Списки доступа с object-group на IOS

Добрый день.
Сегодня опишу как создавать списки доступа с использованием объектов.
Это делает ACL более читаемым и его удобнее редактировать.

Итак, предположим у нас есть ACL:

ip access-list extended FACL
 permit tcp host 10.1.1.5 host 10.2.1.1 eq 22
 permit tcp host 10.1.1.5 host 10.2.1.1 eq 80
 permit tcp host 10.1.1.5 host 10.2.1.1 eq 3306
 permit tcp host 10.1.8.1 host 10.2.1.1 eq 22
 permit tcp host 10.1.8.1 host 10.2.1.1 eq 80
 permit tcp host 10.1.8.1 host 10.2.1.1 eq 3306
 deny   ip any any

Создадим группы:
сервисная:

object-group service PGROUP
 tcp eq 22
 tcp eq 80
 tcp eq 3306

сетевые:

object-group network SNGROUP
 host 10.1.1.5
 host 10.1.8.1

object-group network DNGROUP
 host 10.2.1.1

Теперь можем переписать ACL в виде:
ip access-list extended FACL
 permit object-group <сервисная группа> object-group <сетевая группа - сети/узлы источники> object-group <сетевая группа - сети/узлы назначения> 

В нашем случае получиться:

ip access-list extended FACL object-group PGROUP object-group SNGROUP object-group DNGROUP



Комментарии

Популярные сообщения