ESR-series Documentation 1.24
Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

action

Данная команда используется для указания действия, которое должно быть применено для трафика, удовлетворяющего заданным критериям.

Использование отрицательной формы команды (no) удаляет назначенное действие.

Синтаксис
action <ACT>
no action
Параметры

<ACT> – назначаемое действие:

  • permit – прохождение трафика разрешается;
  • deny – прохождение трафика запрещается.
Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-RULE

Пример
esr(config-acl-rule)# action permit

description

Данная команда используется для изменения описания конфигурируемого списка контроля доступа.

Использование отрицательной формы команды (no) удаляет установленное описание.

Синтаксис
description <DESCRIPTION>
no description
Параметры

<DESCRIPTION> – описание списка контроля доступа, задаётся строкой до 255 символов.

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL

Пример
esr(config-acl)# description "Drop SSH traffic"

enable

Данная команда используется для активирования правила.

Использование отрицательной формы команды (no) деактивирует правило.

Синтаксис
[no] enable
Параметры

Команда не содержит параметров.

Значение по умолчанию

Правило выключено.

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-RULE

Пример
esr(config-acl-rule)# enable

ip access-list extended

Данная команда используется для создания списка контроля доступа и перехода в режим конфигурирования списка.

Использование отрицательной формы команды (no) удаляет заданный список контроля доступа.

Синтаксис
[no] ip access-list extended <NAME>
Параметры

<NAME> – имя создаваемого списка контроля доступа, задаётся строкой до 31 символа.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример
esr(config)# ip access-list extended acl-ssh-drop
esr(config-acl)#

match cos

Данной командой устанавливается значение 802.1p приоритета, для которого должно срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис
match cos <COS>
no match cos
Параметры

<COS> – значение 802.1p приоритета, принимает значения [0..7].

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-RULE

Пример
esr(config-acl-rule)# match cos 2

match destination-address

Данной командой устанавливаются IP-адреса получателя, для которых должно срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис
match destination-address { <ADDR> <MASK> | any }
no match destination-address
Параметры

<ADDR> – IP-адрес получателя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<MASK> – маска IP-адреса, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Биты маски, установленные в 0, задают биты IP-адреса, исключаемые из сравнения при поиске.

При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.

Значение по умолчанию

any

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-RULE

Пример
esr(config-acl-rule)# match destination-address 10.10.10.0 255.255.255.0

match destination-mac

Данной командой устанавливаются MAC-адреса получателя, для которых должно срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис
match destination-mac <ADDR> <WILDCARD>
no match destination-mac
Параметры

<ADDR> – МАС-адрес получателя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF];

<WILDCARD> – маска МАС-адреса, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске.

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-RULE

Пример
esr(config-acl-rule)# match destination-mac A8:F9:4B:AA:00:41 00:00:00:00:00:FF

match destination-port

Данной командой устанавливается номер TCP/UDP-порта получателя, для которого должно срабатывать правило.

Использование отрицательной формы команды (no) удаляет назначение.

Синтаксис
match destination-port <TYPE> {<PORT> | <PORT>-<PORT>}
no match destination-port
Параметры

<TYPE> – принимает значения «any или «port-range»;

Можно указать один порт либо указать диапазон портов через «-»;

<PORT> – продолжение команды port-range, номер TCP/UDP-порта отправителя, принимает значения [1..65535]. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.

Значение по умолчанию

any

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-RULE

Пример
esr(config-acl-rule)# match destination-port 22

match dscp

Данной командой устанавливается значение кода DSCP, для которого должно срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис
match dscp <DSCP>
no match dscp
Параметры

<DSCP> – значение кода DSCP, принимает значения [0..63].

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-RULE

Пример
esr(config-acl-rule)# match dscp 55

match ip-precedence

Данной командой устанавливается значение кода IP Precedence, для которого должно срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис
match ip-precedence <IPP>
no match ip-precedence
Параметры

<IPP> – значение кода IP Precedence, принимает значения [0..7].

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-RULE

Пример
esr(config-acl-rule)# match ip-precedence 5

match protocol

Данной командой устанавливается имя IP-протокола, для которого должно срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис
match protocol <TYPE>
no match protocol
match protocol-id <ID>
no match protocol-id
Параметры

<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre. При указании значения «any» правило будет срабатывать для любых протоколов;

<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].

При указании значения «any» правило будет срабатывать для любого протокола.

Значение по умолчанию

any

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-RULE

Пример
esr(config-acl-rule)# match protocol tcp

match source-address

Данной командой устанавливаются IP-адреса отправителя, для которых должно срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис
match source-address { <ADDR> <MASK> | any }
no match source-address
Параметры

<ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<MASK> – маска IP-адреса, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Биты маски, установленные в 0, задают биты IP-адреса, исключаемые из сравнения при поиске.

При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.

Значение по умолчанию

any

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-RULE

Пример
esr(config-acl-rule)# match source-address 10.100.100.0 255.255.255.0

match source-mac

Данной командой устанавливаются MAC-адреса отправителя, для которых должно срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис
match source-mac <ADDR> <WILDCARD>
no match source-mac
Параметры

<ADDR> – МАС-адрес отправителя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF];

<WILDCARD> – маска МАС-адреса, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске.

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-RULE

Пример
esr(config-acl-rule)# match source-mac A8:F9:4B:AA:00:40 00:00:00:FF:FF:FF

match source-port

Данной командой устанавливается номер TCP/UDP-порта отправителя, для которого должно срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис
match source-port <TYPE> { <PORT> | <PORT>-<PORT> }
no match source-port
Параметры

<TYPE> – принимает значения «any» или «port-range»;

Можно указать один порт либо указать диапазон портов через «-»;

<PORT> – Продолжение команды port-range, номер TCP/UDP-порта отправителя, принимает значения [1..65535]. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.

Значение по умолчанию

any

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-RULE

Пример
esr(config-acl-rule)# match source-port any

match vlan

Данной командой устанавливается значение идентификационного номера VLAN, для которого должно срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис
match vlan <VID>
no match vlan
Параметры

<VID> – идентификационный номер VLAN, принимает значения [1…4094].

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-RULE

Пример
esr(config-acl-rule)# match vlan 100

rule

Данная команда используется для создания правила и перехода в режим конфигурирования CONFIG-ACL-RULE. Правила обрабатываются устройством в порядке возрастания их номеров.

Использование отрицательной формы команды (no) удаляет указанное правило.

Синтаксис
[no] rule <ORDER>
Параметры

<ORDER> – номер правила, принимает значения [1..4094].

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL

Пример
esr(config-acl)# rule 10
esr(config-acl-rule)#

service-acl input

Данная команда используется для привязки указанного списка контроля доступа к конфигурируемому интерфейсу для фильтрации входящего трафика.

Использование отрицательной формы команды (no) удаляет привязку списка контроля доступа к данному интерфейсу.

Использование фильтрации пакетов при помощь ACL на физическом интерфейсе увеличивает нагрузку на CPU маршрутизатора.

Для фильтрации трафика рекомендуется использовать функционал ZoneBased Firewall.

Синтаксис
service-acl input <NAME>
no service-acl input
Параметры

<NAME> – имя списка контроля доступа, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IF-GI

CONFIG-IF-TE

CONFIG-IF-TWE

CONFIG-IF-FO

CONFIG-IF-HU

CONFIG-IF-PORT-CHANNEL

Пример
esr(config-if-gi)# service-acl input acl-ssh-drop

show ip access-list

Данная команда используется для просмотра списков управления доступом.

Синтаксис
show ip access-list [ <NAME> [ <ORDER> ] ]
Параметры

<NAME> – имя списка управления доступом, задаётся строкой до 31 символа;

<ORDER> – номер правила, принимает значения [1..4096]. При указании номера правила будет показана информация только по данному правилу.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример
esr# show ip access-list
Name                               Description
--------------------------------   -----------------------------------------------
acl-telnet-drop                    --
acl-ssh-drop                       Drop SSH traffic
esr# show ip access-list acl-ssh-drop
Index:                        1
Matching pattern:
    Protocol:                 TCP(6)
    Source MAC address:       any
    Source IP address:        any
    Source port:              any
    Destination MAC address:  any
    Destination IP address:   any
    Destination port:         22
Action:                       Deny
Status:                       Enabled
--------------------------------------------------------------------------------
Index:                        2
Matching pattern:
    Protocol:                 any
    Source MAC address:       any
    Source IP address:        any
    Destination MAC address:  any
    Destination IP address:   any
Action:                       Permit
Status:                       Enabled
--------------------------------------------------------------------------------

  • Нет меток