...
action <ACT>
no action
Параметры
<ACT> – — назначаемое действие:
- permit – — прохождение трафика разрешается;
- deny – — прохождение трафика запрещается.
...
CONFIG-ACL-IP-RULE
CONFIG-ACL-MAC-RULE
Пример
| Блок кода |
|---|
esrscs(config-acl-ip-rule)# action permit |
...
no description
Параметры
<DESCRIPTION> – — описание списка контроля доступа, задаётся задается строкой до 255 символов.
Необходимый уровень привилегий
...
CONFIG-ACL-IP
CONFIG-ACL-MAC
Пример
| Блок кода |
|---|
esrscs(config-acl-ip)# description "Drop SSH traffic" |
...
CONFIG-ACL-IP-RULE
CONFIG-ACL-MAC-RULE
Пример
| Блок кода |
|---|
esrscs(config-acl-ip-rule)# enable |
...
[no] ip access-list extended <NAME>
Параметры
<NAME> – — имя создаваемого списка контроля доступа, задаётся задается строкой до 31 символа.
Необходимый уровень привилегий
...
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esrscs(config)# ip access-list extended acl-ssh-drop esr(config-acl-ip)# |
mac access-list extended
Данная команда используется для создания MAC списка контроля доступа и перехода в режим конфигурирования списка.
...
[no] mac access-list extended <NAME>
Параметры
<NAME> – — имя создаваемого списка контроля доступа, задаётся задается строкой до 31 символа.
Необходимый уровень привилегий
...
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esrscs(config)# mac access-list extended acl-arp-drop esr(config-acl-mac)# |
match cos
Данной командой устанавливается значение 802.1p приоритета, для которого должно срабатывать правило.
...
no match cos
Параметры
<COS> – — значение 802.1p приоритета, принимает значения [0..7].
...
CONFIG-ACL-IP-RULE
CONFIG-ACL-MAC-RULE
Пример
| Блок кода |
|---|
esrscs(config-acl-mac-rule)# match cos 2 |
...
no match destination-address
Параметры
<ADDR> – — IP-адрес получателя, задаётся задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<MASK> – — маска IP-адреса, задаётся задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Биты маски, установленные в 0, задают биты IP-адреса, исключаемые из сравнения при поиске.
...
CONFIG-ACL-IP-RULE
Пример
| Блок кода |
|---|
esrscs(config-acl-ip-rule)# match destination-address 10.10.10.0 255.255.255.0 |
...
no match destination-mac
Параметры
<ADDR> – — МАС-адрес получателя, задаётся задается в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF];
<WILDCARD> – — маска МАС-адреса, задаётся задается в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске.
...
CONFIG-ACL-IP-RULE
CONFIG-ACL-MAC-RULE
Пример
| Блок кода |
|---|
esrscs(config-acl-mac-rule)# match destination-mac A8:F9:4B:AA:00:41 00:00:00:00:00:FF |
...
no match destination-port
Параметры
<TYPE> – — принимает значения «any или «port-range»;
Можно указать один порт либо указать диапазон портов через «-»;
<PORT> – — продолжение команды port-range, номер TCP/UDP-порта отправителя, принимает значения [1..65535]. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.
...
CONFIG-ACL-IP-RULE
Пример
| Блок кода |
|---|
esrscs(config-acl-ip-rule)# match destination-port port-range 22 |
...
no match dscp
Параметры
<DSCP> – — значение кода DSCP, принимает значения [0..63].
...
CONFIG-ACL-IP-RULE
Пример
| Блок кода |
|---|
esrscs(config-acl-ip-rule)# match dscp 55 |
...
no match ethertype
Параметры
<ID> – — идентификационный номер инкапсулированного протокола, принимает значения [0x0600..0xFFFF].
...
CONFIG-ACL-MAC-RULE
Пример
| Блок кода |
|---|
esrscs(config-acl-mac-rule)# match ethertype 0806 |
...
no match ip-precedence
Параметры
<IPP> – — значение кода IP Precedence, принимает значения [0..7].
...
CONFIG-ACL-IP-RULE
Пример
| Блок кода |
|---|
esrscs(config-acl-ip-rule)# match ip-precedence 5 |
...
match protocol-id <ID>
no match protocol-id
| Scroll Pagebreak |
|---|
Параметры
<TYPE> – — тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre для IP ACL и arp, ip, ipv6, lacp, lldp, cdp, stp, vtp для MAC ACL. При указании значения «any» правило будет срабатывать для любых протоколов;
<ID> – — идентификационный номер IP-протокола, принимает значения [0x00-0xFF].
...
CONFIG-ACL-IP-RULE
CONFIG-ACL-MAC-RULE
Пример
| Блок кода |
|---|
esrscs(config-acl-ip-rule)# match protocol tcp |
...
no match source-address
Параметры
<ADDR> – — IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<MASK> – — маска IP-адреса, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Биты маски, установленные в 0, задают биты IP-адреса, исключаемые из сравнения при поиске.
...
CONFIG-ACL-IP-RULE
Пример
| Блок кода |
|---|
esrscs(config-acl-ip-rule)# match source-address 10.100.100.0 255.255.255.0 |
...
no match source-mac
Параметры
<ADDR> – — МАС-адрес отправителя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF];
<WILDCARD> – — маска МАС-адреса, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске.
...
CONFIG-ACL-IP-RULE
CONFIG-ACL-MAC-RULE
Пример
| Блок кода |
|---|
esrscs(config-acl-mac-rule)# match source-mac A8:F9:4B:AA:00:40 00:00:00:FF:FF:FF |
...
Использование отрицательной формы команды (no) отменяет назначение.
| Scroll Pagebreak |
|---|
Синтаксис
match source-port <TYPE> { <PORT> | <PORT>-<PORT> }no match source-port
Параметры
<TYPE> – — принимает значения «any» или «port-range»;
Можно указать один порт либо указать диапазон портов через «-»;
<PORT> – — Продолжение команды port-range, номер TCP/UDP-порта отправителя, принимает значения [1..65535]. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.
...
CONFIG-ACL-IP-RULE
Пример
| Блок кода |
|---|
esrscs(config-acl-ip-rule)# match source-port any |
...
no match vlan
Параметры
<VID> – — идентификационный номер VLAN, принимает значения [1…4094].
...
CONFIG-ACL-IP-RULE
CONFIG-ACL-MAC-RULE
Пример
| Блок кода |
|---|
esrscs(config-acl-mac-rule)# match vlan 100 |
...
[no] rule <ORDER>
Параметры
<ORDER> – — номер правила, принимает значения [1..4094].
...
CONFIG-ACL-IP
CONFIG-ACL-MAC
Пример
| Блок кода |
|---|
esrscs(config-acl-ip)# rule 10 esr(config |
service-acl
...
service-acl ip inputip input
Данная команда используется для привязки указанного списка контроля доступа к конфигурируемому интерфейсу для фильтрации входящего трафика.
Использование отрицательной формы команды (no) удаляет привязку списка контроля доступа к данному интерфейсу.
| Примечание |
|---|
Использование фильтрации пакетов при помощь ACL на физическом интерфейсе увеличивает нагрузку на CPU маршрутизатора. Для фильтрации трафика рекомендуется использовать функционал ZoneBased Firewall. |
Синтаксис
service-acl ip input <NAME>
no service-acl ip input
Параметры
<NAME> – — имя списка контроля доступа, задаётся задается строкой до 31 символа.
Необходимый уровень привилегий
...
Командный режим
CONFIG-IF-GI
CONFIG-IF-TE
CONFIG-IF-TWE
CONFIG-IF-FO
CONFIG-IF-HUCONFIG-IF-PORT-CHANNEL
Пример
| Блок кода |
|---|
esrscs(config-if-gi)# service-acl ip input acl-ssh-drop |
...
no service-acl output
Параметры
<NAME> – — имя списка контроля доступа, задаётся задается строкой до 31 символа.
Необходимый уровень привилегий
...
CONFIG-IF-GI
CONFIG-IF-TE
CONFIG-IF-TWE
CONFIG-IF-FO
CONFIG-IF-HU
CONFIG-IF-PORT--PORT-CHANNEL
Пример
| Блок кода |
|---|
esrscs(config-if-gi)# service-acl ip output acl-ftp |
...
Использование отрицательной формы команды (no) удаляет привязку списка контроля доступа к данному интерфейсу.
...
...
Использование фильтрации пакетов при помощь ACL на физическом интерфейсе увеличивает нагрузку на CPU маршрутизатора.
Для фильтрации трафика рекомендуется использовать функционал ZoneBased Firewall.
Синтаксис
service-acl mac input <NAME>
no service-acl mac input
Параметры
<NAME> – — имя списка контроля доступа, задаётся задается строкой до 31 символа.
Необходимый уровень привилегий
...
CONFIG-IF-GI
CONFIG-IF-TE
CONFIG-IF-TWE
CONFIG-IF-FO
CONFIG-IF-HU
CONFIG-IF-PORT-CHANNEL
Пример
| Блок кода |
|---|
esrscs(config-if-gi)# service-acl mac input acl-arp-drop |
...
Использование отрицательной формы команды (no) удаляет привязку списка контроля доступа к данному интерфейсу.
| Примечание |
|---|
Использование фильтрации пакетов при помощи ACL на физическом интерфейсе увеличивает нагрузку на CPU маршрутизатора. Для фильтрации трафика рекомендуется использовать функцию ZoneBased Firewall. |
no) удаляет привязку списка контроля доступа к данному интерфейсу.
Синтаксис
service-acl mac output <NAME>
no service-acl mac output
Параметры
<NAME> – — имя списка контроля доступа, задаётся задается строкой до 31 символа.
Необходимый уровень привилегий
...
CONFIG-IF-GI
CONFIG-IF-TE
CONFIG-IF-TWE
CONFIG-IF-FO
CONFIG-IF-HU
CONFIG-IF-PORT-CHANNEL
Пример
| Блок кода |
|---|
esrscs(config-if-gi)# service-acl mac output acl-ftp |
...
show ip access-list [ <NAME> [ <ORDER> ] ]
Параметры
<NAME> – — имя списка управления доступом, задаётся задается строкой до 31 символа;
<ORDER> – — номер правила, принимает значения [1..4096]. При указании номера правила будет показана информация только по данному правилу.
...
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr#scs# show ip access-list Name Description -------------------------------- ----------------------------------------------- acl-telnet-drop -- acl-ssh-drop Drop SSH traffic esr#scs# show ip access-list acl-ssh-drop Index: 1 Matching pattern: Protocol: TCP(6) Source MAC address: any Source IP address: any Source port: any Destination MAC address: any Destination IP address: any Destination port: 22 Action: Deny Status: Enabled -------------------------------------------------------------------------------- Index: 2 Matching pattern: Protocol: any Source MAC address: any Source IP address: any Destination MAC address: any Destination IP address: any Action: Permit Status: Enabled -------------------------------------------------------------------------------- |
| Scroll Pagebreak |
|---|
show mac access-list
Данная команда используется для просмотра списков управления доступом.
...
show mac access-list [ <NAME> [ <ORDER> ] ]
Параметры
<NAME> – — имя списка управления доступом, задаётся задается строкой до 31 символа;
<ORDER> – — номер правила, принимает значения [1..4096]. При указании номера правила будет показана информация только по данному правилу.
...
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr#scs# show mac access-list Name Description -------------------------------- ------------------------------------------------ acl Drop arp traffic in 343 vlan esr#scs# show mac access-list acl-arp-drop Index: 10 Matching pattern: Protocol: arp Source MAC address: any Destination MAC address: any VLAN: 343 Action: Permit Status: Enabled -------------------------------------------------------------------------------- |