action
Данная команда используется для указания действия, которое должно быть применено для трафика, удовлетворяющего заданным критериям.
Использование отрицательной формы команды (no) удаляет назначенное действие.
Синтаксис
action { permit | deny | reject | netflow-sample | sflow-sample | rate-limit total pps <RATE> | session-limit [total <SESSION>] [per-source-host <SESSION>] } [log]
no action
Параметры
- permit – прохождение трафика разрешается;
- deny – прохождение трафика запрещается;
- reject – прохождение трафика запрещается, а также посылается отправителю ответ об ошибке;
- netflow-sample – прохождение трафика разрешается, осуществляется экспорт статистики по протоколу Netflow;
- sflow-sample – прохождение трафика разрешается, осуществляется экспорт статистики по протоколу sFlow;
- rate-limit total pps <RATE> – прохождение трафика разрешается, ограничивается количество обрабатываемых правилом пакетов в секунду. Команда применима только в правилах между зонами any self:
- <RATE> – количество пакетов в секунду, принимает значения [1..10000].
- <RATE> – количество пакетов в секунду, принимает значения [1..10000].
- session-limit [total <SESSION>] [per-source-host <SESSION>] – прохождение трафика разрешается и ограничивается число одновременных сессий трафика:
- total <SESSION> – ограничивается общее число сессий трафика, попадающих под данное правило:
- <SESSION> – число одновременных сессий, принимает значения [1..10000].
- [per-source-host <SESSION> – ограничивается число сессий трафика от одного хоста источника:
- <SESSION> – число одновременных сессий, принимает значения [1..10000].
- total <SESSION> – ограничивается общее число сессий трафика, попадающих под данное правило:
- log – ключ для активации логирования сессий, устанавливающимися согласно данному правилу.
Функционал session-limit доступен только на моделях ESR-30, ESR-31, ESR-3100, ESR-3200, ESR-3200L, ESR-3300.
Значение по умолчанию
Действие не настроено, логирование отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
esr(config-security-zone-pair-rule)# action permit
check output-interface
Данной командой разрешается очистка фаервол сессий, в случае если выходной интерфейс изменен.
Использование отрицательной формы команды (no) удаляет назначенное действие.
Синтаксис
check output-interface
no check output-interface
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
esr(config-security-zone-pair-rule)# check output-interface
clear ip firewall counters
Данной командой осуществляется сброс счетчиков правил Firewall.
Синтаксис
clear ip firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [<ORDER>] ] ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут очищены счетчики правил в указанном VRF;
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик;
<DESTINATION-ZONE> – зона безопасности, в которую поступает трафик;
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будут очищены счетчики только по данному правилу.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# clear ip firewall counters trusted self
clear ip firewall sessions
Данной командой осуществляется удаление активных IP-сессий.
Синтаксис
clear ip firewall sessions [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <ADDR> ] [ outiside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут удалены активные сессии в указанном VRF;
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<PORT> – TCP/UDP-порт, принимает значения [1..65535];
inside-source-address – ключ для указания IP-адреса источника приходящих пакетов;
inside-destination-address – ключ для указания IP-адреса назначения приходящих пакетов;
outiside-source-address – ключ для указания IP-адреса источника отправляемых пакетов;
outside-destination-address – ключ для указания IP-адреса назначения отправляемых пакетов;
inside-source-port – ключ для указания TCP/UDP-порта отправителя в приходящих пакетах;
outside-source-port – ключ для указания TCP/UDP-порта отправителя в отправляемых пакетах;
inside-destination-port – ключ для указания TCP/UDP-порта назначения в приходящих пакетах;
outside-destination-port – ключ для указания TCP/UDP-порта назначения в отправляемых пакетах.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# clear ip firewall sessions vrf VRF1
clear ipv6 firewall counters
Данной командой осуществляется сброс счетчиков правил Firewall.
Синтаксис
clear ipv6 firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [<ORDER>] ] ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут очищены счетчики правил в указанном VRF;
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик;
<DESTINATION-ZONE> – зона безопасности, в которую поступает трафик;
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будут очищены счетчики только по данному правилу.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# clear ipv6 firewall counters trusted self
clear ipv6 firewall sessions
Данной командой осуществляется удаление активных IPv6-сессий.
Синтаксис
clear ipv6 firewall sessions [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <IPV6-ADDR> ] [ outiside-source-address <IPV6-ADDR> ] [ inside-destination-address <IPV6-ADDR> ] [ outside-destination-address <IPV6-ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут удалены активные сессии в указанном VRF;
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;
<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
<PORT> – TCP/UDP-порт, принимает значения [1..65535];
inside-source-address – команда для указания IPv6-адреса источника приходящих пакетов;
inside-destination-address – команда для указания IPv6-адреса назначения приходящих пакетов;
outiside-source-address – команда для указания IPv6-адреса источника отправляемых пакетов;
outside-destination-address – команда для указания IPv6-адреса назначения отправляемых пакетов;
inside-source-port – ключ для указания TCP/UDP-порта отправителя в приходящих пакетах;
outside-source-port – ключ для указания TCP/UDP-порта отправителя в отправляемых пакетах;
inside-destination-port – ключ для указания TCP/UDP-порта назначения в приходящих пакетах;
outside-destination-port – ключ для указания TCP/UDP-порта назначения в отправляемых пакетах.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# clear ipv6 firewall sessions vrf VRF1
description
Данная команда используется для изменения описания конфигурируемой зоны или пары зон безопасности. Использование отрицательной формы команды (no) удаляет установленное описание.
Синтаксис
description <DESCRIPTION>
no description
Параметры
<DESCRIPTION> – описание зоны безопасности, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE
CONFIG-SECURITY-ZONE-PAIR
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
esr(config-security-zone)# description "Trusted interfaces"
enable
Данная команда используется для активирования правила.
Использование отрицательной формы команды (no) деактивирует правило.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
esr(config-security-zone-rule)# enable
ip firewall disable
Данная команда используется для отключения функции Firewall на сетевом интерфейсе.
Использование отрицательной формы команды (no) включает функцию Firewall на сетевом интерфейсе.
Синтаксис
[no] ip firewall disable
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IF-GI
CONFIG-IF-TE
CONFIG-IF-TWE
CONFIG-IF-FO
CONFIG-IF-HU
CONFIG-OOB
CONFIG-IF-SUB
CONFIG-IF-QINQ
CONFIG-SERIAL
CONFIG-IF-PORT-CHANNEL
CONFIG-BRIDGE
CONFIG-IF-E1
CONFIG-IF-MULTILINK
CONFIG-CELLULAR-MODEM
CONFIG-VTI
CONFIG-GRE
CONFIG-IP4IP4
CONFIG-L2TP
CONFIG-LT
CONFIG-PPPOE
CONFIG-PPTP
CONFIG-OPENVPN
CONFIG-WIREGUARD-SERVER
CONFIG-WIREGUARD-TUNNEL-PEER
Пример
esr(config-if-gi)# ip firewall disable
ip firewall mode
Данная команда используется для выбора режима работы межсетевого экрана.
Использование отрицательной формы команды (no) устанавливает режим работы межсетевого экрана по умолчанию.
Синтаксис
ip firewall mode <MODE>
no ip firewall mode
Параметры
<MODE> – режим работы межсетевого экрана, может принимать значения:
- stateful – режим, при котором маршрутизатор отслеживает сессии. Первые пакеты сессии проходят полный цикл проверки согласно правилам межсетевого экрана, а последующие пакеты сессии маршрутизируются без дополнительных проверок. В этом режиме, если "прямой" трафик разрешён, "ответный" трафик разрешается автоматически. Данное правило не распространяется на работу механизма DPI.
- stateless – режим, при котором маршрутизатор не отслеживает сессии. Каждый пакет проходит полный цикл проверки согласно правилам межсетевого экрана, что существенно снижает производительность оборудования. Использование данного режима допустимо только в условиях крайней необходимости.
Значение по умолчанию
stateful
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall mode stateless
ip firewall sessions counters
Командой выполняется включение счетчиков сессий для NAT и Firewall. Счетчики увеличиваются только тогда, когда устанавливается новая сессия. Для установленных сессий увеличения значений счетчиков не происходит при прохождении пакетов. Включение счетчиков снижает производительность маршрутизатора.
Команды для просмотра счетчиков и сессий описаны в разделах show ip firewall counters, show ip firewall sessions, show ipv6 firewall counters и show ipv6 firewall sessions.
Использование отрицательной формы команды (no) отключает счетчики сессий.
Синтаксис
[no] ip firewall sessions counters
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions counters
ip firewall sessions allow-unknown
Данной командой отключается фильтрация пакетов, для которых не удалось определить принадлежность к какому-либо известному соединению и которые не являются началом нового соединения.
Использование отрицательной формы команды (no) включает фильтрацию.
Синтаксис
[no] ip firewall sessions allow-unknown
Параметры
Команда не содержит параметров.
Значение по умолчанию
Включено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions allow-unknown
ip firewall sessions generic-timeout
Данной командой определяется время жизни сессии для неподдерживаемых протоколов, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions generic-timeout <TIME>
no ip firewall sessions generic-timeout
Параметры
<TIME> – время жизни сессии для неподдерживаемых протоколов, принимает значения в секундах [1..8553600].
Значение по умолчанию
60 секунд.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions generic-timeout 60
ip firewall sessions icmp-timeout
Данной командой определяется время жизни ICMP-сессии, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions icmp-timeout <TIME>
no ip firewall sessions icmp-timeout
Параметры
<TIME> – время жизни ICMP-сессии, принимает значения в секундах [1..8553600].
Значение по умолчанию
30 секунд.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions icmp-timeout 60
ip firewall sessions icmpv6-timeout
Данной командой определяется время жизни ICMPv6-сессии, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions icmpv6-timeout <TIME>
no ip firewall sessions icmpv6-timeout
Параметры
<TIME> – время жизни ICMPv6-сессии, принимает значения в секундах [1..8553600].
Значение по умолчанию
30 секунд.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions icmpv6-timeout 60
ip firewall sessions max-expect
Данной командой определяется размер таблицы сессий, ожидающих обработки.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions max-expect <COUNT>
no ip firewall sessions max-expect
Параметры
<COUNT> – размер таблицы, принимает следующие значения:
ESR-1x | ESR-15 | ESR-2X | ESR-3X | ESR-100 | ESR-200 | ESR-1000, ESR-1200 | ESR-1500 | ESR-1511, ESR-1700, ESR-3100, ESR-3200L, ESR-3200, ESR-3300, vESR |
---|---|---|---|---|---|---|---|---|
440000 | 300000 | 2940000 | 3260000 | 1574000 | 2259000 | 3130000 | 2430000 | 8553600 |
Значение по умолчанию
256
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions max-expect 512
ip firewall sessions max-tracking
Данной командой определяется размер таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions max-tracking <COUNT>
no ip firewall sessions max- tracking
Параметры
<COUNT> – размер таблицы, принимает следующие значения:
ESR-1x | ESR-15 | ESR-2X | ESR-3X | ESR-100 | ESR-200 | ESR-1000, ESR-1200 | ESR-1500 | ESR-1511, ESR-1700, ESR-3100, ESR-3200L, ESR-3200, ESR-3300, vESR |
---|---|---|---|---|---|---|---|---|
440000 | 300000 | 2940000 | 3260000 | 1574000 | 2259000 | 3130000 | 2430000 | 8553600 |
Значение по умолчанию
ESR-1x, ESR-15 - 64000
Для остальных моделей - 512000
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions max-tracking 256000
ip firewall sessions tcp-connect-timeout
Данной командой определяется время жизни TCP-сессии в состоянии «соединение устанавливается», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions tcp-connect-timeout <TIME>
no ip firewall sessions tcp-connect-timeout
Параметры
<TIME> – время жизни TCP-сессии в состоянии «соединение устанавливается», принимает значения в секундах [1..8553600].
Значение по умолчанию
60 секунд.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions tcp-connect-timeout 120
ip firewall sessions tcp-disconnect-timeout
Данной командой определяется время жизни TCP-сессии в состоянии «соединение закрывается», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions tcp-disconnect-timeout <TIME>
no ip firewall sessions tcp-disconnect-timeout
Параметры
<TIME> – время жизни TCP-сессии в состоянии «соединение закрывается», принимает значения в секундах [1..8553600].
Значение по умолчанию
30 секунд
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions tcp-disconnect-timeout 10
ip firewall sessions tcp-estabilished-timeout
Данной командой определяется время жизни TCP-сессии в состоянии «соединение установлено», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions tcp-estabilished-timeout <TIME>
no ip firewall sessions tcp-estabilished-timeout
Параметры
<TIME> – время жизни TCP-сессии в состоянии «соединение установлено», принимает значения в секундах [1..8553600].
Значение по умолчанию
120 секунд.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions tcp-estabilished-timeout 3600
ip firewall sessions tcp-latecome-timeout
Данной командой определяется время ожидания, по истечении которого происходит фактическое удаление закрытой TCP-сессии из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions tcp-latecome-timeout <TIME>
no ip firewall sessions tcp-latecome-timeout
Параметры
<TIME> – время ожидания, принимает значения в секундах [1..8553600].
Значение по умолчанию
120 секунд.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions tcp-latecome-timeout 10
ip firewall sessions tracking
Данной командой включается функция отслеживания сессий уровня приложений для отдельных протоколов.
Использование отрицательной формы команды (no) отключает функцию отслеживания сессий уровня приложений для отдельных протоколов.
Синтаксис
ip firewall sessions tracking { <PROTOCOL> | sip [ port <OBJECT-GROUP-SERVICE> | session-lifetime <TIME> ] }
no ip firewall sessions tracking { <PROTOCOL> | sip [ port <OBJECT-GROUP-SERVICE> ] | all }
Параметры
<PROTOCOL> – протокол уровня приложений, сессии которого должны отслеживаться, принимает значения [ftp, h323, pptp, netbios-ns];
<OBJECT-GROUP-SERVICE> – имя профиля TCP/UDP-портов SIP-сессии, задаётся строкой до 31 символа. Если группа не указана, то отслеживание сессий SIP будет осуществляться для порта 5060;
Вместо имени отдельного протокола можно использовать ключ "all", который включает функцию отслеживания сессий уровня приложений для всех доступных протоколов.
<TIME> – время жизни отслеживаемой SIP-сессии, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий. Принимает значения в секундах [1..8553600].
Значение по умолчанию
Отключено для всех протоколов.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions tracking ftp
ip firewall sessions udp-assured-timeout
Данной командой определяется время жизни UDP-сессии в состоянии «соединение подтверждено», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions udp-assured-timeout <TIME>
no ip firewall sessions udp-assured-timeout
Параметры
<TIME> – время жизни UDP-сессии в состоянии «соединение подтверждено», принимает значения в секундах [1..8553600].
Значение по умолчанию
180 секунд.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions udp-assured-timeout 3600
ip firewall sessions udp-wait-timeout
Данной командой определяется время жизни UDP-сессии в состоянии «соединение не подтверждено», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions udp-wait-timeout <TIME>
no ip firewall sessions udp-wait-timeout
Параметры
<TIME> – время жизни UDP-сессии в состоянии «соединение не подтверждено», принимает значения в секундах [1..8553600].
Значение по умолчанию
30 секунд.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions udp-wait-timeout 60
match application
Данной командой устанавливается профиль приложений, для которых должно срабатывать правило. Данная функция используется для фильтрации по приложениям (механизм DPI).
При использовании параметра «not» правило будет срабатывать для приложений, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] application <OBJ-GROUP-APPLICATION>
no match application
Параметры
<OBJ-GROUP-APPLICATION> – имя профиля приложений, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
esr(config-security-zone-pair-rule)# match application APP_DENY
match destination-address
Данной командой устанавливается профиль IP-адресов получателя, для которых должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для IP-адресов получателя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-address { address-range { <ADDR>[-<ADDR>] |
<IPV6-ADDR>[-<IPV6-ADDR>] } | prefix { <ADDR/LEN> | <IPv6-ADDR/LEN> } | object-group <OBJ-GROUP-NETWORK-NAME> | any }
no match destination-address
Параметры
address-range <ADDR>[-<ADDR>] – диапазон IP-адресов для правил firewall. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для срабатывания правила используется только IP-адрес начала диапазона.
Параметр задаётся в виде A.B.C.D, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
prefix <ADDR/LEN> – IP-подсеть, используемая для срабатывания правила фильтрации firewall. Параметр задаётся в виде A.B.C.D/E, где каждая часть A – D принимает значения [0..255] и E принимает значения [1..32]; <IPv6-ADDR/LEN> – IPv6-адрес, задаётся в виде X:X:X:X::X/E, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и E принимает значения [1..128];
object-group <OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
esr(config-security-pair-zone-rule)# match destination-address object-group remote_workspace
match destination-address-port
Данной командой устанавливается профиль связок IP-адресов и TCP/UDP-портов получателя, для которых должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для связок IP-адресов и TCP/UDP-портов получателя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-address-port { address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } | object-group <OBJ-GROUP-ADDRESS-PORT-NAME> | any }
no match destination-address-port
Параметры
address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } – связка IP-адресов и TCP/UDP-портов. IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255], номер порта, принимает значение [1..65535]. <IPV6-ADDR>:<PORT> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF], номер порта, принимает значение [1..65535];
object-group <OBJ-GROUP-ADDRESS-PORT-NAME> – имя профиля связок IP-адресов и TCP/UDP-портов, задаётся строкой до 31 символа.
При указании значения «any» правило не будет учитывать данный способ фильтрации.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
esr(config-security-zone-pair-rule)# match destination-address object-group local
match destination-mac
Данной командой устанавливается MAC-адрес получателя, для которого должно срабатывать правило.
При использовании параметра «not» (match not) правило будет срабатывать для MAC-адресов получателя, отличных от указанного.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-mac { mac <ADDR> | object-group <OBJ-GROUP-MAC-NAME> }
no match destination-mac
Параметры
<ADDR> – МАС-адрес получателя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].
object-group <OBJ-GROUP-MAC-NAME> – имя профиля MAC-адресов, задаётся строкой до 31 символа.
При указании значения «any» правило будет срабатывать для любого MAC-адреса получателя.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
esr(config-security-zone-pair-rule)# match destination-mac mac A8:F9:4B:AA:00:40
match destination-nat
Данной командой устанавливается ограничение, при котором правило будет срабатывать только для трафика, измененного сервисом трансляции IP-адресов и портов получателя.
При использовании параметра «not» правило будет срабатывать для трафика, не измененного сервисом трансляции IP-адресов и портов получателя. Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-nat
no match destination-nat
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
esr(config-security-zone-pair-rule)# match destination-nat
match destination-port
Данной командой устанавливается профиль TCP/UDP-портов получателя, для которых должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для TCP/UDP-портов получателя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
match [not] destination-port { port-range <PORT>[-<PORT>] | object-group <PORT-SET-NAME> | any }
no match destination-port
Параметры
port-range <PORT>[-<PORT>] – address-port <PORT>[-<PORT>] – диапазон TCP/UDP-портов для правил firewall. Если не указывать TCP/UDP-порт конца диапазона, то в качестве TCP/UDP-порта для срабатывания правила используется только порт начала диапазона.
<PORT-SET-NAME> – имя профиля TCP/UDP-портов, задаётся строка до 31 символа.
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
esr(config-security-zone-pair-rule)# match destination-port object-group ssh
match fragment
Данной командой определяются фрагментированные пакеты, направленные на устройство. Команда применима только в правилах между зонами any self. Под действие правила попадают второй и последующие фрагменты пакета. Обработка пакетов этим правилом происходит до трансляции адресов DNAT.
При использовании параметра «not» правило будет срабатывать для нефрагментированных пакетов.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] fragment
no match fragmen
Параметры
Отсутствуют.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
esr(config-security-zone-pair-rule)# match fragment
match icmp
Данная команда используется для настройки параметров протокола ICMP, если он выбран командой «match protocol». Данной командой устанавливается тип и код сообщений протокола ICMP, для которых должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для всех типов и кодов сообщений протокола ICMP, кроме указанных.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] icmp { <ICMP_TYPE> <ICMP_CODE> | <OPTION> }
no match icmp
Параметры
<ICMP_TYPE> – тип сообщения протокола ICMP, принимает значения [0..255];
<ICMP_CODE> – код сообщения протокола ICMP, принимает значения [0..255]. При указании значения «any» правило будет срабатывать для любого кода сообщения протокола ICMP;
<OPTION> – стандартные типы ICMP-сообщений, могут принимать значения:
- administratively-prohibited;
- alternate-address;
- conversion-error;
- dod-host-prohibited;
- dod-network-prohibited;
- echo;
- echo-reply;
- host-isolated;
- host-precedence;
- host-redirect;
- host-tos-redirect;
- host-tos-unreachable;
- host-unknown;
- host-unreachable;
- information-reply;
- information-request;
- mask-reply;
- mask-request;
- network-redirect;
- network-tos-redirect;
- network-tos-unreachable;
- network-unknown;
- network-unreachable;
- option-missing;
- packet-too-big;
- parameter-problem;
- port-unreachable;
- precedence;
- protocol-unreachable;
- reassembly-timeout;
- router-advertisement;
- router-solicitation;
- source-quench;
- source-route-failed;
- time-exceeded;
- timestamp-reply;
- timestamp-request;
- traceroute.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
esr(config-security-zone-pair-rule)# match icmp 2 any
match ip-option
Данной командой определяются пакеты, содержащие опции в IP-заголовках. Команда применима только в правилах между зонами any self.
При использовании параметра «not» правило будет срабатывать для пакетов, не содержащих опций в IP-заголовках.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] ip-option
no match ip-option
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
esr(config-security-zone-pair-rule)# match ip-options
match protocol
Данной командой устанавливается имя или номер IP-протокола, для которого должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для всех протоколов, кроме указанного.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] protocol <TYPE>
no match protocol
match [not] protocol-id <ID>
no match protocol-id
Параметры
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre.
При указании значения «any» правило будет срабатывать для любых протоколов;
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
esr(config-security-zone-pair-rule)# match protocol udp
match source-address
Данной командой устанавливается профиль IP-адресов отправителя, для которых должно срабатывать правило.
При использовании параметра «not» (match not) правило будет срабатывать для IP-адресов отправителя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-address { address-range { <ADDR>[-<ADDR>] | <IPV6-ADDR>[-<IPV6-ADDR>] } | prefix { <ADDR/LEN> | <IPv6-ADDR/LEN> } |
object-group <OBJ-GROUP-NETWORK-NAME> | any }
no match source-address
Параметры
address-range <ADDR>[-<ADDR>] – диапазон IP-адресов для правил firewall. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для срабатывания правила используется только IP-адрес начала диапазона.
Параметр задаётся в виде A.B.C.D, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
prefix <ADDR/LEN> – IP-подсеть, используемая для срабатывания правила фильтрации firewall. Параметр задаётся в виде A.B.C.D/E, где каждая часть A – D принимает значения [0..255] и E принимает значения [1..32]; <IPv6-ADDR/LEN> – IPv6-адрес, задаётся в виде X:X:X:X::X/E, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и E принимает значения [1..128];
object-group <OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
esr(config-security-zone-pair-rule)# match source-address object-group remote
match source-address-port
Данной командой устанавливается профиль связок IP-адресов и TCP/UDP-портов отправителя, для которых должно срабатывать правило.
При использовании параметра «not» (match not) правило будет срабатывать для связок IP-адресов и TCP/UDP-портов отправителя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-address-port { address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } |
object-group <OBJ-GROUP-ADDRESS-PORT-NAME> | any }
no match source-address-port
Параметры
address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } – связка IP-адресов и TCP/UDP-портов. IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255], номер порта, принимает значение [1..65535]. <IPV6-ADDR>:<PORT> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF], номер порта, принимает значение [1..65535];
object-group <OBJ-GROUP-ADDRESS-PORT-NAME> – имя профиля связок IP-адресов и TCP/UDP-портов, задаётся строкой до 31 символа.
При указании значения «any» правило не будет учитывать данный способ фильтрации.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
esr(config-security-zone-pair-rule)# match source-address-port object-group admin
match source-mac
Данной командой устанавливается MAC-адрес отправителя, для которого должно срабатывать правило.
При использовании параметра «not» (match not) правило будет срабатывать для MAC-адресов отправителя, отличных от указанного.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-mac { mac <ADDR> | object-group <OBJ-GROUP-MAC-NAME> }
no match source-mac
Параметры
mac <ADDR> – МАС-адрес отправителя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].
object-group <OBJ-GROUP-MAC-NAME> – имя профиля MAC-адресов, задаётся строкой до 31 символа.
При указании значения «any» правило будет срабатывать для любого MAC-адреса источника.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
esr(config-security-zone-pair-rule)# match source-mac mac A8:F9:4B:AA:00:40
match source-port
Данной командой устанавливается профиль TCP/UDP-портов отправителя, для которых должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для TCP/UDP-портов отправителя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-port { port-range <PORT>[-<PORT>] | object-group <PORT-SET-NAME> | any }
no match source-port
Параметры
port-range <PORT>[-<PORT>] – address-port <PORT>[-<PORT>] – диапазон TCP/UDP-портов для правил firewall. Если не указывать TCP/UDP-порт конца диапазона, то в качестве TCP/UDP-порта для срабатывания правила используется только порт начала диапазона.
object-group <PORT-SET-NAME> – имя профиля TCP/UDP-портов, задаётся строка до 31 символа.
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
esr(config-security-zone-pair-rule)# match source-port object-group telnet
ports firewall enable
Данная команда активирует фильтрацию и режим отслеживания сессий при прохождении пакетов между членами Bridge-интерфейса.
Использование отрицательной формы команды (no) удаляет назначенное действие.
Синтаксис
[no] ports firewall enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-BRIDGE
Пример
esr(config-bridge)# ports firewall enable
rearrange
Данная команда меняет шаг между созданными правилами.
Синтаксис
rearrange <VALUE>
Параметры
<VALUE> – шаг между правилами, принимает значения [1..50].
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR
Пример
esr(config-security-zone-pair)# rearrange 10
renumber rule
Данная команда меняет номер правила.
Синтаксис
renumber rule <CUR_ORDER> <NEW_ORDER>
Параметры
<CUR_ORDER> – текущий номер правила, принимает значения [1..10000];
<NEW_ORDER> – новый номер правила, принимает значения [1..10000].
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR
Пример
esr(config-security-zone-pair)# renumber rule 13 100
rule
Данная команда используется для создания правила и перехода в командный режим SECURITY ZONE PAIR RULE. Правила обрабатываются устройством в порядке возрастания их номеров.
Использование отрицательной формы команды (no) удаляет указанное правило.
Синтаксис
[no] rule <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..10000]. Если при удалении используется значение параметра "all", то будут удалены все правила для конфигурируемой пары зон безопасности.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR
Пример
esr(config-security-zone-pair)# rule 10 esr(config-security-zone-pair-rule)#
security zone
Данная команда используется для создания зон безопасности и перехода в режим конфигурирования зоны.
Использование отрицательной формы команды (no) удаляет заданную зону безопасности.
Синтаксис
[no] security zone [ <NAME> | all ]
Параметры
<NAME> – имя создаваемой зоны безопасности, задаётся строкой до 12 символов. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все зоны безопасности.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# security zone trusted esr(config-security-zone)#
security-zone
Данная команда используется для добавления выбранного сетевого интерфейса в зону безопасности. Использование отрицательной формы команды (no) удаляет интерфейс из зоны.
Синтаксис
security-zone <NAME>
no security-zone
Параметры
<NAME> – имя зоны безопасности, задаётся строкой до 12 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IF-GI
CONFIG-IF-TE
CONFIG-IF-TWE
CONFIG-IF-FO
CONFIG-IF-HU
CONFIG-OOB
CONFIG-IF-SUB
CONFIG-IF-QINQ
CONFIG-SERIAL
CONFIG-IF-PORT-CHANNEL
CONFIG-BRIDGE
CONFIG-CELLULAR-MODEM
CONFIG-IF-E1
CONFIG-IF-MULTILINK
CONFIG-VTI
CONFIG-GRE
CONFIG-IP4IP4
CONFIG-LT
CONFIG-PPPOE
CONFIG-PPTP
CONFIG-L2TP
CONFIG-OPENVPN
CONFIG-L2TP-SERVER
CONFIG-OPENVPN-SERVER
CONFIG-PPTP-SERVER
CONFIG-WIREGUARD-SERVER
CONFIG-WIREGUARD-TUNNEL-PEER
Пример
esr(config-if-gi)# security-zone trusted
security zone-pair
Данная команда используется для создания группы правил для пары зон безопасности.
Использование отрицательной формы команды (no) удаляет указанную группу правил.
Синтаксис
[no] security zone-pair <SOURCE-ZONE> <DESTINATION-ZONE> [ vrf <VRF> ]
Параметры
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик. Допустимые варианты зон:
- Пользовательская - созданная пользователем;
- any - служебная зона, характеризующая любые зоны;
<DESTINATION-ZONE> – зона безопасности, в которую поступает трафик, созданная пользователем. Допустимые варианты зон:
- Пользовательская - созданная пользователем;
- any - служебная зона, описывающая любые зоны;
- self - служебная зона, описывающая трафик, предназначенный самому маршрутизатору (трафик не является транзитным);
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. Данный параметр возможно использовать только для пар зон "any"-"any" и "any"-"self";
Если при удалении используется значение параметра «all», то будут удалены все конфигурируемые пары зон безопасности.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# security zone-pair trusted self esr(config)# security zone-pair any self vrf VRF
show ip firewall counters
Данная команда используется для просмотра статистики по пакетам, проходящим между зонами, для которых не установлена сессия.
Синтаксис
show ip firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [ <ORDER> ] ] ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены счетчики правил в указанном VRF;
<DESTINATION-ZONE> – зона безопасности, в которую поступает трафик;
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик;
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show ip firewall counters Zone-pair Rule Action Pkts Bytes Description ------------------------------ ---------- --------------- ---------- ---------- -------------------- any/any default deny 0 0 -- trusted/self 1 permit 0 0 From local to router trusted/trusted 1 permit 0 0 --
show ip firewall sessions
Данная команда используется для просмотра активных IP-сессий.
Синтаксис
show ip firewall sessions [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <ADDR>] [ outside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ summary ] [ configuration ] [ expected ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены активные сессии в указанном VRF;
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<PORT> – TCP/UDP-порт, принимает значения [1..65535];
inside-source-address – команда для указания IP-адреса источника приходящих пакетов;
inside-destination-address – команда для указания IP-адреса назначения приходящих пакетов;
outiside-source-address – команда для указания IP-адреса источника отправляемых пакетов;
outside-destination-address – команда для указания IP-адреса назначения отправляемых пакетов;
inside-source-port – ключ для указания TCP/UDP-порта отправителя в приходящих пакетах;
outside-source-port – ключ для указания TCP/UDP-порта отправителя в отправляемых пакетах;
inside-destination-port – ключ для указания TCP/UDP-порта назначения в приходящих пакетах;
outside-destination-port – ключ для указания TCP/UDP-порта назначения в отправляемых пакетах;
summary – выводит суммарную статистику по IP-сессиям;
configuration – выводит настройку таймаутов и объема таблиц IP-сессий;
expected – команда для отображения сессий, ожидающих обработки других сессий.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show ip firewall sessions Codes: E - expected, U - unreplied, A - assured, C - confirmed Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status ----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------ icmp 22 10.0.22.3 10.0.22.15 10.0.22.3 10.0.22.15 1 84 C udp 19 192.168.0.15:138 192.168.0.37:138 192.168.0.15:138 192.168.0.37:138 5 1100 UC
show ip firewall sessions tracking
Данной командой отображается настройка функционала отслеживания сессий уровня приложений.
Синтаксис
show ip firewall sessions tracking
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show ip firewall sessions tracking Tracking Status: FTP: Enabled H.323: Enabled GRE: Enabled PPTP: Enabled NETBIOS-NS: Enabled SIP: Enabled
show ipv6 firewall counters
Данная команда используется для просмотра статистики по пакетам, проходящим между зонами, для которых не установлена сессия.
Синтаксис
show ipv6 firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [ <ORDER> ] ] ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены счетчики правил в указанном VRF;
<DESTINATION-ZONE> – зона безопасности, в которую поступает трафик;
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик;
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show ipv6 firewall counters trusted self Zone-pair Rule Action Pkts Bytes Description ------------------------------ ---------- --------------- ---------- ---------- -------------------- any/any default deny 0 0 -- trusted/self 1 permit 0 0 From local to router trusted/trusted 1 permit 0 0 --
show ipv6 firewall sessions
Данная команда используется для просмотра активных IPv6-сессий.
Синтаксис
show ipv6 firewall sessions [ vrf <VRF> ] [summary] [ protocol <TYPE> ] [ inside-source-address <IPV6-ADDR>] [ outiside-source-address <IPV6-ADDR> ] [ inside-destination-address <IPV6-ADDR> ] [ outside-destination-address <IPV6-ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ expected ] [ summary ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены активные сессии в указанном VRF;
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;
<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
<PORT> – TCP/UDP-порт, принимает значения [1..65535];
inside-source-address – команда для указания IPv6-адреса источника приходящих пакетов;
inside-destination-address – команда для указания IPv6-адреса назначения приходящих пакетов;
outiside-source-address – команда для указания IPv6-адреса источника отправляемых пакетов;
outside-destination-address – команда для указания IPv6-адреса назначения отправляемых пакетов;
inside-source-port – ключ для указания TCP/UDP-порта отправителя в приходящих пакетах;
outside-source-port – ключ для указания TCP/UDP-порта отправителя в отправляемых пакетах;
inside-destination-port – ключ для указания TCP/UDP-порта назначения в приходящих пакетах;
outside-destination-port – ключ для указания TCP/UDP-порта назначения в отправляемых пакетах;
expected – команда для отображения сессий, ожидающих обработки других сессий;
summary – выводит суммарную статистику по IPv6-сессиям.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show ipv6 firewall sessions esr-15# show ipv6 firewall sessions Codes: E - expected, U - unreplied, A - assured, C - confirmed Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status ----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------ icmp6 13 fc00::2 fc00::1 fc00::2 fc00::1 -- -- C tcp 112 [fc00::2]:42156 [fc00::1]:22 [fc00::2]:42156 [fc00::1]:22 -- -- AC
show security zone
Данная команда используется для просмотра интерфейсов, входящих в зону безопасности.
Синтаксис
show security zone [<NAME>]
Параметры
<NAME> – имя зоны, задаётся строкой до 31 символа.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show security zone Zone name Interfaces ------------- ------------------------------------------ trusted gi1/0/2-6, bridge 1, openvpn(open_test) untrusted gi1/0/1, te1/0/1-2, bridge 2, pptp(p)
show security zone-pair
Данная команда используется для просмотра списка пар зон.
Синтаксис
show security zone-pair
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show security zone-pair From zone To zone VRF Description ------------- ------------- -------------------------------- ------------------------------------------- trusted untrusted -- Transit zone-pair trusted trusted -- -- trusted self WAN-2 From WAN-2 untrusted self WAN-1 From WAN-1
show security zone-pair configuration
Данная команда используется для просмотра правил для пары зон безопасности.
Синтаксис
show security zone-pair configuration <SOURCE-ZONE> <DESTINATION-ZONE> [<ORDER>]
Параметры
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик;
<DESTINATION-ZONE> – зона безопасности, в которую поступает трафик;
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show security zone-pair configuration trusted self Order: 1 Description: -- Matching pattern: Protocol: icmp Fragment: IP options: Source MAC: any Destination MAC: any Source address: 10.0.34.12 Destination address: 10.0.34.90 Destination NAT: -- Application: -- Action: Permit Status: Enabled --------------------------------------------------------------------------------