Comments 26
Как раз CCNA заканчиваю, очень полезно. Благодарю еще раз от себя и от нашей группы -)
Как-то привык, что ip inspect больше удел pix-ов. Пошёл на cisco.com изучать пристальней.
Имхо, это курс совсем немолодого бойца :)
Я позволил себе напомнить немного. Я не претендую на полноту — тут тогда надо было бы курс ICND1+2 выкладывать :)

Но ACL настолько распространённая конструкция, что не грех и напомнить
имхо
для КМБ — все таки мало ссылок для объяснения приведенного кода, к примеру про инверсию масок.
Если есть такой интерес — можно и это описать. Всё в одной статейке охватить сложно, а времени на трансляцию базовых курсов циско в хабр нет, увы…
Добавьте чуть конкретнее с какой IOS вы работаете. Я сомневаюсь, что в версиях 12.2 есть ip inspect (могу, конечно и ошибаться).
Есть. Начиная с 12.2.8(Т). Ключевые слова firewall feature set

ЗЫ А где вы такие старые ИОСы нашли? :)
Почему «старые»-то? :) Старость — она зависит не только от версии, а еще и от платформы и от feature set.
Потому, что даже для старых рутеров (наверно не для всех) есть гораздо лучший мех :)

Ведь версия 12.2 уже 4-5 лет используется, если мне изменяет память.

ЗЫ Впрочем, для некоторых нерасширяемых по памяти старых рутеров наверно лучше ничего и нет…
Ну как сказать :) 10k — старая линейка? 12k — старая линейка? Хотя наверное в рамках данного курса эти линейки не очень актуальны.
Вопрос не в том где нашли. Задачи бывают разные — раз. Обновление стоит денег — два. Просто просьба, от себя лично, указывайте в следующий раз версии IOS ;)
Хорошо.

Обычно я для новых ИОСов пишу, что фича доступна, начиная с…

ip inspect доступен с 12.2 Firewall Feature Set
Не указали, как лучше «навешивать» ACL. Даже вообще — как его применять ;)

Я в свое время не раз напарывался на грабли, когда вставлял из буфера обмена строчки с правилами, и на четвертой-пятой меня сбрасывало с маршрутизатора, т.к. ACL начинал действовать, а IP-адрес моей машины стоял не на самом верху. Поэтому сперва пришел к выводу, что правило для моей машины должно быть в самом верху. Потом — что можно убрать ACL из интерфейсов, подправить его как надо, и только потом вернуть на интерфейсы обратно.
Правда, это относится скорее к зашите своих внутренних подсетей, а не обороне периметра, но все же…
Читайте более ранние выпуски «Курса молодого бойца». Там и про эти грабли есть.
ACL на маршрутизаторах в плане фильтрации основоного трафика не нужны. Они нужны для distribute-list'ов, route-map'ов и т.д. Ну, может простенький на line vty с логированием по 23, 22 порту и на SNMP. Фильтровать трафик должна отдельная железка — PIX, Checkpoint, сервер с *nix и т.п.
Не могу с вами согласиться. Базовую фильтрацию как раз на рутерах делать наиболее правильно.

Мало того, ваше мнение касается ТОЛЬКО больших сетей, где кроме рутера ещё полный зоопарк. А если строить правильные распределенные сети, то часто достаточно на границе одного ретара, но с кучей функций.

Планирую и про топологии/дизайн тоже написать. Там много интересных и возможно спорных моментов — поспорим :)
Да, ZBF ГОРАЗДО мощнее.

Например, там выделяется зона self, можно задать глубокое инспектирование с анализом контента (class-map type)…

На молодому бойцу я бы для начала базу подтянул, а если он умный и быстрый — то ещё намекнул, куда самому копать.

ЗЫ Ну и к тому же ZBF — очень новая фича. С существующими бы разобраться :)
UFO landed and left these words here
очень бы хотелось увидеть статью о версиях IOS и различных платформах, обновлении официальном и не очень ;)
Only those users with full accounts are able to leave comments. Log in, please.