Дерево страниц

Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Необходимый уровень привилегий

10

Командный режим

CONFIG-SECURITY-ZONE-PAIR-RULE

Пример
Блок кода
esr(config-security-zone-pair-rule)# action permit

check output-interface

Данной командой разрешается очистка Firewall-сессий, в случае если выходной интерфейс изменен.

Использование отрицательной формы команды (no) удаляет назначенное действие.

Синтаксис
check output-interface
no check output-interface
Необходимый уровень привилегий

10

Командный режим

CONFIG-SECURITY-ZONE-PAIR-RULE

Пример
Блок кода
esr(config-security-zone-pair-rule)# check output-interface

clear ip firewall counters

Данной командой осуществляется сброс счетчиков правил Firewall.

Синтаксис
clear ip firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [<ORDER>] ] ]

...

<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будут очищены счетчики только по данному правилу.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример
Блок кода
esr# clear ip firewall counters trusted self

...

Данной командой осуществляется удаление активных IP-сессий.

Синтаксис
clear ip firewall sessions [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <ADDR> ] [ outiside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ]

...

outside-destination-port – ключ для указания TCP/UDP-порта назначения в отправляемых пакетах.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример
Блок кода
esr# clear ip firewall sessions vrf VRF1

...

Данной командой осуществляется сброс счетчиков правил Firewall.

Синтаксис
clear ipv6 firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [<ORDER>] ] ]

...

<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будут очищены счетчики только по данному правилу.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример
Блок кода
esr# clear ipv6 firewall counters trusted self

...

Данной командой осуществляется удаление активных IPv6-сессий.

Синтаксис
clear ipv6 firewall sessions [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <IPV6-ADDR> ] [ outiside-source-address <IPV6-ADDR> ] [ inside-destination-address <IPV6-ADDR> ] [ outside-destination-address <IPV6-ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ]

...

outside-destination-port – ключ для указания TCP/UDP-порта назначения в отправляемых пакетах.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример
Блок кода
esr# clear ipv6 firewall sessions vrf VRF1

...

Данная команда используется для изменения описания конфигурируемой зоны или пары зон безопасности. Использование отрицательной формы команды (no) удаляет установленное описание.

Синтаксис
description <DESCRIPTION>

...

<DESCRIPTION> – описание зоны безопасности, задаётся строкой до 255 символов.

Необходимый уровень привилегий

10

Командный режим

CONFIG-SECURITY-ZONE

CONFIG-SECURITY-ZONE-PAIR

CONFIG-SECURITY-ZONE-PAIR-RULE

Пример
Блок кода
esr(config-security-zone)# description "Trusted interfaces"

...

Использование отрицательной формы команды (no) деактивирует правило.

Синтаксис
[no] enable
Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

10

Командный режим

CONFIG-SECURITY-ZONE-PAIR-RULE

Пример
Блок кода
esr(config-security-zone-rule)# enable

Якорь
ip firewall disable
ip firewall disable

...

Использование отрицательной формы команды (no) включает функцию Firewall на сетевом интерфейсе.

Синтаксис
[no] ip firewall disable
Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IF-GI

CONFIG-IF-TE

CONFIG-IF-TWE

CONFIG-IF-FO

CONFIG-IF-HU

CONFIG-OOB

CONFIG-SUBIFIF-SUB

CONFIG-IF-QINQ-IF

CONFIG-SERIAL

CONFIG-IF-PORT-CHANNEL

CONFIG-BRIDGE

CONFIG-IF-E1

CONFIG-IF-MULTILINK

CONFIG-CELLULAR-MODEM

...

CONFIG-WIREGUARD-TUNNEL-PEER

Пример
Блок кода
esr(config-if-gi)# ip firewall disable

...

Использование отрицательной формы команды (no) устанавливает режим работы межсетевого экрана по умолчанию.

Синтаксис
ip firewall mode <MODE>
no ip firewall mode

...

Значение по умолчанию

stateful

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
Блок кода
esr(config-if-gi)# ip firewall mode stateless

...

Использование отрицательной формы команды (no) отключает счетчики сессий.              

Синтаксис
[no] ip firewall sessions counters

...

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
Блок кода
esr(config)# ip firewall sessions counters

...

Использование отрицательной формы команды (no) включает фильтрацию.

Синтаксис
[no] ip firewall sessions allow-unknown

...

Значение по умолчанию

Включено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
Блок кода
esr(config)# ip firewall sessions allow-unknown

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
ip firewall sessions generic-timeout <TIME>

...

Значение по умолчанию

60 секунд.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
Блок кода
esr(config)# ip firewall sessions generic-timeout 60

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
ip firewall sessions icmp-timeout <TIME>

...

Значение по умолчанию

30 секунд.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
Блок кода
esr(config)# ip firewall sessions icmp-timeout 60

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
ip firewall sessions icmpv6-timeout <TIME>

...

Значение по умолчанию

30 секунд.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
Блок кода
esr(config)# ip firewall sessions icmpv6-timeout 60

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
ip firewall sessions max-expect <COUNT>

...

<COUNT> – размер таблицы, принимает значения [1..8553600].следующие значения:

  • ESR-1511, ESR-1700, ESR-3100, ESR-3200L, ESR-3200, ESR-3300, vESR – 8553600
  • ESR-1500 – 2430000
  • ESR-1000, ESR-1200 – 3130000
  • ESR-200 – 2259000
  • ESR-100 – 1574000
    Scroll Pagebreak
  • ESR-3x – 3260000
  • ESR-2x – 2940000
  • ESR-15 – 300000
  • ESR-1x – 440000
Значение по умолчанию

256

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
Блок кода
esr(config)# ip firewall sessions max-expect 512

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Scroll Pagebreak

Синтаксис
ip firewall sessions max-tracking <COUNT>

...

<COUNT> – размер таблицы, принимает значения [1..8553600].

Значение по умолчанию

следующие значения:

  • ESR-1511, ESR-1700, ESR-3100, ESR-3200L, ESR-3200, ESR-3300, vESR – 8553600
  • ESR-1500 – 2430000
  • ESR-1000, ESR-1200 – 3130000
  • ESR-200 – 2259000
  • ESR-100 – 1574000
  • ESR-3x – 3260000
  • ESR-2x – 2940000
  • ESR-15 – 300000
  • ESR-1x – 440000
Значение по умолчанию

ESR-1x, ESR-15 – 64000

Для остальных моделей – 512000

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
Блок кода
esr(config)# ip firewall sessions max-tracking 256000

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
ip firewall sessions tcp-connect-timeout <TIME>

...

Значение по умолчанию

60 секунд.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
Блок кода
esr(config)# ip firewall sessions tcp-connect-timeout 120

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
ip firewall sessions tcp-disconnect-timeout <TIME>

...

Значение по умолчанию

30 секунд

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
Блок кода
esr(config)# ip firewall sessions tcp-disconnect-timeout 10

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
ip firewall sessions tcp-estabilished-timeout <TIME>

...

Значение по умолчанию

120 секунд.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
Блок кода
esr(config)# ip firewall sessions tcp-estabilished-timeout 3600

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
ip firewall sessions tcp-latecome-timeout <TIME>

...

Значение по умолчанию

120 секунд.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
Блок кода
esr(config)# ip firewall sessions tcp-latecome-timeout 10

...

Использование отрицательной формы команды (no) отключает функцию отслеживания сессий уровня приложений для отдельных протоколов.

Синтаксис
ip firewall sessions tracking { <PROTOCOL> |  sip [ port <OBJECT-GROUP-SERVICE> | session-lifetime <TIME> ] }
no ip firewall sessions tracking { <PROTOCOL> |  sip [ port <OBJECT-GROUP-SERVICE> ] | all }

...

Отключено для всех протоколов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
Блок кода
esr(config)# ip firewall sessions tracking ftp

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
ip firewall sessions udp-assured-timeout <TIME>

...

Значение по умолчанию

180 секунд.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример
Блок кода
esr(config)# ip firewall sessions udp-assured-timeout 3600

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис
ip firewall sessions udp-wait-timeout <TIME>

...

Значение по умолчанию

30 секунд.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
Блок кода
esr(config)# ip firewall sessions udp-wait-timeout 60

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис
match [not] application <OBJ-GROUP-APPLICATION>

...

<OBJ-GROUP-APPLICATION> – имя профиля приложений, задаётся строкой до 31 символа.

Необходимый уровень привилегий

10

Командный режим

CONFIG-SECURITY-ZONE-PAIR-RULE

Пример
Блок кода
esr(config-security-zone-pair-rule)# match application APP_DENY

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис
match [not] destination-address { address-range { <ADDR>[-<ADDR>] |

...

При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.

Значение по умолчанию

any

Необходимый уровень привилегий

10

Командный режим

CONFIG-SECURITY-ZONE-PAIR-RULE

Пример
Блок кода
esr(config-security-pair-zone-rule)# match destination-address object-group remote_workspace

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис
match [not] destination-address-port { address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } | object-group <OBJ-GROUP-ADDRESS-PORT-NAME> | any }

...

При указании значения «any» правило не будет учитывать данный способ фильтрации.

Значение по умолчанию

any

Необходимый уровень привилегий

10

Командный режим

CONFIG-SECURITY-ZONE-PAIR-RULE

Пример
Блок кода
esr(config-security-zone-pair-rule)# match destination-address object-group local

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис
match [not] destination-mac { mac <ADDR> | object-group <OBJ-GROUP-MAC-NAME> }
no match destination-mac

...

При указании значения «any» правило будет срабатывать для любого MAC-адреса получателя.

Необходимый уровень привилегий

10

Командный режим

CONFIG-SECURITY-ZONE-PAIR-RULE

Пример
Блок кода
esr(config-security-zone-pair-rule)# match destination-mac mac A8:F9:4B:AA:00:40

match destination-nat

...

При использовании параметра «not» правило будет срабатывать для трафика, не измененного сервисом трансляции IP-адресов и портов получателя. Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис
match [not] destination-nat
no match destination-nat

...

Команда не содержит параметров.

Необходимый уровень привилегий

10

Командный режим

CONFIG-SECURITY-ZONE-PAIR-RULE

Пример
Блок кода
esr(config-security-zone-pair-rule)# match destination-nat

...

Использование отрицательной формы команды (no) удаляет назначение.

Синтаксис
match [not] destination-port { port-range <PORT>[-<PORT>] | object-group <PORT-SET-NAME> | any }

...

При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.

Значение по умолчанию

any

Необходимый уровень привилегий

10

Командный режим

CONFIG-SECURITY-ZONE-PAIR-RULE

Пример
Блок кода
esr(config-security-zone-pair-rule)# match destination-port object-group ssh

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис
match [not] fragment
no match fragmen

...

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

10

Командный режим

CONFIG-SECURITY-ZONE-PAIR-RULE

Пример
Блок кода
esr(config-security-zone-pair-rule)# match fragment

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис
match [not] icmp { <ICMP_TYPE> <ICMP_CODE> | <OPTION> }

...

  • administratively-prohibited;
  • alternate-address;
  • conversion-error;
  • dod-host-prohibited;
  • dod-network-prohibited;
  • echo;
  • echo-reply;
  • host-isolated;
  • host-precedence;
  • host-redirect;
  • host-tos-redirect;
  • host-tos-unreachable;
  • host-unknown;
  • host-unreachable;
  • information-reply;
  • information-request;
  • mask-reply;
  • mask-request;
  • network-redirect;
  • network-tos-redirect;
  • network-tos-unreachable;
  • network-unknown;
  • network-unreachable;
  • option-missing;
  • packet-too-big;
  • parameter-problem;
  • port-unreachable;
  • precedence;
  • protocol-unreachable;
  • reassembly-timeout;
  • router-advertisement;
  • router-solicitation;
  • source-quench;
  • source-route-failed;
  • time-exceeded;
  • timestamp-reply;
  • timestamp-request;
  • traceroute.
Необходимый уровень привилегий

10

Командный режим

CONFIG-SECURITY-ZONE-PAIR-RULE

Пример
Блок кода
esr(config-security-zone-pair-rule)# match icmp 2 any

match ip-option

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис
match [not] ip-option
no match ip-option

...

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

10

Командный режим

CONFIG-SECURITY-ZONE-PAIR-RULE

Пример
Блок кода
esr(config-security-zone-pair-rule)# match ip-options

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис
match [not] protocol <TYPE>

...

<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].

Значение по умолчанию

any

Необходимый уровень привилегий

10

Командный режим

CONFIG-SECURITY-ZONE-PAIR-RULE

Пример
Блок кода
esr(config-security-zone-pair-rule)# match protocol udp

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис
match [not] source-address { address-range { <ADDR>[-<ADDR>] | <IPV6-ADDR>[-<IPV6-ADDR>] } | prefix { <ADDR/LEN> | <IPv6-ADDR/LEN> } | 
object-group <OBJ-GROUP-NETWORK-NAME> | any }

no match source-address

...

При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.

Значение по умолчанию

any

Необходимый уровень привилегий

10

Командный режим

CONFIG-SECURITY-ZONE-PAIR-RULE

Пример
Блок кода
esr(config-security-zone-pair-rule)# match source-address object-group remote

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис
match [not] source-address-port { address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } | 
object-group <OBJ-GROUP-ADDRESS-PORT-NAME> | any }

no match source-address-port

...

address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } – связка IP-адресов и TCP/UDP-портов; IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255], номер ; номер порта, принимает значение [1..65535]. <IPV6; <IPV6-ADDR>:<PORT> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF], ; номер порта, принимает значение [1..65535];

...

При указании значения «any» правило не будет учитывать данный способ фильтрации.

Значение по умолчанию

any

Необходимый уровень привилегий

10

Командный режим

CONFIG-SECURITY-ZONE-PAIR-RULE

Пример
Блок кода
esr(config-security-zone-pair-rule)# match source-address-port object-group admin

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис
match [not] source-mac { mac <ADDR> | object-group <OBJ-GROUP-MAC-NAME> }
no match source-mac
Параметры

mac <ADDR> – МАС-адрес отправителя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].

...

При указании значения «any» правило будет срабатывать для любого MAC-адреса источника.

Необходимый уровень привилегий

10

Командный режим

CONFIG-SECURITY-ZONE-PAIR-RULE

Пример
Блок кода
esr(config-security-zone-pair-rule)# match source-mac mac A8:F9:4B:AA:00:40

match source-port

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис
match [not] source-port { port-range <PORT>[-<PORT>] | object-group <PORT-SET-NAME> | any }

...

port-range <PORT>[-<PORT>] – address-port <PORT>[-<PORT>] – диапазон TCP/UDP-портов для правил firewall. Если не указывать TCP/UDP-порт конца диапазона, то в качестве TCP/UDP-порта для срабатывания правила используется только порт начала диапазона.

object-group <PORT-SET-NAME> – имя профиля TCP/UDP-портов, задаётся строка до 31 символа.

При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.

Необходимый уровень привилегий

10

Командный режим

CONFIG-SECURITY-ZONE-PAIR-RULE

Пример
Блок кода
esr(config-security-zone-pair-rule)# match source-port object-group telnet

...

Использование отрицательной формы команды (no) удаляет назначенное действие.

Синтаксис
[no] ports firewall enable

...

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG-BRIDGE

Пример
Блок кода
esr(config-bridge)# ports firewall enable

...

Данная команда меняет шаг между созданными правилами.

Синтаксис
rearrange <VALUE>
Параметры

<VALUE> – шаг между правилами, принимает значения [1..50].

Необходимый уровень привилегий

10

Командный режим

CONFIG-SECURITY-ZONE-PAIR

Пример
Блок кода
esr(config-security-zone-pair)# rearrange 10

renumber rule

Данная команда меняет номер правила.

Синтаксис
renumber rule <CUR_ORDER> <NEW_ORDER>

...

<NEW_ORDER> – новый номер правила, принимает значения [1..10000].

Необходимый уровень привилегий

10

Командный режим

CONFIG-SECURITY-ZONE-PAIR

Пример
Блок кода
esr(config-security-zone-pair)# renumber rule 13 100

...

Использование отрицательной формы команды (no) удаляет указанное правило.

Синтаксис
[no] rule <ORDER>
Параметры

<ORDER> – номер правила, принимает значения [1..10000]. Если при удалении используется значение параметра "all", то будут удалены все правила для конфигурируемой пары зон безопасности.

Необходимый уровень привилегий

10

Командный режим

CONFIG-SECURITY-ZONE-PAIR

Пример
Блок кода
esr(config-security-zone-pair)# rule 10
esr(config-security-zone-pair-rule)#

security zone

Данная команда используется для создания зон безопасности и перехода в режим конфигурирования зоны.

Использование отрицательной формы команды (no) удаляет заданную зону безопасности.

Синтаксис
[no] security zone [ <NAME> | all ]

...

<NAME> – имя создаваемой зоны безопасности, задаётся строкой до 12 символов. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все зоны безопасности.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
Блок кода
esr(config)# security zone trusted
esr(config-security-zone)#

security-zone

Данная команда используется для добавления выбранного сетевого интерфейса в зону безопасности. Использование отрицательной формы команды (no) удаляет интерфейс из зоны.

Синтаксис
security-zone <NAME>
no security-zone

...

<NAME> – имя зоны безопасности, задаётся строкой до 12 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IF-GI

CONFIG-IF-TE

CONFIG-IF-TWE

CONFIG-IF-FO

CONFIG-IF-HU

CONFIG-OOB

CONFIG-SUBIFIF-SUB

CONFIG-IF-QINQ-IF

CONFIG-SERIAL

CONFIG-IF-PORT-CHANNEL

CONFIG-BRIDGE

CONFIG-CELLULAR-MODEM

CONFIG-IF-E1

CONFIG-IF-MULTILINK

CONFIG-VTI

CONFIG-GRE

...

CONFIG-WIREGUARD-TUNNEL-PEER

Пример
Блок кода
esr(config-if-gi)# security-zone trusted

...

Использование отрицательной формы команды (no) удаляет указанную группу правил.

Синтаксис
[no] security zone-pair <SOURCE-ZONE> <DESTINATION-ZONE> [ vrf <VRF> ]

...

Если при удалении используется значение параметра «all», то будут удалены все конфигурируемые пары зон безопасности.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
Блок кода
esr(config)# security zone-pair trusted self
esr(config)# security zone-pair any self vrf VRF

...

Данная команда используется для просмотра статистики по пакетам, проходящим между зонами, для которых не установлена сессия.

Синтаксис
show ip firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [ <ORDER> ] ] ]

...

<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
Блок кода
esr# show ip firewall counters
trusted self
Zone-pair                        Rule         Action            Pkts         Bytes        Description
------------------------------   ----------   ---------------   ----------   ----------   --------------------
any/any                          default      deny              0            0            --
trusted/self                     1            permit            0            0            From local to router
trusted/trusted                  1            permit            0            0            --

Якорь
show ip firewall sessions
show ip firewall sessions
show ip firewall sessions

Данная команда используется для просмотра активных IP-сессий.

Синтаксис
show ip firewall sessions [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <ADDR>] [ outside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ summary ] [ configuration ] [ expected ]

...

expected – команда для отображения сессий, ожидающих обработки других сессий.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
Блок кода
esr# show ip firewall sessions
 Codes: E - expected, U - unreplied,
        A - assured, C - confirmed

Prot    Aging        Inside source           Inside destination      Outside source          Outside destination     Pkts         Bytes        Status   
-----   ----------   ---------------------   ---------------------     ---------------------   ---------------------   ----------   ---------- vrrp   4.4.4.4------   
icmp    22           10.0.22.3      224         10.0.0.1822.15              10.0.22.3              4 10.40.422.415       224.0.0.18       1            84           C        
udp     19           192.168.0.15:138        192.168.0.37:138       --  192.168.0.15:138    --    192.168.0.37:138        5            1100         UC 

show ip firewall sessions tracking

Данной командой отображается настройка функционала отслеживания сессий уровня приложений.

Синтаксис
show ip firewall sessions tracking

...

Команда не содержит параметров.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
Блок кода
esr# show ip firewall sessions tracking
Tracking Status:
    FTP:        Enabled
    H.323:      Enabled
    GRE:        Enabled
    PPTP:       Enabled
    NETBIOS-NS: Enabled
    SIP:        Enabled

...

Данная команда используется для просмотра статистики по пакетам, проходящим между зонами, для которых не установлена сессия.

Синтаксис
show ipv6 firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [ <ORDER> ] ] ]

...

<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
Блок кода
esr# show ipv6 firewall counters trusted self
Zone-pair                        Rule         Action            Pkts         Bytes        Description
------------------------------   ----------   ---------------   ----------   ----------   --------------------
any/any                          default      deny              0            0            --
trusted/self                     1            permit            0            0            From local to router
trusted/trusted                  1            permit            0            0            --

Якорь
show ipv6 firewall sessions
show ipv6 firewall sessions
show ipv6 firewall sessions

Данная команда используется для просмотра активных IPv6-сессий.

Синтаксис
show ipv6 firewall sessions [ vrf <VRF> ] [summary] [ protocol <TYPE> ] [ inside-source-address <IPV6-ADDR>] [ outiside-source-address <IPV6-ADDR> ] [ inside-destination-address <IPV6-ADDR> ] [ outside-destination-address <IPV6-ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ expected ] [ summary ] 

...

summary – выводит суммарную статистику по IPv6-сессиям.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
Блок кода
esr# show ipv6 firewall sessions
esr-15# show ipv6 firewall sessions 
 Codes: E - expected, U - unreplied,
        A - assured, C - confirmed

Prot    Aging        Inside source           Inside destination      Outside source          Outside destination     Pkts         Bytes        Status   
-----   ----------   ---------------------   ---------------------   ---------------------   ---------------------   ----------   ----------   ------   
icmp6   13           fc00::2                 fc00::21                 fc00::2                 fc00::21                 --           -- icmp6           C        
tcp     112          [fc00::2]:42156         [fc00::1]:22            [fc00::2]:42156         [fc00::1]:22            --           --     --      AC 

show security zone

Данная команда используется для просмотра интерфейсов, входящих в зону безопасности.

Синтаксис
show security zone [<NAME>]

...

<NAME> – имя зоны, задаётся строкой до 31 символа.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
Блок кода
esr# show security zone
Zone name       Interfaces
-------------   ------------------------------------------
trusted         gi1/0/2-6, bridge 1, openvpn(open_test)
untrusted       gi1/0/1, te1/0/1-2, bridge 2, pptp(p)

...

Данная команда используется для просмотра списка пар зон.

Синтаксис
show security zone-pair
Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
Блок кода
esr# show security zone-pair
From zone       To zone         VRF                                Description                                   
-------------   -------------   --------------------------------   ------------------------------------------- 
trusted         untrusted       --                                 Transit zone-pair
trusted         trusted         --                                 --
trusted         self            WAN-2                              From WAN-2
untrusted       self            WAN-1                              From WAN-1

show security zone-pair configuration

Данная команда используется для просмотра правил для пары зон безопасности.

Синтаксис
show security zone-pair configuration <SOURCE-ZONE> <DESTINATION-ZONE> [<ORDER>]

...

<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
Блок кода
esr# show security zone-pair configuration trusted self
Order:                       1
Description:                 --
Matching pattern:
    Protocol:      tcp(6)     Src-addr     icmp
    Fragment:                
    IP options:              
    Source MAC:              any
    src-portDestination MAC:         any
    Dest-addrSource address:          10.0.34.12
    Destination address:     10.0.34.90
    Destination NAT:         --
    Application:     any     dest-port   --
Action:     23 0            0    Permit
Status:                      Enabled
--------------------------------------------------------------------------------

Scroll Pagebreak