Dynamic
ACL нь
өөр ACL ажиллах үед ажилладаг ACL юм.Жишээлбэл
Рүүтерлүү зөвхөн Telnet
ашиглаж хандсан тохиолдол ping
явуулж болдог байхаар тохируулахын тулд Dynamic ACL ашигладаг.
Энэхүү жишээг туршиж үзье.
Энэхүү жишээг туршиж үзье.
Хэрэглэгчээс серверлүү ping явуулаж
холболтыг шалгах.
Client#ping 172.16.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 36/47/80 ms
ACL
бичихээс өмнө Рүүтер дээр Telnet
ашиглаж хандаж тохиргоог хийнэ.
username usr password 0 pass
enable secret pass
line vty 0 4
login local
autocommand access-enable host timeout 5
Хэрэглэгчийн нэр (usr) нууц үг нь (pass) гэж
үүсгэлээ. “autocommand access-enable host
timeout 5” команд нь түр зуур ACL үүсгэдэг
бөгөөд хэрэглэгчээс Telnet
холболт үүсгэх боломжийг бий болгодог. Timeout 5 нь Telnet холболт
үүсгэснээс хойш 5 минутын турш идэвхгүй буюу ямар нэгэн үйлдэл хийхгүй бол
холболт тасрахыг заана.
Dynamic
ACL тохируулах
ip access-list extended 100
permit tcp 10.0.0.0 0.0.0.255 host 10.0.0.1 eq telnet
dynamic MYLIST timeout 5 permit ip 10.0.0.0 0.0.0.255 172.16.0.0 0.0.0.255
interface fastEthernet 0/0
ip access-group 100 in
Эхний дүрэм бол Telnet холболт хийхийг зөвшөөрөх. Хоёр дахь дүрэм нь Dynamic ACL юм.
Interface
fa0/0 дээр inbound
ACL тохируулав. Тохируулсан ACL-г шалгавал:
Router(config-ext-nacl)#do show access-list
Extended IP access list 100
10 permit tcp 10.0.0.0 0.0.0.255 host 10.0.0.1 eq telnet
20 Dynamic MYLIST permit ip 10.0.0.0 0.0.0.255 172.16.0.0 0.0.0.255
Одоо Telnet
холболт хийнэ.
Client#telnet 10.0.0.1
Trying 10.0.0.1 ... Open
User Access Verification
Username: usr
Password:
[Connection to 10.0.0.1 closed by foreign host]
Client#
Холболт хийсэний дараа ping явуулав
Client#ping 172.16.0.2 repeat 1000000
Type escape sequence to abort.
Sending 1000000000, 100-byte ICMP Echos to 172.16.0.2, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
... 5 минутын дараа
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!UUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUUUU
5 минутын турш ACL дотор шинэ дүрэм нэмэгдэх болно
Router#show ip access-lists
Extended IP access list 100
10 permit tcp 10.0.0.0 0.0.0.255 host 10.0.0.1 eq telnet (81 matches)
20 Dynamic MYLIST permit ip 10.0.0.0 0.0.0.255 172.16.0.0 0.0.0.255
permit ip host 10.0.0.2 172.16.0.0 0.0.0.255 (3251 matches) (time left 299)
Динамикаар 10.0.0.2 (Client)-ээс 172.16.0.0/24 серверийн сүлжээрүү
мэдээлэл явуулахыг зөвшөөрсөн дүрэм үүссэн байна.
Бусад ACL-уудын жишээ:
No comments:
Post a Comment