11.4. Команды ACL

11.4.1. mac access-list

Назначение

Команда mac access-list используется для создания и перехода в режим настройки MAC ACL.

Команда no mac access-list используется для удаления MAC ACL.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

mac access-list ACL_NAME

no mac access-list ACL_NAME

Параметр

Описание параметра

Значение параметра

ACL_NAME

Имя MAC ACL

Текст до 40 символов

Режим ввода

Global Config

Состояние по умолчанию

Нет

Применение

Если в системе уже существует MAC ACL с таким же именем, будет выполнен вход в режим конфигурации MAC ACL. Однако, если имя ACL используется другим типом ACL, будет показано сообщение с подсказкой.

Если имя не используется ни одной ACL, будет создан MAC ACL и затем выполнен вход в режим конфигурации MAC ACL.

Примеры

Создание MAC ACL с именем “list_mac_1” и вход в режим конфигурации MAC ACL:

Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)#

Удаление MAC ACL с именем list_mac_1:

Switch# configure terminal
Switch(config)# no mac access-list list_mac_1

Связанные команды

match access-group

11.4.2. sequence-num

Назначение

Команда sequence-num используется для удаления фильтра из MAC ACL.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

no sequence-num SEQUENCE_NUM

Параметр

Описание параметра

Значение параметра

SEQUENCE_NUM

Порядковый номер IP/MAC фильтра

1 - 131071

Режим ввода

MAC ACL Configuration

IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Пользователь может удалить ACL, который уже прикреплен к “class-map” и используется интерфейсом.

Примеры

Удаление фильтра с порядковым номером 10 из MAC ACL:

Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# no sequence-num 10

Удаление фильтра с порядковым номером 10 из IP ACL:

Switch# configure terminal
Switch(config)# ip access-list list_ip_1
Switch(config-ip-acl)# no sequence-num 10

Связанные команды

deny

deny tcp

deny udp

deny icmp

deny igmp

permit

permit tcp

permit udp

permit icmp

permit igmp

11.4.3. deny src-mac

Назначение

Команда deny src-mac используется для создания MAC-фильтра, отбрасывающего пакеты, соответствующие правилу фильтра.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) deny src-mac (any|MAC_ADDR MAC_ADDR_MASK|host MAC_ADDR) (dest-mac (any|MAC_ADDR MAC_ADDR_MASK|host MAC_ADDR)| ) (untag-vlan| ((vlan VLAN_ID| ) (cos COS| ) (inner-vlan INNER_VLAN| ) (inner-cos INNER_COS| )) (protocol (arp (arp-op-code)|rarp| ETH_TYPE mask ETH_TYPE_MASK)|packet-length OPERATOR LENGTH| ) (TIME_RANGE_NAME| )

Параметр

Описание параметра

Значение параметра

SEQUENCE_NUM

Порядковый номер MAC ACL. Если поле не задано, будет присвоен автоматически генерируемый номер.

1 - 131071

any

Любой сетевой узел

-

MAC_ADDR MAC_ADDR_MASK

MAC-адрес и его маска

-

host MAC_ADDR

MAC-адрес сетевого устройства

-

dest-mac

MAC-адрес назначения

-

untag-vlan

Без VLAN-тега

-

VLAN_ID

Идентификатор VLAN

1 - 4094

COS

Значение CoS

0 - 7

INNER_VLAN

Внутренний идентификатор VLAN

1 - 4094

INNER_COS

Внутреннее значение CoS

0 - 7

protocol

Тип протокола

-

arp

Протокол ARP

-

arp-op-code

Код операции ARP

0 - 65535

rarp

Протокол RARP

-

ETH_TYPE

Ether type

0 - 0xFFFF

ETH_TYPE_MASK

Маска Ether type

0 - 0xFFFF

TIME_RANGE_NAME

Временной диапазон, используемый MAC-фильтром

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше чем), gt (больше чем), и range (диапазон)

LENGTH

Длина пакета

64 - 16382

Режим ввода

MAC ACL Configuration

Состояние по умолчанию

Нет

Применение

Если поле “sequence-num” не задано, фильтру будет автоматически присвоен порядковый номер. Автоматически присваиваемый порядковый номер увеличивается на 10 по сравнению с максимальным существующим порядковым номером в MAC ACL. Например, если максимальный существующий порядковый номер - 100, порядковый номер последующего создаваемого MAC-фильтра будет 110. Ether type не поддерживается в исходящем ACL.

Примеры

Создание фильтра MAC ACL для запрета пакетов с MAC-адресом источника 0058.3f2C.A1DF:

Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# 1 deny src-mac host 0058.3f2C.A1DF

Создание фильтра MAC ACL для запрета всех пакетов:

Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# 2 deny src-mac any

Создание фильтра MAC ACL для запрета пакетов, MAC-адрес источника которых находится в заданном диапазоне:

Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# 3 deny src-mac 0058.3f2C.A1DF 0058.3f2C.0000

Связанные команды

no sequence-num

11.4.4. permit src-mac

Назначение

Команда permit src-mac используется для создания MAC-фильтра, разрешающего передачу пакетов, соответствующих правилу фильтра.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) permit src-mac (any|MAC_ADDR MAC_ADDR_MAS|host MAC_ADDR) (dest-mac (any|MAC_ADDR MAC_ADDR_MASK|host MAC_ADDR)| ) (untag-vlan| (vlan VLAN| ) (cos COS| ) (inner-vlan INNER_VLAN| ) (inner-cos INNER_COS| )) (protocol (arp (arp-op-code)|rarp|ETH_TYPE mask ETH_TYPE_MASK)|packet-length OPERATOR LENGTH| ) (TIME_RANGE_NAME| )

Параметр

Описание параметра

Значение параметра

SEQUENCE_NUM

Порядковый номер MAC ACL. Если поле не задано, будет присвоен автоматически генерируемый номер.

1 - 131071

any

Любой сетевой узел

-

MAC_ADDR MAC_ADDR_MASK

MAC-адрес и его маска

-

host MAC_ADDR

MAC-адрес сетевого устройства

-

dest-mac

MAC-адрес назначения

-

untag-vlan

Без VLAN-тега

-

VLAN

Идентификатор VLAN

1 - 4094

COS

Значение CoS

0 - 7

INNER_VLAN

Внутренний идентификатор VLAN

1 - 4094

INNER_COS

Внутреннее значение CoS

0 - 7

protocol

Тип протокола

-

arp

Протокол ARP

-

arp-op-code

Код операции ARP

0 - 65535

rarp

Протокол RARP

-

ETH_TYPE

Ether type

0 - 0xFFFF

ETH_TYPE_MASK

Маска Ether type

0 - 0xFFFF

TIME_RANGE_NAME

Имя временного диапазона, используемого MAC-фильтром

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше чем), gt (больше чем), и range (диапазон)

LENGTH

Длина пакета

64 - 16382

Режим ввода

MAC ACL Configuration

Состояние по умолчанию

Нет

Применение

Если поле sequence-num не задано, фильтру будет автоматически присвоен порядковый номер. Автоматически присваиваемый порядковый номер увеличивается на 10 по сравнению с максимальным существующим порядковым номером в MAC ACL. Например, если максимальный существующий порядковый номер - 105, порядковый номер последующего создаваемого MAC-фильтра будет 115. Ether type не поддерживается в исходящем ACL.

Примеры

Создание фильтра в MAC ACL для разрешения пакетов с MAC-адресом источника 0058.3f2C.A1DF:

Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# 1 permit src-mac host 0058.3f2C.A1DF

Создание фильтра в MAC ACL для разрешения всех пакетов:

Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# 2 permit src-mac any

Создание фильтра MAC ACL для разрешения пакетов с MAC-адресом источника в заданном диапазоне:

Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# 3 permit src-mac 0058.3f2C.A1DF 0058.3f2C.0000

Связанные команды

no sequence-num

11.4.5. remark

Назначение

Команда remark используется для добавления примечаний к MAC ACL.

Для удаления примечаний из MAC ACL используйте команду no remark.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

remark REMARK

no remark

Параметр

Описание параметра

Значение параметра

REMARK

Примечание для MAC ACL

Текст до 100 символов

Режим ввода

MAC ACL Configuration

IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Примечания могут содержать до 100 символов. Символы, превышающие лимит, не будут сохранены.

Примеры

Добавление примечания для описания MAC ACL:

Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# remark remark of List for mac

Удаление примечания из MAC ACL:

Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# no remark

Связанные команды

mac access-list

11.4.6. show access-list mac

Назначение

Команда show access-list mac используется для отображения информации о MAC ACL.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

show access-list mac (ACL_NAME| )

Параметр

Описание параметра

Значение параметра

ACL_NAME

Имя MAC ACL

Текст до 40 символов

Режим ввода

Privileged EXEC

Состояние по умолчанию

Нет

Применение

Если имя MAC ACL не задано, будут показаны все MAC ACL в системе.

Примеры

Вывод информации о MAC ACL:

Switch# show access-list mac

mac access-list list_mac_1
 10 deny src-mac host 0000.0001.0002
 20 permit src-mac any

Связанные команды

mac access-list

11.4.7. ip access-list

Назначение

Команда ip access-list используется для создания IP ACL и перехода в режим конфигурации IP ACL.

Чтобы удалить IP ACL, используйте команду no ip access-list.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

ip access-list ACL_NAME

no ip access-list ACL_NAME

Параметр

Описание параметра

Значение параметра

ACL_NAME

Имя IP ACL

Текст до 40 символов

Режим ввода

Global Config

Состояние по умолчанию

Нет

Применение

Если при создании IP ACL в системе уже существует IP ACL с таким же именем, будет выполнен вход в режим конфигурации существующего IP ACL. Однако, если имя ACL используется другим типом ACL, будет показано сообщение с подсказкой.

Если имя не используется ни одним ACL, будет создан IP ACL и затем выволнем вход в режим конфигурации IP ACL.

Примеры

Создание IP ACL с именем “list_ipv4_1” и переход в режим конфигурации IP ACL:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)#

Удаление IP ACL с именем list_ipv4_1:

Switch# configure terminal
Switch(config)# no ip access-list list_ipv4_1

Связанные команды

match access-group

11.4.8. deny

Назначение

Команда deny используется для отбрасывания пакетов, соответствующих IP фильтру.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) deny (PROTO_NUM| any) (SRC_IP SRC_IP_MASK|any|host SRC_IP) (DST_IP DST_IP_MASK|any|host DST_IP) ( ip-precedence PRECEDENCE| dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) ( options| ) (packet-length OPERATOR LENGTH| )(TIME_RANGE_NAME| )

Параметр

Описание параметра

Значение параметра

SEQUENCE_NUM

Порядковый номер IP ACL. Если поле не задано, будет присвоен автоматически генерируемый номер.

1 - 131071

PROTO_NUM

Номер IP-протокола

0 - 255

any

Любой IP-протокол

-

SRC_IP SRC_IP_MASK

IP-адрес источника и его маска

-

host SRC_IP

IP-адрес источника

-

DST_IP DST_IP_MASK

IP-адрес назначения и его маска

-

host DST_IP

IP-адрес устройства назначения

-

PRECEDENCE

Значение IP Precedence

0 - 7

DSCP

Значение DSCP

0 - 63

ecn

Значение ECN

0 - 3

non-fragment

Не фрагментированные пакеты

-

first-fragment

Первый фрагмент

-

non-or-first-fragment

Не фрагментированные или первый фрагмент

-

small-fragment

Малый фрагмент

-

non-first-fragment

Не первый фрагмент

-

routed-packet

Маршрутизированные пакеты

-

options

IP-опции

-

TIME_RANGE_NAME

Интервал времени

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше чем), gt (больше чем), и range (диапазон)

LENGTH

Длина пакета

64 - 16382

Режим ввода

IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Если указана маска IP-адреса, производится логическое “И” IP-адреса с битами обратной маски. Например, 10.10.10.0 0.0.0.255 обозначает диапазон адресов от 10.10.10.0 до 10.10.10.255.

Если поле sequence-num не задано, фильтру будет присвоен автоматически генерируемый номер. Автоматически генерируемый номер увеличивается на 10 от максимального существующего номера в IP ACL. Например, если максимальный существующий номер 100, номер вновь созданного IP-фильтра будет 110.

Примеры

Создание фильтра в IP ACL для запрета любых IP пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# deny any any

Создание фильтра в IP ACL для запрета фрагментированных пакетов с IP-адресом источника 1.1.1.1:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# deny any host 1.1.1.1 any first-fragment

Создание фильтра в IP ACL для запрета любых маршрутизированных пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# deny any any any routed-packet

Связанные команды

no sequence-num

11.4.9. deny tcp

Назначение

Команда deny tcp используется для отбрасывания TCP пакетов, соответствующих IP фильтру.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) deny tcp (SRC_IP SRC_IP_MASK|any|host SRC_IP) (src-port OPERATOR SRC_PORT| ) (DST_IP DST_IP_MASK|any|host DST_IP) (dst-port OPERATOR DST_PORT| ) (ip-precedence PRECEDENCE| dscp DSCP| ) (ECN| ) (established| (match-any|match-all FLAG-NAME| ) | ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (TIME_RANGE_NAME| )

Параметр

Описание параметра

Значение параметра

SEQUENCE_NUM

Порядковый номер IP ACL. Если поле не задано, будет присвоен автоматически генерируемый номер.

1 - 131071

SRC_IP SRC_IP_MASK

IP-адрес источника и его маска

IPv4-адрес и маска

any

Любой сетевой узел-источник

-

host SRC_IP

IP-адрес устройства-источника

IPv4-адрес

OPERATOR SRC_PORT

Оператор сравнения и номер порта-источника

Порт-источник: 0 - 65535. Операторы: eq (равно), lt (меньше чем), gt (больше чем), neq (не равно) и range (диапазон)

DST_IP DST_IP_MASK

IP-адрес назначения и его маска

-

host DST_IP

IP-адрес устройства назначения

IPv4-адрес

OPERATOR DST_PORT

Оператор и номер порта назначения

Порт назначения: 0 - 65535. Операторы: eq (равно), lt (меньше чем), gt (больше чем), neq (не равно) и range (диапазон).

PRECEDENCE

Значение IP Precedence

0 - 7

DSCP

Значение DSCP

0 - 63

ECN

Значение ecn

0 - 3

established

Установленные соединения

-

match-any

Любой из флагов

-

FLAG-NAME

Флаг

ack, fin, psh, rst, syn, urg

non-fragment

Не фрагментированные пакеты

-

first-fragment

Первый фрагмент

-

-non-or-first-fragment

Соответствует не первым фрагментам

-

small-fragment

Малый фрагмент

-

non-first-fragment

Не первый фрагмент

-

routed-packet

Маршрутизированный пакет

-

options

IP-опции

-

TIME_RANGE_NAME

Интервал времени, используемый IP-фильтром

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше чем), gt (больше чем), и range (диапазон)

LENGTH

Длина пакета

64 - 16382

Режим ввода

IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Фрагменты будут недействительными, если указана информация уровня L4 (например, src-port).

Примеры

Создание фильтра IP ACL для запрета любых TCP пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# deny tcp any any

Создание фильтра IP ACL для запрета TCP пакетов с IP-адресом источника 1.1.1.1 и портом источника 0 - 100:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# deny tcp host 1.1.1.1 src-port range 0 100 any

Создание фильтра IP ACL для запрета любых TCP пакетов в установленных TCP соединениях:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# deny tcp any any established

Создание фильтра IP ACL для запрета TCP пакетов с флагом ACK и IP-адресом источника 1.1.1.1:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# deny tcp 10.10.10.0 0.0.0.0 any match ack

Связанные команды

no sequence-num

11.4.10. deny udp

Назначение

Команда deny udp используется для отбрасывания UDP пакетов, соответствующих IP-фильтру.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) deny udp (SRC_IP SRC_IP_MASK| any| host SRC_MAC) (src-port OPERATOR SRC_PORT| ) (DST_IP DST_IP_MASK|any|host DST_MAC) (dst-port OPERATOR DST_PORT| ) (ip-precedence PRECEDENCE| dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (TIME_RANGE_NAME| )

Параметр

Описание параметра

Значение параметра

SEQUENCE_NUM

Порядковый номер IP ACL. Если поле не задано, будет присвоен автоматически генерируемый номер.

1 - 131071

SRC_IP SRC_IP_MASK

IP-адрес источника и его маска

-

any

Любой сетевой узел-источник

-

host SRC_IP

IP-адрес устройства-источника

-

OPERATOR SRC_PORT

Оператор сравнения и номер порта-источника

Номер порта: 0-65535. Оператор: eq (равно), lt (меньше чем), gt (больше чем), neq (не равно) и range (диапазон)

DST_IP DST_IP_MASK

IP-адрес назначения и его маска

-

host DST_IP

IP-адрес устройства назначения

IPv4-адрес

OPERATOR DST_PORT

Оператор сравнения и номер порта назначения

Номер порта: 0 - 65535. Операторы: eq (равно), lt (меньше чем), gt (больше чем), neq (не равно) и range (диапазон)

PRECEDENCE

Значение IP Precedence

0 - 7

DSCP

Значение DSCP

0 - 63

ECN

Значение ecn

0 - 3

non-fragment

Не фрагментированные пакеты

-

first-fragment

Первый фрагмент

-

-non-or-first-fragment

Соответствует не первым фрагментам

-

small-fragment

Малый фрагмент

-

non-first-fragment

Не первый фрагмент

-

routed-packet

Соответствует маршрутизированным пакетам

-

options

IP-опции

-

TIME_RANGE_NAME

Интервал времени, используемый IP фильтром

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше чем), gt (больше чем), и range (диапазон)

LENGTH

Длина пакета

64 - 16382

Режим ввода

IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Фрагменты будут недействительными, если указана информация уровня L4 (например, src-port).

Примеры

Создание фильтра IP ACL для запрета любых UDP пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 1 deny udp any any

Создание фильтра IP ACL для запрета UDP пакетов с IP-адресом источника 1.1.1.1, портом-источником 10 и портом назначения меньше 2000:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 2 deny udp host 1.1.1.1 src-port eq 10 any dst-port lt 2000

Связанные команды

no sequence-num

11.4.11. deny icmp

Назначение

Команда deny icmp используется для отбрасывания ICMP пакетов, соответствующих IP фильтру.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) deny icmp (SRC_IP SRC_IP_MASK|any|host SRC_MAC) (DST_IP DST_IP_MASK|any|host DST_MAC) (icmp-type TYPE-NUM (icmp-code CODE-NUM| )| ) (ip-precedence PRECEDENCE|dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (TIME_RANGE_NAME| )

Параметр

Описание параметра

Значение параметра

TYPE-NUM

Тип ICMP сообщения

0 - 255

CODE-NUM

Код ICMP сообщения

0 - 255

SEQUENCE_NUM

Порядковый номер IP ACL. Если поле не задано, будет присвоен автоматически генерируемый номер.

1 - 131071

SRC_IP SRC_IP_MASK

IP-адрес источника и его маска

-

any

Любой сетевой узел-источник

-

host SRC_IP

IP-адрес устройства-источника

-

DST_IP DST_IP_MASK

IP-адрес назначения и его маска

-

host DST_IP

IP-адрес устройства назначения

-

PRECEDENCE

Значение IP Precedence

0 - 7

DSCP

Значение DSCP

0 - 63

ECN

Значение ecn

0 - 3

non-fragment

Не фрагментированные пакеты

-

first-fragment

Первый фрагмент

-

non-or-first-fragment

Не первый фрагмент

-

small-fragment

Малый фрагмент

-

non-first-fragment

Не первый фрагмент

-

routed-packet

Маршрутизированные пакеты

-

options

IP-опции

-

TIME_RANGE_NAME

Интервал времени, используемый IP фильтром

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше чем), gt (больше чем), и range (диапазон)

LENGTH

Длина пакета

64 - 16382

Режим ввода

IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Данный тип фильтра в основном используется для отбрасывания ICMP пакетов.

Примеры

Создание фильтра IP ACL для запрета любых ICMP пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 1 deny icmp any any

Создание фильтра в IP ACL для запрета ICMP пакетов с типом icmp-type 3 и кодом icmp-code 3:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 2 deny icmp any any icmp-type 3 icmp-code 3

Связанные команды

no sequence-num

11.4.12. deny igmp

Назначение

Команда deny icmp используется для отбрасывания ICMP пакетов, соответствующих IP фильтру.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) deny igmp (SRC_IP SRC_IP_MASK|any|host SRC_MAC) (DST_IP DST_IP_MASK|any|host DST_MAC) (IGMP-TYPE| ) (ip-precedence PRECEDENCE|dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (TIME_RANGE_NAME| )

Параметр

Описание параметра

Значение параметра

TYPE-NUM

Тип ICMP сообщения

0 - 255

CODE-NUM

Код ICMP сообщения

0 - 255

SEQUENCE_NUM

Порядковый номер IP ACL. Если поле не задано, будет присвоен автоматически генерируемый номер.

1 - 131071

SRC_IP SRC_IP_MASK

IP-адрес источника и его маска

-

any

Любой сетевой узел-источник

-

host SRC_IP

IP-адрес устройства-источника

-

DST_IP DST_IP_MASK

IP-адрес назначения и его маска

-

host DST_IP

IP-адрес устройства назначения

-

PRECEDENCE

Значение IP Precedence

0 - 7

DSCP

Значение DSCP

0 - 63

ECN

Значение ECN

0 - 3

non-fragment

Не фрагментированные пакеты

-

first-fragment

Первый фрагмент

-

non-or-first-fragment

Не фрагментированные или первый фрагмент

-

small-fragment

Малый фрагмент

-

non-first-fragment

Не первый фрагмент

-

routed-packet

Соответствует маршрутизированным пакетам

-

options

IP-опции

-

TIME_RANGE_NAME

Интервал времени, используемый IP фильтром

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше чем), gt (больше чем), и range (диапазон)

LENGTH

Длина пакета

64 - 16382

Режим ввода

IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Данныйы тип фильтра используется для фильтрации ICMP пакетов.

Примеры

Создание фильтра в IP ACL для запрета любых ICMP пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 1 deny igmp any any

Создание фильтра в IP ACL для запрета ICMP пакетов с типом icmp-type 3 и кодом icmp-code 3:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 2 deny igmp host 1.1.1.1 any pim

Связанные команды

no sequence-num

11.4.13. deny gre

Назначение

Команда deny gre используется для отбрасывания GRE пакетов, соответствующих IP фильтру.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) deny gre (SRC_IP SRC_IP_MASK|any|host SRC_MAC) (DST_IP DST_IP_MASK|any|host DST_MAC) (key KEY mask KEY-MASK) (ip-precedence PRECEDENCE|dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (TIME_RANGE_NAME| )

Параметр

Описание параметра

Значение параметра

KEY

Ключ GRE

0 - 4294967295

KEY-MASK

Маска ключа GRE

0 - 0xFFFFFFFF

SEQUENCE_NUM

Порядковый номер IP ACL. Если поле не задано, будет присвоен автоматически генерируемый номер.

1 - 131071

SRC_IP SRC_IP_MASK

IP-адрес источника и его маска

-

any

Любой сетевой узел-источник

-

host SRC_IP

IP-адрес устройства-источника

-

DST_IP DST_IP_MASK

IP-адрес назначения и его маска

-

host DST_IP

IP-адрес устройства назначения

-

PRECEDENCE

Значение IP Precedence

0 - 7

DSCP

Значение DSCP

0 - 63

ECN

Значение ECN

0 - 3

non-fragment

Не фрагментированные пакеты

-

first-fragment

Первый фрагмент

-

non-or-first-fragment

Не фрагментированные или первый фрагмент

-

small-fragment

Малый фрагмент

-

non-first-fragment

Не первый фрагмент

-

routed-packet

Маршрутизированные пакеты

-

options

IP-опции

-

TIME_RANGE_NAME

Интервал времени, используемый IP фильтром

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше чем), gt (больше чем), и range (диапазон)

LENGTH

Длина пакета

64 - 16382

Режим ввода

IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Данный тип фильтра используется для отбрасывания GRE пакетов.

Примеры

Создание фильтра IP ACL для запрета любых GRE пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 1 deny gre any any key 0 mask 0

Создание фильтра в IP ACL для запрета GRE пакетов с IP-адресом источника 1.1.1.1, любым IP-адресом назначения и ключом GRE равным 10:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 2 deny gre host 1.1.1.1 any key 10 mask 0xffffffff

Связанные команды

no sequence-num

11.4.14. deny nvgre

Назначение

Команда deny nvgre используется для отбрасывания NVGRE пакетов, соответствующих IP фильтру.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) deny nvgre (SRC_IP SRC_IP_MASK|any|host SRC_MAC) (DST_IP DST_IP_MASK|any|host DST_MAC) (vsid VSID mask VSID-MASK) (ip-precedence PRECEDENCE|dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (TIME_RANGE_NAME| )

Параметр

Описание параметра

Значение параметра

VSID

NVGRE vsid

0 - 16777215

VSID-MASK

Маска NVGRE vsid

0 - 0xFFFFFF

SEQUENCE_NUM

Порядковый номер IP ACL. Если поле не задано, будет присвоен автоматически генерируемый номер.

1 - 131071

PROTO_NUM

Номер IP-протокола

0 - 255

any

Любой IP-протокол

-

SRC_IP SRC_IP_MASK

IP-адрес источника и его маска

-

host SRC_IP

IP-адрес устройства-источника

-

DST_IP DST_IP_MASK

IP-адрес назначения и его маска

-

host DST_IP

IP-адрес устройства назначения

-

PRECEDENCE

Значение IP Precedence

0 - 7

DSCP

Значение DSCP

0 - 63

ECN

Значение ECN

0 - 3

non-fragment

Не фрагментированные пакеты

-

first-fragment

Первый фрагмент

-

non-or-first-fragment

Не фрагментированные или первый фрагмент

-

small-fragment

Малый фрагмент

-

non-first-fragment

Не первый фрагмент

-

routed-packet

Соответствует маршрутизированным пакетам

-

options

IP-опции

-

TIME_RANGE_NAME

Интервал времени, используемый IP-фильтром

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше чем), gt (больше чем), и range (диапазон)

LENGTH

Длина пакета

64 - 16382

Режим ввода

IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Данный тип фильтра используется для фильтрации NVGRE пакетов.

Примеры

Создание фильтра в IP ACL для запрета любых NVGRE пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# deny nvgre any any vsid 0 mask 0

Создание фильтра в IP ACL для запрета NVGRE пакетов с IP-адресом источника 1.1.1.1, любым IP-адресом назначения и VSID равным 10:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# deny gre host 1.1.1.1 any key 10 mask 0xffffff

Связанные команды

no sequence-num

11.4.15. permit

Назначение

Команда permit используется для разрешения пакетов, соответствующих IP фильтру.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) permit (PROTO_NUM|any) (SRC_MAC SRC_MAC_MASK|any|host SRC_MAC) (DST_IP DST_IP_MASK|any|host DST_MAC) (ip-precedence PRECEDENCE|dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (TIME_RANGE_NAME| )

Параметр

Описание параметра

Значение параметра

SEQUENCE_NUM

Порядковый номер IP ACL. Если поле не задано, будет присвоен автоматически генерируемый номер.

1 - 131071

PROTO_NUM

Номер IP протокола

0 - 255

any

Любой IP протокол

-

SRC_IP SRC_IP_MASK

IP-адрес источника и его маска

-

host SRC_IP

IP-адрес устройства-источника

-

DST_IP DST_IP_MASK

IP-адрес назначения и его маска

-

host DST_IP

IP-адрес устройства назначения

-

PRECEDENCE

Значение IP Precedence

0 - 7

DSCP

Значение DSCP

0 - 63

ECN

Значение ECN

0 - 3

non-fragment

Не фрагментированные пакеты

-

first-fragment

Первый фрагмент

-

non-or-first-fragment

Не фрагментированные или первый фрагмент

-

small-fragment

Малый фрагмент

-

non-first-fragment

Не первый фрагмент

-

routed-packet

Соответствует маршрутизированным пакетам

-

options

IP-опции

-

TIME_RANGE_NAME

Интервал времени, используемый IP фильтром

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше чем), gt (больше чем), и range (диапазон)

LENGTH

Длина пакета

64 - 16382

Режим ввода

IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Если указана маска IP-адреса, будет произведено логическое “И” IP-адреса и маски. Например, 10.10.10.0 0.0.0.255 означает, что адреса от 10.10.10.0 до 10.10.10.255 соответствуют фильтру.

Автоматически генерируемый номер последовательности будет присвоен фильтру, если поле sequence-num не задано. Автоматически генерируемый номер последовательности увеличивается на 10 от максимального существующего номера последовательности в IP ACL. Например, если максимальный существующий номер последовательности - 105, номер последовательности для следующего созданного IP-фильтра будет 115.

Примеры

Создание фильтра в IP ACL для разрешения любых IP пакетов:

Switch# configure terminal
Switch(config)# ip access-list ipv4_1
Switch(config-ip-acl)# 2 permit gre host 1.1.1.1 any key 10 mask 0xffffff

Связанные команды

no sequence-num

11.4.16. permit tcp

Назначение

Команда permit tcp используется для разрешения TCP-пакетов, соответствующих IP фильтру.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) permit tcp (SRC_IP SRC_IP_MASK|any|host SRC_MAC) (src-port OPERATOR SRC_PORT| ) (DST_IP DST_IP_MASK|any|host DST_MAC) ( dst-port OPERATOR DST_PORT| ) (ip-precedence PRECEDENCE| dscp DSCP| ) (ECN| ) (established| (match-any|match-all FLAG-NAME| )| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (TIME_RANGE_NAME| )

Параметр

Описание параметра

Значение параметра

SEQUENCE_NUM

Порядковый номер IP ACL. Если поле не задано, будет присвоен автоматически генерируемый номер.

1 - 131071

SRC_IP SRC_IP_MASK

IP-адрес источника и его битовая маска

-

any

Любой сетевой узел-источник

-

host SRC_IP

IP-адрес устройства-источника

-

OPERATOR SRC_PORT

Оператор сравнения и номер порта-источника

Номер порта: 0 - 65535. Операторы: eq (равно), lt (меньше), gt (больше), neq (не равно) и range (диапазон)

DST_IP DST_IP_MASK

IP-адрес назначения и его маска

-

host DST_IP

IP-адрес устройства назначения

-

OPERATOR DST_PORT

Оператор и номер порта назначения

Номер порта: 0 - 65535. Операторы: eq (равно), lt (меньше), gt (больше), neq (не равно) и range (диапазон).

PRECEDENCE

Значение IP Precedence

0 - 7

DSCP

Значение DSCP

0 - 63

ECN

Значение ECN

0 - 3

established

Соответствие установленным TCP-соединениям

-

match-any

Любой из флагов

-

FLAG-NAME

Флаг

ack, fin, psh, rst, syn, urg

non-fragment

Не фрагментированные пакеты

-

first-fragment

Первый фрагмент

-

non-or-first-fragment

Не фрагментированные или первый фрагмент

-

small-fragment

Малый фрагмент

-

non-first-fragment

Не первый фрагмент

-

routed-packet

Соответствие маршрутизированным пакетам

-

options

IP-опции

-

TIME_RANGE_NAME

Имя временного диапазона, используемого в IP-фильтре

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше чем), gt (больше чем), и range (диапазон)

LENGTH

Длина пакета

64 - 16382

Режим ввода

IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Фрагменты станут недействительными, если указаны данные об уровне L4 (например, src-port).

Примеры

Создание фильтра IP ACL для разрешения любых TCP пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# permit any any any

Создание фильтра IP ACL для разрешения TCP пакетов с IP-адресом источника 1.1.1.1 и диапазоном портов-источников от 0 до 100:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# permit tcp host 1.1.1.1 any non-first-fragment

Создание фильтра IP ACL для разрешения любых TCP пакетов в установленных TCP соединениях:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# permit any any any routed-packet

Создание фильтра в IP ACL для разрешения TCP пакетов ACK с IP-адресом источника 10.10.10.0:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# permit tcp 10.10.10.0 0.0.0.0 any match ack

Связанные команды

no sequence-num

11.4.17. permit udp

Назначение

Команда permit udp используется для разрешения UDP-пакетов, соответствующих данному access-list.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) permit udp (SRC_IP SRC_IP_MASK|any|host SRC_MAC) (src-port OPERATOR SRC_PORT| ) (DST_IP DST_IP_MASK|any|host DST_MAC) (dst-port OPERATOR DST_PORT| ) (ip-precedence PRECEDENCE|dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (TIME_RANGE_NAME| )

Параметр

Описание параметра

Значение параметра

SEQUENCE_NUM

Порядковый номер IP ACL. Если поле не задано, будет присвоен автоматически генерируемый номер.

1 - 131071

SRC_IP SRC_IP_MASK

IP-адрес источника и его маска

-

any

Любой сетевой узел-источник

-

host SRC_IP

IP-адрес устройства-источника

IPv4-адрес

OPERATOR SRC_PORT

Оператор и номер порта-источника

Номер порта: 0 - 65535. Операторы: eq (равно), lt (меньше), gt (больше), neq (не равно) и range (диапазон)

DST_IP DST_IP_MASK

IP-адрес назначения и его маска

-

host DST_IP

IP-адрес устройства назначения

-

OPERATOR DST_PORT

Оператор и номер порта назначения

Номер порта: 0 - 65535. Операторы: eq (равно), lt (меньше), gt (больше), neq (не равно) и range (диапазон)

PRECEDENCE

Значение IP Precedence

0 - 7

DSCP

Значение DSCP

0 - 63

ECN

Значение ECN

0 - 3

non-fragment

Не фрагментированные пакеты

-

first-fragment

Первый фрагмент

-

non-or-first-fragment

Соответствие пакетам, не являющимся первыми фрагментами

-

small-fragment

Малый фрагмент

-

non-first-fragment

Не фрагментированные или первый фрагмент

-

routed-packet

Маршрутизированные пакеты

-

options

IP-опции

-

TIME_RANGE_NAME

Имя временного диапазона, используемого в IP-фильтре

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше чем), gt (больше чем), и range (диапазон)

LENGTH

Длина пакета

64 - 16382

Режим ввода

IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Фрагменты становятся недействительными при указании информации уровня L4 (например, src-port).

Примеры

Создание фильтра IP ACL для разрешения любых UDP пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 1 permit udp any any

Создание фильтра IP ACL для разрешения UDP пакетов с IP-адресом источника 1.1.1.1, портом-источником 10 и портом назначения менее 2000:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 2 permit udp host 1.1.1.1 src-port eq 10 any dst-port lt 2000

Связанные команды

no sequence-num

11.4.18. permit icmp

Назначение

Команда permit icmp используется для разрешения ICMP-пакетов, соответствующих IP-фильтру.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) permit icmp (SRC_IP SRC_IP_MASK|any|host SRC_MAC) (DST_IP DST_IP_MASK|any|host DST_MAC) (icmp-type TYPE-NUM (icmp-code CODE-NUM| ) | ) (ip-precedence PRECEDENCE|dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (TIME_RANGE_NAME| )

Параметр

Описание параметра

Значение параметра

icmp-type TYPE-NUM

Тип сообщения ICMP

0 - 255

icmp-code CODE-NUM

Код сообщения ICMP

0 - 255

SEQUENCE_NUM

Порядковый номер IP ACL. Если поле не задано, будет присвоен автоматически генерируемый номер.

1 - 131071

SRC_IP SRC_IP_MASK

IP-адрес источника и его маска

-

any

Любой сетевой узел-источник

-

host SRC_IP

IP-адрес устройства-источника

-

DST_IP DST_IP_MASK

IP-адрес назначения и его маска

-

host DST_IP

IP-адрес устройства назначения

-

PRECEDENCE

Значение IP Precedence

0 - 7

DSCP

Значение DSCP

0 - 63

ECN

Значение ECN

0 - 3

non-fragment

Не фрагментированные пакеты

-

first-fragment

Первый фрагмент

-

non-or-first-fragment

Не фрагментированные или первый фрагмент

-

small-fragment

Малый фрагмент

-

non-first-fragment

Не первый фрагмент

-

routed-packet

Маршрутизированные пакеты

-

options

IP-опции

-

TIME_RANGE_NAME

Имя временного диапазона, используемого в IP-фильтре

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше чем), gt (больше чем), и range (диапазон)

LENGTH

Длина пакета

64 -16382

Режим ввода

IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Данный тип фильтра используется для разрешения ICMP-пакетов.

Примеры

Создание фильтра IP ACL для разрешения любых ICMP пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 1 permit icmp any any

Создание фильтра IP ACL для разрешения ICMP пакетов с icmp-type 3 и icmp-code 3:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 2 permit icmp any any icmp-type 3 icmp-code 3

Связанные команды

deny icmp

no sequence-num

11.4.19. permit igmp

Назначение

Команда permit igmp используется для разрешения IGMP-пакетов, соответствующих IP-фильтру.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) permit igmp (SRC_IP SRC_IP_MASK|any|host SRC_MAC) (DST_IP DST_IP_MASK|any|host DST_MAC) (IGMP-TYPE| ) (ip-precedence PRECEDENCE|dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (TIME_RANGE_NAME| )

Параметр

Описание параметра

Значение параметра

IGMP-TYPE

Тип IGMP

dvmrp, host-query, host-report, mtrace, mtrace-response, pim, precedence, trace, v2-leave, v2-report, v3-report

SEQUENCE_NUM

Порядковый номер IP ACL. Если поле не задано, будет присвоен автоматически генерируемый номер.

1 - 131071

SRC_IP SRC_IP_MASK

IP-адрес источника и его маска

-

any

Любой сетевой узел-источник

-

host SRC_IP

IP-адрес устройства-источника

-

DST_IP DST_IP_MASK

IP-адрес назначения и его маска

-

host DST_IP

IP-адрес устройства назначения

-

PRECEDENCE

Значение IP Precedence

0 - 7

DSCP

Значение DSCP

0 - 63

ECN

Значение ECN

0 - 3

non-fragment

Не фрагментированные пакеты

-

first-fragment

Первый фрагмент

-

non-or-first-fragment

Не фрагментированные или первый фрагмент

-

small-fragment

Малый фрагмент

-

non-first-fragment

Не первый фрагмент

-

routed-packet

Маршрутизированные пакеты

-

options

IP-опции

-

TIME_RANGE_NAME

Имя временного диапазона, используемого в IP-фильтре

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше чем), gt (больше чем), и range (диапазон)

LENGTH

Длина пакета

64 - 16382

Режим ввода

IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Этот тип фильтра используется для разрешения IGMP-пакетов.

Примеры

Создание фильтра IP ACL для разрешения любых IGMP пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 1 permit igmp any any

Создание фильтра IP ACL для разрешения IGMP пакетов с IP-адресом источника 1.1.1.1, любым IP-адресом назначения и типом IGMP PIM:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# 2 permit igmp host 1.1.1.1 any pim

Связанные команды

no sequence-num

11.4.20. permit gre

Назначение

Команда permit gre используется для разрешения GRE-пакетов, соответствующих данному IP-фильтру.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) permit gre (SRC_IP SRC_IP_MASK| any | host SRC_MAC) (DST_IP DST_IP_MASK|any|host DST_MAC) (key KEY mask KEY-MASK) (ip-precedence PRECEDENCE|dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (TIME_RANGE_NAME| )

Параметр

Описание параметра

Значение параметра

KEY

Ключ GRE

0 - 4294967295

KEY-MASK

Маска ключа GRE

0 - 0xFFFFFFFF

SEQUENCE_NUM

Порядковый номер IP ACL. Если поле не задано, будет присвоен автоматически генерируемый номер.

1 - 131071

SRC_IP SRC_IP_MASK

IP-адрес источника и его

-

any

Любой сетевой узел-источник

-

host SRC_IP

IP-адрес устройства-источника

-

DST_IP DST_IP_MASK

IP-адрес назначения и его маска

-

host DST_IP

IP-адрес устройства назначения

-

PRECEDENCE

Значение IP Precedence

0 - 7

DSCP

Значение DSCP

0 - 63

ECN

Значение ECN

0 - 3

non-fragment

Не фрагментированные пакеты

-

first-fragment

Первый фрагмент

-

non-or-first-fragment

Не фрагментированные или первый фрагмент

-

small-fragment

Малый фрагмент

-

non-first-fragment

Не первый фрагмент

-

routed-packet

Маршрутизированные пакеты

-

options

IP-опции

-

TIME_RANGE_NAME

Имя временного диапазона, используемого в IP-фильтре

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше чем), gt (больше чем), и range (диапазон)

LENGTH

Длина пакета

64 - 16382

Режим ввода

IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Этот тип фильтра используется для разрешения GRE-пакетов.

Примеры

Создание фильтра IP ACL для разрешения любых GRE пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# permit gre any any key 0 mask 0

Создание фильтра IP ACL для разрешения GRE пакетов с IP-адресом источника 1.1.1.1, любым IP-адресом назначения и ключом GRE равным 10:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# permit gre host 1.1.1.1 any key 10 mask 0xffffffff

Связанные команды

no sequence-num

11.4.21. permit nvgre

Назначение

Команда permit nvgre используется для разрешения пакетов NVGRE, соответствующих IP-фильтру.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) permit nvgre (SRC_IP SRC_IP_MASK|any|host SRC_IP) (DST_IP DST_IP_MASK|any|host DST_IP) (vsid VSID mask VSID-MASK) (ip-precedence PRECEDENCE|dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (TIME_RANGE_NAME| )

Параметр

Описание параметра

Значение параметра

VSID

Идентификатор NVGRE (VSID)

0 - 16777215

VSID-MASK

Маска идентификатора NVGRE (VSID mask)

0 - 0xFFFFFF

SEQUENCE_NUM

Порядковый номер IP ACL. Если поле не задано, будет присвоен автоматически генерируемый номер.

1 - 131071

SRC_IP SRC_IP_MASK

IP-адрес источника и его маска

-

any

Любой сетевой узел-источник

-

host SRC_IP

IP-адрес устройства-источника

-

DST_IP DST_IP_MASK

IP-адрес назначения и его wildcard биты

-

host DST_IP

IP-адрес устройства назначения

-

PRECEDENCE

Значение IP Precedence

0 - 7

DSCP

Значение DSCP

0 - 63

ECN

Значение ECN

0 - 3

non-fragment

Не фрагментированные пакеты

-

first-fragment

Первый фрагмент

-

non-or-first-fragment

Не фрагментированные или первый фрагмент

-

small-fragment

Малый фрагмент

-

non-first-fragment

Не первый фрагмент

-

routed-packet

Маршрутизированные пакеты

-

options

IP-опции

-

TIME_RANGE_NAME

Имя временного диапазона, используемого в IP-фильтре

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше чем), gt (больше чем), и range (диапазон)

LENGTH

Длина пакета

64 - 16382

Режим ввода

IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Этот тип фильтра применяется для разрешения пакетов NVGRE.

Примеры

Создание фильтра IP ACL для разрешения любых пакетов NVGRE:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# permit nvgre any any vsid 0 mask 0

Создание фильтра IP ACL для разрешения пакетов NVGRE с IP-адресом источника 1.1.1.1, любым IP-адресом назначения и идентификатором NVGRE (VSID) равным 10:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)# permit gre host 1.1.1.1 any key 10 mask 0xffffff

Связанные команды

no sequence-num

11.4.22. show access-list ip

Назначение

Команда show access-list ip используется для отображения информации о IP ACL.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

show access-list ip (ACL_NAME| )

Параметр

Описание параметра

Значение параметра

ACL_NAME

Имя IP ACL

Текст до 40 символов

Режим ввода

Privileged EXEC

Состояние по умолчанию

Нет

Применение

Нет

Примеры

Вывод информации о IP ACL:

Switch# show access-list ip

ip access-list list_ipv4_1
 2 permit tcp host 1.1.1.1 any
 3 deny icmp any any
 12 permit tcp any any

Связанные команды

ip access-list

11.4.23. udf access-list

Назначение

Команда udf access-list используется для создания пользовательских UDF ACL и входа в режим конфигурации UDF ACL.

Команда no udf access-list удаляет UDF ACL.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

user-define access-list ACL_NAME

no user-define access-list ACL_NAME

Параметр

Описание параметра

Значение параметра

ACL_NAME

Имя UDF ACL

Текст до 40 символов

Режим ввода

Global Config

Состояние по умолчанию

Нет

Применение

Если UDF ACL с таким же именем уже есть, будет выполнен вход в режим конфигурации UDF ACL. Если имя ACL уже используется другим типом ACL, будет показано предупреждение.

Если имя не используется ни одним ACL, будет создан UDF ACL и выпонен вход в режим конфигурации UDF ACL.

Примеры

Cоздание UDF ACL с именем “list_udf_1” и вход в режим конфигурации UDF ACL:

Switch# configure terminal
Switch(config)# user-define access-list list_udf_1
Switch(config-udf-acl)#

Удаление UDF ACL с именем “list_udf_1”:

Switch# configure terminal
Switch(config)# no user-define access-list list_udf_1

Связанные команды

permit udf deny udf

11.4.24. permit udf

Назначение

Команда permit udf используется для разрешения пакетов, соответствующих пользовательскому фильтру.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) permit ipv4-head HEX_RULE HEX_MASK OFFSET (time-range TIME_RANGE_NAME| )

(SEQUENCE_NUM| ) permit ipv6-head HEX_RULE HEX_MASK OFFSET (time-range TIME_RANGE_NAME| )

(SEQUENCE_NUM| ) permit l2-head HEX_RULE HEX_MASK OFFSET (time-range TIME_RANGE_NAME| )

(SEQUENCE_NUM| ) permit l4-head HEX_RULE HEX_MASK OFFSET (time-range TIME_RANGE_NAME| )

Параметр

Описание параметра

Значение параметра

SEQUENCE_NUM

Порядковый номер UDF ACL. Если поле не задано, будет присвоен автоматически генерируемый номер.

1 - 131071

HEX_RULE

Правило

Шестнадцатеричное число, начинается с 0x, не более 10 символов (включая 0x)

HEX_MASK

Маска правила

Шестнадцатеричное число, начинается с 0x, не более 10 символов (включая 0x)

OFFSET

Смещение маски правила в пакете, байт

4n (где n = 0, 1, 2 и т.д.).

TIME_RANGE_NAME

Имя временного диапазона, используемого фильтром UDF

Текст до 40 символов

Режим ввода

UDF ACL Configuration

Состояние по умолчанию

Нет

Применение

Нет

Примеры

Данный тип фильтра используется для разрешения любых типов пакетов:

Switch# configure terminal
Switch(config)# user-define access-list list_udf_1
Switch(config-udf-acl)# 1 permit l4-head 0x10 0x01 20

Связанные команды

Нет

11.4.25. deny udf

Назначение

Команда deny udf используется для запрета пакетов, соответствующих фильтру UDF.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) deny ipv4-head HEX_RULE HEX_MASK OFFSET (time-range TIME_RANGE_NAME| )

(SEQUENCE_NUM| ) deny ipv6-head HEX_RULE HEX_MASK OFFSET (time-range TIME_RANGE_NAME| )

(SEQUENCE_NUM| ) deny l2-head HEX_RULE HEX_MASK OFFSET (time-range TIME_RANGE_NAME| )

(SEQUENCE_NUM| ) deny l4-head HEX_RULE HEX_MASK OFFSET (time-range TIME_RANGE_NAME| )

Параметр

Описание параметра

Значение параметра

SEQUENCE_NUM

Порядковый номер UDF ACL. Если поле не задано, будет присвоен автоматически генерируемый номер.

1 - 131071

HEX_RULE

Правило

Шестнадцатеричное число, начинается с 0x, не более 10 символов (включая 0x)

HEX_MASK

Маска правила

Шестнадцатеричное число, начинается с 0x, не более 10 символов (включая 0x)

OFFSET

Смещение маски правила в пакете (в байтах)

4n (где n = 0, 1, 2 и т.д.).

TIME_RANGE_NAME

Имя временного диапазона, используемого фильтром UDF

Текст до 40 символов.

Режим ввода

UDF ACL Configuration

Состояние по умолчанию

Нет

Применение

Нет

Примеры

Данный тип фильтра используется для запрета любых типов пакетов:

Switch# configure terminal
Switch(config)# user-define access-list list_udf_1
Switch(config-udf-acl)# 1 deny l4-head 0x10 0x01 20

Связанные команды

Нет

11.4.26. show access-list udf

Назначение

Команда show access-list udf используется для отображения информации о UDF ACL.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

show access-list user-define (ACL_NAME| )

Параметр

Описание параметра

Значение параметра

ACL_NAME

Имя UDF ACL

Текст до 40 символов

Режим ввода

Privileged EXEC

Состояние по умолчанию

Нет

Применение

Нет

Примеры

Вывод информации о UDF ACL:

Switch# show access-list user-define

user-define access-list list_udf_1
  10 permit l2-head 0x00000010 0x00000001 20

Связанные команды

udf access-list