Команда ip access-group применяется для привязки списка доступа к интерфейсу, который будет контролироваться на этом интерфейсе.
Данная команда используется в режиме interface configuration.
Для удаления списка доступа используется та же команда с префиксом no.
Синтаксис ip access-group
{access-list-number | access-list-name} no ip access-group {access-list-number | access-list-name} {in | out} |
|
access-list-number |
номер списка доступа, который является числом из диапазона 1-199 или 1300-2699. |
access-list-name |
имя списка доступа. |
in |
список доступа применяется для входящего трафика. |
out |
список доступа применяется для исходящего трафика. |
Значение по умолчанию |
отсутствует |
Режимы команды |
Interface configuration |
Рекомендации по использованию |
• Команда ip access group применяется для привязки списка доступа к интерфейсу. Список доступа будет использоваться для фильтрации трафика на данном интерфейсе. • Если указан несуществующий список доступа, то все поступающие пакеты на интерфейс будут пропущены. • При использовании фильтрующих списков доступа на crypto интерфейсах необходимо следить, чтобы были прописаны соответствующие правила пакетной фильтрации для беспрепятственного прохождения IKE пакетов через firewall. • Если в списке доступа используются модификаторы log и log-input, то будет происходить логирование пакетов, проходящих через интерфейс. В сообщении kernel лога о прохождении пакета будет показываться название данного списка доступа. |
Отличие данной команды от подобной команды Cisco IOS |
В Cisco IOS исходящий с роутера трафик не фильтруется, в С-Терра Шлюз исходящий трафик фильтруется. |
Пример |
Ниже приведен пример назначения списка доступа 33 интерфейсу fastethernet: Router(config)#interface fastethernet 0/1 Router(config-if)#ip access-group 33 in |