КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Ip access-group 111 out
|
|
|
|
Interface ethernetO
Ip access-list 111 permit ip any any
Ip access-list 111 deny ip host 10.0.0.15 host 12.0.0.5
Ip access-list 111 deny tcp any any eq 80
Access-list 10 permit any
Access-list 10 deny 12.0.0.0 0.255.255.255
Access-list 10 deny host 11.0.0.5
В этом списке:
- запрещен весь трафик хосту с IP адресом 11.0.0.5;
- запрещен весь трафик в сети 12.0.0.0/8 (в правиле указывается не реальная маска подсети, а ее шаблон);
- весь остальной трафик разрешен.
В расширенных списках доступа вслед за указанием действия ключами permit или deny должен находиться параметр с обозначением протокола (возможны протоколы IP, TCP, UDP, ICMP), который указывает, должна ли выполняться проверка всех пакетов IP или только пакетов с заголовками ICMP, TCP или UDP. Если проверке подлежат номера портов TCP или UDP, то должен быть указан протокол TCP или UDP (службы FTP и WEB используют протокол TCP).
При создании расширенных списков в правилах доступа можно включать фильтрацию трафика по протоколам и портам. Для указания портов в правиле доступа указываются следующие обозначения (таблица 10.1):
Таблица 10.1.
| обозначение | действие |
| lt n | Все номера портов, меньшие n. |
| gt n | Все номера портов, большие n. |
| eq n | Порт n |
| neq n | Все порты, за исключением n. |
| range n m | Все порты от n до m включительно. |
Распространенные приложения и соответствующие им стандартные номера портов приведены в следующей таблице 10.2:
Таблица 10.2.
| Номер порта | Протокол | Приложение | Ключевое слово в команде access_list |
| TCP | FTP | data ftp_data | |
| TCP | Управление сервером FTP | ftp | |
| TCP | SSH | ||
| TCP | Telnet | telnet | |
| TCP | SMTP | Smtp | |
| UDP, TCP | DNS | Domain | |
| 67, 68 | UDP | DHCP | nameserver |
| UDP | TFTP | Tftp | |
| TCP | HTTP (WWW) | www | |
| TCP | POP3 | pop3 | |
| UDP | SNMP | Snmp |
Пример расширенного списка доступа №111:
! Запретить трафик на порту 80 (www-трафик)
|
|
|
! Применить список доступа 111 к исходящему трафику
В этом списке внешние узлы не смогут обращаться на сайты внутренней сети, т.к. список доступа был применен на выход (для внешних узлов) интерфейса, а так же узлу 10.0.0.15 запрещен доступ к узлу 12.0.0.5
Остальной трафик разрешен.
Этап третий – применение списка доступа.
Списки доступа могут быть использованы для двух типов устройств:
1 – на маршрутизаторе;
2 - на коммутаторе третьего уровня.
На каждом интерфейсе может быть включено два списка доступа: только один список доступа для входящих пакетов и только один список для исходящих пакетов.
Каждый список работает только с тем интерфейсом, на который он был применен и не действует на остальные интерфейсы устройства, если он там не применялся.
Однако один список доступа может быть применен к разным интерфейсам.
Применение списка доступа к устройству осуществляется следующими командами:
interface ethernet0/0/0
|
|
|
|
|
Дата добавления: 2014-10-15; Просмотров: 396; Нарушение авторских прав?; Мы поможем в написании вашей работы!