ACCESS CONTROL LIST - (in)
ACCESS CONTROL LIST - (in)
Cześć, witam was bardzo serdecznie.
Mam problem, z którym nie mogę sobie poradzić a są nim access listy w wersji in.
Chciałbym aby pakiety nie obciążały ruchu aby były one "wyłączane przy wejściu na pierwsza bramę",
chodzi o to aby pakiet idący z lewej strony zatrzymał się na interface 0/0, przy pierwszym routerze.
Czy mógłby mnie ktoś nakierować w jaki sposób to zrobić?
Plik
http://uploadfile.pl/pokaz/1097865---wbte.html
Topologia:
https://zapodaj.net/fa5c86d2b3365.jpg.html
Konfiguracja 1:
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.10
description Ksiegowosc
encapsulation dot1Q 10
ip address 172.16.0.1 255.255.255.128
ip access-group 1 out
!
interface FastEthernet0/0.20
description Sekretariat
encapsulation dot1Q 20
ip address 172.16.0.129 255.255.255.128
ip access-group 2 out
!
interface FastEthernet0/0.30
description Kadry
encapsulation dot1Q 30
ip address 172.16.1.1 255.255.255.192
ip access-group 3 out
!
interface FastEthernet0/0.40
description Place
encapsulation dot1Q 40
ip address 172.16.1.65 255.255.255.192
ip access-group 3 out
!
interface FastEthernet0/0.50
description Dyrekcja
encapsulation dot1Q 50
ip address 172.16.1.129 255.255.255.224
ip access-group 2 out
!
interface FastEthernet1/0
ip address 172.16.7.133 255.255.255.252
ip access-group 100 out
duplex auto
speed auto
!
interface FastEthernet2/0
ip address 172.16.7.129 255.255.255.252
ip access-group 100 out
duplex auto
speed auto
!
interface FastEthernet3/0
no ip address
duplex auto
speed auto
shutdown
!
router ospf 1
log-adjacency-changes
network 172.16.7.132 0.0.0.3 area 0
network 172.16.7.128 0.0.0.3 area 0
network 172.16.0.0 0.0.0.127 area 0
network 172.16.0.128 0.0.0.127 area 0
network 172.16.1.0 0.0.0.63 area 0
network 172.16.1.64 0.0.0.63 area 0
network 172.16.1.128 0.0.0.31 area 0
!
ip classless
!
ip flow-export version 9
!
!
access-list 1 deny host 172.16.0.129
access-list 1 deny 172.16.0.128 0.0.0.127
access-list 1 deny 172.16.1.0 0.0.0.63
access-list 1 deny 172.16.1.64 0.0.0.63
access-list 1 deny 172.16.1.128 0.0.0.31
access-list 1 permit any
access-list 2 deny 172.16.0.0 0.0.0.127
access-list 2 deny 172.16.1.0 0.0.0.63
access-list 2 deny 172.16.1.64 0.0.0.63
access-list 2 permit any
access-list 3 deny 172.16.0.128 0.0.0.127
access-list 3 deny 172.16.0.0 0.0.0.127
access-list 3 deny 172.16.1.128 0.0.0.3
access-list 3 permit any
access-list 100 deny ip 172.16.0.0 0.0.0.127 172.16.4.32 0.0.0.31
access-list 100 deny ip 172.16.0.0 0.0.0.127 172.16.4.64 0.0.0.31
access-list 100 deny ip 172.16.0.0 0.0.0.127 172.16.4.96 0.0.0.31
access-list 100 deny ip 172.16.0.0 0.0.0.127 172.16.4.128 0.0.0.31
access-list 100 deny ip 172.16.0.128 0.0.0.127 172.16.4.0 0.0.0.31
access-list 100 deny ip 172.16.0.128 0.0.0.127 172.16.4.64 0.0.0.31
access-list 100 deny ip 172.16.0.128 0.0.0.127 172.16.4.96 0.0.0.31
access-list 100 deny ip 172.16.1.0 0.0.0.63 172.16.4.0 0.0.0.31
access-list 100 deny ip 172.16.1.0 0.0.0.63 172.16.4.32 0.0.0.31
access-list 100 deny ip 172.16.1.0 0.0.0.63 172.16.4.128 0.0.0.31
access-list 100 deny ip 172.16.1.64 0.0.0.63 172.16.4.0 0.0.0.31
access-list 100 deny ip 172.16.1.64 0.0.0.63 172.16.4.32 0.0.0.31
access-list 100 deny ip 172.16.1.64 0.0.0.63 172.16.4.128 0.0.0.31
access-list 100 deny ip 172.16.1.128 0.0.0.31 172.16.4.0 0.0.0.31
access-list 100 deny ip 172.16.1.128 0.0.0.31 172.16.4.64 0.0.0.31
access-list 100 deny ip 172.16.1.128 0.0.0.31 172.16.4.96 0.0.0.31
access-list 100 permit ip any any
Konfiguracja 2:
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.10
description Ksiegowosc
encapsulation dot1Q 10
ip address 172.16.4.1 255.255.255.224
ip access-group 1 out
!
interface FastEthernet0/0.20
description Sekretariat
encapsulation dot1Q 20
ip address 172.16.4.33 255.255.255.224
ip access-group 2 out
!
interface FastEthernet0/0.30
description Kadry
encapsulation dot1Q 30
ip address 172.16.4.65 255.255.255.224
ip access-group 3 out
!
interface FastEthernet0/0.40
description Place
encapsulation dot1Q 40
ip address 172.16.4.97 255.255.255.224
ip access-group 3 out
!
interface FastEthernet0/0.50
description Dyrekcja
encapsulation dot1Q 50
ip address 172.16.4.129 255.255.255.224
ip access-group 2 out
!
interface FastEthernet1/0
ip address 172.16.7.134 255.255.255.252
ip access-group 100 out
duplex auto
speed auto
!
interface FastEthernet2/0
ip address 172.16.7.138 255.255.255.252
ip access-group 100 out
duplex auto
speed auto
!
interface FastEthernet3/0
no ip address
duplex auto
speed auto
shutdown
!
router ospf 1
log-adjacency-changes
network 172.16.7.136 0.0.0.3 area 0
network 172.16.7.132 0.0.0.3 area 0
network 172.16.4.0 0.0.0.31 area 0
network 172.16.4.32 0.0.0.31 area 0
network 172.16.4.64 0.0.0.31 area 0
network 172.16.4.96 0.0.0.31 area 0
network 172.16.4.128 0.0.0.31 area 0
!
ip classless
!
ip flow-export version 9
!
!
access-list 2 deny 172.16.4.0 0.0.0.31
access-list 2 deny 172.16.4.64 0.0.0.31
access-list 2 deny 172.16.4.96 0.0.0.31
access-list 2 permit any
access-list 3 deny 172.16.4.0 0.0.0.31
access-list 3 deny 172.16.4.32 0.0.0.31
access-list 3 deny 172.16.4.128 0.0.0.31
access-list 3 permit any
access-list 1 deny 172.16.4.128 0.0.0.31
access-list 1 deny 172.16.4.96 0.0.0.31
access-list 1 deny 172.16.4.64 0.0.0.31
access-list 1 deny 172.16.4.32 0.0.0.31
access-list 1 permit any
access-list 100 deny ip 172.16.4.0 0.0.0.31 172.16.0.128 0.0.0.127
access-list 100 deny ip 172.16.4.0 0.0.0.31 172.16.1.0 0.0.0.63
access-list 100 deny ip 172.16.4.0 0.0.0.31 172.16.1.64 0.0.0.63
access-list 100 deny ip 172.16.4.0 0.0.0.31 172.16.1.128 0.0.0.31
access-list 100 deny ip 172.16.4.32 0.0.0.31 172.16.0.0 0.0.0.127
access-list 100 deny ip 172.16.4.32 0.0.0.31 172.16.1.0 0.0.0.63
access-list 100 deny ip 172.16.4.32 0.0.0.31 172.16.1.64 0.0.0.63
access-list 100 deny ip 172.16.4.64 0.0.0.31 172.16.0.0 0.0.0.127
access-list 100 deny ip 172.16.4.64 0.0.0.31 172.16.0.128 0.0.0.127
access-list 100 deny ip 172.16.4.64 0.0.0.31 172.16.1.128 0.0.0.31
access-list 100 deny ip 172.16.4.96 0.0.0.31 172.16.0.0 0.0.0.127
access-list 100 deny ip 172.16.4.96 0.0.0.31 172.16.0.128 0.0.0.127
access-list 100 deny ip 172.16.4.96 0.0.0.31 172.16.1.128 0.0.0.31
access-list 100 deny ip 172.16.4.128 0.0.0.31 172.16.0.0 0.0.0.127
access-list 100 deny ip 172.16.4.128 0.0.0.31 172.16.1.64 0.0.0.63
access-list 100 deny ip 172.16.4.128 0.0.0.31 172.16.1.0 0.0.0.63
access-list 100 permit ip any any
Dziękuje za każdą pomoc.
Mam problem, z którym nie mogę sobie poradzić a są nim access listy w wersji in.
Chciałbym aby pakiety nie obciążały ruchu aby były one "wyłączane przy wejściu na pierwsza bramę",
chodzi o to aby pakiet idący z lewej strony zatrzymał się na interface 0/0, przy pierwszym routerze.
Czy mógłby mnie ktoś nakierować w jaki sposób to zrobić?
Plik
http://uploadfile.pl/pokaz/1097865---wbte.html
Topologia:
https://zapodaj.net/fa5c86d2b3365.jpg.html
Konfiguracja 1:
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.10
description Ksiegowosc
encapsulation dot1Q 10
ip address 172.16.0.1 255.255.255.128
ip access-group 1 out
!
interface FastEthernet0/0.20
description Sekretariat
encapsulation dot1Q 20
ip address 172.16.0.129 255.255.255.128
ip access-group 2 out
!
interface FastEthernet0/0.30
description Kadry
encapsulation dot1Q 30
ip address 172.16.1.1 255.255.255.192
ip access-group 3 out
!
interface FastEthernet0/0.40
description Place
encapsulation dot1Q 40
ip address 172.16.1.65 255.255.255.192
ip access-group 3 out
!
interface FastEthernet0/0.50
description Dyrekcja
encapsulation dot1Q 50
ip address 172.16.1.129 255.255.255.224
ip access-group 2 out
!
interface FastEthernet1/0
ip address 172.16.7.133 255.255.255.252
ip access-group 100 out
duplex auto
speed auto
!
interface FastEthernet2/0
ip address 172.16.7.129 255.255.255.252
ip access-group 100 out
duplex auto
speed auto
!
interface FastEthernet3/0
no ip address
duplex auto
speed auto
shutdown
!
router ospf 1
log-adjacency-changes
network 172.16.7.132 0.0.0.3 area 0
network 172.16.7.128 0.0.0.3 area 0
network 172.16.0.0 0.0.0.127 area 0
network 172.16.0.128 0.0.0.127 area 0
network 172.16.1.0 0.0.0.63 area 0
network 172.16.1.64 0.0.0.63 area 0
network 172.16.1.128 0.0.0.31 area 0
!
ip classless
!
ip flow-export version 9
!
!
access-list 1 deny host 172.16.0.129
access-list 1 deny 172.16.0.128 0.0.0.127
access-list 1 deny 172.16.1.0 0.0.0.63
access-list 1 deny 172.16.1.64 0.0.0.63
access-list 1 deny 172.16.1.128 0.0.0.31
access-list 1 permit any
access-list 2 deny 172.16.0.0 0.0.0.127
access-list 2 deny 172.16.1.0 0.0.0.63
access-list 2 deny 172.16.1.64 0.0.0.63
access-list 2 permit any
access-list 3 deny 172.16.0.128 0.0.0.127
access-list 3 deny 172.16.0.0 0.0.0.127
access-list 3 deny 172.16.1.128 0.0.0.3
access-list 3 permit any
access-list 100 deny ip 172.16.0.0 0.0.0.127 172.16.4.32 0.0.0.31
access-list 100 deny ip 172.16.0.0 0.0.0.127 172.16.4.64 0.0.0.31
access-list 100 deny ip 172.16.0.0 0.0.0.127 172.16.4.96 0.0.0.31
access-list 100 deny ip 172.16.0.0 0.0.0.127 172.16.4.128 0.0.0.31
access-list 100 deny ip 172.16.0.128 0.0.0.127 172.16.4.0 0.0.0.31
access-list 100 deny ip 172.16.0.128 0.0.0.127 172.16.4.64 0.0.0.31
access-list 100 deny ip 172.16.0.128 0.0.0.127 172.16.4.96 0.0.0.31
access-list 100 deny ip 172.16.1.0 0.0.0.63 172.16.4.0 0.0.0.31
access-list 100 deny ip 172.16.1.0 0.0.0.63 172.16.4.32 0.0.0.31
access-list 100 deny ip 172.16.1.0 0.0.0.63 172.16.4.128 0.0.0.31
access-list 100 deny ip 172.16.1.64 0.0.0.63 172.16.4.0 0.0.0.31
access-list 100 deny ip 172.16.1.64 0.0.0.63 172.16.4.32 0.0.0.31
access-list 100 deny ip 172.16.1.64 0.0.0.63 172.16.4.128 0.0.0.31
access-list 100 deny ip 172.16.1.128 0.0.0.31 172.16.4.0 0.0.0.31
access-list 100 deny ip 172.16.1.128 0.0.0.31 172.16.4.64 0.0.0.31
access-list 100 deny ip 172.16.1.128 0.0.0.31 172.16.4.96 0.0.0.31
access-list 100 permit ip any any
Konfiguracja 2:
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.10
description Ksiegowosc
encapsulation dot1Q 10
ip address 172.16.4.1 255.255.255.224
ip access-group 1 out
!
interface FastEthernet0/0.20
description Sekretariat
encapsulation dot1Q 20
ip address 172.16.4.33 255.255.255.224
ip access-group 2 out
!
interface FastEthernet0/0.30
description Kadry
encapsulation dot1Q 30
ip address 172.16.4.65 255.255.255.224
ip access-group 3 out
!
interface FastEthernet0/0.40
description Place
encapsulation dot1Q 40
ip address 172.16.4.97 255.255.255.224
ip access-group 3 out
!
interface FastEthernet0/0.50
description Dyrekcja
encapsulation dot1Q 50
ip address 172.16.4.129 255.255.255.224
ip access-group 2 out
!
interface FastEthernet1/0
ip address 172.16.7.134 255.255.255.252
ip access-group 100 out
duplex auto
speed auto
!
interface FastEthernet2/0
ip address 172.16.7.138 255.255.255.252
ip access-group 100 out
duplex auto
speed auto
!
interface FastEthernet3/0
no ip address
duplex auto
speed auto
shutdown
!
router ospf 1
log-adjacency-changes
network 172.16.7.136 0.0.0.3 area 0
network 172.16.7.132 0.0.0.3 area 0
network 172.16.4.0 0.0.0.31 area 0
network 172.16.4.32 0.0.0.31 area 0
network 172.16.4.64 0.0.0.31 area 0
network 172.16.4.96 0.0.0.31 area 0
network 172.16.4.128 0.0.0.31 area 0
!
ip classless
!
ip flow-export version 9
!
!
access-list 2 deny 172.16.4.0 0.0.0.31
access-list 2 deny 172.16.4.64 0.0.0.31
access-list 2 deny 172.16.4.96 0.0.0.31
access-list 2 permit any
access-list 3 deny 172.16.4.0 0.0.0.31
access-list 3 deny 172.16.4.32 0.0.0.31
access-list 3 deny 172.16.4.128 0.0.0.31
access-list 3 permit any
access-list 1 deny 172.16.4.128 0.0.0.31
access-list 1 deny 172.16.4.96 0.0.0.31
access-list 1 deny 172.16.4.64 0.0.0.31
access-list 1 deny 172.16.4.32 0.0.0.31
access-list 1 permit any
access-list 100 deny ip 172.16.4.0 0.0.0.31 172.16.0.128 0.0.0.127
access-list 100 deny ip 172.16.4.0 0.0.0.31 172.16.1.0 0.0.0.63
access-list 100 deny ip 172.16.4.0 0.0.0.31 172.16.1.64 0.0.0.63
access-list 100 deny ip 172.16.4.0 0.0.0.31 172.16.1.128 0.0.0.31
access-list 100 deny ip 172.16.4.32 0.0.0.31 172.16.0.0 0.0.0.127
access-list 100 deny ip 172.16.4.32 0.0.0.31 172.16.1.0 0.0.0.63
access-list 100 deny ip 172.16.4.32 0.0.0.31 172.16.1.64 0.0.0.63
access-list 100 deny ip 172.16.4.64 0.0.0.31 172.16.0.0 0.0.0.127
access-list 100 deny ip 172.16.4.64 0.0.0.31 172.16.0.128 0.0.0.127
access-list 100 deny ip 172.16.4.64 0.0.0.31 172.16.1.128 0.0.0.31
access-list 100 deny ip 172.16.4.96 0.0.0.31 172.16.0.0 0.0.0.127
access-list 100 deny ip 172.16.4.96 0.0.0.31 172.16.0.128 0.0.0.127
access-list 100 deny ip 172.16.4.96 0.0.0.31 172.16.1.128 0.0.0.31
access-list 100 deny ip 172.16.4.128 0.0.0.31 172.16.0.0 0.0.0.127
access-list 100 deny ip 172.16.4.128 0.0.0.31 172.16.1.64 0.0.0.63
access-list 100 deny ip 172.16.4.128 0.0.0.31 172.16.1.0 0.0.0.63
access-list 100 permit ip any any
Dziękuje za każdą pomoc.
Re: ACCESS CONTROL LIST - (in)
Bez patrzenia, wnikania itd - może zmień te 'out' na 'in'?Adam1002 pisze:Mam problem, z którym nie mogę sobie poradzić a są nim access listy w wersji in.
(....)Kod: Zaznacz cały
ip access-group 1 out
Re: ACCESS CONTROL LIST - (in)
Cześć konradrz, no własnie zmieniałem oraz dodałem na interface FastEthernet0/0 ip access-group 100 in i to właśnie nic nie daje, pakiety przechodzą jakby tych ograniczeń nie było nie wiem czy błąd może wynikać z topologi lub z czegoś innego? Czy interface FastEthernet0/0 musi mieć adresacje w tym przypadku oraz czy połączenie krosowe pomiędzy routerem a switchem jest akceptowalne?
Zmieniona konfiguracja:
http://uploadfile.pl/pokaz/1098223---krtt.html
Zmieniona konfiguracja:
http://uploadfile.pl/pokaz/1098223---krtt.html
Kod: Zaznacz cały
interface FastEthernet0/0
no ip address
ip access-group 100 in
duplex auto
speed auto
!
interface FastEthernet0/0.10
description Ksiegowosc
encapsulation dot1Q 10
ip address 172.16.0.1 255.255.255.128
ip access-group 1 out
!
interface FastEthernet0/0.20
description Sekretariat
encapsulation dot1Q 20
ip address 172.16.0.129 255.255.255.128
ip access-group 2 out
!
interface FastEthernet0/0.30
description Kadry
encapsulation dot1Q 30
ip address 172.16.1.1 255.255.255.192
ip access-group 3 out
!
interface FastEthernet0/0.40
description Place
encapsulation dot1Q 40
ip address 172.16.1.65 255.255.255.192
ip access-group 3 out
!
interface FastEthernet0/0.50
description Dyrekcja
encapsulation dot1Q 50
ip address 172.16.1.129 255.255.255.224
ip access-group 2 out
!
interface FastEthernet1/0
ip address 172.16.7.133 255.255.255.252
duplex auto
speed auto
!
interface FastEthernet2/0
ip address 172.16.7.129 255.255.255.252
duplex auto
speed auto
!
interface FastEthernet3/0
no ip address
duplex auto
speed auto
shutdown
!
router ospf 1
log-adjacency-changes
network 172.16.7.132 0.0.0.3 area 0
network 172.16.7.128 0.0.0.3 area 0
network 172.16.0.0 0.0.0.127 area 0
network 172.16.0.128 0.0.0.127 area 0
network 172.16.1.0 0.0.0.63 area 0
network 172.16.1.64 0.0.0.63 area 0
network 172.16.1.128 0.0.0.31 area 0
!
ip classless
!
ip flow-export version 9
!
!
access-list 1 deny host 172.16.0.129
access-list 1 deny 172.16.0.128 0.0.0.127
access-list 1 deny 172.16.1.0 0.0.0.63
access-list 1 deny 172.16.1.64 0.0.0.63
access-list 1 deny 172.16.1.128 0.0.0.31
access-list 1 permit any
access-list 2 deny 172.16.0.0 0.0.0.127
access-list 2 deny 172.16.1.0 0.0.0.63
access-list 2 deny 172.16.1.64 0.0.0.63
access-list 2 permit any
access-list 3 deny 172.16.0.128 0.0.0.127
access-list 3 deny 172.16.0.0 0.0.0.127
access-list 3 deny 172.16.1.128 0.0.0.3
access-list 3 permit any
access-list 100 deny ip 172.16.0.0 0.0.0.127 172.16.4.32 0.0.0.31
access-list 100 deny ip 172.16.0.0 0.0.0.127 172.16.4.64 0.0.0.31
access-list 100 deny ip 172.16.0.0 0.0.0.127 172.16.4.96 0.0.0.31
access-list 100 deny ip 172.16.0.0 0.0.0.127 172.16.4.128 0.0.0.31
access-list 100 deny ip 172.16.0.128 0.0.0.127 172.16.4.0 0.0.0.31
access-list 100 deny ip 172.16.0.128 0.0.0.127 172.16.4.64 0.0.0.31
access-list 100 deny ip 172.16.0.128 0.0.0.127 172.16.4.96 0.0.0.31
access-list 100 deny ip 172.16.1.0 0.0.0.63 172.16.4.0 0.0.0.31
access-list 100 deny ip 172.16.1.0 0.0.0.63 172.16.4.32 0.0.0.31
access-list 100 deny ip 172.16.1.0 0.0.0.63 172.16.4.128 0.0.0.31
access-list 100 deny ip 172.16.1.64 0.0.0.63 172.16.4.0 0.0.0.31
access-list 100 deny ip 172.16.1.64 0.0.0.63 172.16.4.32 0.0.0.31
access-list 100 deny ip 172.16.1.64 0.0.0.63 172.16.4.128 0.0.0.31
access-list 100 deny ip 172.16.1.128 0.0.0.31 172.16.4.0 0.0.0.31
access-list 100 deny ip 172.16.1.128 0.0.0.31 172.16.4.64 0.0.0.31
access-list 100 deny ip 172.16.1.128 0.0.0.31 172.16.4.96 0.0.0.31
access-list 100 permit ip any any
Kod: Zaznacz cały
interface FastEthernet0/0
no ip address
ip access-group 100 in
duplex auto
speed auto
!
interface FastEthernet0/0.10
description Ksiegowosc
encapsulation dot1Q 10
ip address 172.16.4.1 255.255.255.224
ip access-group 1 out
!
interface FastEthernet0/0.20
description Sekretariat
encapsulation dot1Q 20
ip address 172.16.4.33 255.255.255.224
ip access-group 2 out
!
interface FastEthernet0/0.30
description Kadry
encapsulation dot1Q 30
ip address 172.16.4.65 255.255.255.224
ip access-group 3 out
!
interface FastEthernet0/0.40
description Place
encapsulation dot1Q 40
ip address 172.16.4.97 255.255.255.224
ip access-group 3 out
!
interface FastEthernet0/0.50
description Dyrekcja
encapsulation dot1Q 50
ip address 172.16.4.129 255.255.255.224
ip access-group 2 out
!
interface FastEthernet1/0
ip address 172.16.7.134 255.255.255.252
duplex auto
speed auto
!
interface FastEthernet2/0
ip address 172.16.7.138 255.255.255.252
duplex auto
speed auto
!
interface FastEthernet3/0
no ip address
duplex auto
speed auto
shutdown
!
router ospf 1
log-adjacency-changes
network 172.16.7.136 0.0.0.3 area 0
network 172.16.7.132 0.0.0.3 area 0
network 172.16.4.0 0.0.0.31 area 0
network 172.16.4.32 0.0.0.31 area 0
network 172.16.4.64 0.0.0.31 area 0
network 172.16.4.96 0.0.0.31 area 0
network 172.16.4.128 0.0.0.31 area 0
!
ip classless
!
ip flow-export version 9
!
!
access-list 2 deny 172.16.4.0 0.0.0.31
access-list 2 deny 172.16.4.64 0.0.0.31
access-list 2 deny 172.16.4.96 0.0.0.31
access-list 2 permit any
access-list 3 deny 172.16.4.0 0.0.0.31
access-list 3 deny 172.16.4.32 0.0.0.31
access-list 3 deny 172.16.4.128 0.0.0.31
access-list 3 permit any
access-list 1 deny 172.16.4.128 0.0.0.31
access-list 1 deny 172.16.4.96 0.0.0.31
access-list 1 deny 172.16.4.64 0.0.0.31
access-list 1 deny 172.16.4.32 0.0.0.31
access-list 1 permit any
access-list 100 deny ip 172.16.4.0 0.0.0.31 172.16.0.128 0.0.0.127
access-list 100 deny ip 172.16.4.0 0.0.0.31 172.16.1.0 0.0.0.63
access-list 100 deny ip 172.16.4.0 0.0.0.31 172.16.1.64 0.0.0.63
access-list 100 deny ip 172.16.4.0 0.0.0.31 172.16.1.128 0.0.0.31
access-list 100 deny ip 172.16.4.32 0.0.0.31 172.16.0.0 0.0.0.127
access-list 100 deny ip 172.16.4.32 0.0.0.31 172.16.1.0 0.0.0.63
access-list 100 deny ip 172.16.4.32 0.0.0.31 172.16.1.64 0.0.0.63
access-list 100 deny ip 172.16.4.64 0.0.0.31 172.16.0.0 0.0.0.127
access-list 100 deny ip 172.16.4.64 0.0.0.31 172.16.0.128 0.0.0.127
access-list 100 deny ip 172.16.4.64 0.0.0.31 172.16.1.128 0.0.0.31
access-list 100 deny ip 172.16.4.96 0.0.0.31 172.16.0.0 0.0.0.127
access-list 100 deny ip 172.16.4.96 0.0.0.31 172.16.0.128 0.0.0.127
access-list 100 deny ip 172.16.4.96 0.0.0.31 172.16.1.128 0.0.0.31
access-list 100 deny ip 172.16.4.128 0.0.0.31 172.16.0.0 0.0.0.127
access-list 100 deny ip 172.16.4.128 0.0.0.31 172.16.1.64 0.0.0.63
access-list 100 deny ip 172.16.4.128 0.0.0.31 172.16.1.0 0.0.0.63
access-list 100 permit ip any any
Re: ACCESS CONTROL LIST - (in)
Te ACL powinny byc IN ale na sub interfacach.
Re: ACCESS CONTROL LIST - (in)
Jak zrobisz trunka na interfejsie no to na fa0/0 nie wrzucasz adresu IP ani żadnych access list. A teraz hint, załóżmy że chcesz zablokować hosta 172.16.0.10 z VLAN 10, no to
Kod: Zaznacz cały
access-list 1 deny host 172.16.0.10
access-list 1 permit any
int fa0/0.10
ip access-gr 1 in
Jeden konfig wart więcej niż tysiąc słów
Re: ACCESS CONTROL LIST - (in)
Dziękuje wszystkim za pomoc!
Re: ACCESS CONTROL LIST - (in)
Cześć, chciałbym się was poradzić czy istnieje możliwość zrobienia acl(rozszerzonej na danej niżej topologi) tak aby host(admin) mógł pignąć do hosta(użytkownicy) ale tak aby użytkownik nie mógł do admina.
https://zapodaj.net/83a88ea4516e7.jpg.html
https://zapodaj.net/83a88ea4516e7.jpg.html
- judge dredd
- wannabe
- Posty: 214
- Rejestracja: 02 sie 2009, 15:23
Re: ACCESS CONTROL LIST - (in)
Cześć,
Jak najbardziej istnieje taka możliwość. Żeby to zrealizować, trzeba by utworzyć access-listę, która zabroniłaby wysyłania pakietów ICMP typu "echo-request" od użytkownika do admina, ale dozwoliła na wysyłanie pakietów ICMP "echo-reply". Wpisy tego dotyczące na access-liście mogłyby wyglądać np. tak:
Taką access-listę trzeba by przypiąć w kierunku od użytkownika do admina, czyli albo na interfejsie Fa1/0 w kierunku "in" albo na interfejsie Fa0/0 w kierunku "out".
Jeśli natomiast ogólne założenie byłoby takie, aby z sieci adminów można było pingować wszystkich innych, ale nikt inny z nikąd nie mógł pingować nikogo w sieci adminów, to można by to było zrobić tak:
Oczywiście w powyższych przykładach nie poruszam kwestii przesyłania innego ruchu - tylko to, co się tyczy przedmiotu pytania, czyli "pingowania".
Pozdrawiam!
JD
Jak najbardziej istnieje taka możliwość. Żeby to zrealizować, trzeba by utworzyć access-listę, która zabroniłaby wysyłania pakietów ICMP typu "echo-request" od użytkownika do admina, ale dozwoliła na wysyłanie pakietów ICMP "echo-reply". Wpisy tego dotyczące na access-liście mogłyby wyglądać np. tak:
Kod: Zaznacz cały
access-list 101 deny icmp host [Użytkownik] host [Admin] echo
access-list 101 permit icmp host [Użytkownik] host [Admin] echo-reply
Jeśli natomiast ogólne założenie byłoby takie, aby z sieci adminów można było pingować wszystkich innych, ale nikt inny z nikąd nie mógł pingować nikogo w sieci adminów, to można by to było zrobić tak:
Kod: Zaznacz cały
access-list 101 permit icmp any any echo-reply
access-list 101 deny icmp any any echo
interface Fa0/0
ip access-group 101 out
Pozdrawiam!
JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)
Akademia Sieci LANPulse (www.lanpulse.pl)
Re: ACCESS CONTROL LIST - (in)
@Adam1002 może już o tym było ale nie wiem i pytam bo mnie to ciekawi, a mianowicie robisz to na prawdziwym sprzęcie czy w jakimś programie typu gns3?
Re: ACCESS CONTROL LIST - (in)
Dziękuje judge dredd, bardzo mi pomogłeś, jestem twoim dłużnikiem Mam jeszcze jedno pytanie, a jeśli chciałbym aby to było do komunikacji co bym musiał zrobić? Na początku robię w Packet tracer a później to przerzucam na prawdziwe urządzenia
- judge dredd
- wannabe
- Posty: 214
- Rejestracja: 02 sie 2009, 15:23
Re: ACCESS CONTROL LIST - (in)
Cześć,Adam1002 pisze:...a jeśli chciałbym aby to było do komunikacji co bym musiał zrobić?
Rozumiem, że chodzi Ci o to, żeby zrobić taką access-listę, która pozwalałaby adminom na pełną komunikację do wszystkich, ale żeby nikt nie mógł dostać się do sieci adminów? Na access-listach można to osiągnąć dla ruchu tcp oraz dla icmp. Jesli chciałbyś regulować również ruch udp na takiej zasadzie, to potrzebujesz już SPI, czyli firewalla. Ale w wielu przypadkach tcp/icmp wystarcza. Trzeba wtedy zrobić tak:
Przypiąć na interfejsie sieci adminów access-listę w kierunku "out", która zabroni całego ruchu za wyjątkiem odpowiedzi na pinga oraz pakietów powracających z zestawionych sesji tcp. Najprościej i bez wchodzenia w niuanse mogłoby to wyglądać następująco:
Kod: Zaznacz cały
access-list 101 permit tcp any any established
access-list 101 permit icmp any any echo-reply
access-list 101 deny ip any any
interface Fa0/0
ip access-group 101 out
Generalnie access-listy to dłuższy temat i ma wiele niuansów, ale posługując się tymi przykładami możesz dalej kombinować.
Pozdrawiam!
JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)
Akademia Sieci LANPulse (www.lanpulse.pl)
Re: ACCESS CONTROL LIST - (in)
Cześć judge dredd,
dziękuje za taką obszerną odpowiedz! Dużo mi wyjaśniłeś, jeszcze raz wielkie dzięki.
Pozdrawiam Ciebie bardzo serdecznie
dziękuje za taką obszerną odpowiedz! Dużo mi wyjaśniłeś, jeszcze raz wielkie dzięki.
Pozdrawiam Ciebie bardzo serdecznie