В ближайшее полвека стоимость передачи информации не будет зависеть от расстояний

жүктеу 4,95 Mb.

бет	71/92
Дата	26.05.2023
өлшемі	4,95 Mb.
	#42775

1 ... 67 68 69 70 71 72 73 74 ... 92

treatise177480

ACLкеңейтілген тізімі
Кеңейтілген тізімдер пакеттің бастапқы және тағайындалған адрес тізімінде көрсетілген адрестермен салыстыру арқылы трафикті басқарады. Бұл трафикті келесі критерийлер бойынша сүзгілеу қажет:
- хаттама;
- порт нөмірі;
- DSCP мәні;
- басымдылық;
- SYN битінің күйі;
Кеңейтілген ACL синтаксисі.
R(config)# access-list number [dynamic dynamic-name [timeout minutes]] {deny|permit} {protocol|protocol-keyword} {source source-wildcard|any} [source-port] {destination destination-wildcard|any} [precedence precedence] [tos tos] [log | log-input] [time-range time-range-name] [fragments]
«Log» құпия сөзі осы өлшемге сәйкес келетін пакеттің консольге және жүйелік журнал файлына жазылуына себеп болады. Егер «tcp» немесе «udp» протокол ретінде көрсетілсе, онда бастапқы және тағайындалған-қойылмалы таңба сипаттамаларында «eq», «lt», «gt», «range» құпия сөздерімен осы протоколдардың порт нөмірлері болуы мүмкін. «tcp» протоколы үшін тек белгіленген tcp-сессиярын бөлектеу үшін белгіленген «established» сөзді қолдануға болады.
«Hostsource» құпия сөзі жазбаға балама болып табылады: «source 0.0.0.0» Мысал.
Бірінші шарт 1023-ден асатын порттарға кез келген TCP қосылыстарына мүмкіндік береді. Екінші шарт 128.88.1.2 аресі бойынша кіріс SMTP қосылыстарына мүмкіндік береді. Келесі өлшемдер ICMP хабарламаларын өткізуге мүмкіндік береді. Ethernet0-тен келетін барлық басқа пакеттер алынып тасталады.
R(config)#access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.0.0 0.0.255.255 gt 1023
R(config)#access-list 102 permit tcp 0.0.0.0 255.255.255.255 128.88.1.2 0.0.0.0 eq 25
R(config)# access-list 102 permit icmp 0.0.0.0 255.255.255.255 128.88.0.0 255.255.255.255
R(config)# interface ethernet 0
R(config)# ip access-group 102 in
Мысал. 192.168.1.2 түйініне FTP қатынасын рұқсат етіңіз және 192.168.1.3 түйінін қабылдамаңыз.
R(config)#ip access-list extended 101
R(config-ext-nacl)#permit tcp 192.168.1.2 0.0.0.0 10.0.1.3 0.0.0.0 eq 21
R(config-ext-nacl)#permit tcp 192.168.1.2 0.0.0.0 10.0.1.3 0.0.0.0 eq 20
R(config-ext-nacl)#deny tcp 192.168.1.3 0.0.0.0 10.0.1.3 0.0.0.0 eq 21
R(config-ext-nacl)#deny tcp 192.168.1.3 0.0.0.0 10.0.1.3 0.0.0.0 eq 20
Бұл жерде біз 21 және 20 порттар үшін рұқсат етілген және тыйым салатын 2 ережені көреміз. Бұл FTP қызметі, командалар мен деректерді беру қызметі.
Енді біз тізімді 192.168.1.0/24 желі жағынан кіріске енгіземіз
R(config)#int fa 0/1
R(config-if)#ip access-group 101 in

жүктеу 4,95 Mb.

Достарыңызбен бөлісу:

1 ... 67 68 69 70 71 72 73 74 ... 92