Синтаксис

ip access-group {access-list-number | access-list-name}
 {in | out} 

no ip access-group {access-list-number | access-list-name} {in | out}

access-list-number

номер списка доступа, который является числом из диапазона 1-199 или 1300-2699.

access-list-name

имя списка доступа.

in

список доступа применяется для входящего трафика.

out

список доступа применяется для исходящего трафика.

Значение по

умолчанию

отсутствует

Режимы команды

Interface configuration

Рекомендации по

использованию

•      Команда ip access group применяется для привязки списка доступа к интерфейсу. Список доступа будет использоваться для фильтрации трафика на данном интерфейсе.

•      Если указан несуществующий список доступа, то все поступающие пакеты на интерфейс будут пропущены.

•   При использовании фильтрующих списков доступа на crypto интерфейсах необходимо следить, чтобы были прописаны соответствующие правила пакетной фильтрации для беспрепятственного прохождения IKE пакетов через firewall.

•      Если в списке доступа используются модификаторы log и log-input, то будет происходить логирование пакетов, проходящих через интерфейс. В сообщении kernel лога о прохождении пакета будет показываться название данного списка доступа.

Отличие данной

команды от

подобной команды

Cisco IOS

В Cisco IOS исходящий с роутера трафик не фильтруется, в С-Терра Шлюз исходящий трафик фильтруется.

Пример

Ниже приведен пример назначения списка доступа 33 интерфейсу fastethernet:

Router(config)#interface fastethernet 0/1

Router(config-if)#ip access-group 33 in