Cisco. ACL — различия между версиями

Материал из megapuper
Перейти к: навигация, поиск
Строка 16: Строка 16:
 
  deny ip any any
 
  deny ip any any
 
<font color=red>'''Т.Е. ЕСЛИ ЯВНО ЧТО-ТО НЕ РАЗРЕШИТЬ СВЕРХУ, ТО ЭТО БУДЕТ ЗАПРЕЩЕНО'''</font>
 
<font color=red>'''Т.Е. ЕСЛИ ЯВНО ЧТО-ТО НЕ РАЗРЕШИТЬ СВЕРХУ, ТО ЭТО БУДЕТ ЗАПРЕЩЕНО'''</font>
 +
  
 
Вешаем ACL на интерфейс(in или out)
 
Вешаем ACL на интерфейс(in или out)
 
  ip access-group TEST out
 
  ip access-group TEST out

Версия 20:27, 16 января 2014

Стандартные ACL

access-list 100 permit host 172.16.6.0
access-list 100 deny host 172.16.6.0


Расширенные ACL

ip access-list extended TEST
 permit tcp host 172.16.6.66 host 172.16.0. eq ftp
 permit tcp host 172.16.6.66 gt 1023 any eq www


ПРАВИЛА ПРОВЕРЯЮТСЯ СВЕРХУ ВНИЗ. КАК ТОЛЬКО ПРОВЕРКА ДОХОДИТ ДО ПРАВИЛА ПОД КОТОРОЕ ПАКЕТ ПОДПАДАЕТ, ПРОВЕРКА ПРЕКРАЩАЕТСЯ, НЕЗАВИСИМО ОТ ТОГО КАКИЕ ПРАВИЛА ИДУТ ДАЛЬШЕ.


В КОНЦЕ ЗАДАЁТСЯ НЕЯВНОЕ ПРАВИЛО

deny ip any any

Т.Е. ЕСЛИ ЯВНО ЧТО-ТО НЕ РАЗРЕШИТЬ СВЕРХУ, ТО ЭТО БУДЕТ ЗАПРЕЩЕНО


Вешаем ACL на интерфейс(in или out)

ip access-group TEST out