permit ( IP )

Для настройки разрешающего правила в IP-ACL используется команда permit.

Синтаксис

permit protocol {any | source source-wildcard} {any | destination destination-wildcard} [ace-priority priority] [dscp number | precedence number] [time-range time-range-name] [log-input]

permit icmp {any | source source-wildcard} {any | destination destination-wildcard} [any | icmp-type] [any | icmp-code]] [ace-priority priority] [dscp number | precedence number] [time-range time-range-name] [log-input]

permit igmp {any | source source-wildcard} {any | destination destination-wildcard}[igmp-type] [ace-priority priority] [dscp number | precedence number] [time-range time-range-name] [log-input]

permit tcp {any | source source-wildcard} {any|source-port/port-range}{any | destination destination-wildcard} {any|destination-port/port-range} [ace-priority priority] [dscp number | precedence number] [match-all list-of-flags] [time-range time-range-name] [log-input]

permit udp {any | source source-wildcard} {any|source-port/port-range} {any | destination destination-wildcard} {any|destination-port/port-range} [ace-priority priority] [dscp number | precedence number] [time-range time-range-name] [log-input]

no permit protocol {any | source source-wildcard} {any | destination destination-wildcard} [dscp number | precedence number][time-range time-range-name][log-input]

no permit icmp {any | source source-wildcard} {any | destination destination-wildcard} [any | icmp-type] [any | icmp-code]] [dscp number | precedence number][time-range time-range-name] [log-input]

no permit igmp {any | source source-wildcard} {any | destination destination-wildcard}[igmp-type] [dscp number | precedence number] [time-range time-range-name] [log-input]

no permit tcp {any | source source-wildcard} {any|source-port/port-range}{any | destination destination-wildcard} {any|destination-port/port-range} [dscp number | precedence number] [match-all list-of-flags] [time-range time-range-name] [log-input]

no permit udp {any | source source-wildcard} {any|source-port/port-range} {any | destination destination-wildcard} {any|destination-port/port-range} [dscp number | precedence number] [time-range time-range-name] [log-input]

Параметры

protocol- имя или номер IP-протокола. Доступные имена протоколов: icmp, igmp, ip, tcp, egp, igp, udp, hmp, rdp, idpr, ipv6, ipv6:rout, ipv6:frag, idrp, rsvp, gre, esp, ah, ipv6:icmp, eigrp, ospf, ipinip, pim, l2tp, isis. Для соответствия любому протоколу используйте ключевое слово IP (Диапазон: 0-255)
source- IP-адрес отправителя пакета.
source-wildcard - обратная маска, которая будет применена к IP-адресу отправителя. Используйте "1" в позиции бита, который вы хотите игнорировать.
destination- IP-адрес назначения пакета.
destination-wildcard - обратная маска, которая будет применена к IP-адресу назначения. Используйте "1" в позиции бита, который вы хотите игнорировать.
priority- номер правила в списке управления доступом (ACL). Значение "1" представляет самый высокий приоритет (1-2млрд)
dscp number - значение DSCP.
precedence number - значение IP-приоритета.
icmp-type - тип ICMP-сообщения для фильтрации ICMP-пакетов. Введите число или одно из следующих значений: echo-reply, destination-unreachable, source-quench, redirect, alternate-host-address, echo-request, router-advertisement, router-solicitation, time-exceeded, parameter-problem, timestamp, timestamp-reply, information-request, information-reply, address-mask-request, address-mask-reply, traceroute, datagram-conversion-error, mobile-host-redirect, mobile-registration-request, mobile-registration-reply, domain-name-request, domain-name-reply, skip, photuris (0-255)
icmp-code - код ICMP-сообщения для фильтрации ICMP-пакетов (0-255)
igmp-type - IGMP-пакеты могут быть отфильтрованы по типу IGMP-сообщения. Введите число или одно из следующих значений: host-query, host-report, dvmrp, pim, cisco-trace, host-report-v2, host-leave-v2, host-report-v3 (0-255)
destination-port- порт назначения UDP/TCP. Вы можете ввести диапазон портов, используя дефис. Например, 20 - 21. Для TCP введите число или одно из следующих значений: bgp (179), chargen (19), daytime (13), discard (9), domain (53), drip (3949), echo (7), finger (79), ftp (21), ftp-data (20), gopher (70), hostname (42), irc (194), klogin (543), kshell (544), lpd (515), nntp (119), pop2 (109), pop3 (110), smtp (25), sunrpc (1110), syslog (514), tacacs-ds (49), talk (517), telnet (23), time (37), uucp (117), whois (43), www (80). Для UDP введите число или одно из следующих значений: biff (512), bootpc (68), bootps (67), discard (9), dnsix (90), domain (53), echo (7), mobile-ip (434), nameserver (42), netbios-dgm (138), netbios-ns (137), non500-isakmp (4500), ntp (123), rip (520), snmp 161), snmptrap (162), sunrpc (111), syslog (514), tacacs-ds (49), talk (517), tftp (69), time (37), who (513), xdmcp (177) (0-65535)
source-port - порт отправителя UDP/TCP (0-65535)
match-all list-of-flags - перечень флагов TCP, если флаг должен быть установлен, то он имеет префикс "+". Если флаг должен быть снят, то он имеет префикс "-". Доступные опции: +urg, +ack, +psh, +rst, +syn, +fin, -urg, -ack, -psh, -rst, -syn и -fin. Флаги конкатенируются в одну строку, например: +fin-ack.
time-range-name - имя временного диапазона, который применяется к данному правилу (1-32)
disable-port - интерфейс Ethernet отключается, если условия выполнены
log-input - генерировать syslog сообщение о пакетах, соответствующих этой записи. Поскольку пересылка пакетов осуществляется аппаратно, а регистрация выполняется программно, если большое количество пакетов соответствует правилу, содержащему ключевое слово log-input не все пакеты могут быть зарегистрированы.

Конфигурация по умолчанию

Нет настроенных ACL

Режим использования

Режим настройки IP-ACL

Пример

FCS(config)# ip access-list extended filter
FCS(config-ip-al)# permit ip 10.0.0.0 0.0.255.255 any

permit ( IP )​

Синтаксис​

Параметры​

Конфигурация по умолчанию​

Режим использования​

Рекомендации по использованию​

Пример​