|
Поделитесь пожалуйста ► Первой частью курса. В первой лекции упоминается, цитирую: "В первой части настоящего курса отмечалось, что соединение локальных сетей LAN..." |
Инспектор
Вы можете этот курс.
Опубликован: 11.02.2017 | Уровень: для всех | Доступ: свободно
Лекция 5:
Списки контроля доступа
Именованные списки доступа
Именованные списки доступа позволяют за счет введения имени списка сократить затем объем записей при конфигурировании. Кроме того, снимаются ограничения в 99 стандартных и 100 номеров расширенных списков, поскольку имен можно придумать много. Именованный список доступа с именем spisok для вышеприведенного примера 4 будет выглядеть следующим образом:
Router_А(config)#access-list extended spisok
Router_А(config-ext-nac1)#permit tcp host 192.168.30.11 host 192.168.10.25 eq 8080
Router_А(config-ext-nac1)#permit tcp 192.168.20.0 0.0.0.255 host 192.168.10.25 eq 8080
Router_А(config-ext-nac1)#permit tcp any any eq WWW
Router_А(config-ext-nac1)#exit
Router_А(config)#int g0/0
Router_А(config-if)#ip access-group spisok out
Контроль списков доступа
Контроль списков доступа производится по командам show. Например, контроль любых списков доступа производится по команде:
RouterА#show access-list
Extended IP access list 110
permit tcp host 192.168.30.11 host 192.168.10.25 eq 8080 (34 matches)
permit tcp 192.168.20.11 0.0.0.255 host 192.168.10.25 eq 8080 (11 matches)
permit tcp any any eq WWW (29 matches)
Контроль IP-списков доступа производится по команде:
RouterА#show ip access-list
Списки доступа, установленные на интерфейсы, можно посмотреть по команде show ip interface, а также show running-config.
Редактирование списков доступа
В "Списки контроля доступа" отмечалось, что при необходимости редактирования рекомендуется список доступа целиком удалить и создать новый список с новыми условиями. Чтобы облегчить этот процесс, требующий редактирования список можно скопировать, например, из распечатки команды show run, затем вставить его в текстовый редактор, отредактировать, удалить старый список из конфигурации маршрутизации и создать новый отредактированный список.
Второй способ редактирования предусматривает использование свойства нумерации строк именованного списка доступа. Например, создан именованный список доступа:
R-A(config)#ip access-list standard ACL
R-A(config-std-nacl)#permit host 192.168.20.11
R-A(config-std-nacl)#permit host 192.168.30.11
R-A(config-std-nacl)#int g0/0
R-A(config-if)#ip access-group ACL out
Команда show access-lists отображает строки списка, причем нумерация идет через 10
R-A#show access-lists
Standard IP access list ACL
10 permit host 192.168.20.11 (4 match(es))
20 permit host 192.168.30.11 (4 match(es))
R-A#
Если в списке необходимо произвести изменения, например, запретить узлу host 192.168.20.11 доступ в сеть 1 и разрешить доступ всем остальным узлам сети 192.168.20.0, то это может реализовать следующая последовательность команд:
R-A(config)#ip access-list standard ACL
R-A(config-std-nacl)#no 10
R-A(config-std-nacl)#10 deny host 192.168.20.11
R-A(config-std-nacl)#15 permit 192.168.20.0 0.0.0.255
В этом примере новая строка списка (15) вставлена между 10-ой и 20-ой строками:
R-A#sh access-list
Standard IP access list ACL
10 deny host 192.168.20.11
15 permit 192.168.20.0 0.0.0.255
20 permit host 192.168.30.11 (4 match(es))
R-A#
Владислав Ветошкин
| Россия, Ижевск, Ижевский государственный технический университет имени А.Т. Калашникова, 2011 |
