一、access-list 用於創建訪問規則。
(1)創建標准訪問列表
access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]
(2)創建擴展訪問列表
access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
(3)刪除訪問列表
no access-list { normal | special } { all | listnumber [ subitem ] }
【參數說明】
normal 指定規則加入普通時間段。
special 指定規則加入特殊時間段。
listnumber1 是1到99之間的一個數值,表示規則是標准訪問列表規則。
listnumber2 是100到199之間的一個數值,表示規則是擴展訪問列表規則。
permit 表明允許滿足條件的報文通過。
deny 表明禁止滿足條件的報文通過。
protocol 為協議類型,支持ICMP、TCP、UDP等,其它的協議也支持,此時沒有端口比較的概念 為IP時有特殊含義,代表所有的IP協議。
source-addr 為源地址。
source-mask 為源地址通配位,在標准訪問列表中是可選項,不輸入則代表通配位為0.0.0.0。
dest-addr 為目的地址。
dest-mask 為目的地址通配位。
operator[可選] 端口操作符,在協議類型為TCP或UDP時支持端口比較,支持的比較操作有:等於(eq)、大於(gt)、小於(lt)、不等於(neq)或介於(range) 如果操作符為range,則後面需要跟兩個端口。
port1 在協議類型為TCP或UDP時出現,可以為關鍵字所設定的預設值(如telnet)或0~65535之間的一個數值。
port2 在協議類型為TCP或UDP且操作類型為range時出現 可以為關鍵字所設定的預設值(如telnet)或0~65535之間的一個數值。
icmp-type[可選] 在協議為ICMP時出現,代表ICMP報文類型 可以是關鍵字所設定的預設值(如echo-reply)或者是0~255之間的一個數值。
icmp-code在協議為ICMP且沒有選擇所設定的預設值時出現 代表ICMP碼,是0~255之間的一個數值。
log [可選] 表示如果報文符合條件,需要做日志。
listnumber 為刪除的規則序號,是1~199之間的一個數值。
subitem[可選] 指定刪除序號為listnumber的訪問列表中規則的序號。
【缺省情況】
系統缺省不配置任何訪問規則。
【命令模式】
全局配置模式
【使用指南】
同一個序號的規則可以看作一類規則 所定義的規則不僅可以用來在接口上過濾報文,也可以被如DDR等用來判斷一個報文是否是感興趣的報文,此時,permit與deny表示是感興趣的還是不感興趣的。
使用協議域為IP的擴展訪問列表來表示所有的IP協議。
同一個序號之間的規則按照一定的原則進行排列和選擇,這個順序可以通過 show access-list 命令看到。
【舉例】
允許源地址為10.1.1.0 網絡、目的地址為10.1.2.0網絡的WWW訪問,但不允許使用FTP。
Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www
Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp
【相關命令】
ip access-group
二、clear access-list counters 清除訪問列表規則的統計信息。
clear access-list counters [ listnumber ]
【參數說明】
listnumber [可選] 要清除統計信息的規則的序號,如不指定,則清除所有的規則的統計信息。
【缺省情況】
任何時候都不清除統計信息。
【命令模式】
特權用戶模式
【使用指南】
使用此命令來清除當前所用規則的統計信息,不指定規則編號則清除所有規則的統計信息。
【舉例】
例1:清除當前所使用的序號為100的規則的統計信息。
Quidway#clear access-list counters 100
例2:清除當前所使用的所有規則的統計信息。
Quidway#clear access-list counters
【相關命令】
access-list
三、firewall 啟用或禁止防火牆。
firewall { enable | disable }
【參數說明】
enable 表示啟用防火牆。
disable 表示禁止防火牆。
【缺省情況】
系統缺省為禁止防火牆。
【命令模式】
全局配置模式
【使用指南】
使用此命令來啟用或禁止防火牆,可以通過show firewall命令看到相應結果。如果采用了時間段包過濾,則在防火牆被關閉時也將被關閉 該命令控制防火牆的總開關。在使用 firewall disable 命令關閉防火牆時,防火牆本身的統計信息也將被清除。
【舉例】
啟用防火牆。
Quidway(config)#firewall enable
【相關命令】
access-list,ip access-group
四、firewall default 配置防火牆在沒有相應的訪問規則匹配時,缺省的過濾方式。
firewall default { permit | deny }
【參數說明】
permit 表示缺省過濾屬性設置為“允許”。
deny 表示缺省過濾屬性設置為“禁止”。
【缺省情況】
在防火牆開啟的情況下,報文被缺省允許通過。
【命令模式】
全局配置模式
【使用指南】
當在接口應用的規則沒有一個能夠判斷一個報文是否應該被允許還是禁止時,缺省的過濾屬性將起作用 如果缺省過濾屬性是“允許”,則報文可以通過,否則報文被丟棄。
【舉例】
設置缺省過濾屬性為“允許”。
Quidway(config)#firewall default permit
五、ip access-group 使用此命令將規則應用到接口上。使用此命令的no形式來刪除相應的設置。
ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
【參數說明】
listnumber 為規則序號,是1~199之間的一個數值。
in 表示規則用於過濾從接口收上來的報文。
out 表示規則用於過濾從接口轉發的報文。
【缺省情況】
沒有規則應用於接口。
【命令模式】
接口配置模式。
【使用指南】
使用此命令來將規則應用到接口上 如果要過濾從接口收上來的報文,則使用 in 關鍵字 如果要過濾從接口轉發的報文,使用out 關鍵字。一個接口的一個方向上最多可以應用20類不同的規則 這些規則之間按照規則序號的大小進行排列,序號大的排在前面,也就是優先級高。對報文進行過濾時,將采用發現符合的規則即得出過濾結果的方法來加快過濾速度。所以,建議在配置規則時,盡量將對同一個網絡配置的規則放在同一個序號的訪問列表中 在同一個序號的訪問列表中,規則之間的排列和選擇順序可以用show access-list命令來查看。
【舉例】
將規則101應用於過濾從以太網口收上來的報文。
Quidway(config-if-Ethernet0)#ip access-group 101 in
【相關命令】
access-list
