deny ( IPv6 )

Для настройки блокирующего правила в IPv6 ACL используется команда deny.

Синтаксис

deny protocol {any | {source-prefix/length}{any | destination-prefix/length} [ace-priority priority][dscp number | precedence number] [time-range time-range-name] [disable-port |log-input]

deny icmp {any | {source-prefix/length}{any | destination-prefix/length} {any|icmp-type} {any|icmp-code} [ace-priority priority][dscp number | precedence number] [time-range time-range-name] [disable-port |log-input]

deny tcp {any | {source-prefix/length} {any | source-port}}{any | destination-prefix/length} {any| destination-port} [ace-priority priority][dscp number | precedence number] [match-all list-of-flags] [time-range time-range-name] [disable-port |log-input]

deny udp {any | {source-prefix/length}} {any | source-port}}{any | destination-prefix/length} {any| destination-port} [ace-priority priority][dscp number | precedence number] [time-range time-range-name] [disable-port|log-input]

no deny protocol {any | {source-prefix/length}{any | destination-prefix/length} [dscp number | precedence number] [time-range time-range-name] [disable-port|log-input]

no deny icmp {any | {source-prefix/length}{any | destination-prefix/length} {any|icmp-type} {any|icmp-code} [dscp number | precedence number] [time-range time-range-name] [disable-port |log-input]

no deny tcp {any | {source-prefix/length} {any | source-port}}{any | destination-prefix/length} {any| destination-port} [dscp number | precedence number] [match-all list-of-flags] [time-range time-range-name] [disable-port|log-input]

no deny udp {any | {source-prefix/length}} {any | source-port}}{any | destination-prefix/length} {any| destination-port} [dscp number | precedence number] [time-range time-range-name] [disable-port |log-input]

Параметры

• protocol- имя или номер IP-протокола. Доступные имена протоколов: icmp (58), tcp (6) and udp (17). Для соответствия любому протоколу используйте ключевое слово IPv6 (0-255)
• ***source-prefix/length ***- IPv6-сеть отправителя пакета в соответствии с RFC 3513.
• destination-prefix/length- IPv6-сеть назначения пакета.
• priority- номер правила в списке управления доступом (ACL). Значение "1" представляет самый высокий приоритет (1-2млрд)
• dscp number - значение DSCP.
• precedence number - значение IP-приоритета.
• icmp-type - тип ICMP-сообщения для фильтрации ICMP-пакетов. Введите число или одно из следующих значений: destination-unreachable (1), packet-too-big (2), time-exceeded (3), parameter-problem (4), echo-request (128), echo-reply (129), mld-query (130), mld-report (131), mldv2-report (143), mld-done (132), router-solicitation (133), router-advertisement (134), nd-ns (135), nd-na (136) (0-255)
• icmp-code - код ICMP-сообщения для фильтрации ICMP-пакетов (0-255)
• destination-port- порт назначения UDP/TCP. Вы можете ввести диапазон портов, используя дефис. Например, 20 - 21. Для TCP введите число или одно из следующих значений: bgp (179), chargen (19), daytime (13), discard (9), domain (53), drip (3949), echo (7), finger (79), ftp (21), ftp-data 20), gopher (70), hostname (42), irc (194), klogin (543), kshell (544), lpd (515), nntp (119), pop2 (109), pop3 (110), smtp (25), sunrpc (1110), syslog (514), tacacs-ds (49), talk (517), telnet (23), time (37), uucp (117), whois (43), www (80). For UDP enter a number or one of the following values: biff (512), bootpc (68), bootps (67), discard (9), dnsix (90), domain (53), echo (7), mobile-ip (434), nameserver (42), netbios-dgm (138), netbios-ns (137), non500-isakmp (4500), ntp (123), rip (520), snmp (161), snmptrap (162), sunrpc (111), syslog (514), tacacs (49), talk (517), tftp (69), time (37), who (513), xdmcp (177) (0-65535)
• source-port - порт отправителя UDP/TCP (0-65535)
• match-alllist-of-flags - перечень флагов TCP, если флаг должен быть установлен, то он имеет префикс "+". Если флаг должен быть снят, то он имеет префикс "-". Доступные опции: +urg, +ack, +psh, +rst, +syn, +fin, -urg, -ack, -psh, -rst, -syn и -fin. Флаги конкатенируются в одну строку, например: +fin-ack.
• time-range-name - имя временного диапазона, который применяется к данному правилу (1-32)
• disable-port - интерфейс Ethernet отключается, если условия выполнены
• log-input - генерировать syslog сообщение о пакетах, соответствующих этой записи. Поскольку пересылка пакетов осуществляется аппаратно, а регистрация выполняется программно, если большое количество пакетов соответствует правилу, содержащему ключевое слово log-input не все пакеты могут быть зарегистрированы.

Конфигурация по умолчанию

Нет настроенных ACL

Режим использования

Режим настройки IPv6 ACL

Рекомендации по использованию

Если priority опущен, система устанавливает приоритет правила на текущий наивысший приоритет (в текущем ACL) + 20. Приоритет правила должен быть уникальным для каждого ACL. Если пользователь вводит уже существующий приоритет, то команда отклоняется.

Пример

FCS(config)# ipv6 access-list deny-net
FCS(config-ipv6-al)# deny tcp 3000::1/64 any any 80