RULE规则
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
RULE规则
一、rule description
命令功能
rule description 命令用来配置某条规则的描述信息。
undo rule description命令用来删除某条规则的描述信息。
缺省情况下,各规则没有描述信息。
命令格式
rule rule-id description
undo rule rule-id description
参数说明
视图
基本ACL视图、高级ACL视图、二层ACL视图、 UCL视图、基本ACL6视图、高级ACL6视图
缺省级别
2:配置级
使用指南
使用场景
当前规则的标识方式主要是使用rule-id,一个数字很难很好地表达该规则的含义、用途等信息,不便于用户标记,一定长度字符串的标记方式就可以解决这个问题。
前置条件
在使用rule rule-id description进行描述信息配置的时候,必须保证该
rule-id的规则已经存在,否则系统提示错误信息:
Warning: The acl subitem number does not exist。
该rule-id的规则的配置可以在使用不同视图下的rule命令来配置,分别为:rule(高级ACL6视图)、rule(高级ACL视图)、rule(基本ACL6视图)、rule (基本ACL视图)、rule(二层ACL视图)、rule(UCL视图)。
配置影响
该命令是覆盖式命令,配置结果可以使用display acl和display acl ipv6查询。
使用实例
#假设ACL 2001的规则5是允许源地址是192。
168.32。
1的报文,配置增加规则5的描述信息。
〈Quidway> system—view
[Quidway]acl 2001
[Quidway—acl—basic-2001] rule 5 description permit 192。
168。
32.1[Quidway-acl—basic—2001] display acl 2001
Basic ACL 2001, 2 rules
Acl’s step is 5
rule 2 deny
rule 5 permit source 192。
168.32.1 0
rule 5 description permit 192。
168.32.1
# 配置在ACL 2001中删除规则5的描述信息。
〈Quidway〉system-view
[Quidway]acl 2001
[Quidway—acl—basic-2001]undo rule 5 description
[Quidway-acl-basic-2001]display acl 2001
Basic ACL 2001, 2 rules
Acl’s step is 5
rule 2 deny
rule 5 permit source 192.168。
32.1 0
二、rule(UCL视图)
命令功能
rule命令用来在对应的UCL视图下增加一个规则。
undo rule命令用来删除一个规则。
命令格式
rule [ rule-id ] {deny|permit} [ [ l2—head|ipv4-head|ipv6-head | l4-head]{rule—string rule—mask offset } ] [ time —range time—range—name]
undo rule rule-id
参数说明
rule—mask表示规则字符串的掩
码。
16进制形式,字符长度必须是偶数,最大支持4个字节。
当用户定义的规则字符串对应的掩码为“1”时,ACL对该位进行匹配;当用户定义的规则字符串对应的掩码为“0”时,ACL不对该位进行匹配.
offset表示偏移值。
整数形式,单位是字节。
根据偏移
位置不同,offset取值范围不同。
取值范围为:2~98。
time—range time—range—name 表示定义一个ACL规
则生效的时间段。
time—range-name表
示时间段的名称.
字符串形式,长度范围是1~32。
视图
UCL视图
缺省级别
2:配置级
使用指南
在S9300上使用rule命令定义用于流分类的匹配规则,不仅根据rule命令中的permit和deny参数对信息进行过滤操作,还需要结合流行为进行过滤。
rule (UCL视图)命令每次固定匹配4个字节的内容,当配置的rule—string参数长度不满4个字节时,在前面补0凑足4个字节进行匹配。
使用命令undo rule删除规则的时候,rule—id必须是一个已经存在的ACL规则编号,如果不知道规则的编号,可以使用命令display acl来查看。
说明:
用户自定义ACL只能应用于上行策略。
使用实例
# 在编号为5001的ACL中增加一条规则,从二层报文头开始匹配4个字节的字符串,字符串内容为0180C200。
〈Quidway> system—view
[Quidway] acl 5001
[Quidway—acl—user—5001] rule permit l2-head 0x0180C200 0xFFFFFFFF 14
三、rule(二层ACL视图)
命令功能
rule命令用来在对应的二层ACL视图下增加一个规则。
undo rule命令用来删除一个二层ACL规则。
命令格式
rule[rule—id] { permit| deny} [ [ether—ii| 802。
3|snap]|l2-protocol type-value [ type—mask] | destination-mac dest—
mac-address[dest-mac—mask ] | source-mac source-mac—address [source-mac—mask ] | vlan-id vlan—id[vlan-id-mask ] | 8021p 802.1p-value|cvlan—id cvlan—id [ cvlan-id-mask] | cvlan—8021p 802.1p-value | double—tag ] *[time—range time—range-name]
undo rule rule-id
参数说明
视图
二层ACL视图
缺省级别
2:配置级
使用指南
当ACL被QoS功能引用时,如果ACL规则中定义的动作为deny,则匹配此ACL 的报文就被丢弃。
如果ACL规则中定义的动作为permit,则S9300对匹配此ACL 的报文采取的动作由QoS中流行为定义的动作决定。
使用命令undo rule删除规则的时候,rule-id必须是一个已经存在的ACL规则编号,如果不知道规则的编号,可以使用命令display acl来查看。
使用实例
#在ACL 4001中增加一条规则,匹配目的MAC地址是0-0—1,源MAC地址是0—0—2,二层协议类型值为0x0800的报文。
<Quidway> system-view
[Quidway]acl 4001
[Quidway—acl—L2-4001]rule permit destination-mac 0—0—1
source-mac 0—0—2 l2—protocol 0x0800
四、rule(高级ACL6视图)
命令功能
rule命令用来增加或修改高级ACL6规则.
undo rule命令用来删除ACL6规则。
命令格式
•当参数protocol为TCP时,高级ACL6的命令格式为:
rule[rule—id] { deny|permit} {tcp|protocol—number} [destination{destination—ipv6—address prefix—length|
destination—ipv6—address/prefix-length|postfix
postfix-length | any } |destination-port { eq|gt | lt|
range}port|dscp dscp | fragment|logging|precedence
precedence| source{ source—ipv6—address prefix-length| source —ipv6—address/prefix-length | source-ipv6—address postfix
postfix-length|any } |source-port { eq|gt|lt|
range}port | time—range time-name|tos tos ] *•当参数protocol为UDP时,高级ACL6的命令格式为:
rule[rule—id] { deny|permit}{udp| protocol-number}[destination{destination—ipv6—address prefix-length |
destination-ipv6—address/prefix—length|postfix
postfix-length|any} | destination-port{eq|gt | lt|range } port | dscp dscp|fragment | logging|precedence
precedence|source { source—ipv6—address prefix-length|
source—ipv6-address/prefix—length|source-ipv6-address
postfix postfix-length | any}|source—port { eq|gt|lt | range}port|time—range time—name | tos tos ] *•当参数protocol为ICMPv6时,高级ACL6的命令格式为:
rule[ rule—id] { deny| permit} { icmpv6| protocol-number} [destination { destination—ipv6—address prefix—length|
destination-ipv6-address/prefix-length|postfix postfix—
length | any} | dscp dscp|fragment | icmp6-type{icmp6—type-name | icmp6-type icmp6—code} | logging | precedence
precedence|source{source—ipv6-address prefix—length|
source—ipv6-address/prefix—length|source-ipv6-address
postfix postfix-length|any } |time-range time—name | tos
tos]*
•当protocol为其他协议时,高级ACL6的命令格式为:
rule[rule—id] { deny|permit} { protocol-number|gre| ipv6|ospf} [destination{ destination—ipv6—address prefix —length|destination-ipv6—address/prefix-length |
destination-ipv6—address postfix postfix-length|any } |
dscp dscp|fragment|logging|precedence precedence|
source { source-ipv6-address prefix—length | source—ipv6—
address/prefix-length | source-ipv6-address postfix postfix—
length | any} | time-range time-name|tos tos ] *
删除高级ACL6的规则:
undo rule rule-id [ destination|destination-port|fragment|icmp6—type | precedence | source|source-port | time-range | tos ] 参数说明
视图
高级ACL6视图
缺省级别
2:配置级
使用指南
删除或修改已有规则时,必须指定规则ID. 使用实例
#为编号为3000的ACL6增加一条规则,禁止从2001::1 网段内的主机建立与2003::1网段内的主机的端口号大于128的UDP(用户数据报协议)连接.
<Quidway> system-view
[Quidway]acl ipv6 3000
[Quidway-acl—adv—3000]rule deny udp source 2001::1 64 destination 2003::1 64 destination—port gt 128
五、rule(高级ACL视图)
命令功能
rule命令用来在对应的高级ACL视图下增加一个规则。
undo rule命令用来删除一个规则。
命令格式
•当参数protocol为ICMP时,高级访问控制列表的命令格式为:o rule[ rule-id] { deny| permit} { protocol-number|icmp} [ destination { destination-address destination-wildcard |
any } |dscp dscp | fragment|icmp-type { icmp—name|
icmp—type icmp—code} | precedence precedence | source
{source—address source—wildcard | any } | time—range
time—name|tos tos]*
o undo rule rule—id [ description|destination |
destination-port|dscp|fragment | icmp-type|
precedence | source|source—port | time-range|tos ]*•当参数protocol为TCP时,高级访问控制列表的命令格式为:
o rule[ rule—id] { deny| permit}{protocol—number| tcp } [ destination{destination-address
destination-wildcard | any } |destination-port{eq|
gt| lt| range}port|dscp dscp|fragment| precedence
precedence|source{source-address source-wildcard|
any } | source—port { eq | gt | lt|range } port|
tcp-flag{ack | fin|psh|rst | syn | urg }*|time
—range time—name | tos tos ]*
o undo rule rule-id [ description | destination |
destination-port|dscp | fragment|icmp—type|
precedence | source|source-port | time-range | tos]*•当参数protocol为UDP时,高级访问控制列表的命令格式为:
o rule[ rule—id] { deny| permit} {protocol-number| udp}[destination { destination-address
destination-wildcard|any}|destination—port{ eq|
gt | lt | range } port | dscp dscp|fragment | precedence
precedence|source{source-address source-wildcard |
any } |source—port { eq | gt|lt|range}port|
time-range time—name|tos tos ]*
o undo rule rule-id[description|destination |
destination-port|dscp | fragment|icmp-type|
precedence | source | source—port | time-range|tos]
*
•当参数protocol为TCP、UDP和ICMP之外的其他协议时,高级访问控制列表的命令格式为:
o rule[rule—id] {deny|permit} {protocol—number|gre | igmp|ip|ipinip|ospf } [destination
{destination—address destination-wildcard| any} | dscp
dscp|fragment|precedence precedence|source
{ source-address source-wildcard | any } | time—range time
—name | tos tos]*
o undo rule rule—id[description|destination|
destination—port | dscp | fragment|icmp-type|
precedence|source|source-port | time-range|tos]
*
说明:
参数dscp dscp和precedence precedence不能同时配置。
参数说明
参数参数说明取值
rule-id指定ACL的规则ID.该参数只
对匹配规则是config的ACL
有效。
•如果指定ID的规则已
经存在,则会在旧规
则的基础上叠加新定
义的规则,相当于编
辑一个已经存在的规
则;如果指定ID的规
则不存在,则使用指整数形式,取值范围是0~4294967294。
视图
高级ACL视图缺省级别2:配置级
使用指南
当ACL被QoS功能引用时,如果ACL规则中定义的动作为deny,则匹配此ACL的报文就被丢弃。
如果ACL规则中定义的动作为permit,则S9300对匹配此ACL的报文采取的动作由QoS中流行为定义的动作决定。
使用命令undo rule删除规则的时候,rule-id必须是一个已经存在的ACL规则编号,如果不知道规则的编号,可以使用命令display acl来查看。
使用实例
#配置在ACL3000中增加一条规则,基于icmp code域的流分类.
〈Quidway> system-view
[Quidway]acl 3000
[Quidway-acl—adv—3000] rule 1 permit icmp
#配置在ACL3000中删除一条规则,基于icmp code域的流分类。
<Quidway> system—view
[Quidway]acl 3000
[Quidway-acl—adv—3000]undo rule 1
# 配置在ACL3000中增加一条规则,基于igmp protocol type的流分类。
<Quidway〉system—view
[Quidway]acl 3000
[Quidway-acl—adv—3000] rule 2 permit igmp
# 配置在ACL3000中增加一条规则,基于dscp域的流分类。
<Quidway> system-view
[Quidway]acl 3000
[Quidway—acl—adv-3000]rule 3 permit ip dscp cs1
#配置在ACL3001中增加一条规则,匹配从129.9.0.0网段的主机向202。
38.160.0网段的主机发送的所有IP报文。
<Quidway〉system—view
[Quidway]acl 3001
[Quidway-acl—adv-3001] rule permit ip source 129.9.0。
0 0。
0。
255.255 destination 202.38.160.0 0.0.0.255
# 配置在ACL3001中增加一条规则,匹配从一切主机建立与IP地址为202.38。
160。
1的主机的Telnet(23)的连接。
<Quidway〉system-view
[Quidway] acl 3001
[Quidway-acl-adv—3001] rule deny tcp destination 202.38.160.1 0 destination—port eq telnet
# 配置在ACL3001中增加一条规则,匹配从129.9.8.0网段内的主机建立与端口号等于128的202。
38.160。
0网段内的主机的UDP(用户数据报协议)连接.
<Quidway〉system-view
[Quidway] acl 3001
[Quidway-acl-adv-3001]rule deny udp source 129.9。
8.0 0。
0.0。
255 destination 202。
38.160.0 0.0.0。
255 destination—port eq 128
六、rule(基本ACL6视图)
命令功能
rule命令用来增加或修改基本ACL6规则.
undo rule命令用来删除ACL6规则。
命令格式
rule [ rule—id ] { deny | permit} [ fragment | logging|source { source—ipv6-address prefix-length | source-ipv6—address/prefix—length|source—ipv6-address postfix postfix—length|any} | time-range time—name ] *
undo rule rule-id [ fragment|logging | source|time—range]*参数说明
视图
基本ACL6视图缺省级别2:配置级
使用指南
基本ACL6只采用源地址信息来定义ACL6规则。
增加新规则时,必须设置源参数。
删除或修改已有规则时,必须指定规则ID。
使用实例
#为编号为2000的ACL6增加一条规则,禁止从源2001::1/64的报文通过.
〈Quidway〉system—view
[Quidway]acl ipv6 2000
[Quidway-acl6—basic—2000] rule deny source 2001::1/64
七、rule(基本ACL视图)
命令功能
rule命令用来在当前的基本ACL视图下增加一个规则。
undo rule命令用来删除一个基本ACL规则。
命令格式
rule[ rule—id] { deny| permit} [ fragment| source{ source—address source—wildcard | any}|time—range time-name ] *
undo rule rule-id[fragment | source|time-range]*
参数说明
视图
基本ACL视图
缺省级别
2:配置级
使用指南
在S9300上使用rule命令定义用于流分类的匹配规则,不仅根据rule命令中的permit和deny参数对信息进行过滤操作,还需要结合流行为进行过滤。
使用命令undo rule删除规则的时候,rule—id必须是一个已经存在的ACL规则编号,如果不知道规则的编号,可以使用命令display acl来查看.
使用实例
# 配置在ACL 2001中增加一条规则,允许源地址是192。
168.32。
1的报文通过。
<Quidway〉system-view
[Quidway]acl 2001
[Quidway—acl—basic—2001]rule permit source 192。
168.32。
1 0
#配置在ACL 2001中删除一条规则,删除规则1。
〈Quidway> system—view
[Quidway] acl 2001
[Quidway-acl-basic-2001]undo rule 1
八、save
命令功能
save命令用来保存当前配置信息到系统默认的存储路径中.
系统默认的存储路径及文件名为cfcard:/vrpcfg。
zip.
命令格式
save [ all ] [configuration—file]
参数说明
视图
用户视图
缺省级别
2:配置级
使用指南
当完成一组配置,并且已经达到预定功能,则应将当前配置文件保存到存储设备中.
save configuration-file命令用来保存当前配置信息到存储设备中的指定文件中。
该命令通常情况下不影响系统当前的启动配置文件;除非当configuration-file与系统默认的存储路径及配置文件名完全相同时,则此命令的作用等同于save命令.
save all命令用来保存当前所有的配置,包括不在位的板卡的配置,至系统默认的存储路径中。
save all configuration—file命令用来保存当前配置信息到存储设备中的指定文件中.该命令通常情况下不影响系统当前的启动配置文件;除非当configuration-file与系统默认的存储路径及配置文件名完全相同时,则此命令的作用等同于save all命令.
配置文件必须以“.cfg”或“。
zip”作为扩展名,而且系统启动配置文件必须存放在存储设备的根目录下。
如果您选择缺省路径,系统配置文件将存储在CF 卡的根目录下。
当在主用主控板上执行保存当前配置文件的操作时,系统在主用主控板上的配置文件保存完毕之后,将会提示用户确认备用主控板上是否需要保存同样名称的配置文件。
使用实例
#保存当前配置文件到默认存储设备中。
〈Quidway〉save
The current configuration will be written to the device。
Are you sure to continue?[Y/N]y
Now saving the current configuration to the slot 13 。
Info: Save the configuration successfully.
ACL规则
一、acl ipv6(用户界面视图)
命令功能
acl ipv6命令用来通过引用ACL6控制列表,对VTY(Telnet、SSH)等类型的用户界面的呼入、呼出权限进行限制.
undo acl ipv6命令用来取消当前配置。
缺省情况下,不对呼入、呼出进行限制。
命令格式
acl ipv6acl6-number { inbound|outbound}
undo acl ipv6 { inbound|outbound }
参数说明
视图
用户界面视图
缺省级别
3:管理级
使用指南
该命令可以使用基本访问控制列表限制来自指定源地址的访问.使用高级访问控制列表既可以限制来自指定源地址的访问,也可以限制到指定目的地址的访问。
使用实例
# 在VTY0用户界面上,限制Telnet呼出。
<Quidway> system-view
[Quidway]user-interface vty 0
[Quidway—ui—vty0] acl ipv6 2000 outbound
# 在VTY0用户界面上,取消对Telnet呼出的限制。
<Quidway> system-view
[Quidway] user—interface vty 0
[Quidway-ui-vty0] undo acl ipv6 outbound
二、acl ipv6(系统视图)
命令功能
acl ipv6命令用来创建ACL6并进入ACL6视图.
undo acl ipv6命令用来用来删除ACL6。
命令格式
acl ipv6[number ] acl6—number[match—order { auto|config } ] undo acl ipv6 { all | [ number]acl6-number}
参数说明
视图
系统视图
缺省级别
2:配置级
使用指南
创建ACL6时,需要指定如下参数:
•指定一个数字,该数字标识ACL6类型。
例如2000~2999为基本ACL6,3000~3999为高级ACL6。
•ACL6的匹配顺序,该参数是一个可选参数,缺省情况下匹配顺序为config (配置顺序)。
使用实例
#创建匹配顺序为config,编号为2000的ACL6.
<Quidway> system-view
[Quidway] acl ipv6 2000 match—order config
[Quidway-acl6—basic—2000]
#创建一个编号为3000的ACL6。
〈Quidway〉system-view
[Quidway]acl ipv6 number 3000
[Quidway—acl6—adv—3000]
三、acl ipv6 name
命令功能
acl ipv6 name命令用来创建一个命名型的ACL6,并且进入ACL6视图。
undo acl ipv6 name命令用来删除命名型的ACL6。
命令格式
acl ipv6 name acl6—name[advance | basic | acl6-number ] [match —order{auto|config } ]
undo acl ipv6 name acl6—name
参数说明
视图
系统视图
缺省级别
2:配置级
使用指南
如果没有指定命名型ACL6的编号,S9300会为其自动分配编号。
主要包括以下两种情况。
•如果只为命名型ACL6指定了类型,S9300为其分配的编号是该类型ACL6编号取值范围内的最大值。
•如果既没有指定命名型ACL6的编号,也没有指定命名型ACL6的类型,S9300认为该ACL6为高级ACL6,为其分配高级ACL6编号取值范围内的最大值.
使用实例
#创建名称为test1的高级ACL6,匹配顺序为自动排序。
<Quidway> system-view
[Quidway] acl ipv6 name test1 advance match—order auto
# 创建名称为test2的基本ACL6,编号为2001。
〈Quidway> system—view
[Quidway] acl ipv6 name test2 2001
四、acl name
命令功能
acl name命令用来创建一个命名型的ACL,并且进入ACL视图。
undo acl命令用来删除命名型的ACL.
命令格式
acl name acl—name [ advance|basic|link|user | acl-number ] [match—order{auto|config } ]
undo acl name acl—name
参数说明
视图
系统视图
缺省级别
2:配置级
使用指南
如果没有指定命名型ACL的编号,S9300会为其自动分配编号。
主要包括以下两种情况.
•如果只为命名型ACL指定了类型,S9300为其分配的编号是该类型ACL编号取值范围内的最大值。
•如果既没有指定命名型ACL的编号,也没有指定命名型ACL的类型,S9300认为该ACL为高级ACL,为其分配高级ACL编号取值范围内的最大值。
S9300不会为命名型ACL重复分配编号。
使用实例
# 创建名称为test1的ACL,编号为2001。
<Quidway〉system-view
[Quidway] acl name test1 2001
[Quidway—acl—basic—test1]
# 创建名称为test2的高级ACL,匹配顺序为自动排序。
〈Quidway> system—view
[Quidway]acl name test2 advance match-order auto
[Quidway-acl-adv—test2]
五、acl(系统视图)
命令功能
acl命令用来使用编号创建一个ACL访问控制列表,并进入ACL视图。
undo acl命令用来删除指定的ACL访问控制列表.
命令格式
acl[number ] acl-number [ match-order { auto|config} ] undo acl{ [ number]acl—number|all }
参数说明
视图
系统视图
缺省级别
2:配置级
使用指南
一个访问控制列表是由若干permit或deny语句组成的一系列规则的列表,若干个规则列表构成一个访问控制列表。
访问控制列表的规则之前,首先需要创建一个访问控制列表.
创建一个访问控制列表,需要指定如下参数:
•指定一个数字,该数字为ACL种类的标示。
例如2000~2999为基本ACL,3000~3999为高级ACL。
•访问控制列表规则的匹配顺序,该参数是一个可选参数,缺省情况下匹配顺序为config(配置顺序)。
使用实例
# 创建一个序号为2000的访问控制列表.
〈Quidway> system—view
[Quidway] acl number 2000
[Quidway—acl—basic-2000]
六、acl(用户界面视图)
命令功能
acl命令用来通过引用ACL控制列表,对VTY(Telnet、SSH)等类型的用户界面的呼入、呼出权限进行限制。
undo acl命令用来取消当前配置.
缺省情况下,不对呼入、呼出进行限制。
命令格式
acl acl-number{inbound | outbound}
undo acl{inbound|outbound}
参数说明
视图
用户界面视图
缺省级别
3:管理级
使用指南
该命令可以使用基本访问控制列表限制来自指定源地址的访问。
使用高级访问控制列表既可以限制来自指定源地址的访问,也可以限制到指定目的地址的访问.
使用实例
# 在VTY0用户界面上,限制Telnet呼出。
〈Quidway> system-view
[Quidway]user—interface vty 0
[Quidway-ui—vty0]acl 2000 outbound
# 在VTY0用户界面上,取消对Telnet呼出的限制。
<Quidway> system—view
[Quidway] user—interface vty 0
[Quidway—ui—vty0] undo acl outbound
ARP规则
ARP配置命令
•arp detect—mode unicast
•arp detect-times
•arp expire—time
•arp static
•arp static cevid
•arp—ping ip
•arp—ping mac
•arp-proxy enable
•arp-proxy inner-sub-vlan-proxy enable
•arp-proxy inter—sub—vlan-proxy enable
•arp—suppress enable
•display arp all
•display arp dynamic
•display arp interface
•display arp network
•display arp static
•display arp statistics
•display arp track
•display arp vpn-instance
•l2-topology detect enable
•reset arp
一、arp static
命令功能
arp static命令用来配置静态ARP映射表。
undo arp static命令用来取消ARP映射表中对应地址的静态映射项。
缺省情况下,系统ARP映射表为空,由动态ARP获取地址映射。
命令格式
arp static ip-address mac—address[ vpn—instance vpn—instance—name]
ip—address mac-address [ vpn-instance vpn—instance-name]
arp static ip-address mac—address[vpn-instance vpn—instance-name] vid vlan—id
arp static ip-address mac—address [ vid vlan—id interface interface —type interface—number]
undo arp static ip-address [ vpn—instance—name|vid vlan-id interface interface—type interface-number ]
参数说明
视图
系统视图
缺省级别
2:配置级
使用指南
静态ARP映射项中的IP地址和MAC地址之间有固定的映射关系,主机和路由设备不能动态调整此映射关系。
静态ARP表项在路由设备正常工作时一直有效。
命令的具体使用情况如下所示:
•配置普通静态ARP表项时,执行命令arp static ip—address mac-address [ vpn—instance vpn-instance-name]。
•为接口配置静态ARP表项时,执行命令arp static ip-address mac-address [ vpn-instance vpn—instance-name]vid vlan-id.
•为VLANIF配置静态ARP表项时,执行命令arp static ip—address mac —address[vid vlan-id interface interface—type interface—
number ]。
说明:
•配置的ip—address应保证和通过参数interface指定出接口的地址在同一个网段。
•ARP映射表只用于局域网内,对于广域网的地址解析,有其它的配置或获取方法(如帧中继的逆向地址解析)。
•为VLANIF配置静态ARP表项时如果只配置IP地址和MAC地址,不指定VLAN ID和ARP报文的出接口,系统会自动选择出接口;如果指定了VLAN ID 和ARP报文的出接口,系统会按照配置的出接口转发报文。
使用实例
# 配置IP地址129.102。
0.1对应的MAC地址为00e0-fc01-0000。
〈Quidway〉system-view
[Quidway]arp static 129.102.0.1 e0—fc01—0
#配置一条ARP静态映射,IP地址为1.1.1。
1,对应的MAC地址为
0efc-0505-86e3,此条ARP静态映射属于VLAN 10。
〈Quidway〉system—view
[Quidway]arp static 1。
1.1.1 0efc—0505-86e3 vid 10
# 配置一条ARP静态映射,IP地址为1.1.1。
1,对应的MAC地址为0efc—
0505-86e3,此ARP静态映射属于VPN实例vpn1,且属于VLAN 10。
<Quidway> system-view
[Quidway] arp static 1。
1.1。
1 0efc—0505-86e3 vpn—instance vpn1 vid 10
二、arp—ping ip
命令功能
arp-ping ip命令用来在局域网范围内查询某IP地址是否被其它设备使用的情况。
命令格式
arp—ping ip ip—address[interface interface—type interface—number [ vlan-id vlan—id] ]
参数说明
视图
所有视图
缺省级别
1:监控级
使用指南
arp-ping ip命令是利用ARP报文在局域网内探测IP地址是否被其它设备使用的一种方法.
通过ping命令也可以探测该IP地址是否被网络上的其他设备使用。
但是如果带有防火墙功能的目的主机和路由设备设置了对ping报文不进行回复的功能时,就不会响应ping报文,造成该IP没有被使用的假象。
由于ARP报文是二层协议,大多数情况下可以透过设置了对ping报文不进行回复的防火墙,从而避免了此类情况的发生。
arp—ping ip命令不支持对本机IP地址的操作(ping命令可以对本机进行操作)。
使用实例
#使用arp—ping ip命令查看IP地址是否已被使用。
<Quidway〉arp-ping ip 10.1.1.1
ARP-Pinging 10.1。
1.1:
10。
1。
1。
1 is used by 00e0-fc91-8d70
三、arp-ping mac
命令功能
arp—ping mac命令用来在局域网范围内查询某MAC地址是否被其它的设备使用的情况.
命令格式
arp-ping mac mac—address{ip-address [ vpn—instance vpn—instance —name]|interface interface-type interface-number}
参数说明
视图
所有视图
缺省级别
1:监控级
使用指南
arp-ping mac命令是利用ICMP报文在局域网范围内探测MAC地址是否被其它的设备使用的一种方法.
当只知道该网段一个特定的MAC地址而不知道其对应的IP地址时,通过
arp-ping mac命令发送广播的ICMP报文可以得到该MAC所对应的IP地址.
arp—ping mac命令不支持对本机MAC地址的操作。
使用实例
# 使用arp—ping mac命令在10.1。
1。
0网段内查询某个MAC地址是否已被使用.
〈Quidway> arp—ping mac 13—46e7—2ef5 10。
1。
1.0
LanIP: 10.1.1。
0 MAC[00—13-46-E7—2E-F5], press CTRL_C to break --——- ARP—Ping MAC statistics -————
1 packet(s) transmitted
1 packet(s) received
IP ADDRESS MAC ADDRESS。