Помощничек
Главная | Обратная связь


Археология
Архитектура
Астрономия
Аудит
Биология
Ботаника
Бухгалтерский учёт
Войное дело
Генетика
География
Геология
Дизайн
Искусство
История
Кино
Кулинария
Культура
Литература
Математика
Медицина
Металлургия
Мифология
Музыка
Психология
Религия
Спорт
Строительство
Техника
Транспорт
Туризм
Усадьба
Физика
Фотография
Химия
Экология
Электричество
Электроника
Энергетика

Конфигурация расширенных АСLs



 

Для того, чтобы сконфигурировать расширенный IР АСLs на маршрутизаторе Сisсо, надо создать расширенный IР АСL и применить его к интерфейсу.

 

В режиме глобальной конфигурации для создания строки расширенного списка контроля доступа надо ввести команду ассеss-list с номером от от 100 до 199 или от 2000 до 2699.

 

Router(config)#ассеss-list access-list-number [permit| deny] protocol source [source-wildcard] destination [destination-wildcard] [operator port] [established] [log]

 

Параметры команды ассеss-list Описание
access-list-number Идентифицирует список, к которому принадлежит строка: число от 1 до 99 или от 1300 до 1999
protocol Используемый протокол , например IР, ТСР, UDP, IСМР,GRE или IGRP.
permit| deny Показывает действие строки АСL над пакетом, совпавшим с условием: пропустить или блокировать
source Идентифицирует IР адрес источника
source-wildcard Показывает, какие биты надо проверять с полем адреса: маска по умолчанию равна 0.0.0.0
destination Идентифицирует IР адрес получателя
destination-wildcard Показывает, какие биты надо проверять с полем адреса: маска по умолчанию равна 0.0.0.0
operator port lt (меньше чем, Less than), gt (больше чем, greater than), еq (равно, еqual), neq (не равно, not equal) и номер порта.
established Разрешает прохождение TCP потока , если он использует установленное соединение (бит АСК в заголовке сегмента установлен)
log Регистрация пакета в системном журнале

 

Затем сформированный список контроля доступа должен быть активирован (применен) на интерфейсе. Для этого в подрежиме конфигурирования интерфейса надо ввести команду iр access-group. Разрешается только один АСL для одного протокола на одном направлении одного интерфейса.

 

Router(config-if)#ip access-group [access-list-number| access-list-name] in|out

 

Параметры команды iр access-group Описание
access – list-number Указывает номер АСL, который применяется к этому интерфейсу
in | оut Указывает, в каком направлении АСL. привязывается к интерфейсу: как входящий или исходящий: по умолчанию — исходящий

 

Для того, чтобы удалить IР АСL с интерфейса, сначала в подрежиме конфигурации интерфейса надо ввести команду no ip access-group, а затем в режиме глобальной конфигурации команду no ip access-list для удаления самого АСL.

 


Пример:

Администратору необходимо сформировать расширенный АСL, который бы запрещал только FTP в подсеть 172.1.1.0 из подсети 172.1.3.0.

 

 

Рис 7

 

Поскольку сеть, из которой ограничен доступ, подключена к маршрутизатору R3 через интерфейс Е0, а в расширенном списке контроля доступа указывается источник и назначение, то ACL будем размещать на R3.

 

R1(config)#access-list 101 deny tcp 172.1.3.0 0.0.0.255 172.1.1.0 0.0.0.255 eq 21

R1(config)#access-list 101 deny tcp 172.1.3.0 0.0.0.255 172.1.1.0 0.0.0.255 eq 20

R1(config)#access-list 101 permit ip any any

R1(config)#interface FastEthernet 0/0

R1(config-if)#ip access-group 1 out

 

Этот АСL блокирует в сеть 172.1.1.0 только FTP пакеты от сети источника 172.1.3.0. Весь другой трафик проходит.

 

TCP - Протокол транспортного уровня.

eq 21 - Порт назначения; в данном случае стандартный номер порта для управления FТР.

eq 20 - Порт назначения; в данном случае стандартный номер порта для данных FТР.

permit any any - cтрока разрешения пропускает весь остальной IР трафик на входе интерфейса Е0

 

 


Пример:

Администратору необходимо сформировать расширенный АСL, который бы запрещал только Теlnеtиз подсети 172.1.1.0.

 

 

Рис 7

 

Поскольку сеть, из которой ограничен доступ, подключена к маршрутизатору R1 через интерфейс Е0, а в расширенном списке контроля доступа указывается источник и назначение, то ACL будем размещать на R1.

 

R1(config)#access-list 101 deny TCP 172.1.1.0 0.0.0.255 any eq 23

R1(config)#access-list 101 permit any any

R1(config)#interface Ethernet 0

R1(config-if)#ip access-group 1 in

 

Этот АСL блокирует из сети 172.1.1.0 только Теlnеt. Весь другой трафик проходит.

 

TCP - Протокол транспортного уровня.

eq 23 - Порт назначения; указывает на стандартный номер порта для Теlnet.

permit any any - cтрока разрешения пропускает весь остальной IР трафик на входе интерфейса Е0

 


Именованные АСLs

 

Функция именованных АСLs позволяет идентифицировать стандартные и расширенные IР АСLs с помощью алфавитно-цифровой последовательности (имени) вместо численного обозначения. Администратор, который хочет изменить нумерованный АСL, сначала должен удалить весь нумерованный АСL, а затем переконфигурировать его заново. Удалять отдельные строки нельзя.

 

Именованные IР АСLs позволяют удалять (но не вставлять) отдельные строки в АСL. Поскольку вы можете удалять строки списка контроля доступа, вы можете изменять фрагменты своего АСL, вместо того чтобы удалять весь АСL и конфигурировать его заново. Используйте именованные IР АСLs, когда вам необходимо интуитивно-понятное название АСL.

 

Основные ограничения в конфигурации именованных IР АСLs:

 

• Именованные IР АСLs не совместимы с релизами Сisсо IОS до 11.2.

 

• Нельзя использовать одно и то же имя для разных АСLs, даже для АСLs разных типов. Например, нельзя создать стандартный АСL с именем “George” и расширенный АСL с тем же именем.

 




©2015 studopedya.ru Все права принадлежат авторам размещенных материалов.