11.5. Команды FLEX ACL

11.5.1. sequence-num

Назначение

Команда sequence-num используется для удаления фильтра из FLEX MAC ACL или FLEX IP ACL.

Требования

Серия	Версия ОС	Тип лицензии	Примечания
AQ-N3000	7.0	Base	-
AQ-N5000	7.0	Base	-
AQ-N6000	7.0	Base	-

Синтаксис

no sequence-num SEQUENCE_NUM

Параметр	Описание параметра	Значение параметра
SEQUENCE_NUM	Порядковый номер IP/MAC фильтра	1 - 131071

Режим ввода

FLEX MAC ACL Configuration

FLEX IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Пользователь может удалить ACL, который уже привязан к class-map и используется интерфейсом.

Примеры

Удаление фильтра с последовательным номером 10 из FLEX MAC ACL:

Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# no sequence-num 10

Удаление фильтра с последовательным номером 10 из FLEX IP ACL:

Switch# configure terminal
Switch(config)# ip access-list list_ip_1
Switch(config-ip-acl)# no sequence-num 10

Связанные команды

deny

deny tcp

deny udp

deny icmp

deny igmp

permit

permit tcp

permit udp

permit icmp

permit igmp

11.5.2. deny src-mac

Назначение

Команда deny src-mac используется для создания MAC-фильтра.

Требования

Серия	Версия ОС	Тип лицензии	Примечания
AQ-N3000	7.0	Base	-
AQ-N5000	7.0	Base	-
AQ-N6000	7.0	Base	-

Синтаксис

Параметр	Описание параметра	Значение параметра
SEQUENCE_NUM	Порядковый номер фильтра. Если параметр не указан, номер будет присвоен автоматически.	1 - 131071
any	Любой сетевой узел	-
MAC_ADDR MAC_ADDR_MASK	MAC-адрес и его маска	-
host MAC_ADDR	MAC-адрес сетевого устройства	-
dest-mac	MAC-адрес назначения	-
untag-vlan	Без VLAN-тэга	-
VLAN_ID	VLAN-ID	1 - 4094
COS	Значение CoS	0 - 7
INNER_VLAN	Внутренний VLAN-ID	1 - 4094
INNER_COS	Внутреннее значение CoS	0 - 7
protocol	Тип протокола	-
arp	Протокол ARP	-
arp-op-code	Код операции ARP	0 - 65535
rarp	Протокол RARP	-
ETH_TYPE	Ether type	0 - 0xFFFF
ETH_TYPE_MASK	Маска Ether type	0 - 0xFFFF
TIME_RANGE_NAME	Имя временного диапазона, используемого MAC-фильтром	Текст до 40 символов
OPERATOR	Оператор сравнения длины пакета	`eq` (равно), `lt` (меньше чем), `gt` (больше чем), и `range` (диапазон)
LENGTH	Длина пакета	64 - 16382

Режим ввода

FLEX MAC ACL Configuration

Состояние по умолчанию

Нет

Применение

Если параметр SEQUENCE_NUM не задан, порядковый номер будет присвоен автоматически. При этом он увеличивается на 10 относительно максимального существующего номера в FLEX MAC ACL. Например, если максимальный номер существующего фильтра равен 100, то порядковый номер следующего созданного MAC-фильтра будет 110. Данный тип фильтрации не поддерживается в исходящих ACL.

Примеры

Создание фильтра FLEX MAC ACL для отбрасывания пакетов с MAC-адресом источника 0058.3f2C.A1DF:

Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# 1 deny src-mac host 0058.3f2C.A1DF

Создание фильтра FLEX MAC ACL для отбрасывания всех пакетов:

Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# 2 deny src-mac any

Создание фильтра FLEX MAC ACL для отбрасывания пакетов, у которых MAC-адрес источника находится в указанном диапазоне:

Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# 3 deny src-mac 0058.3f2C.A1DF 0058.3f2C.0000

Связанные команды

no sequence-num

11.5.3. permit src-mac

Назначение

Команда permit src-mac используется для создания MAC-фильтра, разрешающего доставку пакетов, соответствующих правилу фильтра.

Требования

Серия	Версия ОС	Тип лицензии	Примечания
AQ-N3000	7.0	Base	-
AQ-N5000	7.0	Base	-
AQ-N6000	7.0	Base	-

Синтаксис

Параметр	Описание параметра	Значение параметра
SEQUENCE_NUM	Порядковый номер фильтра. Если параметр не указан, номер будет присвоен автоматически.	1 - 131071
any	Любой сетевой узел	-
MAC_ADDR MAC_ADDR_MASK	MAC-адрес и его маска	-
host MAC_ADDR	MAC-адрес сетевого устройства	-
dest-mac	MAC-адрес назначения	-
untag-vlan	Без VLAN-тэга	-
VLAN	VLAN-ID	1 - 4094
COS	Значение CoS	0 - 7
INNER_VLAN	Внутренний VLAN-ID	1 - 4094
INNER_COS	Внутреннее значение CoS	0 - 7
protocol	Тип протокола	-
arp	Протокол ARP	-
arp-op-code	Код операции ARP	0 - 65535
rarp	Протокол RARP	-
ETH_TYPE	Ether type	0 - 0xFFFF
ETH_TYPE_MASK	Маска Ether type	0 - 0xFFFF
TIME_RANGE_NAME	Имя временного диапазона, используемого MAC-фильтром	Текст до 40 символов
OPERATOR	Оператор сравнения длины пакета	`eq` (равно), `lt` (меньше чем), `gt` (больше чем), и `range` (диапазон)
LENGTH	Длина пакета	64 - 16382

Режим ввода

FLEX MAC ACL Configuration

Состояние по умолчанию

Нет

Применение

Если параметр SEQUENCE_NUM не задан, порядковый номер будет присвоен автоматически. При этом он увеличивается на 10 относительно максимального существующего номера в FLEX MAC ACL. Например, если максимальный номер существующего фильтра равен 105, то порядковый номер следующего созданного MAC-фильтра будет 115. Данный тип фильтрации не поддерживается в исходящих ACL.

Примеры

Создание фильтра в FLEX MAC ACL для разрешения пакетов с MAC-адресом источника 0058.3f2C.A1DF:

Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# 1 permit src-mac host 0058.3f2C.A1DF

Создание фильтра в FLEX MAC ACL для разрешения всех пакетов:

Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# 2 permit src-mac any

Создание фильтра в FLEX MAC ACL для разрешения пакетов с MAC-адресом источника, находящимся в указанном диапазоне:

Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# 3 permit src-mac 0058.3f2C.A1DF 0058.3f2C.0000

Связанные команды

no sequence-num

11.5.4. remark

Назначение

Команда remark используется для добавления комментариев к FLEX MAC ACL.

Для удаления комментариев из FLEX MAC ACL используйте команду no remark.

Требования

Серия	Версия ОС	Тип лицензии	Примечания
AQ-N3000	7.0	Base	-
AQ-N5000	7.0	Base	-
AQ-N6000	7.0	Base	-

Синтаксис

remark REMARK

no remark

Параметр	Описание параметра	Значение параметра
REMARK	Комментарии к FLEX MAC ACL	Текст до 100 символов

Режим ввода

FLEX MAC ACL Configuration

FLEX IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Комментарии могут быть длиной до 100 символов. Символы, превышающие допустимое количество, не будут сохранены.

Примеры

Добавление комментария для описания FLEX MAC ACL:

Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# remark remark of List for mac

Удаление комментария из FLEX MAC ACL:

Switch# configure terminal
Switch(config)# mac access-list list_mac_1
Switch(config-mac-acl)# no remark

Связанные команды

Нет

11.5.5. ip access-list

Назначение

Команда ip access-list используется для создания FLEX IP ACL и затем входа в режим конфигурации FLEX IP ACL.

Для удаления ACL используйте команду no ip access-list.

Требования

Серия	Версия ОС	Тип лицензии	Примечания
AQ-N3000	7.0	Base	-
AQ-N5000	7.0	Base	-
AQ-N6000	7.0	Base	-

Синтаксис

ip access-list ACL_NAME

no ip access-list ACL_NAME

Параметр	Описание параметра	Значение параметра
ACL_NAME	Имя FLEX IP ACL	Текст до 40 символов

Режим ввода

Global Config

Состояние по умолчанию

Нет

Применение

Если FLEX IP ACL с таким же именем уже существует, будет выпонен вход в режим конфигурации FLEX IP ACL. Однако, если имя ACL используется другим типом ACL, будет выведено информационное сообщение.

Если имя не используется ни одним ACL, будет создан FLEX IP ACL, после чего выполнен вход в режим его конфигурации.

Примеры

Создание FLEX IP ACL с именем “list_ipv4_1” и вход в режим его конфигурации:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1
Switch(config-ip-acl)#

Удаление FLEX IP ACL с именем list_ipv4_1:

Switch# configure terminal
Switch(config)# no ip access-list list_ipv4_1

Связанные команды

match access-group

11.5.6. sequence-num

Назначение

Команда sequence-num используется для удаления фильтра из расширенного FLEX IP ACL.

Требования

Серия	Версия ОС	Тип лицензии	Примечания
AQ-N3000	7.0	Base	-
AQ-N5000	7.0	Base	-
AQ-N6000	7.0	Base	-

Синтаксис

no sequence-num SEQUENCE_NUM

Параметр	Описание параметра	Значение параметра
SEQUENCE_NUM	Порядковый номер IP-фильтра	1 - 131071

Режим ввода

FLEX IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Нет

Примеры

Удаление IP или MAC-фильтра с номером 10 из расширенного FLEX IP ACL:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# no sequence-num 10

Связанные команды

deny

deny udp

deny icmp

deny igmp

permit

permit tcp

permit udp

permit icmp

permit igmp

deny src-mac

permit src-mac

11.5.7. deny src-mac

Назначение

Команда deny src-mac используется для создания фильтра, который отбрасывает текущие пакеты, соответствующие правилу фильтра.

Требования

Серия	Версия ОС	Тип лицензии	Примечания
AQ-N3000	7.0	Base	-
AQ-N5000	7.0	Base	-
AQ-N6000	7.0	Base	-

Синтаксис

Параметр	Описание параметра	Значение параметра
SEQUENCE_NUM	Порядковый номер фильтра в расширенном FLEX IP ACL. Если параметр не задан, порядковый номер будет назначен автоматически	1 - 131071
any	Любой сетевой узел	-
MAC_ADDR MAC_ADDR_MASK	MAC-адрес и его маска	MAC-адрес и маска в формате HHHH.HHHH.HHHH
host MAC_ADDR	MAC-адрес сетевого устройства	-
dest-mac	MAC-адрес назначения	-
VLAN_ID	VLAN-ID	1 - 4094
COS	CoS	0 - 7
INNER_VLAN_ID	Inner VLAN-ID	1 - 4094
INNER_COS	Inner CoS	0 - 7
arp	Протокол ARP	-
arp-op-code	Код операции ARP	0 - 65535
sender-ip	IP-адрес отправителя	-
target-ip	IP-адрес получателя	-
IP_ADDR IP_ADDR_MASK	IP-адрес и его маска	IPv4-адрес и маска
host IP_ADDR	IP-адрес сетевого узла	-
TIME-RANGE-NAME	Имя временного диапазона, используемого расширенным IP-фильтром	Текст до 40 символов
OPERATOR	Оператор сравнения длины пакета	`eq` (равно), `lt` (меньше чем), `gt` (больше чем), и `range` (диапазон)
LENGTH	Длина пакета	64 - 16382

Режим ввода

FLEX IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Если параметр SEQUENCE_NUM не задан, порядковый номер будет присвоен автоматически. При этом он увеличивается на 10 относительно максимального существующего номера в FLEX IP ACL. Например, если максимальный текущий порядковый номер равен 100, порядковый номер для следующего созданного фильтра будет равен 110.

Примеры

Создание фильтра в расширенном FLEX IP ACL для отбрасывания пакетов с MAC-адресом источника 0058.3f2C.A1DF:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 1 deny src-mac host 0058.3f2C.A1DF

Создание фильтра в расширенном FLEX IP ACL для отбрасывания всех пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 2 deny src-mac any

Создание фильтра в расширенном FLEX IP ACL для отбрасывания пакетов с MAC-адресом источника в указанных диапазонах:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 3 deny src-mac 0058.3f2C.A1DF 0058.3f2C.0000

Связанные команды

no sequence-num

11.5.8. permit src-mac

Назначение

Команда permit src-mac используется для создания фильтра, который разрешает доставку пакетов, соответствующих правилу фильтра.

Требования

Серия	Версия ОС	Тип лицензии	Примечания
AQ-N3000	7.0	Base	-
AQ-N5000	7.0	Base	-
AQ-N6000	7.0	Base	-

Синтаксис

Параметр	Описание параметра	Значение параметра
SEQUENCE_NUM	Порядковый номер фильтра в IP Extend ACL. Если параметр не задан, порядковый номер будет назначен автоматически	1 - 131071
any	Любой сетевой узел	-
MAC_ADDR MAC_ADDR_MASK	MAC-адрес и его маска	-
host MAC_ADDR	MAC-адрес сетевого устройства	-
dest-mac	MAC-адрес назначения	-
VLAN_ID	VLAN-ID	1 - 4094
COS	CoS	0 - 7
INNER_VLAN_ID	Inner VLAN-ID	1 - 4094
INNER_COS	Inner CoS	0 - 7
arp	Протокол ARP	-
arp-op-code	Код операции ARP	0 - 65535
sender-ip	IP-адрес отправителя	-
target-ip	IP-адрес получателя	-
IP_ADDR IP_ADDR_MASK	IP-адрес и его маска	-
host IP_ADDR	IP-адрес сетевого узла	-
TIME-RANGE-NAME	Имя временного диапазона, используемого расширенным IP-фильтром	Текст до 40 символов
OPERATOR	Оператор сравнения длины пакета	`eq` (равно), `lt` (меньше чем), `gt` (больше чем), и `range` (диапазон)
LENGTH	Длина пакета	64 - 16382

Режим ввода

FLEX IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Если параметр SEQUENCE_NUM не задан, порядковый номер будет присвоен автоматически. При этом он увеличивается на 10 относительно максимального существующего номера в FLEX IP ACL. Например, если максимальный текущий Порядковый номер равен 105, Порядковый номер для следующего созданного фильтра будет 115.

Примеры

Создание фильтра в расширенном FLEX IP ACL для разрешения пакетов с MAC-адресом источника 0058.3f2C.A1DF:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-ac)# 1 permit src-mac host 0058.3f2C.A1DF

Создание фильтра в расширенном FLEX IP ACL для разрешения всех пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-ac)# 2 permit src-mac any

Создание фильтра в FLEX MAC ACL для разрешения пакетов с MAC-адресом источника в указанных диапазонах:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 3 permit src-mac 0058.3f2C.A1DF 0058.3f2C.0000

Связанные команды

no sequence-num

11.5.9. deny

Назначение

Команда deny используется для отбрасывания идущих IP-пакетов, соответствующих правилу IP-фильтра.

Требования

Серия	Версия ОС	Тип лицензии	Примечания
AQ-N3000	7.0	Base	-
AQ-N5000	7.0	Base	-
AQ-N6000	7.0	Base	-

Синтаксис

Параметр	Описание параметра	Значение параметра
SEQUENCE_NUM	Порядковый номер фильтра в FLEX IP ACL. Если параметр не задан, порядковый номер будет назначен автоматически	1 - 131071
PROTO_NUM	Номер протокола IP, диапазон от 0 до 255	0 - 255
any	Любой протокол	-
SRC_IP SRC_IP_MASK	IP-адрес источника и его маска	-
host SRC_IP	IP-адрес устройства-источника	-
DST_IP DST_IP_MASK	IP-адрес назначения и его маска	-
host DST_IP	IP-адрес узла назначения	-
PRECEDENCE	Значение IP Precedence	0 - 7
DSCP	Значение DSCP	0 - 63
ECN	Значение ECN	0 - 3
non-fragment	Не фрагментированные пакеты	-
first-fragment	Первый фрагмент	-
non-or-first-fragment	не фрагментированные или первый фрагмент	-
small-fragment	Малый фрагмент	-
non-first-fragment	Не первый фрагмент	-
routed-packet	Маршрутизированный пакет	-
options	IP-опции	-
TIME-RANGE-NAME	Временной диапазон, используемый фильтром	Текст до 40 символов
OPERATOR	Оператор сравнения длины пакета	`eq` (равно), `lt` (меньше чем), `gt` (больше чем), и `range` (диапазон)
LENGTH	Длина пакета	64 - 16382

Режим ввода

FLEX IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Если указана маска IP-адреса, производится логическое “И” IP-адреса и маски. Например, 10.10.10.0 0.0.0.255 означает совпадение адресов от 10.10.10.0 до 10.10.10.255.

Если параметр SEQUENCE_NUM не задан, порядковый номер будет присвоен автоматически. При этом он увеличивается на 10 относительно максимального существующего номера в FLEX IP ACL. Например, если максимальный текущий Порядковый номер равен 100, Порядковый номер для следующего созданного фильтра будет 110.

Примеры

Создание фильтра в расширенном FLEX IP ACL для отбрасывания всех IP-пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 1 deny any any any

Создание фильтра в расширенном FLEX IP ACL для отбрасывания фрагментированных пакетов с исходным IP-адресом 1.1.1.1:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 2 deny any host 1.1.1.1 any

Создание фильтра в расширенном FLEX IP ACL для отбрасывания всех маршрутизированных пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 3 deny any any any routed-packet

Связанные команды

no sequence-num

11.5.10. deny tcp

Назначение

Команда deny tcp используется для блокирования TCP-пакетов, соответствующих фильтру IP.

Требования

Серия	Версия ОС	Тип лицензии	Примечания
AQ-N3000	7.0	Base	-
AQ-N5000	7.0	Base	-
AQ-N6000	7.0	Base	-

Синтаксис

Параметр	Описание параметра	Значение параметра
SEQUENCE_NUM	Порядковый номер фильтра в IP Extend ACL. Если параметр не задан, порядковый номер будет назначен автоматически	1 - 131071
SRC_IP SRC_IP_MASK	IP-адрес источника и его маска	-
any	Любой сетевой узел-источник	-
host SRC_IP	IP-адрес устройства-источника	-
OPERATOR SRC_PORT	Оператор сравнения и номер порта-источника	Порт: 0 - 65535. Оператор: `eq` (равно), `lt` (меньше чем), `gt` (больше чем), `neq` (не равно) и `range` (диапазон)
DST_IP DST_IP_MASK	IP-адрес назначения и его маска	-
host DST_IP	IP-адрес устройства назначения	-
OPERATOR DST_PORT	Оператор сравнения и номер порта назначения	Порт: 0 - 65535. Оператор: `eq` (равно), `lt` (меньше чем), `gt` (больше чем), `neq` (не равно) и `range` (диапазон)
PRECEDENCE	Значение IP Precedence	0 - 7
DSCP	Значение DSCP	0 - 63
ECN	Значение ECN	0 - 3
established	Установленное соединение	-
match-all	Любой из флагов	-
FLAG-NAME	Все флаги	`ack`, `fin`, `psh`, `rst`, `syn` и `urg`
non-fragment	Не фрагментированные пакеты	-
first-fragment	Первый фрагмент	-
non-or-first-fragment	Не фрагментированные или первый фрагмент	-
small-fragment	Малый фрагмент	-
non-first-fragment	Не первый фрагмент	-
routed-packet	Маршрутизированный пакет	-
options	Пакет с IP-опциями	-
TIME-RANGE-NAME	Временной диапазон, используемый IP-фильтром	Текст до 40 символов
OPERATOR	Оператор сравнения длины пакета	`eq` (равно), `lt` (меньше чем), `gt` (больше чем), и `range` (диапазон)
LENGTH	Длина пакета	64 - 16382

Режим ввода

FLEX IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Фрагменты будут недействительными, если указана информация уровня L4 (например, src-port).

Примеры

Создание фильтра в расширенном FLEX IP ACL для блокирования любых TCP-пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 1 deny tcp any any

Создание фильтра в расширенном FLEX IP ACL для блокирования TCP-пакетов с исходным IP-адресом 1.1.1.1 и исходным портом 0 - 100:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 2 deny tcp host 1.1.1.1 src-port range 0 100 any

Создание фильтра в расширенном FLEX IP ACL для блокирования любых TCP-пакетов в установленных TCP-сессиях:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 3 deny tcp any any established

Создание фильтра в расширенном FLEX IP ACL для блокирования TCP-пакетов с флагом ACK и исходным IP-адресом 10.10.10.10:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 4 deny tcp 10.10.10.0 0.0.0.0 any match-all ack

Связанные команды

no sequence-num

11.5.11. deny udp

Назначение

Данная команда используется для блокирования UDP-пакетов, соответствующих фильтру IP.

Требования

Серия	Версия ОС	Тип лицензии	Примечания
AQ-N3000	7.0	Base	-
AQ-N5000	7.0	Base	-
AQ-N6000	7.0	Base	-

Синтаксис

Параметр	Описание параметра	Значение параметра
SEQUENCE_NUM	Порядковый номер фильтра в IP Extend ACL. Если параметр не задан, порядковый номер будет назначен автоматически	1 - 131071
SRC_IP SRC_IP_MASK	IP-адрес источника и его маска	-
any	Любой сетевой узел-источник	-
host SRC_IP	IP-адрес устройства-источника	-
OPERATOR SRC_PORT	Оператор сравнения и номер порта-источника	Порт: 0 - 65535. Оператор: `eq` (равно), `lt` (меньше чем), `gt` (больше чем), `neq` (не равно) и `range` (диапазон)
DST_IP DST_IP_MASK	IP-адрес назначения и его маска	-
any	Любой хост назначения	-
host DST_IP	IP-адрес устройства назначения	-
OPERATOR DST_PORT	Оператор сравнения и номер порта назначения	Порт: 0 - 65535. Оператор: `eq` (равно), `lt` (меньше чем), `gt` (больше чем), `neq` (не равно) и `range` (диапазон)
PRECEDENCE	Значение IP Precedence	0 - 7
DSCP	Значение DSCP	0 - 63
ECN	Значение ECN	0 - 3
non-fragment	Не фрагментированные пакеты	-
first-fragment	Первый фрагмент	-
non-or-first-fragment	Не фрагментированные или первый фрагмент	-
small-fragment	Малый фрагмент	-
non-first-fragment	Не первый фрагмент	-
routed-packet	Маршрутизированный пакет	-
options	Пакет с IP-опциями	-
TIME-RANGE-NAME	Временной диапазон, используемый IP-фильтром	Текст до 40 символов
OPERATOR	Оператор сравнения длины пакета	`eq` (равно), `lt` (меньше чем), `gt` (больше чем), и `range` (диапазон)
LENGTH	Длина пакета	64 - 16382

Режим ввода

FLEX IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Фрагменты пакетов будут недействительны при указании информации уровня L4 (например, src-port).

Примеры

Создание фильтра в FLEX IP ACL для блокирования любых UDP-пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 1 deny udp any any

Создание фильтра в FLEX IP ACL для блокирования UDP-пакетов с исходным IP-адресом 1.1.1.1, исходным портом 10 и портом назначения меньше 2000:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 2 deny udp host 1.1.1.1 src-port eq 10 any dst-port lt 2000

Связанные команды

no sequence-num

11.5.12. deny icmp

Назначение

Команда deny icmp используется для блокирования ICMP-пакетов, соответствующих фильтру IP.

Требования

Серия	Версия ОС	Тип лицензии	Примечания
AQ-N3000	7.0	Base	-
AQ-N5000	7.0	Base	-
AQ-N6000	7.0	Base	-

Синтаксис

Параметр	Описание параметра	Значение параметра
TYPE-NUM	Тип ICMP-сообщения	0 - 255
CODE-NUM	Код ICMP-сообщения	0 - 255
SEQUENCE_NUM	Порядковый номер фильтра в FLEX IP ACL. Если параметр не задан, порядковый номер будет назначен автоматически	1 - 131071
SRC_IP SRC_IP_MASK	IP-адрес источника и его маска	-
any	Любой IP-адрес источника	-
host SRC_IP	IP-адрес устройства-источника	-
DST_IP DST_IP_MASK	IP-адрес назначения и его маска	-
any	Любой IP-адрес назначения	-
host DST_IP	IP-адрес устройства назначения	IPv4-адрес
PRECEDENCE	Значение IP Precedence	0 - 7
DSCP	Значение DSCP	0 - 63
ECN	Значение ECN	0 - 3
non-fragment	Не фрагментированные пакеты	-
first-fragment	Первый фрагмент	-
non-or-first-fragment	Не фрагментированные или первый фрагмент	-
small-fragment	Малый фрагмент	-
non-first-fragment	Не первый фрагмент	-
routed-packet	Маршрутизированный пакет	-
options	Пакет с IP-опциями	-
TIME-RANGE-NAME	Временной диапазон, используемый IP-фильтром	Текст до 40 символов
OPERATOR	Оператор сравнения длины пакета	`eq` (равно), `lt` (меньше чем), `gt` (больше чем), и `range` (диапазон)
LENGTH	Длина пакета	64 - 16382

Режим ввода

FLEX IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Нет

Примеры

Создание фильтра в FLEX IP ACL для блокирования любых ICMP-пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 1 deny udp any any

Создание фильтра в FLEX IP ACL для блокирования ICMP-пакетов с исходным IP-адресом 1.1.1.1 и типом ICMP-сообщения 8:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 2 deny udp host 1.1.1.1 src-port eq 10 any dst-port lt 2000

Связанные команды

no sequence-num

11.5.13. deny igmp

Назначение

Команда deny igmp используется для блокирования IGMP-пакетов, соответствующих фильтру IP.

Требования

Серия	Версия ОС	Тип лицензии	Примечания
AQ-N3000	7.0	Base	-
AQ-N5000	7.0	Base	-
AQ-N6000	7.0	Base	-

Синтаксис

Параметр	Описание параметра	Значение параметра
IGMP-TYPE	Тип IGMP-сообщения	Включает dvmrp, host-query, host-report, mtrace, mtrace-response, pim, precedence, trace, v2-leave, v2-report, v3-report
SEQUENCE_NUM	Порядковый номер фильтра в FLEX IP ACL. Если параметр не задан, порядковый номер будет назначен автоматически	1 - 131071
SRC_IP SRC_IP_MASK	IP-адрес источника и его маска	IPv4-адрес и маска
any	Любой IP-адрес источника	-
host SRC_IP	IP-адрес устройства-источника	IPv4-адрес
DST_IP DST_IP_MASK	IP-адрес назначения и его маска	IPv4-адрес и маска
any	Любой IP-адрес назначения	-
host DST_IP	IP-адрес устройства назначения	IPv4-адрес
PRECEDENCE	Значение IP Precedence	0 - 7
DSCP	Значение DSCP	0 - 63
ECN	Значение ECN	0 - 3
non-fragment	Не фрагментированные пакеты	-
first-fragment	Первый фрагмент	-
non-or-first-fragment	Не фрагментированные или первый фрагмент	-
small-fragment	Малый фрагмент	-
non-first-fragment	Не первый фрагмент	-
routed-packet	Маршрутизированный пакет	-
options	Пакет с IP-опциями	-
TIME-RANGE-NAME	Временной диапазон, используемый IP-фильтром	Текст до 40 символов
OPERATOR	Оператор сравнения длины пакета	`eq` (равно), `lt` (меньше чем), `gt` (больше чем), и `range` (диапазон)
LENGTH	Длина пакета	64 - 16382

Режим ввода

FLEX IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Нет

Примеры

Создание фильтра в FLEX IP ACL для блокирования любых IGMP-пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 1 deny icmp any any

Создание фильтра в расширенном списке контроля доступа FLEX IP ACL для блокирования ICMP-пакетов с типом ICMP 3 и кодом ICMP 3:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 2 deny icmp any any icmp-type 3 icmp-code 3

Связанные команды

no sequence-num

11.5.14. deny gre

Назначение

Данная команда используется для блокирования пакетов GRE, соответствующих фильтру IP.

Требования

Серия	Версия ОС	Тип лицензии	Примечания
AQ-N3000	7.0	Base	-
AQ-N5000	7.0	Base	-
AQ-N6000	7.0	Base	-

Синтаксис

Параметр	Описание параметра	Значение параметра
KEY	Ключ GRE	0 - 4294967295
KEY-MASK	Маска ключа GRE	0 - 0xFFFFFFFF
SEQUENCE_NUM	Порядковый номер фильтра в FLEX IP ACL. Если параметр не задан, порядковый номер будет назначен автоматически	1 - 131071
SRC_IP SRC_IP_MASK	IP-адрес источника и его маска	-
any	Любой IP-адрес источника	-
host SRC_IP	IP-адрес устройства-источника	-
DST_IP DST_IP_MASK	IP-адрес назначения и его маска	-
host DST_IP	IP-адрес устройства назначения	-
PRECEDENCE	Значение IP Precedence	0 - 7
DSCP	Значение DSCP	0 - 63
ECN	Значение ECN	0 - 3
non-fragment	Не фрагментированные пакеты	-
first-fragment	Первый фрагмент	-
non-or-first-fragment	Не фрагментированные или первый фрагмент	-
small-fragment	Малый фрагмент	-
non-first-fragment	Не первый фрагмент	-
routed-packet	Маршрутизированный пакет	-
options	Пакет с IP-опциями	-
TIME-RANGE-NAME	Временной диапазон, используемый IP-фильтром	Текст до 40 символов
OPERATOR	Оператор сравнения длины пакета	`eq` (равно), `lt` (меньше чем), `gt` (больше чем), и `range` (диапазон)
LENGTH	Длина пакета	64 - 16382

Режим ввода

FLEX IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Данный тип фильтра используется в основном для блокирования пакетов GRE.

Примеры

Создание фильтра в FLEX IP ACL для блокирования любых пакетов GRE:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 1 deny igmp any any

Создание фильтра в расширенном списке контроля доступа FLEX IP ACL для блокировки IGMP-пакетов с исходным IP-адресом 1.1.1.1, любым IP-адресом назначения и типом IGMP “PIM”:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 2 deny igmp host 1.1.1.1 any pim

Связанные команды

no sequence-num

11.5.15. deny nvgre

Назначение

Команда deny nvgre используется для блокирования пакетов NVGRE, соответствующих фильтру IP.

Требования

Серия	Версия ОС	Тип лицензии	Примечания
AQ-N3000	7.0	Base	-
AQ-N5000	7.0	Base	-
AQ-N6000	7.0	Base	-

Синтаксис

Параметр	Описание параметра	Значение параметра
VSID	Идентификатор NVGRE (VSID)	0 - 16777215
VSID-MASK	Маска идентификатора NVGRE (VSID)	0 - 0xFFFFFF
SEQUENCE_NUM	Порядковый номер фильтра в FLEX IP ACL. Если параметр не задан, порядковый номер будет назначен автоматически.	1 - 131071
SRC_IP SRC_IP_MASK	IP-адрес источника и его маска	-
any	Любой IP-адрес источника	-
host SRC_IP	IP-адрес устройства-источника	-
DST_IP DST_IP_MASK	IP-адрес назначения и его маска	IPv4-адрес и маска
host DST_IP	IP-адрес устройства назначения	IPv4-адрес
PRECEDENCE	Значение IP Precedence	0 - 7
DSCP	Значение DSCP	0 - 63
ECN	Значение ECN	0 - 3
non-fragment	Не фрагментированные пакеты	-
first-fragment	Первый фрагмент	-
non-or-first-fragment	Не фрагментированные или первый фрагмент	-
small-fragment	Малый фрагмент	-
non-first-fragment	Не первый фрагмент	-
routed-packet	Маршрутизированные пакеты	-
options	Пакеты с IP-опциями	-
TIME-RANGE-NAME	Временной диапазон, используемый фильтром	Текст до 40 символов
OPERATOR	Оператор сравнения длины пакета	`eq` (равно), `lt` (меньше чем), `gt` (больше чем), и `range` (диапазон)
LENGTH	Длина пакета	64 - 16382

Режим ввода

FLEX IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Данный тип фильтра применяется в основном для блокирования пакетов NVGRE.

Примеры

Создание фильтра в FLEX IP ACL для блокирования любых пакетов NVGRE:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 1 deny gre any any key 0 mask 0

Создание фильтра в расширенном списке контроля доступа FLEX IP ACL для блокировки пакетов NVGRE с исходным IP-адресом 1.1.1.1, любым IP-адресом назначения и идентификатором NVGRE VSID равным 10:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 2 deny gre host 1.1.1.1 any key 10 mask 0xffffffff

Связанные команды

no sequence-num

11.5.16. permit

Назначение

Команда permit используется для разрешения пакетов, соответствующих фильтру IP.

Требования

Серия	Версия ОС	Тип лицензии	Примечания
AQ-N3000	7.0	Base	-
AQ-N5000	7.0	Base	-
AQ-N6000	7.0	Base	-

Синтаксис

Параметр	Описание параметра	Значение параметра
SEQUENCE_NUM	Порядковый номер фильтра в FLEX IP ACL. Если это поле не указано, фильтру будет автоматически назначен Порядковый номер.	1 - 131071
PROTO_NUM	Номер протокола IP	0 - 255
any	Любой протокол	-
SRC_IP SRC_IP_MASK	IP-адрес источника и его маска	-
host SRC_IP	IP-адрес устройства-источника	-
DST_IP DST_IP_MASK	IP-адрес назначения и его маска	-
host DST_IP	IP-адрес устройства назначения	-
PRECEDENCE	Значение IP Precedence	0 - 7
DSCP	Значение DSCP	0 - 63
ECN	Значение ECN	0 - 3
non-fragment	Не фрагментированные пакеты	-
first-fragment	Первый фрагмент	-
non-or-first-fragment	Не фрагментированные или первый фрагмент	-
small-fragment	Малый фрагмент	-
non-first-fragment	Не первый фрагмент	-
routed-packet	Маршрутизированные пакеты	-
options	Пакеты с IP-опциями	-
TIME-RANGE-NAME	Временной диапазон, используемый фильтром	Текст до 40 символов
OPERATOR	Оператор сравнения длины пакета	`eq` (равно), `lt` (меньше чем), `gt` (больше чем), и `range` (диапазон)
LENGTH	Длина пакета	64 - 16382

Режим ввода

FLEX IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Если задана маска IP-адреса, производится логическое “И” IP-адреса и маски подсети. Например, 10.10.10.0 0.0.0.255 означает диапазон адресов от 10.10.10.0 до 10.10.10.255.

Если поле sequence-num не задано, порядковый номер фильтр будет назначен автоматически. Автоматически присвоенный порядковый номер увеличивается на 10 по отношению к максимальному существующему номеру в расширенном FLEX IP ACL. Например, если текущий максимальный Порядковый номер равен 105, то последовательность следующего созданного IP-фильтра будет равна 115.

Примеры

Создание фильтра в расширенном FLEX IP ACL для блокировки любых пакетов NVGRE:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 1 deny nvgre any any vsid 0 mask 0

Создание фильтра в расширенном FLEX IP ACL для блокировки пакетов NVGRE с исходным IP-адресом 1.1.1.1, любым IP-адресом назначения и идентификатором NVGRE VSID равным 10:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 2 deny gre host 1.1.1.1 any key 10 mask 0xffffff

Создание фильтра в extend FLEX IP ACL для разрешения любых маршрутизированных пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 30 permit any any any routed-packet

Связанные команды

no sequence-num

11.5.17. permit tcp

Назначение

Данная команда используется для разрешения TCP-пакетов, соответствующих IP-фильтру.

Требования

Серия	Версия ОС	Тип лицензии	Примечания
AQ-N3000	7.0	Base	-
AQ-N5000	7.0	Base	-
AQ-N6000	7.0	Base	-

Синтаксис

Параметр	Описание параметра	Значение параметра
SEQUENCE_NUM	Порядковый номер фильтра в IP Extend ACL. Если не указан, будет назначен автоматически.	1 - 131071
SRC_IP SRC_IP_MASK	IP-адрес источника и его маска	-
any	Любой сетевой узел-источник	-
host SRC_IP	IP-адрес устройства-источника	-
OPERATOR SRC_PORT	Оператор сравнения и номер порта-источника	Порт: 0 - 65535. Операторы: `eq` (равно), `lt` (меньше), `gt` (больше), `neq` (не равно) и range (диапазон)
DST_IP DST_IP_MASK	IP-адрес назначения и его маска	-
host DST_IP	IP-адрес устройства назначения	-
OPERATOR DST_PORT	Оператор сравнения и номер порта назначения	Порт: 0 - 65535. Операторы: `eq` (равно), `lt` (меньше), `gt` (больше), `neq` (не равно) и `range` (диапазон)
PRECEDENCE	Значение IP Precedence	0 - 7
DSCP	Значение DSCP	0 - 63
ECN	Значение ECN	0 - 3
established	Установленные TCP-соединения	-
match-all	Любому из флагов	-
FLAG-NAME	Все флаги	`ack`, `fin`, `psh`, `rst`, `syn` и `urg`
non-fragment	Не фрагментированные пакеты	-
first-fragment	Первый фрагмент	-
non-or-first-fragment	Не фрагментированные или первый фрагмент	-
small-fragment	Малый фрагмент	-
non-first-fragment	Не первый фрагмент	-
routed-packet	Маршрутизированные пакеты	-
options	Пакеты с IP-опциями	-
TIME-RANGE-NAME	Временной диапазон, используемый IP-фильтром	-
OPERATOR	Оператор сравнения длины пакета	`eq` (равно), `lt` (меньше чем), `gt` (больше чем), и `range` (диапазон)
LENGTH	Длина пакета	64 - 16382

Режим ввода

FLEX IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Фрагменты будут недействительными, когда указана информация уровня L4 (например, src-port).

Примеры

Создание фильтра в расширенном списке FLEX IP ACL для разрешения всех TCP-пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 10 permit tcp any any

Создание фильтра в расширенном списке FLEX IP ACL для разрешения TCP-пакетов с исходным IP-адресом 1.1.1.1 и диапазоном исходного порта от 0 до 100:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 20 permit tcp host 1.1.1.1 src-port range 0 100 any

Создание фильтра в расширенном списке FLEX IP ACL для разрешения всех TCP-пакетов в установленных TCP-соединениях:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 30 permit tcp any any established

Создание фильтра в расширенном списке FLEX IP ACL для разрешения TCP ACK-пакетов с исходным IP-адресом 10.10.10.0:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 4 permit tcp 10.10.10.0 0.0.0.0 any match-all ack

Связанные команды

no sequence-num

11.5.18. permit udp

Назначение

Данная команда используется для разрешения UDP-пакетов, соответствующих этому списку доступа.

Требования

Серия	Версия ОС	Тип лицензии	Примечания
AQ-N3000	7.0	Base	-
AQ-N5000	7.0	Base	-
AQ-N6000	7.0	Base	-

Синтаксис

Параметр	Описание параметра	Значение параметра
SEQUENCE_NUM	Порядковый номер фильтра в IP Extend ACL. Если не указан, будет автоматически назначен.	1 - 131071
SRC_IP SRC_IP_MASK	IP-адрес источника и его маска	-
any	Любой сетевой узел-источник	-
host SRC_IP	IP-адрес источника (хост)	-
OPERATOR SRC_PORT	Оператор сравнения и номер порта-источника	Порт: 0 - 65535. Операторы: `eq` (равно), `lt` (меньше), `gt` (больше), `neq` (не равно) и `range` (диапазон)
DST_IP DST_IP_MASK	IP-адрес назначения и его маска	-
host DST_IP	IP-адрес устройства назначения	-
OPERATOR DST_PORT	Оператор сравнения и номер порта	Порт: 0 - 65535. Операторы: `eq` (равно), `lt` (меньше), `gt` (больше), `neq` (не равно) и `range` (диапазон)
PRECEDENCE	Значение IP Precedence	0 - 7
DSCP	Значение DSCP	0 - 63
ECN	Значение ECN	0 - 3
non-fragment	Не фрагментированные пакеты	-
first-fragment	Первый фрагмент	-
non-or-first-fragment	Не фрагментированные или первый фрагмент	-
small-fragment	Малый фрагмент	-
non-first-fragment	Не первый фрагмент	-
routed-packet	Маршрутизированные пакеты	-
options	Пакеты с IP-опциями	-
TIME-RANGE-NAME	Временной диапазон, используемый IP-фильтром	-
OPERATOR	Оператор сравнения длины пакета	`eq` (равно), `lt` (меньше чем), `gt` (больше чем), и `range` (диапазон)
LENGTH	Длина пакета	64 - 16382

Режим ввода

FLEX IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Фрагменты будут недействительными, когда указана информация уровня L4 (например, src-port).

Примеры

Создание фильтра в расширенном списке FLEX IP ACL для разрешения всех UDP-пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 1 permit udp any any

Создание фильтра в расширенном списке FLEX IP ACL для разрешения UDP-пакетов с исходным IP-адресом 1.1.1.1, исходным портом 10 и целевым портом менее 2000:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 2 permit udp host 1.1.1.1 src-port eq 10 any dst-port lt 2000

Связанные команды

no sequence-num

11.5.19. permit icmp

Назначение

Данная команда используется для разрешения ICMP-пакетов, которые соответствуют этому списку доступа.

Требования

Серия	Версия ОС	Тип лицензии	Примечания
AQ-N3000	7.0	Base	-
AQ-N5000	7.0	Base	-
AQ-N6000	7.0	Base	-

Синтаксис

Параметр	Описание параметра	Значение параметра
icmp-type TYPE-NUM	Тип ICMP-сообщения	0 - 255
icmp-code CODE-NUM	Код ICMP-сообщения	0 - 255
SEQUENCE_NUM	Порядковый номер фильтра в FLEX IP ACL. Если не указан, будет автоматически назначен.	1 - 131071
SRC_IP SRC_IP_MASK	IP-адрес источника и его маска подсети	-
any	Любой IP-адрес источника	-
host SRC_IP	IP-адрес устройства-источника	-
DST_IP DST_IP_MASK	IP-адрес назначения и его маска подсети	-
host DST_IP	IP-адрес устройства назначения	-
PRECEDENCE	Значение IP Precedence	0 - 7
DSCP	Значение DSCP	0 - 63
ECN	Значение ECN	0 - 3
non-fragment	Не фрагментированные пакеты	-
first-fragment	Первый фрагмент	-
non-or-first-fragment	Не фрагментированные или первый фрагмент	-
small-fragment	Малый фрагмент	-
non-first-fragment	Не первый фрагмент	-
routed-packet	Маршрутизированные пакеты	-
options	Пакеты с IP-опциями	-
TIME-RANGE-NAME	Временной диапазон, используемый фильтром	Текст до 40 символов
OPERATOR	Оператор сравнения длины пакета	`eq` (равно), `lt` (меньше чем), `gt` (больше чем), и `range` (диапазон)
LENGTH	Длина пакета	64 - 16382

Режим ввода

FLEX IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Нет

Примеры

Создание фильтра в расширенном списке FLEX IP ACL для разрешения всех ICMP-пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 1 permit icmp any any

Создание фильтра в расширенном списке FLEX IP ACL для разрешения ICMP-пакетов с типом 3 и кодом 3:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 2 permit icmp any any icmp-type 3 icmp-code 3

Связанные команды

Нет

11.5.20. permit igmp

Назначение

Данная команда используется для разрешения IGMP-пакетов, которые соответствуют списку доступа.

Требования

Серия	Версия ОС	Тип лицензии	Примечания
AQ-N3000	7.0	Base	-
AQ-N5000	7.0	Base	-
AQ-N6000	7.0	Base	-

Синтаксис

Параметр	Описание параметра	Значение параметра
IGMP-TYPE	Тип IGMP	`dvmrp`, `host-query`, `host-report`, `mtrace`, `mtrace-response`, `pim`, `precedence`, `trace`, `v2-leave`, `v2-report`, `v3-report`
SEQUENCE_NUM	Порядковый номер фильтра в FLEX IP ACL. Если не указан, будет автоматически назначен.	1 - 131071
PROTO_NUM	Номер протокола IP	0 - 255
any	Любой протокол	-
SRC_IP SRC_IP_MASK	IP-адрес источника и его маска подсети	-
DST_IP DST_IP_MASK	IP-адрес назначения и его маска подсети	-
host DST_IP	IP-адрес устройства назначения	-
PRECEDENCE	Значение IP Precedence	0 - 7
DSCP	Значение DSCP	0 - 63
ECN	Значение ECN	0 - 3
non-fragment	Не фрагментированные пакеты	-
first-fragment	Первый фрагмент	-
non-or-first-fragment	Не фрагментированные или первый фрагмент	-
small-fragment	Малый фрагмент	-
non-first-fragment	Не первый фрагмент	-
routed-packet	Маршрутизированные пакеты	-
options	Пакеты с IP-опциями	-
TIME-RANGE-NAME	Временной диапазон, используемый фильтром	Текст до 40 символов
OPERATOR	Оператор сравнения длины пакета	`eq` (равно), `lt` (меньше чем), `gt` (больше чем), и `range` (диапазон)
LENGTH	Длина пакета	64 - 16382

Режим ввода

FLEX IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Нет

Примеры

Создание фильтра в расширенном списке FLEX IP ACL для разрешения всех IGMP-пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 1 permit igmp any any

Создание фильтра в расширенном списке FLEX IP ACL для разрешения IGMP-пакетов с исходным IP-адресом 1.1.1.1, любым IP-адресом назначения и типом IGMP pim:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# 2 permit igmp host 1.1.1.1 any pim

Связанные команды

no sequence-num

11.5.21. permit gre

Назначение

Данная команда используется для разрешения GRE-пакетов, которые соответствуют этому списку доступа.

Требования

Серия	Версия ОС	Тип лицензии	Примечания
AQ-N3000	7.0	Base	-
AQ-N5000	7.0	Base	-
AQ-N6000	7.0	Base	-

Синтаксис

Параметр	Описание параметра	Значение параметра
KEY	GRE key	0 - 4294967295
KEY-MASK	GRE key mask	0 - 0xFFFFFFFF
SEQUENCE_NUM	Порядковый номер фильтра в FLEX IP ACL. Если не указан, будет автоматически назначен.	1 - 131071
SRC_IP SRC_IP_MASK	IP-адрес источника и его маска подсети	-
any	Любой IP-адрес источника	-
host SRC_IP	IP-адрес устройства-источника	-
DST_IP DST_IP_MASK	IP-адрес назначения и его маска подсети	-
host DST_IP	IP-адрес устройства назначения	-
PRECEDENCE	Значение IP Precedence	0 - 7
DSCP	Значение DSCP	0 - 63
ECN	Значение ECN	0 - 3
non-fragment	Не фрагментированные пакеты	-
first-fragment	Первый фрагмент	-
non-or-first-fragment	Не фрагментированные или первый фрагмент	-
small-fragment	Малый фрагмент	-
non-first-fragment	Не первый фрагмент	-
routed-packet	Маршрутизированные пакеты	-
options	Пакеты с IP-опциями	-
TIME-RANGE-NAME	Временной диапазон, используемый фильтром	Текст до 40 символов
OPERATOR	Оператор сравнения длины пакета	`eq` (равно), `lt` (меньше чем), `gt` (больше чем), и `range` (диапазон)
LENGTH	Длина пакета	64 - 16382

Режим ввода

FLEX IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Данный тип фильтра в основном используется для разрешения GRE-пакетов.

Примеры

Создание фильтра в расширенном списке FLEX IP ACL для разрешения всех GRE-пакетов:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 1 permit gre any any key 0 mask 0

Создание фильтра в расширенном списке FLEX IP ACL для разрешения GRE-пакетов с исходным IP-адресом 1.1.1.1, любым IP-адресом назначения и ключом GRE 10:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 2 permit gre host 1.1.1.1 any key 10 mask 0xffffffff

Связанные команды

no sequence-num

11.5.22. permit nvgre

Назначение

Данная команда используется для разрешения пакетов NVGRE, которые соответствуют списку доступа.

Требования

Серия	Версия ОС	Тип лицензии	Примечания
AQ-N3000	7.0	Base	-
AQ-N5000	7.0	Base	-
AQ-N6000	7.0	Base	-

Синтаксис

Параметр	Описание параметра	Значение параметра
VSID	NVGRE vsid	0 - 16777215
VSID-MASK	Маска NVGRE vsid	0 - 0xFFFFFF
SEQUENCE_NUM	Порядковый номер фильтра в FLEX IP ACL. Если не указан, будет автоматически назначен.	1 - 131071
SRC_IP SRC_IP_MASK	IP-адрес источника и его маска подсети	-
any	Любой IP-адрес источника	-
host SRC_IP	IP-адрес устройства-источника	-
DST_IP DST_IP_MASK	IP-адрес назначения и его маска	-
host DST_IP	IP-адрес устройства назначения	-
PRECEDENCE	Значение IP Precedence	0 - 7
DSCP	Значение DSCP	0 - 63
ECN	Значение ECN	0 - 3
non-fragment	Не фрагментированные пакеты	-
first-fragment	Первый фрагмент	-
non-or-first-fragment	Не фрагментированные или первый фрагмент	-
small-fragment	Малый фрагмент	-
non-first-fragment	Не первый фрагмент	-
routed-packet	Маршрутизированные пакеты	-
options	Пакеты с IP-опциями	-
TIME-RANGE-NAME	Временной диапазон, используемый фильтром	Текст до 40 символов
OPERATOR	Оператор сравнения длины пакета	`eq` (равно), `lt` (меньше чем), `gt` (больше чем), и `range` (диапазон)
LENGTH	Длина пакета	64 - 16382

Режим ввода

FLEX IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Данный тип фильтра в основном используется для разрешения пакетов NVGRE.

Примеры

Создание фильтра в расширенном списке FLEX IP ACL для разрешения всех пакетов NVGRE:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 1 permit nvgre any any vsid 0 mask 0

Создание фильтра в расширенном списке FLEX IP ACL для разрешения пакетов NVGRE с исходным IP-адресом 1.1.1.1, любым IP-адресом назначения и VSID NVGRE равным 10:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# 2 permit gre host 1.1.1.1 any key 10 mask 0xffffff

Связанные команды

no sequence-num

11.5.23. remark

Назначение

Данная команда используется для добавления комментариев к расширенному списку доступа FLEX IP ACL.

Команда no remark используется для удаления комментариев из расширенного списка доступа FLEX IP ACL.

Требования

Серия	Версия ОС	Тип лицензии	Примечания
AQ-N3000	7.0	Base	-
AQ-N5000	7.0	Base	-
AQ-N6000	7.0	Base	-

Синтаксис

remark REMARK

no remark

Параметр	Описание параметра	Значение параметра
REMARK	Комментарий к расширенному списку доступа FLEX IP ACL	Текст до 100 символов

Режим ввода

FLEX IP ACL Configuration

Состояние по умолчанию

Нет

Применение

Комментарий может содержать до 100 символов.

Примеры

Добавление комментария для описания расширенного списка доступа FLEX IP ACL:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# remark remard0flist1

Удаление комментария из расширенного списка доступа FLEX IP ACL:

Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acll)# no remark

Связанные команды

Нет

–>

latest.20241120