slot <SLOT> access-list mode
Командой устанавливается режим работы ACL для линейных плат.
Фильтрация осуществляется для принимаемого трафика для указанного интерфейса.
Синтаксис
slot <SLOT> access-list mode <MODE>
Параметры
<SLOT> – номер модуля PLC8, принимает значения (0..15). Можно указать список номеров через «,» или указать диапазон через «-»;
<MODE> – тип списка фильтрации:
- whitelist – пакеты, которые соответствуют правилам списка ACL, передаются;
- blacklist – пакеты, которые соответствуют правилам списка ACL, отбрасываются.
Командный режим
CONFIG
Пример
ma4000(config)# slot 13 access-list mode whitelist
slot <SLOT> access-list create
Командой создается новый список ACL для линейных плат PLC.
Синтаксис
slot <SLOT> access-list create <NAME>
Параметры
<SLOT> – номер модуля PLC8, принимает значения (0..15). Можно указать список номеров через «,» или указать диапазон через «-»;
<NAME> – имя списка ACL, задается строка длиной до 32 символов.
Командный режим
CONFIG
Пример
ma4000(config)# slot 13 access-list create test
slot <SLOT> access-list delete
Командой удаляется список ACL по его имени.
Синтаксис
slot <SLOT> access-list delete <NAME>
Параметры
<SLOT> – номер модуля PLC8, принимает значения (0..15). Можно указать список номеров через «,» или указать диапазон через «-»;
<NAME> – имя списка ACL, задается строка длиной до 32 символов.
Командный режим
CONFIG
Пример
ma4000(config)# slot 13 access-list delete test
slot <SLOT> access-list bind
Командой назначается список ACL определенным интерфейсам.
Синтаксис
slot <SLOT> access-list bind <INTERFACE> <RANGE> <NAME>
Параметры
<SLOT> – номер модуля PLC8, принимает значения (0..15). Можно указать список номеров через «,» или указать диапазон через «-»;
<INTERFACE> – тип интерфейса: plc-front-port; plc-pon-port; plc-slot-channel. Описание интерфейсов приведено в таблице 4.1;
<RANGE> – номер интерфейса. Диапазон значений и правила нумерации описаны в таблице 4.1;
<NAME> – имя списка ACL, задается строка до 32 символов.
Командный режим
CONFIG
Пример
ma4000(config)# slot 13 access-list bind plc-front-port 0/0 test
slot <SLOT> access-list unbind
Командой удаляется соответствие списка ACL с определенными интерфейсами.
Синтаксис
slot <SLOT> access-list unbind <INTERFACE> <RANGE> <NAME>
Параметры
<SLOT> – номер модуля PLC8, принимает значения (0..15). Можно указать список номеров через «,» или указать диапазон через «-»;
<INTERFACE> – тип интерфейса: plc-front-port; plc-pon-port; plc-slot-channel. Описание интерфейсов приведено в таблице 4.1;
<RANGE> – номер интерфейса. Диапазон значений и правила нумерации описаны в таблице 4.1;
<NAME> – имя списка ACL, задается строка до 32 символов.
Командный режим
CONFIG
Пример
ma4000(config)# slot 13 access-list unbind plc-front-port 0/0
slot <SLOT> access-list filter
Командой для определенного списка ACL устанавливается (add) или удаляется (del) правило фильтрации пакетов по одному из параметров.
Синтаксис
slot <SLOT> access-list [add|del] <TYPE> <VALUE> <NAME>
Параметры
<SLOT> – номер модуля PLC8, принимает значения (0..15). Можно указать список номеров через «,» или указать диапазон через «-»;
<TYPE> – способ фильтрации:
- mac-sa – отбор пакетов осуществляется по MAC-адресу отправителя, MAC-адрес задается в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значение 00-FF;
- mac-da – отбор пакетов осуществляется по MAC-адресу получателя, MAC-адрес задается в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значение 00-FF;
- l2-protocol – отбор пакетов осуществляется по ethertype, задается в формате 0xXXXX;
- ip-protocol – отбор пакетов осуществляется по протоколу IPV4/IPV6 на уровне L4, задается в формате 0xXX;
- ip-sa – отбор пакетов осуществляется по IP-адресу отправителя, IP-адрес задается в виде AAA.BBB.CCC.DDD,где каждая часть принимает значения 0-255;
- ip-da – отбор пакетов осуществляется по IP-адресу получателя, IP-адрес задается в виде AAA.BBB.CCC.DDD,где каждая часть принимает значения 0-255;
- ipv6-sa – отбор пакетов осуществляется по IP-адресу отправителя, IP-адрес задается в виде XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX,где каждая часть принимает значения 0-FFFF;
- ipv6-da – отбор пакетов осуществляется по IP-адресу получателя, IP-адрес задается в виде XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX,где каждая часть принимает значения 0-FFFF;
- tcp-sport – отбор пакетов осуществляется по номеру TCP-порта отправителя, порт задается в формате 0xXXXX;
- tcp-dport – отбор пакетов осуществляется по номеру TCP-порта получателя, порт задается в формате 0xXXXX;
- udp-sport – отбор пакетов осуществляется по номеру UDP-порта отправителя, порт задается в формате 0xXXXX;
- udp-dport – отбор пакетов осуществляется по номеру UDP-порта получателя, порт задается в формате 0xXXXX.
<VALUE> – значение фильтра;
<NAME> – имя фильтра.
Командный режим
CONFIG
Пример
ma4000(config)# slot 13 access-list filter add ip-sa 192.168.2.2 test
show slot <SLOT> access-list
Данная команда служит для просмотра списков контроля доступа на линейной плате PLC8.
Синтаксис
show slot <SLOT> access-list
Параметры
<SLOT> – номер модуля PLC8, принимает значения (0..15). Можно указать список номеров через «,» или указать диапазон через «-».
Командный режим
ROOT
Пример
ma4000# show slot 6 access-list Global mode: blacklist