Anyagok és hírek a nagyvilágból

IT világ

IT világ

ACL-ek, hozzáférési listák, wildcard

Facebook Tumblr Tweet Pinterest Tetszik
0
2023. február 08. - itanyagok

ACL beállítások/parancsok

A célállomáshoz minél közelebb érdemes rakni. FONTOS: az interfészt is be kell
aztán állítani!

Wildcard kiszámolása: ahol a maszkban 1-es van, az 0, vagy ha 1-es, az 0
255.255.255.255-ből vonjuk ki az adott maszkot és megkapjuk a wildcard formát
(vagy fordítva)

pl: 255.255.255.255 - 0.0.0.63 -> 255.255.255.192
255.255.255.255 - 255.255.255.240 -> 0.0.0.15
-------------------------
Leírás, megjegyzés
access-list -szám-/-név- remark -szöveg-
-------------------------
Engedélyezés

access-list -szám-/-név- permit -hálózat ip címe- -wildcard maszk-
pl.: access-list 1 permit 192.168.10.0 0.0.0.255

-------------------------
Tiltás

access-list -szám-/-név- deny -ip cím-/-any-
pl: access-list 1 deny any

-------------------------
Interfész beállításra példa [interface]
Példa 1:
R3(config)# interface g0/1
R3(config-if)# ip access-group 1 out
Példa 2:
R2(config)#int s0/0/1
R2(config-if)#ip nat outside
R2(config-if)#int f0/0
R2(config-if)#ip nat inside
R2(config-if)#exit

------------------------
Bejegyzett acl-ek listázása

R3# show access-list 1
Standard IP access list 1
10 permit 192.168.10.0, wildcard bits 0.0.0.255
20 permit 192.168.20.0, wildcard bits 0.0.0.255
30 deny any
-----------------------
Interfész beállításainak listázása

R3# show ip interface g0/1
GigabitEthernet0/1 is up, line protocol is up
Internet address is 192.168.30.1/24
Broadcast address is 255.255.255.255
Address determined by non-volatile memory
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Multicast reserved groups joined: 224.0.0.10
Outgoing access list is 1
Inbound access list is not set
Output omitted
-----------------------
Kiterjesztett pingelés
R1# ping
Protocol [ip]:
Target IP address: 192.168.30.3
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:

Extended commands [n]: y
Source address or interface: 192.168.20.1
Type of service [0]:
-----------------------
Nevesített ACL létrehozása

R1(config)# ip access-list standard BRANCH-OFFICE-POLICY
R1(config-std-nacl)# permit host 192.168.30.3
R1(config-std-nacl)# permit 192.168.40.0 0.0.0.255

Majd aktiválása az interfészen
R1# config t
R1(config)# interface g0/1
R1(config-if)# ip access-group BRANCH-OFFICE-POLICY out
-----------------------
Nevesített ACL módosítása

Az alábbi példában már van egy 10-es és 20-as bejegyzés, ezt bővítjük:
R1#(config)# ip access-list standard BRANCH-OFFICE-POLICY
R1(config-std-nacl)# 30 permit 209.165.200.224 0.0.0.31
R1(config-std-nacl)# 40 deny any

Ellenőrzés:
R1# show access-lists

Standard IP access list BRANCH-OFFICE-POLICY
10 permit 192.168.30.3 (8 matches)
20 permit 192.168.40.0, wildcard bits 0.0.0.255 (5 matches)
30 permit 209.165.200.224, wildcard bits 0.0.0.31
40 deny any
-----------------------

komment
network

Ajánlott bejegyzések:

süti beállítások módosítása