Maybaygiare.org

Blog Network

Cisco CCNA-Extended Access Lists-Configuration & Placement

un ACL extins este creat cu comanda access-list și apoi aplicat interfeței utilizând comanda access-group. Standard ACL syntax and description are shown below

Ciscoasa(config)# access-list access-list-number {deny | permit} protocol source-address

destination-address

Syntax Description

access-list-number

Identifies an access list by number as a standard or extended list.

permite, de asemenea, crearea și separarea listelor de acces multiple.

refuză

refuză accesul dacă condițiile sunt potrivite.

permis

permite accesul dacă condițiile sunt potrivite.

Protocol

numele sau numărul unui Protocol de Internet, cum ar fi IP, TCP, UDP, EIGRP, OSPF etc

sursa

specifică adresa IP / rețeaua care se potrivește cu adresa IP sursă a pachetului. Utilizați orice cuvânt cheie ca o abreviere pentru o sursă și sursă-wildcard de 0.0.0.0 255.255.255.255.

sursă-wildcard

(opțional) biți Wildcard care trebuie aplicați sursei

destinație

specifică adresa IP / rețeaua care se potrivește cu adresa IP de destinație a pachetului. Utilizați orice cuvânt cheie ca o abreviere pentru o destinație și destinație-wildcard de 0.0.0.0 255.255.255.255.

destinație-wildcard

(opțional) biți Wildcard pentru a fi aplicate la destinație

log

provoacă un mesaj de logare informațional despre pachetul care se potrivește cu intrarea care urmează să fie trimis la consola.

Log-input

(opțional) include interfața de intrare și adresa sursă MAC sau VC în ieșirea de logare.

în Cisco IOS ACL-urile extinse pot avea numere în intervalul 100-199 și 2000-2699. ACL-urile extinse ar trebui aplicate aproape de sursa pachetelor, astfel încât un pachet să fie refuzat în apropierea sursei pentru a economisi resursele routerului și lățimea de bandă, mai degrabă decât să fie redirecționat aproape de destinație și, în cele din urmă, să fie refuzat. Vom folosi rețeaua descrisă în figura de mai jos pentru a explica acest concept.

sarcina noastră este să configurăm rețeaua astfel încât gazda 20.1.1.2 să nu poată accesa 10.1.1.2, mai întâi vom crea o listă de acces așa cum se arată mai jos

Ciscoasa(config)# access-list 101 deny IP host 20.1.1.2 host 10.1.1.2

Ciscoasa(config)# access-list 101 permite IP orice orice

și apoi vom aplica această listă de acces la o interfață care va procesa pachetele primite și dacă există meci va scadea pachetele. Deoarece ACL-urile extinse includ suficiente informații pentru a se potrivi corect pachetului potrivit atunci când le pot plasa oriunde în rețea, dar bunul simț ne dictează să le plasăm aproape de sursă pentru eficiență, deoarece plasarea lor departe de sursă va consuma inutil resurse de rețea.

Exemple de configurare

acest exemplu se concentrează pe aplicațiile ACL-urilor extinse. Vom folosi rețeaua din figura de mai sus pentru a explica diverse exemple de configurare a ACL-urilor extinse. În primul rând, vom folosi un ACL extins pentru a restricționa gazda 1 pentru a accesa serverul FTP cu adresa IP 20.1.1.10 conectat la LAN pe interfața R5 E0/0.

R1(config)# access-list 101 deny tcp host 10.1.1.2 host 20.1.1.10 EQ FTP

R1(config)# access-list 101 permite ip orice orice

R1(config)# interface ethernet0/0

R1(config)# access-group 101 în

configurația prezentată mai sus configurează R1 la restricționați pachetele FTP provenite de la gazda 10.1.1.2 și destinate serverului ftp 20.1.1.10 și permiteți toate celelalte comunicări.

există și alte câteva exemple de ACL-uri extinse datorită capacității lor de a potrivi Mai multe câmpuri ale unui pachet. De exemplu, putem configura un ACL pe R1 pentru a refuza complet gazda 10.1.1.2, izolându-l astfel de internetul complet.

R1(config)# access-list 110 deny IP host 10.1.1.2 any

R1(config)# access-list 110 allow IP any any

R1(config)# interface ethernet0/0

R1(config)# access-group 101 în

configurația prezentată mai sus configurează R1 pentru a restricționa orice pachete provenite de la gazdă 10.1.1.2 și să permită toate celelalte comunicații, izolând astfel gazda de internet.

Acest lucru ne aduce la sfârșitul acestei lecții în care am acoperit ACL-uri extinse, este foarte important ca amândoi să avem cunoștințele teoretice și practice ale ACL-urilor extinse pentru a stăpâni subiectul.

Lasă un răspuns

Adresa ta de email nu va fi publicată.