Настройка списков контроля доступа c  фильтрацией по IP-адресам.

access-list ip

Переход в режим конфигурирования IP access-list.

Синтаксис
[no] access-list ip <WORD>
Параметры

WORD – имя конкретного access-list или создание нового в соответствии со следующим форматом:

  • Формат: строка из букв, цифр, символов "-" и "_" длиной от 1 до 15 символов. Не может начинаться или заканчиваться символами "-" или "_".

[no] – удаляет выбранный access-list.

Группа привилегий
config-acl
Командный режим
configure-view
Пример
MA5160(configure) access-list ip ip1
MA5160(config)(access-list-ip-ip1)#

permit

Добавление разрешающего правила в IP access-list или замена существующего.

Синтаксис
permit <protocol> <ip parameter> [<options>]
Параметры

<protocol> – указывает тип IP-протокола:

  • tcp – протокол TCP;
  • udp – протокол UDP;
  • any – любой IP-протокол; 
  • proto <N> – IP-протокол с номером [0–254].

<ip parameter> – основные параметры:

  • <src-ip> – IP-адрес источника и обратная маска (A.B.C.D M.M.M.M) или any;
  • [<src-port>] – порт источника [0–65535] или any;
  • <dst-ip> – IP-адрес назначения и обратная маска (A.B.C.D M.M.M.M) или any;
  • [<dst-port>] – порт назначения [0–65535] или any.

[<options>] – необязательные дополнительные параметры:

  • dscp <value> – DSCP-метка [0–63];
  • precedence <value> – Precedence-приоритет [0–7];
  • mac <src-mac> <src-mask> <dst-mac> <dst-mask> – MAC-адреса источника и назначения:
    • <src-mac> – MAC-адрес источника в формате XX:XX:XX:XX:XX:XX или any;
    • <src-mask> – обратная маска MAC-адреса источника в формате XX:XX:XX:XX:XX:XX;
    • <dst-mac> – MAC-адрес назначения в формате XX:XX:XX:XX:XX:XX или any;
    • <dst-mask> – обратная маска MAC-адреса назначения в формате XX:XX:XX:XX:XX:XX.
  • vlan <vid> – VLAN ID [1–4094];
  • cos <id> <mask> – CoS:
    • <id> – значение CoS [0–7];
    • <mask> – маска CoS [0–7].
  • ethertype <type> <mask> – EtherType:
    • <type> – значение EtherType [0x0000–0xFFFF];
    • <mask> – маска EtherType [0x0000–0xFFFF].
  • index <index-id> – номер правила [1–20].
dscp и precedence – взаимоисключающие параметры.
Группа привилегий
config-acl
Командный режим
access-list-ip-view
Пример
MA5160(config)(access-list-ip-ip1)# permit proto 1 192.168.133.0 255.255.255.0 any
MA5160(config)(access-list-ip-ip1)# permit udp 5.1.5.0 255.255.255.0 any any any
MA5160(config)(access-list-ip-ip1)# permit udp any any 5.3.6.0 255.255.255.0 any dscp any mac any any vlan any cos any ethertype any index 3
MA5160(config)(access-list-ip-ip1)# permit udp any any any any dscp 63 mac AA:BB:CC:DD:EE:FF FF:FF:FF:FF:FF:FF FF:EE:DD:CC:BB:AA FF:FF:FF:FF:FF:FF vlan 4094 cos 7 1 index 8
MA5160(config)(access-list-ip-ip1)# permit any any any dscp any mac any any ethertype 0xAB00 0xFFFF
MA5160(config)(access-list-ip-ip1)# permit any any any dscp any mac any any cos 2 3

deny

Добавление запрещающего правила в IP access-list или замена существующего.

Синтаксис
deny <protocol> <ip parameter> [<options>]
Параметры

<protocol> – указывает тип IP-протокола:

  • tcp – протокол TCP;
  • udp – протокол UDP;
  • any – любой IP-протокол; 
  • proto <N> – IP-протокол с номером [0–254].

<ip parameter> – основные параметры:

  • <src-ip> – IP-адрес источника и обратная маска (A.B.C.D M.M.M.M) или any;
  • [<src-port>] – порт источника [0–65535] или any;
  • <dst-ip> – IP-адрес назначения и обратная маска (A.B.C.D M.M.M.M) или any;
  • [<dst-port>] – порт назначения [0–65535] или any.

[<options>] – необязательные дополнительные параметры:

  • dscp <value> – DSCP-метка [0–63];
  • precedence <value> – Precedence-приоритет [0–7];
  • mac <src-mac> <src-mask> <dst-mac> <dst-mask> – MAC-адреса источника и назначения:
    • <src-mac> – MAC-адрес источника в формате XX:XX:XX:XX:XX:XX или any;
    • <src-mask> – обратная маска MAC-адреса источника в формате XX:XX:XX:XX:XX:XX;
    • <dst-mac> – MAC-адрес назначения в формате XX:XX:XX:XX:XX:XX или any;
    • <dst-mask> – обратная маска MAC-адреса назначения в формате XX:XX:XX:XX:XX:XX.
  • vlan <vid> – VLAN ID [1–4094];
  • cos <id> <mask> – CoS:
    • <id> – значение CoS [0–7];
    • <mask> – маска CoS [0–7].
  • ethertype <type> <mask> – EtherType:
    • <type> – значение EtherType [0x0000–0xFFFF];
    • <mask> – маска EtherType [0x0000–0xFFFF].
  • index <index-id> – номер правила [1–20].

dscp и precedence – взаимоисключающие параметры.

Группа привилегий
config-acl
Командный режим
access-list-ip-view
Пример
MA5160(config)(access-list-ip-ip1)# deny proto 1 192.168.133.0 255.255.255.0 any
MA5160(config)(access-list-ip-ip1)# deny udp 5.1.5.0 255.255.255.0 any any any
MA5160(config)(access-list-ip-ip1)# deny udp any any 5.3.6.0 255.255.255.0 any dscp any mac any any vlan any cos any ethertype any index 3
MA5160(config)(access-list-ip-ip1)# deny udp any any any any dscp 63 mac AA:BB:CC:DD:EE:FF FF:FF:FF:FF:FF:FF FF:EE:DD:CC:BB:AA FF:FF:FF:FF:FF:FF vlan 4094 cos 7 1 index 8
MA5160(config)(access-list-ip-ip1)# deny any any any dscp any mac any any ethertype 0xAB00 0xFFFF
MA5160(config)(access-list-ip-ip1)# deny any any any dscp any mac any any cos 2 3

remove

Удаление правила IP из access-list.

Синтаксис

remove index <Index_id>

Параметры

<index_id> – номер правила [1-20].

Группа привилегий

config-acl

Командный режим

access-list-ip-view

Пример

MA5160(config)(access-list-ip-ip1)# remove index 1



  • Нет меток