Сравнение версий

Старая версия 38

changes.mady.by.user Шарипова Людмила Дамировна

Сохранено

по сравнению с

Новая версия 39

changes.mady.by.user Шарипова Людмила Дамировна

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

  • Шаг 1. Создать mac access-list.

    Блок кода
    languagexml
    MA5160(configure)# access-list mac dm
MA5160(config)(access-list-mac-dm)#

  • Шаг 2. Настроить правила.

    Блок кода
    languagexml
    MA5160(config)(access-list-mac-dm)# deny a8:f9:4b:aa:00:00 FF:FF:FF:FF:00:00 any
MA5160(config)(access-list-mac-dm)# deny any any vlan 1032
MA5160(config)(access-list-mac-dm)# deny any any vlan any cos 5 5
MA5160(config)(access-list-mac-dm)# deny any any vlan any cos any ethertype 0xAB00 0xFFFF
MA5160(config)(access-list-mac-dm)# permit A0:00:00:00:00:00 F0:00:00:00:00:00 any
MA5160(config)(access-list-mac-dm)# exit
MA5160(configure)# do commit
MA5160(configure)# do confirm

  • Шаг 3. Проверить конфигурацию access list.

    Блок кода
    languagexml
    MA5160(configure)# do show running-config access-list mac dm
    access-list mac dm
        deny A8:F9:4B:AA:00:00 FF:FF:FF:FF:00:00 any index 1
        deny any A8:F9:4B:FF:24:86 FF:FF:FF:FF:00:00 index 2
        deny any any vlan 1032 index 3
        deny any any cos 5 5 index 4
        deny any any ethertype 0xAB00 0xFFFF index 5
        permit A0:00:00:00:00:00 F0:00:00:00:00:00 any index 6
    exit


  • Шаг 4. Назначить access-list на нужный порт.

    Блок кода
    languagexml
    MA5160(configure)# interface pon-port 8/16
MA5160(config)(if-pon-8/16)# access-list mac dm
MA5160(config)(if-pon-8/16)# exit
MA5160(configure)# do commit
MA5160(configure)# do confirm


  • Шаг 5. Проверить назначение access-list на порт.

    Блок кода
    MA5160# show running-config interface pon-port 8/16
 interface pon-port 8/16
  access-list mac "dm"
 exit
    Scroll Pagebreak

    Чтобы настроить access-list как white list, нижнее правило должно быть следующего вида:

    Блок кода
     deny any any


...

КритерийМаскаПример командыПримечание
Proto IDНетpermit tcp ...
permit udp ...
permit any ...
permit proto <id> ...
Src IPЕстьpermit any 10.10.0.0 255.0.255.0 any

Маска 0.0.0.0 соответствует any

Маска 255.0.255.0 соответствует диапазону 10.0.10.0 - 10.255.10.255

Маска 255.255.255.255 соответствует одному конкретному адресу

Dst IPЕстьpermit any any 10.10.0.0 255.0.255.0
DSCPНетpermit any any any dscp 48
PrecedenceНетpermit any any any precedence 7
Src MACЕстьpermit any any any dscp any mac A8:F9:4B:00:00:00 FF:FF:FF:00:00:00 any

Маска 00:00:00:00:00:00 равнозначна 
any

Маска FF:FF:FF:00:00:00 соответствует диапазону адресов A8:F9:4B:00:00:00 - A8:F9:4B:FF:FF:FF

Маска FF:FF:FF:FF:FF:FF соответствует одному конкретному адресу

Dst MACЕстьpermit any any any dscp any mac any A8:F9:4B:00:00:00 FF:FF:FF:00:00:00
VlanНетpermit any any any dscp any mac any any vlan 10
COSЕстьpermit any any any dscp any mac any any vlan any cos 4 4

Маска 0 равнозначна any

Маска 4(100) соответствует cos 4(100), 5(101), 6(110), 7(111)

Маска 7 соответствует одному конкретному cos

EthertypeЕстьpermit any any any dscp any mac any any vlan any cos any ethertype 0x0800 0xFF00

Маска 0x0000 равнозначна any

Маска 0xFF00 соответствует диапазону 0x0800 - 0x08FF

Маска 0xFFFF соответствует одному конкретному ethertype

Scroll Pagebreak

  • Шаг 1. Создать ip access-list.

    Блок кода
    MA5160(configure)# access-list ip deny_ip
MA5160(config)(access-list-ip-deny_ip)#

  • Шаг 2. Настроить правила.

    Блок кода
    MA5160(config)(access-list-ip-deny_ip)# permit proto 1 192.168.133.3 255.255.255.0 any
MA5160(config)(access-list-ip-deny_ip)# deny udp 5.0.5.11 255.255.255.0 any any any
MA5160(config)(access-list-ip-deny_ip)# deny udp any any 5.0.6.0 255.255.255.0 any
MA5160(config)(access-list-ip-deny_ip)# deny udp any 4321 any any
MA5160(config)(access-list-ip-deny_ip)# deny udp any any any any dscp 48
MA5160(config)(access-list-ip-deny_ip)# permit udp any any any any dscp 0
MA5160(config)(access-list-ip-deny_ip)# permit any any any
MA5160(config)(access-list-ip-deny_ip)# exit
MA5160(configure)# do commit
MA5160(configure)# do confirm
    scroll-pagebreak
  • Шаг 3. Проверить конфигурацию access-list.
     Блок  кода
    languagexml
    MA5160# show running-config access-list ip 
 access-list ip deny_ip
    permit proto 1 192.168.133.0 255.255.255.0 any index 1
    deny udp 5.0.5.0 255.255.255.0 any any any index 2
    deny udp any any 5.0.6.0 255.255.255.0 any index 3
    deny udp any 4321 any any index 4
    deny udp any any any 8765 index 5
    deny udp any any any any dscp 48 index 6
    permit udp any any any any dscp 0 index 7
    permit any any any index 8
 exit

  • Шаг 4. Назначить access-list на нужный порт.
     Блок  кода
    languagexml
    MA5160(configure)# interface pon-port 8/16
MA5160(config)(if-pon-8/16)# access-list ip deny_ip
MA5160(config)(if-pon-8/16)# exit
MA5160(configure)# do commit
MA5160(configure)# do confirm

...