Справочник команд cli (02. 04. 2020) Версия по 5
 Скачать 3.5 Mb.
|
|
action Данная команда используется для указания действия , которое должно быть применено для трафика, удовлетворяющего заданным критериям Использование отрицательной формы команды (no) удаляет назначенное действие. Синтаксис action no action Параметры permit – прохождение трафика разрешается; deny – прохождение трафика запрещается; reject – прохождение трафика запрещается, а также посылается отправителю ответ об ошибке; netflow-sample – прохождение трафика разрешается и осуществляется экспорт статистики по протоколу Netflow; sflow-sample – прохождение трафика разрешается и осуществляется экспорт статистики по протоколу sFlow; log – ключ для активации логирования сессий, устанавливающимися согласно данному правилу. Значение по умолчанию Действие не настроено , логирование отключено. Необходимый уровень привилегий 10 Командный режим CONFIG-ZONE-PAIR-RULE Пример esr(config-zone-rule)# action permit clear ip firewall counters Данной командой осуществляется сброс счетчиков правил Firewall. Синтаксис clear ip firewall counters [ vrf Справочник команд CLI (ESR) 440 Параметры VRF; Необходимый уровень привилегий 10 Командный режим ROOT Пример esr# clear ip firewall counters trusted self clear ip firewall sessions Данной командой осуществляется удаление активных IP-сессий. Синтаксис clear ip firewall sessions [ vrf [ outside-destination-address ] [ outside-source-port ] [ inside-destination-port ] [ outside-destination-port ] Параметры VRF; – TCP/UDP порт, принимает значения [1..65535]. inside-source-address – ключ для указания IP-адреса источника, приходящих пакетов; inside-destination-address – ключ для указания IP-адреса назначения, приходящих пакетов; outiside-source-address – ключ для указания IP-адреса источника, отправляемых пакетов; outside-destination-address – ключ для указания IP-адреса назначения отправляемых пакетов; inside-source-port – ключ для указания TCP/UDP порта отправителя в приходящих пакетах; Справочник команд CLI (ESR) 441 outside-source-port – ключ для указания TCP/UDP порта отправителя в отправляемых пакетах; inside-destination-port – ключ для указания TCP/UDP порта назначения в приходящих пакетах; outside-destination-port – ключ для указания TCP/UDP порта назначения в отправляемых пакетах. Необходимый уровень привилегий 10 Командный режим ROOT Пример esr# clear ip firewall sessions vrf VRF1 clear ipv6 firewall counters Данной командой осуществляется сброс счетчиков правил Firewall. Синтаксис clear ipv6 firewall counters [ vrf Параметры VRF. Необходимый уровень привилегий 10 Командный режим ROOT Пример esr# clear ipv6 firewall counters trusted self Справочник команд CLI (ESR) 442 clear ipv6 firewall sessions Данной командой осуществляется удаление активных IPv6-сессий. Синтаксис clear ipv6 firewall sessions [ vrf Параметры VRF. [0..FFFF]. inside-source – команда для указания IPv6-адреса источника, приходящих пакетов. inside-destination – команда для указания IPv6-адреса назначения, приходящих пакетов. outiside-source – команда для указания IPv6-адреса источника, отправляемых пакетов. outside-destination – команда для указания IPv6-адреса назначения отправляемых пакетов. Необходимый уровень привилегий 10 Командный режим ROOT Пример esr# clear ipv6 firewall sessions vrf VRF1 description Данная команда используется для изменения описания конфигурируемой зоны или пары зон безопасности . Использование отрицательной формы команды (no) удаляет установленное описание. Синтаксис description no description Параметры Справочник команд CLI (ESR) 443 Необходимый уровень привилегий 10 Командный режим CONFIG-ZONE CONFIG-ZONE-PAIR CONFIG-ZONE-PAIR-RULE Пример esr(config-zone)# description "Trusted interfaces" enable Данная команда используется для активирования правила Использование отрицательной формы команды (no) деактивирует правило. Синтаксис [no] enable Параметры Команда не содержит параметров Значение по умолчанию Правило выключено Необходимый уровень привилегий 10 Командный режим CONFIG-ZONE-PAIR-RULE Пример esr(config-zone-rule)# enable ip firewall disable Данная команда используется для отключения функции Firewall на сетевом интерфейсе. Использование отрицательной формы команды (no) включает функцию Firewall на сетевом интерфейсе. Справочник команд CLI (ESR) 444 Синтаксис [no] ip firewall disable Параметры Команда не содержит параметров Необходимый уровень привилегий 15 Командный режим CONFIG-GI CONFIG-TE CONFIG-SUBIF CONFIG-QINQ-IF CONFIG-PORT-CHANNEL CONFIG-BRIDGE CONFIG-E1 CONFIG-MULTILINK CONFIG-CELLULAR-MODEM CONFIG-VTI CONFIG-GRE CONFIG-IP4IP4 CONFIG-L2TP CONFIG-LT CONFIG-PPPOE CONFIG-PPTP CONFIG-OPENVPN Пример esr(config- if -gi)# ip firewall disable ip firewall mode Данная команда используется для выбора режима работы межсетевого экрана Использование отрицательной формы команды (no) устанавливает режим работы межсетевого экрана по умолчанию Справочник команд CLI (ESR) 445 • • Синтаксис ip firewall mode no ip firewall mode Параметры stateful – режим, при котором маршрутизатор отслеживает сессии. Первые пакеты сессии проходят полный цикл проверки согласно правил межсетевого экрана , а последующие пакеты сессии маршрутизируются без дополнительных проверок . Данное правило не распространяется на работу механизма DPI. stateless – режим, при котором маршрутизатор не отслеживает сессии. Каждый пакет проходит полный цикл проверки согласно правил межсетевого экрана , что существенно снижает производительность оборудования . Использование данного режима допустимо только в условиях крайней необходимости Значение по умолчанию stateful Необходимый уровень привилегий 15 Командный режим CONFIG Пример esr(config- if -gi)# ip firewall mode stateless ip firewall sessions counters Командой выполняется включение счетчиков сессий для NAT и Firewall. Счетчики увеличиваются только тогда , когда устанавливается новая сессия. Для установленных сессий увеличения значений счетчиков не происходит при прохождении пакетов . Включение счетчиков снижает производительность маршрутизатора Команды для просмотра счетчиков и сессий описаны в разделах show ip firewall sessions и show ipv6 firewall counters Использование отрицательной формы команды (no) отключает счетчики сессий. Синтаксис [no] ip firewall sessions counters Параметры Команда не содержит параметров Справочник команд CLI (ESR) 446 Значение по умолчанию Счетчики сессий отключены Необходимый уровень привилегий 15 Командный режим CONFIG Пример esr(config)# ip firewall sessions counters ip firewall sessions allow-unknown Данной командой отключается фильтрация пакетов , для которых не удалось определить принадлежность к какому -либо известному соединению и которые не являются началом нового соединения Использование отрицательной формы команды (no) включает фильтрацию. Синтаксис [no] ip firewall sessions allow-unknown Параметры Команда не содержит параметров Значение по умолчанию Включено Необходимый уровень привилегий 15 Командный режим CONFIG Пример esr(config)# ip firewall sessions allow-unknown Справочник команд CLI (ESR) 447 ip firewall sessions generic-timeout Данной командой определяется время жизни сессии для неподдерживаемых протоколов , по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис ip firewall sessions generic-timeout Справочник команд CLI (ESR) 448 Необходимый уровень привилегий 15 Командный режим CONFIG Пример esr(config)# ip firewall sessions icmp-timeout 60 ip firewall sessions icmpv6-timeout Данной командой определяется время жизни ICMPv6-сессии, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис ip firewall sessions icmpv6-timeout Справочник команд CLI (ESR) 449 Синтаксис ip firewall sessions max-expect no ip firewall sessions max-expect Параметры Значение по умолчанию 256 Необходимый уровень привилегий 15 Командный режим CONFIG Пример esr(config)# ip firewall sessions max-expect 512 ip firewall sessions max-tracking Данной командой определяется размер таблицы отслеживаемых сессий Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис ip firewall sessions max-tracking no ip firewall sessions max- tracking Параметры Значение по умолчанию 512000 Необходимый уровень привилегий 15 Командный режим CONFIG Справочник команд CLI (ESR) 450 Пример esr(config)# ip firewall sessions max-tracking 256000 ip firewall sessions tcp-connect-timeout Данной командой определяется время жизни TCP-сессии в состоянии «соединение устанавливается», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис ip firewall sessions tcp-connect-timeout Справочник команд CLI (ESR) 451 Параметры Справочник команд CLI (ESR) 452 Пример esr(config)# ip firewall sessions tcp-estabilished-timeout 3600 ip firewall sessions tcp-latecome-timeout Данной командой определяется время ожидания , по истечении которого происходит фактическое удаление закрытой TCP-сессии из таблицы отслеживаемых сессий. Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис ip firewall sessions tcp-latecome-timeout Справочник команд CLI (ESR) 453 Параметры – протокол уровня приложений, сессии которого должны отслеживаться, принимает значения [ftp, h323, pptp, netbios-ns, tftp, sip, all]. Если группа не указана , то отслеживание сессий sip будет осуществляться для порта 5060. Вместо имени отдельного протокола можно использовать ключ "all", который включает функцию отслеживания сессий уровня приложений для всех доступных протоколов Значение по умолчанию Функция отслеживания сессий уровня приложений отключена для всех протоколов |