Maybaygiare.org

Blog Network

Cisco CCNA-Extended Access Lists-Configuration & Placement

laajennettu ACL luodaan access-list-komennolla, jonka jälkeen sitä sovelletaan käyttöliittymään access-group-komennolla. Standard ACL syntax and description are shown below

Ciscoasa(config)# access-list access-list-number {deny | permit} protocol source-address

destination-address

Syntax Description

access-list-number

Identifies an access list by number as a standard or extended list.

mahdollistaa myös useiden käyttöoikeuslistojen luomisen ja erottamisen.

deny

estää pääsyn, jos ehdot täsmäävät.

permit

sallii pääsyn, jos ehdot täsmäävät.

protokolla

Internet-protokollan nimi tai numero, kuten IP, TCP, UDP, EIGRP, OSPF jne

Source

määrittää IP-osoitteen/verkon vastaamaan paketin lähde-IP-osoitetta. Käytä mikä tahansa avainsana lyhenne lähde ja lähde-jokerimerkki 0.0.0.0 255.255.255.255.

source-jokerimerkki

(valinnainen) lähteeseen sovellettava jokerimerkki

määränpää

määrittää IP-osoitteen/verkon vastaamaan paketin määränpään IP-osoitetta. Käytä mikä tahansa avainsana lyhenteenä kohde ja määränpää-jokerimerkki 0.0.0.0 255.255.255.255.

määränpää-jokerimerkki

(valinnainen) määränpäähän sovellettava jokerimerkki

log

aiheuttaa konsolille lähetettävää merkintää vastaavan lokiviestin paketista.

Log-input

(valinnainen) Sisältää syöttöliittymän ja lähdemak-osoitteen tai VC: n kirjaustuloksessa.

Cisco IOS: ssä laajennetuilla ACL: llä voi olla numeroita välillä 100-199 ja 2000-2699. Laajennettu ACLs olisi sovellettava lähellä lähdettä pakettien niin, että paketti on evätty lähellä lähdettä säästää reitittimen resursseja ja kaistanleveyttä sen jälkeen se välitetään lähellä kohdetta ja lopulta evätään. Käytämme alla olevassa kuvassa kuvattua verkkoa tämän käsitteen selittämiseen.

tehtävämme on konfiguroida verkko niin, että isäntä 20.1.1.2 ei pääse 10.1.1: een.2, ensin luodaan käyttöoikeuslista kuten alla on esitetty

Ciscoasa(config)# access-list 101 deny ip host 20.1.1.2 host 10.1.1.2

Ciscoasa(config)# access-list 101 permit ip any any

ja sitten käytämme tätä access-lista käyttöliittymä, joka käsittelee saapuvat paketit ja jos on ottelu se pudottaa paketteja. Koska laajennettu ACLs sisältävät tarpeeksi tietoa oikein vastaamaan oikea paketti, kun voi sijoittaa ne missä tahansa verkossa, mutta terve järki sanelee meille sijoittaa ne lähelle lähdettä tehokkuuden, koska sijoittamalla ne kaukana lähteestä tarpeettomasti kuluttaa verkon resursseja.

Konfiguraatioesimerkit

tässä esimerkissä keskitytään laajennettujen ACL-järjestelmien sovelluksiin. Käytämme yllä olevassa kuvassa olevaa verkkoa selittämään erilaisia konfiguraatioesimerkkejä laajennetuista ACLs: stä. Ennen kaikkea käytämme laajennettua ACL rajoittaa isäntä 1 käyttää FTP-palvelimen IP-osoite 20.1.1.10 liitettynä lähiverkkoon R5 E0 / 0-liitännällä.

r1(config)# access-list 101 deny tcp host 10.1.1.2 host 20.1.1.10 eq FTP

r1(config)# access-list 101 permit ip any any

r1(config)# interface ethernet0/0

R1(config)# access-group 101 in

edellä esitetty konfiguraatio määrittää R1 rajoita FTP-paketteja, jotka on hankittu isännästä 10.1.1.2 ja tarkoitettu FTP-palvelimelle 20.1.1.10, ja salli kaikki muu viestintä.

on myös useita muita esimerkkejä laajennetuista ACL: istä, koska ne pystyvät vastaamaan useita paketin kenttiä. Voimme esimerkiksi määrittää ACL R1 kieltää isäntä 10.1.1.2 kokonaan eristämällä sen koko Internetverkosta.

r1 (config)# access-list 110 deny ip host 10.1.1.2 any

r1(config)# access-list 110 permit ip any any any

r1(config)# interface ethernet0/0

r1(config)# access-group 101 in

edellä esitetty kokoonpano määrittää R1: n rajoittamaan isäntäkoneesta hankittuja paketteja 10.1.1.2 ja mahdollistavat kaiken muun viestinnän siten, että isäntä eristetään Internetverkosta.

Tämä tuo meidät tämän oppitunnin loppuun, jossa käsittelimme laajennettua ACL: ää, on erittäin tärkeää, että meillä molemmilla on laajennetun ACL: n teoreettinen ja käytännön tuntemus aiheen hallitsemiseksi.

Vastaa

Sähköpostiosoitettasi ei julkaista.