Команда ip access group применяется для привязки списка доступа к интерфейсу, который будет контролироваться на этом интерфейсе. Данная команда используется в режиме interface configuration. Для удаления списка доступа используется та же команда с префиксом no.
Синтаксис ip access-group {access-list-number | access-list-name}
{in| out}
no ip access-group {access-list-number | access-list-name} {in| out}
access-list-number номер списка доступа, который является числом из диапазона 1-199 или 1300-2699
access-list-name имя списка доступа
in список доступа применяется для входящего трафика
out список доступа применяется для исходящего трафика
Значение по умолчанию значение по умолчанию отсутствует.
Режимы команды Interface configuration.
Рекомендации по использованию
Команда ip access group применяется для привязки списка доступа к интерфейсу. Список доступа будет использоваться для фильтрации трафика на данном интерфейсе.
Если указан несуществующий список доступа, то все поступающие пакеты на интерфейс будут пропущены.
При использовании фильтрующих списков доступа на crypto интерфейсах необходимо следить, чтобы были прописаны соответствующие правила пакетной фильтрации для беспрепятственного прохождения IKE пакетов через firewall.
Если в списке доступа используются модификаторы log и log-input, то будет происходит логирование пакетов, проходящих через интерфейс. В сообщении kernel лога о прохождении пакета будет показыватся название данного списка доступа.
Отличие данной команды от подобной команды Cisco IOS:
В Cisco IOS исходящий с роутера трафик не фильтруется, в S-Terra Gate исходящий трафик фильтруется.
.
Пример
Ниже приведен пример назначения списка доступа 33 интерфейсу fastethernet:
Router(config)#interface fastethernet 0/1
Router(config-if)#ip access-group 33 in