| Оглавление | ||
|---|---|---|
|
action
Данная команда используется для указания действия, которое должно быть применено для трафика, удовлетворяющего заданным критериям.
Использование отрицательной формы команды (no) удаляет назначенное действие.
Синтаксис
action <ACT>
no action
Параметры
<ACT> – назначаемое действие:
- permit – прохождение трафика разрешается;
- deny – прохождение трафика запрещается.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
| Блок кода |
|---|
esr(config-acl-rule)# action permit |
description
Данная команда используется для изменения описания конфигурируемого списка контроля доступа.
Использование отрицательной формы команды (no) удаляет установленное описание.
Синтаксис
description <DESCRIPTION>
no description
Параметры
<DESCRIPTION> – описание списка контроля доступа, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL
Пример
| Блок кода |
|---|
esr(config-acl)# description "Drop SSH traffic" |
enable
Данная команда используется для активирования правила.
Использование отрицательной формы команды (no) деактивирует правило.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Правило выключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
| Блок кода |
|---|
esr(config-acl-rule)# enable |
ip access-list extended
Данная команда используется для создания списка контроля доступа и перехода в режим конфигурирования списка.
Использование отрицательной формы команды (no) удаляет заданный список контроля доступа.
Синтаксис
[no] ip access-list extended <NAME>
Параметры
<NAME> – имя создаваемого списка контроля доступа, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip access-list extended acl-ssh-drop esr(config-acl)# |
match cos
Данной командой устанавливается значение 802.1p приоритета, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match cos <COS>
no match cos
Параметры
<COS> – значение 802.1p приоритета, принимает значения [0..7].
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
| Блок кода |
|---|
esr(config-acl-rule)# match cos 2 |
match destination-address
Данной командой устанавливаются IP-адреса получателя, для которых должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match destination-address { <ADDR> <MASK> | any }no match destination-address
Параметры
<ADDR> – IP-адрес получателя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
...
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
| Блок кода |
|---|
esr(config-acl-rule)# match destination-address 10.10.10.0 255.255.255.0 |
match destination-mac
Данной командой устанавливаются MAC-адреса получателя, для которых должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match destination-mac <ADDR> <WILDCARD>
no match destination-mac
Параметры
<ADDR> – МАС-адрес получателя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF];
<WILDCARD> – маска МАС-адреса, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
| Блок кода |
|---|
esr(config-acl-rule)# match destination-mac A8:F9:4B:AA:00:41 00:00:00:00:00:FF |
match destination-port
Данной командой устанавливается номер TCP/UDP-порта получателя, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
match destination-port <TYPE> {<PORT> | <PORT>-<PORT>}no match destination-port
Параметры
<TYPE> – принимает значения «any или «port-range»;
...
<PORT> – продолжение команды port-range, номер TCP/UDP-порта отправителя, принимает значения [1..65535]. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
| Блок кода |
|---|
esr(config-acl-rule)# match destination-port port-range 22 |
match dscp
Данной командой устанавливается значение кода DSCP, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match dscp <DSCP>
no match dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения [0..63].
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
| Блок кода |
|---|
esr(config-acl-rule)# match dscp 55 |
match ip-precedence
Данной командой устанавливается значение кода IP Precedence, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match ip-precedence <IPP>
no match ip-precedence
Параметры
<IPP> – значение кода IP Precedence, принимает значения [0..7].
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
| Блок кода |
|---|
esr(config-acl-rule)# match ip-precedence 5 |
match protocol
Данной командой устанавливается имя IP-протокола, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match protocol <TYPE>
no match protocol
match protocol-id <ID>
no match protocol-id
Параметры
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre. При указании значения «any» правило будет срабатывать для любых протоколов;
...
При указании значения «any» правило будет срабатывать для любого протокола.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
| Блок кода |
|---|
esr(config-acl-rule)# match protocol tcp |
match source-address
Данной командой устанавливаются IP-адреса отправителя, для которых должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match source-address { <ADDR> <MASK> | any }no match source-address
Параметры
<ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
...
При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
| Блок кода |
|---|
esr(config-acl-rule)# match source-address 10.100.100.0 255.255.255.0 |
match source-mac
Данной командой устанавливаются MAC-адреса отправителя, для которых должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match source-mac <ADDR> <WILDCARD>
no match source-mac
Параметры
<ADDR> – МАС-адрес отправителя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF];
<WILDCARD> – маска МАС-адреса, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
| Блок кода |
|---|
esr(config-acl-rule)# match source-mac A8:F9:4B:AA:00:40 00:00:00:FF:FF:FF |
match source-port
Данной командой устанавливается номер TCP/UDP-порта отправителя, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match source-port <TYPE> { <PORT> | <PORT>-<PORT> }no match source-port
Параметры
<TYPE> – принимает значения «any» или «port-range»;
...
<PORT> – Продолжение команды port-range, номер TCP/UDP-порта отправителя, принимает значения [1..65535]. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
| Блок кода |
|---|
esr(config-acl-rule)# match source-port any |
match vlan
Данной командой устанавливается значение идентификационного номера VLAN, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match vlan <VID>
no match vlan
Параметры
<VID> – идентификационный номер VLAN, принимает значения [1…4094].
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL-RULE
Пример
| Блок кода |
|---|
esr(config-acl-rule)# match vlan 100 |
rule
Данная команда используется для создания правила и перехода в режим конфигурирования CONFIG-ACL-RULE. Правила обрабатываются устройством в порядке возрастания их номеров.
Использование отрицательной формы команды (no) удаляет указанное правило.
Синтаксис
[no] rule <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..4094].
Необходимый уровень привилегий
10
Командный режим
CONFIG-ACL
Пример
| Блок кода |
|---|
esr(config-acl)# rule 10 esr(config-acl-rule)# |
service-acl input
Данная команда используется для привязки указанного списка контроля доступа к конфигурируемому интерфейсу для фильтрации входящего трафика.
...
| Примечание |
|---|
Использование фильтрации пакетов при помощь ACL на физическом интерфейсе увеличивает нагрузку на CPU маршрутизатора. Для фильтрации трафика рекомендуется использовать функционал ZoneBased Firewall. |
Синтаксис
service-acl input <NAME>
no service-acl input
Параметры
<NAME> – имя списка контроля доступа, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IF-GI
CONFIG-IF-TE
CONFIG-IF-TWE
...
CONFIG-IF-HU
CONFIG-IF-PORT-CHANNEL
Пример
| Блок кода |
|---|
esr(config-if-gi)# service-acl input acl-ssh-drop |
service-acl output
Данная команда используется для привязки указанного списка контроля доступа к конфигурируемому интерфейсу для фильтрации исходящего трафика.
...
| Примечание |
|---|
Использование фильтрации пакетов при помощи ACL на физическом интерфейсе увеличивает нагрузку на CPU маршрутизатора. Для фильтрации трафика рекомендуется использовать функцию ZoneBased Firewall. |
Синтаксис
service-acl output <NAME>
no service-acl output
Параметры
<NAME> – имя списка контроля доступа, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IF-GI
CONFIG-IF-TE
CONFIG-IF-TWE
...
CONFIG-IF-HU
CONFIG-IF-PORT-CHANNEL
Пример
| Блок кода |
|---|
esr(config-if-gi)# service-acl output acl-ftp |
show ip access-list
Данная команда используется для просмотра списков управления доступом.
Синтаксис
show ip access-list [ <NAME> [ <ORDER> ] ]
Параметры
<NAME> – имя списка управления доступом, задаётся строкой до 31 символа;
<ORDER> – номер правила, принимает значения [1..4096]. При указании номера правила будет показана информация только по данному правилу.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show ip access-list
Name Description
-------------------------------- -----------------------------------------------
acl-telnet-drop --
acl-ssh-drop Drop SSH traffic
esr# show ip access-list acl-ssh-drop
Index: 1
Matching pattern:
Protocol: TCP(6)
Source MAC address: any
Source IP address: any
Source port: any
Destination MAC address: any
Destination IP address: any
Destination port: 22
Action: Deny
Status: Enabled
--------------------------------------------------------------------------------
Index: 2
Matching pattern:
Protocol: any
Source MAC address: any
Source IP address: any
Destination MAC address: any
Destination IP address: any
Action: Permit
Status: Enabled
-------------------------------------------------------------------------------- |
...