Комментарии 35
Хорошо изложили материал, и довольно обьемно.
Я бы порекомендовал приводить не только команды для ввода правил ACL, но и полученные в результате списки (т.е. результат show access-lists). Читается лучше.
Добро пожаловать на Хабр!
Приятно, что в таком достаточно юном возрасте люди увлекаются Циско и, как видно со скриншотов, проходят курс CCNA :-)
Желаю удачи и дальнейших успехов в учебе и карьере!
Приятно, что в таком достаточно юном возрасте люди увлекаются Циско и, как видно со скриншотов, проходят курс CCNA :-)
Желаю удачи и дальнейших успехов в учебе и карьере!
В очередной раз расстраиваюсь что хорошая специализированная статья получает так мало голосов =( Обидно.
На счет рефлексивных ACL, у циски есть еще немного похожее средство — ip inspect. Позволяет вешать только один ACL, допустим на IN. После прохождения пакета, инспект открывает входную «дырку» для него и ожидает получения ответа.
На счет рефлексивных ACL, у циски есть еще немного похожее средство — ip inspect. Позволяет вешать только один ACL, допустим на IN. После прохождения пакета, инспект открывает входную «дырку» для него и ожидает получения ответа.
Да и еще стоит упомянуть, что wildcard — это не просто маска подсети задом на перед) Она дает удивительные возможности в плане выборки адресов =) Что-то вроде — каждый десятый IP из всех четных подсетей =)
Это discontinuous subnet mask — вроде ж, отменили их поддержку, разве нет?
Это видимо несколько иное.
Про wildcard mask вот неплохая статья — www.telecombook.ru/index.php/cisco/5-ciscodirectory/4-wildcard-mask
Про wildcard mask вот неплохая статья — www.telecombook.ru/index.php/cisco/5-ciscodirectory/4-wildcard-mask
Не-не, я знаю про wildcard :-) Я только никогда не понимал, зачем они нужны. Вроде бы ж поддержки discontinuous subnet mask, а следовательно и аналогичных wildcard bits, больше нет.
Кстати, небезызвестный Jeremy Cioara тоже как-то в своем курсе говорил, что он не понимает, зачем нужны wildcard bits :-)
Кстати, небезызвестный Jeremy Cioara тоже как-то в своем курсе говорил, что он не понимает, зачем нужны wildcard bits :-)
1) неявный deny ip any any лучше делать явным и дополнять в конце log
т.е — порой сильно упрощает траблшутинг
2) подробнее написать о редактировании ACL, если строчки в нем не нумерованы(блокнот в помощь) или нумерованы (например не стоит принудительно заполнять строчки подряд 1, 2, 3, 4...)
3) Про обратную маску не стоит писать что это просто инверсия к обычной, это гораздо более мощный инструмент и может сработать неожиданно для тех кто это не понимает. Например, можем разрешить только четные IP. Или «сгруппировать» хосты в разных подсетях
т.е — порой сильно упрощает траблшутинг
2) подробнее написать о редактировании ACL, если строчки в нем не нумерованы(блокнот в помощь) или нумерованы (например не стоит принудительно заполнять строчки подряд 1, 2, 3, 4...)
3) Про обратную маску не стоит писать что это просто инверсия к обычной, это гораздо более мощный инструмент и может сработать неожиданно для тех кто это не понимает. Например, можем разрешить только четные IP. Или «сгруппировать» хосты в разных подсетях
ACL необходимо размещать как можно ближе к источнику
Не совсем так. Расширенные ACL необходимо размещать как можно ближе к источнику, а стандартные — как можно ближе к назначению.
Не совсем так. Расширенные ACL необходимо размещать как можно ближе к источнику, а стандартные — как можно ближе к назначению.
ACL не действует на трафик, сгенерированный самим маршрутизатором
Отличное изложение!
Если хорошо владете предметом было бы интересно увидеть в вашем изложении описание VACL — Vlan ACL, а также их отличия от PACL и RACL.
Если хорошо владете предметом было бы интересно увидеть в вашем изложении описание VACL — Vlan ACL, а также их отличия от PACL и RACL.
Если вам просто дается материал CCNP — я за вас только рад!
Мне он в отличие от CCNA идет в разы сложнее, приходится ещё читать литературу чтобы понимать хоть что-то. Это правда касается не всех тем, но многих.
Сложности начнутся дальше
Рассказывайте :)
Мне он в отличие от CCNA идет в разы сложнее, приходится ещё читать литературу чтобы понимать хоть что-то. Это правда касается не всех тем, но многих.
Сложности начнутся дальше
Рассказывайте :)
Я, честно говоря, плохо понимаю смысл таких статей и их (статей) целевую аудиторию. Это люди с ограниченными возможностями имеющие сложности с набором в google словосочетания cisco acl?
Предмет раскрыт где только можно и всеми возможными способами. К чему выкладывать скриншоты с официальных курикулимов в обрамлении переведенного (скопипасченого) текста?
Предмет раскрыт где только можно и всеми возможными способами. К чему выкладывать скриншоты с официальных курикулимов в обрамлении переведенного (скопипасченого) текста?
Я попытался очень понятным языком объяснить данную тему. Чтобы люди, которые хотят разбираться в ACL или потом будут работать с ACL открыли эту статью, прочитали теорию, посмотрели команды и собственно настроили в своей сети фильтрацию трафика. Я уверен что эта статья пригодится кому-то.
А может им лучше открыть тот материал, из которого вы просто скопировали это вместе со скриншотами? :) Кстати, как к этому относится сама Cisco? :)
Скриншоты видов списков доступа взяты из официальной литературы CCNA Exploration: Accessing the WAN. В пятой главе описываются списки доступа, я написал в конце самой статьи об этом. Первый скриншот нарисован мною в GIMP'e. Что касается копирования, эта статья была опубликована на других ресурсах после того как я опубликовал её на хабре, можете проверить.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
ACL: списки контроля доступа в Cisco IOS