В ближайшее полвека стоимость передачи информации не будет зависеть от расстояний
жүктеу/скачать 4.95 Mb.
|
| ACLкеңейтілген тізімі
Кеңейтілген тізімдер пакеттің бастапқы және тағайындалған адрес тізімінде көрсетілген адрестермен салыстыру арқылы трафикті басқарады. Бұл трафикті келесі критерийлер бойынша сүзгілеу қажет: - хаттама; - порт нөмірі; - DSCP мәні; - басымдылық; - SYN битінің күйі; Кеңейтілген ACL синтаксисі. R(config)# access-list number [dynamic dynamic-name [timeout minutes]] {deny|permit} {protocol|protocol-keyword} {source source-wildcard|any} [source-port] {destination destination-wildcard|any} [precedence precedence] [tos tos] [log | log-input] [time-range time-range-name] [fragments] «Log» құпия сөзі осы өлшемге сәйкес келетін пакеттің консольге және жүйелік журнал файлына жазылуына себеп болады. Егер «tcp» немесе «udp» протокол ретінде көрсетілсе, онда бастапқы және тағайындалған-қойылмалы таңба сипаттамаларында «eq», «lt», «gt», «range» құпия сөздерімен осы протоколдардың порт нөмірлері болуы мүмкін. «tcp» протоколы үшін тек белгіленген tcp-сессиярын бөлектеу үшін белгіленген «established» сөзді қолдануға болады. «Hostsource» құпия сөзі жазбаға балама болып табылады: «source 0.0.0.0» Мысал. Бірінші шарт 1023-ден асатын порттарға кез келген TCP қосылыстарына мүмкіндік береді. Екінші шарт 128.88.1.2 аресі бойынша кіріс SMTP қосылыстарына мүмкіндік береді. Келесі өлшемдер ICMP хабарламаларын өткізуге мүмкіндік береді. Ethernet0-тен келетін барлық басқа пакеттер алынып тасталады. R(config)#access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.0.0 0.0.255.255 gt 1023 R(config)#access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.1.2 0.0.0.0 eq 25 R(config)# access-list 102 permit icmp 0.0.0.0 255.255.255.255 128.88.0.0 255.255.255.255 R(config)# interface ethernet 0 R(config)# ip access-group 102 in Мысал. 192.168.1.2 түйініне FTP қатынасын рұқсат етіңіз және 192.168.1.3 түйінін қабылдамаңыз. R(config)#ip access-list extended 101 R(config-ext-nacl)#permit tcp 192.168.1.2 0.0.0.0 10.0.1.3 0.0.0.0 eq 21 R(config-ext-nacl)#permit tcp 192.168.1.2 0.0.0.0 10.0.1.3 0.0.0.0 eq 20 R(config-ext-nacl)#deny tcp 192.168.1.3 0.0.0.0 10.0.1.3 0.0.0.0 eq 21 R(config-ext-nacl)#deny tcp 192.168.1.3 0.0.0.0 10.0.1.3 0.0.0.0 eq 20 Бұл жерде біз 21 және 20 порттар үшін рұқсат етілген және тыйым салатын 2 ережені көреміз. Бұл FTP қызметі, командалар мен деректерді беру қызметі. Енді біз тізімді 192.168.1.0/24 желі жағынан кіріске енгіземіз R(config)#int fa 0/1 R(config-if)#ip access-group 101 in жүктеу/скачать 4.95 Mb. Достарыңызбен бөлісу:
|