Справочник команд cli (02. 04. 2020) Версия по 5
 Скачать 3.5 Mb.
|
|
Синтаксис [no] object-group network Параметры «all» будут удалены все профили IP-адресов. Необходимый уровень привилегий 10 Командный режим CONFIG Пример Создание профиля IP-адресов с именем remote и переход в режим конфигурирования профиля: esr(config)# object-group network remote object-group service Команда предназначена для создания профиля TCP/UDP-портов. Данный профиль используется в правилах сервисов NAT и Firewall. Использование отрицательной формы команды (no) удаляет профиль. Синтаксис [no] object-group service Справочник команд CLI (ESR) 422 Параметры «all» будут удалены все профили TCP/ UDP-портов. Необходимый уровень привилегий 10 Командный режим CONFIG Пример esr(config)# object-group service ssh object-group url Команда предназначена для создания профиля URL-ссылок. Использование отрицательной формы команды (no) удаляет профиль. Синтаксис [no] object-group url Параметры «all» будут удалены все профили URL-ссылок. Необходимый уровень привилегий 10 Командный режим CONFIG Пример esr(config)# object-group url vk port-range Командой задаётся диапазон TCP/UDP-портов, относящихся к профилю. Использование отрицательной формы команды (no) удаляет запись из конфигурируемого профиля. Справочник команд CLI (ESR) 423 Синтаксис port-range no port-range [ | all] Параметры – номер порта, принимает значение [1..65535]. Можно указать несколько портов перечислением через запятую «,» либо указать диапазон портов через «-». Пример записи: , или - или - , - Необходимый уровень привилегий 10 Командный режим CONFIG-OBJECT-GROUP-SERVICE Пример esr(config-object-group-service)# port-range 22 regexp Данной командой описывается шаблон URL-ссылок. Использование отрицательной формы команды (no) удаляет шаблон URL-ссылок. Синтаксис regexp no regexp { Параметры Значение по умолчанию Шаблон не создан Необходимый уровень привилегий 10 Командный режим CONFIG-OBJECT-GROUP-URL Справочник команд CLI (ESR) 424 • • Пример esr(config-object-group-url)# '^http:\/\/site\.ru' show object-group Данная команда используется для просмотра информации о профилях IP-адресов и TCP/UDP-портов. Синтаксис show object-group [ Параметры – тип профиля: network – профиль IP-адресов; service – профиль TCP/UDP-портов; , то будет выведена информация по всем профилям IP-адресов и TCP/UDP-портов. Необходимый уровень привилегий 1 Командный режим ROOT Справочник команд CLI (ESR) 425 Пример esr# show object-group network Network Description -------------------------------- -------------------------------- remote -- local -- tunnel -- esr# show object-group network remote IP Addresses -------------------------------- 10.102 0.0 / 16 esr# show object-group service Service Description -------------------------------- -------------------------------- telnet -- ssh -- dhcp_server -- dhcp_client -- ntp -- esr# show object-group service ssh Port ranges -------------------------------- 22 url Команда используется для задания URL-ссылки. Использование отрицательной формы команды (no) удаляет ссылку из конфигурируемого профиля. Синтаксис url no url [ Параметры При удалении с использованием ключа "all" будут удалены все внесенные ранее URL-ссылки. Необходимый уровень привилегий 10 Командный режим CONFIG-OBJECT-GROUP-URL Пример esr(config-object-group-url)# url https: //vk.com Справочник команд CLI (ESR) 426 • • • • • • • • • • • • • • • • • • • • 20 Управление списками контроля доступа (ACL) action description enable ip access-list extended match cos match destination-address match destination-mac match destination-port match dscp match ip-precedence match protocol match source-address match source-mac match source-port match vlan rule service-acl input show ip access-list action Данная команда используется для указания действия , которое должно быть применено для трафика, удовлетворяющего заданным критериям Использование отрицательной формы команды (no) удаляет назначенное действие. Синтаксис action no action Параметры permit – прохождение трафика разрешается; deny – прохождение трафика запрещается. Необходимый уровень привилегий 10 Командный режим CONFIG-ACL-RULE Пример esr(config-acl-rule)# action permit Справочник команд CLI (ESR) 427 description Данная команда используется для изменения описания конфигурируемого списка контроля доступа Использование отрицательной формы команды (no) удаляет установленное описание. Синтаксис description no description Параметры Необходимый уровень привилегий 10 Командный режим CONFIG-ACL Пример esr(config-acl)# description "Drop SSH traffic" enable Данная команда используется для активирования правила Использование отрицательной формы команды (no) деактивирует правило. Синтаксис [no] enable Параметры Команда не содержит параметров Значение по умолчанию Правило выключено Необходимый уровень привилегий 10 Командный режим CONFIG-ACL-RULE Справочник команд CLI (ESR) 428 Пример esr(config-acl-rule)# enable ip access-list extended Данная команда используется для создания списка контроля доступа и перехода в режим конфигурирования списка Использование отрицательной формы команды (no) удаляет заданный список контроля доступа. Синтаксис [no] ip access-list extended Параметры Необходимый уровень привилегий 10 Командный режим CONFIG Пример esr(config)# ip access-list extended acl-ssh-drop esr(config-acl)# match cos Данной командой устанавливается значение 802.1p приоритета, для которого должно срабатывать правило Использование отрицательной формы команды (no) отменяет назначение. Синтаксис match cos no match cos Параметры Необходимый уровень привилегий 10 Справочник команд CLI (ESR) 429 Командный режим CONFIG-ACL-RULE Пример esr(config-acl-rule)# match cos 2 match destination-address Данной командой устанавливаются IP-адреса получателя, для которых должно срабатывать правило. Использование отрицательной формы команды (no) отменяет назначение. Синтаксис match destination-address { no match destination-address Параметры [0..255]; [0..255]. Биты маски, установленные в 0, задают биты IP-адреса, исключаемые из сравнения при поиске. При указании значения «any» правило будет срабатывать для любого IP-адреса получателя. Значение по умолчанию any Необходимый уровень привилегий 10 Командный режим CONFIG-ACL-RULE Пример esr(config-acl-rule)# match destination-address 10.10 10.0 255.255 255.0 match destination-mac Данной командой устанавливаются MAC-адреса получателя, для которых должно срабатывать правило. Использование отрицательной формы команды (no) отменяет назначение. Справочник команд CLI (ESR) 430 Синтаксис match destination-mac no match destination-mac Параметры [00..FF]; [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске Необходимый уровень привилегий 10 Командный режим CONFIG-ACL-RULE Пример esr(config-acl-rule)# match destination-mac A8:F9:4B:AA: 00 : 41 00 : 00 : 00 : 00 : 00 :FF match destination-port Данной командой устанавливается номер TCP/UDP-порта получателя, для которого должно срабатывать правило Использование отрицательной формы команды (no) удаляет назначение. Синтаксис match destination-port { | any} no match destination-port Параметры – номер TCP/UDP-порта получателя, принимает значения [1..65535]. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя. Значение по умолчанию any Необходимый уровень привилегий 10 Справочник команд CLI (ESR) 431 Командный режим CONFIG-ACL-RULE Пример esr(config-acl-rule)# match destination-port 22 match dscp Данной командой устанавливается значение кода DSCP, для которого должно срабатывать правило. Использование отрицательной формы команды (no) отменяет назначение. Синтаксис match dscp no match dscp Параметры Необходимый уровень привилегий 10 Командный режим CONFIG-ACL-RULE Пример esr(config-acl-rule)# match dscp 55 match ip-precedence Данной командой устанавливается значение кода IP Precedence, для которого должно срабатывать правило Использование отрицательной формы команды (no) отменяет назначение. Синтаксис match ip-precedence no match ip-precedence Параметры Справочник команд CLI (ESR) 432 Необходимый уровень привилегий 10 Командный режим CONFIG-ACL-RULE Пример esr(config-acl-rule)# match ip-precedence 5 match protocol Данной командой устанавливается имя IP-протокола, для которого должно срабатывать правило. Использование отрицательной формы команды (no) отменяет назначение. Синтаксис match protocol no match protocol match protocol-id no match protocol-id Параметры При указании значения «any» правило будет срабатывать для любого протокола. Значение по умолчанию any Необходимый уровень привилегий 10 Командный режим CONFIG-ACL-RULE Пример esr(config-acl-rule)# match protocol tcp match source-address Данной командой устанавливаются IP-адреса отправителя, для которых должно срабатывать правило. Справочник команд CLI (ESR) 433 Использование отрицательной формы команды (no) отменяет назначение. Синтаксис match source-address { no match source-address Параметры [0..255]; [0..255]. Биты маски, установленные в 0, задают биты IP-адреса, исключаемые из сравнения при поиске. При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя. Значение по умолчанию any Необходимый уровень привилегий 10 Командный режим CONFIG-ACL-RULE Пример esr(config-acl-rule)# match source-address 10.100 100.0 255.255 255.0 match source-mac Данной командой устанавливаются MAC-адреса отправителя, для которых должно срабатывать правило Использование отрицательной формы команды (no) отменяет назначение. Синтаксис match source-mac no match source-mac Параметры [00..FF]; [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске Справочник команд CLI (ESR) 434 Необходимый уровень привилегий 10 Командный режим CONFIG-ACL-RULE Пример esr(config-acl-rule)# match source-mac A8:F9:4B:AA: 00 : 40 00 : 00 : 00 :FF:FF:FF match source-port Данной командой устанавливается номер TCP/UDP-порта отправителя, для которого должно срабатывать правило Использование отрицательной формы команды (no) отменяет назначение. Синтаксис match source-port { | any } no match source-port Параметры – номер TCP/UDP-порта отправителя, принимает значения [1..65535]. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя. Значение по умолчанию any Необходимый уровень привилегий 10 Командный режим CONFIG-ACL-RULE Пример esr(config-acl-rule)# match source-port any match vlan Данной командой устанавливается значение идентификационного номера VLAN, для которого должно срабатывать правило Использование отрицательной формы команды (no) отменяет назначение. Справочник команд CLI (ESR) 435 Синтаксис match vlan no match vlan Параметры Необходимый уровень привилегий 10 Командный режим CONFIG-ACL-RULE Пример esr(config-acl-rule)# match vlan 100 rule Данная команда используется для создания правила и перехода в режим конфигурирования CONFIG- ACL-RULE. Правила обрабатываются устройством в порядке возрастания их номеров. Использование отрицательной формы команды (no) удаляет указанное правило. Синтаксис [no] rule Параметры Необходимый уровень привилегий 10 Командный режим CONFIG-ACL Пример esr(config-acl)# rule 10 esr(config-acl-rule)# Справочник команд CLI (ESR) 436 service-acl input Данная команда используется для привязки указанного списка контроля доступа к конфигурируемому интерфейсу для фильтрации входящего трафика Использование отрицательной формы команды (no) удаляет привязку списка контроля доступа к данному интерфейсу Синтаксис service-acl input no service-acl input Параметры Необходимый уровень привилегий 15 Командный режим CONFIG-GI CONFIG-TE CONFIG-PORT-CHANNEL Пример esr(config- if -gi)# service-acl input acl-ssh-drop show ip access-list Данная команда используется для просмотра списков управления доступом Синтаксис show ip access-list [ Параметры Необходимый уровень привилегий 1 Справочник команд CLI (ESR) 437 Командный режим ROOT Пример esr# show ip access-list Name Description -------------------------------- ----------------------------------------------- acl-telnet-drop -- acl-ssh-drop Drop SSH traffic esr# show ip access-list acl-ssh-drop Index: 1 Matching pattern: Protocol: TCP( 6 ) Source MAC address: any Source IP address: any Source port: any Destination MAC address: any Destination IP address: any Destination port: 22 Action: Deny Status: Enabled -------------------------------------------------------------------------------- Index: 2 Matching pattern: Protocol: any Source MAC address: any Source IP address: any Destination MAC address: any Destination IP address: any Action: Permit Status: Enabled -------------------------------------------------------------------------------- Справочник команд CLI (ESR) 438 • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 21 Управление Firewall action clear ip firewall counters clear ip firewall sessions clear ipv6 firewall counters clear ipv6 firewall sessions description enable ip firewall disable ip firewall mode ip firewall sessions counters ip firewall sessions allow-unknown ip firewall sessions generic-timeout ip firewall sessions icmp-timeout ip firewall sessions icmpv6-timeout ip firewall sessions max-expect ip firewall sessions max-tracking ip firewall sessions tcp-connect-timeout ip firewall sessions tcp-disconnect-timeout ip firewall sessions tcp-estabilished-timeout ip firewall sessions tcp-latecome-timeout ip firewall sessions tracking ip firewall sessions udp-assured-timeout ip firewall sessions udp-wait-timeout match application match destination-address match destination-address-port match destination-mac match destination-nat match destination-port match fragment match icmp match ip-option match protocol match source-address match source-address-port match source-mac match source-port ports firewall enable rate-limit pps rearrange renumber rule security zone security-zone security zone-pair show ip firewall counters show ip firewall sessions show ipv6 firewall counters show ipv6 firewall sessions show ip firewall sessions tracking show security zone show security zone-pair |