Leaflet
1-54
思科 ASA 系列命令参考,A 至 H 命令
第 1 章 aaa accounting command 至 accounting-server-group 命令
access-group
access-group
要将扩展的 ACL 与单个接口绑定,请在全局配置模式下使用 access-group 命令。要从接口取消
绑定 ACL,请使用此命令的 no 形式。
access-group access_list {in | out} interface interface_name [per-user-override | control-plane]
no access-group access_list {in | out} interface interface_name
要使用单个命令将一组全局规则应用于所有接口,请在全局配置模式下使用 access-group global
命令。要从所有配置的接口中删除全局规则,请使用此命令的 no 形式。
access-group access_list [global]
no access-group access_list [global]
语法说明
默认值 没有默认行为或值。
命令模式 下表展示可输入此命令的模式:
命令历史
access_list
扩展的 ACL id
。
control-plane
(可选)指定 ACL 是否用于所有传入流量(to-the-box 流量)。例如,
您可以使用此选项通过拦截 ISAKMP 来阻止某些远程 IP 地址启动到
ASA 的 VPN 会话。用于所有传入管理流量的访问规则(由 http、ssh
或 telnet 等此类命令定义)的优先级比使用 control-plane 选项应用的
ACL 高。因此,允许此类允许的管理流量传入,即使被所有传入 ACL
明确拒绝。此选项仅对 in 方向可用。
global
将 ACL 应用于所有接口上的所有流量。
in
过滤指定接口上的入站数据包。
interface
interface_name
网络接口的名称。
out
过滤指定接口上的出站数据包。
per-user-override
(可选)允许可下载的用户 ACL 覆盖应用于接口的 ACL。此选项仅对
in 方向可用。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
• 是 • 是 • 是 • 是
—
版本 修改
7.0(1)
引入了此命令。
8.3(1)
修改了此命令以支持全局策略。