CLI

Обзор

Access-листы обеспечивают более тонкую настройку абонентских запросов. Они позволяют выполнять конкретные действия для определённых типов трафика с использованием фильтров.

Фильтры включают:

  • Тип протокола IP (IPv4 или IPv6),

  • Протокол (ANY, UDP, TCP, ICMP, GRE, ESP),

  • Исходные и целевые IP-адреса,

  • Исходные и целевые порты (для UDP и TCP),

  • Тип и код сообщения ICMP,

  • Дифференцированный код точки услуг (DSCP) согласно RFC 2474 для IPv4,

  • Метка потока IPv6 согласно RFC 6437.

Типы действий:

Разрешить (permit)

Это действие по умолчанию. Сессии обрабатываются в соответствии с поведением, определённым в Target-группе.

Запретить (deny)

Запрещает создание новых сессий. Весь трафик для этих сессий будет отброшен.

Примечание

Для применения Access List его необходимо добавить к Access point.

Настройка

Следующие команды используются для настройки Access-листов:

ip dp-access-list NAME SEQ <permit|deny> <any|gre|esp> src-ip <any|A.B.C.D/M> dst-ip <any|A.B.C.D/M> [dscp (0-63)]
ipv6 dp-access-list NAME SEQ <permit|deny> <any|gre|esp> src-ip <any|X:X::X:X/M> dst-ip <any|X:X::X:X/M> [flow-label (0-1048575)]

Создать Access List для любого IP-протокола или конкретного (GRE/ESP).

Ключ

Аргумент

Описание

NAME

Имя Access-листа

SEQ

(1-536870911)

Порядковый номер

ACTION

<deny|permit>

Действие

<any|gre|esp>

Выбор протокола

src-ip

<any|A.B.C.D/M> или <any|X:X::X:X/M>

Исходная подсеть

dst-ip

<any|A.B.C.D/M> или <any|X:X::X:X/M>

Целевая подсеть

dscp

(0-63)

Значение DSCP для IPv4-трафика

flow-label

(0-1048575)

Метка потока для IPv6-трафика
ip dp-access-list NAME SEQ <permit|deny> <udp|tcp> src-ip <any|A.B.C.D/M> dst-ip <any|A.B.C.D/M> [src-port (0-65535) (0-65535)] [dst-port (0-65535) (0-65535)] [dscp (0-63)]
ipv6 dp-access-list NAME SEQ <permit|deny> <udp|tcp> src-ip <any|X:X::X:X/M> dst-ip <any|X:X::X:X/M> [src-port (0-65535) (0-65535)] [dst-port (0-65535) (0-65535)] [flow-label (0-1048575)]

Создать Access List для протоколов TCP или UDP.

Ключ

Аргумент

Описание

NAME

Имя Access-листа

SEQ

(1-536870911)

Порядковый номер

ACTION

<deny|permit>

Действие

<tcp|udp>

Протокол: TCP или UDP

src-ip

<any|A.B.C.D/M> или <any|X:X::X:X/M>

Исходная подсеть

dst-ip

<any|A.B.C.D/M> или <any|X:X::X:X/M>

Целевая подсеть

src-port

(0-65535) (0-65535)

Диапазон портов источника

dst-port

(0-65535) (0-65535)

Диапазон целевых портов

dscp

(0-63)

Значение DSCP для IPv4-трафика

flow-label

(0-1048575)

Метка потока для IPv6-трафика
ip dp-access-list NAME SEQ <permit|deny> icmp src-ip <any|A.B.C.D/M> dst-ip <any|A.B.C.D/M> [icmp-type (0-255) (0-255)] [icmp-code (0-255) (0-255)] [dscp (0-63)]
ipv6 dp-access-list NAME SEQ <permit|deny> icmp src-ip <any|X:X::X:X/M> dst-ip <any|X:X::X:X/M> [icmp-type (0-255) (0-255)] [icmp-code (0-255) (0-255)] [flow-label (0-1048575)]

Создать Access List для протокола ICMP.

Ключ

Задать аргумент

Описание

NAME

Добавить имя Access-листа

Создать последовательность (SEQ)

(1-536870911)

Задать порядковый номер.

Задать действие

Настроить правило доступа с указанными параметрами:

Действие

icmp

IP-протокол: ICMP

src-ip

<any|A.B.C.D/M> or <any|X:X::X:X/M>

Исходный подсет

dst-ip

<any|A.B.C.D/M> или <any|X:X::X:X/M>

Destination-подсети

icmp-type

(0-255) (0-255)

Диапазон типов ICMP-сообщений

icmp-code

(0-255) (0-255)

Диапазон кодов ICMP

dscp

(0-63)

Значение DSCP для IPv4-трафика

flow-label

(0-1048575)

Метка потока для IPv6-трафика

Show-команды

show <ip|ipv6> dp-access-list [NAME]

Показать все настроенные Access-листы (или указанный) и их срабатывания.

clear <ip|ipv6> dp-access-list [NAME]

Очистить статистику для всех Access-листов или указанного.