Maybaygiare.org

Blog Network

Cisco CCNA-udvidede adgangslister-konfiguration og placering

en udvidet ACL oprettes med kommandoen access-list og anvendes derefter på grænsefladen ved hjælp af kommandoen access-group. Standard ACL syntax and description are shown below

Ciscoasa(config)# access-list access-list-number {deny | permit} protocol source-address

destination-address

Syntax Description

access-list-number

Identifies an access list by number as a standard or extended list.

tillader også oprettelse og adskillelse af flere adgangslister.

Afvis

nægter adgang, hvis betingelserne matches.

tilladelse

tillader adgang, hvis betingelserne matches.

protokol

navn eller nummer på en internetprotokol sådan IP, TCP, UDP, EIGRP, OSPF osv

kilde

angiver IP-adressen/netværket, der skal matche på pakkenes kilde-IP-adresse. Brug et hvilket som helst søgeord som en forkortelse for en kilde og kilde-jokertegn på 0.0.0.0 255.255.255.255.

kilde-jokertegn

(Valgfrit) jokertegn bits, der skal anvendes til kilden

destination

angiver IP-adressen/netværket, der skal matche pakkens destinations-IP-adresse. Brug alle søgeord som en forkortelse for en destination og destination-jokertegn på 0.0.0.0 255.255.255.255.

destination-jokertegn

(Valgfrit) jokertegn bits, der skal anvendes til destinationen

log

forårsager en informativ logbesked om pakken, der matcher posten, der skal sendes til konsollen.

Log-input

(Valgfrit) inkluderer input interface og kilde MAC-adresse eller VC i logning output.

i Cisco IOS kan de udvidede ACL ‘ ER have tal i området 100-199 og 2000-2699. Udvidede ACL ‘ ER skal anvendes tæt på kilden til pakkerne, så en pakke nægtes nær kilden for at spare routerressourcer og båndbredde snarere end at den videresendes tæt på destinationen og til sidst nægtes. Vi vil bruge netværket afbildet i figur nedenfor til at forklare dette koncept.

vores opgave er at konfigurere netværket sådan, at vært 20.1.1.2 ikke kan få adgang til 10.1.1.2, først opretter vi en adgangsliste som vist nedenfor

Ciscoasa(config)# access-list 101 deny ip host 20.1.1.2 host 10.1.1.2

Ciscoasa(config)# access-list 101 Tillad ip enhver enhver

og så vil vi anvende denne adgangsliste til en grænseflade, der behandler indgående pakker, og hvis der er match, falder pakkerne. Da udvidede ACL ‘ ER indeholder nok information til korrekt at matche den rigtige pakke, når de kan placere dem hvor som helst i netværket, men sund fornuft dikterer os at placere dem tæt på kilden for effektivitet, da placering af dem langt fra kilden unødigt vil forbruge netværksressourcer.

Konfigurationseksempler

dette eksempel fokuserer på applikationer af udvidede ACL ‘ er. Vi bruger netværket i figuren ovenfor til at forklare forskellige konfigurationseksempler på udvidede ACL ‘ er. Først og fremmest bruger vi en udvidet ACL til at begrænse vært 1 For at få adgang til FTP-serveren med IP-adresse 20.1.1.10 tilsluttet LAN på R5 E0/0 interface.

R1(config)# access-list 101 Afvis tcp host 10.1.1.2 host 20.1.1.10 ek FTP

R1(config)# access-list 101 Tillad ip enhver

R1(config)# interface ethernet0/0

R1(config)# access-group 101 i

konfigurationen vist ovenfor konfigurerer R1 til begræns FTP-pakker hentet fra host 10.1.1.2 og bestemt til FTP-serveren 20.1.1.10 og tillade al anden kommunikation.

Der er også flere andre eksempler på udvidede ACL ‘ er på grund af deres evne til at matche flere felter i en pakke. For eksempel kan vi konfigurere en ACL på R1 til fuldstændigt at nægte vært 10.1.1.2 og derved isolere den fra det komplette internetværk.

R1(config)# access-list 110 Afvis ip-vært 10.1.1.2 enhver

R1(config)# access-list 110 Tillad ip enhver

R1(config)# interface ethernet0/0

R1(config)# access-group 101 i

konfigurationen vist ovenfor konfigurerer R1 til at begrænse alle pakker, der stammer fra værten 10.1.1.2 og tillade al anden kommunikation derved isolere værten fra internetværket.

dette bringer os til slutningen af denne lektion, hvor vi dækkede udvidede ACL ‘er, det er meget vigtigt, at vi begge har den teoretiske og praktiske viden om udvidede ACL’ er til at mestre emnet.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.