ESR-series Documentation 1.23
Дерево страниц

Сравнение версий

Старая версия 6

changes.mady.by.user Сервисный центр Ethernet

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Предупреждение

Функционал session-limit доступен только на моделях ESR-30, ESR-31, ESR-3100, ESR-3200, ESR-3200L, ESR-3300.

Значение по умолчанию

Действие не настроено, логирование отключено.

...

<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут очищены счетчики правил в указанном VRF.;

<SOURCE-ZONE> – зона безопасности, из которой поступает трафик.;

<DESTINATION-ZONE> – зона безопасности, в которую поступает трафик.;

<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будут очищены счетчики только по данному правилу.

...

<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут удалены активные сессии в указанном VRF.;

<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre.;

<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].;

<PORT> – TCP/UDP-порт, принимает значения [1..65535];

inside-source-address – команда для указания IPv6-адреса источника приходящих пакетов.;

inside-destination-address – команда для указания IPv6-адреса назначения приходящих пакетов.;

outiside-source-address – команда для указания IPv6-адреса источника отправляемых пакетов.;

outside-destination-address – команда для указания IPv6-адреса назначения отправляемых пакетов;

...

Командный режим

CONFIG-GI

CONFIG-TE

CONFIG-TWE

CONFIG-FO

CONFIG-OOB

CONFIG-SUBIF

CONFIG-QINQ-IF

CONFIG-SERIAL

...

CONFIG-PPTP

CONFIG-OPENVPN

CONFIG-WIREGUARD-SERVER

CONFIG-WIREGUARD-TUNNEL-PEER

Пример
Блок кода
esr(config-if-gi)# ip firewall disable

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Scroll Pagebreak

Синтаксис
ip firewall sessions max-tracking <COUNT>

...

<TIME> – время жизни TCP-сессии в состоянии "соединение устанавливается"«соединение устанавливается», принимает значения в секундах [1..8553600].

...

Данной командой определяется время жизни TCP-сессии в состоянии "соединение закрывается"«соединение закрывается», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.

...

<TIME> – время жизни TCP-сессии в состоянии "соединение закрывается"«соединение закрывается», принимает значения в секундах [1..8553600].

...

Данной командой определяется время жизни TCP-сессии в состоянии "соединение установлено"«соединение установлено», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.

...

<TIME> – время жизни TCP-сессии в состоянии "соединение установлено"«соединение установлено», принимает значения в секундах [1..8553600].

...

ip firewall sessions tracking { <PROTOCOL> |  sip [ port <OBJECT-GROUP-SERVICE> | session-lifetime <TIME> ] }
no ip firewall sessions tracking { <PROTOCOL> |  sip [ port <OBJECT-GROUP-SERVICE> ] | all }

...

<PROTOCOL> – протокол уровня приложений, сессии которого должны отслеживаться, принимает значения [ftp, h323, pptp, netbios-ns].;

<OBJECT-GROUP-SERVICE> – имя профиля TCP/UDP-портов sipSIP-сессии, задаётся строкой до 31 символа. Если группа не указана, то отслеживание сессий sip будет SIP будет осуществляться для порта 5060.;

Вместо имени отдельного протокола можно использовать ключ "all", который включает функцию отслеживания сессий уровня приложений для всех доступных протоколов.

<TIME> – время жизни отслеживаемой SIP-сессии, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий. Принимает значения  в секундах [1..8553600].

Значение по умолчанию

Отключено для всех протоколов.

...

Данной командой определяется время жизни UDP-сессии в состоянии "соединение подтверждено"«соединение подтверждено», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.

...

<TIME> – время жизни UDP-сессии в состоянии "соединение подтверждено "«соединение подтверждено», принимает значения в секундах [1..8553600].

...

no match destination-address
Параметры

address-range <ADDR>[-<ADDR>] – диапазон IP-адресов для правил firewall. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для срабатывания правила используется только IP-адрес начала диапазона.
Параметр задаётся в виде A.B.C.D, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6ADDR> – IPv6-адрес, задаётся в виде Xвиде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];

prefix <ADDR/LEN> – IP-подсеть, используемая для срабатывания правила фильтрации firewall. Параметр задаётся в виде A.B.C.D/E, где каждая часть A – D принимает значения [0..255] и E принимает значения [1..32]; <IPv6-ADDR/LEN> – IPv6LEN> – IPv6-адрес, задаётся в виде Xвиде X:X:X:X::X/E, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и E принимает значения [1..128];

object-group <OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.

При указании значения «any» «any» правило будет срабатывать для любого IP-адреса получателя.

Значение по умолчанию

any

Необходимый уровень привилегий

...

match [not] destination-address-port { address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } | object-group <OBJ-GROUP-ADDRESS-PORT-NAME> | any }
no match destination-address
Параметры

address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } – связка IP-адресов и TCP/UDP-портов.  IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255], номер порта, принимает значение [1..65535]. <IPV6-ADDR>:<PORT> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF], номер порта, принимает значение [1..65535];

object-group <OBJ-GROUP-ADDRESS-PORT-NAME> – имя профиля связок IP-адресов и TCP/UDP-портов, задаётся строкой до 31 символа.

При указании значения «any» правило не будет учитывать данный способ фильтрации.

...

Блок кода
esr(config-zone-rule)# match destination-address object-group local

match destination-mac

...

match [not] destination-port { port-range <PORT>[-<PORT>] | object-group <PORT-SET-NAME> | any }
no match destination-port
Параметры

port-range <PORT>[-<PORT>] – address-port <PORT>[-<PORT>] – диапазон TCP/UDP-портов для правил firewall. Если не указывать TCP/UDP-порт конца диапазона, то в качестве TCP/UDP-порта для срабатывания правила используется только порт начала диапазона.

<PORT-SET-NAME> – имя профиля TCP/UDP-портов, задаётся строка до 31 символа.

При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.

...

Блок кода
esr(config-zone-rule)# match destination-port object-group ssh

match fragment

Данной командой определяются фрагментированные пакеты, направленные на устройство. Команда применима только в правилах между зонами any self. Под действие правила попадают второй и последующие фрагменты пакета. Обработка пакетов этим правилом происходит до трансляции адресов DNAT.

...

<ICMP_CODE> – код сообщения протокола ICMP, принимает значения [0..255]. При указании значения «any» правило будет срабатывать для любого кода сообщения протокола ICMP;

<OPTION> – стандартные типы ICMP-сообщений, могут принимать значения:

...

match [not] source-address { address-range { <ADDR>[-<ADDR>] | <IPV6-ADDR>[-<IPV6-ADDR>] } | prefix { <ADDR/LEN> | <IPv6-ADDR/LEN> } | 
object-group <OBJ-GROUP-NETWORK-NAME> | any }

no match source-address <OBJ-GROUP-NETWORK-NAME>
Параметры

<OBJ-GROUP-NETWORK-NAME> address-range <ADDR>[-<ADDR>] – диапазон IP-адресов для правил firewall. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для срабатывания правила используется только IP-адрес начала диапазона.
Параметр задаётся в виде A.B.C.D, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];

prefix <ADDR/LEN> – IP-подсеть, используемая для срабатывания правила фильтрации firewall. Параметр задаётся в виде A.B.C.D/E, где каждая часть A – D принимает значения [0..255] и E принимает значения [1..32]; <IPv6-ADDR/LEN> – IPv6-адрес, задаётся в виде X:X:X:X::X/E, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и E принимает значения [1..128];

object-group <OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.

При указании значения «any» «any» правило будет срабатывать для любого IP-адреса отправителяполучателя.

Значение по умолчанию

any

...

Блок кода
esr(config-zone-rule)# match source-address object-group remote

match source-address-port

...

match [not] source-address-port { address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } | 
object-group <OBJ-GROUP-ADDRESS-PORT-NAME> | any }

no match source-address-port <OBJ-GROUP-ADDRESS-PORT-NAME>
Параметры

<OBJ-address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } – связка IP-адресов и TCP/UDP-портов.  IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255], номер порта, принимает значение [1..65535]. <IPV6-ADDR>:<PORT> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF], номер порта, принимает значение [1..65535];

object-group <OBJ-GROUP-ADDRESS-PORT-NAME> NAME> – имя профиля связок IP-адресов и TCP/UDP-портов, задаётся строкой до 31 символа.

При указании значения «any» «any» правило не будет учитывать данный способ фильтрации.

...

Блок кода
esr(config-zone-rule)# match source-address-port object-group admin

match source-mac

Данной командой устанавливается MAC-адрес отправителя, для которого должно срабатывать правило.

...

Синтаксис
match [not] source-port { port-range <PORT>[-<PORT>] | object-group <PORT-SET-NAME> | any }
no match source-port
Параметры

port-range <PORT>[-<PORT>] – address-port <PORT>[-<PORT>] – диапазон TCP/UDP-портов для правил firewall. Если не указывать TCP/UDP-порт конца диапазона, то в качестве TCP/UDP-порта для срабатывания правила используется только порт начала диапазона.

<PORT-SET-NAME> – имя профиля TCP/UDP-портов, задаётся строкой строка до 31 символа.

При указании значения «any» «any» правило будет срабатывать для любого TCP/UDP-порта отправителяполучателя.

Необходимый уровень привилегий

...

Блок кода
esr(config-zone-rule)# match source-port object-group telnet

ports firewall enable

...

Командный режим

CONFIG-GI

CONFIG-TE

CONFIG-TWE

CONFIG-FO

CONFIG-OOB

CONFIG-SUBIF

CONFIG-QINQ-IF

CONFIG-SERIAL

...

CONFIG-OPENVPN-SERVER

CONFIG-PPTP-SERVER

CONFIG-WIREGUARD-SERVER

CONFIG-WIREGUARD-TUNNEL-PEER

Пример
Блок кода
esr(config-if-gi)# security-zone trusted

...

[no] security zone-pair <SOURCE-ZONE> <DESTINATION-ZONE> [ vrf <VRF> ]
Параметры

<SOURCE-ZONE> – зона безопасности, из которой поступает трафик. Допустимые варианты зон:

  • Пользовательская - созданная пользователем;
  • any - служебная зона, характеризующая любые зоны;

<DESTINATION-ZONE> – зона безопасности, в которую поступает трафик. На маршрутизаторе всегда существует зона безопасности с именем «self». Если в качестве получателя трафика выступает сам маршрутизатор, то есть трафик не является транзитным, то в качестве параметра указывается зона «self». , созданная пользователем. Допустимые варианты зон:

  • Пользовательская - созданная пользователем;
  • any - служебная зона, описывающая любые зоны;
  • self - служебная зона, описывающая трафик, предназначенный самому маршрутизатору (трафик не является транзитным);

<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. Данный параметр возможно использовать только для пар зон "any"-"any" и "any"-"self";

Если при удалении используется значение параметра «all», то будут удалены все конфигурируемые пары зон безопасности.

...

Блок кода
esr(config)# security zone-pair trusted self
esr(config)# security zone-pair any self vrf VRF

Якорь
show ip firewall counters
show ip firewall counters
show ip firewall counters

...

Блок кода
esr# show security zone
Zone name       Interfaces
-------------   ------------------------------------------
trusted         gi1/0/2-6, gi1/0/8-24, bridge 1, openvpn(open_test)
untrusted       gi1/0/1, te1/0/1-2, bridge 2, pptp(p)

show security zone-pair

Данная команда используется для просмотра списка пар зон.

...