11.7. Команды ACLv6

11.7.1. ipv6 access-list

Назначение

Команда ipv6 access-list используется для создания IPv6 ACL и перехода в режим глобальной конфигурации IPv6 ACL.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

ipv6 access-list ACL_NAME

no ipv6 access-list ACL_NAME

Параметр

Описание параметра

Значение параметра

ACL_NAME

Имя IPv6 ACL

Текст до 40 символов

Режим ввода

Global Config

Состояние по умолчанию

Нет

Применение

Если при создании IPv6 ACL фильтр с таким именем уже существует, будет выполнем вход в режим конфигурации IPv6 ACL. Если имя ACL уже используется другим типом ACL, будет показано сообщение с предупреждением.

Если имя не используется ни одним ACL, сначала будет создан новый IPv6 ACL, после чего выполнен вход в режим конфигурации IPv6 ACL.

Примеры

Создание IPv6 ACL с именем “list_ipv6_1” и перейти в режим конфигурации IPv6 ACL:

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)#

Удаление IPv6 ACL с именем “list_ipv6_1”:

Switch# configure terminal
Switch(config)# no ipv6 access-list list_ipv6_1

Связанные команды

match access-group

11.7.2. sequence-num

Назначение

Команда sequence-num используется для удаления фильтра из IPv6 ACL.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

no sequence-num SEQUENCE_NUM

Параметр

Описание параметра

Значение параметра

SEQUENCE_NUM

Порядковый номер IPv6-фильтра

1 - 131071

Режим ввода

IPv6 ACL Configuration

Состояние по умолчанию

Нет

Применение

Нет

Примеры

Удаление IPv6 ACL фильтра с порядковым номером 10:

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# no sequence-num 10

Связанные команды

deny

deny tcp

deny udp

deny icmp

permit

permit tcp

permit udp

permit icmp

11.7.3. remark

Назначение

Команда remark используется для добавления примечаний к IPv6 ACL.

Чтобы удалить примечания из IPv6 ACL, используйте команду no remark.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

remark REMARK

no remark

Параметр

Описание параметра

Значение параметра

REMARK

Примечание к IPv6 ACL

Текст до 100 символов

Режим ввода

IPv6 ACL Configuration

Состояние по умолчанию

Нет

Применение

Примечание может содержать до 100 символов. Символы, превышающие максимальное значение, не будут сохранены.

Примеры

Добавление примечания к IPv6 ACL:

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# remark remark of List for ipv6

Удаление примечания из IPv6 ACL:

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# no remark

Связанные команды

ipv6 access-list

11.7.4. deny

Назначение

Команда deny используется для отбрасывания входящих IPv6-пакетов, соответствующих фильтру.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) deny (PROTO_NUM| any) (SRC_IPV6 SRC_IPV6_MASK|any|host SRC_IPV6) (DST_IPV6 DST_IPV6_MASK|any|host DST_IPV6) (flow-label FLOW_LABEL| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment| ) (dscp DSCP| ) (routed-packet| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )

Параметр

Описание параметра

Значение параметра

SEQUENCE_NUM

Порядковый номер IPv6 ACL. Если параметр не задан, порядковый номер будет присвоен автоматически.

1 - 131071

PROTO_NUM

Номер протокола IPv6

0 - 255

any

Любой протокол IPv6

-

SRC_IPV6 SRC_IPV6_MASK

IPv6-адрес источника и его маска

-

host SRC_IPV6

IPv6-адрес устройства-источника

-

DST_IPV6 DST_IPV6_MASK

IPv6-адрес назначения и маска

-

host DST_IPV6

IPv6-адрес назначения сетевого устройства

-

FLOW_LABEL

Номер метки потока

0 - 1048575

non-fragment

Не фрагментированные пакеты

-

first-fragment

Первый фрагмент

-

non-or-first-fragment

Не фрагментированный или первый фрагмент

-

small-fragment

Малый фрагмент

-

non-first-fragment

Не первый фрагмент

-

DSCP

Значение DSCP

0 - 63

routed-packet

Маршрутизированный пакет

-

TIME-RANGE-NAME

Временной диапазон, используемый фильтром

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше), gt (больше), range (диапазон)

LENGTH

Значение длины

64 - 16382

Режим ввода

IPv6 ACL Configuration

Состояние по умолчанию

Нет

Применение

Если параметр sequence-num не задан, фильтру будет присвоен автоматически сгенерированный порядковый номер. Автоматически сгенерированный порядковый номер увеличивается на 10 от максимального существующего порядкового номера в IPv6 ACL. Например, если максимальный существующий порядковый номер равен 100, порядковый номер создаваемого фильтра IPv6 будет 110.

Примеры

Создание фильтра в IPv6 ACL для блокировки любых IPv6-пакетов:

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# deny any any any

Создание фильтра в IPv6 ACL для блокировки любых маршрутизированных пакетов:

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# deny any any any routed-packet

Связанные команды

no sequence-num

11.7.5. deny tcp

Назначение

Команда deny tcp используется для отклонения TCP пакетов, соответствующих фильтру IPv6.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) deny tcp (SRC_IPV6 SRC_IPV6_MASK|any|host SRC_IPV6) (src-port OPERATOR SRC_PORT| ) (DST_IPV6 DST_IPV6_MASK|any|host DST_IPV6) (dst-port OPERATOR DST_PORT| ) (flow-label FLOW_LABEL| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment| ) (dscp DSCP| ) (routed-packet| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )

Параметр

Описание параметра

Значение параметра

SEQUENCE_NUM

Порядковый номер фильтра IPv6 ACL. Если параметр не задан, фильтру будет присвоен автоматически сгенерированный порядковый номер.

1 - 131071

SRC_IPV6 SRC_IPV6_MASK

IPv6-адрес источника и его маска

-

any

Любое устройство назначения

-

host SRC_IPV6

IPv6-адрес устройства-источника

-

OPERATOR SRC_PORT

Оператор сравнения и номер порта-источника

Порт: 0 - 65535. Операторы: eq (равно), lt (меньше), gt (больше), neq (не равно) и range (диапазон)

DST_IPV6 DST_IPV6_MASK

IPv6-адрес назначения и маска

-

host DST_IPV6

IPv6-адрес назначения сетевого устройства

-

OPERATOR DST_PORT

Оператор сравнения и номер порта назначения

Порт: 0 - 65535. Операторы: eq (равно), lt (меньше), gt (больше), neq (не равно) и range (диапазон)

flow-label FLOW_LABEL

Номер метки потока

0 - 1048575

non-fragment

Не фрагментированные пакеты

-

first-fragment

Первый фрагмент

-

non-or-first-fragment

Не фрагментированный или первый фрагмент

-

small-fragment

Малый фрагмент

-

non-first-fragment

Не первый фрагмент

-

DSCP

Значение DSCP

0 - 63

routed-packet

Маршрутизированный пакет

-

TIME-RANGE-NAME

Временной диапазон, используемый фильтром

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше), gt (больше), и range (диапазон)

LENGTH

Значение длины

64 - 16382

Режим ввода

IPv6 ACL Configuration

Состояние по умолчанию

Нет

Применение

Нет

Примеры

Создание фильтра в IPv6 ACL для блокировки любых TCP пакетов:

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# deny tcp any any

Создание фильтра в IPv6 ACL для блокировки TCP пакетов с IPv6-адресом источника 2001::2020 и портом-источником 8080:

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# deny tcp host 2001::2020 src-port eq 8080 any

Связанные команды

no sequence-num

11.7.6. deny udp

Назначение

Команда deny udp используется для блокирования UDP пакетов, соответствующих фильтру IPv6.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) deny udp (SRC_IPV6 SRC_IPV6_MASK|any|host SRC_IPV6) (src-port OPERATOR SRC_PORT| ) (DST_IPV6 DST_IPV6_MASK|any|host DST_IPV6) (dst-port OPERATOR DST_PORT| ) (flow-label FLOW_LABEL| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment |non-first-fragment| ) (dscp DSCP| ) (routed-packet| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )

Параметр

Описание параметра

Значение параметра

SEQUENCE_NUM

Порядковый номер фильтра в IPv6 ACL. Если параметр не задан, фильтру будет присвоен автоматически сгенерированный порядковый номер.

1 - 131071

SRC_IPV6 SRC_IPV6_MASK

IPv6-адрес источника и его маска

-

any

Любое устройство назначения

-

host SRC_IPV6

IPv6-адрес устройства-источника

-

OPERATOR SRC_PORT

Оператор сравнения и номер порта-источника

Порт: 0 - 65535. Операторы: eq (равно), lt (меньше), gt (больше), neq (не равно) и range (диапазон)

DST_IPV6 DST_IPV6_MASK

IPv6-адрес назначения и маска

-

host DST_IPV6

IPv6-адрес назначения сетевого устройства

-

OPERATOR DST_PORT

Оператор сравнения и номер порта назначения

Порт: 0 - 65535. Операторы: eq (равно), lt (меньше), gt (больше), neq (не равно) и range (диапазон)

flow-label FLOW_LABEL

Номер метки потока

0 - 1048575

non-fragment

Не фрагментированные пакеты

-

first-fragment

Первый фрагмент

-

non-or-first-fragment

Не фрагментированный или первый фрагмент

-

small-fragment

Малый фрагмент

-

non-first-fragment

Не первый фрагмент

-

DSCP

Значение DSCP

0 - 63

routed-packet

Маршрутизированные пакеты

-

TIME-RANGE-NAME

Временной диапазон, используемый фильтром IPv6

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше), gt (больше), и range (диапазон)

LENGTH

Значение длины

64 - 16382

Режим ввода

IPv6 ACL Configuration

Состояние по умолчанию

Нет

Применение

Нет

Примеры

Создание фильтра в IPv6 ACL для блокировки любых UDP пакетов:

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# deny udp any any

Создание фильтра в IPv6 ACL для блокировки UDP пакетов с IPv6-адресом источника 2001::2020 и портом-источником 8080:

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# deny udp host 2001::2020 src-port eq 8080 any

Связанные команды

no sequence-num

11.7.7. deny icmp

Назначение

Команда deny icmp используется для отклонения ICMP пакетов, соответствующих фильтру IPv6.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) deny icmp (SRC_IPV6 SRC_IPV6_MASK|any|host SRC_IPV6) (DST_IPV6 DST_IPV6_MASK|any|host DST_IPV6) (icmp-type TYPE-NUM (icmp-code CODE-NUM| )| ) (flow-label FLOW_LABEL| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment| ) (dscp DSCP| ) (routed-packet| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )

Параметр

Описание параметра

Значение параметра

TYPE-NUM

Тип ICMP сообщения

0 - 255

CODE-NUM

Код ICMP сообщения

0 - 255

SEQUENCE_NUM

Порядковый номер фильтра в IPv6 ACL. Если параметр не задан, фильтру будет присвоен автоматически сгенерированный порядковый номер.

1 - 131071

SRC_IPV6 SRC_IPV6_MASK

IPv6-адрес источника и его маска

-

any

Любое устройство-источник

-

host SRC_IPV6

IPv6-адрес устройства-источника

-

DST_IPV6 DST_IPV6_MASK

IPv6-адрес назначения и маска

-

host DST_IPV6

IPv6-адрес назначения сетевого устройства

-

flow-label FLOW_LABEL

Номер метки потока

0 - 1048575

non-fragment

Не фрагментированные пакеты

-

first-fragment

Первый фрагмент

-

non-or-first-fragment

Не первый фрагмент

-

small-fragment

Малый фрагмент

-

non-first-fragment

Не первый фрагмент

-

DSCP

Значение DSCP

0 - 63

routed-packet

Маршрутизированный пакет

-

TIME-RANGE-NAME

Временной диапазон, используемый фильтром IPv6

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше), gt (больше), и range (диапазон)

LENGTH

Значение длины

64 - 16382

Режим ввода

IPv6 ACL Configuration

Состояние по умолчанию

Нет

Применение

Нет

Примеры

Создание фильтра в IPv6 ACL для блокировки любых ICMP пакетов:

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# deny icmp any any

Создание фильтра в IPv6 ACL для блокировки ICMP пакетов с типом 3 и кодом 3:

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# deny icmp any any icmp-type 3 icmp-code 3

Связанные команды

no sequence-num

11.7.8. deny gre

Назначение

Команда deny gre используется для отклонения GRE пакетов, соответствующих фильтру IPv6.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) deny gre (SRC_IPV6 SRC_IPV6_MASK|any|host SRC_IPV6) (DST_IPV6 DST_IPV6_MASK|any|host DST_IPV6) (flow-label FLOW-LABEL-VALUE| ) (key KEY mask KEY-MASK) (dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment| ) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )

Параметр

Описание параметра

Значение параметра

FLOW-LABEL-VALUE

Метка потока

0 - 1048575

KEY

GRE ключ

0 - 4294967295

KEY-MASK

Маска GRE ключа

0 - 0xFFFFFFFF

SEQUENCE_NUM

Порядковый номер фильтра в IPv6 ACL. Если параметр не задан, фильтру будет присвоен автоматически сгенерированный порядковый номер.

1 - 131071

SRC_IPV6 SRC_IPV6_MASK

IPv6-адрес источника и его маска

-

any

Любое устройство-источник

-

host SRC_IPV6

IPv6-адрес устройства-источника

-

DST_IPV6 DST_IPV6_MASK

IPv6-адрес назначения и маска

-

host DST_IPV6

IPv6-адрес назначения сетевого устройства

-

routed-packet

Маршрутизированный пакет

-

TIME-RANGE-NAME

Временной диапазон, используемый фильтром IPv6

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше), gt (больше), и range (диапазон)

LENGTH

Значение длины пакета

64 - 16382

ECN

значение ECN

0 - 3

Режим ввода

IPv6 ACL Configuration

Состояние по умолчанию

Нет

Применение

Нет

Примеры

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# deny gre any any key 0 mask 0

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# deny gre host 2000::1 any key 10 mask 0xffffffff

Связанные команды

no sequence-num

11.7.9. deny nvgre

Назначение

Команда deny nvgre используется для отклонения NVGRE пакетов, соответствующих фильтру IPv6.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) deny nvgre (SRC_IPV6 SRC_IPV6_MASK|any|host SRC_IPV6) (DST_IPV6 DST_IPV6_MASK|any|host DST_IPV6) (flow-label FLOW-LABEL-VALUE| ) (vsid VSID mask VSID-MASK) (dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment| ) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )

Параметр

Описание параметра

Значение параметра

FLOW-LABEL-VALUE

Метка потока

0 - 1048575

VSID

NVGRE VSID

0 - 16777215

VSID-MASK

NVGRE VSID Маска

0 - 0xFFFFFF

SEQUENCE_NUM

Порядковый номер фильтра в IPv6 ACL. Если параметр не задан, фильтру будет присвоен автоматически сгенерированный порядковый номер.

1 - 131071

SRC_IPV6 SRC_IPV6_MASK

IPv6-адрес источника и его маска

-

any

Любое устройство-источник

-

host SRC_IPV6

IPv6-адрес устройства-источника

-

DST_IPV6 DST_IPV6_MASK

IPv6-адрес назначения и маска

-

host DST_IPV6

IPv6-адрес назначения сетевого устройства

-

routed-packet

Маршрутизированный пакет

-

TIME-RANGE-NAME

Временной диапазон, используемый фильтром IPv6

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше), gt (больше), и range (диапазон)

LENGTH

Значение длины

64 - 16382

ECN

значение ECN

0 - 3

Режим ввода

IPv6 ACL Configuration

Состояние по умолчанию

Нет

Применение

Нет

Примеры

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# deny nvgre any any vsid 0 mask 0

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# deny nvgre host 2000::1 any key 10 mask 0xffffff

Связанные команды

no sequence-num

11.7.10. permit

Назначение

Команда permit используется для разрешения передачи IPv6 пакетов, соответствующих фильтру IPv6.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) permit (PROTO_NUM|any) (SRC_IPV6 SRC_IPV6_MASK|any|host SRC_IPV6) (DST_IPV6 DST_IPV6_MASK|any|host DST_IPV6) (flow-label FLOW_LABEL| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment| ) (dscp DSCP| ) (routed-packet| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )

Параметр

Описание параметра

Значение параметра

SEQUENCE_NUM

Порядковый номер фильтра в IPv6 ACL. Если параметр не задан, фильтру будет присвоен автоматически сгенерированный порядковый номер.

1 - 131071

PROTO_NUM

Номер протокола IPv6

0 - 255

any

Любой протокол IPv6

-

SRC_IPV6 SRC_IPV6_MASK

IPv6-адрес источника и его маска

-

host SRC_IPV6

IPv6-адрес устройства-источника

-

DST_IPV6 DST_IPV6_MASK

IPv6-адрес назначения и маска

-

host DST_IPV6

IPv6-адрес назначения сетевого устройства

-

flow-label FLOW_LABEL

Номер метки потока

0 - 1048575

non-fragment

Пакеты без фрагментации

-

first-fragment

Первый фрагмент пакета

-

non-or-first-fragment

Не фрагментированный или не первый фрагмент

-

small-fragment

Малый фрагмент

-

non-first-fragment

Не первый фрагмент

-

DSCP

Значение DSCP

0 - 63

routed-packet

Маршрутизированный пакет

-

TIME-RANGE-NAME

Временной диапазон, используемый фильтром IPv6

Текст до 40 символов

OPERATOR LENGTH

Оператор сравнения длины пакета

eq (равно), lt (меньше), gt (больше), и range (диапазон)

LENGTH

Значение длины пакета

64 - 16382

Режим ввода

IPv6 ACL Configuration

Состояние по умолчанию

Нет

Применение

Если параметр sequence-num не задан, фильтру будет автоматически присвоен порядковый номер. Автоматически сгенерированный порядковый номер увеличивается на 10 по максимальному существующему порядковому номеру в IPv6 ACL. Например, если максимальный существующий порядковый номер равен 100, порядковый номер последующего созданного IPv6 фильтра будет 110.

Примеры

Создание фильтра в IPv6 ACL для разрешения любых IPv6 пакетов:

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# permit any any any

Создание фильтра в IPv6 ACL для разрешения всех маршрутизированных пакетов:

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# permit any any any routed-packet

Связанные команды

no sequence-num

11.7.11. permit tcp

Назначение

Команда permit tcp используется для разрешения передачи TCP пакетов, соответствующих фильтру IPv6.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) permit tcp (SRC_IPV6 SRC_IPV6_MASK|any|host SRC_IPV6) (src-port OPERATOR SRC_PORT| ) (DST_IPV6 DST_IPV6_MASK|any|host DST_IPV6) (dst-port OPERATOR DST_PORT| ) (flow-label FLOW_LABEL| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment| ) (dscp DSCP| ) (routed-packet| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )

Параметр

Описание параметра

Значение параметра

SEQUENCE_NUM

Порядковый номер фильтра в IPv6 ACL. Если параметр не задан, фильтру будет присвоен автоматически сгенерированный порядковый номер.

1 - 131071

SRC_IPV6 SRC_IPV6_MASK

IPv6-адрес источника и его маска

-

any

Любое устройство-источник

-

host SRC_IPV6

IPv6-адрес устройства-источника

-

OPERATOR SRC_PORT

Оператор сравнения и номер порта-источника

Порт: 0 - 65535. Оператор: eq (равно), lt (меньше), gt (больше), neq (не равно) и range (диапазон)

DST_IPV6 DST_IPV6_MASK

IPv6-адрес назначения и маска

-

host DST_IPV6

IPv6-адрес назначения сетевого устройства

-

OPERATOR DST_PORT

Оператор сравнения и номер порта назначения

Порт: 0 - 65535. Оператор: eq (равно), lt (меньше), gt (больше), neq (не равно) и range (диапазон)

flow-label FLOW_LABEL

Номер метки потока

0 - 1048575

non-fragment

Пакеты без фрагментации

-

first-fragment

Первый фрагмент пакета

-

non-or-first-fragment

Не первый фрагмент

-

small-fragment

Малый фрагмент

-

non-first-fragment

Не первый фрагмент

-

DSCP

Значение DSCP

0 - 63

routed-packet

Маршрутизированный пакет

-

TIME-RANGE-NAME

Временной диапазон, используемый фильтром IPv6

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше), gt (больше) и range (диапазон)

LENGTH

Значение длины пакета

64 - 16382

Режим ввода

IPv6 ACL Configuration

Состояние по умолчанию

Нет

Применение

Нет

Примеры

Создание фильтра в IPv6 ACL для разрешения всех TCP пакетов:

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# permit tcp any any

Создание фильтра в IPv6 ACL для разрешения TCP пакетов с IPv6-адресом источника 2001::2020 и портом-источником 8080:

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# permit tcp host 2001::2020 src-port eq 8080 any

Связанные команды

no sequence-num

11.7.12. permit udp

Назначение

Команда permit udp используется для разрешения UDP пакетов, соответствующих фильтру IPv6.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) permit udp (SRC_IPV6 SRC_IPV6_MASK|any|host SRC_IPV6) (src-port OPERATOR SRC_PORT| ) (DST_IPV6 DST_IPV6_MASK|any|host DST_IPV6) (dst-port OPERATOR DST_PORT| ) (flow-label FLOW_LABEL| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment| ) (dscp DSCP| ) (routed-packet| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )

Параметр

Описание параметра

Значение параметра

SEQUENCE_NUM

Номер последовательности фильтра в ACL IPv6. Если поле не указано, номер будет назначен фильтру автоматически.

1 - 131071

SRC_IPV6 SRC_IPV6_MASK

IPv6-адрес источника и его маска

-

any

Любое устройство-источник

-

host SRC_IPV6

IPv6-адрес устройства-источника

-

OPERATOR SRC_PORT

Оператор сравнения и номер порта

Порт: 0 - 65535. Операторы: eq (равно), lt (меньше), gt (больше), neq (не равно) и range (диапазон)

DST_IPV6 DST_IPV6_MASK

IPv6-адрес назначения и его маска

-

host DST_IPV6

IPv6-адрес назначения сетевого устройства

-

OPERATOR DST_PORT

Оператор порта и его значение для порта назначения

Порт: 0 - 65535. Операторы: eq (равно), lt (меньше), gt (больше), neq (не равно) и range (диапазон)

flow-label FLOW_LABEL

Номер метки потока

0 - 1048575

non-fragment

Не фрагментированные пакеты

-

first-fragment

Первый фрагмент

-

non-or-first-fragment

Не фрагментированный или не первый фрагмент

-

small-fragment

Малый фрагмент

-

non-first-fragment

Не фрагментированный или не первый фрагмент

-

DSCP

Значение DSCP

0 - 63

routed-packet

Маршрутизированный пакет

-

TIME-RANGE-NAME

Временной диапазон, используемый в фильтре IPv6

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше), gt (больше), и range (диапазон)

LENGTH

Значение длины пакета

64 - 16382

Режим ввода

IPv6 ACL Configuration

Состояние по умолчанию

Нет

Применение

Нет

Примеры

Создание фильтра в ACL IPv6 для разрешения любых UDP пакетов:

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# permit udp any any

Создание фильтра в ACL IPv6 для разрешения UDP пакетов с IPv6-адресом источника 2001::2020 и портом-источником 8080:

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# permit udp host 2001::2020 src-port eq 8080 any

Связанные команды

no sequence-num

11.7.13. permit icmp

Назначение

Команда permit icmp используется для разрешения ICMP пакетов, соответствующих фильтру IPv6.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) permit icmp (SRC_IPV6 SRC_IPV6_MASK|any|host SRC_IPV6) (DST_IPV6 DST_IPV6_MASK|any|host DST_IPV6) (icmp-type TYPE-NUM (icmp-code CODE-NUM| )| ) (flow-label FLOW_LABEL| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment| ) (dscp DSCP| ) (routed-packet| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )

Параметр

Описание параметра

Значение параметра

icmp-type TYPE-NUM

Тип ICMP сообщения

0 - 255

icmp-code CODE-NUM

Код ICMP сообщения

0 - 255

SEQUENCE_NUM

Номер последовательности фильтра в ACL IPv6. Если параметр не задан, номер последовательности будет назначен фильтру автоматически.

1 - 131071

SRC_IPV6 SRC_IPV6_MASK

IPv6-адрес источника и его маска

-

any

Любое устройство-источник

-

host SRC_IPV6

IPv6-адрес устройства-источника

-

DST_IPV6 DST_IPV6_MASK

IPv6-адрес источника и его маска

-

host DST_IPV6

IPv6-адрес назначения сетевого устройства

-

flow-label FLOW_LABEL

Номер метки потока

0 - 1048575

non-fragment

Не фрагментированные пакеты

-

first-fragment

Первый фрагмент

-

non-or-first-fragment

Не фрагментированный или не первый фрагмент

-

small-fragment

Малый фрагмент

-

non-first-fragment

Не фрагментированный или не первый фрагмент

-

DSCP

Значение DSCP

0 - 63

routed-packet

Маршрутизированный пакет

-

TIME-RANGE-NAME

Временной диапазон, используемый в фильтре IPv6

Текст до 40 символов

OPERATOR

Оператор сраннения длины пакета

eq (равно), lt (меньше), gt (больше), и range (диапазон)

LENGTH

Значение длины пакета

64 - 16382

Режим ввода

IPv6 ACL Configuration

Состояние по умолчанию

Нет

Применение

Нет

Примеры

Создание фильтра в ACL IPv6 для разрешения любых ICMP пакетов:

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# permit icmp any any

Создание фильтра в ACL IPv6 для разрешения ICMP пакетов с типом ICMP “3” и кодом ICMP “3”:

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# permit icmp any any icmp-type 3 icmp-code 3

Связанные команды

no sequence-num

11.7.14. permit gre

Назначение

Команда permit gre используется для разрешения GRE пакетов, соответствующих фильтру IPv6.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) permit gre (SRC_IPV6 SRC_IPV6_MASK|any|host SRC_IPV6) (DST_IPV6 DST_IPV6_MASK|any|host DST_IPV6) (flow-label FLOW-LABEL-VALUE| ) (key KEY mask KEY-MASK) (dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment| ) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )

Параметр

Описание параметра

Значение параметра

FLOW-LABEL-VALUE

Номер метки потока

0 - 1048575

KEY

Ключ GRE

0 - 4294967295

KEY-MASK

Маска ключа GRE

0 - 0xFFFFFFFF

SEQUENCE_NUM

Номер последовательности фильтра в ACL IPv6. Если поле не указано, номер будет назначен фильтру автоматически.

1 - 131071

SRC_IPV6 SRC_IPV6_MASK

IPv6-адрес источника и его маска

-

any

Любое устройство-источник

-

host SRC_IPV6

IPv6-адрес устройства-источника

-

DST_IPV6 DST_IPV6_MASK

IPv6-адрес сетевого устройства и его маска

-

host DST_IPV6

IPv6-адрес назначения сетевого устройства

-

routed-packet

Маршрутизированный пакет

-

TIME-RANGE-NAME

Временной диапазон, используемый в фильтре IPv6

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше), gt (больше), и range (диапазон)

LENGTH

Значение длины пакета

64 - 16382

ECN

Значение ECN

0 - 3

Режим ввода

IPv6 ACL Configuration

Состояние по умолчанию

Нет

Применение

Нет

Примеры

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# permit gre any any key 0 mask 0

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# permit gre host 2000::1 any key 10 mask 0xffffffff

Связанные команды

no sequence-num

11.7.15. permit nvgre

Назначение

Команда permit nvgre используется для разрешения NVGRE пакетов, соответствующих фильтру IPv6.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

(SEQUENCE_NUM| ) permit nvgre (SRC_IPV6 SRC_IPV6_MASK|any|host SRC_IPV6) (DST_IPV6 DST_IPV6_MASK|any|host DST_IPV6) (flow-label FLOW-LABEL-VALUE| ) (vsid VSID mask VSID-MASK) (dscp DSCP| ) (ECN| ) (non-fragment|first-fragment|non-or-first-fragment|small-fragment|non-first-fragment| ) (routed-packet| ) (options| ) (packet-length OPERATOR LENGTH| ) (time-range TIME-RANGE-NAME| )

Параметр

Описание параметра

Значение параметра

FLOW-LABEL-VALUE

Номер метки потока

0 - 1048575

VSID

NVGRE VSID

0 - 16777215

VSID-MASK

Маска NVGRE VSID

0 - 0xFFFFFF

SEQUENCE_NUM

Номер последовательности фильтра в ACL IPv6. Если поле не указано, номер будет назначен фильтру автоматически.

1 - 131071

SRC_IPV6 SRC_IPV6_MASK

IPv6-адрес источника и его маска

-

any

Любое устройство-источник

-

host SRC_IPV6

IPv6-адрес устройства-источника

-

DST_IPV6 DST_IPV6_MASK

IPv6-адрес назначения и его маска

-

host DST_IPV6

IPv6-адрес назначения сетевого устройства

-

routed-packet

Маршрутизированный пакет

-

TIME-RANGE-NAME

Временной диапазон, используемый в фильтре IPv6

Текст до 40 символов

OPERATOR

Оператор сравнения длины пакета

eq (равно), lt (меньше), gt (больше), и range (диапазон)

LENGTH

Значение длины пакета

64 - 16382

ECN

Значение ECN

0 - 3

Режим ввода

IPv6 ACL Configuration

Состояние по умолчанию

Нет

Применение

Нет

Примеры

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# permit nvgre any any vsid 0 mask 0

Switch# configure terminal
Switch(config)# ipv6 access-list list_ipv6_1
Switch(config-ipv6-acl)# permit nvgre host 2000::1 any key 10 mask 0xffffff

Связанные команды

no sequence-num

11.7.16. show access-list ipv6

Назначение

Команда show access-list ipv6 используется для отображения информации о списке доступа IPv6.

Требования

Серия

Версия ОС

Тип лицензии

Примечания

AQ-N3000

7.0

Base

-

AQ-N5000

7.0

Base

-

AQ-N6000

7.0

Base

-

Синтаксис

show access-list ipv6 (ACL_NAME| )

Параметр

Описание параметра

Значение параметра

ACL_NAME

Имя IPv6 ACL

Текст до 40 символов

Режим ввода

Privileged EXEC

Состояние по умолчанию

Нет

Применение

Если не указан конкретный ACL, будет показана информация обо всех ACL.

Примеры

Вывод информации о списке доступа IPv6:

Switch# show access-list ipv6

ipv6 access-list list_ipv6_1
 10 deny any 2001::/48 any
 20 permit any any any

Связанные команды

ipv6 access-list