Данная команда используется для указания действия, которое должно быть применено для трафика, удовлетворяющего заданным критериям.
Использование отрицательной формы команды (no) удаляет назначенное действие.
action <ACT> [log]
no action
<ACT> – назначаемое действие:
Действие не настроено, логирование отключено.
10
CONFIG-ZONE-PAIR-RULE
esr(config-zone-rule)# action permit |
Данной командой осуществляется сброс счетчиков правил Firewall.
clear ip firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [<ORDER>] ] ]
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут очищены счетчики правил в указанном VRF;
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик;
<DESTINATION-ZONE> – зона безопасности, в которую поступает трафик;
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будут очищены счетчики только по данному правилу.
10
ROOT
esr# clear ip firewall counters trusted self |
Данной командой осуществляется удаление активных IP-сессий.
clear ip firewall sessions [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <ADDR> ] [ outiside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ]
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут удалены активные сессии в указанном VRF;
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<PORT> – TCP/UDP порт, принимает значения [1..65535];
inside-source-address – ключ для указания IP-адреса источника, приходящих пакетов;
inside-destination-address – ключ для указания IP-адреса назначения, приходящих пакетов;
outiside-source-address – ключ для указания IP-адреса источника, отправляемых пакетов;
outside-destination-address – ключ для указания IP-адреса назначения отправляемых пакетов;
inside-source-port – ключ для указания TCP/UDP порта отправителя в приходящих пакетах;
outside-source-port – ключ для указания TCP/UDP порта отправителя в отправляемых пакетах;
inside-destination-port – ключ для указания TCP/UDP порта назначения в приходящих пакетах;
outside-destination-port – ключ для указания TCP/UDP порта назначения в отправляемых пакетах.
10
ROOT
esr# clear ip firewall sessions vrf VRF1 |
Данной командой осуществляется сброс счетчиков правил Firewall.
clear ipv6 firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [<ORDER>] ] ]
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут очищены счетчики правил в указанном VRF.
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик.
<DESTINATION-ZONE> – зона безопасности, в которую поступает трафик.
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будут очищены счетчики только по данному правилу.
10
ROOT
esr# clear ipv6 firewall counters trusted self |
Данной командой осуществляется удаление активных IPv6-сессий.
clear ipv6 firewall sessions [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <IPV6-ADDR> ] [ outiside-source-address <IPV6-ADDR> ] [ inside-destination-address <IPV6-ADDR> ] [ outside-destination-address <IPV6-ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ]
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут удалены активные сессии в указанном VRF.
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre.
<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
<PORT> – TCP/UDP порт, принимает значения [1..65535];
inside-source-address – команда для указания IPv6-адреса источника, приходящих пакетов.
inside-destination-address – команда для указания IPv6-адреса назначения, приходящих пакетов.
outiside-source-address – команда для указания IPv6-адреса источника, отправляемых пакетов.
outside-destination-address – команда для указания IPv6-адреса назначения отправляемых пакетов;
inside-source-port – ключ для указания TCP/UDP порта отправителя в приходящих пакетах;
outside-source-port – ключ для указания TCP/UDP порта отправителя в отправляемых пакетах;
inside-destination-port – ключ для указания TCP/UDP порта назначения в приходящих пакетах;
outside-destination-port – ключ для указания TCP/UDP порта назначения в отправляемых пакетах.
10
ROOT
esr# clear ipv6 firewall sessions vrf VRF1 |
Данная команда используется для изменения описания конфигурируемой зоны или пары зон безопасности. Использование отрицательной формы команды (no) удаляет установленное описание.
description <DESCRIPTION>
no description
<DESCRIPTION> – описание зоны безопасности, задаётся строкой до 255 символов.
10
CONFIG-ZONE
CONFIG-ZONE-PAIR
CONFIG-ZONE-PAIR-RULE
esr(config-zone)# description "Trusted interfaces" |
Данная команда используется для активирования правила.
Использование отрицательной формы команды (no) деактивирует правило.
[no] enable
Команда не содержит параметров.
Отключено.
10
CONFIG-ZONE-PAIR-RULE
esr(config-zone-rule)# enable |
Данная команда используется для отключения функции Firewall на сетевом интерфейсе.
Использование отрицательной формы команды (no) включает функцию Firewall на сетевом интерфейсе.
[no] ip firewall disable
Команда не содержит параметров.
15
CONFIG-GI
CONFIG-TE
CONFIG-SUBIF
CONFIG-QINQ-IF
CONFIG-SERIAL
CONFIG-PORT-CHANNEL
CONFIG-BRIDGE
CONFIG-E1
CONFIG-MULTILINK
CONFIG-CELLULAR-MODEM
CONFIG-VTI
CONFIG-GRE
CONFIG-IP4IP4
CONFIG-L2TP
CONFIG-LT
CONFIG-PPPOE
CONFIG-PPTP
CONFIG-OPENVPN
esr(config-if-gi)# ip firewall disable |
Данная команда используется для выбора режима работы межсетевого экрана.
Использование отрицательной формы команды (no) устанавливает режим работы межсетевого экрана по умолчанию.
ip firewall mode <MODE>
no ip firewall mode
<MODE> – режим работы межсетевого экрана, может принимать значения:
stateful
15
CONFIG
esr(config-if-gi)# ip firewall mode stateless |
Командой выполняется включение счетчиков сессий для NAT и Firewall. Счетчики увеличиваются только тогда, когда устанавливается новая сессия. Для установленных сессий увеличения значений счетчиков не происходит при прохождении пакетов. Включение счетчиков снижает производительность маршрутизатора.
Команды для просмотра счетчиков и сессий описаны в разделах show ip firewall counters, show ip firewall sessions, show ipv6 firewall counters и show ipv6 firewall sessions .
Использование отрицательной формы команды (no) отключает счетчики сессий.
[no] ip firewall sessions counters
Команда не содержит параметров.
Отключено.
15
CONFIG
esr(config)# ip firewall sessions counters |
Данной командой отключается фильтрация пакетов, для которых не удалось определить принадлежность к какому-либо известному соединению и которые не являются началом нового соединения.
Использование отрицательной формы команды (no) включает фильтрацию.
[no] ip firewall sessions allow-unknown
Команда не содержит параметров.
Включено.
15
CONFIG
esr(config)# ip firewall sessions allow-unknown |
Данной командой определяется время жизни сессии для неподдерживаемых протоколов, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
ip firewall sessions generic-timeout <TIME>
no ip firewall sessions generic-timeout
<TIME> – время жизни сессии для неподдерживаемых протоколов, принимает значения в секундах [1..8553600].
60 секунд
15
CONFIG
esr(config)# ip firewall sessions generic-timeout 60 |
Данной командой определяется время жизни ICMP-сессии, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
ip firewall sessions icmp-timeout <TIME>
no ip firewall sessions icmp-timeout
<TIME> – время жизни ICMP-сессии, принимает значения в секундах [1..8553600].
30 секунд
15
CONFIG
esr(config)# ip firewall sessions icmp-timeout 60 |
Данной командой определяется время жизни ICMPv6-сессии, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
ip firewall sessions icmpv6-timeout <TIME>
no ip firewall sessions icmpv6-timeout
<TIME> – время жизни ICMPv6-сессии, принимает значения в секундах [1..8553600].
30 секунд
15
CONFIG
esr(config)# ip firewall sessions icmpv6-timeout 60 |
Данной командой определяется размер таблицы сессий, ожидающих обработки.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
ip firewall sessions max-expect <COUNT>
no ip firewall sessions max-expect
<COUNT> – размер таблицы, принимает значения [1..8553600].
256
15
CONFIG
esr(config)# ip firewall sessions max-expect 512 |
Данной командой определяется размер таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
ip firewall sessions max-tracking <COUNT>
no ip firewall sessions max- tracking
<COUNT> – размер таблицы, принимает значения [1..8553600].
512000
15
CONFIG
esr(config)# ip firewall sessions max-tracking 256000 |
Данной командой определяется время жизни TCP-сессии в состоянии «соединение устанавливается», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
ip firewall sessions tcp-connect-timeout <TIME>
no ip firewall sessions tcp-connect-timeout
<TIME> – время жизни TCP-сессии в состоянии "соединение устанавливается", принимает значения в секундах [1..8553600].
60 секунд
15
CONFIG
esr(config)# ip firewall sessions tcp-connect-timeout 120 |
Данной командой определяется время жизни TCP-сессии в состоянии "соединение закрывается", по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
ip firewall sessions tcp-disconnect-timeout <TIME>
no ip firewall sessions tcp-disconnect-timeout
<TIME> – время жизни TCP-сессии в состоянии "соединение закрывается", принимает значения в секундах [1..8553600].
30 секунд
15
CONFIG
esr(config)# ip firewall sessions tcp-disconnect-timeout 10 |
Данной командой определяется время жизни TCP-сессии в состоянии "соединение установлено", по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
ip firewall sessions tcp-estabilished-timeout <TIME>
no ip firewall sessions tcp-estabilished-timeout
<TIME> – время жизни TCP-сессии в состоянии "соединение установлено", принимает значения в секундах [1..8553600].
120 секунд
15
CONFIG
esr(config)# ip firewall sessions tcp-estabilished-timeout 3600 |
Данной командой определяется время ожидания, по истечении которого происходит фактическое удаление закрытой TCP-сессии из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
ip firewall sessions tcp-latecome-timeout <TIME>
no ip firewall sessions tcp-latecome-timeout
<TIME> – время ожидания, принимает значения в секундах [1..8553600].
120 секунд
15
CONFIG
esr(config)# ip firewall sessions tcp-latecome-timeout 10 |
Данной командой включается функция отслеживания сессий уровня приложений для отдельных протоколов.
Использование отрицательной формы команды (no) отключает функцию отслеживания сессий уровня приложений для отдельных протоколов.
ip firewall sessions tracking { <PROTOCOL> | sip [ port <OBJECT-GROUP-SERVICE> ] }
no ip firewall sessions tracking { <PROTOCOL> | sip [ port <OBJECT-GROUP-SERVICE> ] | all }
<PROTOCOL> – протокол уровня приложений, сессии которого должны отслеживаться, принимает значения [ftp, h323, pptp, netbios-ns].
<OBJECT-GROUP-SERVICE> – имя профиля TCP/UDP-портов sip сессии, задаётся строкой до 31 символа. Если группа не указана, то отслеживание сессий sip будет осуществляться для порта 5060.
Вместо имени отдельного протокола можно использовать ключ "all", который включает функцию отслеживания сессий уровня приложений для всех доступных протоколов.
Отключено для всех протоколов.
15
CONFIG
esr(config)# ip firewall sessions tracking ftp |
Данной командой определяется время жизни UDP-сессии в состоянии "соединение подтверждено", по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
ip firewall sessions udp-assured-timeout <TIME>
no ip firewall sessions udp-assured-timeout
<TIME> – время жизни UDP-сессии в состоянии "соединение подтверждено ", принимает значения в секундах [1..8553600].
180 секунд
15
CONFIG
esr(config)# ip firewall sessions udp-assured-timeout 3600 |
Данной командой определяется время жизни UDP-сессии в состоянии «соединение не подтверждено», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
ip firewall sessions udp-wait-timeout <TIME>
no ip firewall sessions udp-wait-timeout
<TIME> – время жизни UDP-сессии в состоянии «соединение не подтверждено», принимает значения в секундах [1..8553600].
30 секунд
10
CONFIG
esr(config)# ip firewall sessions udp-wait-timeout 60 |
Данной командой устанавливается профиль приложений, для которых должно срабатывать правило. Данная функция используется для фильтрации по приложениям (механизм DPI).
При использовании параметра «not» правило будет срабатывать для приложений, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
match [not] application <OBJ-GROUP-APPLICATION>
no match application
<OBJ-GROUP-APPLICATION> – имя профиля приложений, задаётся строкой до 31 символа.
10
CONFIG-ZONE-PAIR-RULE
esr(config-zone-rule)# match application APP_DENY |
Данной командой устанавливается профиль IP-адресов получателя, для которых должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для IP-адресов получателя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
match [not] destination-address <OBJ-GROUP-NETWORK-NAME>
no match destination-address
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
any
10
CONFIG-ZONE-PAIR-RULE
esr(config-zone-rule)# match destination-address local |
Данной командой устанавливается профиль связок IP-адресов и TCP/UDP-портов получателя, для которых должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для связок IP-адресов и TCP/UDP-портов получателя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
match [not] destination-address-port <OBJ-GROUP-ADDRESS-PORT-NAME>
no match destination-address
<OBJ-GROUP-ADDRESS-PORT-NAME> – имя профиля связок IP-адресов и TCP/UDP-портов, задаётся строкой до 31 символа. При указании значения «any» правило не будет учитывать данный способ фильтрации.
any
10
CONFIG-ZONE-PAIR-RULE
esr(config-zone-rule)# match destination-address local |
Данной командой устанавливается MAC-адрес получателя, для которого должно срабатывать правило.
При использовании параметра «not» (match not) правило будет срабатывать для MAC-адресов получателя, отличных от указанного.
Использование отрицательной формы команды (no) отменяет назначение.
match [not] destination-mac <ADDR>
no match destination-mac <ADDR>
<ADDR> – МАС-адрес получателя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].
10
CONFIG-ZONE-PAIR-RULE
esr(config-zone-rule)# match destination-mac A8:F9:4B:AA:00:40 |
Данной командой устанавливается ограничение, при котором правило будет срабатывать только для трафика, измененного сервисом трансляции IP-адресов и портов получателя.
При использовании параметра «not» правило будет срабатывать для трафика, не измененного сервисом трансляции IP-адресов и портов получателя. Использование отрицательной формы команды (no) отменяет назначение.
match [not] destination-nat
no match destination-nat
Команда не содержит параметров.
10
CONFIG-ZONE-PAIR-RULE
esr(config-zone-rule)# match destination-nat |
Данной командой устанавливается профиль TCP/UDP-портов получателя, для которых должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для TCP/UDP-портов получателя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) удаляет назначение.
match [not] destination-port <PORT-SET-NAME>
no match destination-port
<PORT-SET-NAME> – имя профиля TCP/UDP-портов, задаётся строка до 31 символа. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
any
10
CONFIG-ZONE-PAIR-RULE
esr(config-zone-rule)# match destination-port ssh |
Данной командой определяются фрагментированные пакеты, направленные на устройство. Команда применима только в правилах между зонами any self. Под действие правила попадают второй и последующие фрагменты пакета. Обработка пакетов этим правилом происходит до трансляции адресов DNAT.
При использовании параметра «not» правило будет срабатывать для нефрагментированных пакетов.
Использование отрицательной формы команды (no) отменяет назначение.
match [not] fragment
no match fragmen
Отсутствуют.
Отключено.
10
CONFIG-ZONE-PAIR-RULE
esr(config-zone-pair-rule)# match fragment |
Данная команда используется для настройки параметров протокола ICMP, если он выбран командой «match protocol». Данной командой устанавливается тип и код сообщений протокола ICMP, для которых должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для всех типов и кодов сообщений протокола ICMP, кроме указанных.
Использование отрицательной формы команды (no) отменяет назначение.
match [not] icmp { <ICMP_TYPE> <ICMP_CODE> | <OPTION> }
no match icmp
<ICMP_TYPE> – тип сообщения протокола ICMP, принимает значения [0..255];
<ICMP_CODE> – код сообщения протокола ICMP, принимает значения [0..255]. При указании значения «any» правило будет срабатывать для любого кода сообщения протокола ICMP
<OPTION> – стандартные типы ICMP-сообщений, могут принимать значения:
10
CONFIG-ZONE-PAIR-RULE
esr(config-zone-rule)# match icmp 2 any |
Данной командой определяются пакеты, содержащие опции в IP-заголовках. Команда применима только в правилах между зонами any self.
При использовании параметра «not» правило будет срабатывать для пакетов, не содержащих опций в IP-заголовках.
Использование отрицательной формы команды (no) отменяет назначение.
match [not] ip-option
no match ip-option
Команда не содержит параметров.
Отключено.
10
CONFIG-ZONE-PAIR-RULE
esr(config-zone-pair-rule)# match ip-options |
Данной командой устанавливается имя или номер IP-протокола, для которого должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для всех протоколов, кроме указанного.
Использование отрицательной формы команды (no) отменяет назначение.
match [not] protocol <TYPE>
no match protocol
match [not] protocol-id <ID>
no match protocol-id
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre.
При указании значения «any» правило будет срабатывать для любых протоколов;
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].
any
10
CONFIG-ZONE-PAIR-RULE
esr(config-zone-rule)# match protocol udp |
Данной командой устанавливается профиль IP-адресов отправителя, для которых должно срабатывать правило.
При использовании параметра «not» (match not) правило будет срабатывать для IP-адресов отправителя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
match [not] source-address <OBJ-GROUP-NETWORK-NAME>
no match source-address <OBJ-GROUP-NETWORK-NAME>
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.
any
10
CONFIG-ZONE-PAIR-RULE
esr(config-zone-rule)# match source-address remote |
Данной командой устанавливается профиль связок IP-адресов и TCP/UDP-портов отправителя, для которых должно срабатывать правило.
При использовании параметра «not» (match not) правило будет срабатывать для связок IP-адресов и TCP/UDP-портов отправителя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
match [not] source-address-port <OBJ-GROUP-ADDRESS-PORT-NAME>
no match source-address-port <OBJ-GROUP-ADDRESS-PORT-NAME>
<OBJ-GROUP-ADDRESS-PORT-NAME> – имя профиля связок IP-адресов и TCP/UDP-портов, задаётся строкой до 31 символа. При указании значения «any» правило не будет учитывать данный способ фильтрации.
any
10
CONFIG-ZONE-PAIR-RULE
esr(config-zone-rule)# match source-address-port admin |
Данной командой устанавливается MAC-адрес отправителя, для которого должно срабатывать правило.
При использовании параметра «not» (match not) правило будет срабатывать для MAC-адресов отправителя, отличных от указанного.
Использование отрицательной формы команды (no) отменяет назначение.
match [not] source-mac <ADDR>
no match source-mac <ADDR>
<ADDR> – МАС-адрес отправителя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].
10
CONFIG-ZONE-PAIR-RULE
esr(config-zone-rule)# match source-mac A8:F9:4B:AA:00:40 |
Данной командой устанавливается профиль TCP/UDP-портов отправителя, для которых должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для TCP/UDP-портов отправителя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
match [not] source-port <PORT-SET-NAME>
no match source-port
<PORT-SET-NAME> – имя профиля TCP/UDP-портов, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.
10
CONFIG-ZONE-PAIR-RULE
esr(config-zone-rule)# match source-port telnet |
Данная команда активирует фильтрацию и режим отслеживания сессий при прохождении пакетов между членами Bridge-интерфейса.
Использование отрицательной формы команды (no) удаляет назначенное действие.
[no] ports firewall enable
Команда не содержит параметров.
Отключено.
15
CONFIG-BRIDGE
esr(config-bridge)# ports firewall enable |
Данная команда ограничивает количество обрабатываемых правилом пакетов в секунду. Команда применима только в правилах между зонами any self и при условии действия action permit в этом правиле.
Использование отрицательной формы команды (no) удаляет назначенное действие.
rate-limit pps <RATE>
no rate-limit
<PPS> – количество пакетов в секунду, принимает значения [1..10000].
Не ограничено.
15
CONFIG-ZONE-PAIR-RULE
esr(config-if-gi)# rate-limit pps 200 |
Данная команда меняет шаг между созданными правилами.
rearrange <VALUE>
<VALUE> – шаг между правилами, принимает значения [1..50].
10
CONFIG-ZONE-PAIR
esr(config-zone-pair)# rearrange 10 |
Данная команда меняет номер правила.
renumber rule <CUR_ORDER> <NEW_ORDER>
<CUR_ORDER> – текущий номер правила, принимает значения [1..10000];
<NEW_ORDER> – новый номер правила, принимает значения [1..10000].
10
CONFIG-ZONE-PAIR
esr(config-zone-pair)# renumber rule 13 100 |
Данная команда используется для создания правила и перехода в командный режим SECURITY ZONE PAIR RULE. Правила обрабатываются устройством в порядке возрастания их номеров.
Использование отрицательной формы команды (no) удаляет указанное правило.
[no] rule <ORDER>
<ORDER> – номер правила, принимает значения [1..10000]. Если при удалении используется значение параметра "all", то будут удалены все правила для конфигурируемой пары зон безопасности.
10
CONFIG-ZONE-PAIR
esr(config-zone-pair)# rule 10 esr(config-zone-rule)# |
Данная команда используется для создания зон безопасности и перехода в режим конфигурирования зоны.
Использование отрицательной формы команды (no) удаляет заданную зону безопасности.
[no] security zone [ <NAME> | all ]
<NAME> – имя создаваемой зоны безопасности, задаётся строкой до 12 символов. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все зоны безопасности.
10
CONFIG
esr(config)# security zone trusted esr(config-zone)# |
Данная команда используется для добавления выбранного сетевого интерфейса в зону безопасности. Использование отрицательной формы команды (no) удаляет интерфейс из зоны.
security-zone <NAME>
no security-zone
<NAME> – имя зоны безопасности, задаётся строкой до 12 символов.
15
CONFIG-GI
CONFIG-TE
CONFIG-SUBIF
CONFIG-QINQ-IF
CONFIG-SERIAL
CONFIG-PORT-CHANNEL
CONFIG-BRIDGE
CONFIG-CELLULAR-MODEM
CONFIG-E1
CONFIG-MULTILINK
CONFIG-VTI
CONFIG-GRE
CONFIG-IP4IP4
CONFIG-LT
CONFIG-PPPOE
CONFIG-PPTP
CONFIG-L2TP
CONFIG-OPENVPN
CONFIG-L2TP-SERVER
CONFIG-OPENVPN-SERVER
CONFIG-PPTP-SERVER
esr(config-if-gi)# security-zone trusted |
Данная команда используется для создания группы правил для пары зон безопасности.
Использование отрицательной формы команды (no) удаляет указанную группу правил.
[no] security zone-pair <SOURCE-ZONE> <DESTINATION-ZONE>
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик;
<DESTINATION-ZONE> – зона безопасности, в которую поступает трафик. На маршрутизаторе всегда существует зона безопасности с именем «self». Если в качестве получателя трафика выступает сам маршрутизатор, то есть трафик не является транзитным, то в качестве параметра указывается зона «self». Если при удалении используется значение параметра «all», то будут удалены все конфигурируемые пары зон безопасности.
10
CONFIG
esr(config)# security zone-pair trusted self |
Данная команда используется для просмотра статистики по пакетам, проходящим между зонами, для которых не установлена сессия.
show ip firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [ <ORDER> ] ] ]
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены счетчики правил в указанном VRF;
<DESTINATION-ZONE> – зона безопасности, в которую поступает трафик;
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик;
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
1
ROOT
esr# show ip firewall counters trusted self Zone-pair Rule Action Pkts Bytes ------------------------------ ---------- --------------- ---------- ---------- any/any default deny 0 0 trusted/self 1 permit 0 0 trusted/trusted 1 permit 0 0 |
Данная команда используется для просмотра активных IP-сессий.
show ip firewall sessions [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <ADDR>] [ outside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ summary ] [ configuration ] [ expected ]
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены активные сессии в указанном VRF;
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<PORT> – TCP/UDP порт, принимает значения [1..65535];
inside-source-address – команда для указания IP-адреса источника приходящих пакетов;
inside-destination-address – команда для указания IP-адреса назначения приходящих пакетов;
outiside-source-address – команда для указания IP-адреса источника отправляемых пакетов;
outside-destination-address – команда для указания IP-адреса назначения отправляемых пакетов;
inside-source-port – ключ для указания TCP/UDP порта отправителя в приходящих пакетах;
outside-source-port – ключ для указания TCP/UDP порта отправителя в отправляемых пакетах;
inside-destination-port – ключ для указания TCP/UDP порта назначения в приходящих пакетах;
outside-destination-port – ключ для указания TCP/UDP порта назначения в отправляемых пакетах;
summary – выводит суммарную статистику по IP-сессиям;
configuration – выводит настройку таймаутов и объема таблиц IP-сессий;
expected – команда для отображения сессий, ожидающих обработки других сессий.
1
ROOT
esr# show ip firewall sessions Prot Inside source Inside destination Outside source Outside destination Pkts Bytes --- ------------ ---------------- ------------- ---------------- ----- ---- vrrp 4.4.4.4 224.0.0.18 4.4.4.4 224.0.0.18 -- -- |
Данной командой отображается настройка функционала отслеживания сессий уровня приложений.
show ip firewall sessions tracking
Команда не содержит параметров.
1
ROOT
esr# show ip firewall sessions tracking Tracking Status: FTP: Enabled H.323: Enabled GRE: Enabled PPTP: Enabled NETBIOS-NS: Enabled SIP: Enabled |
Данная команда используется для просмотра статистики по пакетам, проходящим между зонами, для которых не установлена сессия.
show ipv6 firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [ <ORDER> ] ] ]
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены счетчики правил в указанном VRF;
<DESTINATION-ZONE> – зона безопасности, в которую поступает трафик;
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик;
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
1
ROOT
esr# show ipv6 firewall counters trusted self Zone-pair Rule Action Pkts Bytes ------------------------------ ---------- --------------- ---------- ---------- any/any default deny 0 0 trusted/self 1 permit 0 0 trusted/trusted 1 permit 0 0 |
Данная команда используется для просмотра активных IPv6-сессий.
show ipv6 firewall sessions [ vrf <VRF> ] [summary] [ protocol <TYPE> ] [ inside-source-address <IPV6-ADDR>] [ outiside-source-address <IPV6-ADDR> ] [ inside-destination-address <IPV6-ADDR> ] [ outside-destination-address <IPV6-ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ expected ] [ summary ]
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены активные сессии в указанном VRF;
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;
<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
<PORT> – TCP/UDP порт, принимает значения [1..65535];
inside-source-address – команда для указания IPv6-адреса источника приходящих пакетов;
inside-destination-address – команда для указания IPv6-адреса назначения приходящих пакетов;
outiside-source-address – команда для указания IPv6-адреса источника отправляемых пакетов;
outside-destination-address – команда для указания IPv6-адреса назначения отправляемых пакетов;
inside-source-port – ключ для указания TCP/UDP порта отправителя в приходящих пакетах;
outside-source-port – ключ для указания TCP/UDP порта отправителя в отправляемых пакетах;
inside-destination-port – ключ для указания TCP/UDP порта назначения в приходящих пакетах;
outside-destination-port – ключ для указания TCP/UDP порта назначения в отправляемых пакетах;
expected – команда для отображения сессий, ожидающих обработки других сессий;
summary – выводит суммарную статистику по IPv6-сессиям.
1
ROOT
esr# show ipv6 firewall sessions Prot Inside source Inside destination Outside source Outside destination Pkts Bytes ----- -------------- ------------------- -------------- -------------------- ----- ----- icmp6 fc00::2 fc00::2 fc00::2 fc00::2 -- -- icmp6 fc00::2 fc00::1 fc00::2 fc00::1 -- -- |
Данная команда используется для просмотра интерфейсов, входящих в зону безопасности.
show security zone [<NAME>]
<NAME> – имя зоны, задаётся строкой до 31 символа.
1
ROOT
esr# show security zone Zone name Interfaces ------------- ------------------------------------------ trusted gi1/0/2-6, gi1/0/8-24, bridge 1 untrusted gi1/0/1, te1/0/1-2, bridge 2 |
Данная команда используется для просмотра списка пар зон.
show security zone-pair
Команда не содержит параметров.
1
ROOT
esr# show security zone-pair From zone To zone ------------- ------------- trusted untrusted trusted trusted trusted self untrusted self |
Данная команда используется для просмотра правил для пары зон безопасности.
show security zone-pair configuration <SOURCE-ZONE> <DESTINATION-ZONE> [<ORDER>]
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик;
<DESTINATION-ZONE> – зона безопасности, в которую поступает трафик;
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
1
ROOT
esr# show security zone-pair configuration trusted self Order: 1 Description: -- Matching pattern: Protocol: tcp(6) Src-addr: any src-port: any Dest-addr: any dest-port: 23 0 0 |