...
CONFIG-OPENVPN
CONFIG-WIREGUARD-SERVER
CONFIG-WIREGUARD-TUNNEL-PEER
Пример
| Блок кода |
|---|
esr(config-if-gi)# ip firewall disable |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
| Scroll Pagebreak |
|---|
Синтаксис
ip firewall sessions max-tracking <COUNT>
...
ip firewall sessions tracking { <PROTOCOL> | sip [ port <OBJECT-GROUP-SERVICE> | session-lifetime <TIME> ] }
no ip firewall sessions tracking { <PROTOCOL> | sip [ port <OBJECT-GROUP-SERVICE> ] | all }...
Вместо имени отдельного протокола можно использовать ключ "all", который включает функцию отслеживания сессий уровня приложений для всех доступных протоколов.
<TIME> – время жизни отслеживаемой SIP-сессии, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий. Принимает значения в секундах [1..8553600].
Значение по умолчанию
Отключено для всех протоколов.
...
no match destination-address
Параметры
address-range <ADDR>[-<ADDR>] – диапазон IP-адресов для правил firewall. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для срабатывания правила используется только IP-адрес начала диапазона.
Параметр задаётся в виде A.B.C.D, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6ADDR> – IPv6-адрес, задаётся в виде Xвиде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
prefix <ADDR/LEN> – IP-подсеть, используемая для срабатывания правила фильтрации firewall. Параметр задаётся в виде A.B.C.D/E, где каждая часть A – D принимает значения [0..255] и E принимает значения [1..32]; <IPv6-ADDR/LEN> – IPv6LEN> – IPv6-адрес, задаётся в виде Xвиде X:X:X:X::X/E, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и E принимает значения [1..128];
object-group <OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
При указании значения «any» «any» правило будет срабатывать для любого IP-адреса получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
...
[no] security zone-pair <SOURCE-ZONE> <DESTINATION-ZONE> [ vrf <VRF> ]Параметры
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик. Допустимые варианты зон:
- Пользовательская - созданная пользователем;
- any - служебная зона, характеризующая любые зоны;
<DESTINATION-ZONE> – зона безопасности, в которую поступает трафик. На маршрутизаторе всегда существует зона безопасности с именем «self». Если в качестве получателя трафика выступает сам маршрутизатор, то есть трафик не является транзитным, то в качестве параметра указывается зона «self». , созданная пользователем. Допустимые варианты зон:
- Пользовательская - созданная пользователем;
- any - служебная зона, описывающая любые зоны;
- self - служебная зона, описывающая трафик, предназначенный самому маршрутизатору (трафик не является транзитным);
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. Данный параметр возможно использовать только для пар зон "any"-"any" и "any"-"self";
Если при удалении используется значение параметра «all», то будут удалены все конфигурируемые пары зон безопасности.
...
| Блок кода |
|---|
esr(config)# security zone-pair trusted self
esr(config)# security zone-pair any self vrf VRF |
| Якорь | ||||
|---|---|---|---|---|
|
...