差異處

這裏顯示兩個版本的差異處。

--- network:ip:acl_base [2014/03/09 09:36]
ali88
+++ network:ip:acl_base [2014/03/09 11:02] (目前版本)
ali88
@@ 行 9: / 行 9: @@
   * 每個介面的每個協定的每個方向(in or out)只能指定一個存取清單。
 ===ACL 總類大至分兩種===
-  - **標準式存取清單(standard access list):**只比對來源IP,對於更細緻得比對服務(www,ftp,telnet,ssh等等)就無法分辨出來。
+  - **標準式存取清單(standard access list):**只比對來源IP,對於更細緻得比對服務(www,ftp,telnet,ssh等等)就無法分辨出來。配置時,盡量配置在靠近目的。
-  - **延伸式存取清單(extend acess list):** 補足標準式的不足,可以比對來源及目地IP位置與服務(www,ftp,telnet,ssh等等)及第三層及第四層表頭協定。
+  - **延伸式存取清單(extend acess list):** 補足標準式的不足,可以比對來源及目地IP位置與服務(www,ftp,telnet,ssh等等)及第三層及第四層表頭協定。配置時,盡量配置在靠近來源。
+======範例演練======
+===圖例===
+{{:network:ip:example_picture.png|}}
+===設定原則===
+  - 在未設定ACL時,先測試看看基本網路是否可以到達。
+  - 在ACL全域設定中建立清單,寫規則。
+  - 在將清單指定到介面的哪一個方向(in or out)。
+===利用名稱存取列表方式設定===
+  * 目的:阻擋192.168.22.254這個IP 無法 Ping 到R1任何介面。
+  * 未設定ACL情況下。先測試R1及R2的來源IP:192.168.22.254,是可以通達。<code>R2#ping 192.168.1.254 source 192.168.2.254
+Packet sent with a source address of 192.168.2.254
+!!!!!
+R1#ping 192.168.22.254 source 192.168.1.254
+Packet sent with a source address of 192.168.1.254
+!!!!!
+</code>
+  * 在R1 ACL全域設定中設定建立一個延伸清單名稱為test, 阻擋192.168.22.254這個IP<code>R1#conf t
+R1(config)#ip access-list extended test
+R1(config-ext-nacl)#deny icmp host 192.168.22.254  any
+R1(config-ext-nacl)#do sh ip access
+Extended IP access list test
+deny icmp host 192.168.2.254 any
+</code>
+  * 在將清單指定到R1 s0/0介面進來的方向<code>R1(config)#int s0/0
+R1(config-if)#ip access-group test in
+</code>
+  * 測試R2 ping 192.168.1.254,為什麼連192.168.2.254也阻擋<code>R2#ping 192.168.1.254 source 192.168.22.254
+Packet sent with a source address of 192.168.22.254
+U.U
+R2#ping 192.168.1.254 source 192.168.2.254
+Packet sent with a source address of 192.168.2.254
+..
+</code>
+  * 因為在清單最後一列要加上permit any any,因為存取清單的結尾都會有一列隱含的”拒絕”。<code>R1(config-ext-nacl)#permit ip host any any</code>再測試看看R2 192.168.2.254不可被阻擋<code>R2#ping 192.168.1.254 source 192.168.2.254
+Packet sent with a source address of 192.168.2.254
+!!!!!
+</code>

阿里BaBa電腦筆記

使用者工具

網站工具

差異處

頁面工具