Списки доступа с object-group на IOS

-
Добрый день.
Сегодня опишу как создавать списки доступа с использованием объектов.
Это делает ACL более читаемым и его удобнее редактировать.

Итак, предположим у нас есть ACL:

ip access-list extended FACL
 permit tcp host 10.1.1.5 host 10.2.1.1 eq 22
 permit tcp host 10.1.1.5 host 10.2.1.1 eq 80
 permit tcp host 10.1.1.5 host 10.2.1.1 eq 3306
 permit tcp host 10.1.8.1 host 10.2.1.1 eq 22
 permit tcp host 10.1.8.1 host 10.2.1.1 eq 80
 permit tcp host 10.1.8.1 host 10.2.1.1 eq 3306
 deny   ip any any

Создадим группы:
сервисная:

object-group service PGROUP
 tcp eq 22
 tcp eq 80
 tcp eq 3306

 сетевые:

object-group network SNGROUP
 host 10.1.1.5
 host 10.1.8.1

 object-group network DNGROUP
 host 10.2.1.1

 Теперь можем переписать ACL в виде:
ip access-list extended FACL
 permit object-group <сервисная группа> object-group <сетевая группа - сети/узлы источники> object-group <сетевая группа - сети/узлы назначения> 

 В нашем случае получиться:

ip access-list extended FACL object-group PGROUP object-group SNGROUP object-group DNGROUP

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

DHCP опция 121 - статические маршруты по DHCP

-
Однажды мне понадобилось отправить трафик на некоторые сети  на другой маршрутизатор. Пришлось на Windows добавлять route add и маршрут на нужную сеть, через нужный маршрутизатор. Но тут оказалось, что есть отличная опция 121 (и 249). Можно на Cisco добавить (на ASA например): dhcpd option 121 hex 18c0a8c1c0a8000718c0a8c2c0a80008 Эта строка добавляет статический маршрут на сеть 192.168.193.0/24 через шлюз 192.168.0.7 и маршрут 192.168.194.0/24 через шлюз 192.168.0.8 Формат такой: Сначала пишем длину префикса, потом сеть без лишних нулей, то есть если маска /24 то сеть 192.168.0 например ну или 10.7.1 то есть не значащие октеты не пишем. Далее адрес шлюза. Далее можно писать в том же формате еще один маршрут. У нас в примере их два: 18 c0a8c1 c0a80007 18 c0a8c2 c0a80008
Далее...

Сброс на заводские настройки, коммутатора Moxa EDS-518A

-
Изображение
В связи с тем что на этом коммутаторе нет кнопки сброса, нам понадобится снять с него крышку. На верхней плате есть вырез, через который видна средняя плата, а там есть два коннектора, нам нужен шести контактный. Нам нужно замкнуть контакты, отмеченные на картинке красным цветом (те что ближе к задней стенке, замкнуть можно например перемычкой от жесткого диска или привода).  Затем надо подключить консольный кабель, его распиновка есть в документе - EDS-518A Series, Hardware Installation Guide Теперь можно подать питание и дождаться появления в терминале вот такого меню: ================================================<<Main Menu>>> ----------------------------------------------------------------------              MOXA EDS-518A-T MM-Test Ver 1.9   built time=  09042815       Firmware Mac Address:00-90-e8-20-9c-76   SerNo:2399 -------------------...
Далее...