Pull to refresh

Comments 35

Хорошо изложили материал, и довольно обьемно.
Я бы порекомендовал приводить не только команды для ввода правил ACL, но и полученные в результате списки (т.е. результат show access-lists). Читается лучше.
Добро пожаловать на Хабр!

Приятно, что в таком достаточно юном возрасте люди увлекаются Циско и, как видно со скриншотов, проходят курс CCNA :-)

Желаю удачи и дальнейших успехов в учебе и карьере!
Спасибо большое! Буду и дальше стараться писать интересные статьи :)
В очередной раз расстраиваюсь что хорошая специализированная статья получает так мало голосов =( Обидно.
На счет рефлексивных ACL, у циски есть еще немного похожее средство — ip inspect. Позволяет вешать только один ACL, допустим на IN. После прохождения пакета, инспект открывает входную «дырку» для него и ожидает получения ответа.
Ничего страшного, блог Cisco — это вообще от своих, для своих, про свое :-) Зато минусов такие статьи почти не получают.
Да, точно ))) Скажем так — для тех, кто в теме =))
Да и еще стоит упомянуть, что wildcard — это не просто маска подсети задом на перед) Она дает удивительные возможности в плане выборки адресов =) Что-то вроде — каждый десятый IP из всех четных подсетей =)
Это discontinuous subnet mask — вроде ж, отменили их поддержку, разве нет?
Не-не, я знаю про wildcard :-) Я только никогда не понимал, зачем они нужны. Вроде бы ж поддержки discontinuous subnet mask, а следовательно и аналогичных wildcard bits, больше нет.

Кстати, небезызвестный Jeremy Cioara тоже как-то в своем курсе говорил, что он не понимает, зачем нужны wildcard bits :-)
можно очень хитро группировать строчки в ацл, что маска не позволит
сорри, отправился.
10.0.0.0/24
10.0.1.0/24
10.1.0.0/24
10.1.1.0/24

группируется в 10.0.0.0 0.1.1.255

с маской без захвата соседних не получится
1) неявный deny ip any any лучше делать явным и дополнять в конце log
т.е — порой сильно упрощает траблшутинг
2) подробнее написать о редактировании ACL, если строчки в нем не нумерованы(блокнот в помощь) или нумерованы (например не стоит принудительно заполнять строчки подряд 1, 2, 3, 4...)
3) Про обратную маску не стоит писать что это просто инверсия к обычной, это гораздо более мощный инструмент и может сработать неожиданно для тех кто это не понимает. Например, можем разрешить только четные IP. Или «сгруппировать» хосты в разных подсетях
1-е только на время, т.к. приводит к процесс-свитчингу этих пакетов
2-3 согласен
хм…
Т.е. явно заданный
deny ip any any
всегда приводит к процесс свитчингу?
Я правильно понял?
ACL необходимо размещать как можно ближе к источнику

Не совсем так. Расширенные ACL необходимо размещать как можно ближе к источнику, а стандартные — как можно ближе к назначению.
ACL не действует на трафик, сгенерированный самим маршрутизатором
В NAT'е очень даже хорошо действуют :)
А аксесс-листы на интерфейсе таки да.
Отличное изложение!

Если хорошо владете предметом было бы интересно увидеть в вашем изложении описание VACL — Vlan ACL, а также их отличия от PACL и RACL.
К сожалению, не знаю данной темы, возможно в будущем напишу.
Сейчас планирую написать что-то из курса CCNP. Там намного всё сложнее, а свой топик помогает лучше понять материал :)
в текущем сснп все почти так же просто, сложности начнутся дальше :)
Если вам просто дается материал CCNP — я за вас только рад!
Мне он в отличие от CCNA идет в разы сложнее, приходится ещё читать литературу чтобы понимать хоть что-то. Это правда касается не всех тем, но многих.

Сложности начнутся дальше
Рассказывайте :)
это гнутие пальцев, это просто опыт инструктора, на глазах которого поменяли трек ССНП, оставив в нем самые простые и понятные вещи. В том смысле, что не ждите сверхсложностей от него, треки по IP или по SP в разы сложнее и объемнее
Я, честно говоря, плохо понимаю смысл таких статей и их (статей) целевую аудиторию. Это люди с ограниченными возможностями имеющие сложности с набором в google словосочетания cisco acl?
Предмет раскрыт где только можно и всеми возможными способами. К чему выкладывать скриншоты с официальных курикулимов в обрамлении переведенного (скопипасченого) текста?
Я попытался очень понятным языком объяснить данную тему. Чтобы люди, которые хотят разбираться в ACL или потом будут работать с ACL открыли эту статью, прочитали теорию, посмотрели команды и собственно настроили в своей сети фильтрацию трафика. Я уверен что эта статья пригодится кому-то.
А может им лучше открыть тот материал, из которого вы просто скопировали это вместе со скриншотами? :) Кстати, как к этому относится сама Cisco? :)
Скриншоты видов списков доступа взяты из официальной литературы CCNA Exploration: Accessing the WAN. В пятой главе описываются списки доступа, я написал в конце самой статьи об этом. Первый скриншот нарисован мною в GIMP'e. Что касается копирования, эта статья была опубликована на других ресурсах после того как я опубликовал её на хабре, можете проверить.
Only those users with full accounts are able to leave comments. Log in, please.