עבור לתוכן

CISCO router 1721 access-list

על-ידי eranx
ב רשתות ואינטרנט

Featured Replies

פורסם

hey,

I'm having little bit of a problem.

I got a CISCO router 1721, and I'd like to DENY all inbound traffic

and PERMIT specific IPs, not range of IPs but a static IPs.

I know the first thing I need to do is permit the IPs and as last command deny any.

I'm still learning the CCNA alone and having a problem.

can you please write me the exact commands from the begining how to do it?

thanks alot, really,

strife

  • ציטוט
    • פורסם

    קודם כל אם אתה רוצה לסנן תנועה רק על פי כתובת המקור של הפאקט הכי טוב להשתמש ב Standard ACL .

    המספרים שמותר לנו להשתמש בהם זה:

    Lab_R1#config t
    Lab_R1(config)#access-list ?
     <1-99>    IP standard access list
     <100-199>  IP extended access list <------- 1ST RANGE 
     <1000-1099> IPX SAP access list
     <1100-1199> Extended 48-bit MAC address access list
     <1200-1299> IPX summary address access list
     <1300-1999> IP standard access list (expanded range) <------- 2ND RANGE 
     <200-299>  Protocol type-code access list
     <2000-2699> IP extended access list (expanded range)
     <300-399>  DECnet access list
     <600-699>  Appletalk access list
     <700-799>  48-bit MAC address access list
     <800-899>  IPX standard access list
     <900-999>  IPX extended access list

    עכשיו נגיד ואני רוצה לסנן את כל התנועה ולאפשר רק פאקטים עם הכתובת מקור 111.111.111.111

    ו 111.111.111.112 ,אני יבנה את ה ACL ככה:

    Lab_R1(config)#access-list 10 permit host 111.111.111.111
    Lab_R1(config)#access-list 10 permit host 111.111.111.112

    חשוב שתבין שלכל ACL בראוטרים של cisco (ולרוב גם ב ACLים אחרים) יש deny any בסוף של ה ACL.

    לכן אתה לא חייב להוסיף deny any , אני מאוד ממליץ לך לזכור את זה ל CCNA כי הם ישאלו דברים כאלה (אותי שאלו).

    אוקי, עכשיו יש לך ACL מוכן, אבל הוא לא עושה כלום חוץ מלתפוס כמה קילובייטים בזיכרון של הראוטר, בשביל להפעלי אותו

    אתה צריך "לקשר" אותו עם interface מסויים בכיוון מסוים (כלומר החוצה או פנימה), בוא נניח ש e0 זה ה interface של ה LAN

    שלי ואני רוצה שמתוך ה ALN שלי רק 2 הכתובות שב ACL יוכלו לשלוח מידע החוצה, אז אני יגדיר את ה ACL הזה ב e0 על מידע נכנס ,

    בגלל שאני רוצה לסנן מידע שיוצא מה LAN והמידע שיוצא מה LAN זה מידע שנכנס ל e0 , בכל מקרה התחביר מאוד פשוט:

    Lab_R1(config)#int e0
    Lab_R1(config-if)#ip access-group 10 in

    אם אתה לא בטוח באיזשהו שלב לגבי התחביר תזכור ש "?" זה החבר הכי טוב שלך כשאתה מתעסק ב IOS .

    בהצלחה ב CCNA

  • ציטוט

    • ארכיון

    דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.

    עבור לרשימת הדיונים

    דיונים חדשים