match e – match q

match ehlo-reply-parameter

要在 ESMTP ehlo 应答参数上配置匹配条件,请在策略映射配置模式下使用 matchehlo-reply-parameter 命令。要禁用此功能,请使用此no 命令的形式。

match[ not] ehlo-reply-parameterparameter

no match[ not] ehlo-reply-parameterparameter

Syntax Description

参数

指定 ehlo 应答参数。

Command Default

无默认行为或值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

策略映射配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

7.2(1)

添加了此命令。

Examples

以下示例显示如何在 ESMTP 检测策略映射中配置 ehlo 应答参数的匹配条件:


ciscoasa
(config)#
 policy-map type inspect esmtp esmtp_map

ciscoasa (config-pmap)#matchehlo-reply-parameterauth

match filename

要为 FTP 传输配置文件名匹配条件,请在 class-map 或 policy-map 配置模式下使用 matchfilename 命令。要删除匹配条件,请使用此 no 命令的形式。

match[ not] filenameregex[ regex_name| class regex_class_name]

no match[ not] filenameregex[ regex_name| class regex_class_name]

Syntax Description

正则表达式名称

指定正则表达式。

class regex_class_name

指定正则表达式类映射。

Command Default

无默认行为或值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

类映射或策略映射配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

7.2(1)

添加了此命令。

Usage Guidelines

可以在 FTP 类映射或策略映射中配置此命令。一个 FTP 类映射中只能输入一个条目。

Examples

以下示例显示如何在 FTP 检测类映射中配置 FTP 传输文件名的匹配条件:


ciscoasa(config)# class-map type inspect ftp match-all ftp_class1
ciscoasa(config-cmap)# description Restrict FTP users ftp1, ftp2, and ftp3 from accessing /root
ciscoasa(config-cmap)# match username regex class ftp_regex_user
ciscoasa(config-cmap)# match filename regex ftp-file

match filetype

要为 FTP 传输的文件类型配置匹配条件,请在 class-map 或 policy-map 配置模式下使用 matchfiletype 命令。要删除匹配条件,请使用此 no 命令的形式。

match[ not] filetyperegex[ regex_name| classregex_class_name]

no match[ not] filetyperegex[ regex_name| classregex_class_name]

Syntax Description

正则表达式名称

指定正则表达式。

class regex_class_name

指定正则表达式类映射。

Command Default

无默认行为或值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

类映射或策略映射配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

7.2(1)

添加了此命令。

Usage Guidelines

可以在 FTP 类映射或策略映射中配置此命令。一个 FTP 类映射中只能输入一个条目。

Examples

以下示例显示如何在 FTP 检测策略映射中为 FTP 传输文件类型配置匹配条件:


ciscoasa(config-pmap)# match filetype class regex ftp-regex-filetype

match flow ip destination-address

如要在类映射中指定流 IP 目的地址,请在 class-map 配置模式下使用 matchflowipdestination-address 命令。要删除此规范,请使用此 no 命令的形式。

matchflowipdestination-address

nomatchflowipdestination-address

Syntax Description

此命令没有任何参数或关键字。

Command Default

无默认行为或值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

类映射配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

7.0(1)

添加了此命令。

Usage Guidelines

match 命令用于标识类映射的流量类中包含的流量。它们包括用于定义类映射中包含的流量的不同条件。在使用模块化策略框架配置安全功能的过程中,使用 class-map 全局配置命令定义流量类。在 class-map 配置模式下,可以使用 match 命令定义要包含在类中的流量。

流量类应用于接口之后,会将该接口上接收的数据包与类映射中的 match 语句定义的条件进行比较。如果数据包符合指定的条件,则会包含在该流量类中,并且会承担与该流量类关联的所有操作。不匹配任何流量类别中的任何条件的数据包被分配到默认流量类别。

要对隧道组启用基于流的策略操作,请将 matchflowipdestination-address matchtunnel-group 命令与 class-map policy-map service-policy 命令配合使用。定义流的条件是目的 IP 地址。所有流向某唯一 IP 目标地址的流量都被视为流。策略操作应用于每个数据流,而不是整个流量类。QoS 操作策略使用 matchflowipdestination-address 命令应用。使用matchtunnel-group 策略以指定隧道组内的每个隧道为指定速率。

Examples

以下示例展示如何在隧道组内启用基于流的策略管制,并将每个隧道限制为指定的速率:


ciscoasa(config)# class-map cmap
ciscoasa(config-cmap)# matchtunnel-group
ciscoasa(config-cmap)# match flow ip destination-address
ciscoasa(config-cmap)# exit
ciscoasa(config)# policy-map pmap
ciscoasa(config-pmap)# class cmap
ciscoasa(config-pmap)# police 56000
ciscoasa(config-pmap)# exit
ciscoasa(config)# service-policy pmap global
ciscoasa(config)# 

match header (policy-map type inspect esmtp)

要配置 ESMTP 报头的匹配条件,请在 policy-map type inspect esmtp 配置模式下使用 matchheader 命令。要禁用此功能,请使用此no 命令的形式。

match[ not] header[ [ length| linelength] gtbytes| to-fieldscountgtto_fields_number]

no match[ not] header[ [ length| linelength] gtbytes| to-fieldscountgtto_fields_number]

Syntax Description

length gt 个字节

指定为匹配 ESMTP 报头消息的长度。

行长度 gt 字节

指定 匹配 ESMTP 报头消息的行长度。

目标字段数 (to-fields count gt to_fields_number)

指定 匹配“收件人:”字段的数量。

Command Default

无默认行为或值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

Policy-map type inspect esmtp configuration

  • 支持

  • 支持

  • 支持

Command History

版本

修改

7.2(1)

添加了此命令。

Examples

以下示例显示如何为 ESMTP 检测策略映射中的报头配置匹配条件:


ciscoasa
(config)#
 policy-map type inspect esmtp esmtp_map

ciscoasa (config-pmap)#matchheaderlengthgt512

match header (policy-map type inspect ipv6)

要配置 IPv6 报头的匹配条件,请在 policy-map type inspect ipv6 配置模式下使用 matchheader 命令。要禁用此功能,请使用此no 命令的形式。

match[ not] header{ ah| countgtnumber| destination-option| esp| fragment| hop-by-hop| routing-addresscountgtnumber| routing-type{ eq| range} number}

no match[ not] header{ ah| countgtnumber| destination-option| esp| fragment| hop-by-hop| routing-addresscountgtnumber| routing-type{ eq| range} number}

Syntax Description

ah

匹配 IPv6 身份验证扩展标头

countgt number

指定 IPv6 扩展头的最大数量,从 0 到 255。

destination-option

匹配 IPv6 目标选项扩展头。

esp

与 IPv6 封装安全有效负载 (ESP) 扩展头匹配。

fragment

匹配 IPv6 分片扩展头。

hop-by-hop

匹配 IPv6 逐跳扩展头。

not

(可选)与指定参数不匹配。

routing-addresscountgt number

设置 IPv6 路由头类型 0 地址的最大数量,大于 0 到 255 之间的数字。

routing-type {eq | range } number

匹配 IPv6 路由头类型,从 0 到 255。对于范围,用空格分隔值,例如。 3040

Command Default

无默认行为或值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

Policy-map type inspect ipv6 配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

8.2(1)

添加了此命令。

Usage Guidelines

指定要匹配的报头。默认情况下,将对数据包进行日志记录 (log );如果要丢弃(也可以选择记录)该数据包,请在匹配配置模式下输入 drop 和可选的 log 命令。

对要匹配的每个分机号重新输入 match 命令和可选的 drop 操作:

Examples

以下示例创建一个检查策略映射,该策略映射将丢弃并记录所有具有逐跳、目标选项、路由地址和路由类型 0 标头的 IPv6 数据包:


policy-map type inspect ipv6 ipv6-pm
 parameters
 match header hop-by-hop
  drop log
 match header destination-option
  drop log
 match header routing-address count gt 0
  drop log
 match header routing-type eq 0
  drop log

match header-flag

要为 DNS 报头配置匹配条件,请在 class-map 或 policy-map 配置模式下使用 matchheader-flag 命令。要删除已配置的标头标志,请使用此命令的 no 形式。

match[ not] header-flag[ eq] { f_well_known| f_value}

no match[ not] header-flag[ eq] { f_well_known| f_value}

Syntax Description

eq

指定精确匹配项。如果未配置,则指定 match-all 位掩码匹配项。

f_ware_known

按已知名称指定 DNS 报头标志位。可以输入多个标志位并进行逻辑“或”运算。

QR(查询,注意:QR=1,表示 DNS 响应)

AA(权威应答)

TC(截断)

RD(期望递归)

RA(可递归)

f_value

指定十六进制形式的任意 16 位值。

Command Default

此命令默认禁用。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

类映射或策略映射配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

7.2(1)

添加了此命令。

Usage Guidelines

可以在 DNS 类映射或策略映射中配置此命令。一个 DNS 类映射中只能输入一个条目。

Examples

以下示例显示如何为 DNS 检测策略映射中的 DNS 报头标志配置匹配条件:


ciscoasa(config)# policy-map type inspect dns preset_dns_map
ciscoasa(config-pmap)# match header-flag AA

match im-subscriber

要为 SIP IM 用户配置匹配条件,请在 class-map 或 policy-map 配置模式下使用 matchim-subscriber 命令。要删除匹配条件,请使用此no 命令的形式。

match[ not] im-subscriberregex[ regex_name| classregex_class_name]

no match[ not] im-subscriberregex[ regex_name| classregex_class_name]

Syntax Description

正则表达式名称

指定正则表达式。

class regex_class_name

指定正则表达式类映射。

Command Default

无默认行为或值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

类映射或策略映射配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

7.2(1)

添加了此命令。

Usage Guidelines

可以在 SIP 类映射或策略映射中配置此命令。一个 SIP 类映射中只能输入一个条目。

Examples

以下示例显示如何在 SIP 检测类映射中为 SIP IM 用户配置匹配条件:


ciscoasa(config-cmap)# match im-subscriber regex class im_sender

match interface

若要分发使其下一跳离开其中一个指定接口的任何路由,请在路由映射配置模式下使用 matchinterface 命令。要删除匹配的接口条目,请使用此命 no 令的形式。

matchinterfaceinterface-name

nomatchinterface interface-name

Syntax Description

interface-name

接口(而非物理接口)的名称。可以指定多个接口名称。

Command Default

未定义匹配接口。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

路由映射配置

  • 支持

Command History

版本

修改

7.0(1)

添加了此命令。

9.0(1)

增加了多情景模式支持。

Usage Guidelines

命令语法中的省略号 (...) 表示命令输入可以包含多个 interface-type interface-number 参数的值。

route-map global 配置命令以及 match set 配置命令允许您定义将路由从一个路由协议重新分发到另一个路由协议的条件。每个 route-map 命令都有 match set 命令与其关联。 match 命令指定匹配条件 - 当前 route-map 命令允许重新分发的条件。 set 命令指定 set 操作 - 当满足 match 命令执行的条件时要执行的特定重新分发操作。 no route-map 命令可删除路由映射。

match route-map 配置命令具有多种格式。您可以按任何顺序提供 match 命令。所有 match 命令都必须“通过”,才能根据通过 set 命令指定的 set 操作重新分发路由。命令的 no match 形式可删除指定的匹配条件。如果在 match 命令中指定了多个接口。则 nomatchinterface interface-name 可用于删除单个接口。

路由映射可包含多个部分。任何与 route-map 命令相关的至少一个 match 子句不匹配的路由都将被忽略。如果仅修改某些数据,则必须配置第二个路由映射部分并指定显式匹配。

Examples

以下示例显示对其下一跳在路由外部的路由进行分发:


ciscoasa(config)# route-map name 
ciscoasa(config-route-map)# match interface outside

match invalid-recipients

要配置 ESMTP 无效收件人地址的匹配条件,请在策略映射配置模式下使用 matchinvalid-recipients 命令。要禁用此功能,请使用此no 命令的形式。

match[ not] invalid-recipientscountgtnumber

nomatch[ not] invalid-recipientscountgtnumber

Syntax Description

count gt number

指定匹配无效的收件人号码。

Command Default

无默认行为或值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

策略映射配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

7.2(1)

添加了此命令。

Examples

以下示例显示如何在 ESMTP 检测策略映射中为无效收件人计数配置匹配条件:


ciscoasa
(config)#
 policy-map type inspect esmtp esmtp_map

ciscoasa (config-pmap)#matchinvalid-recipientscountgt1000

match ip address

要重新分配具有由指定的访问列表之一传递的路由地址或匹配数据包的任何路由,请在 matchipaddress 路由映射配置模式下使用该命令。要恢复默认设置,请使用此命令的 no 形式。

matchipaddress{ acl_id. . . | prefix-list prefix_list_id. . . }

no matchipaddress{ acl_id. . . | prefix-list prefix_list_id. . . }

Syntax Description

acl_id

指定访问列表的名称。可以指定多个访问列表。

prefix-list前缀列表 ID

指定前缀列表的名称。可以指定多个前缀列表。

 

不支持 OSPF。

Command Default

无默认行为或值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

路由映射配置

  • 支持

Command History

版本

修改

7.0(1)

添加了此命令。

9.0(1)

增加了多情景模式支持。

9.20(2)

对于 OSPF,不再支持前缀列表。

Usage Guidelines

route-map 命令和配 match 置命令允许您 set 定义将路由从一个路由协议重新分配到另一个路由协议的条件。每个 route-map 命令都有 match set 命令与其关联。 match 命令指定匹配条件 - 当前 route-map 命令允许重新分发的条件。 set 命令指定 set 操作 - 当满足 match 命令执行的条件时要执行的特定重新分发操作。 no route-map 命令可删除路由映射。

Examples

以下示例显示如何重新分配内部路由:


ciscoasa(config)# route-map test 
ciscoasa(config-route-map)# match ip address acl_dmz1 acl_dmz2

match ip next-hop

要重新分发具有由一个指定的访问列表传递的下一跳路由器地址的任何路由,请在路由映射配置模式下使用 matchipnext-hop 命令。要删除下一跳条目,请使用此命 no 令的形式。

matchipnext-hop{ acl. . . } | prefix-listprefix_list

no matchipnext-hop{ acl. . . } | prefix-listprefix_list

Syntax Description

acl

ACL 的名称。可以指定多个 ACL。

prefix-list prefix_list

前缀列表的名称。

Command Default

路由自由分发,无需匹配下一跳地址。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

路由映射配置

  • 支持

Command History

版本

修改

7.0(1)

添加了此命令。

9.0(1)

增加了多情景模式支持。

Usage Guidelines

命令语法中的省略号 (...) 指示命令输入可以包含多个 acl 参数值。

route-map global 配置命令以及 match set 配置命令允许您定义将路由从一个路由协议重新分发到另一个路由协议的条件。每个 route-map 命令都有 match set 命令与其关联。 match 命令指定匹配条件 - 当前 route-map 命令允许重新分发的条件。 set 命令指定 set 操作 - 当满足 match 命令执行的条件时要执行的特定重新分发操作。 no route-map 命令可删除路由映射。

match route-map 配置命令具有多种格式。您可以按任何顺序输入 match 命令。所有 match 命令都必须“通过”,才能根据 set 命令给定的 set 操作重新分发路由。命令的 no match 形式可删除指定的匹配条件。

通过路由映射传递路由时,路由映射可以有多个部分。任何与 route-map 命令相关的至少一个 match 子句不匹配的路由都将被忽略。要仅修改部分数据,您必须配置第二个路由映射部分并指定显式匹配。

Examples

以下示例显示如何分发具有通过访问列表 acl_dmz1 或 acl_dmz2 传递的下一跳路由器地址的路由:


ciscoasa(config)# route-map name
ciscoasa(config-route-map)# match ip next-hop acl_dmz1 acl_dmz2

match ip route-source

要重新分发已由位于 ACL 指定的地址处的路由器和接入服务器通告的路由,请在 route-map 配置模式下使用 matchiproute-source 命令。要删除下一跳条目,请使用此命 no 令的形式。

matchiproute-source{ acl. . . } prefix-listprefix_list

matchiproute-source{ acl. . . }

Syntax Description

acl

ACL 的名称。可以指定多个 ACL。

prefix_list

前缀列表的名称。

Command Default

未对路由源进行过滤。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

路由映射配置

  • 支持

Command History

版本

修改

7.0(1)

添加了此命令。

9.0(1)

增加了多情景模式支持。

Usage Guidelines

命令语法中的省略号 (...) 指示命令输入可以包含多个 access-list-name 参数值。

route-map global 配置命令以及 match set 配置命令允许您定义将路由从一个路由协议重新分发到另一个路由协议的条件。每个 route-map 命令都有 match set 命令与其关联。 match 命令指定匹配条件 - 当前 route-map 命令允许重新分发的条件。 set 命令指定 set 操作 - 当满足 match 命令执行的条件时要执行的特定重新分发操作。 no route-map 命令可删除路由映射。

match route-map 配置命令具有多种格式。您可以按任何顺序输入 match 命令。所有 match 命令都必须“通过”,才能根据 set 命令给定的 set 操作重新分发路由。命令的 no match 形式可删除指定的匹配条件。

路由映射可包含多个部分。任何与 route-map 命令相关的至少一个 match 子句不匹配的路由都将被忽略。要仅修改部分数据,您必须配置第二个路由映射部分并指定显式匹配。在某些情况下,路由的下一跳和源路由器地址不同。

Examples

以下示例显示如何分发由位于 ACL acl_dmz1 和 acl_dmz2 指定的地址处的路由器和接入服务器通告的路由:


ciscoasa(config)# route-map name 
ciscoasa(config-route-map)# match ip route-source acl_dmz1 acl_dmz2

match ipv6 address

要重新分配具有 IPv6 路由地址或匹配由指定的访问列表之一传递的数据包的任何路由,请在 matchipv6address 路由映射配置模式下使用该命令。要恢复默认设置,请使用此命 no 令的形式。

matchipv6address{ acl. . . } prefix-list

no matchipv6address{ acl. . . } prefix-list

Syntax Description

acl

指定访问列表的名称。可以指定多个访问列表。

prefix-list

指定匹配前缀列表的名称。

Command Default

无默认行为或值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

路由映射配置

  • 支持

Command History

版本

修改

9.1(2)

添加了此命令。

Usage Guidelines

route-map global 配置命令以及 match set 配置命令允许您定义将路由从一个路由协议重新分发到另一个路由协议的条件。每个 route-map 命令都有 match set 命令与其关联。 match 命令指定匹配条件 - 当前 route-map 命令允许重新分发的条件。 set 命令指定 set 操作 - 当满足 match 命令执行的条件时要执行的特定重新分发操作。 no route-map 命令可删除路由映射。

Examples

以下示例显示如何重新分发内部路由:access-list acl_dmz1 Extended permit ipv6 any<net><mask>


ciscoasa(config)# access-list acl_dmz1 extended permit ipv6 any <net> <mask>
ciscoasa(config)# route-map name 
ciscoasa(config-route-map)# match ipv6 address acl_dmz1 acl_dmz2

match login-name

要配置即时消息的客户端登录名匹配条件,请在 class-map 或 policy-map 配置模式下使用 matchlogin-name 命令。要删除匹配条件,请使用此 no 命令的形式。

match[ not] login-nameregex[ regex_name| classregex_class_name]

no match[ not] login-nameregex[ regex_name| classregex_class_name]

Syntax Description

regex_name

指定正则表达式。

class regex_class_name

指定正则表达式类映射。

Command Default

无默认行为或值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

类映射或策略映射配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

7.2(1)

添加了此命令。

Usage Guidelines

可以在 IM 类映射或策略映射中配置此命令。一个 IM 类映射中只能输入一个条目。

Examples

以下示例展示如何在即时消息类映射中为客户端登录名配置匹配条件:


ciscoasa(config)# class-map type inspect im im_class
ciscoasa(config-cmap)# match login-name regex login

match media-type

要配置 H.323 媒体类型的匹配条件,请在策略映射配置模式下使用 matchmedia-type 命令。要禁用此功能,请使用此no 命令的形式。

match[ not] media-type[ audio| data| video]

no match[ not] media-type[ audio| data| video]

Syntax Description

音頻

指定要匹配的音频媒体类型。

数据

指定要匹配的数据介质类型。

视频

指定 以匹配视频媒体类型。

Command Default

无默认行为或值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

策略映射配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

7.2(1)

添加了此命令。

Examples

以下示例展示如何在 H.323 检测类映射中配置音频媒体类型的匹配条件:


ciscoasa(config-cmap)# match media-type audio

match message class

要配置消息类和 M3UA 消息类型的匹配条件,请在策略映射配置模式下使用 matchmessageclass 命令。要删除匹配条件,请使用此 no 命令的形式。

match[ not] messageclassclass_id[ idmessage_id]

no match[ not] messageclassclass_id[ idmessage_id]

Syntax Description

class_id

消息类别。有关受支持的类别和类型的列表,请参阅“用法”部分。

id message_id

指定类中的消息类型。

Command Default

M3UA 检测允许所有消息类和类型,没有速率限制。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

策略映射配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

9.6(2)

添加了此命令。

Usage Guidelines

您可以在 M3UA 检测策略映射中配置此命令。可以根据消息类和类型丢弃数据包或按速率限制数据包。下表列出了可能的值。有关这些消息的详细信息,请参阅 M3UA RFC 和文档。

M3UA 消息类

消息 ID 类型

0(管理消息)

0-1

1(传输消息)

1

2(SS7 信令网络管理消息)

1-6

3(ASP 状态维护消息)

1-6

4(ASP 流量维护消息)

1-4

9(路由密钥管理消息)

1-4

Examples

以下示例显示如何配置 M3UA 消息的匹配条件。


ciscoasa(config)# policy-map type inspect m3ua m3ua-map
ciscoasa(config-pmap)# match message class 2 id 6
ciscoasa(config-pmap-c)# drop
ciscoasa(config-pmap-c)# match message class 9
ciscoasa(config-pmap-c)# drop

match message id

要配置 GTP 消息 ID 的匹配条件,请在策略映射配置模式下使用 matchmessageid 命令。要删除匹配条件,请使用此 no 命令的形式。

match[ not] message{ v1| v2} id[ message_id| rangelower_rangeupper_range}

no match[ not] message{ v1| v2} id[ message_id| rangelower_rangeupper_range}

Syntax Description

{v1 | v2 }

(从 9.5(1) 开始。)指示 GTP 版本。对于 GTPv0-1,请使用 v1 ;对于 GTPv2,请使用 v2

message_id

消息 ID,可介于 1 到 255 之间。

range lower_range upper_range

消息 ID 范围。指定范围的下边界和上限。

Command Default

无默认行为或值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

策略映射配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

7.2(1)

添加了此命令。

9.5(1)

{v1 v2 } 添加了 | 关键字。

Usage Guidelines

可以在 GTP 策略映射中配置此命令。

Examples

以下示例显示如何为 GTP 检测策略映射中的消息 ID 配置匹配条件:


ciscoasa(config-pmap)# match message id 33

从版本 9.5(1) 开始,您需要将 {v1 | v2 } 关键字:


ciscoasa(config-pmap)# match message v2 id 33

match message length

要配置 GTP 消息 ID 的匹配条件,请在策略映射配置模式下使用 matchmessagelength 命令。要删除匹配条件,请使用此 no 命令的形式。

match[ not] messagelengthminmin_lengthmaxmax_length

no match[ not] messagelengthminmin_lengthmaxmax_length

Syntax Description

min min_length

指定最小消息 ID 长度。值介于 1 和 65536 之间。

max max_length

指定最大消息 ID 长度。值介于 1 和 65536 之间。

Command Default

无默认行为或值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

策略映射配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

7.2(1)

添加了此命令。

Usage Guidelines

可以在 GTP 策略映射中配置此命令。

Examples

以下示例显示如何在 GTP 检查策略映射中配置消息长度的匹配条件:


ciscoasa(config-pmap)# match message length min 8 max 200

match message-path

要配置 SIP 消息所采用路径的匹配条件(如 Via 报头字段中指定的),请在类映射或策略映射配置模式下使用 matchmessage-path 命令。要删除匹配条件,请使用此no 命令的形式。

match[ not] message-pathregex[ regex_name| classregex_class_name]

no match[ not] message-pathregex[ regex_name| classregex_class_name]

Syntax Description

regex_name

指定正则表达式。

class regex_class_name

指定正则表达式类映射。

Command Default

无默认行为或值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

类映射或策略映射配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

7.2(1)

添加了此命令。

Usage Guidelines

可以在 SIP 类映射或策略映射中配置此命令。一个 SIP 类映射中只能输入一个条目。

Examples

以下示例展示如何为 SIP 检测类映射中的 SIP 消息配置匹配条件:


ciscoasa(config-cmap)# match message-path regex class sip_message

match metric

要重新分发具有指定指标的路由,请在路由映射配置模式下使用 matchmetric 命令。要删除该条目,请使用此命 no 令的形式。

matchmetricnumber

nomatchmetricnumber

Syntax Description

number

路由度量,可以是由五部分组成的 IGRP 度量; ;有效值为 0 到 4294967295。

Command Default

未过滤指标值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

路由映射配置

  • 支持

Command History

版本

修改

7.0(1)

添加了此命令。

9.0(1)

增加了多情景模式支持。

Usage Guidelines

route-map global 配置命令以及 match set 配置命令允许您定义将路由从一个路由协议重新分发到另一个路由协议的条件。每个 route-map 命令都有 match set 命令与其关联。 match 命令指定匹配条件 - 当前 route-map 命令允许重新分发的条件。 set 命令指定 set 操作 - 当满足 match 命令执行的条件时要执行的特定重新分发操作。 no route-map 命令可删除路由映射。

match route-map 配置命令具有多种格式。 match 命令可以按任意顺序给出,并且所有 match 命令必须“通过”,以便根据使用 set 命令给定的 set 操作重新分发路由。命令的 no match 形式可删除指定的匹配条件。

路由映射可包含多个部分。任何与 route-map 命令相关的至少一个 match 子句不匹配的路由都将被忽略。要仅修改部分数据,您必须配置第二个路由映射部分并指定显式匹配。

Examples

以下示例显示如何重新分发度量为 5 的路由:


ciscoasa(config)# route-map name
ciscoasa(config-route-map)# match metric 5

match mime

要配置 ESMTP MIME 编码类型、MIME 文件名长度或 MIME 文件类型的匹配条件,请在策略映射配置模式下使用 matchmime 命令。要禁用此功能,请使用此no 命令的形式。

match[ not] mime[ encoding类型| filenamelengthgtbytes| filetype正则表达式]

no match[ not] mime[ encoding类型| filenamelengthgtbytes| filetype正则表达式]

Syntax Description

编码类型

指定要匹配编码类型。

文件名长度 gt 字节数

指定要匹配的文件名长度。

文件类型正则表达式

指定要匹配的文件类型。

Command Default

无默认行为或值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

策略映射配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

7.2(1)

添加了此命令。

Examples

以下示例显示如何在 ESMTP 检测策略映射中为 MIME 文件名长度配置匹配条件:


ciscoasa
(config)#
 policy-map type inspect esmtp esmtp_map

ciscoasa (config-pmap)#matchmimefilenamelengthgt255

match msisdn

要为创建 PDP 情景请求、创建会话请求和修改承载响应消息中的 GTP 移动站国际用户目录编号 (MSISDN) 信息元素配置匹配条件,请在策略映射配置模式下使用 matchmsisdn 命令。要删除匹配条件,请使用此 no 命令的形式。

match[ not] msisdnregex{ regex_name| classclass_name}

no match[ not] msisdnregex{ regex_name| classclass_name}

Syntax Description

regex_name

正则表达式对象的名称。

class class_name

正则表达式类的名称。

Command Default

无默认行为或值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

策略映射配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

9.10(1)

引入了此命令。

Usage Guidelines

可以在 GTP 策略映射中配置此命令。

您可以在创建 PDP 情景请求中过滤移动站点国际订户目录号 (MSISDN) 信息元素。您可以根据特定 MSISDN 或 MSISDN 范围的前 x 位数丢弃或记录消息。可以使用正则表达式指定 MSISDN。MSISDN 过滤仅支持 GTPv1 和 GTPv2。

Examples

以下示例显示如何使用正则表达式对象配置 MSISDN 匹配条件。


ciscoasa(config)# policy-map type inspect gtp gtp-map
 
ciscoasa(config-pmap)# match msisdn regex msisdn1
 
ciscoasa(config-pmap-c)# drop log

以下示例显示如何使用正则表达式类配置 MSISDN 匹配条件。


ciscoasa(config)# policy-map type inspect gtp gtp-map
 
ciscoasa(config-pmap)# match msisdn regex class msisdn2
 
ciscoasa(config-pmap-c)# drop log

match opc

要为 M3UA 数据消息的始发点代码 (OPC) 配置匹配条件,请在策略映射配置模式下使用 matchopc 命令。要删除匹配条件,请使用此 no 命令的形式。

match[ not] opc代码

no match[ not] opc代码

Syntax Description

code

区域 -地区 -sp 格式的源点代码。

Command Default

M3UA 检测允许所有源点编码。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

策略映射配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

9.6(2)

添加了此命令。

Usage Guidelines

您可以在 M3UA 检测策略映射中配置此命令。可以根据始发点代码丢弃数据包。点代码采用 域-地 -sp 格式,其中每个元素的可能值取决于 SS7 变体。可以在策略映射中的 ss7variant 命令中定义变体。

  • ITU - 点代码为 14 位,格式为 3-8-3。值范围为 [0-7]-[0-255]-[0-7]。这是默认的 SS7 变量。

  • ANSI - 点代码为 24 位,格式为 8-8-8。值范围为 [0-255]-[0-255]-[0-255]。

  • Japan - 点代码为 16 位,格式为 5-4-7。值范围为 [0-31]-[0-15]-[0-127]。

  • China - 点代码为 24 位,格式为 8-8-8。值范围为 [0-255]-[0-255]-[0-255]。

Examples

以下示例显示如何为 ITU 配置特定始发点代码的匹配条件。


ciscoasa(config)# policy-map type inspect m3ua m3ua-map
ciscoasa(config-pmap)# match opc 1-5-1 
ciscoasa(config-pmap-c)# drop log 
ciscoasa(config-pmap-c)# parameters
ciscoasa(config-pmap-p)# ss7 variant ITU

match peer-ip-address

要为即时消息配置对等体 IP 地址的匹配条件,请在 class-map 或 policy-map 配置模式下使用 matchpeer-ip-address 命令。要删除匹配条件,请使用此 no 命令的形式。

match[ not] peer-ip-addressip_address ip_address_mask

no match[ not] peer-ip-addressip_address ip_address_mask

Syntax Description

ip_address

指定客户端或服务器的主机名或 IP 地址。

ip_address_mask

指定客户端或服务器 IP 地址的网络掩码。

Command Default

无默认行为或值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

类映射或策略映射配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

7.2(1)

添加了此命令。

Usage Guidelines

可以在 IM 类映射或策略映射中配置此命令。一个 IM 类映射中只能输入一个条目。

Examples

以下示例展示如何在即时消息类映射中配置对等体 IP 地址的匹配条件:


ciscoasa(config)# class-map type inspect im im_class
ciscoasa(config-cmap)# match peer-ip-address 10.1.1.0 255.255.255.0

match peer-login-name

要配置即时消息的对等体登录名匹配条件,请在 class-map 或 policy-map 配置模式下使用 matchpeer-login-name 命令。要删除匹配条件,请使用此 no 命令的形式。

match[ not] peer-login-nameregex[ regex_name| classregex_class_name]

no match[ not] peer-login-nameregex[ regex_name| classregex_class_name]

Syntax Description

正则表达式名称

指定正则表达式。

class regex_class_name

指定正则表达式类映射。

Command Default

无默认行为或值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

类映射或策略映射配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

7.2(1)

添加了此命令。

Usage Guidelines

可以在 IM 类映射或策略映射中配置此命令。一个 IM 类映射中只能输入一个条目。

Examples

以下示例展示如何在即时消息类映射中配置对等体登录名的匹配条件:


ciscoasa(config)# class-map type inspect im im_class
ciscoasa(config-cmap)# match peer-login-name regex peerlogin

match port

使用模块化策略框架时,在类映射配置模式下使用 matchport 命令匹配要应用操作的端口。要删除该 matchport 命令,请使用此命 no 令的形式。

matchport{ tcp| udp| sctp} { eqport| rangebeg_portend_port}

no matchport{ tcp| udp| sctp} { eqport| rangebeg_portend_port}

Syntax Description

eq 端口

指定单个端口名称或编号。

range 请求端口 结束端口

指定介于 1 和 65535 之间的开始和结束端口范围值。

tcp

指定 TCP 端口。

sctp

指定 SCTP 端口。

udp

指定 UDP 端口。

Command Default

无默认行为或值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

类映射配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

7.0(1)

添加了此命令。

9.7(1)

添加了 sctp 关键字。

Usage Guidelines

配置模块化策略框架包括四项任务:

  1. 标识要使用class-map class-maptypemanagement 命令应用操作的第 3 层和第 4 层流量。

输入 class-map 命令后,您可以输入 matchport 命令来标识流量。或者,您也可以输入其他类型的 match 命令,例如matchaccess-list 命令( class-maptypemanagement 命令仅允许 match port 命令)。类映射中只能包含一个 match port 命令,且不能将其与其他类型的 match 命令组合使用。

  1. (仅限应用检测)使用 policy-maptypeinspect 命令定义应用检测流量的特殊操作。

  2. 使用 policy-map 命令对第 3 层和第 4 层流量应用操作。

  3. 使用 service-policy 命令在接口上激活这些操作。

Examples

以下示例显示如何使用类映射和 matchport 命令定义流量类:


ciscoasa(config)# class-map cmap
ciscoasa(config-cmap)# match port tcp eq 8080

match ppid

要配置 SCTP 检测的负载协议标识符 (PPID) 的匹配条件,请在检测策略映射配置模式下使用 matchppid 命令。要删除匹配条件,请使用此 no 命令的形式。

match[ not] ppidppid_1[ ppid_2]

no match[ not] ppidppid_1[ ppid_2]

Syntax Description

ppid_1 [ppid_2 ]

指定 SCTP PPID,可以通过 PPID 编号 (0-4294967295) 或名称 (有关可用名称,请参阅 CLI 帮助) 指定。您可以包含第二个(更高)PPID 来指定范围。

Command Default

无默认行为或值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

检测策略映射配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

9.5(2)

添加了此命令。

Usage Guidelines

可以在 SCTP 检查策略映射中配置此命令。使用它来过滤 PPID,以对这些 ID 应用特殊操作,例如丢弃、记录日志或速率限制。

如果决定对 PPID 进行过滤,请记住以下几点:

  • PPID 位于数据块中,给定的数据包可以有多个数据块。如果数据包包含具有不同 PPID 的数据分块,系统不会过滤该数据包,且不会将分配的操作应用于该数据包。

  • 如果使用 PPID 过滤来丢弃数据包或限制数据包速率,请注意发射器会重新发送被丢弃的任何数据包。虽然下次尝试时可能会让 PPID 速率受限制的数据包通过,但 PPID 丢弃的数据包仍会被丢弃。您可能需要评估网络中反复出现这些丢弃所带来的最终结果。

Examples

以下示例创建了一个 SCTP 检查策略图,它将删除未分配的 PPID(在编写此示例时未分配),限制 PPID 32-40 的速率,并记录 Diameter PPID。


policy-map type inspect sctp sctp-pmap
 match ppid 58 4294967295
  drop
 match ppid 26
  drop
 match ppid 49
  drop
 match ppid 32 40
  rate-limit 1000
 match ppid diameter
  log

匹配优先级

如要在类映射中指定优先级值,请在 class-map 配置模式下使用 matchprecedence 命令。要删除此规范,请使用此 no 命令的形式。

matchprecedence

nomatchprecedence

Syntax Description

value

指定以空格分隔的最多四个优先级值。范围为 0 至 7。

Command Default

无默认行为或值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

类映射配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

7.0(1)

添加了此命令。

Usage Guidelines

match 命令用于标识类映射的流量类中包含的流量。它们包括用于定义类映射中包含的流量的不同条件。在使用模块化策略框架配置安全功能的过程中,使用 class-map 全局配置命令定义流量类。在 class-map 配置模式下,可以使用 match 命令定义要包含在类中的流量。

流量类应用于接口之后,会将该接口上接收的数据包与类映射中的 match 语句定义的条件进行比较。如果数据包符合指定的条件,则会包含在该流量类中,并且会承担与该流量类关联的所有操作。不匹配任何流量类别中的任何条件的数据包被分配到默认流量类别。

使用 matchprecedence 命令指定 IP 报头中的 TOS 字节表示的值。

Examples

以下示例显示如何使用类映射和 matchprecedence 命令定义流量类:


ciscoasa(config)# class-map cmap
ciscoasa(config-cmap)# matchprecedence 1
ciscoasa(config-cmap)# 

match protocol

要为特定即时消息协议(如 MSN 或 Yahoo)配置匹配条件,请在 class-map 或 policy-map 配置模式下使用 matchprotocol 命令。要删除匹配条件,请使用此 no 命令的形式。

match[ not] protocol{ msn-im| yahoo-im}

no match[ not] protocol{ msn-im| yahoo-im}

Syntax Description

msn-im

指定 以匹配 MSN 即时消息协议。

yahoo IM

指定以匹配 Yahoo 即时消息协议。

Command Default

无默认行为或值。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

类映射或策略映射配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

7.2(1)

添加了此命令。

Usage Guidelines

可以在 IM 类映射或策略映射中配置此命令。一个 IM 类映射中只能输入一个条目。

Examples

以下示例显示如何在即时消息类映射中配置 Yahoo 即时消息协议的匹配条件:


ciscoasa(config)# class-map type inspect im im_class
ciscoasa(config-cmap)# match protocol yahoo-im

match question

要为 DNS 问题或资源记录配置匹配条件,请在 class-map 或 policy-map 配置模式下使用 matchquestion 命令。要删除已配置的部分,请使用no 此命令的形式。

match{ question| { resource-recordanswer| authority| additional} }

no match{ question| { resource-recordanswer| authority| additional} }

Syntax Description

问题

指定 DNS 消息的问题部分。

资源记录

指定 DNS 消息的资源记录部分。

应答

指定“应答 RR”部分。

权威

指定“颁发机构 RR”部分。

补充

指定“其他 RR”部分。

Command Default

此命令默认禁用。

Command Modes

下表展示可输入命令的模式:

命令模式

防火墙模式

安全情景

路由

透明

一个

多个

情景

系统

类映射或策略映射配置

  • 支持

  • 支持

  • 支持

Command History

版本

修改

7.2(1)

添加了此命令。

Usage Guidelines

默认情况下,此命令检查 DNS 报头并匹配指定的字段。它可与其他 DNS 匹配命令结合使用,以定义对特定问题或 RR 类型的检测。

可以在 DNS 类映射或策略映射内配置此命令。在 DNS 类映射中只能输入一个条目。

Examples

以下示例显示如何为 DNS 检测策略映射中的 DNS 问题配置匹配条件:


ciscoasa(config)# policy-map type inspect dns preset_dns_map
ciscoasa(config-pmap)# match question