11.8.2. CLI¶
Описание¶
Access-листы обеспечивают более тонкую настройку абонентских запросов. Они позволяют выполнять специальные действия над определенными типами трафика с помощью фильтров.
Фильтры включают в себя:
Тип протокола IP (IPv4 или IPv6),
Протокол (ANY, UDP, TCP, ICMP, GRE, ESP),
IP-адреса источника и назначения,
Порты источника и назначения (для UDP и TCP),
Тип и код сообщения (для ICMP),
Differentiated Services Code Point (DSCP, Точка кода дифференцированных услуг) согласно RFC 2474 для IPv4,
IPv6 flow label (метка потока) согласно RFC 6437 для IPv6.
Типы действий:
- Разрешить (
permit) Это действие по умолчанию — сессии обрабатываются в соответствии с действием, указанным в target-группе.
- Запретить (
deny) Запрещает создание новых сессий. Весь трафик для этих сессий будет отброшен.
- Пул (
pool) Сессии будут транслироваться с использованием пула, указанного в действии.
Примечание
Чтобы применить Access-лист его необходимо навесить на Access point
Настройка¶
Для настройки Access-листов используются следующие команды:
- ip dp-access-list NAME SEQ <pool NAME|passthrough|permit|deny> <any|gre|esp> src-ip <any|A.B.C.D/M> dst-ip <any|A.B.C.D/M> [dscp (0-63)]¶
- ipv6 dp-access-list NAME SEQ <pool NAME|passthrough|permit|deny> <any|gre|esp> src-ip <any|X:X::X:X/M> dst-ip <any|X:X::X:X/M> [flow-label (0-1048575)]¶
Создать фильтр по любому или определенному (GRE/ESP) IP-протоколу.
Ключ
Параметр
Описание
NAMEНазвание Access-листа
SEQ(1-536870911Порядковый номер
ACTION<deny|permit|pool NAME>Действие
<any|gre|esp>Выбираем определенный протокол или любой
src-ip<any|A.B.C.D/M>or<any|X:X::X:X/M>Подсеть узла источника
dst-ip<any|A.B.C.D/M>or<any|X:X::X:X/M>Подсеть узла назначения
dscp(0-63)Точка кода дифференцированных услуг для IPv4-трафика
flow-label(0-1048575)Метка потока для IPv6-трафика
- ip dp-access-list NAME SEQ <pool NAME|passthrough|permit|deny> <udp|tcp> src-ip <any|A.B.C.D/M> dst-ip <any|A.B.C.D/M> [src-port (0-65535) (0-65535)] [dst-port (0-65535) (0-65535)] [dscp (0-63)]¶
- ipv6 dp-access-list NAME SEQ <pool NAME|passthrough|permit|deny> <udp|tcp> src-ip <any|X:X::X:X/M> dst-ip <any|X:X::X:X/M> [src-port (0-65535) (0-65535)] [dst-port (0-65535) (0-65535)] [flow-label (0-1048575)]¶
Создать фильтр по TCP или UDP-протоколам.
Ключ
Параметр
Описание
NAMEНазвание access-листа
SEQ(1-536870911Порядковый номер
ACTION<deny|permit|pool NAME>Действие
<tcp|udp>Выбираем TCP или UDP-протокол
src-ip<any|A.B.C.D/M>or<any|X:X::X:X/M>Подсеть узла источника
dst-ip<any|A.B.C.D/M>or<any|X:X::X:X/M>Подсеть узла назначения
src-port(0-65535) (0-65535)Диапазон портов источника
dst-port(0-65535) (0-65535)Диапазон портов узла назначения
dscp(0-63)Точка кода дифференцированных услуг для IPv4-трафика
flow-label(0-1048575)Метка потока для IPv6-трафика
- ip dp-access-list NAME SEQ <pool NAME|passthrough|permit|deny> icmp src-ip <any|A.B.C.D/M> dst-ip <any|A.B.C.D/M> [icmp-type (0-255) (0-255)] [icmp-code (0-255) (0-255)] [dscp (0-63)]¶
- ipv6 dp-access-list NAME SEQ <pool NAME|passthrough|permit|deny> icmp src-ip <any|X:X::X:X/M> dst-ip <any|X:X::X:X/M> [icmp-type (0-255) (0-255)] [icmp-code (0-255) (0-255)] [flow-label (0-1048575)]¶
Создать фильтр по ICMP-протоколу.
Ключ
Параметр
Описание
NAMEНазвание access-листа
SEQ(1-536870911Порядковый номер
ACTION<deny|permit>Действие
icmpIP-протокол: icmp
src-ip<any|A.B.C.D/M>or<any|X:X::X:X/M>Подсеть источника
dst-ip<any|A.B.C.D/M>or<any|X:X::X:X/M>Подсеть узла назначения
icmp-type(0-255) (0-255)Диапазон типа ICMP-сообщений
icmp-code(0-255) (0-255)Диапазон кодов ICMP-сообщения
dscp(0-63)Точка кода дифференцированных услуг для IPv4-трафика
flow-label(0-1048575)Метка потока для IPv6-трафика
Show-команды¶
- show <ip|ipv6> dp-access-list¶
- clear <ip|ipv6> dp-access-list¶
Показать все созданные Access-листы и количество их срабатываний.
- show <ip|ipv6> dp-access-list NAME¶
- clear <ip|ipv6> dp-access-list NAME¶
Показать информацию по указанному Access-листу.