CLI¶

Обзор¶

Access-листы обеспечивают более тонкую настройку абонентских запросов. Они позволяют выполнять конкретные действия для определённых типов трафика с использованием фильтров.

Фильтры включают:

Тип протокола IP (IPv4 или IPv6),
Протокол (ANY, UDP, TCP, ICMP, GRE, ESP),
Исходные и целевые IP-адреса,
Исходные и целевые порты (для UDP и TCP),
Тип и код сообщения ICMP,
Differentiated Services Code Point (DSCP) согласно RFC 2474 для IPv4,
Flow Label согласно RFC 6437.

Типы действий:

Разрешить (permit): Это действие по умолчанию. Сессии обрабатываются в соответствии с поведением, определённым в Target-группе.
Запретить (deny): Запрещает создание новых сессий. Весь трафик для этих сессий будет отброшен.
NAT-пул (pool NAME): Применить указанный NAT-пул к сессиям, соответствующим правилу.

Примечание

Для применения Access List его необходимо добавить к Access point.

Настройка¶

Следующие команды используются для настройки Access-листов.

Полный формат¶

ip dp-access-list NAME SEQ <permit|deny|pool NAME> <any|gre|esp> src-ip <any|A.B.C.D/M> dst-ip <any|A.B.C.D/M> [dscp (0-63)]¶

Создать правило Access List для любого IP-протокола или конкретного (GRE/ESP).

Ключ	Аргумент	Описание
`NAME`		Имя Access-листа
`SEQ`	`(1-536870911)`	Порядковый номер правила
`<permit\|deny\|pool NAME>`		Действие: разрешить, запретить или применить NAT-пул
`<any\|gre\|esp>`		Выбор протокола
`src-ip`	`<any\|A.B.C.D/M>` или `<any\|X:X::X:X/M>`	Исходная подсеть
`dst-ip`	`<any\|A.B.C.D/M>` или `<any\|X:X::X:X/M>`	Целевая подсеть
`dscp`	`(0-63)`	Значение DSCP для IPv4-трафика
`flow-label`	`(0-1048575)`	Метка потока для IPv6-трафика

ip dp-access-list NAME SEQ <permit|deny|pool NAME> <udp|tcp> src-ip <any|A.B.C.D/M> dst-ip <any|A.B.C.D/M> [src-port (0-65535) (0-65535)] [dst-port (0-65535) (0-65535)] [dscp (0-63)]¶

Создать правило Access List для протоколов TCP или UDP.

Ключ	Аргумент	Описание
`NAME`		Имя Access-листа
`SEQ`	`(1-536870911)`	Порядковый номер правила
`<permit\|deny\|pool NAME>`		Действие: разрешить, запретить или применить NAT-пул
`<tcp\|udp>`		Протокол: TCP или UDP
`src-ip`	`<any\|A.B.C.D/M>` или `<any\|X:X::X:X/M>`	Исходная подсеть
`dst-ip`	`<any\|A.B.C.D/M>` или `<any\|X:X::X:X/M>`	Целевая подсеть
`src-port`	`(0-65535) (0-65535)`	Диапазон портов источника
`dst-port`	`(0-65535) (0-65535)`	Диапазон целевых портов
`dscp`	`(0-63)`	Значение DSCP для IPv4-трафика
`flow-label`	`(0-1048575)`	Метка потока для IPv6-трафика

ip dp-access-list NAME SEQ <permit|deny|pool NAME> icmp src-ip <any|A.B.C.D/M> dst-ip <any|A.B.C.D/M> [icmp-type (0-255) (0-255)] [icmp-code (0-255) (0-255)] [dscp (0-63)]¶

ipv6 dp-access-list NAME SEQ <permit|deny|pool NAME> icmp src-ip <any|X:X::X:X/M> dst-ip <any|X:X::X:X/M> [icmp-type (0-255) (0-255)] [icmp-code (0-255) (0-255)] [flow-label (0-1048575)]¶

Создать правило Access List для протокола ICMP.

Ключ	Аргумент	Описание
`NAME`		Имя Access-листа
`SEQ`	`(1-536870911)`	Порядковый номер правила
`<permit\|deny\|pool NAME>`		Действие: разрешить, запретить или применить NAT-пул
`icmp`		IP-протокол: ICMP
`src-ip`	`<any\|A.B.C.D/M>` или `<any\|X:X::X:X/M>`	Исходная подсеть
`dst-ip`	`<any\|A.B.C.D/M>` или `<any\|X:X::X:X/M>`	Целевая подсеть
`icmp-type`	`(0-255) (0-255)`	Диапазон типов ICMP-сообщений
`icmp-code`	`(0-255) (0-255)`	Диапазон кодов ICMP
`dscp`	`(0-63)`	Значение DSCP для IPv4-трафика
`flow-label`	`(0-1048575)`	Метка потока для IPv6-трафика

Сокращённый формат¶

ip dp-access-list NAME SEQ <permit|deny> src-ip <any|A.B.C.D/M>¶: Создать правило Access List в сокращённом формате — только с указанием действия и исходной подсети. Все протоколы, все целевые адреса.

Удаление¶

no <ip|ipv6> dp-access-list NAME (1-536870911)¶: Удалить отдельное правило Access-листа по его порядковому номеру.

no <ip|ipv6> dp-access-list NAME¶: Удалить Access-лист целиком.

Show-команды¶

show <ip|ipv6> dp-access-list [NAME]¶: Показать все настроенные Access-листы (или указанный) и их срабатывания.

clear <ip|ipv6> dp-access-list [NAME]¶: Очистить статистику для всех Access-листов или указанного.