Справочник команд cli (02. 04. 2020) Версия по 5

Справочник команд CLI (ESR)
454
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions udp-assured-timeout
3600
ip firewall sessions udp-wait-timeout
Данной командой определяется время жизни
UDP-сессии в состоянии «соединение не подтверждено», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий
Использование отрицательной формы команды
(no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions udp-wait-timeout
no ip firewall sessions udp-wait-timeout
Параметры
– время жизни UDP-сессии в состоянии «соединение не подтверждено», принимает значения в секундах
[1..8553600].
Значение по умолчанию
30 секунд
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions udp-wait-timeout
60
match application
Данной командой устанавливается профиль приложений
, для которых должно срабатывать правило.
Данная функция используется для фильтрации по приложениям
(механизм DPI)
При использовании параметра
«not» правило будет срабатывать для приложений, которые не входят в указанный профиль
Использование отрицательной формы команды
(no) отменяет назначение.

Справочник команд CLI (ESR)
455
Синтаксис
match [not] application
no match application
Параметры
– имя профиля приложений, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# match application APP_DENY
match destination-address
Данной командой устанавливается профиль
IP-адресов получателя, для которых должно срабатывать правило
При использовании параметра
«not» правило будет срабатывать для IP-адресов получателя, которые не входят в указанный профиль
Использование отрицательной формы команды
(no) отменяет назначение.
Синтаксис
match [not] destination-address
no match destination-address
Параметры
– имя профиля IP-адресов, задаётся строкой до 31 символа. При указании значения
«any» правило будет срабатывать для любого IP-адреса получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE

Справочник команд CLI (ESR)
456
Пример
esr(config-zone-rule)# match destination-address local
match destination-address-port
Данной командой устанавливается профиль связок
IP-адресов и TCP/UDP-портов получателя, для которых должно срабатывать правило
При использовании параметра
«not» правило будет срабатывать для связок IP-адресов и TCP/UDP- портов получателя
, которые не входят в указанный профиль.
Использование отрицательной формы команды
(no) отменяет назначение.
Синтаксис
match [not] destination-address-port
no match destination- address
Параметры
– имя профиля связок IP-адресов и TCP/UDP-портов, задаётся строкой до
31 символа. При указании значения «any» правило не будет учитывать данный способ фильтрации
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# match destination-address local
match destination-mac
Данной командой устанавливается
MAC-адрес получателя, для которого должно срабатывать правило.
При использовании параметра
«not» (match not) правило будет срабатывать для MAC-адресов получателя
, отличных от указанного.
Использование отрицательной формы команды
(no) отменяет назначение.

Справочник команд CLI (ESR)
457
Синтаксис
[no] match [not] destination-mac
Параметры
– МАС-адрес получателя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения
[00..FF].
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# match destination-mac A8:F9:4B:AA:
00
:
40
match destination-nat
Данной командой устанавливается ограничение
, при котором правило будет срабатывать только для трафика
, измененного сервисом трансляции IP-адресов и портов получателя.
При использовании параметра
«not» правило будет срабатывать для трафика, не измененного сервисом трансляции
IP-адресов и портов получателя. Использование отрицательной формы команды (no) отменяет назначение
Синтаксис
[no] match [not] destination-nat
Параметры
Команда не содержит параметров
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# match destination-nat

Справочник команд CLI (ESR)
458
match destination-port
Данной командой устанавливается профиль
TCP/UDP-портов получателя, для которых должно срабатывать правило
При использовании параметра
«not» правило будет срабатывать для TCP/UDP-портов получателя, которые не входят в указанный профиль
Использование отрицательной формы команды
(no) удаляет назначение.
Синтаксис
match [not] destination-port no match destination-port
Параметры
– имя профиля TCP/UDP-портов, задаётся строка до 31 символа. При указании значения
«any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# match destination-port ssh
match fragment
Данной командой определяются фрагментированные пакеты
, направленные на устройство. Команда применима только в правилах между зонами any self. Под действие правила попадают второй и последующие фрагменты пакета
. Обработка пакетов этим правилом происходит до трансляции адресов
DNAT.
При использовании параметра
«not» правило будет срабатывать для нефрагментированных пакетов.
Использование отрицательной формы команды
(no) отменяет назначение.
Синтаксис
[no] match [not] fragment
Параметры
Отсутствуют

Справочник команд CLI (ESR)
459
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Значение по умолчанию
Отключено
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-pair-rule)# match fragment
match icmp
Данная команда используется для настройки параметров протокола
ICMP, если он выбран командой
«match protocol». Данной командой устанавливается тип и код сообщений протокола ICMP, для которых должно срабатывать правило
При использовании параметра
«not» правило будет срабатывать для всех типов и кодов сообщений протокола
ICMP, кроме указанных.
Использование отрицательной формы команды
(no) отменяет назначение.
Синтаксис
match [not] icmp { | }
no match icmp
Параметры
– тип сообщения протокола ICMP, принимает значения [0..255];
– код сообщения протокола ICMP, принимает значения [0..255]. При указании значения
«any» правило будет срабатывать для любого кода сообщения протокола ICMP
– стандартные типы ICMP-сообщений, могут принимать значения:
administratively-prohibited;
alternate-address;
conversion-error;
dod-host-prohibited;
dod-network-prohibited;
echo;
echo-reply;
host-isolated;
host-precedence;
host-redirect;
host-tos-redirect;
host-tos-unreachable;
host-unknown;
host-unreachable;

Справочник команд CLI (ESR)
460
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
information-reply;
information-request;
mask-reply;
mask-request;
network-redirect;
network-tos-redirect;
network-tos-unreachable;
network-unknown;
network-unreachable;
option-missing;
packet-too-big;
parameter-problem;
port-unreachable;
precedence;
protocol-unreachable;
reassembly-timeout;
router-advertisement;
router-solicitation;
source-quench;
source-route-failed;
time-exceeded;
timestamp-reply;
timestamp-request;
traceroute.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# match icmp
2
any
match ip-option
Данной командой определяются пакеты
, содержащие опции в IP-заголовках. Команда применима только в правилах между зонами any self.
При использовании параметра
«not» правило будет срабатывать для пакетов, не содержащих опций в
IP-заголовках.
Использование отрицательной формы команды
(no) отменяет назначение.
Синтаксис
[no] match [not] ip-option

Справочник команд CLI (ESR)
461
Параметры
Команда не содержит параметров
Значение по умолчанию
Отключено
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-pair-rule)# match ip-options
match protocol
Данной командой устанавливается имя или номер
IP-протокола, для которого должно срабатывать правило
При использовании параметра
«not» правило будет срабатывать для всех протоколов, кроме указанного.
Использование отрицательной формы команды
(no) отменяет назначение.
Синтаксис
match [not] protocol
no match protocol match [not] protocol-id
no match protocol-id
Параметры
– тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre.
При указании значения
«any» правило будет срабатывать для любых протоколов;
– идентификационный номер IP-протокола, принимает значения [0x00-0xFF].
Значение по умолчанию
any
Необходимый уровень привилегий
10

Справочник команд CLI (ESR)
462
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# match protocol udp
match source-address
Данной командой устанавливается профиль
IP-адресов отправителя, для которых должно срабатывать правило
При использовании параметра
«not» (match not) правило будет срабатывать для IP-адресов отправителя
, которые не входят в указанный профиль.
Использование отрицательной формы команды
(no) отменяет назначение.
Синтаксис
[no] match [not] source-address
Параметры
– имя профиля IP-адресов, задаётся строкой до 31 символа. При указании значения
«any» правило будет срабатывать для любого IP-адреса отправителя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# match source-address remote
match source-address-port
Данной командой устанавливается профиль связок
IP-адресов и TCP/UDP-портов отправителя, для которых должно срабатывать правило
При использовании параметра
«not» (match not) правило будет срабатывать для связок IP-адресов и
TCP/UDP-портов отправителя, которые не входят в указанный профиль.

Справочник команд CLI (ESR)
463
Использование отрицательной формы команды
(no) отменяет назначение.
Синтаксис
[no] match [not] source-address-port
Параметры
– имя профиля связок IP-адресов и TCP/UDP-портов, задаётся строкой до
31 символа. При указании значения «any» правило не будет учитывать данный способ фильтрации
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# match source-address-port admin
match source-mac
Данной командой устанавливается
MAC-адрес отправителя, для которого должно срабатывать правило.
При использовании параметра
«not» (match not) правило будет срабатывать для MAC-адресов отправителя
, отличных от указанного.
Использование отрицательной формы команды
(no) отменяет назначение.
Синтаксис
[no] match [not] source-mac
Параметры
– МАС-адрес отправителя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения
[00..FF].
Необходимый уровень привилегий
10

Справочник команд CLI (ESR)
464
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# match source-mac A8:F9:4B:AA:
00
:
40
match source-port
Данной командой устанавливается профиль
TCP/UDP-портов отправителя, для которых должно срабатывать правило
При использовании параметра
«not» правило будет срабатывать для TCP/UDP-портов отправителя, которые не входят в указанный профиль
Использование отрицательной формы команды
(no) отменяет назначение.
Синтаксис
match [not] source-port no match source-port
Параметры
– имя профиля TCP/UDP-портов, задаётся строкой до 31 символа. При указании значения
«any» правило будет срабатывать для любого TCP/UDP-порта отправителя.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# match source-port telnet
ports firewall enable
Данная команда активирует фильтрацию и режим отслеживания сессий при прохождении пакетов между членами
Bridge-интерфейса.
Использование отрицательной формы команды
(no) удаляет назначенное действие.
В текущей версии ПО данный функционал поддерживается только на маршрутизаторах
ESR-1000/1200/1500/1510/1700


Справочник команд CLI (ESR)
465
Синтаксис
[no] ports firewall enable
Параметры
Команда не содержит параметров
Значение по умолчанию
Отключено
Необходимый уровень привилегий
15
Командный режим
CONFIG-BRIDGE
Пример
esr(config-bridge)# ports firewall enable
rate-limit pps
Данная команда ограничивает количество обрабатываемых правилом пакетов в секунду
. Команда применима только в правилах между зонами any self и при условии действия action permit в этом правиле
Использование отрицательной формы команды
(no) удаляет назначенное действие.
Синтаксис
rate-limit pps
no rate-limit
Параметры
– количество пакетов в секунду, принимает значения [1..10000].
Значение по умолчанию
Не ограничено
Необходимый уровень привилегий
15
Командный режим
CONFIG-ZONE-PAIR-RULE

Справочник команд CLI (ESR)
466
Пример
esr(config-
if
-gi)# rate-limit pps
200
rearrange
Данная команда меняет шаг между созданными правилами
Синтаксис
rearrange
Параметры
– шаг между правилами, принимает значения [1..50].
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR
Пример
esr(config-zone-pair)# rearrange
10
renumber
Данная команда меняет номер правила
Синтаксис
renumber rule
Параметры
– текущий номер правила, принимает значения [1..10000];
– новый номер правила, принимает значения [1..10000].
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR

Справочник команд CLI (ESR)
467
Пример
esr(config-zone-pair)# renumber rule
13 100
rule
Данная команда используется для создания правила и перехода в командный режим
SECURITY ZONE
PAIR RULE. Правила обрабатываются устройством в порядке возрастания их номеров.
Использование отрицательной формы команды
(no) удаляет указанное правило.
Синтаксис
[no] rule
Параметры
– номер правила, принимает значения [1..10000]. Если при удалении используется значение параметра
«all», то будут удалены все правила для конфигурируемой пары зон безопасности.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR
Пример
esr(config-zone-pair)# rule
10
esr(config-zone-rule)#
security zone
Данная команда используется для создания зон безопасности и перехода в режим конфигурирования зоны
Использование отрицательной формы команды
(no) удаляет заданную зону безопасности.
Синтаксис
[no] security zone [ | all ]
Параметры
– имя создаваемой зоны безопасности, задаётся строкой до 12 символов. При выполнении отрицательной формы команды со значением параметра
«all» будут удалены все зоны безопасности.

Справочник команд CLI (ESR)
468