Лабораторные работы по cisco


access-list номер_списка deny any



бет26/30
Дата03.11.2023
өлшемі2,99 Mb.
#189220
түріСамостоятельная работа
1   ...   22   23   24   25   26   27   28   29   30
Байланысты:
CISCO (1)

access-list номер_списка deny any

которое запрещает весь трафик по тому интерфейсу сетевого устройства, к которому данный список был применен.


Для того, чтобы начать использовать список доступа, необходимо выполнить следующие три этапа:


1 – создать список;
2 – наполнить список правилами обработки трафика;
3 – применить список доступа к интерфейсу устройства на вход или на выход этого интерфейса.

Этап первый – создание списка доступа:


Стандартный список:


Switch3(config)#ip access-list standart 10
(создается стандартный список доступа под номером 10, в данном случае создается на коммутаторе)

Расширенный список:


Router1(config)#ip access-list extended 100
(создается расширенный список доступа под номером 100, в данном случае создается на маршрутизаторе).

Этап второй – ввод правил в список доступа:


Каждое, правило в списке доступа сдержит три важных элемента:


1 - число, идентифицирующее список при обращении к нему в других частях конфигурации маршрутизатора или коммутатора третьего уровня;
2 - инструкцию deny (запретить) или permit (разрешить);
3 - идентификатор пакета, который задается по одному из трех вариантов:
- адрес сети (например 192.168.2.0 0.0.0.255) – где вместо маски подсети указывается шаблон маски подсети;
- адрес хоста (host 192.168.2.1);
- любой IP адрес (any).

Пример стандартного списка доступа №10:




access-list 10 deny host 11.0.0.5
access-list 10 deny 12.0.0.0 0.255.255.255
access-list 10 permit any

В этом списке:


- запрещен весь трафик хосту с IP адресом 11.0.0.5;
- запрещен весь трафик в сети 12.0.0.0/8 (в правиле указывается не реальная маска подсети, а ее шаблон);
- весь остальной трафик разрешен.

В расширенных списках доступа вслед за указанием действия ключами permit или deny должен находиться параметр с обозначением протокола (возможны протоколы IP, TCP, UDP, ICMP), который указывает, должна ли выполняться проверка всех пакетов IP или только пакетов с заголовками ICMP, TCP или UDP. Если проверке подлежат номера портов TCP или UDP, то должен быть указан протокол TCP или UDP (службы FTP и WEB используют протокол TCP).


При создании расширенных списков в правилах доступа можно включать фильтрацию трафика по протоколам и портам. Для указания портов в правиле доступа указываются следующие обозначения (таблица 10.1):
Таблица 10.1.

обозначение

действие

lt n

Все номера портов, меньшие n.

gt n

Все номера портов, большие n.

eq n

Порт n

neq n

Все порты, за исключением n.

range n m

Все порты от n до m включительно.

Распространенные приложения и соответствующие им стандартные номера портов приведены в следующей таблице 10.2:

Таблица 10.2.



Номер порта

Протокол

Приложение

Ключевое слово в команде access_list

20

TCP

FTP

data ftp_data

21

TCP

Управление сервером FTP

ftp

22

TCP

SSH


23

TCP

Telnet

telnet

25

TCP

SMTP

Smtp

53

UDP, TCP

DNS

Domain

67, 68

UDP

DHCP

nameserver

69

UDP

TFTP

Tftp

80

TCP

HTTP (WWW)

www

110

TCP

POP3

pop3

161

UDP

SNMP

Snmp

Пример расширенного списка доступа №111:


! Запретить трафик на порту 80 (www-трафик)
ip access-list 111 deny tcp any any eq 80
ip access-list 111 deny ip host 10.0.0.15 host 12.0.0.5
ip access-list 111 permit ip any any


interface ethernetO
! Применить список доступа 111 к исходящему трафику
ip access-group 111 out

В этом списке внешние узлы не смогут обращаться на сайты внутренней сети, т.к. список доступа был применен на выход (для внешних узлов) интерфейса, а так же узлу 10.0.0.15 запрещен доступ к узлу 12.0.0.5


Остальной трафик разрешен.

Этап третий – применение списка доступа.


Списки доступа могут быть использованы для двух типов устройств:


1 – на маршрутизаторе;
2 - на коммутаторе третьего уровня.

На каждом интерфейсе может быть включено два списка доступа: только один список доступа для входящих пакетов и только один список для исходящих пакетов.


Каждый список работает только с тем интерфейсом, на который он был применен и не действует на остальные интерфейсы устройства, если он там не применялся.
Однако один список доступа может быть применен к разным интерфейсам.
Применение списка доступа к устройству осуществляется следующими командами:




Достарыңызбен бөлісу:
1   ...   22   23   24   25   26   27   28   29   30




©engime.org 2024
әкімшілігінің қараңыз

    Басты бет