Сравнение версий

Старая версия 1

changes.mady.by.user Vladislav

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Vladislav

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

  • IP Access List — фильтрация на основе информации уровней 3 и 4.
  • MAC Access List — фильтрация на основе информации уровня 2.
  • MAC-IP Access List — фильтрация на основе информации уровней 2, 3 и 4 

Чтобы определить тип ACL необходимо использовать соответствующий номер:

...

ACL 1-99 позволяют фильтровать только по IP-адресу источника. 
Пример:

Включаем функцию firewall для работы списков доступа:

...

Расширенные списки доступа IP

ACL 100-299 позволяют фильтровать трафик на основе информации, содержащейся в заголовках уровня 3 и уровня 4.

Пример ACL, который не позволит пользователю с IP-адресом 192.168.1.10 заходить по telnet на коммутатор.

Блок кода
SW1(config)#access-list 100 deny tcp host-source 192.168.1.10 host-destination 192.168.1.33 d-port 23
SW1(config)#int ethernet 1/0/1
SW1(config-if-ethernet1/0/1)#ip access-group 100 in

...

ALC 1100-1199 позволяют фильтровать трафик на основе информации, содержащейся в заголовках уровня 2.

Пример ACL, который будет отфильтровывать весь трафик, кроме трафика с определённым адресом источника: 

Блок кода
SW1(config)#access-list 1100 permit host-source-mac 3c-97-0e-d1-ad-29 any-destination-mac
SW1(config)#access-list 1100 deny any-source-mac any-destination-mac
SW1(config-if-ethernet1/0/1)#mac access-group 1100 in
SW1(config-if-ethernet1/0/2)#mac access-group 1100 in

Списки доступа MAC-

...

IP 

ACL 3100-3299 самые обширные из списков ACL, которые позволяют фильтровать трафик на основе заголовков L2, L3 и L4.

Пример ACL, который разрешает доступ по Telnet к коммутатору с определенного IP- и MAC-адреса:


Блок кода
SW1(config)#access-list 3100 permit host-source-mac 3c-97-0e-d1-ad-29 any-destination-mac tcp host-source 192.168.1.10 host-destination 192.168.1.33 d-port 23
SW1(config)#access-list 3100 deny any-source-mac any-destination-mac ip any-source anydestination
SW1(config-if-ethernet1/0/1)#mac-ip access-group 3100 in

Привязка списков доступа к VLAN 

Назначение ACL для VLAN позволяет фильтровать входящие пакеты на всех портах в этом VLAN.
Пример ACL, разрешающего только ping от ПК до коммутатора:

...

Блок кода
SW1(config)#vacl ip access-group 110 in vlan 1

Привязка ACL к VTY

Пример ACL, разрешающего только трафик из сети 10.0.0.0/24:

Блок кода
SW1(config)#access-list 1 permit 10.0.0.0 0.0.0.255
SW1(config)#access-list 1 deny any-source

Назначение ACL на VTY

Блок кода
SW1(config)#authentication ip access-class 1 in telnet
SW1(config)#authentication ip access-class 1 in ssh

...