Биохимия спиртового брожения: Основу технологии получения пива составляет спиртовое брожение, - при котором сахар превращается...
Организация стока поверхностных вод: Наибольшее количество влаги на земном шаре испаряется с поверхности морей и океанов (88‰)...
Топ:
Определение места расположения распределительного центра: Фирма реализует продукцию на рынках сбыта и имеет постоянных поставщиков в разных регионах. Увеличение объема продаж...
Теоретическая значимость работы: Описание теоретической значимости (ценности) результатов исследования должно присутствовать во введении...
Когда производится ограждение поезда, остановившегося на перегоне: Во всех случаях немедленно должно быть ограждено место препятствия для движения поездов на смежном пути двухпутного...
Интересное:
Уполаживание и террасирование склонов: Если глубина оврага более 5 м необходимо устройство берм. Варианты использования оврагов для градостроительных целей...
Национальное богатство страны и его составляющие: для оценки элементов национального богатства используются...
Средства для ингаляционного наркоза: Наркоз наступает в результате вдыхания (ингаляции) средств, которое осуществляют или с помощью маски...
Дисциплины:
2020-10-20 | 129 |
5.00
из
|
Заказать работу |
|
|
Для того, чтобы сконфигурировать расширенный IР АСLs на маршрутизаторе Сisсо, надо создать расширенный IР АСL и применить его к интерфейсу.
В режиме глобальной конфигурации для создания строки расширенного списка контроля доступа надо ввести команду ассе ss - list с номером от от 100 до 199 или от 2000 до 2699.
Router(config)# ассе ss-list access-list-number [ permit | deny ] protocol source [source-wildcard] destination [destination-wildcard] [operator port] [established] [log]
Параметры команды ассе ss - list | Описание |
access-list-number | Идентифицирует список, к которому принадлежит строка: число от 1 до 99 или от 1300 до 1999 |
protocol | Используемый протокол, например IР, ТСР, UDP, IСМР,GRE или IGRP. |
permit | deny | Показывает действие строки АСL над пакетом, совпавшим с условием: пропустить или блокировать |
source | Идентифицирует IР адрес источника |
source - wildcard | Показывает, какие биты надо проверять с полем адреса: маска по умолчанию равна 0.0.0.0 |
destination | Идентифицирует IР адрес получателя |
destination-wildcard | Показывает, какие биты надо проверять с полем адреса: маска по умолчанию равна 0.0.0.0 |
operator port | lt (меньше чем, Less than), gt (больше чем, greater than), еq (равно, еqual), neq (не равно, not equal) и номер порта. |
established | Разрешает прохождение TCP потока, если он использует установленное соединение (бит АСК в заголовке сегмента установлен) |
log | Регистрация пакета в системном журнале |
Затем сформированный список контроля доступа должен быть активирован (применен) на интерфейсе. Для этого в подрежиме конфигурирования интерфейса надо ввести команду iр access - group. Разрешается только один АСL для одного протокола на одном направлении одного интерфейса.
Router(config-if)# ip access-group [access-list-number| access-list-name] in | out
Параметры команды i р access - group | Описание |
access – list-number | Указывает номер АСL, который применяется к этому интерфейсу |
in | о ut | Указывает, в каком направлении АСL. привязывается к интерфейсу: как входящий или исходящий: по умолчанию — исходящий |
|
Для того, чтобы удалить IР АСL с интерфейса, сначала в подрежиме конфигурации интерфейса надо ввести команду no ip access - group, а затем в режиме глобальной конфигурации команду no ip access - list для удаления самого АСL.
Пример:
Администратору необходимо сформировать расширенный АСL, который бы запрещал только FTP в подсеть 172.1.1.0 из подсети 172.1.3.0.
Рис 7
Поскольку сеть, из которой ограничен доступ, подключена к маршрутизатору R3 через интерфейс Е0, а в расширенном списке контроля доступа указывается источник и назначение, то ACL будем размещать на R3.
R1(config)#access-list 101 deny tcp 172.1.3.0 0.0.0.255 172.1.1.0 0.0.0.255 eq 21
R1(config)#access-list 101 deny tcp 172.1.3.0 0.0.0.255 172.1.1.0 0.0.0.255 eq 20
R1(config)#access-list 101 permit ip any any
R1(config)#interface FastEthernet 0/0
R1(config-if)#ip access-group 1 out
Этот АСL блокирует в сеть 172.1.1.0 только FTP пакеты от сети источника 172.1.3.0. Весь другой трафик проходит.
TCP - Протокол транспортного уровня.
eq 21 - Порт назначения; в данном случае стандартный номер порта для управления FТР.
eq 20 - Порт назначения; в данном случае стандартный номер порта для данных FТР.
permit any any - cтрока разрешения пропускает весь остальной IР трафик на входе интерфейса Е0
Пример:
Администратору необходимо сформировать расширенный АСL, который бы запрещал только Те ln е t из подсети 172.1.1.0.
Рис 7
Поскольку сеть, из которой ограничен доступ, подключена к маршрутизатору R1 через интерфейс Е0, а в расширенном списке контроля доступа указывается источник и назначение, то ACL будем размещать на R1.
R1(config)#access-list 101 deny TCP 172.1.1.0 0.0.0.255 any eq 23
R1(config)#access-list 101 permit any any
R1(config)#interface Ethernet 0
R1(config-if)#ip access-group 1 in
Этот АСL блокирует из сети 172.1.1.0 только Те ln е t. Весь другой трафик проходит.
TCP - Протокол транспортного уровня.
|
eq 23 - Порт назначения; указывает на стандартный номер порта для Те lnet.
permit any any - cтрока разрешения пропускает весь остальной IР трафик на входе интерфейса Е0
Именованные АС Ls
Функция именованных АСLs позволяет идентифицировать стандартные и расширенные IР АСLs с помощью алфавитно-цифровой последовательности (имени) вместо численного обозначения. Администратор, который хочет изменить нумерованный АСL, сначала должен удалить весь нумерованный АСL, а затем переконфигурировать его заново. Удалять отдельные строки нельзя.
Именованные IР АСLs позволяют удалять (но не вставлять) отдельные строки в АСL. Поскольку вы можете удалять строки списка контроля доступа, вы можете изменять фрагменты своего АСL, вместо того чтобы удалять весь АСL и конфигурировать его заново. Используйте именованные IР АСLs, когда вам необходимо интуитивно-понятное название АСL.
Основные ограничения в конфигурации именованных IР АСLs:
• Именованные IР АСLs не совместимы с релизами Сisсо IОS до 11.2.
• Нельзя использовать одно и то же имя для разных АСLs, даже для АСLs разных типов. Например, нельзя создать стандартный АСL с именем “George” и расширенный АСL с тем же именем.
|
|
Опора деревянной одностоечной и способы укрепление угловых опор: Опоры ВЛ - конструкции, предназначенные для поддерживания проводов на необходимой высоте над землей, водой...
Типы оградительных сооружений в морском порту: По расположению оградительных сооружений в плане различают волноломы, обе оконечности...
Эмиссия газов от очистных сооружений канализации: В последние годы внимание мирового сообщества сосредоточено на экологических проблемах...
Состав сооружений: решетки и песколовки: Решетки – это первое устройство в схеме очистных сооружений. Они представляют...
© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!