|
В ближайшее полвека стоимость передачи информации не будет зависеть от расстояний
|
бет | 70/92 | Дата | 26.05.2023 | өлшемі | 4,95 Mb. | | #42775 |
| treatise177480host үлгісін қолдану
Сіз host кілт сөзін пайдалана аласыз, ол Cisco IOS амалдық жүйеде тек бір толық адрестің тексерілуі керек екенін айтады. Төмендегі мысалда адрестің алдында 172.30.16.29 0.0.0.0 ұзын жолды енгізудің орнына host құпия сөзін жазуға болатындығы көрсетілген.
Мысалы, жолдың орнына
R(config)# access-list 1 permit 172.30.16.29 0.0.0.0
Мынаны жазса болады
R(config)# access-list 1 permit host 172.30.16.29
Енгізуді басқару тізімдерін тексеріңіз
Show ip interface интерфейстер туралы ақпаратты көрсетеді және оларға енгізудіі басқару тізімдері орнатылғанын немесе орнатылмағанын көрсетеді.
Show access-lists командасы барлық енгізуді басқару тізімдерінің мазмұнын көрсетеді. Егер енгізуі басқару тізімінің атауын немесе нөмірін параметр ретінде көрсетілген екі құпия сөзден кейін енгізсеңіз, нақты ACL мазмұны көрсетіледі.
Стандартты ACL
Енгізуді басқарудың стандартты тізімдері түйінге, желі адресіне негізделген барлық протоколдар жиынтығына тыйым салу немесе рұқсат ету қажет болған кезде қолданылады.
Мысалы, E0 немесе Fa0/0 интерфейсіне келетін пакеттер үшін жіберушінің адресі мен хаттамалары тексеріледі. Содан кейін олар енгізуді басқару тізімінің директиваларымен салыстырылады. Егер сәйкестік табылса, көрсетілген әрекет орындалады (рұқсат немесе тыйым әрекеті). Егер пакеттер рұқсат ережесіне (permit) сәйкес болса, олар маршрутизатор арқылы енгізуді басқару тізіміне логикалық түрде қосылған шығыс интерфейске бағытталады. Егер пакеттер жоққа шығару ережесіне (deny) сәйкес келсе, олар алынып тасталады.
ACL стандартты тізім директивасының толық синтаксисі:
R(config)# access-list access-list-number{permit|deny|remark} source[source-wildcard] [log]
Аталған құпия сөз тізімге түсініктеме қосу үшін пайдаланылады, ол кейінірек енгізуді басқару тізімін анықтауға көмектеседі. Мұндай түсініктеме сызығының ұзындығы жүз таңбадан аспауы керек.
Мысалы, бір қарағанда, мұндай жазба не үшін қажет деп айту қиын:
R(config)#access-list 1 permit 171.69.2.88
Егер енгізуді басқару тізімінде түсініктеме болса, онда нақты директиваға не жататынын анықтау оңайырақ болады.
R(config)#access-list 1 remark Permit only Howard workstation though
ACL 1 171.69.2.88
R(config)#access-list 1 permit 171.69.2.88
(Пікір: «ACL 1 тізімі арқылы Howard Workstation 171.69.2.88 тек Говард жұмыс станциясын енгізуге рұқсат беріңіз»).
Енгізуді басқарудың стандартты тізімін алып тастау үшін осы команданың құпия сөзімен үлгісі қолданылады:
Router(config)# бойынша access-list number
Ғаламдық конфигурация режиміндегі қатынау тізіміне кіру тізімі access-list командасының стандартты нұсқасы 1-ден 99-ға дейінгі аралықтағы енгізуді басқарудың стандартты тізімін орнатады. Келесі мысалда 4 директивасы бар стандартты кіру тізімі көрсетілген; барлық директивалар 2 нөмірмен кіру тізіміне енгізілген. Есте сақтау керек, егер пакеттер қол жеткізу тізімінің кез-келген ережелеріне сәйкес келмесе (яғни жазбалар немесе директивалар), олар ACL соңында барлық ережелер берілуіне тыйым салатын жасырын ережеге сәйкес келеді, бұл барлық пакеттердің (бұл ереже конфигурацияда көрсетілмейді) берілуіне тыйым салады.
Мысал. Қол жеткізуді басқарудың стандартты тізімінің директивалары
R(config)# access-list 2 deny 172.16.1.1
R(config)# access-list 2 permit 192.168.1.0 0.0.0.255
R(config)# access-list 2 deny 172.16.0.0 0.0.255.255
R(config)# access-list 2 permit 10.0.0.0 0.255.255.255
Енгізуді басқару тізімінің бірінші жолында инверттелген маска қолданылмағанын көрсетеді (ол жерде жоқ екенін ескеріңіз). Осындай жағдайда, маска көрсетілмеген кезде стандартты мәні 0.0.0.0 болатын инверттелген маска қолданылады. Бұл ACL тізім директивасы бір IP адресіне кіруге тыйым салады - 172.16.1.1.
Екінші жол 192.168.1.0, яғни, адрестерден желіге енуге мүмкіндік береді, адресі 192.168.1 комбинациясынан басталатын кез келген адреске сійкес келеді.
Үшінші жолдағы нұсқаулық 172.16.0.0 желісіге кіруге тыйым салады, ал төртіншісі жолдағы директива пакеттері 10-нан басталатын кез келген адреске жіберуге мүмкіндік береді, яғни желіден 10.0.0.0.
IP access-group қатынасу тобының командасы жасалған қатынасты басқару тізімін интерфейспен байланыстыру үшін қолданылады. Әр порт, хаттама және бағыт үшін тек бір тізімге рұқсат етілгенін ескеру қажет. Команда келесі форматта болады:
Router (config) # ip access-group тізім номері {in | out}
Достарыңызбен бөлісу: |
|
|