На рис. 7.2 весь трафик от хоста B к сети A запрещен, а весь остальной трафик из сети B в сеть A разрешен.

Рисунок 7.2. Структура сети

Эта конфигурация будет запрещать все пакеты, полученные от хоста 192.168.10.1/32 через Ethernet 0 или R1, и разрешать прием всех остальных пакетов. Чтобы разрешить все остальные пакеты, используйте следующую команду: список доступа 1 разрешить любой. В конце каждого ACL есть условие «запретить все».

Условие важно для работы ACL. Если мы поместим запись в обратном порядке, первая строка будет соответствовать необязательному адресу пересылки пакета, как показано в этой команде. Следовательно, А не может заблокировать хост 192.168.10.1/32 от входа в сеть.

2. Расширенный список ACL

Расширенный ACL (только для зарегистрированных клиентов) контролирует трафик, сравнивая адреса отправителя и получателя IP-пакетов с перечисленными адресами. Расширенный ACL может быть явно задан для работы. Расширенный ACL-список фильтрует пакеты IPv4 по нескольким критериям:

 тип протокола;

 исходный IPv4-адрес;

 IPv4-адрес получателя;

 исходные порты TCP или UDP;

 порты TCP или UDP получателя;

 дополнительная информация о типе протокола для эффективного управления.

Расширенный ACL (только для зарегистрированных клиентов) контролирует трафик, сравнивая адреса отправителя и получателя IP-пакетов с перечисленными адресами. Расширенный ACL может быть явно задан для работы. Фильтрацию трафика можно использовать по следующим критериям:

- протокол;

- номер порта;

– значение DSCP;

- стоимость привилегии;

– Состояние бита SYN.

Расширенная команда ACL выглядит следующим образом:

Download 1.12 Mb.

Do'stlaringiz bilan baham: