Стандарт ACL нь илгээгчийн IP хаягийг шалгаж зөвшөөрөх эсвэл хориглох боломжийг танд
олгодог.
Хүлээн авагчийн IP хаяг болон Портын дугаар нь ямар хамаагүй юм. Numbered буюу дугаарласан ACL-н 1-99 болон 1300-1999 гэсэн хүрээнд байна.
Хүлээн авагчийн IP хаяг болон Портын дугаар нь ямар хамаагүй юм. Numbered буюу дугаарласан ACL-н 1-99 болон 1300-1999 гэсэн хүрээнд байна.
- Standart ACL-г хүлээн авагчтай ойр хүрэгжүүлэх нь илүү сайна.
Дараах туршилт дээр хэрхэн ажиллахыг тайлбарлав.
Зураг дээр R1
болно R2-г
харуулав. R1-н f0/0 дээр R2-н loopback-с ирэх сүлжээний урсгалыг удирдаж Inbound ACL хэрэгжүүлэх
хэрэгжүүлэх гэж. R1
болон R2 дээр
интерфейс тохиргоо.
R1
interface
FastEthernet0/0
ip address 10.0.0.1 255.255.255.0
ip route 192.168.0.0
255.255.255.0 FastEthernet0/0
ip route 192.168.1.0
255.255.255.0 FastEthernet0/0
ip route 192.168.2.0
255.255.255.0 FastEthernet0/0
R2
interface Loopback0
ip address 192.168.0.1 255.255.255.0
interface Loopback1
ip address 192.168.1.1 255.255.255.0
interface Loopback2
ip address 192.168.2.1 255.255.255.0
interface FastEthernet0/0
ip address 10.0.0.2 255.255.255.0
R1 дээр R3-н loopback интерфэйслуу
очих статик чиглүүлэлт хийсэн. R1
дээр numbered Access List-д тохируулана
access-list 1 deny 192.168.0.0 0.0.0.255
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 remark Manage Traffic From R2
Дээрх ACL-г
дэлгэрэнгүй тайлбарлавал
“1” Дугаар
– Энэ бол ACL-н дугаар. 1
бол Standart ACL-г
илтгэнэ
“DENY” түлхүүр
үг – Энэ түлхүүр үгтэй дүрэмтэй таарсан тохиолдол хориглогдоно.
“PERMIT”
түлхүүр үг - Энэ түлхүүр үгтэй дүрэм таарсан тохиолдол зөвшөөрнө.
“192.168.0.0”
– Ийм сүлжээний хаягтай бол шалгана.
“0.0.0.255”
– Энэ бол Wildcard
mask.
“REMARK”
түлхүүр үг – Дүрэмд
тайлбар бичнэ.
- Хэрвээ тухайн пакет ямар ч дүрэмтэй таарахгүй бол “implicit deny” болно
- Та ACL-н дүрмүүдийн хамгийн доор “permit any” гэсэн тохиолдол тухайн пакет ямар ч дүрэмтэй таарахгүй бол зөвшөөрөгдөнө.
ACL-г
дангаар нь бичиж өгөөд ажилладаггүй. Тухайн ACL-г Рүүтер дээр хэрэгжүүлж өгөх шаардлагатай. R1-н fa0/0-д орж пакет орж
ирэх үед шалгахаар тохируулж байна.
R1
interface FastEthernet0/0
ip access-group 1 in
Дээрх ACL-н үр
дүнд
Илгээгч IP
хаяг нь R2-н Loopback 0 (192.168.0.1)
байвал хориглоно
Илгээгч IP
хаяг нь R2-н Loopback 1 (192.168.1.1)
байвал зөвшөөрнө
Илгээгч IP
хаяг нь R2-н Loopback 2 (192.168.2.1) байвал
“implicit deny”-р хориглогдоно
R2-н Loopback интерфейсүүдээс R1-руу хандалд
хийж ACL-ээ
шалгая
R2#ping 10.0.0.1 source loopback 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.0.1
U.U.U
Success rate is 0 percent (0/5)
R2#
R2#ping 10.0.0.1 source loopback 1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/23/36 ms
R2#
R2#ping 10.0.0.1 source loopback 2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.2.1
U.U.U
Success rate is 0 percent (0/5)
R2#
Loopback
0 интерфэйсээс явуулсан ping
амжилттай болж байна.
Named
ACL-н хувилбар
ip access-list standard FIRST
deny 192.168.0.0 0.0.0.255
permit 192.168.1.0 0.0.0.255
remark Manage Traffic From R2
Өөр бусад ACL-уудын жишээ:
No comments:
Post a Comment