Списки контроля доступа (ACL) позволяют маршрутизатору разрешать или запрещать пакеты на основе различных критериев. ACL настраивается в глобальном режиме, но применяется на уровне интерфейса. ACL не вступит в силу, пока он не будет явно применен к интерфейсу с помощью команды ip access-group. Пакеты можно фильтровать при входе или выходе из интерфейса.
Если пакет входит или выходит из интерфейса с примененным ACL, пакет сравнивается с критериями ACL. Если пакет соответствует первой строке ACL, выполняется соответствующее действие «разрешить» или «запретить». Если совпадений нет, проверяется критерий второй строки. Опять же, если есть совпадение, предпринимаются соответствующие действия; если совпадений нет, третья строка ACL сравнивается с пакетом.
Этот процесс продолжается до тех пор, пока не будет найдено совпадение, после чего работа ACL прекращается. Если совпадение не найдено, по умолчанию применяется «запретить», и пакет не будет обработан. Если при настройке ACL пакет не разрешен явно, он будет подвергнут неявному запрету в конце каждого ACL. Это поведение ACL по умолчанию, и его нельзя изменить.
Стандартный ACL учитывает только один фактор — IP-адрес источника пакета. Пункт назначения не учитывается. Расширенные списки ACL учитывают как источник, так и пункт назначения пакета, а также могут учитывать номер порта. Числовой диапазон, используемый для каждого из них, различен: стандартные списки ACL используют диапазоны 1–99 и 1300–1399; расширенные списки используют номера от 100 до 199 и от 2000 до 2699.
Прежде чем приступить к настройке стандартных списков ACL, стоит повторить несколько моментов.
Стандартные списки управления доступом учитывают только исходный IP-адрес для совпадений.
Линии ACL проходят сверху вниз. Если совпадений в первой строке нет, запускается вторая; если нет совпадений во втором, запускается третий, и так далее, пока не будет совпадения или не будет достигнут конец ACL. Этот процесс сверху вниз придает особое значение порядку строк.
В конце каждого ACL имеется неявное запрещение. Если пакеты не разрешены явно, они неявно запрещаются.
Если интерфейс Ethernet маршрутизатора 3 должен принимать только пакеты с исходной сетью 172.12.12.0, ACL будет настроен следующим образом:
R3#конф т
R3(config)#access-list 5 разрешение 172.12.12.0 0.0.0.255
ACL состоит только из одной явной строки, которая разрешает пакеты с исходного IP-адреса 172.12.12.0/24. Неявное запрещение, которое не настроено и не отображается в текущей конфигурации, будет блокировать все пакеты, не соответствующие первой строке.
Затем ACL применяется к интерфейсу Ethernet0:
R3#конф т
R3(конфигурация)#интерфейс e0
R3(config-if)#ip access-group 5 в
Но прежде чем писать какие-либо списки ACL, полезно посмотреть, какие еще списки ACL уже запущены на маршрутизаторе! Чтобы просмотреть списки ACL, работающие на маршрутизаторе, используйте команду show access-list.
R1#показать список доступа
Стандартный список IP-доступа 1
разрешение 0.0.0.0
Стандартный список IP-доступа 5
разрешение 172.1.1.1
Стандартный список IP-доступа 7
разрешение 23.3.3.3
Расширенный список IP-доступа 100
разрешить TCP любой любой lt www (26 совпадений)
разрешить TCP любой любой NEQ telnet (12 совпадений)
запретить IP любой любой
Расширенный список IP-доступа 105
запретить TCP любой любой eq www
запретить TCP любой любой eq telnet
Вы будете использовать списки ACL на протяжении всей лестницы сертификации Cisco и на протяжении всей своей карьеры. Умение писать и применять списки ACL имеет первостепенное значение, и все начинается с освоения основ!
Учебное пособие по экзамену Cisco CCNA: настройка стандартных списков доступа
Списки контроля доступа (ACL) являются важнейшим компонентом сетевой безопасности, позволяя маршрутизаторам разрешать или запрещать передачу пакетов на основе определенных критериев. Когда дело доходит до списков ACL, понимание их конфигурации и применения имеет важное значение для сетевых администраторов. В этом руководстве мы сосредоточимся на настройке стандартных списков доступа, которые в первую очередь учитывают исходный IP-адрес пакетов.
Списки ACL в маршрутизаторах Cisco настраиваются в глобальном режиме, но применяются на уровне интерфейса. Важно отметить, что ACL не вступит в силу, пока он не будет явно применен к интерфейсу с помощью команды «ip access-group». Пакеты можно фильтровать при входе или выходе из интерфейса, в зависимости от желаемых требований безопасности сети.
Когда пакет входит или выходит из интерфейса с примененным ACL, он сравнивается с критериями, указанными в ACL. Пакет оценивается по каждой строке ACL, пока не будет найдено совпадение. Если совпадение найдено, выполняется соответствующее действие (разрешить или запретить), указанное в строке. Если совпадение не найдено, оценка продолжается со следующей строки. Этот процесс продолжается до тех пор, пока не будет найдено совпадение или пока не будет достигнут конец ACL. Если соответствие не найдено, по умолчанию выполняется действие «запретить», и пакет не обрабатывается. Важно помнить, что если пакет явно не разрешен ACL, он будет подвергнут неявному запрету в конце каждого ACL. Это поведение списков ACL по умолчанию невозможно изменить.
Стандартные списки ACL ориентированы исключительно на IP-адрес источника пакета и не учитывают пункт назначения. Напротив, расширенные списки ACL учитывают IP-адреса источника и назначения, а также могут учитывать номера портов. Числовой диапазон, используемый для стандартных списков ACL, составляет 1–99 и 1300–1399, тогда как расширенные ACL используют диапазоны 100–199 и 2000–2699.
Прежде чем настраивать стандартные списки ACL, стоит еще раз подчеркнуть несколько ключевых моментов:
- Стандартные списки управления доступом учитывают только исходный IP-адрес для совпадений.
- Линии ACL оцениваются сверху вниз. Если совпадения в первой строке нет, оценка продолжается со второй строки и так далее, пока не будет найдено совпадение или не будет достигнут конец ACL. Поэтому порядок строк имеет решающее значение.
- Неявное запрещение присутствует в конце каждого списка ACL. Если пакеты не разрешены явно, они неявно запрещаются.
Давайте рассмотрим пример сценария, в котором интерфейс Ethernet маршрутизатора 3 должен принимать только пакеты с исходной сетью 172.12.12.0. Чтобы настроить этот ACL, выполните следующие действия:
- Доступ к режиму глобальной конфигурации на маршрутизаторе 3:
Копировать
R3(config)# interface e0 R3(config-if)# ip access-group 5 in
- Создайте ACL с номером 5 и разрешите пакеты с исходного IP-адреса 172.12.12.0:
Копировать
R3(config)# access-list 5 permit 172.12.12.0 0.0.0.255
В этом случае ACL состоит только из одной конкретной строки, которая разрешает пакеты с исходного IP-адреса 172.12.12.0/24. Любые пакеты, не соответствующие этой строке, будут неявно отклонены из-за неявного запрета в конце ACL.
- Примените ACL к интерфейсу Ethernet0:
ангелскрипт Копировать
R3# conf t
Применяя ACL к интерфейсу Ethernet0, мы гарантируем, что пакеты, входящие в этот интерфейс, будут проверяться на соответствие критериям ACL.
Прежде чем приступить к настройке списков ACL, всегда рекомендуется проверить существующие списки ACL, работающие на маршрутизаторе. Чтобы просмотреть списки ACL, вы можете использовать команду «показать список доступа». Например:
pgsql Копировать
R1#show access-list
Standard IP access list 1
permit 0.0.0.0
Standard IP access list 5
permit 172.1.1.1
Standard IP access list 7
permit 23.3.3.3
Extended IP access list 100
permit tcp any any lt www (26 matches)
permit tcp any any neq telnet (12 matches)
deny ip any any
Extended IP access list 105
deny tcp any any eq www
deny tcp any any eq telnet
Эти выходные данные отображают существующие списки ACL на маршрутизаторе 1, включая стандартные и расширенные списки ACL с соответствующими операторами разрешения и запрета. Понимание существующих списков ACL имеет решающее значение при разработке и внедрении новых списков ACL, чтобы избежать конфликтов или непредвиденных последствий.
В заключение, освоение настройки и применения списков ACL жизненно важно для сетевых администраторов, особенно для тех, кто стремится получить сертификаты Cisco, такие как CCNA. Стандартные списки доступа, в которых основное внимание уделяется исходному IP-адресу, являются фундаментальным аспектом списков ACL. Следуя рекомендациям и примерам, представленным в этом руководстве, вы сможете начать создавать эффективные меры сетевой безопасности с использованием стандартных списков управления доступом и получить прочную основу для своей сетевой карьеры. Приношу извинения за ошибку в своем предыдущем ответе. Вот исправленная статья:
Название: Учебное пособие по экзамену Cisco CCNA: Настройка стандартных списков доступа
Списки контроля доступа (ACL) играют решающую роль в сетевой безопасности, позволяя маршрутизаторам разрешать или запрещать пакеты на основе определенных критериев. В этом руководстве мы сосредоточимся на настройке стандартных списков доступа, которые в первую очередь учитывают исходный IP-адрес пакетов.
Списки ACL настраиваются в глобальном режиме, но применяются на уровне интерфейса. Важно отметить, что ACL не вступит в силу, пока он не будет явно применен к интерфейсу с помощью команды «ip access-group». Списки ACL можно применять для фильтрации пакетов при их входе или выходе из интерфейса, в зависимости от желаемых требований безопасности сети.
Когда пакет входит или выходит из интерфейса с примененным ACL, он сравнивается с критериями, указанными в ACL. Пакет оценивается по каждой строке ACL в последовательном порядке. Если совпадение найдено, выполняется соответствующее действие (разрешить или запретить), указанное в строке. Если совпадение не найдено, оценка продолжается со следующей строки. Этот процесс продолжается до тех пор, пока не будет найдено совпадение или пока не будет достигнут конец ACL. Если соответствие не найдено, по умолчанию выполняется действие «запретить», и пакет не будет обработан. Важно помнить, что если пакет явно не разрешен ACL, он будет подвергнут неявному запрету в конце каждого ACL. Это поведение списков ACL по умолчанию невозможно изменить.
Стандартные списки ACL ориентированы исключительно на IP-адрес источника пакета и не учитывают пункт назначения. Напротив, расширенные списки ACL учитывают IP-адреса источника и назначения, а также могут учитывать номера портов. Числовой диапазон, используемый для стандартных списков ACL, составляет 1–99 и 1300–1399, тогда как расширенные ACL используют диапазоны 100–199 и 2000–2699.
Прежде чем настраивать стандартные списки ACL, стоит еще раз подчеркнуть несколько ключевых моментов:
- Стандартные списки управления доступом учитывают только исходный IP-адрес для совпадений.
- Строки ACL обрабатываются последовательно сверху вниз. Если совпадения в первой строке нет, оценка продолжается со второй строки и так далее, пока не будет найдено совпадение или не будет достигнут конец ACL. Порядок строк имеет решающее значение.
- Неявное запрещение присутствует в конце каждого списка ACL. Если пакеты не разрешены явно, они неявно запрещаются.
Давайте рассмотрим пример сценария, в котором интерфейс Ethernet маршрутизатора 3 должен принимать только пакеты с исходной сетью 172.12.12.0. Чтобы настроить этот ACL, выполните следующие действия:
- Доступ к режиму глобальной конфигурации на маршрутизаторе 3:
Копировать
R3(config)#interface e0
R3(config-if)#ip access-group 5 in
- Создайте ACL с номером 5 и разрешите пакеты с исходного IP-адреса 172.12.12.0:
Копировать
R3(config)#access-list 5 permit 172.12.12.0 0.0.0.255
В этом случае ACL состоит только из одной явной строки, которая разрешает пакеты с исходного IP-адреса 172.12.12.0/24. Любые пакеты, не соответствующие этой строке, будут неявно отклонены из-за неявного запрета в конце ACL.
- Примените ACL к интерфейсу Ethernet0:
ангелскрипт Копировать
R3#conf t
Применяя ACL к интерфейсу Ethernet0, мы гарантируем, что пакеты, входящие в этот интерфейс, будут проверяться на соответствие критериям ACL.
Прежде чем приступить к настройке списков ACL, всегда рекомендуется проверить существующие списки ACL, работающие на маршрутизаторе. Чтобы просмотреть списки ACL, вы можете использовать команду «показать список доступа». Эта команда предоставляет список существующих списков ACL вместе с их разрешениями и запретами. Понимание существующих списков ACL имеет решающее значение при разработке и внедрении новых списков ACL, чтобы избежать конфликтов или непредвиденных последствий.
В заключение, понимание того, как настраивать и применять списки ACL, жизненно важно для сетевых администраторов, особенно для тех, кто проходит сертификацию Cisco, такую как CCNA. Стандартные списки доступа, в которых основное внимание уделяется исходному IP-адресу, являются фундаментальным аспектом списков ACL. Следуя рекомендациям и примерам, приведенным в этом руководстве, вы сможете начать создавать эффективные меры сетевой безопасности с использованием стандартных списков ACL и получить прочную основу для своей сетевой карьеры.
-
Mp3-Плееры — Они Больше Не Только Для Музыки
19 Oct, 24 -
Массовое Ворчание И Тролли
19 Oct, 24 -
Белая Шляпа Против Черной Шляп?
19 Oct, 24 -
Обзор Scarface На Sony Playstation 2
19 Oct, 24 -
Компьютерные Онлайн-Дипломы: Ключ К Успеху
19 Oct, 24 -
Публикация.не?
19 Oct, 24 -
Выбор Видеокарт?
19 Oct, 24
