Добрый день!

Помогите, пожалуйста, разобраться с последовательностью написания правил в Access-list.

Есть необходимость запретить всем выход в и-нет кроме определенных адресов.

Имеем:
  
Standard IP access list 2
    permit 10.1.1.1
    permit 10.1.1.2
    
Extended IP access list 101
    permit ip 10.1.0.0 0.0.255.255 any (3594 matches)

Extended IP access list 102
    permit ip host 10.1.1.1 any
    permit ip host 10.1.1.2 any
    deny ip any any

И еще.
Если нетрудно,в двух словах, пожалуйста, опишите разницу между access list 2, 101, 102 и т.д. Принципиально ли написание какого-либо правила в том или инном листе и куда что надо писать.

Заранее благодарю за ответ.
С уважением, Андрей.

• Последовательность написания правил в ACL,Volume, 12:28 , 29-Сен-04
  • Последовательность написания правил в ACL,Андрей, 13:14 , 29-Сен-04
    • Последовательность написания правил в ACL,sh_, 14:24 , 29-Сен-04
• Последовательность написания правил в ACL,Сереги, 15:19 , 29-Сен-04
• Последовательность написания правил в ACL,Сереги, 15:32 , 29-Сен-04
• Последовательность написания правил в ACL,Андрей, 08:40 , 30-Сен-04

а мануалфы почитать не пробовали? там русским по белому все написано....

>Добрый день!
>
>Помогите, пожалуйста, разобраться с последовательностью написания правил в Access-list.
>
>Есть необходимость запретить всем выход в и-нет кроме определенных адресов.
>
>Имеем:
>
>Standard IP access list 2
>    permit 10.1.1.1
>    permit 10.1.1.2
>
>Extended IP access list 101
>    permit ip 10.1.0.0 0.0.255.255 any (3594 matches)
>
>Extended IP access list 102
>    permit ip host 10.1.1.1 any
>    permit ip host 10.1.1.2 any
>    deny ip any any
>
>И еще.
>Если нетрудно,в двух словах, пожалуйста, опишите разницу между access list 2, 101,
>102 и т.д. Принципиально ли написание какого-либо правила в том или
>инном листе и куда что надо писать.
>
>Заранее благодарю за ответ.
>С уважением, Андрей.

>а мануалфы почитать не пробовали? там русским по белому все написано....

Спасибо за подробный ответ.

P.S. Интересно, те вопросы на которые "гуру" охотно отвечают не описаны в мануалах, CD, http://cisco.com и т.д., а также интересно взглянуть на "спецов", выросших как "спецы" исключительно на мануалах.
P.P.S. Сетка досталась по наследству без бумажных мануалов и CD. Действовать надо наверняка и без особых затрат времени, потому и обратился к Вам, "знающим" для получения быстрой помощи "незнающему".

С уважением, Андрей.

Listi vipolniayut odni i te zhe funktsii...

>Если нетрудно,в двух словах, пожалуйста, опишите разницу между access list 2, 101,
>102 и т.д. Принципиально ли написание какого-либо правила в том или
>инном листе и куда что надо писать.

Листы с 1 по 99 называются стандартными. Могут работать только с source-адресами.

Листы с 100 по 199 - расширеные. Могут осуществлять фильтрацию на основе не только адреса отправителя, но и destination адреса, и протоколов.

Собственно, в твоем примере это и видно.

>Есть необходимость запретить всем выход в и-нет кроме определенных адресов.

Если все делается на основе адресов отправителя, то можно воспользоваться стандартным листом. Например так:

access-list 3 permit host 192.168.0.55
access-list 3 deny 192.168.0.0 0.0.0.255

т.е. разрешили ходить 55-му адресу, а всей сетке запретили.

имей в виду, что в конце каждого листа автоматически добавляется deny any, соответсвтенно, каждый лист должен иметь хотя бы одно разрешающее правило, иначе, он не будет иметь смысла.

после того как сделаешь лист, его надо повесить на интерфейс.

делается это примерно так:

conf t (глобальный режим)
int fa0/1 (выбор нужного интерфейса)
ip access-group 3 out (вешаем лист №3 на ВЫХОД из интерфейса, который смотрит во внешнюю сеть)
end
write mem

Добрый день!

Большое всем спасибо.
С Вашей помощью решил задачу вовремя.

Благодарю за ответы.
С уважением, Андрей.