Maybaygiare.org

Blog Network

Cisco CCNA – Rozšířené Přístupové Seznamy – Konfigurace A Umístění

Rozšířené ACL je vytvořen s access-list příkaz a pak se aplikuje na rozhraní pomocí access-group příkaz. Standard ACL syntax and description are shown below

Ciscoasa(config)# access-list access-list-number {deny | permit} protocol source-address

destination-address

Syntax Description

access-list-number

Identifies an access list by number as a standard or extended list.

také umožňuje vytvoření a oddělení více přístupových seznamů.

popřít,

Odepře přístup, pokud jsou podmínky uzavřeno.

povolení

Umožňuje přístup pokud jsou podmínky uzavřeno.

Protokol

Jméno nebo Číslo Internetového Protokolu, jako IP, TCP, UDP, EIGRP, OSPF atd.

zdroj

Určuje adresu IP/sítě, aby odpovídaly na zdrojovou IP adresu Paketu. Použijte libovolné klíčové slovo jako zkratku pro zdroj a zdroj-zástupný znak 0.0.0.0 255.255.255.255.

zdroj-wildcard

(Volitelné) Zástupné bitů, které mají být aplikovány na zdroj

cíl

Určuje adresu IP/sítě, aby odpovídaly na cílové IP adresy Paketu. Použijte libovolné klíčové slovo jako zkratku pro cíl a cíl-zástupný znak 0.0.0.0 255.255.255.255.

určení-wildcard

(Volitelné) Zástupné bitů, které mají být použity k určení

přihlaste se

Způsobuje informační protokolování zprávu o paket, který odpovídá vstupu, který bude odeslán do konzoly.

Protokol-vstup

(Volitelné) Zahrnuje vstupní rozhraní a zdrojové MAC adresy nebo VC v výstup protokolování.

V Cisco IOS Rozšířené Acl mohou mít čísla v rozmezí 100-199 a 2000-2699. Extended Acl by měl být aplikován v blízkosti zdroj pakety tak, že paket je odmítnut v blízkosti zdroje ušetřit router zdroje a šířku pásma, spíše pak předávány blízko k cíli a nakonec byl zamítnut. K vysvětlení tohoto konceptu použijeme síť znázorněnou na obrázku níže.

naším úkolem je nakonfigurovat síť tak, aby hostitel 20.1.1.2 neměl přístup k 10.1.1.2, první vytvoříme access-list, jak je uvedeno níže.

Ciscoasa(config)# access-list 101 deny ip host 20.1.1.2 hostitele 10.1.1.2

Ciscoasa(config)# access-list 101 permit ip jakékoliv

a pak budeme aplikovat tento seznam přístupu k rozhraní, které bude zpracovávat příchozí pakety a pokud je zápas to bude drop pakety. Od Extended Acl obsahovat dostatek informací, aby správně odpovídaly správné paketu, když můžete umístit kdekoliv v síti, ale zdravý rozum diktovat nám umístit je v blízkosti zdroj pro účinnost, jako jejich umístění daleko od zdroje bude zbytečně spotřebovávají zdroje sítě.

příklady konfigurace

tento příklad se zaměřuje na aplikace rozšířených ACL. Síť použijeme na obrázku výše k vysvětlení různých konfiguračních příkladů rozšířených ACL. V první řadě použijeme rozšířenou ACL k omezení hostitele 1 pro přístup k FTP serveru s IP adresou 20.1.1.10 připojeno k síti LAN na rozhraní R5 E0/0.

R1(config)# access-list 101 deny tcp host 10.1.1.2 hostitele 20.1.1.10 eq FTP

R1(config)# access-list 101 permit ip jakékoliv

R1(config)# interface ethernet0/0

R1(config)# access-group 101

konfigurační uvedeno výše konfiguruje R1 omezit FTP pakety pocházejí z hostitele 10.1.1.2 a předurčen k FTP Serveru 20.1.1.10 a nechte všechny ostatní komunikace.

existuje také několik dalších příkladů rozšířených ACL kvůli jejich schopnosti porovnávat více polí paketu. Například můžeme nastavit ACL na R1 zcela popřít hostitele 10.1.1.2 tím, izolovat ji od úplného propojení sítí.

R1(config)# access-list 110 deny ip host 10.1.1.2 nějaké

R1(config)# access-list 110 permit ip jakékoliv

R1(config)# interface ethernet0/0

R1(config)# access-group 101

konfigurační uvedeno výše konfiguruje R1 omezit všechny pakety pocházejí z hostitele 10.1.1.2 a nechte všechny ostatní komunikace čímž izolace hostitele z internetwork.

To nás přivádí ke konci této lekce, ve které jsme se vztahuje Rozšířené Acl, je velmi důležité, že oba mají teoretické a praktické znalosti Rozšířené Acl pro zvládnutí tématu.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.