Просмотреть исходный

Настройка списков контроля доступа c фильтрацией по IP-адресам.

access-list ip

Переход в режим конфигурирования IP access-list.

Синтаксис

[no] access-list ip <WORD>

Параметры

WORD – имя конкретного access-list или создание нового в соответствии со следующим форматом:

Формат: строка из букв, цифр, символов "-" и "_" длиной от 1 до 15 символов. Не может начинаться или заканчиваться символами "-" или "_".

[no] – удаляет выбранный access-list.

Группа привилегий

config-acl

Командный режим

configure-view

Пример

MA5160(configure) access-list ip ip1
MA5160(config)(access-list-ip-ip1)#

permit

Добавление разрешающего правила в IP access-list или замена существующего.

Синтаксис

permit <protocol> <ip parameter> [<options>]

Параметры

<protocol> – указывает тип IP-протокола:

tcp – протокол TCP;
udp – протокол UDP;
any – любой IP-протокол;
proto <N> – IP-протокол с номером [0–254].

<ip parameter> – основные параметры:

<src-ip> – IP-адрес источника и обратная маска (A.B.C.D M.M.M.M) или any;
[<src-port>] – порт источника [0–65535] или any;
<dst-ip> – IP-адрес назначения и обратная маска (A.B.C.D M.M.M.M) или any;
[<dst-port>] – порт назначения [0–65535] или any.

[<options>] – необязательные дополнительные параметры:

dscp <value> – DSCP-метка [0–63];
precedence <value> – Precedence-приоритет [0–7];
mac <src-mac> <src-mask> <dst-mac> <dst-mask> – MAC-адреса источника и назначения:
- <src-mac> – MAC-адрес источника в формате XX:XX:XX:XX:XX:XX или any;
- <src-mask> – обратная маска MAC-адреса источника в формате XX:XX:XX:XX:XX:XX;
- <dst-mac> – MAC-адрес назначения в формате XX:XX:XX:XX:XX:XX или any;
- <dst-mask> – обратная маска MAC-адреса назначения в формате XX:XX:XX:XX:XX:XX.
vlan <vid> – VLAN ID [1–4094];
cos <id> <mask> – CoS:
- <id> – значение CoS [0–7];
- <mask> – маска CoS [0–7].
ethertype <type> <mask> – EtherType:
- <type> – значение EtherType [0x0000–0xFFFF];
- <mask> – маска EtherType [0x0000–0xFFFF].
index <index-id> – номер правила [1–20].

dscp и precedence – взаимоисключающие параметры.

Группа привилегий

config-acl

Командный режим

access-list-ip-view

Пример

MA5160(config)(access-list-ip-ip1)# permit proto 1 192.168.133.0 255.255.255.0 any
MA5160(config)(access-list-ip-ip1)# permit udp 5.1.5.0 255.255.255.0 any any any
MA5160(config)(access-list-ip-ip1)# permit udp any any 5.3.6.0 255.255.255.0 any dscp any mac any any vlan any cos any ethertype any index 3
MA5160(config)(access-list-ip-ip1)# permit udp any any any any dscp 63 mac AA:BB:CC:DD:EE:FF FF:FF:FF:FF:FF:FF FF:EE:DD:CC:BB:AA FF:FF:FF:FF:FF:FF vlan 4094 cos 7 1 index 8
MA5160(config)(access-list-ip-ip1)# permit any any any dscp any mac any any ethertype 0xAB00 0xFFFF
MA5160(config)(access-list-ip-ip1)# permit any any any dscp any mac any any cos 2 3

deny

Добавление запрещающего правила в IP access-list или замена существующего.

Синтаксис

deny <protocol> <ip parameter> [<options>]

Параметры

<protocol> – указывает тип IP-протокола:

tcp – протокол TCP;
udp – протокол UDP;
any – любой IP-протокол;
proto <N> – IP-протокол с номером [0–254].

<ip parameter> – основные параметры:

<src-ip> – IP-адрес источника и обратная маска (A.B.C.D M.M.M.M) или any;
[<src-port>] – порт источника [0–65535] или any;
<dst-ip> – IP-адрес назначения и обратная маска (A.B.C.D M.M.M.M) или any;
[<dst-port>] – порт назначения [0–65535] или any.

[<options>] – необязательные дополнительные параметры:

dscp <value> – DSCP-метка [0–63];
precedence <value> – Precedence-приоритет [0–7];
mac <src-mac> <src-mask> <dst-mac> <dst-mask> – MAC-адреса источника и назначения:
- <src-mac> – MAC-адрес источника в формате XX:XX:XX:XX:XX:XX или any;
- <src-mask> – обратная маска MAC-адреса источника в формате XX:XX:XX:XX:XX:XX;
- <dst-mac> – MAC-адрес назначения в формате XX:XX:XX:XX:XX:XX или any;
- <dst-mask> – обратная маска MAC-адреса назначения в формате XX:XX:XX:XX:XX:XX.
vlan <vid> – VLAN ID [1–4094];
cos <id> <mask> – CoS:
- <id> – значение CoS [0–7];
- <mask> – маска CoS [0–7].
ethertype <type> <mask> – EtherType:
- <type> – значение EtherType [0x0000–0xFFFF];
- <mask> – маска EtherType [0x0000–0xFFFF].
index <index-id> – номер правила [1–20].

dscp и precedence – взаимоисключающие параметры.

Группа привилегий

config-acl

Командный режим

access-list-ip-view

Пример

MA5160(config)(access-list-ip-ip1)# deny proto 1 192.168.133.0 255.255.255.0 any
MA5160(config)(access-list-ip-ip1)# deny udp 5.1.5.0 255.255.255.0 any any any
MA5160(config)(access-list-ip-ip1)# deny udp any any 5.3.6.0 255.255.255.0 any dscp any mac any any vlan any cos any ethertype any index 3
MA5160(config)(access-list-ip-ip1)# deny udp any any any any dscp 63 mac AA:BB:CC:DD:EE:FF FF:FF:FF:FF:FF:FF FF:EE:DD:CC:BB:AA FF:FF:FF:FF:FF:FF vlan 4094 cos 7 1 index 8
MA5160(config)(access-list-ip-ip1)# deny any any any dscp any mac any any ethertype 0xAB00 0xFFFF
MA5160(config)(access-list-ip-ip1)# deny any any any dscp any mac any any cos 2 3

remove

Удаление правила IP из access-list.

Синтаксис

remove index <Index_id>

Параметры

<index_id> – номер правила [1-20].

Группа привилегий

config-acl

Командный режим

access-list-ip-view

Пример

MA5160(config)(access-list-ip-ip1)# remove index 1