Maybaygiare.org

Blog Network

Cisco CCNA-Extended Access list-Configuration & Placement

egy kiterjesztett ACL jön létre az access-list paranccsal, majd alkalmazzák az interfészre az access-group paranccsal. Standard ACL syntax and description are shown below

Ciscoasa(config)# access-list access-list-number {deny | permit} protocol source-address

destination-address

Syntax Description

access-list-number

Identifies an access list by number as a standard or extended list. a

Több hozzáférési lista létrehozását és elválasztását is lehetővé teszi.

deny

megtagadja a hozzáférést, ha a feltételek megegyeznek.

engedély

hozzáférést engedélyez, ha a feltételek megfelelnek.

protokoll

egy internetes protokoll neve vagy száma, például IP, TCP, UDP, EIGRP, OSPF stb

source

megadja a csomag forrás IP-címének megfelelő IP-címet/hálózatot. Használja az any kulcsszót a forrás és a forrás-helyettesítő karakter rövidítéseként 0.0.0.0 255.255.255.255.

forrás-helyettesítő

(opcionális) helyettesítő karakterek, amelyeket a forrásra kell alkalmazni

destination

megadja a csomag cél IP-címének megfelelő IP-címet/hálózatot. Használja az any kulcsszót a 0.0.0.0 255.255.255.255.

destination-wildcard

(opcionális) helyettesítő karakterek, amelyeket a rendeltetési helyre kell alkalmazni

log

információs naplózási üzenetet küld a csomagról, amely megfelel a konzolra küldendő bejegyzésnek.

Log-input

(opcionális) tartalmazza a bemeneti interfészt és a forrás MAC-címet vagy VC-t a naplózási kimenetben.

A Cisco IOS rendszerben a kiterjesztett ACL-ek száma 100-199 és 2000-2699 lehet. A kiterjesztett ACL-eket a csomagok forrásához közel kell alkalmazni, hogy a csomagot a forrás közelében elutasítsák, hogy az útválasztó erőforrásait és sávszélességét megtakarítsák, ahelyett, hogy a célhoz közel továbbítanák, és végül megtagadnák. Az alábbi ábrán bemutatott hálózatot fogjuk használni ennek a koncepciónak a magyarázatához.

feladatunk a hálózat konfigurálása úgy, hogy a 20.1.1.2 gazdagép ne férhessen hozzá a 10.1.1-hez.2, először létrehozunk egy hozzáférési listát az alábbiak szerint

Ciscoasa(config)# access-list 101 IP host megtagadása 20.1.1.2 host 10.1.1.2

Ciscoasa(config)# access-list 101 engedély IP bármilyen

ezután ezt a hozzáférési listát alkalmazzuk egy interfészre, amely feldolgozza a bejövő csomagokat, és ha van egyezés, akkor eldobja a csomagokat. Mivel a kiterjesztett ACL-ek elegendő információt tartalmaznak ahhoz, hogy megfelelően illeszkedjenek a megfelelő csomaghoz, amikor bárhol elhelyezhetik őket a hálózatban, de a józan ész azt diktálja, hogy a hatékonyság érdekében a forrás közelében helyezzük el őket, mivel a forrástól távol helyezve feleslegesen fogyasztja a hálózati erőforrásokat.

konfigurációs példák

Ez a példa a kiterjesztett ACL-ek alkalmazásaira összpontosít. A fenti ábrán látható hálózatot fogjuk használni a kiterjesztett ACL-ek különféle konfigurációs példáinak magyarázatára. Először is egy kiterjesztett ACL-t fogunk használni, hogy korlátozzuk az 1-es gazdagépet az 20.1.1 IP-címmel rendelkező FTP-kiszolgáló eléréséhez.10 LAN-hoz csatlakoztatva az R5 E0 / 0 interfészen.

R1(config)# access-list 101 TCP host megtagadása 10.1.1.2 host 20.1.1.10 EQ FTP

R1(config)# access-list 101 engedély IP bármilyen

R1(config)# interface ethernet0/0

R1(config)# access-group 101 in

a fenti konfiguráció konfigurálja az R1-et bármilyen

korlátozza a host 10.1.1.2-ből származó és a 20.1.1.10 FTP-kiszolgálóra szánt FTP-csomagokat, és engedélyezze az összes többi kommunikációt.

számos más példa is van a kiterjesztett ACL – ekre, mivel képesek egyeztetni a csomag több mezőjét. Például konfigurálhatunk egy ACL-t az R1-en, hogy teljesen megtagadja a 10.1.1.2 gazdagépet, ezáltal elkülönítve azt a teljes internetes hálózattól.

R1(config)# access-list 110 deny ip host 10.1.1.2 any

R1(config)# access-list 110 engedély IP bármilyen

R1(config)# interface ethernet0/0

R1(config)# access-group 101 in

a fenti konfiguráció konfigurálja az R1-et, hogy korlátozza a host-ból származó csomagokat 10.1.1.2.lehetővé teszi az összes többi kommunikációt, ezáltal elszigetelve a gazdagépet az internethálózattól.

Ez elvezet minket a lecke végére, amelyben kiterjedt ACL-eket tárgyaltunk, nagyon fontos, hogy mindketten rendelkezzünk a kiterjesztett ACL-ek elméleti és gyakorlati ismereteivel a téma elsajátításához.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.