更新时间:2023-12-08
1.应用IP 访问列表命令
1.1 应用IP访问列表配置命令
访问列表配置命令有:
- ip access-group
- Ipv6 access-group
- show ip/ipv6 access-group
1.1.1 ip access-group
全局配置态:
ip access-group {access-list-name} {slot slot-id | vlan {word | add word | remove word}} [egress] [stat-packet | stat-byte]
no ip access-group {access-list-name} {slot slot-id | vlan} [egress]
端口配置态:
ip access-group {access-list-name} [egress] [stat-packet | stat-byte]
no ip access-group {access-list-name} [egress]
在全局或端口上应用ip访问列表。no命令用来删除已应用的访问列表。
参数
|
参数
|
参数说明
|
|
access-list-name
|
访问表名。这是一个最长为20个字符的字符串。
|
|
slot-id
|
应用访问列表在线卡上,线卡所在槽位号。
|
|
word
|
应用访问列表在vlan上,vlan范围表。
|
命令模式
全局配置态或接口配置态。
使用说明
访问列表用在入接口。对于标准的入口访问列表,在接收到包之后,对照访问列表检查包的源地址。对于扩展的访问列表,该交换机也检查目标地址。如果访问表允许该地址,那么软件继续处理该包。如果访问表不允许该地址,该软件放弃包并返回一个ICMP主机不可到达报文。
如果指定的访问列表不存在,所有的包允许通过。
注:
Ipv4标准访问列表中支持的有:
any :任意源ip地址
source-addr source-mask :源地址匹配
reverse-mask source-addr source-mask:使用反掩码源地址匹配
ipv4扩展访问列表支持的有:
any:任意ip地址
Ip-protocol:IP协议号
Ip-addr ip-mask:IP地址匹配
Interface interface-id:3层interface匹配
eq/gt/lt/src-portrange: tcp/udp端口号匹配
totallen:IP报文长度匹配
established/tos/is-fragment/not-fragment/precedence/ttl/offset-not-zero/offset-zero/donotfragment-set/ donotfragment-notset/icmp-type:报文字段匹配,其中ttl必须设置等于。
示例
在线卡1上应用访问列表ipacl:
Switch_config#ip access-group ipacl slot 1
下例在以太网接口g1/20的出口上应用列表ipacl:
Switch_config#int g1/20
Switch_config_g1/20#ip access-group ipacl egress
1.1.2 ipv6 access-group
为了控制访问一个接口,使用ipv6 access-group接口配置命令。为了删除这个指定的访问组,使用no格式命令。
在端口上应用
[no] ipv6 access-group name [egress]
在全局上应用
ipv6 access-group name {slot slot-id | vlan {word | add word | remove word}} [egress] [stat-packet | stat-byte]
no ipv6 access-group name {slot slot-id | vlan} [egress]
在端口或全局上应用已经创建的ipv6访问列表或者删除已经应用到端口或全局的ipv6访问列表。
参数
|
参数
|
参数说明
|
|
name
|
访问列表的名称。
|
|
slot-id
|
访问列表应用在线卡上,线卡所在槽位号。
|
|
egress
|
访问列表应用在出方向。
|
|
Vlan
|
访问列表应用在入方向vlan上
|
|
Word
|
vlan范围表
|
|
add
|
添加vlan范围表
|
|
remove
|
删除vlan范围表
|
命令模式
全局或接口配置态
使用说明
访问列表中的规则绝大部是通过硬件实现的,硬件不支持的部分不提示错误,但是没有实际效果;少量的如time-range由软件实现。
注:
Ipv6访问列表支持的有:
any:任意ipv6地址
Ipv6-addr/ host Ipv6-addr: ipv6地址匹配
Ipv6-protocol:ipv6协议号
eq/gt/lt/src-portrange: tcp/udp端口号匹配
dscp/flow-label:报文字段匹配
示例
下例在以太网接口g1/1的入口上应用访问列表filter:
Switch_config#inter g1/1
Switch_config_g1/1# ipv6 access-group filter
1.1.3 show ip/ipv6 access-group
show {ip | ipv6} access-group name {slot slot | vlan | interface interface-name | slot-ids } [egress]
显示ip/ipv6访问列表统计信息
参数
|
参数
|
参数说明
|
|
name
|
mac访问列表的名称
|
|
slot
|
指定槽位号
|
|
interface-name
|
端口
|
|
slot-ids
|
槽位序列
|
使用说明
无
示例
下例为显示ip 访问列表1在slot 7应用后的统计信息
Switch_config#show ip access-group 1 slot 7
ip access-list standard 1
permit 1.1.1.1 255.255.255.255 statistics: 0 packets
!
Switch_config#
