Семя – орган полового размножения и расселения растений: наружи у семян имеется плотный покров – кожура...
Археология об основании Рима: Новые раскопки проясняют и такой острый дискуссионный вопрос, как дата самого возникновения Рима...
Топ:
Марксистская теория происхождения государства: По мнению Маркса и Энгельса, в основе развития общества, происходящих в нем изменений лежит...
Проблема типологии научных революций: Глобальные научные революции и типы научной рациональности...
Когда производится ограждение поезда, остановившегося на перегоне: Во всех случаях немедленно должно быть ограждено место препятствия для движения поездов на смежном пути двухпутного...
Интересное:
Инженерная защита территорий, зданий и сооружений от опасных геологических процессов: Изучение оползневых явлений, оценка устойчивости склонов и проектирование противооползневых сооружений — актуальнейшие задачи, стоящие перед отечественными...
Подходы к решению темы фильма: Существует три основных типа исторического фильма, имеющих между собой много общего...
Мероприятия для защиты от морозного пучения грунтов: Инженерная защита от морозного (криогенного) пучения грунтов необходима для легких малоэтажных зданий и других сооружений...
Дисциплины:
2020-10-20 | 128 |
5.00
из
|
Заказать работу |
|
|
Для того, чтобы сконфигурировать расширенный IР АСLs на маршрутизаторе Сisсо, надо создать расширенный IР АСL и применить его к интерфейсу.
В режиме глобальной конфигурации для создания строки расширенного списка контроля доступа надо ввести команду ассе ss - list с номером от от 100 до 199 или от 2000 до 2699.
Router(config)# ассе ss-list access-list-number [ permit | deny ] protocol source [source-wildcard] destination [destination-wildcard] [operator port] [established] [log]
Параметры команды ассе ss - list | Описание |
access-list-number | Идентифицирует список, к которому принадлежит строка: число от 1 до 99 или от 1300 до 1999 |
protocol | Используемый протокол, например IР, ТСР, UDP, IСМР,GRE или IGRP. |
permit | deny | Показывает действие строки АСL над пакетом, совпавшим с условием: пропустить или блокировать |
source | Идентифицирует IР адрес источника |
source - wildcard | Показывает, какие биты надо проверять с полем адреса: маска по умолчанию равна 0.0.0.0 |
destination | Идентифицирует IР адрес получателя |
destination-wildcard | Показывает, какие биты надо проверять с полем адреса: маска по умолчанию равна 0.0.0.0 |
operator port | lt (меньше чем, Less than), gt (больше чем, greater than), еq (равно, еqual), neq (не равно, not equal) и номер порта. |
established | Разрешает прохождение TCP потока, если он использует установленное соединение (бит АСК в заголовке сегмента установлен) |
log | Регистрация пакета в системном журнале |
Затем сформированный список контроля доступа должен быть активирован (применен) на интерфейсе. Для этого в подрежиме конфигурирования интерфейса надо ввести команду iр access - group. Разрешается только один АСL для одного протокола на одном направлении одного интерфейса.
Router(config-if)# ip access-group [access-list-number| access-list-name] in | out
Параметры команды i р access - group | Описание |
access – list-number | Указывает номер АСL, который применяется к этому интерфейсу |
in | о ut | Указывает, в каком направлении АСL. привязывается к интерфейсу: как входящий или исходящий: по умолчанию — исходящий |
|
Для того, чтобы удалить IР АСL с интерфейса, сначала в подрежиме конфигурации интерфейса надо ввести команду no ip access - group, а затем в режиме глобальной конфигурации команду no ip access - list для удаления самого АСL.
Пример:
Администратору необходимо сформировать расширенный АСL, который бы запрещал только FTP в подсеть 172.1.1.0 из подсети 172.1.3.0.
Рис 7
Поскольку сеть, из которой ограничен доступ, подключена к маршрутизатору R3 через интерфейс Е0, а в расширенном списке контроля доступа указывается источник и назначение, то ACL будем размещать на R3.
R1(config)#access-list 101 deny tcp 172.1.3.0 0.0.0.255 172.1.1.0 0.0.0.255 eq 21
R1(config)#access-list 101 deny tcp 172.1.3.0 0.0.0.255 172.1.1.0 0.0.0.255 eq 20
R1(config)#access-list 101 permit ip any any
R1(config)#interface FastEthernet 0/0
R1(config-if)#ip access-group 1 out
Этот АСL блокирует в сеть 172.1.1.0 только FTP пакеты от сети источника 172.1.3.0. Весь другой трафик проходит.
TCP - Протокол транспортного уровня.
eq 21 - Порт назначения; в данном случае стандартный номер порта для управления FТР.
eq 20 - Порт назначения; в данном случае стандартный номер порта для данных FТР.
permit any any - cтрока разрешения пропускает весь остальной IР трафик на входе интерфейса Е0
Пример:
Администратору необходимо сформировать расширенный АСL, который бы запрещал только Те ln е t из подсети 172.1.1.0.
Рис 7
Поскольку сеть, из которой ограничен доступ, подключена к маршрутизатору R1 через интерфейс Е0, а в расширенном списке контроля доступа указывается источник и назначение, то ACL будем размещать на R1.
R1(config)#access-list 101 deny TCP 172.1.1.0 0.0.0.255 any eq 23
R1(config)#access-list 101 permit any any
R1(config)#interface Ethernet 0
R1(config-if)#ip access-group 1 in
Этот АСL блокирует из сети 172.1.1.0 только Те ln е t. Весь другой трафик проходит.
TCP - Протокол транспортного уровня.
|
eq 23 - Порт назначения; указывает на стандартный номер порта для Те lnet.
permit any any - cтрока разрешения пропускает весь остальной IР трафик на входе интерфейса Е0
Именованные АС Ls
Функция именованных АСLs позволяет идентифицировать стандартные и расширенные IР АСLs с помощью алфавитно-цифровой последовательности (имени) вместо численного обозначения. Администратор, который хочет изменить нумерованный АСL, сначала должен удалить весь нумерованный АСL, а затем переконфигурировать его заново. Удалять отдельные строки нельзя.
Именованные IР АСLs позволяют удалять (но не вставлять) отдельные строки в АСL. Поскольку вы можете удалять строки списка контроля доступа, вы можете изменять фрагменты своего АСL, вместо того чтобы удалять весь АСL и конфигурировать его заново. Используйте именованные IР АСLs, когда вам необходимо интуитивно-понятное название АСL.
Основные ограничения в конфигурации именованных IР АСLs:
• Именованные IР АСLs не совместимы с релизами Сisсо IОS до 11.2.
• Нельзя использовать одно и то же имя для разных АСLs, даже для АСLs разных типов. Например, нельзя создать стандартный АСL с именем “George” и расширенный АСL с тем же именем.
|
|
Двойное оплодотворение у цветковых растений: Оплодотворение - это процесс слияния мужской и женской половых клеток с образованием зиготы...
Адаптации растений и животных к жизни в горах: Большое значение для жизни организмов в горах имеют степень расчленения, крутизна и экспозиционные различия склонов...
Индивидуальные очистные сооружения: К классу индивидуальных очистных сооружений относят сооружения, пропускная способность которых...
Таксономические единицы (категории) растений: Каждая система классификации состоит из определённых соподчиненных друг другу...
© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!