Конфигурирование расширенных списков доступа

В отличие от стандартных списков доступа, имеющих в качестве критерия фильтрации только один параметр – адрес источника, расширенные списки используют несколько параметров:

- адрес источника,

- адрес назначения,

- протокол,

- порт.

Формат команды создания расширенного списка доступа следующий:

Router(config)# access-list {номер} { permit или deny } {протокол} {адрес источника}.{адрес назначения} {порт}

В поле протокола задается имя или номер (0 – 255) протокола сети Интернет. Наиболее часто используются протоколы IP, TCP, UDP, OSPF, RIP и др. Поле порта используется либо для задания номера (0 – 65535), либо – имени портов, например, TCP или UDP.

Формат команды привязки списка доступа к интерфейсу аналогичен команде стандартного списка:

Router(config-if)#{протокол} access-group {номер} { in или out }

Пример 4. В сети (рис.14.2) необходимо:

1. разрешить одной рабочей станции 192.168.30.11 Сети 3 доступ к серверу с адресом 192.168.10.25 Сети1 с адресом порта 8080;

2. разрешить всем рабочим станциям Сети2 с адресом 192.168.20.0 доступ к тому же серверу;

3. разрешить всем рабочим станциям доступ ко всем Web-серверам Сети

Для этого создается список доступа:

Router_А(config)# access-list 110 permit tcp host 192.168.30.11 host 192.168.10.25 eq 8080

Router_А(config)# access-list 110 permit tcp 192.168.20.11 0.0.0.255 host 192.168.10.25 eq 8080

Router_А(config)# access-list 110 permit tcp any any eq WWW

Router_А(config)# int f0/0

Router_А(config-if)# ip access-group 110 out

Запись any (все) эквивалентна записи 0.0.0.0 255.255.255.255, т.е. ни один бит адреса не должен анализироваться. Следовательно, в третьей строке Примера 4 записано требование, исключить фильтрацию по адресу источника и адресу назначения, т.е. запись permit tcp any any означает «разрешить доступ всем сегментам tcpко всем узлам сети». Единственный критерий фильтрации – это порт eq WWW.

Запись eq означает требование анализа пакетов только с данным номером порта. Вместо нее могла быть другая запись, например, neq, означающая требование анализа пакетов с другими номерами, за исключением заданного. Запись range означает требование анализа пакетов с номерами портов в указанном диапазоне.

Пример 5. Необходимо в сети (рис.14.2) создать список доступа, чтобы:

1. блокировать рабочей станции 192.168.20.11 Сети 2 доступ по telnet в Сеть 1, но оставить доступ для другого сервиса;

2. блокировать рабочей станции 192.168.30.24 Сети 3 доступ по telnet в Сеть 1, но оставить доступ для другого сервиса;

Для этого создается список доступа:

Router_А(config)# access-list 115 deny tcp host 192.168.20.11 192.168.10.0 0.0.0.255 eq telnet

Router_А(config)# access-list 115 deny tcp host 192.168.30.24 192.168.10.0 0.0.0.255 eq telnet

Router_А(config)# access-list 115 permit ip any any

Router_А(config)# int f0/0

Router_А(config-if)# ip access-group 115 out

Удаление списков доступа производится с использованием отрицания no. Например, удаление списка доступа из предыдущего примера производится по команде:

RouterА(config)# no access-list 115

<== предыдущая лекция	\|	следующая лекция ==>
Конфигурирование стандартных списков доступа	\|	Контрольный тест по Лекции 14

Поделиться с друзьями:

Дата добавления: 2014-01-07; Просмотров: 398; Нарушение авторских прав?; Мы поможем в написании вашей работы!

Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет

studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление

Генерация страницы за: 0.01 сек.