ip access-group (interface)

Команда ip access-group применяется для привязки списка доступа к интерфейсу, который будет контролироваться на этом интерфейсе.

Данная команда используется в режиме interface configuration.

Для удаления списка доступа используется та же команда с префиксом  no.

Синтаксис

ip access-group {access-list-number | access-list-name}
 {in | out}
 

no ip access-group {access-list-number | access-list-name} {in | out}

access-list-number

номер списка доступа, который является числом из диапазона 1-199 или 1300-2699.

access-list-name

имя списка доступа.

in

список доступа применяется для входящего трафика.

out

список доступа применяется для исходящего трафика.

Значение по

умолчанию

отсутствует

Режимы команды

Interface configuration

Рекомендации по

использованию

      Команда ip access group применяется для привязки списка доступа к интерфейсу. Список доступа будет использоваться для фильтрации трафика на данном интерфейсе.

      Если указан несуществующий список доступа, то все поступающие пакеты на интерфейс будут пропущены.

•   При использовании фильтрующих списков доступа на crypto интерфейсах необходимо следить, чтобы были прописаны соответствующие правила пакетной фильтрации для беспрепятственного прохождения IKE пакетов через firewall.

      Если в списке доступа используются модификаторы log и log-input, то будет происходить логирование пакетов, проходящих через интерфейс. В сообщении kernel лога о прохождении пакета будет показываться название данного списка доступа.

Отличие данной

команды от

подобной команды

Cisco IOS

В Cisco IOS исходящий с роутера трафик не фильтруется, в С-Терра Шлюз исходящий трафик фильтруется.

Пример

Ниже приведен пример назначения списка доступа 33 интерфейсу fastethernet:

Router(config)#interface fastethernet 0/1

Router(config-if)#ip access-group 33 in