Онлайн-демонстрация
Связаться с нами
11.6. Команды расширенного ACL
11.6.1. ip access-list extend
Назначение
Данная команда используется для создания расширенного IP ACL и перехода в режим его конфигурации.
Чтобы удалить ACL, используйте команду no ip access-list extend.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
- |
AQ-N5000 |
7.0 |
Base |
- |
AQ-N6000 |
7.0 |
Base |
- |
Синтаксис
ip access-list ACL_NAME extend
no ip access-list ACL_NAME extend
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
ACL_NAME |
Имя расширенного IP ACL |
Текст до 40 символов |
Режим ввода
Global Config
Состояние по умолчанию
Нет
Применение
При попытке создания расширенного IP ACL с именем, которое уже существует, будет выполнен вход в режим конфигурации ACL с данным именем. Если имя ACL используется другим типом ACL, появится соответствующее сообщение.
Если имя не используется ни в одном ACL, будет создан расширенный IP ACL, после чего выполнен вход в режим конфигурации расширенного IP ACL.
Для применения созданного расширенного IP ACL на порте, см. использование команды match access-group.
Примеры
Создание расширенного IP ACL с именем “list_ipv4_1” и переход в режим конфигурации расширенного IP ACL:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)#
Удаление расширенного IP ACL с именем “list_ipv4_1”:
Switch# configure terminal
Switch(config)# no ip access-list list_ipv4_1 extend
Связанные команды
match access-group
11.6.2. sequence-num
Назначение
Данная команда используется для удаления фильтра из расширенного IP ACL.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
- |
AQ-N5000 |
7.0 |
Base |
- |
AQ-N6000 |
7.0 |
Base |
- |
Синтаксис
no sequence-num SEQUENCE_NUM
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
SEQUENCE_NUM |
Порядковый номер IP-фильтра |
1 - 131071 |
Режим ввода
Extend IP ACL Configuration
Состояние по умолчанию
Нет
Применение
Нет
Примеры
Удаление IP или MAC-фильтра с порядковым номером 10 из расширенного IP ACL:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# no sequence-num 10
Связанные команды
deny
deny udp
deny icmp
deny igmp
permit
permit tcp
permit udp
permit icmp
permit igmp
deny src-mac
permit src-mac
11.6.3. deny src-mac
Назначение
Данная команда используется для создания MAC-фильтра.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
- |
AQ-N5000 |
7.0 |
Base |
- |
AQ-N6000 |
7.0 |
Base |
- |
Синтаксис
(SEQUENCE_NUM| ) deny src-mac (any|MAC_ADDR MAC_ADDR_MASK|host MAC_ADDR) (dest-mac (any| MAC_ADDR MAC_ADDR_MASK|host MAC_ADDR)| ) (untag-vlan| (vlan VLAN_ID| ) (cos COS| ) (inner-vlan INNER_VLAN_ID| ) (inner-cos INNER_COS| )) (arp-packet ((arp-op-code) (sender-ip (IP_ADDR IP_ADDR_MASK|any|host IP_ADDR)| ) (target-ip (IP_ADDR IP_ADDR_MASK|any|host IP_ADDR) | ))|packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
SEQUENCE_NUM |
Порядковый номер фильтра в MAC ACL. Если параметр не задан, порядковый номер будет присвоен автоматически. |
1 - 131071 |
any |
Любой сетевой узел |
- |
MAC_ADDR MAC_ADDR_MASK |
MAC-адрес и его маска |
- |
host MAC_ADDR |
MAC-адрес сетевого устройства |
- |
dest-mac |
MAC-адрес назначения |
- |
untag-vlan |
VLAN без тэга |
- |
VLAN_ID |
VLAN-ID |
1 - 4094 |
COS |
CoS |
0 - 7 |
INNER_VLAN_ID |
Внутренний VLAN-ID |
1 - 4094 |
INNER_COS |
Внутренний CoS |
0 - 7 |
arp |
Протокол ARP |
- |
arp-op-code |
Код операции ARP |
0 - 65535 |
sender-ip |
IP-адрес отправителя |
- |
target-ip |
IP-адрес получателя |
- |
IP_ADDR IP_ADDR_MASK |
IP-адрес и его маска |
- |
host IP_ADDR |
IP-адрес сетевого устройства |
- |
TIME-RANGE-NAME |
Временной диапазон, используемый расширенным IP фильтром |
Текст до 40 символов |
OPERATOR |
Оператор сравнения длины пакета |
|
LENGTH |
Длина пакета |
64 - 16382 |
Режим ввода
Extend IP ACL Configuration
Состояние по умолчанию
Нет
Применение
Если поле sequence-num не задано, порядковый номер будет присвоен автоматически. Автоматически присвоенный порядковый номер увеличивается на 10 по отношению к максимальному существующему номеру в расширенном IP ACL. Например, если максимальный существующий номер равен 100, то последующему созданному MAC фильтру будет присвоен номер 110.
Примеры
Создание расширенного IP ACL для запрета пакетов с исходным MAC-адресом 0058.3f2C.A1DF:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# deny src-mac host 0058.3f2C.A1DF
Создание расширенного IP ACL для запрета всех пакетов:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# deny src-mac any
Создание расширенного IP ACL для запрета пакетов, чей исходный MAC-адрес находится в указанном диапазоне:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# deny src-mac 0058.3f2C.A1DF 0058.3f2C.0000
Связанные команды
no sequence-num
11.6.4. permit src-mac
Назначение
Данная команда используется для создания фильтра, позволяющего доставку пакетов, соответствующих правилу фильтра.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
- |
AQ-N5000 |
7.0 |
Base |
- |
AQ-N6000 |
7.0 |
Base |
- |
Синтаксис
(SEQUENCE_NUM| ) permit src-mac (any|MAC_ADDR MAC_ADDR_MASK|host MAC_ADDR) (dest-mac (any| MAC_ADDR MAC_ADDR_MASK|host MAC_ADDR)| ) (untag-vlan|(vlan VLAN_ID| ) (cos VALUE| ) (inner-vlan INNER_VLAN_ID| ) (inner-cos INNER_COS| )) (arp-packet ((arp-op-code) (sender-ip (IP_ADDR IP_ADDR_MASK|any|host IP_ADDR)| ) (target-ip (IP_ADDR IP_ADDR_MASK|any|host IP_ADDR)| ))|packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
SEQUENCE_NUM |
Порядковый номер фильтра. Если параметр не задан, порядковый номер будет присвоен автоматически |
1 - 131071 |
any |
Любой сетевой узел |
- |
MAC_ADDR MAC_ADDR_MASK |
MAC-адрес и его маска |
- |
host MAC_ADDR |
MAC-адрес сетевого устройства |
- |
dest-mac |
MAC-адрес назначения |
- |
untag-vlan |
VLAN без тэга |
- |
VLAN_ID |
VLAN-ID |
1 - 4094 |
COS |
CoS |
0 - 7 |
INNER_VLAN_ID |
Внутренний VLAN-ID |
1 - 4094 |
INNER_COS |
Внутренний CoS |
0 - 7 |
arp |
Протокол ARP |
- |
arp-op-code |
Код операции ARP |
0 - 65535 |
sender-ip |
IP-адрес отправителя |
- |
target-ip |
IP-адрес получателя |
- |
IP_ADDR IP_ADDR_MASK |
IP-адрес и его маска |
- |
host IP_ADDR |
IP-адрес сетевого устройства |
- |
TIME-RANGE-NAME |
Временной диапазон, используемый расширенным IP фильтром |
Текст до 40 символов |
OPERATOR |
Оператор сравнения длины пакета |
|
LENGTH |
Длина пакета |
64 - 16382 |
Режим ввода
Extend IP ACL Configuration
Состояние по умолчанию
Нет
Применение
Если поле sequence-num не задано, порядковый номер будет присвоен автоматически. Автоматически присвоенный порядковый номер увеличивается на 10 по отношению к максимальному существующему номеру в расширенном IP ACL. Например, если максимальный существующий номер равен 105, то последующему созданному MAC фильтру будет присвоен номер 115.
Примеры
Создание расширенного IP ACL для разрешения пакетов с исходным MAC-адресом 0058.3f2C.A1DF:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# permit src-mac host 0058.3f2C.A1DF
Создание расширенного IP ACL для разрешения всех пакетов:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# permit src-mac any
Создание фильтра в MAC ACL для разрешения пакетов с исходным MAC-адресом, находящимся в указанном диапазоне:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# permit src-mac 0058.3f2C.A1DF 0058.3f2C.0000
Связанные команды
no sequence-num
11.6.5. deny
Назначение
Данная команда используется для блокировки IP-пакетов, соответствующих IP-фильтру.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
- |
AQ-N5000 |
7.0 |
Base |
- |
AQ-N6000 |
7.0 |
Base |
- |
Синтаксис
(SEQUENCE_NUM| ) deny (PROTO_NUM| any) (SRC_IP SRC_IP_MASK|any|host SRC_IP) (DST_IP DST_IP_MASK|any|host DST_IP) (ip-precedence PRECEDENCE|dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
SEQUENCE_NUM |
Порядковый номер фильтра в IP ACL. Если параметр не задан, порядковый номер будет присвоен автоматически |
1 - 131071 |
PROTO_NUM |
Номер IP-протокола |
1, 6, 17, 47 |
any |
Любой протокол |
- |
SRC_IP SRC_IP_MASK |
IP-адрес источника и его маска |
- |
host SRC_IP |
IP-адрес устройства-источника |
- |
DST_IP DST_IP_MASK |
Адрес назначения и его маска |
- |
host DST_IP |
IP-адрес назначения сетевого устройства |
- |
PRECEDENCE |
Значение IP Precedence |
0 - 7 |
DSCP |
Значение DSCP пакета |
0 - 63 |
ECN |
Значение ECN |
0 - 3 |
non-fragment |
Пакеты без фрагментов |
- |
first-fragment |
Первые фрагменты пакетов |
- |
non-or-first-fragment |
Пакеты без фрагментов или первые фрагменты |
- |
small-fragment |
Малые фрагменты пакетов |
- |
non-first-fragment |
Не первые фрагменты пакетов |
- |
routed-packet |
Маршрутизируемые пакеты |
- |
options |
Пакеты с IP-опциями |
- |
TIME-RANGE-NAME |
Временной диапазон, используемый фильтром |
Текст до 40 символов |
OPERATOR |
Оператор сравнения длины пакета |
|
LENGTH |
Длина пакета |
64 - 16382 |
Режим ввода
Extend IP ACL Configuration
Состояние по умолчанию
Нет
Применение
Если указан бит маски IP-адреса, то IP-адрес логически AND’ится побитово с обратными битами маски. Например, 10.10.10.0 0.0.0.255 означает, что совпадают адреса от 10.10.10.0 до 10.10.10.255.
Если поле sequence-num не указано, фильтру будет автоматически присвоен порядковый номер. Автоматически присвоенный порядковый номер увеличивается на 10 по отношению к максимальному существующему номеру в расширенном IP ACL. Например, если максимальный существующий номер равен 100, то последующему созданному IP-фильтру будет присвоен номер 110.
Примеры
Создание расширенного IP ACL для блокировки любых IP-пакетов:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# deny any any any
Создание расширенного IP ACL для блокировки фрагментированных пакетов с исходным IP-адресом 1.1.1.1:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# deny any host 1.1.1.1 any first-fragment
Создание расширенного IP ACL для блокировки любых маршрутизируемых пакетов:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# deny any any any routed-packet
Связанные команды
no sequence-num
11.6.6. deny tcp
Назначение
Данная команда используется для отклонения TCP-пакетов, соответствующих IP-фильтру.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
- |
AQ-N5000 |
7.0 |
Base |
- |
AQ-N6000 |
7.0 |
Base |
- |
Синтаксис
(SEQUENCE_NUM| ) deny tcp (SRC_IP SRC_IP_MASK|any|host SRC_IP) (src-port OPERATOR SRC_PORT| ) (DST_IP DST_IP_MASK|any|host DST_IP) (dst-port OPERATOR DST_PORT| ) (ip-precedence PRECEDENCE|dscp DSCP| ) (ECN| ) (established|(match-any|match-all FLAG-NAME| )| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
SEQUENCE_NUM |
Порядковый номер фильтра в IP Extend ACL. Если параметр не задан, порядковый номер будет присвоен автоматически. |
1 - 131071 |
SRC_IP SRC_IP_MASK |
IP-адрес источника и его маска |
- |
any |
Любое устройство-источник |
- |
host SRC_IP |
IP-адрес устройства-источника |
- |
OPERATOR SRC_PORT |
Оператор сравнения и номер порта-источника |
Порта: 0 - 65535. Оператор: |
DST_IP DST_IP_MASK |
Адрес назначения и его маска |
- |
host DST_IP |
IP-адрес назначения сетевого устройства |
- |
OPERATOR DST_PORT |
Оператор сравнения и номер порта назначения |
Порт: 0 - 65535. Оператор: |
PRECEDENCE |
Значение IP Precedence |
0 - 7 |
DSCP |
Значение DSCP пакета |
0 - 63 |
ECN |
Значение ECN |
0 - 3 |
established |
Установленные соединения |
- |
match-any |
Любой из флагов |
- |
FLAG-NAME |
Флаг |
|
non-fragment |
Пакеты без фрагментации |
- |
first-fragment |
Первый фрагмент пакета |
- |
non-or-first-fragment |
Пакеты без фрагментации или первый фрагмент |
- |
small-fragment |
Малый фрагмент пакета |
- |
non-first-fragment |
Не первый фрагмент пакета |
- |
routed-packet |
Маршрутизируемые пакеты |
- |
options |
Пакеты с IP-опциями |
- |
TIME-RANGE-NAME |
Временной диапазон для IP-фильтра |
Текст до 40 символов |
OPERATOR |
Оператор сравнения |
|
LENGTH |
Значение длины пакета |
64 - 16382 |
Режим ввода
Extend IP ACL Configuration
Состояние по умолчанию
Нет
Применение
Фрагменты становятся недействительными при указании информации уровня L4 (например, src-port).
Примеры
Создание расширенного IP ACL для блокировки всех TCP-пакетов:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# deny tcp any any
Создание расширенного IP ACL для блокировки TCP-пакетов с исходным IP-адресом 1.1.1.1 и исходным портом в диапазоне от 0 до 100:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# deny tcp host 1.1.1.1 src-port range 0 100 any
Создание расширенного IP ACL для блокировки TCP-пакетов в установленных TCP-соединениях:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# deny tcp any any established
Создание расширенного IP ACL для блокировки TCP ACK-пакетов с исходным IP-адресом 10.10.10.10:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# deny tcp 10.10.10.0 0.0.0.0 any match ack
Связанные команды
no sequence-num
11.6.7. deny udp
Назначение
Данная команда используется для блокировки UDP-пакетов, соответствующих IP-фильтру.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
- |
AQ-N5000 |
7.0 |
Base |
- |
AQ-N6000 |
7.0 |
Base |
- |
Синтаксис
(SEQUENCE_NUM| ) deny udp (SRC_IP SRC_IP_MASK|any|host SRC_IP) (src-port OPERATOR SRC_PORT| ) (DST_IP DST_IP_MASK|any|host DST_IP) (dst-port OPERATOR DST_PORT| ) (ip-precedence PRECEDENCE|dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
SEQUENCE_NUM |
Порядковый номер фильтра в IP Extend ACL. Если параметр не задан, порядковый номер будет присвоен автоматически |
1 - 131071 |
SRC_IP SRC_IP_MASK |
IP-адрес источника и его маска |
- |
any |
Любое устройство-источник |
- |
host SRC_IP |
IP-адрес устройства-источника |
- |
OPERATOR SRC_PORT |
Оператор сравнения и номер порта-источника |
Порт: 0 - 65535. Операторы: |
DST_IP DST_IP_MASK |
Адрес назначения и его маска |
- |
host DST_IP |
IP-адрес назначения сетевого устройства |
- |
OPERATOR DST_PORT |
Оператор сравнения и номер порта назначения |
Порт: 0 - 65535. Операторы: |
PRECEDENCE |
Значение IP Precedence |
0 - 7 |
DSCP |
Значение DSCP пакета |
0 - 63 |
ECN |
Значение ECN |
0 - 3 |
non-fragment |
Пакеты без фрагментации |
- |
first-fragment |
Первый фрагмент пакета |
- |
non-or-first-fragment |
Пакеты без фрагментации или первый фрагмент |
- |
small-fragment |
Малый фрагмент пакета |
- |
non-first-fragment |
Не первый фрагмент пакета |
- |
routed-packet |
Маршрутизируемые пакеты |
- |
options |
Пакеты с IP-опциями |
- |
TIME-RANGE-NAME |
Временной диапазон, используемый фильтром |
Текст до 40 символов |
OPERATOR |
Оператор сравнения |
|
LENGTH |
Длина пакета |
64 - 16382 |
Режим ввода
Extend IP ACL Configuration
Состояние по умолчанию
Нет
Применение
Фрагменты становятся недействительными при указании информации уровня L4 (например, src-port).
Примеры
Создание фильтра в IP ACL для блокировки всех UDP-пакетов:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# deny udp any any
Создание фильтра в IP ACL для блокировки UDP-пакетов с исходным IP-адресом 1.1.1.1, исходным портом 10 и портом назначения менее 2000:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# deny udp host 1.1.1.1 src-port eq 10 any dst-port lt 2000
Связанные команды
no sequence-num
11.6.8. deny icmp
Назначение
Данная команда используется для блокировки ICMP-пакетов, соответствующих IP-фильтру.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
- |
AQ-N5000 |
7.0 |
Base |
- |
AQ-N6000 |
7.0 |
Base |
- |
Синтаксис
(SEQUENCE_NUM| ) deny icmp (SRC_IP SRC_IP_MASK|any|host SRC_IP) (DST_IP DST_IP_MASK|any|host DST_IP) (icmp-type TYPE-NUM (icmp-code CODE-NUM| )| ) (ip-precedence PRECEDENCE|dscp DSCP| )(ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
TYPE-NUM |
Тип ICMP-сообщения |
0 - 255 |
CODE-NUM |
Код ICMP-сообщения |
0 - 255 |
SEQUENCE_NUM |
Порядковый номер фильтра в IP ACL. Если параметр не задан, порядковый номер будет назначен автоматически. |
1 - 131071 |
SRC_IP SRC_IP_MASK |
IP-адрес источника и его маска |
- |
any |
Любой IP-адрес источника |
- |
host SRC_IP |
IP-адрес устройства-источника |
- |
DST_IP DST_IP_MASK |
Адрес назначения и его маска |
- |
host DST_IP |
IP-адрес назначения сетевого устройства |
- |
PRECEDENCE |
Значение IP Precedence |
0 - 7 |
DSCP |
Значение DSCP пакета |
0 - 63 |
ECN |
Значение ECN |
0 - 3 |
non-fragment |
Пакеты без фрагментации |
- |
first-fragment |
Первый фрагмент пакета |
- |
non-or-first-fragment |
Пакеты без фрагментации или первый фрагмент |
- |
small-fragment |
Малый фрагмент пакета |
- |
non-first-fragment |
Не первый фрагмент пакета |
- |
routed-packet |
Маршрутизируемые пакеты |
- |
options |
Пакеты с IP-опциями |
- |
TIME-RANGE-NAME |
Временной диапазон, используемый фильтром |
Текст до 40 символов |
OPERATOR |
Оператор сравнения |
|
LENGTH |
Длина пакета |
64 - 16382 |
Режим ввода
Extend IP ACL Configuration
Состояние по умолчанию
Нет
Применение
Нет
Примеры
Создание фильтра в IP ACL для отклонения любых UDP-пакетов:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# deny udp any any
Создание фильтра в IP ACL для фильтрации UDP-пакетов с исходным IP-адресом 1.1.1.1, исходным портом 10 и целевым портом меньше 2000:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# deny udp host 1.1.1.1 src-port eq 10 any dst-port lt 2000
Связанные команды
no sequence-num
11.6.9. deny igmp
Назначение
Команда deny igmp используется для блокировки IGMP-пакетов, соответствующих IP-фильтру.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
- |
AQ-N5000 |
7.0 |
Base |
- |
AQ-N6000 |
7.0 |
Base |
- |
Синтаксис
(SEQUENCE_NUM| ) deny igmp (SRC_IP SRC_IP_MASK|any|host SRC_IP) (DST_IP DST_IP_MASK|any|host DST_IP) (IGMP-TYPE| ) (ip-precedence PRECEDENCE|dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
IGMP-TYPE |
Тип IGMP |
включая dvmrp, host-query, host-report, mtrace, mtrace-response, pim, precedence, trace, v2-leave, v2-report, v3-report |
SEQUENCE_NUM |
Порядковый номер фильтра в IP ACL. Если параметр не задан, фильтру будет присвоен автоматически сгенерированный номер. |
1 - 131071 |
SRC_IP SRC_IP_MASK |
IPv4-адрес источника и его маска |
- |
any |
Любой исходный IPv4-адрес |
- |
host SRC_IP |
IPv4-адрес устройства-источника |
- |
DST_IP DST_IP_MASK |
IPv4-адрес назначения и его маска |
- |
host DST_IP |
IPv4-адрес устройства назначения |
- |
PRECEDENCE |
Значение IP Precedence |
0 - 7 |
DSCP |
Значение DSCP |
0 - 63 |
ECN |
Значение ECN |
0 - 3 |
non-fragment |
Не фрагменитированный пакет |
- |
first-fragment |
Первый фрагмент пакета |
- |
non-or-first-fragment |
Не первый фрагмент пакета |
- |
small-fragment |
Малый фрагмент |
- |
non-first-fragment |
Не первый фрагмент пакета |
- |
routed-packet |
Маршрутизируемые пакеты |
- |
options |
Пакет с IP-опциями |
- |
TIME-RANGE-NAME |
Временной диапазон, используемый фильтром |
Текст до 40 символов |
OPERATOR |
Оператор сравнения длины пакета |
|
LENGTH |
Длина пакета |
64 - 16382 |
Режим ввода
Extend IP ACL Configuration
Состояние по умолчанию
Нет
Применение
Нет
Примеры
Создание фильтра в расширенной IP ACL для отклонения любых ICMP-пакетов:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# deny icmp any any
Создание фильтра в расширенной IP ACL для отклонения ICMP-пакетов с типом icmp-type 3 и кодом icmp-code 3:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# deny icmp any any icmp-type 3 icmp-code 3
Связанные команды
no sequence-num
11.6.10. deny gre
Назначение
Команда deny gre используется для блокировки GRE-пакетов, соответствующих IP-фильтру.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
- |
AQ-N5000 |
7.0 |
Base |
- |
AQ-N6000 |
7.0 |
Base |
- |
Синтаксис
(SEQUENCE_NUM| ) deny gre (SRC_IP SRC_IP_MASK|any|host SRC_IP) (DST_IP DST_IP_MASK|any|host DST_IP) (key KEY mask KEY-MASK) (ip-precedence PRECEDENCE|dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment| ) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
KEY |
GRE ключ |
0 - 4294967295 |
KEY-MASK |
Маска GRE ключа |
0 - 0xFFFFFFFF |
SEQUENCE_NUM |
Порядковый номер фильтра в IP ACL. Если параметр не задан, фильтру будет присвоен автоматически сгенерированный номер. |
1 - 131071 |
SRC_IP SRC_IP_MASK |
IPv4-адрес источника и его маска |
- |
any |
Любой исходный IPv4-адрес |
- |
host SRC_IP |
IPv4-адрес устройства-источника |
- |
DST_IP DST_IP_MASK |
IPv4-адрес назначения и его маска |
- |
host DST_IP |
IPv4-адрес устройства назначения |
- |
PRECEDENCE |
Значение IP Precedence |
0 - 7 |
DSCP |
Значение DSCP |
0 - 63 |
ECN |
Значение ECN |
0 - 3 |
non-fragment |
Не фрагменитированный пакет |
- |
first-fragment |
Первый фрагмент пакета |
- |
non-or-first-fragment |
Не первый фрагмент пакета |
- |
small-fragment |
Малый фрагмент |
- |
non-first-fragment |
Не первый фрагмент пакета |
- |
routed-packet |
Маршрутизируемые пакеты |
- |
options |
Пакет с IP-опциями |
- |
TIME-RANGE-NAME |
Временной диапазон, используемый фильтром |
Текст до 40 символов |
OPERATOR |
Оператор сравнения длины пакета |
|
LENGTH |
Длина пакета |
64 - 16382 |
Режим ввода
Extend IP ACL Configuration
Состояние по умолчанию
Нет
Применение
Этот тип фильтра в основном используется для блокировки GRE-пакетов.
Примеры
Создание фильтра в расширенной IP ACL для отклонения любых IGMP-пакетов:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# deny igmp any any
Создание фильтра в расширенной IP ACL для отклонения IGMP-пакетов с исходным IP-адресом 1.1.1.1, любым целевым IP-адресом и типом igmp pim:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# deny igmp host 1.1.1.1 any pim
Связанные команды
no sequence-num
11.6.11. deny nvgre
Назначение
Команда deny nvgre используется для блокировки NVGRE-пакетов, соответствующих IP-фильтру.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
- |
AQ-N5000 |
7.0 |
Base |
- |
AQ-N6000 |
7.0 |
Base |
- |
Синтаксис
(SEQUENCE_NUM| ) deny nvgre (SRC_IP SRC_IP_MASK|any|host SRC_IP) (DST_IP DST_IP_MASK|any|host DST_IP) (vsid VSID mask VSID-MASK) (ip-precedence PRECEDENCE|dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment| ) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
VSID |
NVGRE VSID |
0 - 16777215 |
VSID-MASK |
Маска NVGRE VSID |
0 - 0xFFFFFF |
SEQUENCE_NUM |
Порядковый номер фильтра в IP ACL. Если параметр не задан, фильтру будет присвоен автоматически сгенерированный номер. |
1 - 131071 |
SRC_IP SRC_IP_MASK |
IPv4-адрес источника и его маска |
- |
any |
Любой исходный IPv4-адрес |
- |
host SRC_IP |
IPv4-адрес устройства-источника |
- |
DST_IP DST_IP_MASK |
IPv4-адрес назначения и его маска |
- |
host DST_IP |
IPv4-адрес устройства назначения |
- |
PRECEDENCE |
Значение IP Precedence |
0 - 7 |
DSCP |
Значение DSCP |
0 - 63 |
ECN |
Значение ECN |
0 - 3 |
non-fragment |
Не фрагменитированный пакет |
- |
first-fragment |
Первый фрагмент пакета |
- |
non-or-first-fragment |
Не первый фрагмент пакета |
- |
small-fragment |
Малый фрагмент |
- |
non-first-fragment |
Не первый фрагмент пакета |
- |
routed-packet |
Маршрутизируемые пакеты |
- |
options |
Пакет с IP-опциями |
- |
TIME-RANGE-NAME |
Временной диапазон, используемый фильтром |
Текст до 40 символов |
OPERATOR |
Оператор сравнения длины пакета |
|
LENGTH |
Длина пакета |
64 - 16382 |
Режим ввода
Extend IP ACL Configuration
Состояние по умолчанию
Нет
Применение
Этот тип фильтра в основном используется для отклонения пакетов NVGRE.
Примеры
Создание фильтра в расширенной IP ACL для отклонения любых GRE-пакетов:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# deny gre any any key 0 mask 0
Создание фильтра в расширенной IP ACL для отклонения GRE-пакетов с исходным IP-адресом 1.1.1.1, любым целевым IP-адресом и gre key 10:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# deny gre host 1.1.1.1 any key 10 mask 0xffffffff
Связанные команды
no sequence-num
11.6.12. permit
Назначение
Команда permit используется для разрешения пакетов, соответствующих IP-фильтру.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
- |
AQ-N5000 |
7.0 |
Base |
- |
AQ-N6000 |
7.0 |
Base |
- |
Синтаксис
(SEQUENCE_NUM| ) permit (PROTO_NUM|any) (SRC_IP SRC_IP_MASK|any|host SRC_IP) (DST_IP DST_IP_MASK|any|host DST_IP) (ip-precedence PRECEDENCE| dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
SEQUENCE_NUM |
Порядковый номер фильтра в IP ACL. Если параметр не задан, фильтру будет присвоен автоматически сгенерированный номер. |
1 - 131071 |
PROTO_NUM |
Номер IP-протокола, диапазон от 0 до 255 |
0 - 255 |
any |
Любой протокол |
- |
SRC_IP SRC_IP_MASK |
IPv4-адрес источника и его маска |
- |
host SRC_IP |
IPv4-адрес устройства-источника |
- |
DST_IP DST_IP_MASK |
IPv4-адрес назначения и его маска |
- |
host DST_IP |
IPv4-адрес устройства назначения |
- |
PRECEDENCE |
Значение IP Precedence |
0 - 7 |
DSCP |
Значение DSCP |
0 - 63 |
ECN |
Значение ECN |
0 - 3 |
non-fragment |
Не фрагменитированный пакет |
- |
first-fragment |
Первый фрагмент пакета |
- |
non-or-first-fragment |
Не первый фрагмент пакета |
- |
small-fragment |
Малый фрагмент |
- |
non-first-fragment |
Не первый фрагмент пакета |
- |
routed-packet |
Маршрутизируемые пакеты |
- |
options |
Пакет с IP-опциями |
- |
TIME-RANGE-NAME |
Временной диапазон, используемый фильтром |
Текст до 40 символов |
OPERATOR |
Оператор сравнения длины пакета |
|
LENGTH |
Длина пакета |
64 - 16382 |
Режим ввода
Extend IP ACL Configuration
Состояние по умолчанию
Нет
Применение
Если указаны IP-адрес и маска, производится логическое “И” IP-адреса и маски. Например, команде 10.10.10.0 0.0.0.255 будут соответствовать адреса от 10.10.10.0 до 10.10.10.255.
Автоматически сгенерированный порядковый номер будет присвоен фильтру, если поле sequence-num не указано. Автоматически сгенерированный порядковый номер увеличивается на 10 от максимального существующего порядкового номера в расширенной IP ACL. Например, если максимальный существующий порядковый номер 105, порядковый номер последующего создаваемого IP-фильтра будет 115.
Примеры
Создание расширенного IP ACL для отклонения любых NVGRE-пакетов:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# deny nvgre any any vsid 0 mask 0
Создание расширенного IP ACL для отклонения NVGRE-пакетов с исходным IP-адресом 1.1.1.1, любым IP-адресом назначения и NVGRE VSID 10:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# deny gre host 1.1.1.1 any key 10 mask 0xffffff
фильтра в расширенного IP ACL для разрешения любых маршрутизируемых пакетов:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# permit any any any routed-packet
Связанные команды
no sequence-num
11.6.13. permit tcp
Назначение
Команда permit tcp используется для разрешения TCP-пакетов, соответствующих IP-фильтру.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
- |
AQ-N5000 |
7.0 |
Base |
- |
AQ-N6000 |
7.0 |
Base |
- |
Синтаксис
(SEQUENCE_NUM| ) permit tcp (SRC_IP SRC_IP_MASK|any|host SRC_IP) (src-port OPERATOR SRC_PORT| ) (DST_IP DST_IP_MASK|any|host DST_IP) (dst-port OPERATOR DST_PORT| ) (ip-precedence PRECEDENCE|dscp DSCP| ) (ECN| ) (established| (match-any|match-all FLAG-NAME| )| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
SEQUENCE_NUM |
Порядковый номер фильтра в IP Extend ACL. Если параметр не задан, фильтру будет присвоен автоматически сгенерированный номер. |
1 - 131071 |
SRC_IP SRC_IP_MASK |
IPv4-адрес источника и его маска |
- |
any |
Любое устройство-источник |
- |
host SRC_IP |
IPv4-адрес устройства-источника |
- |
OPERATOR SRC_PORT |
Оператор сравнения и номер порта-источника |
Порт: 0 - 65535. Оператор: |
DST_IP DST_IP_MASK |
IPv4-адрес назначения и его маска |
- |
host DST_IP |
IPv4-адрес устройства назначения |
- |
OPERATOR DST_PORT |
Оператор сравнения и номер порта назначения |
Порт: 0 - 65535. Оператор: |
PRECEDENCE |
Значение IP Precedence |
0 - 7 |
DSCP |
Значение DSCP |
0 - 63 |
ECN |
Значение ECN |
0 - 3 |
established |
Установленное соединение |
- |
match-any |
Любой флаг |
- |
FLAG-NAME |
Флаг |
|
non-fragment |
Не фрагменитированный пакет |
- |
first-fragment |
Первый фрагмент пакета |
- |
non-or-first-fragment |
Не первый фрагмент пакета |
- |
small-fragment |
Малый фрагмент |
- |
non-first-fragment |
Не первый фрагмент пакета |
- |
routed-packet |
Маршрутизируемые пакеты |
- |
options |
Пакет с IP-опциями |
- |
TIME-RANGE-NAME |
Временной диапазон, используемый фильтром |
Текст до 40 символов |
OPERATOR |
Оператор сравнения длины пакета |
|
LENGTH |
Длина пакета |
64 - 16382 |
Режим ввода
Extend IP ACL Configuration
Состояние по умолчанию
Нет
Применение
Фрагменты будут недействительны при указании информации уровня L4 (например, src-port).
Примеры
Создание расширенного IP ACL для разрешения любых TCP-пакетов:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# permit tcp any any
Создание расширенного IP ACL для разрешения TCP-пакетов с исходным IP-адресом 1.1.1.1 и диапазоном исходных портов от 0 до 100:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# permit tcp host 1.1.1.1 src-port range 0 100 any
Создание фильтра в расширенной IP ACL для разрешения любых TCP-пакетов в установленных TCP-соединениях:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# permit tcp any any established
Создание фильтра в расширенной IP ACL для разрешения TCP ACK пакетов с исходным IP-адресом 10.10.10.0:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# permit tcp 10.10.10.0 0.0.0.0 any match ack
Связанные команды
no sequence-num
11.6.14. permit udp
Назначение
Команда permit udp используется для разрешения UDP-пакетов, соответствующих этому списку доступа.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
- |
AQ-N5000 |
7.0 |
Base |
- |
AQ-N6000 |
7.0 |
Base |
- |
Синтаксис
( SEQUENCE_NUM| ) permit udp (SRC_IP SRC_IP_MASK|any|host SRC_IP) (src-port OPERATOR SRC_PORT| ) (DST_IP DST_IP_MASK|any|host DST_IP) (dst-port OPERATOR DST_PORT| ) (ip-precedence PRECEDENCE|dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) (options| ) ( packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
SEQUENCE_NUM |
Порядковый номер фильтра в IP Extend ACL. Если параметр не задан, фильтру будет присвоен автоматически сгенерированный номер. |
1 - 131071 |
SRC_IP SRC_IP_MASK |
IPv4-адрес источника и его маска |
- |
any |
Любое устройство-источник |
- |
host SRC_IP |
IPv4-адрес устройства-источника |
- |
OPERATOR SRC_PORT |
Оператор сравнения и номер порта-источника |
Порт: 0 - 65535. Оператор: |
DST_IP DST_IP_MASK |
IPv4-адрес назначения и его маска |
- |
host DST_IP |
IPv4-адрес устройства назначения |
- |
OPERATOR DST_PORT |
Оператор сравнения и номер порта назначения |
Порт: 0 - 65535. Оператор: |
PRECEDENCE |
Значение IP Precedence |
0 - 7 |
DSCP |
Значение DSCP |
0 - 63 |
ECN |
Значение ECN |
0 - 3 |
non-fragment |
Не фрагменитированный пакет |
- |
first-fragment |
Первый фрагмент пакета |
- |
non-or-first-fragment |
Не первый фрагмент пакета |
- |
small-fragment |
Малый фрагмент |
- |
non-first-fragment |
Не первый фрагмент пакета |
- |
routed-packet |
Маршрутизируемые пакеты |
- |
options |
Пакет с IP-опциями |
- |
TIME-RANGE-NAME |
Временной диапазон, используемый фильтром |
- |
OPERATOR |
Оператор сравнения длины пакета |
|
LENGTH |
Длина пакета |
64 - 16382 |
Режим ввода
Extend IP ACL Configuration
Состояние по умолчанию
Нет
Применение
Фрагменты будут недействительны при указании информации уровня L4 (например, src-port).
Примеры
Создание расширенного IP ACL для разрешения любых UDP-пакетов:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# permit udp any any
Создание расширенного IP ACL для разрешения UDP-пакетов с исходным IP-адресом 1.1.1.1, портом-источником 10 и портом назначения меньше 2000:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# permit udp host 1.1.1.1 src-port eq 10 any dst-port lt 2000
Связанные команды
no sequence-num
11.6.15. permit icmp
Назначение
Команда permit icmp используется для разрешения ICMP-пакетов, когда пакеты соответствуют этому списку доступа.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
- |
AQ-N5000 |
7.0 |
Base |
- |
AQ-N6000 |
7.0 |
Base |
- |
Синтаксис
(SEQUENCE_NUM| ) permit icmp (SRC_IP SRC_IP_MASK|any|host SRC_IP) (DST_IP DST_IP_MASK|any|host DST_IP) (icmp-type TYPE-NUM (icmp-code CODE-NUM| )| ) (ip-precedence PRECEDENCE|dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
icmp-type TYPE-NUM |
Тип сообщения ICMP |
0 - 255 |
icmp-code CODE-NUM |
Код сообщения ICMP |
0 - 255 |
SEQUENCE_NUM |
Порядковый номер фильтра в IP ACL. Если параметр не задан, фильтру будет присвоен автоматически сгенерированный номер. |
1 - 131071 |
SRC_IP SRC_IP_MASK |
IPv4-адрес источника и его маска |
- |
any |
Любой исходный IPv4-адрес |
- |
host SRC_IP |
IPv4-адрес устройства-источника |
- |
DST_IP DST_IP_MASK |
IPv4-адрес назначения и его маска |
- |
host DST_IP |
IPv4-адрес устройства назначения |
- |
PRECEDENCE |
Значение IP Precedence |
0 - 7 |
DSCP |
Значение DSCP |
0 - 63 |
ECN |
Значение ECN |
0 - 3 |
non-fragment |
Не фрагментированные пакеты |
- |
first-fragment |
Первый фрагмент пакета |
- |
non-or-first-fragment |
Не первый фрагмент пакета |
- |
small-fragment |
Малый фрагмент |
- |
non-first-fragment |
Не первый фрагмент пакета |
- |
routed-packet |
Маршрутизируемые пакеты |
- |
options |
Пакет с IP-опциями |
- |
TIME-RANGE-NAME |
Временной диапазон, используемый фильтром |
Текст до 40 символов |
OPERATOR |
Оператор сравнения длины пакета |
|
LENGTH |
Длина пакета |
64 - 16382 |
Режим ввода
Extend IP ACL Configuration
Состояние по умолчанию
Нет
Применение
Нет
Примеры
Создание расширенного IP ACL для разрешения любых ICMP-пакетов:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# permit icmp any any
Создание расширенного IP ACL для разрешения ICMP-пакетов с типом 3 и кодом 3:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# permit icmp any any icmp-type 3 icmp-code 3
Связанные команды
Нет
11.6.16. permit igmp
Назначение
Команда permit igmp используется для разрешения IGMP-пакетов, соответствующих списку доступа.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
- |
AQ-N5000 |
7.0 |
Base |
- |
AQ-N6000 |
7.0 |
Base |
- |
Синтаксис
(SEQUENCE_NUM| ) permit igmp (SRC_IP SRC_IP_MASK|any|host SRC_IP) (DST_IP DST_IP_MASK|any|host DST_IP) (IGMP-TYPE| ) (ip-precedence PRECEDENCE|dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
IGMP-TYPE |
Тип IGMP |
|
SEQUENCE_NUM |
Порядковый номер фильтра в IP ACL. Если параметр не задан, фильтру будет присвоен автоматически сгенерированный номер. |
1 - 131071 |
SRC_IP SRC_IP_MASK |
IPv4-адрес источника и его маска |
- |
any |
Любой исходный IPv4-адрес |
- |
host SRC_IP |
IPv4-адрес устройства-источника |
- |
DST_IP DST_IP_MASK |
IPv4-адрес назначения и его маска |
- |
host DST_IP |
IPv4-адрес устройства назначения |
- |
PRECEDENCE |
Значение IP Precedence |
0 - 7 |
DSCP |
Значение DSCP |
0 - 63 |
ECN |
Значение ECN |
0 - 3 |
non-fragment |
Не фрагментированные пакеты |
- |
first-fragment |
Первый фрагмент пакета |
- |
non-or-first-fragment |
Не первый фрагмент пакета |
- |
small-fragment |
Малый фрагмент |
- |
non-first-fragment |
Не первый фрагмент пакета |
- |
routed-packet |
Маршрутизируемые пакеты |
- |
options |
Пакет с IP-опциями |
- |
TIME-RANGE-NAME |
Временной диапазон, используемый фильтром |
Текст до 40 символов |
OPERATOR |
Оператор сравнения длины пакета |
|
LENGTH |
Длина пакета |
64 - 16382 |
Режим ввода
Extend IP ACL Configuration
Состояние по умолчанию
Нет
Применение
Нет
Примеры
Создание расширенного IP ACL для разрешения любых IGMP-пакетов:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# permit igmp any any
Создание расширенного IP ACL для разрешения IGMP-пакетов с исходным IP-адресом 1.1.1.1, любым целевым IP-адресом и типом IGMP PIM:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# permit igmp host 1.1.1.1 any pim
Связанные команды
no sequence-num
11.6.17. permit gre
Назначение
Команда permit gre используется для разрешения пакетов GRE (Generic Routing Encapsulation), соответствующих IP-фильтру.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
- |
AQ-N5000 |
7.0 |
Base |
- |
AQ-N6000 |
7.0 |
Base |
- |
Синтаксис
(SEQUENCE_NUM| ) permit gre (SRC_IP SRC_IP_MASK|any|host SRC_IP) (DST_IP DST_IP_MASK|any|host DST_IP) (key KEY mask KEY-MASK) (ip-precedence PRECEDENCE|dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment| ) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
KEY |
Ключ GRE |
0 - 4294967295 |
KEY-MASK |
Маска ключа GRE |
0 - 0xFFFFFFFF |
SEQUENCE_NUM |
Порядковый номер фильтра в ACL IP. Если не указан, будет назначен автоматический порядковый номер. |
1 - 131071 |
SRC_IP SRC_IP_MASK |
IP-адрес источника и его маска подсети |
- |
any |
Любой IP-адрес источника |
- |
host SRC_IP |
IP-адрес устройства-источника |
- |
DST_IP DST_IP_MASK |
IP-адрес назначения и его маска подсети |
- |
host DST_IP |
IP-адрес устройства назначения |
- |
PRECEDENCE |
Значение IP Precedence |
0 - 7 |
DSCP |
Соответствие пакетов с указанным значением DSCP |
0 - 63 |
ECN |
Значение ECN (Explicit Congestion Notification) |
0 - 3 |
non-fragment |
Не фрагментированные пакеты |
- |
first-fragment |
Первый фрагмент |
- |
non-or-first-fragment |
Не первый фрагмент |
- |
small-fragment |
Малый фрагмент |
- |
non-first-fragment |
Не первый фрагмент |
- |
routed-packet |
Маршрутизированный пакет |
- |
options |
Пакет с IP-опциями |
- |
TIME-RANGE-NAME |
Временной диапазон, применяемый к фильтру |
До 40 символов |
OPERATOR |
Оператор сравнения длины пакета |
|
LENGTH |
Длина пакета |
64 - 16382 |
Режим ввода
Extend IP ACL Configuration
Состояние по умолчанию
Нет
Применение
Эта команда в основном используется для разрешения пакетов GRE на основе заданных критериев.
Примеры
Создание расширенного IP ACL для разрешения любых пакетов GRE:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# permit gre any any key 0 mask 0
Создание расширенного IP ACL для разрешения пакетов GRE с указанным исходным IP-адресом 1.1.1.1, любым IP-адресом назначения и ключом GRE равным 10:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# permit gre host 1.1.1.1 any key 10 mask 0xffffffff
Связанные команды
no sequence-num
11.6.18. permit nvgre
Назначение
Команда permit nvgre используется для разрешения пакетов NVGRE (Network Virtualization using Generic Routing Encapsulation), соответствующих IP-фильтру.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
- |
AQ-N5000 |
7.0 |
Base |
- |
AQ-N6000 |
7.0 |
Base |
- |
Синтаксис
(SEQUENCE_NUM| ) permit nvgre (SRC_IP SRC_IP_MASK|any|host SRC_IP) (DST_IP DST_IP_MASK|any|host DST_IP) (vsid VSID mask VSID-MASK) (ip-precedence PRECEDENCE|dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment| ) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
VSID |
Идентификатор NVGRE (VSID) |
0 - 16777215 |
VSID-MASK |
Маска идентификатора NVGRE (VSID) |
0 - 0xFFFFFF |
SEQUENCE_NUM |
Порядковый номер фильтра в ACL IP. Если не указан, назначается автоматический порядковый номер. |
1 - 131071 |
SRC_IP SRC_IP_MASK |
IP-адрес источника и его маска подсети |
- |
any |
Любой IP-адрес источника |
- |
host SRC_IP |
IP-адрес устройства-источника |
- |
DST_IP DST_IP_MASK |
IP-адрес назначения и его маска подсети |
- |
host DST_IP |
IP-адрес устройства назначения |
- |
PRECEDENCE |
Значение IP Precedence |
0 - 7 |
DSCP |
Значение DSCP |
0 - 63 |
ECN |
Значение ECN |
0 - 3 |
non-fragment |
Не фрагментированные пакеты |
- |
first-fragment |
Первый фрагмент |
- |
non-or-first-fragment |
Не первый фрагмент |
- |
small-fragment |
Малый фрагмент |
- |
non-first-fragment |
Не первый фрагмент |
- |
routed-packet |
Маршрутизированный пакет |
- |
options |
Опции IP |
- |
TIME-RANGE-NAME |
Временной диапазон |
До 40 символов |
OPERATOR |
Оператор длины пакета |
|
LENGTH |
Длина пакета |
64 - 16382 |
Режим ввода
Extend IP ACL Configuration
Состояние по умолчанию
Нет
Применение
Эта команда используется для разрешения пакетов NVGRE на основе заданных критериев.
Примеры
Создание расширенного IP ACL для разрешения любых пакетов NVGRE:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# permit nvgre any any vsid 0 mask 0
Создание расширенного IP ACL для разрешения пакетов NVGRE с исходным IP-адресом 1.1.1.1, любым IP-адресом назначения и идентификатором NVGRE (VSID) равным 10:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# permit gre host 1.1.1.1 any key 10 mask 0xffffff
Связанные команды
no sequence-num
11.6.19. remark
Назначение
Команда remark используется для добавления примечаний к расширенному списку контроля доступа IP ACL.
Чтобы удалить примечание из расширенного IP ACL, используйте команду no remark.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
- |
AQ-N5000 |
7.0 |
Base |
- |
AQ-N6000 |
7.0 |
Base |
- |
Синтаксис
remark REMARK
no remark
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
REMARK |
Примечание к расширенному IP ACL |
Текст до 100 символов |
Режим ввода
Extend IP ACL Configuration
Состояние по умолчанию
Нет
Применение
Примечание может содержать до 100 символов.
Примеры
Добавление примечания, описывающее расширенный IP ACL:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# remark remard0flist1
Удаление примечания из расширенного IP ACL:
Switch# configure terminal
Switch(config)# ip access-list list_ipv4_1 extend
Switch(config-ex-ip-acl)# no remark
Связанные команды
Нет
11.6.20. show access-list ip extend
Назначение
Команда show access-list ip extend используется для отображения информации о расширенном IP ACL.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Base |
- |
AQ-N5000 |
7.0 |
Base |
- |
AQ-N6000 |
7.0 |
Base |
- |
Синтаксис
show access-list ip (ACL_NAME extend| )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
ACL_NAME extend |
Имя расширенного IP ACL |
Текст до 40 символов |
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Нет
Примеры
Вывод информации о расширенном IP ACL:
Switch# show access-list ip
ip access-list ex_ip_list_ipv4_1 extend
10 permit tcp host 1.1.1.1 any
20 deny icmp any any
30 permit tcp any any
Связанные команды
ip access-list extend