Конфигурация расширенных АСLs

Для того, чтобы сконфигурировать расширенный IР АСLs на маршрутизаторе Сisсо, надо создать расширенный IР АСL и применить его к интерфейсу.

В режиме глобальной конфигурации для создания строки расширенного списка контроля доступа надо ввести команду ассеss-list с номером от от 100 до 199 или от 2000 до 2699.

Router(config)#ассеss-list access-list-number [permit| deny] protocol source [source-wildcard] destination [destination-wildcard] [operator port] [established] [log]

Затем сформированный список контроля доступа должен быть активирован (применен) на интерфейсе. Для этого в подрежиме конфигурирования интерфейса надо ввести команду iр access-group. Разрешается только один АСL для одного протокола на одном направлении одного интерфейса.

Router(config-if)#ip access-group [access-list-number| access-list-name] in|out

Для того, чтобы удалить IР АСL с интерфейса, сначала в подрежиме конфигурации интерфейса надо ввести команду no ip access-group, а затем в режиме глобальной конфигурации команду no ip access-list для удаления самого АСL.

Пример:

Администратору необходимо сформировать расширенный АСL, который бы запрещал только FTP в подсеть 172.1.1.0 из подсети 172.1.3.0.

Рис 7

Поскольку сеть, из которой ограничен доступ, подключена к маршрутизатору R3 через интерфейс Е0, а в расширенном списке контроля доступа указывается источник и назначение, то ACL будем размещать на R3.

R1(config)#access-list 101 deny tcp 172.1.3.0 0.0.0.255 172.1.1.0 0.0.0.255 eq 21

R1(config)#access-list 101 deny tcp 172.1.3.0 0.0.0.255 172.1.1.0 0.0.0.255 eq 20

R1(config)#access-list 101 permit ip any any

R1(config)#interface FastEthernet 0/0

R1(config-if)#ip access-group 1 out

Этот АСL блокирует в сеть 172.1.1.0 только FTP пакеты от сети источника 172.1.3.0. Весь другой трафик проходит.

TCP - Протокол транспортного уровня.

eq 21 - Порт назначения; в данном случае стандартный номер порта для управления FТР.

eq 20 - Порт назначения; в данном случае стандартный номер порта для данных FТР.

permit any any - cтрока разрешения пропускает весь остальной IР трафик на входе интерфейса Е0

Пример:

Администратору необходимо сформировать расширенный АСL, который бы запрещал только Теlnеtиз подсети 172.1.1.0.

Рис 7

Поскольку сеть, из которой ограничен доступ, подключена к маршрутизатору R1 через интерфейс Е0, а в расширенном списке контроля доступа указывается источник и назначение, то ACL будем размещать на R1.

R1(config)#access-list 101 deny TCP 172.1.1.0 0.0.0.255 any eq 23

R1(config)#access-list 101 permit any any

R1(config)#interface Ethernet 0

R1(config-if)#ip access-group 1 in

Этот АСL блокирует из сети 172.1.1.0 только Теlnеt. Весь другой трафик проходит.

TCP - Протокол транспортного уровня.

eq 23 - Порт назначения; указывает на стандартный номер порта для Теlnet.

permit any any - cтрока разрешения пропускает весь остальной IР трафик на входе интерфейса Е0

Именованные АСLs

Функция именованных АСLs позволяет идентифицировать стандартные и расширенные IР АСLs с помощью алфавитно-цифровой последовательности (имени) вместо численного обозначения. Администратор, который хочет изменить нумерованный АСL, сначала должен удалить весь нумерованный АСL, а затем переконфигурировать его заново. Удалять отдельные строки нельзя.

Именованные IР АСLs позволяют удалять (но не вставлять) отдельные строки в АСL. Поскольку вы можете удалять строки списка контроля доступа, вы можете изменять фрагменты своего АСL, вместо того чтобы удалять весь АСL и конфигурировать его заново. Используйте именованные IР АСLs, когда вам необходимо интуитивно-понятное название АСL.

Основные ограничения в конфигурации именованных IР АСLs:

• Именованные IР АСLs не совместимы с релизами Сisсо IОS до 11.2.

• Нельзя использовать одно и то же имя для разных АСLs, даже для АСLs разных типов. Например, нельзя создать стандартный АСL с именем “George” и расширенный АСL с тем же именем.

Поиск по сайту: