)#ip address Ruijie(config-if)#ip nat insideRuijie(config-if)#no shutdownRuijie(config-if)#interface f0/1Ruijie(config-if)#ip address 7 Ruijie(config-if)#ip nat outsideRuijie(config-if)#no shutdown本例路由器的 fastethernet 0/0 连接的是内网，被定义为 inside 接口， fastethernet 0/1 连接的是外网，被定义为 outside 接口。相关命令：show ip nat statistics查看NAT统计数据和规则，包括inside和outside接口ip nat inside destination语法：ip nat inside destination list access-list-number pool pool-nameno ip nat inside destination list access-list-number pool pool-name启用NAT内部目标地址转换。使用 no 选项可关闭NAT内部目标地址转换。参数：access-list-number：访问控制列表的表号。它指定由哪个访问控制列表来定义目标地址的规则。pool-name：IP地址池名字。该地址池定义了用于NAT转换的内部本地地址。缺省值：没有启用NAT内部目标地址转换。命令模式：全局配置模式。说明：NAT内部目标地址转换可用于实现TCP负载均衡，你可以用一台虚拟主机代替多台实际主机接收用户的TCP请求，由NAT把这些请求轮流映射到各个实际主机上，达到负载分流的目的。配置TCP负载均衡时，访问控制列表定义的是虚拟主机的地址，IP地址池中定义的是各台实际主机的地址。范例：Ruijie(config)#ip nat pool np netmask type rotaryRuijie(config)#access-list 1 permit Ruijie(config)#ip nat inside destination list 1 pool np本例定义了一个TCP负载均衡，虚拟主机地址为，由access-list 1定义，实际主机地址为，由地址池np定义。相关命令：ip nat pool创建一个NAT地址池access-list定义访问控制列表ip nat inside source list语法：ip nat inside source list access-list-number pool pool-name | interface interface-id overloadno ip nat inside source list access-list-number启用内部源地址转换的动态NAT。使用 no 选项可关闭该动态NAT。参数：access-list-number：访问控制列表的表号。它指定由哪个访问控制列表来定义源地址的规则。pool-name：IP地址池名字。该地址池定义了用于NAT转换的内部全局地址。interface-id：接口号。指定用该接口的IP地址作为内部全局地址。overload：启用端口复用，使每个全局地址可以和多个本地地址建立映射。缺省值：没有启用NAT。命令模式：全局配置模式。说明：在锐捷路由器中，端口复用默认是启用的，有没有overload关键字都是一样的，保留这个参数是为了和Cisco的命令兼容。配置内部源地址的动态NAT时，访问控制列表定义的是内部本地地址的规则，IP地址池中定义的是内部全局地址，它通常是注册的合法地址。范例1：Ruijie(config)#ip nat pool np netmask Ruijie(config)#access-list 1 permit 55Ruijie(config)#access-list 1 permit 55Ruijie(config)#ip nat inside source list 1 pool np overload本例定义了一个内部源地址动态NAT，内部本地地址为192.168.1.*和172.16.*.*的格式，由access-list 1定义，只有这两种地址才会进行NAT转换。内部全局地址为，共9个地址，由地址池np定义。每个全局地址都可以和多个本地地址建立映射，用端口号区分各个映射。范例2：Ruijie(config)#access-list 1 permit 55Ruijie(config)#ip nat inside source list 1 interface s1/0 overload本例定义了一个内部源地址动态NAT，内部本地地址为192.168.*.*的格式，由access-list 1定义。内部全局地址为 Serial 1/0 的IP地址。所有本地地址都会映射为这一个IP地址，用端口号区分各个映射。相关命令：ip nat pool创建一个NAT地址池access-list定义访问控制列表ip nat inside source static语法：ip nat inside source static local-address global-address permit-insideno ip nat inside source static local-address global-address permit-insideip nat inside source static protocol local-address local-port global-address global-port permit-insideno ip nat inside source static protocol local-address local-port global-address global-port permit-inside启用内部源地址转换的静态NAT。使用 no 选项可删除该静态NAT。参数：local-address：内部本地地址。是主机在网络内部的IP地址，一般是未注册的私有地址。global-address：内部全局地址。是内部主机在外部网络表现出的地址，一般是注册的合法地址。protocol：协议。可以是 TCP 或 UDP。local-port：本地地址的服务端口号。global-port：全局地址的服务端口号，它可以和local-port不同。permit-inside：允许内部用户使用全局地址访问本地主机。缺省值：没有启用NAT。命令模式：全局配置模式。说明：静态NAT主要用于那些对需要对外部用户开放的服务，如Web服务器等，它可以把本地地址映射为指定的全局地址。第一种格式实现的是一对一的NAT映射。第二种格式可实现一对多的映射，即一个全局地址可映射多个内部地址，用端口号区分各个映射。范例1：Ruijie(config)#ip nat inside source static 本例定义了一个内部源地址静态NAT，内部本地地址为，内部全局地址为。外网用户只能用访问这台主机，内网用户只能用访问这台主机，如果加上permit-inside关键字，内网用户也能用访问。范例2：Ruijie(config)#ip nat inside source static tcp 80 80Ruijie(config)#ip nat inside source static tcp 80 8080本例定义了两个内部源地址静态NAT，两个服务都是Web服务，内网用户可以用和访问这两个网站，外网用户需要用和:8080访问这两个网站。ip nat outside source list语法：ip nat outside source list access-list-number pool pool-nameno ip nat outside source list access-list-number启用外部源地址转换的动态NAT。使用 no 选项可关闭该动态NAT。参数：access-list-number：访问控制列表的表号。它指定由哪个访问控制列表来定义源地址的规则。pool-name：IP地址池名字。该地址池定义了用于NAT转换的外部本地地址。缺省值：没有启用NAT。命令模式：全局配置模式。说明：外部源地址NAT用于有地址重叠的情况。当两个需要互访的私有网络使用了同样的IP地址，或一个私有网络和公有网络使用了同样的IP地址，则产生地址重叠。这时需要把外部全局地址映射为一个本地没有的外部本地地址才能实现互访。配置外部源地址的动态NAT时，访问控制列表定义的是外部全局地址的格式，IP地址池中定义的是外部本地地址，它应该和内部本地地址没有重叠。范例：Ruijie(config)#ip nat pool outp 54 netmask Ruijie(config)#access-list 1 permit 55Ruijie(config)#ip nat outside source list 1 pool outp本例定义了一个外部源地址动态NAT，外部全局地址为192.168.1.*的格式，由access-list 1定义，它和内部地址有重叠。外部本地地址为54，由地址池outp定义，这组地址是内部网络中不使用的可路由地址。当从外部来的数据包，源地址是192.168.1.*的格式时，用172.18.1.*的地址替换，再进入内部网络。相关命令：ip nat pool创建一个NAT地址池access-list定义访问控制列表ip nat outside source static语法：ip nat outside source static global-address local-addressno ip nat outside source static global-address local-addressip nat outside source static protocol global-address global-port local-address local-portno ip nat outside source static protocol global-address global-port local-address local-port启用外部源地址转换的静态NAT。使用 no 选项可删除该静态NAT。参数：global-address：外部全局地址。是外部主机在外部网络的地址。local-address：外部本地地址。是外部主机在网络内部表现的IP地址。protocol：协议。可以是 TCP 或 UDP。global-port：外部全局地址的服务端口号。local-port：外部本地地址的服务端口号，它可以和global-port不同。缺省值：没有启用NAT。命令模式：全局配置模式。说明：外部源地址静态NAT用于有地址重叠的情况。第一种格式实现的是一对一的NAT映射。第二种格式可实现一对多的映射，即一个本地地址可映射多个全局地址，用端口号区分各个映射。范例：Ruijie(config)#ip nat outside source static 本例定义了一个外部源地址静态NAT，外部全局地址为，外部本地地址为。当从外部来的数据包，源地址是时，用的地址替换，再进入内部网络。ip nat pool语法：ip nat pool pool-name start-address end-address netmask subnet-mask|prefix-length prefix-length type rotaryip nat pool pool-name netmask subnet-mask|prefix-length prefix-length type rotaryno ip nat pool pool-name定义一个IP地址池。使用 no 选项可删除地址池。参数：pool-name：地址池名字。在动态NAT配置命令中用这个名字引用地址池。start-address：地址块起始IP地址。end-address：地址块结束IP地址。subnet-mask：地址块的子网掩码。prefix-length：使用长度表示的掩码，是掩码的简化写法。type rotary：表示定义为轮转型地址池，每个地址分配的概率相等。锐捷路由器默认的地址池类型就是轮转型，所以有没有 rotary 关键字都一样，保留此关键字是为了和 Cisco 命令兼容。缺省值：没有定义地址池。命令模式：全局配置模式。说明：第一种格式定义了一个包含地址块的地址池。第二种格式定义的是一个空地址池，之后可以用 address 命令向其中添加一个或多个地址块。范例1：Ruijie(config)#ip nat pool np1 netmask 本例定义了一个名为 np 的地址池，地址范围是 ，掩码是 。范例2：Ruijie(config)#ip nat pool np2 prefix-length 24本例定义的地址池和例1完全相同，只是掩码用的是长度写法。范例3：Ruijie(config)#ip nat pool np3 netmask Ruijie(config)#address Ruijie(config)#address 7 5本例先定义了一个空地址池，再用 addess 命令向其中加入了两个地址块。相关命令：addess向NAT地址池中添加地址ip nat translation语法：ip nat translation 参数名 参数值no ip nat translation 参数名配置NAT转换记录的超时时间和转换记录条数限制。使用 no 选项可恢复缺省配置。该命令有多种用法：ip nat translation dns-timeout seconds定义DNS转换记录的超时时间，单位为秒。缺省值为 60 秒。ip nat translation finrst-timeout seconds定义TCP连接FIN及RESET后转换记录的超时时间，单位为秒。缺省值为 60 秒。ip nat translation icmp-timeout seconds定义ICMP转换记录的超时时间，单位为秒。缺省值为 60 秒。ip nat translation syn-timeout seconds定义TCP发出syn后没有收到应答的超时时间，单位为秒。缺省值为 60 秒。ip nat translation tcp-timeout seconds定义TCP连接转换记录的超时时间，单位为秒。缺省值为 1 天。ip nat translation udp-timeout seconds定义UDP连接转换记录的超时时间，单位为秒。缺省值为 300 秒。ip nat translation max-entries number定义NAT转换记录的最大个数。缺省为 30000 条。ip nat translation pre-user user-ip number指定内网某个用户所允许的最大转换记录数。user-ip时用户的IP地址，如果为 ，则内网所有用户使用相同的条数限制。具体IP的配置优先级高于 的配置。如果user-ip后没有给出具体数值，则为300条。缺省情况下，不做限制。命令模式：全局配置模式。范例1：Ruijie(config)#ip nat translation pre-user 500Ruijie(config)#ip nat translation pre-user 12 1000本例对内网用户转换记录条数做了限制，用户12限制为1000条，其他用户统一限制为500条。范例2：Ruijie(config)#ip nat translation icmp-timeout 30本例把ICMP的NAT转换记录的超时时间设置为30秒。ACL配置命令absolute 命令absolute语法：absolute start time-date end time-dateno absolute在一个时间区间中添加一个绝对时间段。使用 no 选项可删除绝对时间段。参数：start time-date：起始时间。最早的起始时间是 1990年1月1日00:00。end time-date：终止时间。最晚的终止时间是 2050年12月31日23:59。终止时间必须晚于起始时间。time-date 用24小时制的“小时:分钟 日 月 年”的形式表示。其中“月份”应该用英文表示：january(一月)、february(二月)、march(三月)、april(四月)、may(五月)、june(六月)、july(七月)、august(八月)、september(九月)、october(十月)、november(十一月)、december(十二月)。缺省值：如果省略起始时间，则表示从当前时间开始。如果省略终止时间，则表示不限制终止时间。命令模式：时间区间配置模式。说明：在一个时间区间中只能定义一个绝对时间段，但可以定义多个周期时间段。时间区间中的时间是以系统时间为准的，所以使用本功能时应该把系统时间校准。范例1：Ruijie(config)#time-range time1Ruijie(config-time-range)#absolute start 8:10 1 jul 2009 end 8:10 1 aug 2009本例定义了一个从2009年7月1日8:10到2009年8月1日8:10的时间区间，名字为 time1。范例2：Ruijie(config)#time-range time2Ruijie(config-time-range)#absolute end 19:00 1 nov 2009本例定义了一个从现在到2009年11月1日19:00的时间区间，名字为 time2。相关命令：time-range创建/进入一个时间区间periodic定义周期的时间段show time-range查看定义的时间区间access-list 命令access-list命令的基本格式是：access-list list-id 规则no access-list list-id 规则access-list 命令定义一条标准访问列表规则。使用 no 选项可删除该规则。access-list 命令的参数很多，以下是各参数的说明。参数含义list-id访问列表的标号，用于区分各访问列表，并指定其类型。IP标准ACL：可用标号 199，13001999。IP扩展ACL：可用标号 100199，20002699。MAC扩展ACL：可用标号 700799。Expert扩展ACL：可用标号 27002899。deny定义拒绝的规则。当数据包匹配此项规则时，就被丢弃。permit定义允许的规则。当数据包匹配此项规则时，就可以通过。protocol定义协议规则。用于测试数据包使用的协议是否匹配。取值可以为ip、icmp、tcp、udp、igmp、eigrp、gre、ipinip、nos、ospf，也可以用代表协议的0255的编号。source-address定义源IP地址规则。用于测试数据包的源IP地址是否匹配。有三种形式：any：表示IP地址为任意值。host ip-address：表示单一的IP地址。address wildcard：表示一组IP地址。其中 address 是个样板，wildcard 是通配符掩码，其中取值为“0”的位表示匹配，为“1”的位表示忽略。destination-address定义目的IP地址规则。用于测试数据包的目的IP地址是否匹配。有三种形式：any：表示IP地址为任意值。host ip-address：表示单一的IP地址。address wildcard：表示一组IP地址。source-mac-address定义源MAC地址规则。用于测试数据包的源MAC地址是否匹配。有两种形式：any：表示MAC地址为任意值。host mac-address：表示单一的MAC地址。destination-mac-address定义目的MAC地址规则。用于测试数据包的目的MAC地址是否匹配。有两种形式：any：表示MAC地址为任意值。host mac-address：表示单一的MAC地址。operator port port定义端口规则。用于测试数据包的端口号是否匹配。operator 是运算符，有eq(等于)、neq(不等于)、lt(小于)、gt(大于)、range(范围)几种。port port 是端口号，使用 range 算符时，需指定两个端口号，其它都只指定一个。eq port-name定义端口规则。用于测试数据包的端口号是否匹配。eq 是等于算符，port-name是端口名称。TCP端口名称有：bgp、chargen、cmd、daytime、discard、domain、echo、exec、figer、ftp、ftp-data、gopher、hostname、ident、irc、klogin、kshell、login、nntp、pim-auto-rp、pop2、pop3、smtp、sunrpc、syslog、tacacs、talk、telnet、time、uucp、whois、www。UDP端口名称有：biff、bootpc、bootps、discard、dnsix、domain、echo、isakmp、mobile-ip、nameserver、netbios-dgm、netbios-ns、netbios-ss、ntp、pim-auto-rp、rip、snmp、snmptrap、sunrpc、syslog、tacacs、talk、tftp、time、who、xdmcp。icmp-type icmp-code定义ICMP类型规则。用于测试数据包的ICMP报文的消息类型是否匹配。icmp-type 是ICMP消息的类型(0255)，icmp-code 是ICMP消息的代码(0255)。icmp-message定义ICMP类型规则。用于测试数据包的ICMP报文的消息类型是否匹配。icmp-message 是ICMP消息名称。取值有：administratively-prohibited、dod-host-prohibited、dod-net-prohibited、echo、echo-reply、fragment-