【正文】 同，命令行不同。|processid||{ {routepolicy|costospf|isis[|[limit應(yīng)用路由策略。cost，設(shè)置路由的開銷值等。+|nodepermitpolicyname[c、執(zhí)行命令userdefinedflowpolicyname，創(chuàng)建防攻擊策略并進(jìn)入防攻擊策略視圖。2000～4999用戶自定義流a、系統(tǒng)視圖下執(zhí)行命令cpudefendpolicyaclnumber，創(chuàng)建黑名單。系統(tǒng)視圖下執(zhí)行命令cpudefend policy]，或槽位視圖下執(zhí)行命令cpudefendpolicypolicyname，應(yīng)用防攻擊策略。acltemplate系統(tǒng)視圖下執(zhí)行命令ipsec policyaclnumber，在安全策略中引用ACL。b、seqnumberseqnumber系統(tǒng)視圖下執(zhí)行命令interface]，配置帶地址池的NAT Outbound。aclnumberc、startaddress|在系統(tǒng)視圖、接口視圖或VLAN視圖下，執(zhí)行命令trafficpolicyf、auto系統(tǒng)視圖下執(zhí)行命令traffic policybehavior–name，定義流行為并進(jìn)入流行為視圖。aclnameb、執(zhí)行命令ifmatch acloroperatoroutboundFilter IPv6 addressesipv6INTEGER20003999Apply basic ACLFTP中應(yīng)用acl配置[Huawei]ftp acl ?outboundFilter IPv6 addressesipv6INTEGER20003999配置接口板擴(kuò)展表項(xiàng)空間資源的分配模式后，需要重啟接口板才能生效。IPV4ACL：表示同時(shí)擴(kuò)展IPV4的IP表項(xiàng)和IPV4的三層ACL表項(xiàng)。slotid 配置接口板ACL規(guī)格的資源分配模式。[Huawei]modeid擴(kuò)展ACL表項(xiàng)空間資源模式設(shè)置Huaweidisplay resourceassign configuration 查看接口板擴(kuò)展表項(xiàng)空間資源的配置信息。當(dāng)ACL資源的使用率（即設(shè)備上實(shí)際存在的ACL表項(xiàng)占設(shè)備支持的最大ACL表項(xiàng)總數(shù)的比例）等于或高于上限告警閾值百分比時(shí)，設(shè)備將會發(fā)出超限告警。lowerlimit{ Transmission Control Protocol(6) Internet Control Message Protocol6(58) gre Specify matched packet permit description permit高級ACL6規(guī)則配置[Huawei]acl ipv6 3000[Huaweiacl6adv3000]rule 1 ? Specify a special time Any source IPv6 address any Specify a special time Log matched packet logging fragment permit[Huaweiacl6basic2000]rule 1 ? INTEGER30003999使用IPv4報(bào)文的源IP地址或源UCL（User Control List）組、目的地址或目的UCL組、IP協(xié)議類型、ICMP類型、TCP源端口/目的端口、UDP源端口/目的端口號等來定義規(guī)則。 l4head Offset from IP(v6) head ipv6head Rule string, the string must be hexadecimal and start with 39。用戶自定義ACL支持的常用功能有用戶自定義ACL支持的常用功能參數(shù)說明STRING310l2protocol指定acl匹配報(bào)文時(shí)匹配帶雙層tag的報(bào)文指定acl規(guī)則匹配報(bào)文的目的mac地址信息指定acl規(guī)則匹配報(bào)文的外層vlan的8021p優(yōu)先級 vlanid Snap format snap Double tag Vlan priority of inner vlan HHH vlanid Snap format snap Double tag destinationmac Source MAC address mask, default is ffffffffffff Vlan priority format[HuaweiaclL24000]rule 1 deny sourcemac 111111111111 ? Specify rule description舉例：但此參數(shù)不能同時(shí)與sourceport、destinationport、icmptype、tcpflag參數(shù)同時(shí)配置。start與precedence參數(shù)一起共同構(gòu)成DSCP組成的二選一參數(shù)。源通配符掩碼any：任意源IP地址destination{destaddr destwildcaard|anydestaddr destwildcaard：目的IP地址及通配符掩碼any：任意目的IP地址icmptype{icmpname|icmptype icmpcode}指定acl規(guī)則匹配報(bào)文的icmp報(bào)文的類型和消息碼信息，僅在報(bào)文協(xié)議是ICMP的情況下有效precedence指定acl匹配報(bào)文時(shí)依據(jù)優(yōu)先級字段進(jìn)行過濾。 Specify the fragment type of packet dscp who TACACSDatabase Service (65) Syslog (514) Routing Information Protocol (520) NETBIOS Session Service (139) netbiosns mobilipmn Echo (7) echo dnsix discard Bootstrap Protocol Client (68) Protocol numbereq ? range Greater than given port number gt cr sourceport precedence Specify destination port 0 Specify destination address Specify a VPNInstance tos timerange Specify precedence Specify the fragment type of packet fragmenttype destinationport[Huaweiacladv3000]rule 1 permit udp source any ? Address of source Specify tos dscp User Datagram Protocol (17) OSPF routing protocol(89) ospf Any IP protocol Internet Control Message Protocol(1) icmp 1255之后，設(shè)備將依據(jù)匹配的規(guī)則對報(bào)文執(zhí)行相應(yīng)的動(dòng)作。例如ACL中包含規(guī)則rule 5和rule 7，ACL的步長為5，則系統(tǒng)分配給新配置的未指定ruleid的規(guī)則的編號為10。 TEXT cr vpninstance Specify the fragment type of packet 0 Address of source Specify a VPNInstance Specify source address source[Huaweiaclbasictest]rule 1 deny ? Specify matched packet deny[Huaweiaclbasictest]rule 1 ? Specify value of step name ipv6 Basic accesslist (add to current using rules) 應(yīng)用MPLS ACL接口訪問列表acl INTEGER10001999 Number of the basic named ACL[Huawei]acl name test number ? Specify a number for the named ACL Set ACL39。 matchorder basic、命名型acl配置[Huawei]acl name test ? config auto由于網(wǎng)絡(luò)延遲等原因，可能造成網(wǎng)絡(luò)上設(shè)備時(shí)間不同步，建議配置NTP（Network Time Protocol），以保證網(wǎng)絡(luò)上時(shí)間的一致。例如，時(shí)間段“test”配置了三個(gè)生效時(shí)段：從2016年1月1日00:00起到2016年12月31日23:59生效，這是一個(gè)絕對時(shí)間段。 workingday每天星期二 Thursday Saturday 星期六 星期五 Day of the week(0 is Sunday)[Huawei]timerange test 8:00 to 18:05 ?[Huawei]timerange test 8:00 ?[Huawei]timerange test ?用戶可以為ACL創(chuàng)建生效時(shí)間段，通過在規(guī)則中引用時(shí)間段信息限制ACL生效的時(shí)間范圍，從而達(dá)到該業(yè)務(wù)或功能在一定的時(shí)間范圍內(nèi)生效的目的。 from The beginning point of the time range[Huawei]timerange test 8:00 t Ending Time Sat Thu Tuesday daily 星期六和星期日使用同一timename可以配置多條不同的時(shí)間段，以達(dá)到這樣的效果：各周期時(shí)間段之間以及各絕對時(shí)間段之間分別取并集之后，再取二者的交集作為最終生效的時(shí)間范圍。則時(shí)間段“test”最終描述的時(shí)間范圍為：2016年的周一到周五每天8:00到18:00以及周六和周日下午14:00到18:00。ACL類型配置、數(shù)字型acl配置[Huawei]acl 2000 matchorder ? Auto order 自動(dòng)順序（默認(rèn)） Config order設(shè)置高級acl Specify a basic named ACL number[Huawei]acl name test ad matchorder、ACL類型配置[Huawei]acl ? Interface accesslist(add to current using rules) INTEGER40004999二層acl基本acl6和高級acl6配置 INTEGER120基本ACL可以根據(jù)報(bào)文自身的源IP地址、分片標(biāo)記和時(shí)間段信息對IPv4報(bào)文進(jìn)行分類。分組片段類型 [Huaweiaclbasictest]rule 1 deny source ? Wildcard bits : ( a host ) fragmenttype引用生效時(shí)間用于vpn后續(xù)配置規(guī)則如仍未指定參數(shù)ruleid，設(shè)備則使用最后一個(gè)規(guī)則的ruleid的下一個(gè)步長的整數(shù)倍數(shù)值作為規(guī)則編號。設(shè)備在收到報(bào)文時(shí)，會按照匹配順序?qū)?bào)文與ACL規(guī)則進(jìn)行逐條匹配，一旦匹配上規(guī)則組內(nèi)的某條規(guī)則，則停止匹配動(dòng)作。[Huaweiacladv3000]rule 1 permit ? GRE tunneling(47) IP in IP tunneling(4) udp destination Specify destination port precedence source sourceport cr Specify destination address Specify dscp Specify sourc