Как удалить access list cisco
Перейти к содержимому

Как удалить access list cisco

  • автор:

Шаг 2. Удаление списка контроля доступа 11 из конфигурации

ACL-списки можно удалить из конфигурации, применив команду !no access list [номер ACLсписка]. Команда no accesslist удаляет все списки контроля доступа, настроенные на маршрутизаторе. Команда no accesslist [номер ACL-списка] удаляет только указанный список контроля доступа.

a. Для интерфейса Serial0/0/0 удалите список контроля доступа 11, который был ранее применен к интерфейсу в качестве исходящего фильтра.

R1(config)# int se0/0/0

R1(config-if)#no ip access-group 11 out

б. В режиме глобальной настройки удалите ACL-список, применив следующую команду:

R1(config)# no access-list 11

в. Убедитесь, что теперь ping-запросы с компьютера PC1 успешно достигают DNS-сервера и PC4.

Предлагаемый способ подсчета баллов

Максимальное количество баллов

Заработанные баллы

Общее количество баллов

5.3.1.10. «Определение потока пакетов»

В этом задании вам нужно будет наблюдать за потоком пакетов в топологии локальной сети и глобальной сети. Вы также пронаблюдаете, как поток пакетов может измениться при изменении топологии сети.

Часть 1. Проверка связи

Часть 2. Топология удаленной локальной сети

Часть 3. Топология глобальной сети

Фоновый / сценарий

Packet Tracer позволяет проектировать и создавать смоделированную топологию сети. В этом задании вам представлена упрощенная топология для наблюдения за потоком пакетов. Вы узнаете, как пакеты проходят через сеть, с помощью режима моделирования в Packet Tracer. Вы также пронаблюдаете за изменениями в потоке пакетов при изменении топологии сети.

Необходимые ресурсы

· Последняя установленная версия Packet Tracer

Часть 1. Проверка связи

В этой части вам предстоит убедиться в возможности доступа к другим сетям из устройств в домашней сети.

a. Нажмите PC0. Выберите вкладку Рабочий стол и откройте веб- браузер.

б. В поле адреса URL введите www.cisco.pka и нажмите Go (Перейти). Используйте домен .pka, а не домен .com. Эхозапрос должен пройти успешно. Нажмите Fast Forward Time (Ускорить), чтобы ускорить процесс.

в. Повторите эти действия для адреса www.web.pka. Эхозапрос должен пройти успешно.

г. По завершении выйдите из веб-обозревателя.

Часть 2. Топология удаленной локальной сети

В этой части вы будете использовать режим моделирования Packet Tracer для наблюдения за тем, как пакеты проходят по удаленной локальной сети.

a. Переключитесь на режим моделирования (Shift + S). Нажмите Show All/None (Показать все или ни одного), чтобы очистить все выбранные фильтры списка событий.

б. Нажмите Edit Filters (Редактировать фильтры). Выберите DNS на вкладке IPv4 и HTTP на вкладке Misc (Разное).

в. Откройте веб-обозреватель на компьютере PC0. Введите адрес www.web.pka и нажмите Go (Перейти).

Спрогнозируйте путь пакета для распознавания www.web.pka для IP-адреса. Запишите свой прогноз.

PC0 => Wireless Router 0 => Кабельный модем 0 => облако 0 => Router 5 => Восточный => Switch 0 => Switch 1=> Открытный DNS и обратно к PC0

г. Нажмите кнопку Capture / Forward (Перехватить или переслать), пока отображается веб-страница на PC0, чтобы просмотреть поток пакетов. Нажмите кнопку View Previous Events (Просмотреть предыдущие события) по запросу диалогового окна Buffer Full (Переполнение буфера).

После распознавания IP-адреса по какому пути проходили пакеты HTTP для отображения веб-страницы? Запишите свои наблюдения.

PC0 => Wireless Router 0 => Кабельный модем 0 => облако 0 => Router 5 => Восточный => Switch 0 => Switch 1=> Switch2 => www.web.pka и обратно к PC0

д. Переключитесь в режим реального времени (Shift + R). Нажмите пиктограмму X на правой панели инструментов для выбора инструмента Delete (Удалить). Удалите канал между Switch0 и Switch1 из общедоступной сети, чтобы смоделировать неработающий канал. Через 30 секунд сеть узнает о прерванном канале. Вы можете нажать Fast Forward (Ускорить), чтобы ускорить процесс.

е. Выберите инструмент «Стрелка» над инструментом Delete (Удалить) для отмены выбора Delete (Удалить).

ж. Переключитесь на режим моделирования (Shift + S). Откройте веб-обозреватель в Tablet0 и перейдите по адресу www.web.pka. Можно нажать кнопку Auto Capture/Play (Автоперехват или воспроизведение), чтобы Packet Tracer пересылал пакеты без личного вмешательства. Также можно перемещать ползунок воспроизведения вправо, чтобы ускорить пересылку пакетов.

з. Как изменился путь после разрыва канала в локальной сети? Запишите наблюдения.

PC0 => Wireless Router 0 => Кабельный модем 0 => облако 0 => Router 5 => Восточный => Switch 0 => Switch2 => Switch 1=> Открытный DNS и обратно к PC0

PC0 => Wireless Router 0 => Кабельный модем 0 => облако 0 => Router 5 => Восточный => Switch 0 => Switch2 => www.web.pka и обратно к PC0

Как удалить access list cisco

Команда ip access group применяется для привязки списка доступа к интерфейсу, который будет контролироваться на этом интерфейсе. Данная команда используется в режиме interface configuration. Для удаления списка доступа используется та же команда с префиксом no .

access — list — number номер списка доступа, который является числом из диапазона 1-199 или 1300-2699

access — list — name имя списка доступа

in с писок доступа применяется для входящего трафика

out с писок доступа применяется для исходящего трафика

Значение по умолчанию значение по умолчанию отсутствует.

Режимы команды Interface configuration.

Рекомендации по использованию

Команда ip access group применяется для привязки списка доступа к интерфейсу. Список доступа будет использоваться для фильтрации трафика на данном интерфейсе.

Если указан несуществующий список доступа, то все поступающие пакеты на интерфейс будут пропущены.

При использовании фильтрующих списков доступа на crypto интерфейсах необходимо следить, чтобы были прописаны соответствующие правила пакетной фильтрации для беспрепятственного прохождения IKE пакетов через firewall.

Если в списке доступа используются модификаторы log и log — input , то будет происходит логирование пакетов, проходящих через интерфейс. В сообщении kernel лога о прохождении пакета будет показыватся название данного списка доступа.

Отличие данной команды от подобной команды Cisco IOS :

В Cisco IOS исходящий с роутера трафик не фильтруется, в S-Terra Gate исходящий трафик фильтруется.

Ниже приведен пример назначения списка доступа 33 интерфейсу fastethernet:

Router(config)#interface fastethernet 0/1

Router(config-if)#ip access-group 33 in

IP списки доступа Cisco IOS

Access-lists, Access-control-lists (ACL) – списки контроля доступа. Существует несколько разновидностей аксесс-листов, применяемых на маршрутизаторах и коммутаторах Cisco. Аксесс-листы используются для фильтрации трафика или для определения классов трафика при применении политик. Список доступа представляет собой набор строк вида условие-действие. Строка аксесс-листа называется access-control-entry (ACE). Условием может быть соответствие пакета определенному протоколу или набору параметров. Действием может быть разрешение пакета (permit), либо запрещение (deny). Для списков доступа справедливы следующие правила:

  • Созданный список доступа не действует, пока он не применен к конкретному интерфейсу.
  • Список доступа применяется на интерфейсе в конкретном направлении – для исходящего, либо входящего трафика (inbound/outbound).
  • К интерфейсу можно применить только по одному аксесс-листу на протокол (ip), на направление (in/out).
  • Список доступа проверяется строка за строкой до первого совпадения. Оставшиеся строки игнорируются.
  • В конце любого IP аксесс-листа подразумевается запрещающее правило (implicit deny). Пакет, не попавший ни под одно условие в списке, отбрасывается, в соответствии с правилом implicit deny.
  • Рекомендуется более специфические правила указывать в начале аксесс-листа, а более общие – в конце.
  • Новые строки по умолчанию дописываются в конец списка.
  • Отдельную строку можно удалить из именованного аксесс-листа, другие ACL удаляются лишь целиком.
  • Список доступа должен иметь по крайней мере один permit, иначе он будет блокировать весь трафик.
  • Интерфейс, которому назначен несуществующий аксесс-лист не фильтрует трафик.
  • IP Extended Access-lists применяются как можно ближе к источнику трафика.

По способу создания списки доступа делятся на стандартные, расширенные, и именованные. Удобнее всего работать с именованными.

Стандартный Access-list

Фильтрует только по ip адресу источника. Должен иметь номер в диапазоне 1-99. Пример:

access-list 10 deny host 172.16.30.2 – запретить ip источника access-list 10 permit any - разрешить всё

Расширенный Access-list

Фильтрует по адресам источника и получателя, по протоколам 3, 4 уровня. Должен иметь номер в диапазоне 100-199. Пример:

acсess-list 110 deny tcp any host 172.16.30.2 eq 22 - запретить tcp от всех на хост с портом 22 access-list 110 deny ip 192.168.160.0 0.0.31.255 any - запретить ip от сети по шаблону на всех access-list 110 permit ip any any - разрешить всё

Применение к интерфейсу

conf t - переход в режим конфигурирования int fa 0/0 - переход к интерфейсу FastEthernet0/0 ip access-group 110 in - применить ACL 110 на вход ip access-group 120 out - применить ACL 120 на выход

Применение к линиям доступа telnet

conf t - переход в режим конфигурирования line vty 0 4 - переход к линиям vty с 0 по 4 access-class 10 in - применить ACL 10 на вход

Именованный расширенный Access-list

Фильтрует по адресам источника и получателя, по протоколам 3, 4 уровня. Должен иметь имя. Возможно удалять отдельные строки. Пример:

ip access-list extended INET - создать список с именем INET deny tcp any host 172.16.30.2 eq 22 - запретить tcp от всех на хост с портом 22 deny ip 192.168.160.0 0.0.31.255 any - запретить ip от сети по шаблону на всех permit ip any any - разрешить всё

Строки доступа нумеруются с шагом 10 по-умолчанию. Можно перенумеровать аксесс-лист с другим шагом. Можно добавить строку пронумеровав – она попадет в указанное место, по нумерации.

Просмотр расширенного аксесс-листа:

router# sh access-list INET Extended IP access list INET 10 deny tcp any host 172.16.30.2 eq 22 (150 matches) 20 deny ip 192.168.160.0 0.0.31.255 any (4 matches) 30 permit ip any any (1556 matches)

Как видим — строки пронумерованы с шагом 10. Можно вставить новую строку в произвольное место листа, используя номер:

router(conf)# ip access-list extended INET router(config-ext-nacl)# 5 permit ip host 10.10.10.10 any router(config-ext-nacl)# 223 deny ip host 1.1.1.1 any router(config-ext-nacl)# end router# sh access-list INET Extended IP access list INET 5 permit ip host 10.10.10.10 any 10 deny tcp any host 172.16.30.2 eq 22 (150 matches) 20 deny ip 192.168.160.0 0.0.31.255 any (4 matches) 30 permit ip any any (1556 matches) 223 deny ip host 1.1.1.1 any

Удалить отдельную строчку из листа можно по номеру, или по полному указанию строки с префиксом «no». Например так:

router(conf)# ip access-list extended INET router(config-ext-nacl)# no permit ip host 10.10.10.10 any
router(config-ext-nacl)# no 223

Полностью удалить список доступа можно указав соответствующую команду и «no»:

router(conf)# no ip access-list extended INET

Расширенные параметры ACE

permit icmp vs. permit ip

Deny ACEs that check Layer 4 information never match a fragment unless the fragment contains Layer 4 information.

Классификация трафика с помощью ACL

Отладка IP ACL

Vlan-ACL (VACL)

VLAN map применяется для всех отбриджованных пакетов. Router ACL только для маршрутизированных. Если

1. VLAN map for input VLAN10

2. Input router ACL / int VLAN10

3. routing VLAN10 to VLAN 20

4. Output router ACL / int VLAN20

5. VLAN map for output VLAN20

ip access-list extended WIFIHOSTEL permit ip 10.12.0.0 0.0.255.255 host 212.192.64.2 permit ip host 212.192.64.2 10.12.0.0 0.0.255.255 deny ip any any ! vlan access-map WIFIHOSTEL 10 match ip address WIFIHOSTEL action forward ! vlan filter WIFIHOSTEL vlan-list 534 

отключить ACL cisco

permit: разрешить
deny: запретить
remark: комментарий о списке доступа
address: запрещаем или разрешаем сеть
any: разрешаем или запрещаем всё
host: разрешаем или запрещаем хосту
source-wildcard: WildCard маска сети
log: включаем логгирование пакеты проходящие через данную запись ACL

Расширенный список доступа

Router(config)#access-list  protocol source [source-wildcard] [operator operand] [port [established]

protocol source: какой протокол будем разрешать или закрывать (ICMP, TCP, UDP, IP, OSPF и т.д)
deny: запретить
operator:
A.B.C.D — адрес получателя
any — любой конечный хост
eq — только пакеты на этом порте
gt — только пакеты с большим номером порта
host — единственный конечный хост
lt — только пакеты с более низким номером порта
neq — только пакеты не на данном номере порта
range — диапазон портов
port: номер порта (TCP или UDP), можно указать имя
established: разрешаем прохождение TCP-сегментов, которые являются частью уже созданной TCP-сессии

Прикрепление к интерфейсу

Router(config-if)#ip access-group

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *