Просмотреть исходный

action

Данная команда используется для указания действия, которое должно быть применено для трафика, удовлетворяющего заданным критериям.

Использование отрицательной формы команды (no) удаляет назначенное действие.

Синтаксис

action <ACT>

no action

Параметры

<ACT> — назначаемое действие:

permit — прохождение трафика разрешается;
deny — прохождение трафика запрещается.

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-IP-RULE
CONFIG-ACL-MAC-RULE

Пример

scs(config-acl-ip-rule)# action permit

description

Данная команда используется для изменения описания конфигурируемого списка контроля доступа.

Использование отрицательной формы команды (no) удаляет установленное описание.

Синтаксис

description <DESCRIPTION>

no description

Параметры

<DESCRIPTION> — описание списка контроля доступа, задается строкой до 255 символов.

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-IP
CONFIG-ACL-MAC

Пример

scs(config-acl-ip)# description "Drop SSH traffic"

enable

Данная команда используется для активирования правила.

Использование отрицательной формы команды (no) деактивирует правило.

Синтаксис

[no] enable

Параметры

Команда не содержит параметров.

Значение по умолчанию

Правило выключено.

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-IP-RULE
CONFIG-ACL-MAC-RULE

Пример

scs(config-acl-ip-rule)# enable

ip access-list extended

Данная команда используется для создания IP списка контроля доступа и перехода в режим конфигурирования списка.

Использование отрицательной формы команды (no) удаляет заданный список контроля доступа.

Синтаксис

[no] ip access-list extended <NAME>

Параметры

<NAME> — имя создаваемого списка контроля доступа, задается строкой до 31 символа.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

scs(config)# ip access-list extended acl-ssh-drop

mac access-list extended

Данная команда используется для создания MAC списка контроля доступа и перехода в режим конфигурирования списка.

Использование отрицательной формы команды (no) удаляет заданный список контроля доступа.

Синтаксис

[no] mac access-list extended <NAME>

Параметры

<NAME> — имя создаваемого списка контроля доступа, задается строкой до 31 символа.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

scs(config)# mac access-list extended acl-arp-drop

match cos

Данной командой устанавливается значение 802.1p приоритета, для которого должно срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

match cos <COS>

no match cos

Параметры

<COS> — значение 802.1p приоритета, принимает значения [0..7].

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-IP-RULE
CONFIG-ACL-MAC-RULE

Пример

scs(config-acl-mac-rule)# match cos 2

match destination-address

Данной командой устанавливаются IP-адреса получателя, для которых должно срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

match destination-address { <ADDR> <MASK> | any }

no match destination-address

Параметры

<ADDR> — IP-адрес получателя, задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<MASK> — маска IP-адреса, задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Биты маски, установленные в 0, задают биты IP-адреса, исключаемые из сравнения при поиске.

При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.

Значение по умолчанию

any

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-IP-RULE

Пример

scs(config-acl-ip-rule)# match destination-address 10.10.10.0 255.255.255.0

match destination-mac

Данной командой устанавливаются MAC-адреса получателя, для которых должно срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

match destination-mac <ADDR> <WILDCARD>

no match destination-mac

Параметры

<ADDR> — МАС-адрес получателя, задается в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF];

<WILDCARD> — маска МАС-адреса, задается в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске.

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-IP-RULE
CONFIG-ACL-MAC-RULE

Пример

scs(config-acl-mac-rule)# match destination-mac A8:F9:4B:AA:00:41 00:00:00:00:00:FF

match destination-port

Данной командой устанавливается номер TCP/UDP-порта получателя, для которого должно срабатывать правило.

Использование отрицательной формы команды (no) удаляет назначение.

Синтаксис

match destination-port <TYPE> {<PORT> | <PORT>-<PORT>}

no match destination-port

Параметры

<TYPE> — принимает значения «any или «port-range»;

Можно указать один порт либо указать диапазон портов через «-»;

<PORT> — продолжение команды port-range, номер TCP/UDP-порта отправителя, принимает значения [1..65535]. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.

Значение по умолчанию

any

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-IP-RULE

Пример

scs(config-acl-ip-rule)# match destination-port port-range 22

match dscp

Данной командой устанавливается значение кода DSCP, для которого должно срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

match dscp <DSCP>

no match dscp

Параметры

<DSCP> — значение кода DSCP, принимает значения [0..63].

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-IP-RULE

Пример

scs(config-acl-ip-rule)# match dscp 55

match ethertype

Данной командой устанавливается значение кода ethertype, для которого должно срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

match ethertype <ID>

no match ethertype

Параметры

<ID> — идентификационный номер инкапсулированного протокола, принимает значения [0x0600..0xFFFF].

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-MAC-RULE

Пример

scs(config-acl-mac-rule)# match ethertype 0806

match ip-precedence

Данной командой устанавливается значение кода IP Precedence, для которого должно срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

match ip-precedence <IPP>

no match ip-precedence

Параметры

<IPP> — значение кода IP Precedence, принимает значения [0..7].

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-IP-RULE

Пример

scs(config-acl-ip-rule)# match ip-precedence 5

match protocol

Данной командой устанавливается имя IP-протокола, для которого должно срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

match protocol <TYPE>

no match protocol

match protocol-id <ID>

no match protocol-id

Параметры

<TYPE> — тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre для IP ACL и arp, ip, ipv6, lacp, lldp, cdp, stp, vtp для MAC ACL. При указании значения «any» правило будет срабатывать для любых протоколов;

<ID> — идентификационный номер IP-протокола, принимает значения [0x00-0xFF].

При указании значения «any» правило будет срабатывать для любого протокола.

Значение по умолчанию

any

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-IP-RULE
CONFIG-ACL-MAC-RULE

Пример

scs(config-acl-ip-rule)# match protocol tcp

match source-address

Данной командой устанавливаются IP-адреса отправителя, для которых должно срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

match source-address { <ADDR> <MASK> | any }

no match source-address

Параметры

<ADDR> — IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<MASK> — маска IP-адреса, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Биты маски, установленные в 0, задают биты IP-адреса, исключаемые из сравнения при поиске.

При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.

Значение по умолчанию

any

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-IP-RULE

Пример

scs(config-acl-ip-rule)# match source-address 10.100.100.0 255.255.255.0

match source-mac

Данной командой устанавливаются MAC-адреса отправителя, для которых должно срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

match source-mac <ADDR> <WILDCARD>

no match source-mac

Параметры

<ADDR> — МАС-адрес отправителя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF];

<WILDCARD> — маска МАС-адреса, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске.

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-IP-RULE
CONFIG-ACL-MAC-RULE

Пример

scs(config-acl-mac-rule)# match source-mac A8:F9:4B:AA:00:40 00:00:00:FF:FF:FF

match source-port

Данной командой устанавливается номер TCP/UDP-порта отправителя, для которого должно срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

match source-port <TYPE> { <PORT> | <PORT>-<PORT> }

no match source-port

Параметры

<TYPE> — принимает значения «any» или «port-range»;

Можно указать один порт либо указать диапазон портов через «-»;

<PORT> — Продолжение команды port-range, номер TCP/UDP-порта отправителя, принимает значения [1..65535]. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.

Значение по умолчанию

any

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-IP-RULE

Пример

scs(config-acl-ip-rule)# match source-port any

match vlan

Данной командой устанавливается значение идентификационного номера VLAN, для которого должно срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

match vlan <VID>

no match vlan

Параметры

<VID> — идентификационный номер VLAN, принимает значения [1…4094].

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-IP-RULE
CONFIG-ACL-MAC-RULE

Пример

scs(config-acl-mac-rule)# match vlan 100

rule

Данная команда используется для создания правила и перехода в режим конфигурирования CONFIG-ACL-IP-RULE. Правила обрабатываются устройством в порядке возрастания их номеров.

Использование отрицательной формы команды (no) удаляет указанное правило.

Синтаксис

[no] rule <ORDER>

Параметры

<ORDER> — номер правила, принимает значения [1..4094].

Необходимый уровень привилегий

10

Командный режим

CONFIG-ACL-IP
CONFIG-ACL-MAC

Пример

scs(config-acl-ip)# rule 10

service-acl ip input

Данная команда используется для привязки указанного списка контроля доступа к конфигурируемому интерфейсу для фильтрации входящего трафика.

Использование отрицательной формы команды (no) удаляет привязку списка контроля доступа к данному интерфейсу.

Синтаксис

service-acl ip input <NAME>

no service-acl ip input

Параметры

<NAME> — имя списка контроля доступа, задается строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IF-GI

CONFIG-IF-TE

CONFIG-IF-PORT-CHANNEL

Пример

scs(config-if-gi)# service-acl ip input acl-ssh-drop

service-acl ip output

Данная команда используется для привязки указанного списка контроля доступа к конфигурируемому интерфейсу для фильтрации исходящего трафика.

Использование отрицательной формы команды (no) удаляет привязку списка контроля доступа к данному интерфейсу.

Использование фильтрации пакетов при помощи ACL на физическом интерфейсе увеличивает нагрузку на CPU маршрутизатора.

Для фильтрации трафика рекомендуется использовать функцию ZoneBased Firewall.

Синтаксис

service-acl output <NAME>

no service-acl output

Параметры

<NAME> — имя списка контроля доступа, задается строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IF-GI

CONFIG-IF-TE

CONFIG-IF-PORT-CHANNEL

Пример

scs(config-if-gi)# service-acl ip output acl-ftp

service-acl mac input

Данная команда используется для привязки указанного списка контроля доступа к конфигурируемому интерфейсу для фильтрации входящего трафика.

Использование отрицательной формы команды (no) удаляет привязку списка контроля доступа к данному интерфейсу.

Синтаксис

service-acl mac input <NAME>

no service-acl mac input

Параметры

<NAME> — имя списка контроля доступа, задается строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IF-GI

CONFIG-IF-TE

CONFIG-IF-PORT-CHANNEL

Пример

scs(config-if-gi)# service-acl mac input acl-arp-drop

service-acl mac output

Данная команда используется для привязки указанного списка контроля доступа к конфигурируемому интерфейсу для фильтрации исходящего трафика.

Использование отрицательной формы команды (no) удаляет привязку списка контроля доступа к данному интерфейсу.

Синтаксис

service-acl mac output <NAME>

no service-acl mac output

Параметры

<NAME> — имя списка контроля доступа, задается строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IF-GI

CONFIG-IF-TE

CONFIG-IF-PORT-CHANNEL

Пример

scs(config-if-gi)# service-acl mac output acl-ftp

show ip access-list

Данная команда используется для просмотра списков управления доступом.

Синтаксис

show ip access-list [ <NAME> [ <ORDER> ] ]

Параметры

<NAME> — имя списка управления доступом, задается строкой до 31 символа;

<ORDER> — номер правила, принимает значения [1..4096]. При указании номера правила будет показана информация только по данному правилу.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример

scs# show ip access-list
Name                               Description
--------------------------------   -----------------------------------------------
acl-telnet-drop                    --
acl-ssh-drop                       Drop SSH traffic

scs# show ip access-list acl-ssh-drop
Index:                        1
Matching pattern:
    Protocol:                 TCP(6)
    Source MAC address:       any
    Source IP address:        any
    Source port:              any
    Destination MAC address:  any
    Destination IP address:   any
    Destination port:         22
Action:                       Deny
Status:                       Enabled
--------------------------------------------------------------------------------
Index:                        2
Matching pattern:
    Protocol:                 any
    Source MAC address:       any
    Source IP address:        any
    Destination MAC address:  any
    Destination IP address:   any
Action:                       Permit
Status:                       Enabled
--------------------------------------------------------------------------------

show mac access-list

Данная команда используется для просмотра списков управления доступом.

Синтаксис

show mac access-list [ <NAME> [ <ORDER> ] ]

Параметры

<NAME> — имя списка управления доступом, задается строкой до 31 символа;

<ORDER> — номер правила, принимает значения [1..4096]. При указании номера правила будет показана информация только по данному правилу.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример

scs# show mac access-list
Name                               Description                                        
--------------------------------   ------------------------------------------------   
acl                                Drop arp traffic in 343 vlan  
scs# show mac access-list acl-arp-drop
Index:                         10
Matching pattern:
    Protocol:                  arp
    Source MAC address:        any
    Destination MAC address:   any
    VLAN:                      343
Action:                        Permit
Status:                        Enabled
--------------------------------------------------------------------------------