ESR-series Documentation 1.20.0
Дерево страниц

Сравнение версий

Старая версия 3

changes.mady.by.user Сервисный центр Ethernet

Сохранено

по сравнению с

Новая версия 4

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.
Комментарий: Ромский Г.Е.

...

action { permit | deny | reject | netflow-sample | sflow-sample | rate-limit total pps <RATE> | session-limit <>[total <> <SESSION>] [per-source-host <SESSION>] } [log]
no action
Параметры
  • permit – прохождение трафика разрешается;
  • deny – прохождение трафика запрещается;
  • reject – прохождение трафика запрещается, а также посылается отправителю ответ об ошибке;
  • netflow-sample – прохождение трафика разрешается и осуществляется экспорт статистики по протоколу Netflow;
  • sflow-sample – прохождение трафика разрешается и осуществляется экспорт статистики по протоколу sFlow;
  • rate-limit total pps
    • <RATE>
  • session-limit
    • <>
    • <>
  • <RATE> – прохождение трафика разрешается  и  ограничивается количество обрабатываемых правилом пакетов в секунду. Команда применима только в правилах между зонами any self
    • <RATE>  – количество пакетов в секунду, принимает значения [1..10000].
  • session-limit [total <SESSION>] [per-source-host <SESSION>] – прохождение трафика разрешается и ограничивается число одновременных сессий трафика.
    • total <SESSION> - ограничивается общее число сессий трафика попадающих под данное правило
      <SESSION> число обновременных сессий , принимает значения [1..10000].
    • [per-source-host <SESSION> - ограничивается число сессий трафика от одного хоста источника
      <SESSION> число обновременных сессий , принимает значения [1..10000].
  • log – ключ для активации логирования сессий, устанавливающимися согласно данному правилу.
Предупреждение

Функционал session-limit доступен только на моделях ESR-3x, ESR-3100 и ESR-3200

Значение по умолчанию

Действие не настроено, логирование отключено.

...

Блок кода
esr(config-bridge)# ports firewall enable

rate-limit pps

Данная команда ограничивает количество обрабатываемых правилом пакетов в секунду. Команда применима только в правилах между зонами any self и при условии действия action permit в этом правиле.

Использование отрицательной формы команды (no) удаляет назначенное действие.

Синтаксис
rate-limit pps <RATE>
no rate-limit
Параметры

<PPS> – количество пакетов в секунду, принимает значения [1..10000].

Значение по умолчанию

Не ограничено.

Необходимый уровень привилегий

15

Командный режим

CONFIG-ZONE-PAIR-RULE

Пример
Блок кода
esr(config-if-gi)# rate-limit pps 200

rearrange

Данная команда меняет шаг между созданными правилами.

Синтаксис
rearrange <VALUE>
Параметры

<VALUE> – шаг между правилами, принимает значения [1..50].

Необходимый уровень привилегий

10

Командный режим

CONFIG-ZONE-PAIR

Пример
Блок кода
esr(config-zone-pair)# rearrange 10

...

Данная команда меняет номер правила.

Синтаксис
renumber rule <CUR_ORDER> <NEW_ORDER>
Параметры

<CUR_ORDER> – текущий номер правила, принимает значения [1..10000];

<NEW_ORDER> – новый номер правила, принимает значения [1..10000].

Необходимый уровень привилегий

10

Командный режим

CONFIG-ZONE-PAIR

Пример
Блок кода
esr(config-zone-pair)# renumber rule 13 100

...

Использование отрицательной формы команды (no) удаляет указанное правило.

Синтаксис
[no] rule <ORDER>
Параметры

<ORDER> – номер правила, принимает значения [1..10000]. Если при удалении используется значение параметра "all", то будут удалены все правила для конфигурируемой пары зон безопасности.

Необходимый уровень привилегий

10

Командный режим

CONFIG-ZONE-PAIR

Пример
Блок кода
esr(config-zone-pair)# rule 10
esr(config-zone-rule)#

...

Использование отрицательной формы команды (no) удаляет заданную зону безопасности.

Синтаксис
[no] security zone [ <NAME> | all ]
Параметры

<NAME> – имя создаваемой зоны безопасности, задаётся строкой до 12 символов. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все зоны безопасности.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
Блок кода
esr(config)# security zone trusted
esr(config-zone)#

...

Данная команда используется для добавления выбранного сетевого интерфейса в зону безопасности. Использование отрицательной формы команды (no) удаляет интерфейс из зоны.

Синтаксис
security-zone <NAME>
no security-zone
Параметры

<NAME> – имя зоны безопасности, задаётся строкой до 12 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-GI

CONFIG-TE

CONFIG-SUBIF

...

CONFIG-OPENVPN-SERVER

CONFIG-PPTP-SERVER

Пример
Блок кода
esr(config-if-gi)# security-zone trusted

...

Использование отрицательной формы команды (no) удаляет указанную группу правил.

Синтаксис
[no] security zone-pair <SOURCE-ZONE> <DESTINATION-ZONE>
Параметры

<SOURCE-ZONE> – зона безопасности, из которой поступает трафик;

<DESTINATION-ZONE> – зона безопасности, в которую поступает трафик. На маршрутизаторе всегда существует зона безопасности с именем «self». Если в качестве получателя трафика выступает сам маршрутизатор, то есть трафик не является транзитным, то в качестве параметра указывается зона «self». Если при удалении используется значение параметра «all», то будут удалены все конфигурируемые пары зон безопасности.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
Блок кода
esr(config)# security zone-pair trusted self

...

Данная команда используется для просмотра статистики по пакетам, проходящим между зонами, для которых не установлена сессия.

Синтаксис
show ip firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [ <ORDER> ] ] ]
Параметры

<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены счетчики правил в указанном VRF;

...

<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
Блок кода
esr# show ip firewall counters trusted self
Zone-pair                        Rule         Action            Pkts         Bytes
------------------------------   ----------   ---------------   ----------   ----------
any/any                          default      deny              0            0
trusted/self                     1            permit            0            0
trusted/trusted                  1            permit            0            0

...

Данная команда используется для просмотра активных IP-сессий.

Синтаксис
show ip firewall sessions [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <ADDR>] [ outside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ summary ] [ configuration ] [ expected ]
Параметры

<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены активные сессии в указанном VRF;

...

expected – команда для отображения сессий, ожидающих обработки других сессий.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
Блок кода
esr# show ip firewall sessions
Prot Inside source  Inside destination  Outside source Outside destination Pkts Bytes
---  ------------  ----------------     -------------   ----------------  -----  ----
vrrp   4.4.4.4      224.0.0.18              4.4.4.4       224.0.0.18       --     --

...

Данной командой отображается настройка функционала отслеживания сессий уровня приложений.

Синтаксис
show ip firewall sessions tracking
Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
Блок кода
esr# show ip firewall sessions tracking
Tracking Status:
    FTP:        Enabled
    H.323:      Enabled
    GRE:        Enabled
    PPTP:       Enabled
    NETBIOS-NS: Enabled
    SIP:        Enabled

...

Данная команда используется для просмотра статистики по пакетам, проходящим между зонами, для которых не установлена сессия.

Синтаксис
show ipv6 firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [ <ORDER> ] ] ]
Параметры

<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены счетчики правил в указанном VRF;

...

<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
Блок кода
esr# show ipv6 firewall counters trusted self
Zone-pair                        Rule         Action            Pkts         Bytes
------------------------------   ----------   ---------------   ----------   ----------
any/any                          default      deny              0            0
trusted/self                     1            permit            0            0
trusted/trusted                  1            permit            0            0

...

Данная команда используется для просмотра активных IPv6-сессий.

Синтаксис
show ipv6 firewall sessions [ vrf <VRF> ] [summary] [ protocol <TYPE> ] [ inside-source-address <IPV6-ADDR>] [ outiside-source-address <IPV6-ADDR> ] [ inside-destination-address <IPV6-ADDR> ] [ outside-destination-address <IPV6-ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ expected ] [ summary ]
Параметры

<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены активные сессии в указанном VRF;

...

summary – выводит суммарную статистику по IPv6-сессиям.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
Блок кода
esr# show ipv6 firewall sessions
Prot  Inside source  Inside destination  Outside source Outside destination  Pkts  Bytes        ----- -------------- ------------------- -------------- -------------------- ----- -----
icmp6 fc00::2         fc00::2            fc00::2        fc00::2               --     --
icmp6 fc00::2         fc00::1            fc00::2        fc00::1               --     --

...

Данная команда используется для просмотра интерфейсов, входящих в зону безопасности.

Синтаксис
show security zone [<NAME>]
Параметры

<NAME> – имя зоны, задаётся строкой до 31 символа.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
Блок кода
esr# show security zone
Zone name       Interfaces
-------------   ------------------------------------------
trusted         gi1/0/2-6, gi1/0/8-24, bridge 1
untrusted       gi1/0/1, te1/0/1-2, bridge 2

...

Данная команда используется для просмотра списка пар зон.

Синтаксис
show security zone-pair
Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
Блок кода
esr# show security zone-pair
From zone       To zone
-------------   -------------
trusted         untrusted
trusted         trusted
trusted         self
untrusted       self

...

Данная команда используется для просмотра правил для пары зон безопасности.

Синтаксис
show security zone-pair configuration <SOURCE-ZONE> <DESTINATION-ZONE> [<ORDER>]
Параметры

<SOURCE-ZONE> – зона безопасности, из которой поступает трафик;

...

<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
Блок кода
esr# show security zone-pair configuration trusted self
Order:             1
Description:       --
Matching pattern:
    Protocol:      tcp(6)
    Src-addr:      any
    src-port:      any
    Dest-addr:     any
    dest-port:     23
0            0

...