Maybaygiare.org

Blog Network

Cisco CCNA-Extended Access Lists-Configuration & Placement

Een Extended ACL wordt aangemaakt met het access-list commando en vervolgens toegepast op de interface met het access-group Commando. Standard ACL syntax and description are shown below

Ciscoasa(config)# access-list access-list-number {deny | permit} protocol source-address

destination-address

Syntax Description

access-list-number

Identifies an access list by number as a standard or extended list.

staat ook het aanmaken en scheiden van meerdere toegangslijsten toe.

deny

weigert toegang als de Voorwaarden overeenkomen.

permit

staat toegang toe als aan de Voorwaarden wordt voldaan.

Protocol

naam of nummer van een internetprotocol zoals IP, TCP, UDP, EIGRP, OSPF etc

bron

specificeert het IP-adres/netwerk dat overeenkomt met het bron-IP-adres van het pakket. Gebruik het trefwoord als een afkorting voor een bron en bron-joker van 0.0.0.0 255.255.255.255.

bron-wildcard

(Optioneel) Wildcard bits worden toegepast op de bron

bestemming

hiermee Geeft u het IP-adres/netwerk aan te passen op de bestemming IP adres van het Pakket. Gebruik het trefwoord als een afkorting voor een bestemming en bestemming-joker van 0.0.0.0 255.255.255.255.

bestemming-wildcard

(Optioneel) Wildcard bits worden toegepast op de bestemming

log

de Oorzaken van een informatieve loggen bericht over het pakket dat overeenkomt met de post worden verzonden naar de console.

Log-input

(optioneel) bevat de invoerinterface en bron MAC-adres of VC in de loguitvoer.

In Cisco IOS kunnen de uitgebreide ACL ‘ s nummers hebben tussen 100-199 en 2000-2699. Uitgebreide ACL ‘ s moeten worden toegepast dicht bij de bron van de pakketten, zodat een pakket wordt geweigerd in de buurt van de bron om router bronnen en bandbreedte te besparen in plaats van dat het wordt doorgestuurd dicht bij de bestemming en uiteindelijk wordt geweigerd. We zullen het netwerk in onderstaande figuur gebruiken om dit concept uit te leggen.

onze taak is om het netwerk zo in te stellen dat host 20.1.1.2 geen toegang heeft tot 10.1.1.2, Eerst zullen we een access-list aanmaken zoals hieronder getoond

Ciscoasa(config)# access-list 101 deny ip host 20.1.1.2 host 10.1.1.2

ciscoasa(config)# access-list 101 permit ip any

en dan zullen we deze access-list toepassen op een interface die inkomende pakketten zal verwerken en als er match is zal het de pakketten laten vallen. Omdat uitgebreide ACL ‘ s bevatten genoeg informatie om goed overeen te komen met het juiste pakket wanneer kan ze overal in het netwerk te plaatsen, maar het gezond verstand dicteren ons om ze dicht bij de bron voor efficiëntie, als ze ver van de bron zal onnodig verbruiken netwerkbronnen.

Configuratievoorbeelden

dit voorbeeld richt zich op toepassingen van uitgebreide ACL ‘ s. We zullen het netwerk in de figuur hierboven gebruiken om verschillende configuratievoorbeelden van Extended ACLs uit te leggen. Eerst en vooral zullen we een uitgebreide ACL gebruiken om host 1 te beperken tot toegang tot de FTP Server met IP adres 20.1.1.10 aangesloten op LAN op R5 E0 / 0 interface.

R1(config)# access-list 101 deny tcp host 10.1.1.2 host 20.1.1.10 EQ FTP

R1(config)# access-list 101 permit ip any

R1(config)# interface ethernet0/0

R1(config)# access-group 101 in

de hierboven getoonde configuratie configureert R1 om FTP-pakketten te beperken die afkomstig zijn van host 10.1.1.2 en bestemd zijn naar de FTP server 20.1.1.10 en alle andere communicatie toestaan.

er zijn ook verschillende andere voorbeelden van Extended ACL ‘ s vanwege hun vermogen om meerdere velden van een pakket te matchen. We kunnen bijvoorbeeld een ACL op R1 configureren om host 10.1.1.2 volledig te weigeren en zo het te isoleren van het volledige internetwerk.

R1(config)# access-list 110 deny ip host 10.1.1.2 any

R1(config)# access-list 110 permit ip any

R1(config)# interface ethernet0/0

R1(config)# access-group 101 in

de hierboven getoonde configuratie configureert R1 om alle pakketten die afkomstig zijn van host 10.1.1.2 te beperken en alle andere communicatie toe te staan, waarbij de host wordt geïsoleerd van de internetwerk.

Dit brengt ons bij het einde van deze les waarin we uitgebreide ACL ’s behandeld, is het erg belangrijk dat we zowel de theoretische als praktische kennis van uitgebreide ACL’ s hebben om het onderwerp onder de knie te krijgen.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.