Управление списками контроля доступа (ACL)
action
Данная команда используется для указания действия, которое должно быть применено для трафика, удовлетворяющего заданным критериям.
Использование отрицательной формы команды (no) удаляет назначенное действие.
Синтаксис
action <ACT>
no action
Параметры
<ACT> – назначаемое действие:
- permit – прохождение трафика разрешается;
- deny – прохождение трафика запрещается.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
esr(config-acl-rule)# action permit
description
Данная команда используется для изменения описания конфигурируемого списка контроля доступа.
Использование отрицательной формы команды (no) удаляет установленное описание.
Синтаксис
description <DESCRIPTION>
no description
Параметры
<DESCRIPTION> – описание списка контроля доступа, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL
Пример
esr(config-acl)# description "Drop SSH traffic"
enable
Данная команда используется для активирования правила.
Использование отрицательной формы команды (no) деактивирует правило.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Правило выключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
esr(config-acl-rule)# enable
ip access-list extended
Данная команда используется для создания списка контроля доступа и перехода в режим конфигурирования списка.
Использование отрицательной формы команды (no) удаляет заданный список контроля доступа.
Синтаксис
[no] ip access-list extended <NAME>
Параметры
<NAME> – имя создаваемого списка контроля доступа, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# ip access-list extended acl-ssh-drop
esr(config-acl)#
match cos
Данной командой устанавливается значение 802.1p приоритета, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match cos <COS>
no match cos
Параметры
<COS> – значение 802.1p приоритета, принимает значения [0..7]
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
esr(config-acl-rule)# match cos 2
match destination-address
Данной командой устанавливаются IP-адреса получателя, для которых должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match destination-address { <ADDR> <MASK> | any }
no match destination-address
Параметры
<ADDR> – IP-адрес получателя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<MASK> – маска IP-адреса, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Биты маски, установленные в 0, задают биты IP-адреса, исключаемые из сравнения при поиске.
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
esr(config-acl-rule)# match destination-address 10.10.10.0 255.255.255.0
match destination-mac
Данной командой устанавливаются MAC-адреса получателя, для которых должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match destination-mac <ADDR> <WILDCARD>
no match destination-mac
Параметры
<ADDR> – МАС-адрес получателя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF];
<WILDCARD> – маска МАС-адреса, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
esr(config-acl-rule)# match destination-mac A8:F9:4B:AA:00:41 00:00:00:00:00:FF
match destination-port
Данной командой устанавливается номер TCP/UDP-порта получателя, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
match destination-port {<PORT> | any}
no match destination-port
Параметры
<PORT> – номер TCP/UDP-порта получателя, принимает значения [1..65535]. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
esr(config-acl-rule)# match destination-port 22
match dscp
Данной командой устанавливается значение кода DSCP, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match dscp <DSCP>
no match dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения [0..63].
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
esr(config-acl-rule)# match dscp 55
match ip-precedence
Данной командой устанавливается значение кода IP Precedence, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match ip-precedence <IPP>
no match ip-precedence
Параметры
<IPP> – значение кода IP Precedence, принимает значения [0..7].
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
esr(config-acl-rule)# match ip-precedence 5
match protocol
Данной командой устанавливается имя IP-протокола, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match protocol <TYPE>
no match protocol
match protocol-id <ID>
no match protocol-id
Параметры
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre. При указании значения «any» правило будет срабатывать для любых протоколов;
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].
При указании значения «any» правило будет срабатывать для любого протокола.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
esr(config-acl-rule)# match protocol tcp
match source-address
Данной командой устанавливаются IP-адреса отправителя, для которых должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match source-address { <ADDR> <MASK> | any }
no match source-address
Параметры
<ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<MASK> – маска IP-адреса, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Биты маски, установленные в 0, задают биты IP-адреса, исключаемые из сравнения при поиске.
При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
esr(config-acl-rule)# match source-address 10.100.100.0 255.255.255.0
match source-mac
Данной командой устанавливаются MAC-адреса отправителя, для которых должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match source-mac <ADDR> <WILDCARD>
no match source-mac
Параметры
<ADDR> – МАС-адрес отправителя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF];
<WILDCARD> – маска МАС-адреса, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
esr(config-acl-rule)# match source-mac A8:F9:4B:AA:00:40 00:00:00:FF:FF:FF
match source-port
Данной командой устанавливается номер TCP/UDP-порта отправителя, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match source-port { <PORT> | any }
no match source-port
Параметры
<PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535]. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
esr(config-acl-rule)# match source-port any
match vlan
Данной командой устанавливается значение идентификационного номера VLAN, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match vlan <VID>
no match vlan
Параметры
<VID> – идентификационный номер VLAN, принимает значения [1…4094].
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
esr(config-acl-rule)# match vlan 100
rule
Данная команда используется для создания правила и перехода в режим конфигурирования CONFIG-ACL-RULE. Правила обрабатываются устройством в порядке возрастания их номеров.
Использование отрицательной формы команды (no) удаляет указанное правило.
Синтаксис
[no] rule <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..4094].
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL
Пример
esr(config-acl)# rule 10
esr(config-acl-rule)#
service-acl input
Данная команда используется для привязки указанного списка контроля доступа к конфигурируемому интерфейсу для фильтрации входящего трафика.
Использование отрицательной формы команды (no) удаляет привязку списка контроля доступа к данному интерфейсу.
Синтаксис
service-acl input <NAME>
no service-acl input
Параметры
<NAME> – имя списка контроля доступа, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-GI
CONFIG-TE
CONFIG-PORT-CHANNEL
Пример
esr(config-if-gi)# service-acl input acl-ssh-drop
show ip access-list
Данная команда используется для просмотра списков управления доступом.
Синтаксис
show ip access-list [ <NAME> [ <ORDER> ] ]
Параметры
<NAME> – имя списка управления доступом, задаётся строкой до 31 символа;
<ORDER> – номер правила, принимает значения [1..4096]. При указании номера правила будет показана информация только по данному правилу.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show ip access-list
Name Description
-------------------------------- -----------------------------------------------
acl-telnet-drop --
acl-ssh-drop Drop SSH traffic
esr# show ip access-list acl-ssh-drop
Index: 1
Matching pattern:
Protocol: TCP(6)
Source MAC address: any
Source IP address: any
Source port: any
Destination MAC address: any
Destination IP address: any
Destination port: 22
Action: Deny
Status: Enabled
--------------------------------------------------------------------------------
Index: 2
Matching pattern:
Protocol: any
Source MAC address: any
Source IP address: any
Destination MAC address: any
Destination IP address: any
Action: Permit
Status: Enabled
--------------------------------------------------------------------------------