Leaflet
1-64
思科 ASA 系列命令参考,A 至 H 命令
第 1 章 aaa accounting command 至 accounting-server-group 命令
access-list extended
dest_address_argument
指定数据包要发往的 IP 地址或 FQDN。可用参数包括:
• host ip_address - 指定 IPv4 主机地址。
• ip_address mask - 指定 IPv4 网络地址和子网掩码。指定网络掩码
时,方法与思科 IOS 软件 access-list 命令不同。ASA 使用网络掩
码(例如,对于 C 类掩码为 255.255.255.0)。思科 IOS 掩码使用
通配符位(例如 0.0.0.255)。
• ipv6-address/prefix-length - 指定 IPv6 主机或网络地址和前缀。
• any、any4 和 any6 - any 指定 IPv4 和 IPv6 流量; any4 仅指定
IPv4 流量; any6 仅指定 IPv6 流量。
• interface interface_name - 指定 ASA 接口的名称。使用接口名称
(而非 IP 地址)基于接口是流量的源还是目标来匹配流量。当
流量源是设备接口时,您必须指定接口关键字而非在 ACL 中指
定实际 IP 地址。例如,您可以使用此选项通过拦截 ISAKMP 来
阻止某些远程 IP 地址启动到 ASA 的 VPN 会话。来自或发往
ASA 的任何流量本身需要您使用带有 control-plane 关键字的
access-group 命令。
• object nw_obj_id - 指定使用 object network 命令创建的网络对象。
• object-group nw_grp_id - 指定使用 object-group network 命令创
建的网络对象组。
icmp_argument
(可选)指定 ICMP 类型和代码。
• icmp_type [icmp_code] - 按名称或编号指定 ICMP 类型,以及用于
该类型的可选 ICMP 代码。如果不指定代码,则使用所有代码。
• object-group icmp_grp_id - 为使用 object-group service 或(弃用
的)object-group icmp 命令创建的 ICMP/ICMP6 指定对象组。
inactive
(可选)禁用 ACE。要重新启用它,请输入不带有 inactive 关键字
的完整 ACE。通过此功能,您可以在配置中保留非活动 ACE 的记录
以使重新启用更轻松。
line line-num
(可选)指定要插入 ACE 的行号。如果不指定行号,则将 ACE 添加
到 ACL 的末尾。行号不保存在配置中;它仅指定插入 ACE 的位置。
log [[level] [interval secs]
| disable | default]
(可选)当 ACE 与用于网络访问的数据包匹配时,设置日志记录选
项(使用 access-group 命令应用的 ACL)。如果输入不带有任何参
数的 log 关键字,则在默认级别 (6) 为默认间隔(300 秒)启用系统
日志消息 106100。如果不输入 log 关键字,则为拒绝的数据包生成默
认系统日志消息 106023。日志选项是:
• level - 在 0 和 7 之间的严重级别。默认值为 6(信息性)。如果您
为活动 ACE 更改此级别,则新级别应用于新连接;现有连接继
续记录在原来的级别中。
• interval secs - 各系统日志消息之间的时间间隔(以秒为单位),
从 1 到 600。默认值为 300。此值也用作从用于收集丢弃统计信
息的缓存中删除非活动的流的超时值。
• disable - 禁用所有 ACE 日志记录。
• default - 对消息 106023 启用日志记录。此设置与不包括 log 选项
相同。
permit
如果条件匹配,则允许数据包。在网络访问时(access-group 命
令),此关键字允许数据包通过 ASA。在将应用检查应用于类映射
时(class-map 和 inspect 命令),此关键字将检查应用于数据包。