Подскажите пожалуйста, как проще всего на cisco закрыть неиспользуемые IP адреса. Можно ли прописать правило такого вида:
access-list 2000 permit IP any host 192.168.1.100
access-list 2000 deny any any
Нельзя...
Можно так:
access-list 171 permit IP any host 192.168.1.100
>Нельзя...
>Можно так:
>access-list 171 permit IP any host 192.168.1.100
извиняюсь, но я пока недавно в киске, и не понимаю отличия между:
access-list 2000 permit IP any host 192.168.1.100 и
access-list 171 permit IP any host 192.168.1.100Плиз об'ясни..
1-99 - Standard access-list
100-199 - extended access-list
Можешь здесь табличку посмотреть...
http://cisco.com/en/US/products/sw/iosswrel/ps1828/products_...
>1-99 - Standard access-list
>100-199 - extended access-list
>Можешь здесь табличку посмотреть...
>http://cisco.com/en/US/products/sw/iosswrel/ps1828/products_...
тобишь потом не обязательно (или всетаки обязательно) прописывать access-group ??
Обязательно. Сам по себе acl ничего не представляет. Он просто описывает пакеты и правила к ним.
а тогда такой
Такой - это хорошо... Это пять...
а тогда такой вопрос:
если я пропишу
access-list 171 permit IP any host 192.200.100.67
....
access-list 171 deny any any
access-list 171 permit tcp any any eq wwwто у меня 192.200.100.67 получит доступ на 80 порт или после дени ничего не пройдет.. ??
access-list 171 deny any any ввести не получится. Можно access-list 171 deny ip any any
Правила просматриваются последовательно сверху вниз. Если произошло совпадение то правило выполняется и дальнейший просмотр заканчивается. Поищите в Инете. Об acl полно всего везде написано...
можешь дать какойнить ответ на этот вопрос
http://www.opennet.me/openforum/vsluhforumID6/7043.html ?